我有一些關於GPO委派的問題, 爬了文後反而更亂, 求指教
如上圖, 我新建一個群組原則於Test的OU中, 我是知道例如電腦設定的話要把想生效該群組原則的電腦也拉到Test的OU中才會生效, 使用者設定應該也是一樣。但若我想將Test中的這個群組原則生效於別的OU中的電腦或使用者, 這是一個可行的操作嗎? 因為我總不成每新建一個群組原則就把相應的物件拖到該OU下吧?
若不行的話, 那我真的不太明白右下方的安全性過濾和相同頁面的"委任"是作什麼用途? 是只過濾相同OU下的使用者和電腦嗎?
針對這一個問題, 我也嘗試過直接把群組原則連結於網域下, 這代表所有OU中的電腦和使用者都已經在這個原則的範圍, 再設定安全性過濾等選項以達成目的, 但這也風險很高, 一不小心設定錯了就會影響到其他電腦和使用者
有沒有師兄可解答我的疑問? 先謝謝
已邀請的邦友 {{ invite_list.length }}/5
GPO想連結什麼OU,想連結幾個OU都隨便你設定的,
你想在OU-A生效就連接它,想在OU-B生效就再連結它
再來網域和OU都有繼承屬性,所以網域的GPO會往下繼承給OU,
而OU裡面如果還有OU的話,就會繼續再繼承下去,
每個OU都可以套很多個GPO端看你如何規劃,
例如這個名稱test的OU,裡面只有連結2個GPO,
但是實際上它繼承了很多上一層OU給的GPO
最底下的 "密碼原則" 跟 "群組原則防火牆" 就是從網域最初那邊繼承的GPO
最優先繼承順序的往往是放在最後一個
至於委派在做什麼的? 就是在設定安全性篩選用的,
像這個GPO是用來套用BitLocker的,因為它需要用到TPM模組,
大部分都只有筆電有支援,所以我只讓它針對筆電的群組來生效,
能用來做識別的東西有很多,
OU,群組,強制繼承,拒絕繼承,單體物件,這些都可以用來做GPO的套用判斷
如果要更細,就要換到WMI篩選,在那裡面可以做到更多GPO的套用判斷,
例如:在一個OU內有Win 10與Win 7的OS,只有OS是Windows 7才會被套用GPO
又或者只有在某個CPU型號的電腦,才會被套用這個GPO,
AD易用難精,希望有幫助到你
非常感謝你的回覆, 確實解答了我一些認知上的誤區
不好意思我還有最後一個問題, 以你的bit locker的GPO為例, 於其委派的NB Computers是一個群組吧? 該群組是存在於bit locker所連結的OU內嗎?
為什麼會這麼問是因為我試過連結一個GPO到一個OU, 因該GPO是一個電腦設定只對電腦生效, 安全性篩選已把一部電腦加入, 也在委任給了該電腦"讀取"和"應用GPO"的權限, 但我在該電腦gpupdate /force後仍然沒有效果, 該電腦是存放於另一個OU內的, 所以就想存放電腦或用戶甚至群組的位置, 對於GPO的生效是否會有影響?
NB Computers群組放的是電腦物件,電腦要同時存在於bit locker套用的OU內沒錯(因為這樣才會去讀取套用),第一層決定要不要讀取的是OU跟GPO的連結,再來才是安全性篩選,最後是WMI篩選
大致明白了, 感謝你
iThome鐵人賽
看影片追技術