皆さんこんにちは
私はActive Directoryの新機能です。 ADの機能レベルを2003から2008 R2にアップグレードした後(細かい設定が可能なパスワードポリシーを設定するために必要です)、次にOUの再編成を開始します。私は、優れたOU組織がGPO(そしておそらくGPP)の適用を容易にすることを念頭に置いています。しかし、最終的には、[スコープ]タブから)セキュリティグループフィルタリングを使用する方が自然に感じられます。直接OUの代わりに私のポリシーを適用します。
それは良い習慣だと思いますか、それともOUに固執するべきですか?
私たちは20人のユーザーと30〜35台のコンピューターを持つ小規模な組織です。そのため、シンプルなOUツリーを取得しましたが、セキュリティグループでさらに微妙に分割しています。
OUツリーには、最下位レベル以外のオブジェクトは含まれていません。最下位レベルの各OUには、コンピューター、ユーザー、そしてもちろんセキュリティグループが含まれます。これらのセキュリティグループには、同じOUのユーザーとコンピューターが含まれます。
アドバイスをありがとう、オリビエ
影響を受けるオブジェクトのセットをすぐに見やすくなります
追加のセキュリティグループを管理するよりもオーバーヘッドが少ない
追加のセキュリティグループの束を必要としないため、他のDCへのレプリケーションが少なくなり、ユーザートークンが小さくなります(これは、説明したような小規模なインフラストラクチャではあまり問題になりません)。
ほとんどの組織では、ほぼすべてのポリシーを適切に設計されたADのOUレベルで適用できます
より簡単な委任
より柔軟
部門を「またぐ」可能性のある従業員に発生するwhere should I put this object?
問題を解決します
グループにメンバーを追加する機能を委任できます。これにより、ヘルプデスクスタッフは、変更するGPOへのアクセス権を付与せずに、適用されるポリシーを管理できます。
実際、私が扱ってきたほとんどの組織は、ハイブリッドアプローチを採用しています。 GPO OUに基づいて適用できるのは通常、OUに割り当てられており、OUを「横切る」か、またはOUのサブセットにフィルタリングする必要があるものは、セキュリティフィルタリングまたはアイテムレベルのターゲティングを使用します。 。
実際、私は実際に単一のGPOを展開して50台のプリンターをさまざまな部門にマッピングし、ドメインレベルでリンクされ、アイテムレベルのターゲティングを使用していますが、他のほぼすべてのGPOをデフォルトのセキュリティフィルターでOUにリンクされています。
TL; DR-組織にとって意味のあることを行います。
それはすべて、グループポリシーで構成しようとしている環境の複雑さに依存すると思います。オブジェクトは単一のOUにのみ存在でき、オブジェクトは複数のセキュリティグループに存在できることに注意してください。 (あなたのように思われるような)単純な環境では、あなたのポリシーとそれらのポリシーの適用も単純に保つことをお勧めします。