與 Windows Server 2008 +/- 6 年相關:只是想知道,但是當我為網域建立群組原則時,我通常會將其建立到一個主文件中。此 Active Directory 的大小通常適用於少於 10 個使用者的小型實體,並且控制這些空間主要透過 GP 完成。例如,當新增電腦時,桌面將被完全修改/準備以類似於所有其他電腦的 Internet 規則、檔案和目錄共用、新增代理區塊、新增/刪除桌面圖示等等。
創建多個獨立的 GP 組織單位的真正優勢是什麼?您是否實踐過這一點(即制定十九項單獨的政策,每項規則一項)?進行倍數的閾值是多少。
答案1
恕我直言,很多組策略設計都是關於常識的。如果您有一組全域應用到網域中所有電腦/使用者的設置,則只需要一個 GPO 來保存它們。如果在某些時候這些設定的子集不再適用於所有人或以不同的方式適用於不同的群組,請將它們拆分為自己的 GPO。如果是一小組全部圍繞特定功能的設置,我通常會嘗試為該功能命名策略,而不是為它們所應用的電腦/使用者命名。所以Firewall - No Inbound Blocking和Firewall - Standard Blocking代替Firewall - Dept A和Firewall - Dept B。
電腦必須處理的每個 GPO 都有一個處理“成本”,但在當今的電腦上,該成本非常低。不要瘋狂地為您想要應用的每個設定創建一個策略。但不必擔心添加 5 而不是 1。