Perteneciente a Windows Server 2008 +/- 6 años: Solo me pregunto, pero cuando creo una política de grupo para dominios, generalmente la creo en un archivo maestro. El tamaño de este Active Directory normalmente es para entidades pequeñas, de menos de diez usuarios, y el control de estos espacios se realiza en gran medida a través de GP. Cuando se agrega una nueva computadora, por ejemplo, el escritorio se modifica/prepara completamente para parecerse a las reglas de Internet, recursos compartidos de archivos y directorios de todos los demás, se agregan bloques de proxy, se agregan/eliminan íconos del escritorio y más.
¿Cuál es la ventaja real de crear múltiples unidades organizativas de médicos de cabecera independientes? ¿Practica esto (es decir, uno crea diecinueve políticas separadas, una para cada regla)? ¿A qué tamaño está el umbral donde se hacen múltiples?
Respuesta1
En mi humilde opinión, gran parte del diseño de políticas de grupo tiene que ver con el sentido común. Si tiene un grupo de configuraciones que se aplican globalmente a todas las computadoras/usuarios de su dominio, solo necesita un único GPO para contenerlas. Si en algún momento un subconjunto de esas configuraciones ya no se aplica a todos o se aplica de manera diferente a diferentes grupos, divídalos en sus propios GPO. Si se trata de un pequeño grupo de configuraciones que giran en torno a una función específica, generalmente trato de nombrar la política para la función en lugar de para las computadoras/usuarios a los que se aplican. Entonces Firewall - No Inbound Blockingy Firewall - Standard Blockingen lugar de Firewall - Dept Ay Firewall - Dept B.
Existe un "costo" de procesamiento por cada GPO que una computadora debe procesar, pero en las computadoras actuales es bastante mínimo. No te vuelvas loco y crea una política para cada configuración que quieras aplicar. Pero no te preocupes por sumar 5 en lugar de 1.