Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2525 connectés 

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Active Directory et GPO

n°81228
shobi
Posté le 25-05-2011 à 20:50:06  profilanswer
 

Bonjour,
j'ai beau parcourir le net, mais il y'a une chose que je n'arrive pas à trouver, ce sont les recommandations "Microsoft" en ce qui concerne les GPO...
Ma question est très simple : combien de GPO maximum est-il recommandé de ne pas dépasser dans une OU ?
Merci d'avance...

mood
Publicité
Posté le 25-05-2011 à 20:50:06  profilanswer
 

n°81233
jackseg198​0
Posté le 25-05-2011 à 21:51:29  profilanswer
 

Dans un domaine ou une OU ?


---------------
youplà boum...
n°81235
Je@nb
Modérateur
Kindly give dime
Posté le 25-05-2011 à 21:59:27  profilanswer
 

Pour moi +5 c'est beaucoup

n°81239
nebulios
Posté le 25-05-2011 à 22:27:30  profilanswer
 

Le minimum possible qu'ils préconisent  :D  
 
Le moyen étant de jouer sur l'héritage et sur les plus gros dénominateurs communs pour minimiser les exceptions, mais il n'y a pas de formules miracle.

n°81251
bicoun
Et non pas Bicounet !!!
Posté le 26-05-2011 à 11:10:18  profilanswer
 

Je@nb a écrit :

Pour moi +5 c'est beaucoup


 
Tu veux dire que tu évites de mettre plus de 5 GPO par OU ?
 
Perso, on m'avait recommandé de faire une GPO par "action", c'est à dire d'éviter de multiplier des stratégies en une seule GPO afin de pourvoir facilement les modifier (voir supprimer).
Ainsi, pour les logiciels que je déploie, j'ai une GPO par logiciel. Ai-je tord sachant que j'ai 7 ou 8 GPO maximum par OU ?


---------------
Pixel mort -> .
n°81266
shobi
Posté le 26-05-2011 à 13:46:06  profilanswer
 

Bein il est clair qu'il faut minimiser le nombre de GPO, mais j'ai un cas un peu complexe.
1 - Tous mes utilisateurs sont dans une seule et meme OU ; j'ai pas le choix car une appli "pourri" de ma boite s'appuie sur le DN de l'utilisateur, donc je ne peux absolument pas me permettre de les classer dans différentes OU.
2 - J'aurai une bonne trentaine de GPO dans cette OU, mais chaque GPO est filtrée selon un groupe de sécurité auquel appartient l'utilisateur.
Au final, l'utilisateur n'aura que 3 GPO d'appliquées à son login et toutes les autres seront refusées.
 
Donc Je@nb, quand tu dis 5 maximum, il s'agit de 5 GPO appliquées, ou bien 5 GPO en comptant meme les GPO refusés ?
 
PS : j'ai pas encore balancé ça en prod, mais sur 10 utilisateurs de test, ca fonctionne bien ; je me demande tout de meme ce que ca va donner avec 3000 utilisateurs...
 

n°81272
Je@nb
Modérateur
Kindly give dime
Posté le 26-05-2011 à 16:03:44  profilanswer
 

bicoun a écrit :


 
Tu veux dire que tu évites de mettre plus de 5 GPO par OU ?
 
Perso, on m'avait recommandé de faire une GPO par "action", c'est à dire d'éviter de multiplier des stratégies en une seule GPO afin de pourvoir facilement les modifier (voir supprimer).
Ainsi, pour les logiciels que je déploie, j'ai une GPO par logiciel. Ai-je tord sachant que j'ai 7 ou 8 GPO maximum par OU ?


 
Ouais, éviter plus de 5GPO par OU.
C'est bien une GPO par action mais je fais plus par "type d'action", genre settings de restriction, setting de personnalisation, setting de sécurité, setting IE etc. voir j'en regroupe (personnalisation et IE, sécu et restrictions etc.). Pour les logiciels, je fais jamais par GPO mais je ferais si possible une gpo "déploiement logiciels" et je mettrai tout dedans.
 

shobi a écrit :

Bein il est clair qu'il faut minimiser le nombre de GPO, mais j'ai un cas un peu complexe.
1 - Tous mes utilisateurs sont dans une seule et meme OU ; j'ai pas le choix car une appli "pourri" de ma boite s'appuie sur le DN de l'utilisateur, donc je ne peux absolument pas me permettre de les classer dans différentes OU.
2 - J'aurai une bonne trentaine de GPO dans cette OU, mais chaque GPO est filtrée selon un groupe de sécurité auquel appartient l'utilisateur.
Au final, l'utilisateur n'aura que 3 GPO d'appliquées à son login et toutes les autres seront refusées.
 
Donc Je@nb, quand tu dis 5 maximum, il s'agit de 5 GPO appliquées, ou bien 5 GPO en comptant meme les GPO refusés ?
 
PS : j'ai pas encore balancé ça en prod, mais sur 10 utilisateurs de test, ca fonctionne bien ; je me demande tout de meme ce que ca va donner avec 3000 utilisateurs...
 


 
5 appliqué mais faut éviter d'en avoir trop de filtré parce que même si elles ne sont pas appliqué, le poste évalue au logon/startup si il doit les appliquer ou pas (en gros qq requettes LDAP par GPO).
 
Et surtout, consigne de base, ne jamais modifier les Default Policy.

n°81285
shobi
Posté le 26-05-2011 à 21:18:40  profilanswer
 

Merci pour les  recommandations ; je vais tenter avec 3 GPO appliquées et 27 GPO refusées par utilisateur. J'espère que ca ne fait pas trop... sinon, c'est retour en arrière...


Aller à :
Ajouter une réponse
 

Sujets relatifs
GPO script VS GPO msiFreenas + Active Directory
[Résolu]AD 2008 R2: Nouveau serveur dans OU mais GPO ne s'applique pas[GPO]deployer Outlook 2007
[GPO]Deployer driver carte video.Active directory - Mise a jour des GPO ne marche pas
Active directory Windows server 2008 R2 - GPORenommer un ordinateur dans Active Directory via GPO
[Active Directory] Problème pour concevoir mes GPOGPO supprimée mais toujours active
Plus de sujets relatifs à : Active Directory et GPO


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR