Hi Am 20.12.2010 11:46, schrieb CBarth@xxxxxxxxxxxxxxxx:
Zum Thema Gruppenrichtlinien sagt er man würde dann per Gruppen entsprechend filtern,
Kann er machen. Stressfrei.
ich halte das ehrlich gesagt für sehr unübersichtlich
aber extrem flexibel.
da ja sogar innerhalb eines Landes mehrere verschiedene GPO´s auf diverse Benutzergruppen angewendet werden und dort dann innerhalb der GPP nochmal per Gruppe gefiltert wird. Ob da später noch jemand durchblickt?
Da sehe ich kein Problem. Wer das Konzept verstanden hat wird damit arbeiten können. Eine zerfranste OU Struktur mit div. verlinkungen ist am Ende auch unübersichtlich. Denn kein Mensch weiss, wo er den Benutzer erstellen muss, damit alles passt. Alles nur eine Frage der Absprache, ORganisation und persönlichen Vorliebe.
Ich finde leider keine Limits wieviele GPO´s pro OU angelegt werden können,
Gibt es auch nicht.
ich weiß ein Benutzerobjekt darf theoretisch 999 GPO´s haben.
Korrigiere: Objekt, auch Computer.
Hat jemand schlagkräftige Argumente gegen ein solches Design oder ist das durchaus best practice?
Weder noch.
Ich frage mich gerade wie schnell bei der Anmeldung festgestellt werden kann wieviele der 1000 verlinkten GPO´s wirklich angewendet werden müssen.
schalte UserEnvDebugLEvel an, zähle die Zeiten zwischen den Zeilen mit den Sternchen. Ich habe bei einem Kunden knapp 150 Richtlinien angehangen mit Sicherheitsfiltern und der Filterprocess ist im Bereich von 2-3 Sekunden, die LDAP Query ist sauschnell. Eine so flache Struktur wäre nicht meine persönliche Vorliebe aber technisch dürfte da sehr wenig gegen sprechen, denn der Filterprocess wird dir nicht den Hals brechen. Wenn es allerdings am Ende 30 Sekunden in Summe sind für die Anmeldung und davon alleine 15 für den Filter ausfallen, dann ist das Design flasch. 5 bis max. 10% halte ich für akzeptabel. Tschö Mark -- Mark Heitbrink - MVP Windows Server - Group Policy Homepage: http://www.gruppenrichtlinien.de