Active Directory中的计算机/计算机组

Question

我很好奇什么时候一个人应该在Active Directory中使用机器组？它们的常见用途是什么？当机器被多层IT操作洗牌时，我们如何保持它们的最新？如果一个人无法访问与应用策略等相关的用户对象，那么对机器组是否有任何影响。

Answer 1

当发生某些本地系统事件时，机器组非常有用，并且希望这样的事件影响机器外资源，例如GPO在中央位置推送的日志软件安装。如果您有一个正在执行安装的计算机组，并且您将该机器组设置为允许写入日志目录，那么这些软件安装将集中记录。

对于启动脚本也是如此。如果您正在该脚本中进行数据收集，并且希望将文件放在中央的某个位置，那么计算机组是很方便的。

需要记住的是，用户不会从登录到的机器继承任何privs。广告公司认为这是两个独立的实体。这可以是好的，也可以是坏的，取决于你想要做什么，但你确实需要记住它。

Answer 2

我偶尔使用一组机器，用于应用组策略。使用一些更高级的策略，仅仅基于OU的应用是行不通的。我有策略，这应该是一组服务器，大约有40个策略应用于它们。但是其中的一些策略只适用于一个子集，在某些情况下，这些子集是重叠的，因此，纯粹在OU上这样做会导致这样一个丑陋的OU结构(我在客户端网络上的生产中见过这种情况)。

• foo
• foo\policya
• foo\政策b
• foo\policyc
• foo\policya+policyb
• foo\policyb+policyc
• foo\policya+policyc
• foo\policya+policyb+policyc

它是更清洁的，只是把政策放在顶端，只让政策只适用于特定的群体，而团队成员包括政策应该适用的机器。

当我看到那些拥有极其丑陋的OU结构的人，因为他们试图使政策发挥作用时，我真的感到很困扰。微软称科技集团为策略，而非OU策略是有原因的。

Answer 3

老实说，我在AD中发现的用于计算机组的唯一用途是限制应用于工作站的组策略的范围。Microsofts最佳实践建议您应该将策略应用于OU，然后将工作站放置到所述OU中。但我经常发现这不太理想..。组允许我对其进行更多的细化，这样我就可以在特定的机器上设置角色。