Active Directory et GPO - Infrastructures serveurs - Systèmes & Réseaux Pro
Marsh Posté le 25-05-2011 à 21:51:29
Dans un domaine ou une OU ?
Marsh Posté le 25-05-2011 à 22:27:30
Le minimum possible qu'ils préconisent
Le moyen étant de jouer sur l'héritage et sur les plus gros dénominateurs communs pour minimiser les exceptions, mais il n'y a pas de formules miracle.
Marsh Posté le 26-05-2011 à 11:10:18
Je@nb a écrit : Pour moi +5 c'est beaucoup |
Tu veux dire que tu évites de mettre plus de 5 GPO par OU ?
Perso, on m'avait recommandé de faire une GPO par "action", c'est à dire d'éviter de multiplier des stratégies en une seule GPO afin de pourvoir facilement les modifier (voir supprimer).
Ainsi, pour les logiciels que je déploie, j'ai une GPO par logiciel. Ai-je tord sachant que j'ai 7 ou 8 GPO maximum par OU ?
Marsh Posté le 26-05-2011 à 13:46:06
Bein il est clair qu'il faut minimiser le nombre de GPO, mais j'ai un cas un peu complexe.
1 - Tous mes utilisateurs sont dans une seule et meme OU ; j'ai pas le choix car une appli "pourri" de ma boite s'appuie sur le DN de l'utilisateur, donc je ne peux absolument pas me permettre de les classer dans différentes OU.
2 - J'aurai une bonne trentaine de GPO dans cette OU, mais chaque GPO est filtrée selon un groupe de sécurité auquel appartient l'utilisateur.
Au final, l'utilisateur n'aura que 3 GPO d'appliquées à son login et toutes les autres seront refusées.
Donc Je@nb, quand tu dis 5 maximum, il s'agit de 5 GPO appliquées, ou bien 5 GPO en comptant meme les GPO refusés ?
PS : j'ai pas encore balancé ça en prod, mais sur 10 utilisateurs de test, ca fonctionne bien ; je me demande tout de meme ce que ca va donner avec 3000 utilisateurs...
Marsh Posté le 26-05-2011 à 16:03:44
bicoun a écrit : |
Ouais, éviter plus de 5GPO par OU.
C'est bien une GPO par action mais je fais plus par "type d'action", genre settings de restriction, setting de personnalisation, setting de sécurité, setting IE etc. voir j'en regroupe (personnalisation et IE, sécu et restrictions etc.). Pour les logiciels, je fais jamais par GPO mais je ferais si possible une gpo "déploiement logiciels" et je mettrai tout dedans.
shobi a écrit : Bein il est clair qu'il faut minimiser le nombre de GPO, mais j'ai un cas un peu complexe. |
5 appliqué mais faut éviter d'en avoir trop de filtré parce que même si elles ne sont pas appliqué, le poste évalue au logon/startup si il doit les appliquer ou pas (en gros qq requettes LDAP par GPO).
Et surtout, consigne de base, ne jamais modifier les Default Policy.
Marsh Posté le 26-05-2011 à 21:18:40
Merci pour les recommandations ; je vais tenter avec 3 GPO appliquées et 27 GPO refusées par utilisateur. J'espère que ca ne fait pas trop... sinon, c'est retour en arrière...
Marsh Posté le 25-05-2011 à 20:50:06
Bonjour,
j'ai beau parcourir le net, mais il y'a une chose que je n'arrive pas à trouver, ce sont les recommandations "Microsoft" en ce qui concerne les GPO...
Ma question est très simple : combien de GPO maximum est-il recommandé de ne pas dépasser dans une OU ?
Merci d'avance...