我必须向
Windows Server 2003 Active Directory中的某个用户授予一些权限,这些权限仅对特定用户集合有效.最初的想法是只有一个OU,我们将允许这个特定用户的某些权利(用户创建,密码重置,将用户添加到组等).但是,在进一步阅读之后,我不确定是否需要OU,而且我真的不确定何时需要OU.这让我烦恼,我真的想在使用或不使用OU之前更好地理解OU的用途.
我搜索了很多网站,结果从模糊的“使用组织单位来组织AD”到somewhat specific“如果完全独立的组需要对一部分用户进行特殊管理访问,则将OU添加到域”.此时,后者听起来最合适.从技术上讲,您只能在OU上使用控制委派向导.但是,我认为没有什么能阻止我手动将权限单独分配给域组并有效地拥有相同的东西.我在这里想念的是什么?谢谢.
通常,OU用于:
原文链接:https://www.f2er.com/windows/368349.html>保持清洁和结构.您的用户远离群组,您的群组远离计算机,站点A中的对象远离站点B中的对象,依此类推.
>控制权委派.只有在您拥有多个访问级别或每个具有不同管理员的多个站点时才真正需要.即便如此,我还是会提前计划并设置一些东西来启用它.
>组策略.并非完全必要,因为策略应用程序可以通过权限或WMI筛选器进行管理,但同样有助于了解如果用户在OU X中,则会获得策略Y.
请注意,在上面您不能将GPO应用于容器,因此如果您不创建OU,则必须将所有GPO设置为最高(域)级别,并使用WMI或安全性对其进行过滤.对于您和其他所有人来说,只使用OU更容易,除非您有使用OU模型无法完成(或者可以完成但是很麻烦)您需要/需要的特定策略的场景.
除了我最后两点中明显的技术要求之外,我认为保持干净整洁是合理的.例如,从列表100中找到所需对象比从1500列表中找到它更容易.它还会将您创建的对象(主要是用户,计算机和组)与内置对象分开,这有助于防止发生令人讨厌的事故(“好的,谁删除了管理员帐户?”).
