Estou experimentando o uso de OUs no Active Directory da minha rede e na política de grupo. No entanto, estou tendo um pequeno problema para descobrir o caminho certo para estruturar minhas UOs, para que eu possa ter departamentos individuais, mas também para que os usuários de gerenciamento de nível superior obtenham todos os direitos dos departamentos mais baixos na hierarquia da organização.
Digamos que eu tenha 4 unidades organizacionais
Cada departamento tem seu próprio mapeamento de unidade, que eu configurei por meio de políticas de grupo individuais nas UOs do departamento. No entanto, a única exceção a essa estrutura é o departamento Executivo . Esses são os líderes da empresa, portanto, gostaria que os usuários dessa unidade organizacional tivessem acesso a TODOS os mapeamentos de unidade, não apenas a uma única unidade. No entanto, como uma UO só pode ter um pai, não sei como configurar isso para que a OU Executiva possa herdar as políticas de mapeamento de unidades de todos os departamentos.
Um pensamento seria ter políticas individuais para cada mapeamento de unidade e, em seguida, simplesmente vincular as políticas de mapeamento de unidade a cada departamento que eu queria ter acesso. Nesse caso, a UO Executiva teria 4 links, um para cada mapeamento de unidade. Embora isso faça sentido até certo ponto, não parece ser a solução mais sustentável. Toda vez que um departamento foi adicionado, ou se políticas adicionais foram concedidas a um departamento existente, eu precisaria duplicar esse link na UO Executiva também.
O outro pensamento que eu tinha seria simplesmente usar grupos de segurança como objetos em cada UO e atribuir usuários departamentais ao grupo de segurança em vez da UO (por exemplo, DOMAIN \ Marketing). No entanto, isso não parece funcionar da maneira que eu esperava. As políticas de grupo só parecem ser aplicadas a um usuário depois de terem sido adicionadas à UO apropriada, e não importa em qual Grupo de segurança elas estejam.
A única outra solução em que consigo pensar é simplesmente mover as políticas de departamento das UOs e, em vez disso, confiar na Filtragem de Segurança para aplicar as diretivas a grupos diferentes. No entanto, isso não parece ser o modo como a maioria dos exemplos e tutoriais lidam com o gerenciamento de seus objetos de política, em vez de favorecer essas UOs departamentais, como eu listei acima.
Qual é a maneira correta de estruturar meus objetos de Diretiva de Grupo para realizar o que eu estou procurando?
A maneira correta de lidar com isso é usar uma única política de grupo para mapas de unidade em toda a sua organização, com o uso das Preferências da Política de Grupo.
Você pode configurar regras de segmentação em cada mapa de unidades de acordo com seu próprio esquema de segurança. Eu provavelmente evitaria usar UOs como regra de segmentação, já que você precisaria de grupos de segurança, não importando o quê.