Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Практика в области проектирования GPO

Ответить
Настройки темы
2012 R2 - Практика в области проектирования GPO

Новый участник


Сообщения: 38
Благодарности: 0

Профиль | Отправить PM | Цитировать


Всем привет, я начинающий админ, который имеет мало практического опыта. Планирую выполнить несколько настроек безопасности на серверах и рабочих станциях пользователей в домене через GPO (например, отключение WDigest, отключение SeDebugPrivilege, отключение DCC, RunAsPPL и тому подобное). Стоит ли бить все это не отдельные GPO или лучше объеденить все в одно?

В чем преимущество разделения мер на GPO, а в чем преимущество сбора их в одну GPO? Например, если я все внесу в одно GPO, и нужно будет настроить исключение для какой-то меры для определенного ПК, я не смогу это сделать? Только если отключить разом все меры в таком случае через запрет применения GPO для конкретного объекта? С ярлыками и другими GPP более менее понятно, ввиду наличия нацеливания, а вот с обычными политиками не совсем.

Также интересует установка ПО, на данный момент у меня 2 GPO (x86 и x64) c настроенными WMI фильтрами, но количество софта, который нужно ставить автоматом растет. Стоит ли бить на отдельные GPO (тогда получится вообще для каждого софта по 2 GPO учитывая разрядности) или так и оставить две политики?

Насколько трудно админам разбираться / дебажить политики, когда их более 100 в домене? Не вызовет ли это значительные задержки при загрузке ПК и входе пользователя? Не вызовет ли это чрезмерную нагрузку на сеть при репликации между DC (их в сети 7, есть сайты, у которых медленные WAN каналы).

Отправлено: 09:07, 11-06-2022

 

Аватара для Anton04

Ветеран


Сообщения: 2054
Благодарности: 389

Профиль | Отправить PM | Цитировать


Цитата NordeN96:
Стоит ли бить все это не отдельные GPO или лучше объеденить все в одно? »
Бить и только бить.

Цитата NordeN96:
В чем преимущество разделения мер на GPO, а в чем преимущество сбора их в одну GPO? »
1. Гибкость и понятливость где что настроено исходя из имени конкретной GPO. Проще искать косяки или неработающие по каким-то причинам функции.
2. Одна GPO в теории быстрее применяется, чем множество GPO. Отсутствие перекрестных политик (когда в одной политике и в другой заданы противоположные настройки к одному объекту).

Цитата NordeN96:
Например, если я все внесу в одно GPO, и нужно будет настроить исключение для какой-то меры для определенного ПК, я не смогу это сделать? »
Сможете. Но будет это сделать сложнее. В теории нужно распределять группы ПК по OU и уже на OU линковать конкретные GPO.

Цитата NordeN96:
Также интересует установка ПО, на данный момент у меня 2 GPO (x86 и x64) c настроенными WMI фильтрами, но количество софта, который нужно ставить автоматом растет. Стоит ли бить на отдельные GPO (тогда получится вообще для каждого софта по 2 GPO учитывая разрядности) или так и оставить две политики? »
Ставить две политики на каждую разрядность. Ничего в этом страшного нет если распределить ПК по разным OU.
Вообще от 32-bit систем надо избавляться как класс.

Цитата NordeN96:
Насколько трудно админам разбираться / дебажить политики, когда их более 100 в домене? »
Все зависит от квалификации, бываю разные случаи. Для более лёгкого разбора, обычно, есть полигон на котором все тестируют и разбирают.

Цитата NordeN96:
Не вызовет ли это чрезмерную нагрузку на сеть при репликации между DC (их в сети 7, есть сайты, у которых медленные WAN каналы) »
Если грамотно настроить, то не вызовет.

-------
Слабый всю жизнь идёт лёгкой дорогой, черта сильного выбрать трудный путь.
Будь осторожен в своих желаниях, ибо они иногда сбываются.


Отправлено: 19:51, 11-06-2022 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2012/2012 R2 » 2012 R2 - Практика в области проектирования GPO

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
2012 R2 - Практика Windows server LBAASKA Windows Server 2012/2012 R2 6 13-04-2015 18:38
Разное - практика КАК легализовать ПО Altaranenco Лицензирование продуктов Microsoft 52 09-02-2010 12:58
Теория и практика разгона alekcandro Разгон, охлаждение и моддинг 8 27-08-2009 19:50
практика расширения сети MadTimer Microsoft Windows NT/2000/2003 13 17-04-2009 11:31
Приобретение - Практика использования External Connector - help! Nick_44 Лицензирование продуктов Microsoft 1 29-10-2007 17:58




 
Переход