Separação de política de grupo: opiniões [encerradas]

1

Pertence ao Windows Server 2008 +/- 6 anos: Estou apenas imaginando, mas quando eu crio uma política de grupo para domínios, normalmente eu o crio para um arquivo mestre. O tamanho deste Active Directory é normalmente para entidades pequenas, com menos de dez usuários, e o controle desses espaços é feito em grande parte através do GP. Quando um novo computador é adicionado, por exemplo, a área de trabalho é completamente modificada / preparada para se assemelhar às regras da Internet, compartilhamentos de arquivos e diretórios, blocos de proxy adicionados, ícones da área de trabalho adicionados / removidos e muito mais.

Qual é a vantagem real para a criação de várias Unidades Organizacionais GP separadas? Você pratica isso (ou seja, um faz dezenove políticas separadas, uma para cada regra)? Em que tamanho é o limite onde você faz vários.

    
por delente 28.09.2015 / 08:24

1 resposta

1

IMHO, muito design de política de grupo é sobre o senso comum. Se você tiver um grupo de configurações que se aplicam globalmente a todos os computadores / usuários em seu domínio, você precisará apenas de um único GPO para mantê-las. Se, em algum momento, um subconjunto dessas configurações não se aplicar mais a todos ou se aplicar de maneira diferente a grupos diferentes, divida-as em seus próprios GPOs. Se for um pequeno grupo de configurações que giram em torno de uma função específica, geralmente tento nomear a política para a função e não para os computadores / usuários aos quais se aplicam. Então Firewall - No Inbound Blocking e Firewall - Standard Blocking em vez de Firewall - Dept A e Firewall - Dept B .

Existe um "custo" de processamento para cada GPO que um computador precisa processar, mas nos computadores de hoje é muito pequeno. Não enlouqueça e crie uma política para cada configuração que você deseja aplicar. Mas não se preocupe em adicionar 5 em vez de 1.

    
por 28.09.2015 / 09:11