Относительно Windows Server 2008 +/- 6 лет: Просто интересно, но когда я создаю групповую политику для доменов, я обычно создаю ее в одном главном файле. Размер этого Active Directory обычно для небольших, менее десяти пользователей, сущностей, и управление этими пространствами осуществляется в основном через GP. Например, когда добавляется новый компьютер, рабочий стол полностью изменяется/подготавливается, чтобы соответствовать всем другим правилам Интернета, общим папкам файлов и каталогов, добавляются блоки прокси, добавляются/удаляются значки рабочего стола и многое другое.
В чем реальное преимущество создания нескольких отдельных организационных подразделений GP? Практикуете ли вы это (т. е. один создает девятнадцать отдельных политик, по одной для каждого правила)? При каком размере порогового значения вы создаете несколько.
решение1
IMHO, большая часть проектирования групповой политики основана на здравом смысле. Если у вас есть группа настроек, которые применяются глобально ко всем компьютерам/пользователям в вашем домене, вам нужен только один GPO для их хранения. Если в какой-то момент подмножество этих настроек больше не применяется ко всем или применяется по-разному к разным группам, разделите их на собственные GPO. Если это небольшая группа настроек, которые все вращаются вокруг определенной функции, я обычно стараюсь называть политику по функции, а не по компьютерам/пользователям, к которым она применяется. Поэтому Firewall - No Inbound Blockingand Firewall - Standard Blockingвместо Firewall - Dept Aand Firewall - Dept B.
Для каждого GPO, который должен обработать компьютер, существует "стоимость" обработки, но на современных компьютерах она довольно минимальна. Не сходите с ума и не создавайте политику для каждого параметра, который хотите применить. Но не беспокойтесь о добавлении 5 вместо 1.