AD中的OU情形如下圖
把所有自訂的使用者(Domain User)及群組拉到User OU.
再把群組拉到所屬的OU去套用自訂群組原則, 如下圖
但此情形只有Join Y的群組原則有作用, 子OU所屬的群組原則則無作用
改把使用者拉進所屬OU, 群組原則才有生效.
請問這樣的作法, 微軟就是這麼規範, 還是有其他理由???(或是我做錯?)
如果只能這樣作, 群組就顯得很雞肋...
AD新手先謝謝大家解答.
已邀請的邦友 {{ invite_list.length }}/5
在OU右鍵有一個禁止繼承的選項,勾選後此OU將不會繼承上層OU的群組原則,是否是因為勾選禁止繼承才無法套用上層的群組原則?
因為不太了解版大的意思,只能從字面上判斷...
1.版大希望群組原則Join-S能夠套用到Test的OU,而台北設計會自動套用Join-S?
Ans:將禁止繼承拿掉即可
2.版大希望台北OU在加入到Join-V的群組原則後,會自動也套用Join-S?
Ans:請將OU視為層級,當第一層有套用原則後將往下自動套用到第二層..第三層
3.在Test有PC-A和USER-1卻不能套用Join-Y群組原則,只能把USER-1放到台北OU才會套用原則?
Ans:待測試過再補上
看您的層級,主TEST的OU套用了 Join Y GPO,以下的OU當然是該GPO有作用
如果子OU需要個別的GPO,在子OU項目再行聯結GPO是合理的
因為那是繼承與GPO套用順序的設定標準,
例如:
如果子OU有一個MIS OU,您要他超越Join Y的GPO,回復到Default Domain Policy,則就是在該MIS OU重新連結 Default Domain Policy
如此您去看該MIS OU的GPO層級,會是如此
1.Default Domain Policy
2.Join Y
3.Default Domain Policy
這樣的繼承與層級,才能有效的管理,有些基礎管理透過相同的GPO,特殊管理才透過個別的GPO。
抱歉問題沒說清楚, 問題就如回應ctipde一樣.
從GPO執行順序來看也是正確如我想要的, 只是子OU加群組(Group)就無作用到該子OU的GPO, 子OU加入使用者就可以有效???
Users的圖案並非OU,如何套用GPO,人當然是要加入確認為OU的物件中才能套用到GPO層級。
msit提到:
Users的圖案並非OU
看到您上層有一個Users非OU
內層也一個Users為OU
不確定您的user在哪一個裡面,如果是非OU的那個,必然無法套用GPO
我建立了一個跟Users Container同名叫Users的OU, 放在TEST OU底下.
所有的自建帳號及群組是拉到Users OU, 再分別拉群組到所屬OU(如台北、台中、高雄等..)去套用各別的GPO. 當然Join Y GPO是要套用所有人這是確定有效.
但子OU對應的確無效, 改成將帳號拉到子OU才有套用到該GPO.
怪就怪在拉群組到所屬OU, 對應的GPO無效這點上???
還是不是很了解您的成員物件在哪些項目下,
但是如果是已經在OU下,例如"總務人事會計"該OU,要套用Join V該GPO,那就在"總務人事會計"上面按下右鍵-->連結現有GPO選擇Join V,之後,讓GPO同步,應該就OK
請版大先確認:
TEST OU 下有一 USERS 的 OU <-- 這是真的 OU
DOMAIN 下也有一 USERS,這是 CONTAINER <-- 這是容器,不是 OU,她只能套 DOMAIN LEVEL 的 GPO,CONTRAINER 是不能新增自己的 GPO 的!
除上述以外,我看不懂版大要的是什麼!
L > S > D > OU 是什麼,版大知道嗎? 建議先弄清楚,子 OU 的 GPO 當然只對該 OU 下的物件有效,不屬於該 OU 的物件是不會受該 GPO 影響的!
iThome鐵人賽
看影片追技術