Os GPOs só se aplicam a objetos de usuários e objetos de computador.
Você precisará aplicar o GPO à UO Usuários e usar a filtragem do grupo de segurança para garantir que ele se aplique somente aos usuários do grupo RedTeam.
Atualmente, estou tentando projetar o design da UO e do Grupo para uma nova implantação do AD. Em primeiro lugar, a taxonomia é difícil. Como primeira tentativa, estamos tentando manter todos os objetos User juntos em OU=Users e algumas sub-UO abaixo disso.
Temos várias UOs de equipe e subequipe e algumas OUs de conjunto de ferramentas, que agrupam por quais equipes funcionais as pessoas estão, e também por quais ferramentas elas precisam acessar.
Gostaríamos de manter os usuários na UO Usuários, e cada UO da equipe contém um objeto Grupo de segurança, ao qual podemos adicionar usuários quando eles ingressam em equipes ou precisam de acesso ao conjunto de ferramentas.
Veja como o AD é apresentado:
Domain Root
|
|
\--OU=Users
| |
| \--OU=Staff
| | \-Username=Tom.OConnor, MemberOf=RedTeam
| |
| \--OU=Contractors
| |
| \--OU=Visitors
|
|
\--OU=Teams
| |
| \--OU=RedTeam
| | \-GroupName=RedTeam
| |
| \--OU=BlueTeam
| | \-GroupName=BlueTeam
| |
| |
| \--OU=GreenTeam
| | \-GroupName=GreenTeam
|
|
|
\--OU=Toolsets
| |
| \--OU=DevTools
| | \-GroupName=DevTool_CITool
| |
| |
| \--OU=InternetAccess
| | \-GroupName=InternetAccess
O usuário Tom.OConnor está no grupo RedTeam.
Um GPO é aplicado a OU=RedTeam,OU=Teams .
O assistente de resultados do GPO mostra que esse GPO não foi aplicado ao usuário Tom.OConnor .
Por outro lado, um GPO aplicado a OU=Staff,OU=Users é aplicado ao usuário Tom.OConnor .
Então, é possível aplicar um GPO a uma UO, contendo um grupo, e fazer com que o GPO goteje posteriormente e seja aplicado a todos os membros do grupo?