Таким образом, у нас есть дюжина или более групповых политик, которые превращают процесс применения / изменения / добавления новых политик в PITA.
Что я хочу сделать, так это объединить все политики вместе и в итоге получить две - одну для настольных компьютеров, а другую для ноутбуков.
Есть ли хороший и простой способ объединить все эти политики вместе?
На сервере работает SBS 2003.
Спасибо!
Нет готового инструмента для того, чтобы делать то, что вы хотите, и я не знаю каких-либо сторонних инструментов, которые могли бы помочь. Я думаю, вы, вероятно, застряли в ручном создании объектов групповой политики, которые содержат все нужные вам параметры.
Очевидно, что, комбинируя все эти параметры вместе, вы ограничиваете свою возможность детализации, применяя только некоторые настроек в GPO. Я уверен, что вы продумали желаемый уровень детализации, прежде чем приступить к созданию новых объектов групповой политики.
Редактировать:
Компромисс при проектировании при создании объектов групповой политики таков: вы помещаете множество параметров в один объект групповой политики или распределяете параметры по нескольким объектам групповой политики. Преимущество одного объекта групповой политики заключается в более быстрой обработке на клиенте (хотя в локальной сети это будет незаметно, если у вас нет МНОГО объектов групповой политики) и меньше "вещей", которые нужно проделать в интерфейсе управления.
Однако, если вы сгруппируете все в несколько объектов групповой политики, вы рискуете, что позже вы можете захотеть применить только подмножество настроек к подмножеству компьютеров или пользователей. Политика установки программного обеспечения имеет механизм фильтрации по группе безопасности на уровне суб-GPO, но для всех остальных частей GPO нет механизма выборочной фильтрации приложений на уровне суб-GPO. В конечном итоге вам придется создавать «анти-GPO», чтобы «отменить» настройки в больших монолитных объектах GPO, или вы вручную разбиваете монолитные объекты GPO на объекты GPO, которые затем фильтруете по группе безопасности (или фильтру WMI, или путем связывания в разных OU).
Вероятно, это не имеет большого значения, если вы не слишком разбираетесь в использовании групповой политики. У меня часто есть объект групповой политики «Общедоменные параметры пользователя и компьютера» с очень основными параметрами, которые, как я знаю, всегда будут применяться повсеместно. Однако я осторожен, чтобы не вводить параметры в этот объект групповой политики, которые в конечном итоге могут не стать универсальными, и не создавать выделенные объекты групповой политики для тех параметров, которые я, возможно, захочу включить / выключить для подмножеств пользователей или компьютеров позже.