涉及 Windows Server 2008 +/- 6 年:只是想知道,但当我为域创建组策略时,我通常会将其创建为一个主文件。此 Active Directory 的大小通常适用于少于十个用户的小型实体,并且这些空间的控制主要通过 GP 完成。例如,当添加新计算机时,桌面将被完全修改/准备为类似于所有其他人的 Internet 规则、文件和目录共享、添加代理块、添加/删除桌面图标等。
创建多个单独的 GP 组织单位的真正优势是什么?您是否这样做过(即制定十九个单独的策略,每个规则一个)?创建多个的阈值是多少。
答案1
恕我直言,很多组策略设计都是常识。如果您有一组全局应用于域中所有计算机/用户的设置,则只需要一个 GPO 来保存它们。如果在某个时候这些设置的子集不再适用于所有人或以不同的方式应用于不同的组,请将它们拆分成自己的 GPO。如果它是一小组围绕特定功能展开的设置,我通常会尝试根据该功能而不是它们适用的计算机/用户来命名策略。所以用Firewall - No Inbound Blocking
和Firewall - Standard Blocking
代替Firewall - Dept A
和Firewall - Dept B
。
计算机处理每个 GPO 都会产生处理“成本”,但在当今的计算机上,成本非常低。不要疯狂地为要应用的每个设置创建策略。但不要担心添加 5 个而不是 1 个。