Praktische Tipps zur Vereinfachung der Gruppenrichtlinienobjekte und der Organisation von Organisationseinheiten

Eine der leistungsstärksten zentralisierten Verwaltungsaufgaben für Windows-Server und -PCs ist die Bereitstellung von Gruppenrichtlinienobjekten (Group Policy Objects, GPOs). So sehr, dass ich argumentieren könnte, dass Gruppenrichtlinien eine der besten Lösungen sind, die Microsoft jemals bereitgestellt hat.

Obwohl ich Gruppenrichtlinienobjekte und deren Flexibilität bei der zentralen Konfiguration von Benutzer- und Computereinstellungen sehr mag, können wir durch widersprüchliche Regeln und übermäßig komplizierte Implementierungen leicht außer Kontrolle geraten. Ich bin sicher, wir haben alle eine Domain gesehen, die eine sehr hässliche Konfiguration von Gruppenrichtlinienobjekten aufweist, und lassen Sie uns nicht einmal mit den Sicherheitsgruppen beginnen.

In meiner Active Directory-Praxis gehe ich hin und her, um zu bestimmen, wie tief die Gruppenrichtlinienobjekte und Organisationseinheiten (OUs) gehen sollen. Ich mache häufig nicht mehr als drei Gruppenrichtlinienobjekte, die in Reihe mit den Organisationseinheiten fließen. Mit Serie meine ich ein Gruppenrichtlinienobjekt in einer übergeordneten Organisationseinheit und ein anderes Gruppenrichtlinienobjekt in einer untergeordneten Organisationseinheit, wie in Abbildung A dargestellt, in der das grüne Gruppenrichtlinienobjekt für die übergeordnete Organisationseinheit und das rote Gruppenrichtlinienobjekt für die untergeordnete Organisationseinheit (sowie das grüne Gruppenrichtlinienobjekt) gilt. Abbildung A.

Klicken Sie auf das Bild, um es zu vergrößern.

Organisationseinheiten eignen sich hervorragend für die granulare Klassifizierung verschiedener Active Directory-Objekte, obwohl ich nicht wirklich ein unglaubliches Problem habe, das in Bezug auf die Ebenen für diese Konfiguration (innerhalb eines angemessenen Rahmens) sehr tief geht. GPOs hingegen sind keine guten Kandidaten für mehrere Anwendungen für jede Organisationseinheit, da der Baum tiefer geht.

Es ist zu kompliziert, die Konfigurationsregeln für die Planung und das schnelle Denken zu berücksichtigen. Im Folgenden finden Sie einige Tipps, um die Organisation von Gruppenrichtlinienobjekten zu vereinfachen:

  • Nutzen Sie die GPO-Filterung nach Sicherheitsgruppen, um mehr GPOs in einer höheren Organisationseinheit zu erstellen, anstatt mehr Gruppenrichtlinienobjekte in tieferen Organisationseinheiten
  • Fügen Sie niemals einzelne Benutzer oder Computerkonten hinzu (verwenden Sie immer den obigen Gruppentrick)
  • Kombinieren Sie Benutzer- und Computereinstellungen nach Rollen und nicht nach separaten Gruppenrichtlinienobjekten
  • Dokumentieren Sie die Namen der Gruppenrichtlinienobjekte selbst, um die Rolle und den Speicherort intuitiv zu bestimmen
  • Verwenden Sie eine konsistente GPO-Nomenklatur, einschließlich des Umbenennens von GPOs, um dorthin zu gelangen
  • Suchen Sie nach Gruppenrichtlinienobjekten mit einer Einstellung und konsolidieren Sie sie mit anderen Gruppenrichtlinienobjekten

Gruppenrichtlinienobjekte sind großartig, aber die Tools erfordern Organisation und Gedanken. Diese Tipps sind allgemeine Richtlinien, und jeder von Ihnen, der Punkte erzielt, wird feststellen, dass mein Screenshot aus meinem persönlichen Labor nicht genau all diesen Empfehlungen entspricht. Für ein Labor ist das in Ordnung, aber in der Produktion ist das eine andere Geschichte.

Welche Tricks und Tipps wenden Sie bei Gruppenrichtlinienobjekten und Organisationseinheiten an? Wie tief in der OU-Struktur lassen Sie sie los? Teilen Sie Ihre Strategien.

© Copyright 2020 | mobilegn.com