OU/Group/Group Policy组织单元、组和组策略

Builtin这些是所谓的容器，用来存放各种对象。Exchange 中的Organization在AD中就是一个容器。

OU主要和组策略搭配使用，是策略能影响的范围，类似SCCM中的collection。

Group嵌套用户，实现AD权限分发。

创建两个OU，实现生产和测试环境的隔离。

按machine和account细分。

一个想法是基于role创建group，基于单个功能创建group，把功能性group嵌套到基于role的group。

IT_operator是基于role的group，domain_join和client_admin是基于功能性的group。

IT_operator嵌套了功能性的几个group。

在大型架构中，某个职位来了新人，可以直接加到基于role的group，不必一个个加权限而且方便管理。

用AD自带的delegation给domain_join添加加客户端入域的权限

这儿有一个问题是默认加入域的电脑存放在computers容器里面，这里需要存放在指定的位置

需要用到重定向功能

redircmp后面跟的是LDAP名称，最后两项就是把域名拆开，dc=什么，然后ou从小到大反推，不是ou的最前面用cn

另外还区别大小写

看到报错是level有问题

在dsa.msc中提升至2008

重定向默认加入域的电脑存放的container成功

其实普通的用户也是可以加电脑入域的，只是数量有限，可以使用管理工具中的adsi edit修改架构来限制

第一次打开会提示先connect一个实例

在域上右键选择属性，将ms-DS-MachineAccountQuota修改为0普通用户就没有权限加电脑入域了。当然不会影响管理员加域的操作。

把client_admin直接加入domain admin权限过大，用restricted group实现

管理工具中打开group policy management工具

在Machine右键新建并link，新建的policy并不马上发现作用直到link到OU上。

依次展开到restricted groups，新建，将client_admin添加到administrators

若用到members，则策略会强制组内成员即有这些指定的，另外添加的会被组策略删除掉。

有一个另外是administrator永远属于administrators组，不受此影响。

创建好策略后直接关掉相应界面就可以，客户端会定时刷时。测试环境下gpupdate /force加速刷新。