Как объекты GP и объекты AD связаны между ADUC и GPMC?
[Отказ от ответственности: этот вопрос основан на ошибочных впечатлениях. Возьмите с собой очень крупинку соли или вообще не используйте соль. ]
Как администратор Linux, которого неохотно возвращают к администрированию Windows после почти десятилетнего отсутствия прикасания к серверам Windows, я немного озадачен некоторыми вещами о групповой политике в наши дни по сравнению с тем, как это было раньше. сделано давно когда.
Я до сих пор помню дни, когда была вкладка групповой политики для определенных объектов в ADUC (скажем, в Windows Server 2003), таких как OU (если я правильно помню), но похоже, что теперь ADUC и групповая политика были разделены в разные консоли управления и отключены, и теперь GPMC является местом для GPO. Я уверен, что для этого есть веские причины. Однако сейчас у меня есть несколько вопросов.
Почему кажется, что структура и названия OU, а связь GPO с реальными объектами AD в ADUC полностью отделена от их аналогов GPMC? Похоже, что администратор GP должен быть бдительным, чтобы имитировать любые изменения, внесенные в именование или структуру OU в ADUC в GPMC, но я вижу, что это неизбежно идет наперекосяк, поскольку время от времени неизбежно будут происходить ошибки и упущения.
Очевидно, что ИТ-администратор должен быть достаточно умным и бдительным, чтобы убедиться в отсутствии несоответствий, но как разделение ADUC и GPMC является фактическим улучшением технологически говоря? Кажется, что автоматизация и проверка соответствия между ними должны быть не только возможными, но и тривиальными. Еще в Windows Server 2003 казалось, что объекты групповой политики были напрямую связаны с самими объектами AD, поэтому объекты групповой политики будут следовать за объектами независимо от того, что вы с ними сделали; тогда как я где-то читал, что теперь GPO «не принадлежат объекту AD» с точки зрения прямой ассоциации и связи. В чем причина этого изменения?
Но, возможно, я только что прочитал неправильную документацию и совершенно неправильно понял ситуацию [Edit: Да ].
Спасибо за терпеливое объяснение этого Linux Администратор
OU, которые вы видите в GPMC, на самом деле те же самые OU, которые вы видите в ADUC. Переименуйте в одном, и он будет переименован в другом (ожидающая репликация, если не подключен к тому же DC) после обновления представления.
Короче говоря, они все еще связаны так же, как и всегда. Вы просто не видите в GPMC дочерних объектов, не являющихся объектами групповой политики, потому что приложение предпочитает не отображать их.
Поскольку подразделения групповой политики не привязаны напрямую к подразделениям в ADUC
Групповые политики очень тесно интегрированы в AD и связаны с подразделениями.
- Физические файлы для группы политики хранятся в SYSVOL
\\ example.org \ SYSVOL \ example.org \ Policies) - Основное место, где хранятся политики, находится в
CN = Policies, CN = System, DC = пример, DC = orgконтейнер - Политики связаны с OU через свойство
gPLinkданного OU.- См.
Get-ADObject 'OU = Контроллеры домена, DC = example, DC = org' -Properties DistinguishedName, gpLink
- См.
Многие ваши вопросы, похоже, связаны с несовпадением двух инструментов. Возможно, два инструмента устарели, если у вас оба открыты. Или, возможно, вы каким-то образом подключились к другому контроллеру домена, и репликация того, что вы сохранили, не завершена. Но GPMC, безусловно, хранит информацию о политиках непосредственно в AD. Если принудительно выполнить обновление или подождать несколько минут, внесенные вами изменения должны синхронизироваться.
Следует отметить, что в консоли управления групповыми политиками вы не увидите контейнеры по умолчанию Компьютеры или Пользователи , потому что они являются контейнерами, а не подразделениями. . GPO нельзя связать с этими контейнерами. Объекты групповой политики, связанные в корне домена, и объекты групповой политики, связанные на уровне сайта, будут применяться к объектам в этих двух контейнерах по умолчанию.