[Aviso: esta questão foi baseada em impressões incorretas. Tome com um pequeno grão de sal muito , ou sem sal.]
Como um administrador do Linux que está, de má vontade, sendo empurrado para a administração do Windows depois de uma década sem tocar nos Windows Servers, estou um pouco intrigado com algumas coisas sobre a Diretiva de Grupo nos dias de hoje. caminho de volta quando.
Ainda me lembro dos dias em que havia uma guia de diretiva de grupo em determinados objetos no ADUC (como no Windows Server 2003), como UOs (se bem me lembro), mas parece que agora ADUC e Diretiva de Grupo foram segregadas em diferentes consoles de gerenciamento e desconectados, com o GPMC sendo o local para os GPOs agora. Tenho certeza de que há ótimas razões para isso. No entanto, tenho algumas perguntas agora.
Por que parece que a estrutura e os nomes das UOs e a associação de GPOs com objetos AD reais no ADUC são completamente segregados de suas contrapartes GPMC? Parece que o GP Admin deve estar atento para imitar as alterações feitas na nomenclatura ou estrutura das UOs no ADUC no GPMC, mas posso ver isso inevitavelmente dando errado, pois erros e descuidos inevitavelmente acontecerão de tempos em tempos.
Obviamente, um Administrador de TI deve ser inteligente e vigilante o suficiente para garantir que não haja inconsistências, mas como é que o ADUC e o GPMC são realmente melhorados tecnologicamente ? Parece que a automação e as verificações de validação correspondentes para a consistência entre os dois devem ser não apenas possíveis, mas também triviais. De volta ao Windows Server 2003, parece que os GPOs estavam diretamente associados aos objetos do AD, portanto, os GPOs seguiriam os objetos, independentemente do que você fizesse com eles; enquanto eu li em algum lugar que agora GPOs "não pertencem a um objeto AD", em termos de associação direta e ligação. Qual é a razão por trás dessa mudança?
Mas talvez eu tenha acabado de ler a documentação errada e interpretar mal a situação [Editar: Sim ].
Obrigado por explicar pacientemente isso para um administrador do Linux.
As UOs que você vê no GPMC são, na verdade, as mesmas UOs que você vê no ADUC. Renomeie em um, e ele será renomeado no outro (replicação pendente, se não estiver conectado ao mesmo DC) após atualizar a exibição.
Em suma, eles ainda estão ligados da mesma forma como sempre foram. Você simplesmente não vê nenhum objeto filho que não seja do GPO no GPMC porque o aplicativo opta por não exibi-los.
Since the Group Policy OUs are not tied directly to the OUs in ADUC
As políticas de grupo são muito integradas ao AD e vinculadas a UOs.
\example.org\SYSVOL\example.org\Policies ) CN=Policies,CN=System,DC=example,DC=org gPLink de uma determinada UO.
Get-ADObject 'OU=Domain Controllers,DC=example,DC=org' -Properties DistinguishedName, gpLink
Muitas de suas perguntas parecem ser sobre falta de correspondência entre as duas ferramentas. É possível que as duas ferramentas fiquem desatualizadas se você tiver ambas abertas. Ou talvez você tenha se conectado a um controlador de domínio diferente de alguma forma e a replicação do que você salvou não foi concluída. Mas o GPMC certamente está armazenando informações sobre políticas diretamente no AD. Se você forçar uma atualização ou esperar alguns minutos, as alterações feitas devem ser sincronizadas.
Uma coisa a ser observada é que, no GPMC, você não verá os contêineres Computadores ou Usuários padrão, porque eles são Contêineres e não UOs. Os GPOs não podem ser vinculados a esses contêineres. Os GPOs vinculados na raiz do domínio e os GPOs vinculados no nível do site serão aplicados aos objetos nesses dois contêineres padrão.