GPO anlage - habe ich zuviele GPOs, oder ists richtig so??
Hallo zusammen,
ich habe mich in der letzten Zeit immer mal wieder mit GPO's beschäftigt, unter anderem verstärkt mit dem Ausrollen von Software über Gruppenrichtlinien (auch in Verbindung mit WMI-Filtern). Durch die in einem Unternehmen übliche Nutzerstruktur, kommt natürlich einiges an GPO's zusammen. Hier ein kurzes Beispiel:
GPO0: default domain policy mit den üblichen Sicherheitsrichtlinien
GPO1: allgemeine Software mit WMI-Filter für 32 Bit
GPO2: allgemeine Software mit WMI-Filter für 64 Bit
GPO3: branchensoftware für abteilung X mit WMI FIlter für 32 Bit (jeweils unterschiedliche Setupsätze)
GPO4: branchensoftware für abteilung X mit WMI FIlter für 64 Bit
GPO5: branchensoftware für abteilung Y mit WMI Filter für 32 Bit
GPO6: branchensoftware für abteilung Y mit WMI Filter für 64 Bit
GPO7: branchensoftware für abteilung X+Y mit WMI Filter für 32 Bit
GPO8: branchensoftware für abteilung X+Y mit WMI Filter für 64 Bit
kommt mir irgendwie "undurchsichtig" vor, auch wenn es eigentlich übersichtlich ist. ist die vorgehensweise so korrekt? ich wüsste keine andere lösung um das gewünschte ergebnis irgendwie automatisiert so abbilden zu können.
viele grüße
ich habe mich in der letzten Zeit immer mal wieder mit GPO's beschäftigt, unter anderem verstärkt mit dem Ausrollen von Software über Gruppenrichtlinien (auch in Verbindung mit WMI-Filtern). Durch die in einem Unternehmen übliche Nutzerstruktur, kommt natürlich einiges an GPO's zusammen. Hier ein kurzes Beispiel:
GPO0: default domain policy mit den üblichen Sicherheitsrichtlinien
GPO1: allgemeine Software mit WMI-Filter für 32 Bit
GPO2: allgemeine Software mit WMI-Filter für 64 Bit
GPO3: branchensoftware für abteilung X mit WMI FIlter für 32 Bit (jeweils unterschiedliche Setupsätze)
GPO4: branchensoftware für abteilung X mit WMI FIlter für 64 Bit
GPO5: branchensoftware für abteilung Y mit WMI Filter für 32 Bit
GPO6: branchensoftware für abteilung Y mit WMI Filter für 64 Bit
GPO7: branchensoftware für abteilung X+Y mit WMI Filter für 32 Bit
GPO8: branchensoftware für abteilung X+Y mit WMI Filter für 64 Bit
kommt mir irgendwie "undurchsichtig" vor, auch wenn es eigentlich übersichtlich ist. ist die vorgehensweise so korrekt? ich wüsste keine andere lösung um das gewünschte ergebnis irgendwie automatisiert so abbilden zu können.
viele grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 222113
Url: https://administrator.de/forum/gpo-anlage-habe-ich-zuviele-gpos-oder-ists-richtig-so-222113.html
Ausgedruckt am: 23.12.2024 um 15:12 Uhr
3 Kommentare
Neuester Kommentar
Hallöchen,
ich persönlich würde die Lösung anders angehen. Ich würde die GPOs nach Software erstellen und jeweils eine Gruppe dazu. dann würde ich einfach nur noch für x und y Gruppen erstellen und die Software hinein legen. Die GPOs selbst würde ich dann in eine Untergruppe legen und darüber oder darunter die Gruppe mit den Sicherheitsrichtlinien etc..
Ich gebe zu, ich habe bisher nur meinen Software Agent per GPO verteilt und das lief auch gut, habe also keine größere Erfahrung damit, aber das wäre aus meiner Sicht ein logisches Konzept.
Gruß
Chris
ich persönlich würde die Lösung anders angehen. Ich würde die GPOs nach Software erstellen und jeweils eine Gruppe dazu. dann würde ich einfach nur noch für x und y Gruppen erstellen und die Software hinein legen. Die GPOs selbst würde ich dann in eine Untergruppe legen und darüber oder darunter die Gruppe mit den Sicherheitsrichtlinien etc..
Ich gebe zu, ich habe bisher nur meinen Software Agent per GPO verteilt und das lief auch gut, habe also keine größere Erfahrung damit, aber das wäre aus meiner Sicht ein logisches Konzept.
Gruß
Chris
HI!
wenn du nicht über sehr langsame WAN-Strecken replizieren musst, kannst du ein paar hundert oder mehr GPOs nutzen.
In einer Best-Practice Anleitung im IT-Administrator Magazin, wurde sogar empfohlen die GPOs nach der jeweiligen "Funktion" zu benennen und dort wirklich nur das reinzupacken.
also zb nicht eine Outlook-GPO, sondern für jeden Bereich eine - OL_archiv, OL_lesebereich_deaktivieren, OL_...
ich hatte vorher zb eine security-GPO - wusste dann nie was da alles drinnen ist und manches war am Ende sogar doppelt.
Die GPO Liste wird dann halt länger, dafür findet man sich schneller zurecht und auch Kollegen/Nachfolger.
je nach Größe & Budget, kannst du dir auch WPKG ansehen.
sg Dirm
wenn du nicht über sehr langsame WAN-Strecken replizieren musst, kannst du ein paar hundert oder mehr GPOs nutzen.
In einer Best-Practice Anleitung im IT-Administrator Magazin, wurde sogar empfohlen die GPOs nach der jeweiligen "Funktion" zu benennen und dort wirklich nur das reinzupacken.
also zb nicht eine Outlook-GPO, sondern für jeden Bereich eine - OL_archiv, OL_lesebereich_deaktivieren, OL_...
ich hatte vorher zb eine security-GPO - wusste dann nie was da alles drinnen ist und manches war am Ende sogar doppelt.
Die GPO Liste wird dann halt länger, dafür findet man sich schneller zurecht und auch Kollegen/Nachfolger.
GPO0: default domain policy mit den üblichen Sicherheitsrichtlinien
falls du damit die echte Default GPO meinst, die sollte man nicht unbedingt ändern.je nach Größe & Budget, kannst du dir auch WPKG ansehen.
sg Dirm