Mesclando políticas de grupo

4

Então, basicamente, temos uma dúzia ou mais de políticas de grupo que tornam o processo de aplicar / alterar / adicionar novas políticas uma PITA.

O que eu quero fazer é mesclar todas as políticas juntas e, basicamente, acabar tendo dois - um para desktops e outro para laptops.

Existe uma maneira fácil e simples de mesclar todas essas políticas?

O servidor está executando o SBS 2003.

Obrigado!

    
por emtunc 12.07.2010 / 18:29

1 resposta

2

Não há uma ferramenta pronta para uso para fazer o que você quer, nem estou ciente de quaisquer ferramentas de terceiros que possam ajudar. Eu acho que você provavelmente está preso com a construção manual de GPOs que contêm todas as configurações desejadas.

Obviamente, ao combinar todas essas configurações, você está limitando sua capacidade de ser granular ao aplicar apenas algumas configurações no GPO. Eu tenho certeza que você pensou em seu nível desejado de granularidade antes de começar a construir os novos GPOs.

Editar:

O compromisso de criação de GPOs é assim: você coloca muitas configurações em um único GPO ou espalha as configurações em vários GPOs. A vantagem de um único GPO é o processamento mais rápido no cliente (embora em uma LAN isso não seja perceptível a menos que você tenha um LOT de GPOs) e menos "coisas" para percorrer na interface de gerenciamento .

Se você empilhar tudo em alguns GPOs, no entanto, corre o risco de, posteriormente, desejar aplicar apenas um subconjunto das configurações a um subconjunto de computadores ou usuários. A política de instalação de software tem um mecanismo para filtrar por grupo de segurança em um nível de sub-GPO, mas para todas as outras partes de um GPO não há mecanismo para filtrar seletivamente o aplicativo em um nível de sub-GPO. Você acaba tendo que criar "anti-GPOs" para "desfazer" as configurações nos grandes GPOs monolíticos ou dividir os GPOs monolíticos manualmente em GPOs que você filtra por grupo de segurança (ou filtro WMI ou vinculando em diferentes UOs).

Provavelmente não é um grande problema se você não está sendo muito sofisticado com o uso da Política de Grupo. Muitas vezes, tenho um GPO "Configurações de usuário e computador em todo o domínio" com configurações básicas que sempre aplicarei universalmente. No entanto, tenho o cuidado de não colocar configurações nesse GPO que possam acabar não sendo universais mais tarde e criar GPOs dedicados para as configurações que eu possa querer ativar / desativar para subconjuntos de usuários ou computadores posteriormente.

    
por 16.07.2010 / 15:53