作为一名Linux管理员,在不接触Windows服务器十年之后不情愿地重新进入Windows管理层,我对有关组策略的一些事情感到有些困惑,这与之前的工作方式相比有些过时. .

我还记得在ADUC中的某些对象(例如Windows Server 2003)上有一个组策略选项卡的日子,例如OU(如果我没记错的话),但现在看来ADUC和组策略已经被分隔成不同的管理控制台和去链接,GPMC现在是GPO的地方.我确信有一些很好的理由.但是,我现在有几个问题.

为什么看起来OU的结构和名称,以及GPO与ADUC中实际AD对象的关联是否与其对应的GPMC完全隔离？似乎GP管理员必须保持警惕,以模仿GPMC中ADUC命名或结构的任何变化,但我可以看到这不可避免地出错,因为错误和疏忽将不时发生.

显然,IT管理员应该聪明且保持警惕以确保没有任何不一致,但是如何将ADUC和GPMC解耦为技术上的实际改进？似乎自动化和匹配验证检查两者之间的一致性不仅应该是可能的,而且应该是微不足道的.回到Windows Server 2003,看起来GPO直接与AD对象本身相关联,因此无论您对它们做了什么,GPO都会跟踪对象;而我在某处读到现在GPO“不属于AD对象”,就直接关联和联系而言.这种变化背后的原因是什么？

但也许我刚刚阅读了错误的文档并完全误解了这种情况[编辑：是].

感谢您耐心地向Linux管理员解释这一点.