Практика в области проектирования GPO - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)

- - Практика в области проектирования GPO (http://forum.oszone.net/showthread.php?t=351360)

Практика в области проектирования GPO

Всем привет, я начинающий админ, который имеет мало практического опыта. Планирую выполнить несколько настроек безопасности на серверах и рабочих станциях пользователей в домене через GPO (например, отключение WDigest, отключение SeDebugPrivilege, отключение DCC, RunAsPPL и тому подобное). Стоит ли бить все это не отдельные GPO или лучше объеденить все в одно?

В чем преимущество разделения мер на GPO, а в чем преимущество сбора их в одну GPO? Например, если я все внесу в одно GPO, и нужно будет настроить исключение для какой-то меры для определенного ПК, я не смогу это сделать? Только если отключить разом все меры в таком случае через запрет применения GPO для конкретного объекта? С ярлыками и другими GPP более менее понятно, ввиду наличия нацеливания, а вот с обычными политиками не совсем.

Также интересует установка ПО, на данный момент у меня 2 GPO (x86 и x64) c настроенными WMI фильтрами, но количество софта, который нужно ставить автоматом растет. Стоит ли бить на отдельные GPO (тогда получится вообще для каждого софта по 2 GPO учитывая разрядности) или так и оставить две политики?

Насколько трудно админам разбираться / дебажить политики, когда их более 100 в домене? Не вызовет ли это значительные задержки при загрузке ПК и входе пользователя? Не вызовет ли это чрезмерную нагрузку на сеть при репликации между DC (их в сети 7, есть сайты, у которых медленные WAN каналы).

Цитата:

Цитата NordeN96

Стоит ли бить все это не отдельные GPO или лучше объеденить все в одно? »

Бить и только бить.

Цитата:

Цитата NordeN96

В чем преимущество разделения мер на GPO, а в чем преимущество сбора их в одну GPO? »

1. Гибкость и понятливость где что настроено исходя из имени конкретной GPO. Проще искать косяки или неработающие по каким-то причинам функции.
2. Одна GPO в теории быстрее применяется, чем множество GPO. Отсутствие перекрестных политик (когда в одной политике и в другой заданы противоположные настройки к одному объекту).

Цитата:

Цитата NordeN96

Например, если я все внесу в одно GPO, и нужно будет настроить исключение для какой-то меры для определенного ПК, я не смогу это сделать? »

Сможете. Но будет это сделать сложнее. В теории нужно распределять группы ПК по OU и уже на OU линковать конкретные GPO.

Цитата:

Цитата NordeN96

Также интересует установка ПО, на данный момент у меня 2 GPO (x86 и x64) c настроенными WMI фильтрами, но количество софта, который нужно ставить автоматом растет. Стоит ли бить на отдельные GPO (тогда получится вообще для каждого софта по 2 GPO учитывая разрядности) или так и оставить две политики? »

Ставить две политики на каждую разрядность. Ничего в этом страшного нет если распределить ПК по разным OU.
Вообще от 32-bit систем надо избавляться как класс.

Цитата:

Цитата NordeN96

Насколько трудно админам разбираться / дебажить политики, когда их более 100 в домене? »

Все зависит от квалификации, бываю разные случаи. Для более лёгкого разбора, обычно, есть полигон на котором все тестируют и разбирают.

Цитата:

Цитата NordeN96

Не вызовет ли это чрезмерную нагрузку на сеть при репликации между DC (их в сети 7, есть сайты, у которых медленные WAN каналы) »

Если грамотно настроить, то не вызовет.