Moin,ein Argument ist mir noch eingefallen, das evtl. gegen die GPO-Filterung in dieser Größenordnung sprechen würde: Üblicherweise sind in solchen Umgebungen ohnehin bereits sehr viele Gruppen vorhanden. Ein Filterungskonzept würde wahrscheinlich noch mal separate Gruppen vorsehen. Hier kann man dann schnell die maximale Tokengröße erreichen oder überschreiten (sprich die maximal mögliche Anzahl an Gruppenmitgliedschaften).
Auch eine Designfrage, kein hartes technisches Limit. Spräche für mich aber auch für ein OU-basiertes oder für ein Mischkonzept.
Gruß, Nils Am 20.12.2010 11:46, schrieb CBarth@xxxxxxxxxxxxxxxx:
Hallo GPUPDATE, ich bin gerade in folgender Situation: Unser AD Architekt möchte gerne all unsere Benutzerprofile (25.000) in eine OU stecken. Ich versuche ihm das jetzt irgendwie auszureden. Thema Delegation und Passwortreset sind leider keine Argumente dagegen, da alles zentral administriert wird. Zum Thema Gruppenrichtlinien sagt er man würde dann per Gruppen entsprechend filtern, ich halte das ehrlich gesagt für sehr unübersichtlich da ja sogar innerhalb eines Landes mehrere verschiedene GPO´s auf diverse Benutzergruppen angewendet werden und dort dann innerhalb der GPP nochmal per Gruppe gefiltert wird. Ob da später noch jemand durchblickt? Ich finde leider keine Limits wieviele GPO´s pro OU angelegt werden können, ich weiß ein Benutzerobjekt darf theoretisch 999 GPO´s haben. Hat jemand schlagkräftige Argumente gegen ein solches Design oder ist das durchaus best practice? Ich frage mich gerade wie schnell bei der Anmeldung festgestellt werden kann wieviele der 1000 verlinkten GPO´s wirklich angewendet werden müssen. Ich wünsche euch allen frohe Weihnachten! Liebe Grüße aus Neuwied Carsten Barth
-- MVP Windows Server: Directory Services www.kaczenski.de Twitter: @Kaczenski www.faq-o-matic.net MVP-Profil: https://mvp.support.microsoft.com/profile/Nils.Kaczenski