Gyakorlati tippek a GPO-k és az OU szervezésének egyszerűsítésére

A Windows kiszolgálók és a PC-k egyik legerősebb központi adminisztrációs feladata a csoportházirend-objektumok (GPO) telepítése. Valójában annyira azt állíthatom, hogy a csoportházirend az egyik legjobb megoldás, amelyet a Microsoft valaha is nyújtott.

Bár nagyon szeretem a GPO-kat és azok rugalmasságát a felhasználói és a számítógépes beállítások központi konfigurálásában, könnyen ellentmondhatunk az ütköző szabályokkal és a túlságosan bonyolult implementációkkal. Biztos vagyok benne, hogy mindannyian láttuk a tartományokat, amelyek nagyon csúnya konfigurációjú GPO-kat tartalmaznak, és ne kezdjük még a biztonsági csoportokat sem.

Az Active Directory gyakorlatomban oda-vissza megyek annak meghatározásában, hogy a GPO-k és szervezeti egységek mire kell menniük. Gyakran nem csinálok háromnál több csoportházirend-objektumot, amely sorozatban áramlik az OU-kkal. Sorozatokon egy szülő OU-ban egy GPO-t, egy gyermek OU-ban egy másik GPO-t értek, például az A ábrán, ahol a zöld GPO vonatkozik a szülő OU-ra, a piros GPO pedig a gyermek OU-ra (valamint a zöld GPO-ra). A ábra

Kattintson a képre a nagyításhoz.

Az OU-k nagyszerűek a különféle Active Directory objektumok granulált osztályozására, bár nem igazán van egy hihetetlen kérdés, amely nagyon mélyre (ésszerűen) megy a konfiguráció szintjére vonatkozóan. Másrészről a GPO-k nem jó jelöltek az egyes OU-khoz több alkalmazáshoz, mivel a fa mélyül.

Túl bonyolult a konfigurációs szabályokat szem előtt tartani a tervezés és a gyors gondolkodás szempontjából. Néhány tipp a GPO szervezésének egyszerűsítéséhez:

  • Használja ki a GPO-szűrést biztonsági csoportonként, hogy több GPO-t hozzon létre egy magasabb OU-nál, és nem több GPO-t mélyebb OU-kban
  • Soha ne adjon hozzá külön felhasználókat vagy számítógépes fiókokat (mindig használja a fenti csoportos trükköt)
  • Egyesítse a felhasználói és a számítógép beállításait szerep szerint, és ne különálló csoportházirend-objektumokkal
  • Önállóan dokumentálja a csoportházirend-objektumok nevét, hogy intuitív legyen a szerephez és a helyhez
  • Használjon következetes GPO-nómenklatúrát, ideértve a GPO-k átnevezését is
  • Keresse meg azokat a GPO-kat, amelyeknek van egy beállítása, és konszolidálja azokat más GPO-kra

A GPO-k nagyszerűek, de az eszközök szervezését és átgondolását igénylik. Ezek a tippek általános iránymutatások, és bárki, aki pontozást szerez, megjegyzi, hogy a személyi laboratóriumomban lévő képernyőképem nem pontosan követi ezeket az ajánlásokat. Jó egy laboratórium számára, de a gyártásban ez egy másik történet.

Milyen trükköket és tippeket alkalmaz a GPO-khoz és az OU-khoz? Mennyire engedi szabadon őket az OU struktúrájába? Ossza meg stratégiáit.

© Copyright 2021 | mobilegn.com