Bonjour,
j'ai beau parcourir le net, mais il y'a une chose que je n'arrive pas à trouver, ce sont les recommandations "Microsoft" en ce qui concerne les GPO...
Ma question est très simple : combien de GPO maximum est-il recommandé de ne pas dépasser dans une OU ?
Merci d'avance...

Dans un domaine ou une OU ?

Pour moi +5 c'est beaucoup

Le minimum possible qu'ils préconisent    
 
Le moyen étant de jouer sur l'héritage et sur les plus gros dénominateurs communs pour minimiser les exceptions, mais il n'y a pas de formules miracle.

 
Tu veux dire que tu évites de mettre plus de 5 GPO par OU ?
 
Perso, on m'avait recommandé de faire une GPO par "action", c'est à dire d'éviter de multiplier des stratégies en une seule GPO afin de pourvoir facilement les modifier (voir supprimer).
Ainsi, pour les logiciels que je déploie, j'ai une GPO par logiciel. Ai-je tord sachant que j'ai 7 ou 8 GPO maximum par OU ?

Bein il est clair qu'il faut minimiser le nombre de GPO, mais j'ai un cas un peu complexe.
1 - Tous mes utilisateurs sont dans une seule et meme OU ; j'ai pas le choix car une appli "pourri" de ma boite s'appuie sur le DN de l'utilisateur, donc je ne peux absolument pas me permettre de les classer dans différentes OU.
2 - J'aurai une bonne trentaine de GPO dans cette OU, mais chaque GPO est filtrée selon un groupe de sécurité auquel appartient l'utilisateur.
Au final, l'utilisateur n'aura que 3 GPO d'appliquées à son login et toutes les autres seront refusées.
 
Donc Je@nb, quand tu dis 5 maximum, il s'agit de 5 GPO appliquées, ou bien 5 GPO en comptant meme les GPO refusés ?
 
PS : j'ai pas encore balancé ça en prod, mais sur 10 utilisateurs de test, ca fonctionne bien ; je me demande tout de meme ce que ca va donner avec 3000 utilisateurs...
 

 
Ouais, éviter plus de 5GPO par OU.
C'est bien une GPO par action mais je fais plus par "type d'action", genre settings de restriction, setting de personnalisation, setting de sécurité, setting IE etc. voir j'en regroupe (personnalisation et IE, sécu et restrictions etc.). Pour les logiciels, je fais jamais par GPO mais je ferais si possible une gpo "déploiement logiciels" et je mettrai tout dedans.
 

 
5 appliqué mais faut éviter d'en avoir trop de filtré parce que même si elles ne sont pas appliqué, le poste évalue au logon/startup si il doit les appliquer ou pas (en gros qq requettes LDAP par GPO).
 
Et surtout, consigne de base, ne jamais modifier les Default Policy.

Merci pour les  recommandations ; je vais tenter avec 3 GPO appliquées et 27 GPO refusées par utilisateur. J'espère que ca ne fait pas trop... sinon, c'est retour en arrière...