Praktiske tips for å forenkle organisasjonsavtaler og organisering av organisasjoner

En av de kraftigste sentraliserte administrasjonsoppgavene for Windows-servere og PC-er er å distribuere Group Policy Objects (GPO-er). Så mye at jeg faktisk kunne hevde Group Policy er en av de beste løsningene Microsoft noensinne har gitt.

Selv om jeg er veldig glad i GPO-er og deres fleksibilitet til å konfigurere bruker- og datamaskininnstillinger sentralt, kan vi lett komme ut av kontroll med motstridende regler og altfor kompliserte implementeringer. Jeg er sikker på at vi alle har sett et domene som har en veldig stygg konfigurasjon av GPO-er, og la oss ikke engang komme i gang med sikkerhetsgruppene.

I min Active Directory-praksis går jeg frem og tilbake med å bestemme hvor dypt GPO-er og organisasjonsenheter (OU-er) skal gå. Jeg gjør ofte ikke mer enn tre GPO-er som flyter i serie med OU-ene. Med serier mener jeg en GPO i en foreldre OU og en annen GPO i en barn OU, som figur A der den grønne GPO gjelder for foreldre OU og den røde GPO gjelder barnet OU (samt den grønne GPO). Figur A

Klikk på bildet for å forstørre det.

OU-er er gode for granulering av forskjellige Active Directory-objekter, selv om jeg egentlig ikke har et utrolig problem som går veldig dypt (innen grunn) når det gjelder nivåer for denne konfigurasjonen. GPOs er derimot ikke gode kandidater for flere applikasjoner for hver OU ettersom treet går dypere.

Det er for komplisert å ha konfigurasjonsreglene i tankene for planlegging og rask tenking. Her er noen tips for å forenkle hvordan organisasjonsorganisasjoner er organisert:

  • Utnytt GPO-filtrering etter sikkerhetsgruppe for å lage flere GPO på en høyere OU i stedet for flere GPO i dypere OUer
  • Legg aldri til individuelle brukere eller datakontoer (bruk alltid gruppetrikset ovenfor)
  • Kombiner bruker- og datamaskininnstillinger etter rolle, snarere enn separate GPO-er
  • Dokumentere navnene på GPO-er selv for å være intuitive til rolle og plassering
  • Bruk en konsekvent GPO-nomenklatur, inkludert å gi nytt navn til GPO-er for å komme dit
  • Se etter GPO-er som har en innstilling, og konsolider den med andre GPO-er

GPO er flotte, men verktøyene krever organisering og tanke. Disse tipsene er generelle retningslinjer, og noen av dere som holder poeng vil merke seg at skjermdumpen min fra mitt personlige laboratorium ikke akkurat følger alle disse anbefalingene. Det er greit for et laboratorium, men i produksjonen er det en annen historie.

Hvilke triks og tips bruker du med GPOs og OUer? Hvor dypt i OU-strukturen lar du dem gå? Del strategiene dine.

© Copyright 2021 | pepebotifarra.com