Relativo ao Windows Server 2008 +/- 6 anos: Só estou pensando, mas quando crio uma política de grupo para domínios, geralmente crio isso em um arquivo mestre. O tamanho deste Active Directory é normalmente para entidades pequenas, com menos de dez usuários, e o controle desses espaços é feito em grande parte por meio do GP. Quando um novo computador é adicionado, por exemplo, a área de trabalho é completamente modificada/preparada para se parecer com as regras da Internet de todos os outros, compartilhamentos de arquivos e diretórios, blocos de proxy são adicionados, ícones da área de trabalho são adicionados/removidos e muito mais.
Qual é a vantagem real de criar múltiplas Unidades Organizacionais GP separadas? Você pratica isso (ou seja, alguém faz dezenove políticas separadas, uma para cada regra)? Qual é o tamanho do limite onde você faz múltiplos.
Responder1
IMHO, Grande parte do design de políticas de grupo envolve bom senso. Se você tiver um grupo de configurações que se aplicam globalmente a todos os computadores/usuários em seu domínio, você só precisará de um único GPO para mantê-los. Se em algum momento um subconjunto dessas configurações não se aplicar mais a todos ou se aplicar de maneira diferente a grupos diferentes, divida-os em seus próprios GPOs. Se for um pequeno grupo de configurações que giram em torno de uma função específica, geralmente tento nomear a política para a função, e não para os computadores/usuários aos quais elas se aplicam. Então Firewall - No Inbound Blockinge Firewall - Standard Blockingem vez de Firewall - Dept Ae Firewall - Dept B.
Há um "custo" de processamento para cada GPO que um computador precisa processar, mas nos computadores atuais ele é mínimo. Não enlouqueça e crie uma política para cada configuração que deseja aplicar. Mas não se preocupe em adicionar 5 em vez de 1.