Bonjour,
Les politiques restreintes de groupes ne fusionneront pas… Je veux dire, si vous créez plusieurs GPOs contenant les arrangements restreints de groupes pour commander le même groupe local, le dernier GPO appliqué recouvre ce que les précédents ont fait.
En fait, une force restreinte de politique de groupe le contenu d'un groupe local à assortir exactement ce qui est explicitement fait dans le GPO, rien plus, rien moins.
Ainsi si vous voulez vraiment employer les groupes restreints pour atteindre votre but vous devez s'assurer que pour un groupe local spécifique seulement UN GPO s'applique sur chaque serveur et que force de GPO le contenu entier du groupe local.
Vous pouvez employer plusieurs groupes restreints GPO pour commander plusieurs groupes locaux jusqu'à ce que 2 de ces GPOs n'agissent jamais un le même groupe local.
Si je comprenais bien votre cas que vous voulez que quelques groupes globaux spécifiques soient membre de dépendre de groupe local d'Admin de l'endroit, l'autre groupe global spécifique si le serveur est le membre du groupe d'ordinateurs « de serveurs de DB »…
À mon avis ceci semble pour obtenir par une manière raisonnable using les groupes restreints, parce que vous seriez force pour avoir un GPO pour chaque combinaison d'endroit et de classe de serveur.
Et plus vous classes de serveur avez moins qu'il est possible parce que le nombre de combinaisons est exponentiel.
À mon avis, scripting seulement peut te donner une bonne solution. Imaginons cela :
1) vous avez un premier GPO contenir un manuscrit de démarrage qui enlèvent tous les groupes globaux dans les « administrateurs » et ajoutent le groupe global d'admins de corporation seulement.
2) vous avez des autres GPO contenir un manuscrit de démarrage qui ajoutent le groupe global d'admins de ville dans dépendre de groupe local de « administrateurs » de l'emplacement d'ANNONCE (exemple : un GPO par emplacement d'ANNONCE ou seulement un GPO mais avec dépendre différemment de manuscrit agissant de l'emplacement d'ANNONCE).
3) vous avez un troisième GPO qui ajoutent le groupe global « d'admins de DB » au groupe local de « administrateurs ».
4) vous avez un quatrième GPO qui ajoutent le groupe global « d'admins de Web » au groupe local de « administrateurs ».
Alors vous faites des choses sur la priorité de GPO de sorte que le premier GPO soit appliqué au début.
Pour le troisième GPO vous employez le groupe filtrant pour appliquer GPO seulement si le serveur est membre des « serveurs de DB »
Pour le quatrième GPO vous employez le groupe filtrant pour appliquer GPO seulement si le serveur est membre des « web server »
L'ordre de application entre le 2ème, 3ème et 4ème GPOs n'est pas important parce que ces manuscrits ajoutent seulement de nouveaux membres dans des « administrateurs » et n'enlèvent rien
Une autre manière est d'avoir un manuscrit unique qui fait des essais des adhésions et agit dépendre différemment de l'adhésion de serveur. Ceci simplifie la structure de GPO mais fait le manuscrit plus compliqué.
Le problème si vous employez scripting est que « les manuscrits de démarrage » fonctionnent seulement une fois au démarrage de serveur. Ainsi les changements des groupes de « administrateurs » seulement s'appliqueront ou réappliqueront à la remise à zéro.
Avoir un beau jour.
