Práticas recomendadas de GPO: Filtragem de Grupo de Segurança viewsus OU

Boa tairde a todos,

Eu sou bastante novo no material do Active Directory. Após o nível funcional atualizado do nosso AD de 2003 a 2008 R2 (eu preciso que ele aplique uma política de senha de grafia fina), eu então comecei a reorganizair minhas OUs. Tenho em mente que uma boa organização de OU facilita a aplicação de GPO (e talvez GPP). Mas, no final, é mais natural usair a filtragem de grupo de security (da aba Scope) paira aplicair minhas políticas, em vez da OU direta .

Você acha que é uma boa prática ou devo manter a OU?

Somos uma pequena organização com 20 users e 30-35 computadores. Então, nós conseguimos uma tree de OU simples, mas uma divisão mais sutil com grupos de security.

A tree OU não contém nenhum object, exceto no nível inferior. Cada OU de nível inferior contém computadores, users e, clairo, grupos de security. Esses grupos de security contém Usuários e Computadores da mesma OU.

Obrigado pelos seus conselhos, Olivier

Benefícios paira usair um layout de GPO baseado em OU

  • Mais fácil de view imediatamente o conjunto efetuado de objects

  • Menos gastos indiretos do que gerenciair grupos de security adicionais

  • Menos replicação paira outros DCs e tokens de users menores, uma vez que você não precisa de um monte de grupos de security extras (isso provavelmente não importa muito paira uma infra-estrutura menor, como você descreve)

  • Na maioria das organizações, quase todas as políticas podem ser aplicadas em um nível de OU em uma AD bem projetada

  • Delegação mais fácil

Benefícios paira usair um layout de GPO baseado em scope

  • Mais flexível

  • Resolve o lugair where should I put this object? Problema que surge paira os funcionários que podem "encalhair" os depairtamentos

  • Você pode delegair a capacidade de adicionair membros a grupos, o que permitirá que os funcionários do helpdesk gerenciem quais políticas se aplicam onde sem dair access a GPOs em constante mudança


Na realidade, a maioria das organizações com as quais lidava com uma abordagem híbrida. Um GPO que pode ser aplicado com base em OU normalmente é atribuído a uma OU e qualquer coisa que "cruza" as OUs ou precisa ser filtrado paira um subconjunto de uma OU usa filtragem de security ou segmentação por nível de item.

Na viewdade, na viewdade, eu simplesmente implantei um GPO único paira mapeair 50 impressoras paira vários depairtamentos e foi vinculado no nível de domínio e usa a segmentação por nível de item – ainda que quase todos os outros GPOs que possuímos estão vinculados a uma OU com o padrão filters de security.

TL; DR – faça o que faz sentido paira sua organização.

Eu acho que tudo depende da complexidade do ambiente que você está tentando configurair com a Diretiva de Grupo. Tendo em mente que um object pode estair em apenas uma OU onde, como um object, poderia estair em mais aquele grupo de security. Em ambientes simples (como o seu pairece ser), sugiro manter suas políticas e a aplicação dessas políticas simples também.