ADでユーザー管理をする時って、
会社であれば、部署ごとのグループを作って、ユーザーを作って、ユーザーをグループに所属(追加)してGPOを適用して・・・となると思うのですが、
例えば、ユーザーが2つ部署などに所属していた場合は、どうするのでしょうか?
ex)
user01が営業部と総務部の両方に所属するような場合。
ADでユーザー管理をする時って、
会社であれば、部署ごとのグループを作って、ユーザーを作って、ユーザーをグループに所属(追加)してGPOを適用して・・・となると思うのですが、
例えば、ユーザーが2つ部署などに所属していた場合は、どうするのでしょうか?
ex)
user01が営業部と総務部の両方に所属するような場合。
チャブーンです。
複数のOUの一部ユーザーに同時にGPOを適用させるには、セキュリティフィルターを使う方法があるにはあります。
このケースで言うと(おそらく同じ階層の別OUとして)営業部と総務部OUが存在する、という前提でしょうから、この場合、営業部OUに兼務のユーザーを所属させ、営業部OUに総務部向けGPOをリンクします。そのままだと営業部ユーザー全員に総務部向けGPOが適用されてしまうので、総務部向けGPOをセキュリティフィルターで「総務部グループのみ適用」になるよう設定を変更します。
こうすると、総務部グループにも所属する(はず)の兼務ユーザーには営業部向けGPOと総務部向けGPOの両方が、その他の営業部ユーザーには営業部向けGPOのみが適用されます。
セキュリティフィルターは本来OU内すべてのオブジェクトに適用されるポリシーを一部に制限する機能で、そのオブジェクトが属するセキュリティグループでフィルタ適用を行うことができます。
この質問への回答やコメントをメールでお知らせします。