Bezogen auf Windows Server 2008 +/- 6 Jahre: Ich frage mich nur, aber wenn ich Gruppenrichtlinien für Domänen erstelle, erstelle ich diese normalerweise in einer Masterdatei. Die Größe dieses Active Directory ist normalerweise für kleine Einheiten mit weniger als zehn Benutzern ausgelegt, und die Steuerung dieser Bereiche erfolgt größtenteils über GP. Wenn beispielsweise ein neuer Computer hinzugefügt wird, wird der Desktop vollständig geändert/vorbereitet, um den Internetregeln aller anderen zu entsprechen, Datei- und Verzeichnisfreigaben, Proxy-Blöcke werden hinzugefügt, Desktopsymbole werden hinzugefügt/entfernt und mehr.
Was ist der wirkliche Vorteil bei der Erstellung mehrerer separater GP-Organisationseinheiten? Üben Sie dies in der Praxis (d. h. man erstellt neunzehn separate Richtlinien, eine für jede Regel)? Ab welcher Größe erstellen Sie mehrere?
Antwort1
Meiner bescheidenen Meinung nach ist bei der Gestaltung von Gruppenrichtlinien viel gesunder Menschenverstand von Bedeutung. Wenn Sie eine Gruppe von Einstellungen haben, die global für alle Computer/Benutzer in Ihrer Domäne gelten, benötigen Sie nur ein einziges GPO, um sie zu speichern. Wenn irgendwann eine Teilmenge dieser Einstellungen nicht mehr für alle gilt oder für verschiedene Gruppen unterschiedlich gilt, teilen Sie sie in eigene GPOs auf. Wenn es sich um eine kleine Gruppe von Einstellungen handelt, die sich alle um eine bestimmte Funktion drehen, versuche ich im Allgemeinen, die Richtlinie nach der Funktion und nicht nach den Computern/Benutzern zu benennen, für die sie gelten. Also Firewall - No Inbound Blockingund Firewall - Standard Blockingstatt Firewall - Dept Aund Firewall - Dept B.
Für jedes GPO, das ein Computer verarbeiten muss, fallen Verarbeitungskosten an, die auf heutigen Computern jedoch ziemlich gering sind. Übertreiben Sie es nicht und erstellen Sie für jede Einstellung, die Sie anwenden möchten, eine Richtlinie. Aber machen Sie sich keine Sorgen, wenn Sie 5 statt 1 hinzufügen.