Je@nb Modérateur Kindly give dime | bicoun a écrit :
Tu veux dire que tu évites de mettre plus de 5 GPO par OU ?
Perso, on m'avait recommandé de faire une GPO par "action", c'est à dire d'éviter de multiplier des stratégies en une seule GPO afin de pourvoir facilement les modifier (voir supprimer).
Ainsi, pour les logiciels que je déploie, j'ai une GPO par logiciel. Ai-je tord sachant que j'ai 7 ou 8 GPO maximum par OU ?
|
Ouais, éviter plus de 5GPO par OU.
C'est bien une GPO par action mais je fais plus par "type d'action", genre settings de restriction, setting de personnalisation, setting de sécurité, setting IE etc. voir j'en regroupe (personnalisation et IE, sécu et restrictions etc.). Pour les logiciels, je fais jamais par GPO mais je ferais si possible une gpo "déploiement logiciels" et je mettrai tout dedans.
shobi a écrit :
Bein il est clair qu'il faut minimiser le nombre de GPO, mais j'ai un cas un peu complexe.
1 - Tous mes utilisateurs sont dans une seule et meme OU ; j'ai pas le choix car une appli "pourri" de ma boite s'appuie sur le DN de l'utilisateur, donc je ne peux absolument pas me permettre de les classer dans différentes OU.
2 - J'aurai une bonne trentaine de GPO dans cette OU, mais chaque GPO est filtrée selon un groupe de sécurité auquel appartient l'utilisateur.
Au final, l'utilisateur n'aura que 3 GPO d'appliquées à son login et toutes les autres seront refusées.
Donc Je@nb, quand tu dis 5 maximum, il s'agit de 5 GPO appliquées, ou bien 5 GPO en comptant meme les GPO refusés ?
PS : j'ai pas encore balancé ça en prod, mais sur 10 utilisateurs de test, ca fonctionne bien ; je me demande tout de meme ce que ca va donner avec 3000 utilisateurs...
|
5 appliqué mais faut éviter d'en avoir trop de filtré parce que même si elles ne sont pas appliqué, le poste évalue au logon/startup si il doit les appliquer ou pas (en gros qq requettes LDAP par GPO).
Et surtout, consigne de base, ne jamais modifier les Default Policy. |