Ein großes oder viele kleine GPOs?

18/11/2009 - 16:35 von Wolfgang Krietsch | Report spam
Hi!

GIbt es eigentlich eine Empfehlung, ob es "besser" (inwiefern?) ist,
wenige große GPOs zu haben oder lieber viele kleine, die dann jeweils
nur wenige Einstellungen beinhalten? Oder ist das egal und man kann es
einfach so machen, wie man das am überschtlichsten findet?

Ich neige dazu, unsere Richtlinien der Übersichtlichkeit aufzuteilen
in "Sicherheit", "Design" etc., bin aber etwas unsicher, ob das
technisch eine gute Entscheidung ist.

Zu berücksichtigen ist vielleicht noch, dass wir einige Außenstellen
mit relativ lahmer DSL/VPN Anbindung haben.



Grüße

woffi
 

Lesen sie die antworten

#1 Florian Frommherz [MVP]
18/11/2009 - 19:03 | Warnen spam
Howdie!

Wolfgang Krietsch schrieb:
GIbt es eigentlich eine Empfehlung, ob es "besser" (inwiefern?) ist,
wenige große GPOs zu haben oder lieber viele kleine, die dann jeweils
nur wenige Einstellungen beinhalten? Oder ist das egal und man kann es
einfach so machen, wie man das am überschtlichsten findet?



Die Lade- und Verarbeitungszeit auf den Clientcomputern wird nicht von
der Anzahl der Gruppenrichtlinien sondern vielmehr von der Anzahl der
beteiligten Client Side Extensions (CSEs) bestimmt - also letztlich der
verschiedenen Client-Teile, die für das Abarbeiten der Richtlinien
benötigt werden. Die Anzahl der GPOs ist dann nur noch margial
entscheidend. Wenn du also 35 Einstellungen auf 7 CSEs verteilt
ausrollen willst/musst, spielt es keine Rolle, ob du die Einstellungen
auf viele kleine GPOs aufteilst oder wenige, große.

In der Regel versuche ich den Leuten in kleineren Umgebungen
beizubringen, dass die Übersichtlichkeit und Administrierbarkeit
Designfaktor Nummer 1 sein sollten.

Ich neige dazu, unsere Richtlinien der Übersichtlichkeit aufzuteilen
in "Sicherheit", "Design" etc., bin aber etwas unsicher, ob das
technisch eine gute Entscheidung ist.



Wenn deine Aufteilung für dich so aufgeht, ist das durchaus ein gutes
Konzept. Wenn du dadurch flexibel bist und trotzdem alle Szenarien
abdecken kannst, hast du eigentlich mit dem Konzept "gewonnen".

Zu berücksichtigen ist vielleicht noch, dass wir einige Außenstellen
mit relativ lahmer DSL/VPN Anbindung haben.



Es werden ja nicht immer alle Gruppenrichtlinien neu geladen sondern nur
das "Delta" der geànderten Einstellungen. Aus diesem Grund solltest du
auch "gpupdate /force" und "Richtlinie immer anwenden, auch wenn sich
nichts geàndert hat"-GPO-Orgien vermeiden, dann leidet auch die
Bandbreite nicht sonderlich.

Wenn du an den Aussenstellen weitere DCs hast, die die
Gruppenrichtlinien replizieren, solltest du "SYSVOL bloat" beachten -
dann können mehrere GPOs wirklich störend sein, wenn stets alle
ADM-Dateien (pro GPO ~4MB) repliziert werden müssen. Hier schafft
"Central Store" Abhilfe, wenn möglich:
http://www.gruppenrichtlinien.de/Vi...itions.htm

Cheers,
Florian
Microsoft MVP - Group Policy
eMail: prename [at] frickelsoft [dot] net.
blog: http://www.frickelsoft.net/blog.
ANY advice you get on the Newsgroups should be tested thoroughly in your
lab.

Ähnliche fragen