Проектирование групповой политики

Групповые политики являются мощным средством, предназначенным для управления конфигурацией компьютеров в вашей сети. Реализация групповых политик может быть достаточно сложной, и если она выполнена неправильно, групповая политика может сильно воздействовать на рабочую среду пользователей организации. В данном разделе описываются методики, позволяющих разработать реализацию групповой политики в вашей сети.

Дополнительная информация. Главы 12 и 13 описывают так же методики использования групповых политик для распределения программного обеспечения и управления рабочим столом.
Один из важных вопросов, с которыми вы столкнетесь при проектировании конфигурации групповой политики, состоит в том, сколько групповых политик вам следует реализовать. Поскольку все параметры настройки групповой политики доступны в каждом объекте GPO, вы теоретически можете сконфигурировать их в единственном объекте GPO или развернуть отдельный объект GPO для каждой установки, которую нужно сконфигурировать. В любом случае оптимальное количество объектов GPO будет расположено между этими крайностями, и никакое решение не будет верным для всех ситуаций. Когда запускается компьютер клиента и пользователь входит в систему, все применяемые объек ты GPO должны быть загружены и применены к местному компьютеру. Поэтому меньшее количество групповых политик улучшает запуск и производительность входа в систему. Однако наличие только нескольких групповых политик, выполняющих множество различных функций, является более трудным для документирования и управления. Если ваша групповая политика имеет только несколько параметров настройки, ее легче использовать повторно для нескольких OU. Хорошей практикой является использование объекта GPO для конфигурирования только одной группы параметров настройки. Например, вы можете использовать один объект GPO для установки конфигурации защиты, другой -для установки административных шаблонов, еще один - для установки пакета программ.
Другая проблема проектирования связана с тем, где вы хотите развернуть групповую политику. Обычно у вас есть возможность развернуть групповые политики на высшем уровне OU подразделений, а затем можно использовать фильтрацию rpytm и блокирование групповой политики, чтобы групповые политики применялись к соответствующим компьютерам или пользователям. Вы можете также применять большинство групповых политик ниже в иерархии, чтобы избежать конфигурации со сложным наследованием. В большинстве случаев комбинация этих стратегий дает правильный ответ. Если ваша политика должна применяться ко всем пользователям в вашем домене, установите ее настолько высоко, насколько это возможно. По мере продвижения вниз по иерархии групповые политики будут гораздо более специфичными.