所以基本上,我们有十几个或更多的组策略,这使得应用/更改/添加新策略的过程变得非常困难。
我想要做的是将所有策略合并在一起,最终形成两个策略——一个用于台式机,另一个用于笔记本电脑。
是否有一个简单易行的方法将所有这些政策合并在一起?
该服务器正在运行 SBS 2003。
谢谢!
答案1
没有现成的工具可以满足您的需求,我也不知道有任何第三方工具可以提供帮助。我认为您可能只能手动构建包含所有所需设置的 GPO。
显然,通过将所有这些设置组合在一起,您将限制自己仅应用精细化的能力一些GPO 中的设置。我确信在开始构建新的 GPO 之前,您已经考虑过所需的精细程度。
编辑:
制定 GPO 的设计权衡如下:是将大量设置放入单个 GPO,还是将设置分散到多个 GPO 中。单个 GPO 的优势在于客户端的处理速度更快(尽管在 LAN 上,除非您有很多GPO) 以及管理界面中需要处理的“东西”更少。
但是,如果将所有内容都堆放到几个 GPO 中,则可能会面临风险,因为以后您可能只想将部分设置应用于部分计算机或用户。软件安装策略具有在子 GPO 级别按安全组进行过滤的机制,但对于 GPO 的所有其他部分,没有在子 GPO 级别有选择地过滤应用程序的机制。您最终必须创建“反 GPO”来“撤消”大型单片 GPO 中的设置,或者手动将单片 GPO 拆分为 GPO,然后按安全组(或 WMI 过滤器,或通过链接不同的 OU)进行过滤。
如果您对组策略的使用不是很熟练,那么这可能不是什么大问题。我经常有一个“域范围的用户和计算机设置”GPO,其中包含我知道将始终普遍适用的基本设置。不过,我会小心不要将以后可能不需要通用的设置放入该 GPO 中,并为那些我以后可能想要为部分用户或计算机打开/关闭的设置创建专用 GPO。