构造OU以正确建模组织层次结构

Question

我正在尝试在我的网络的Active和组策略中使用OU。然而，我很难找到正确的方法来构造我的on，这样我就可以有单独的部门，但也有更高级别的管理用户获得组织层次中较低层次部门的所有权限。

假设我有4个组织单位

• 销售量
• 市场营销
• 会计核算
• 执行员

每个部门都有自己的驱动器映射，这是我通过部门OU中的单个组策略建立的。然而，这一结构的一个例外是行政部门。这些都是公司的领导者，所以我希望这个OU中的用户能够访问所有的驱动器映射，而不仅仅是一个驱动器。但是，由于OU只能有一个父级，所以我不知道如何设置它，以便执行OU可以从所有部门继承驱动器映射策略。

其中一个想法是为每个驱动器映射都有单独的策略，然后简单地将驱动器映射策略链接到我想要访问的每个部门。在这种情况下，执行OU将有4个链接，每个驱动器映射一个。虽然这在某种程度上是有意义的，但听起来并不像是最可维护的解决方案。每次增加一个部门，或者如果向现有部门授予额外的政策，我也需要在执行OU中复制这个链接。

另一个想法是简单地使用Security作为每个OU中的对象，并将部门用户分配给安全组而不是OU (例如域\营销)。然而，这似乎不像我所期望的那样。组策略似乎只在用户被添加到适当的OU之后才会应用到它们，而且它们在哪个安全组中并不重要。

我唯一能想到的其他解决方案就是简单地将部门策略移出of，而依赖安全过滤将策略应用于不同的组。然而，这似乎并不是大多数示例和教程管理其策略对象的方式，而是像我上面所列出的那样倾向于这些部门OU。

对我来说，构造组策略对象以完成我所追求的目标的正确方式是什么？

Answer 1

正确的处理方法是在整个组织中使用单个组策略来映射驱动器，并使用组策略首选项。

然后，您可以根据您自己的安全方案在每个驱动器地图上设置目标规则。我可能会避免使用OU作为目标规则，因为无论如何您都需要安全组。