合并组策略

Question

因此，基本上，我们有十几个或更多的组策略，使得应用/更改/添加新策略的过程成为一个PITA。

我想要做的是把所有的政策合并在一起，最后基本上有两个--一个用于台式机，另一个用于笔记本电脑。

是否有一种将所有这些政策合并在一起的好方法？

服务器正在运行SBS 2003。

谢谢!

Answer 1

没有一个开箱即用的工具来做你想做的事情，我也不知道任何第三方的工具会有帮助。我认为您可能需要手动构建包含所有您想要的设置的GPO。

显然，通过将所有这些设置组合在一起，您就限制了只在GPO中应用一些设置的能力。在开始构建新的GPO之前，我肯定您已经考虑过您想要的粒度级别。

编辑：

在制作GPO时的权衡是这样的:你是把很多设置放到一个GPO中，还是将设置分散到多个GPO上。单个GPO的优点是在客户端上处理更快(虽然在局域网上，除非您有大量的GPO)，而且在管理接口中涉水的“东西”也较少。

但是，如果将所有设置都堆到几个GPO中，则可能会导致以后只想将设置的子集应用于计算机或用户的子集。软件安装策略具有在子GPO级别上按安全组进行筛选的机制，但是对于GPO的所有其他部分，没有在子GPO级别有选择地筛选应用程序的机制。最后，您必须创建“反GPO”来“撤消”大型单片GPO中的设置，或者手动将单寡头GPO分解为GPO，然后通过安全组(或WMI筛选器，或在不同的OU上链接)过滤GPO。

如果你对组策略的使用不是很复杂的话，这可能没什么大不了的。我经常有一个“域范围的用户和计算机设置”GPO与非常基本的设置，我知道，将始终适用于普遍。不过，我很小心，不要将设置放在GPO中，因为GPO在以后可能不需要通用，并为以后可能希望为用户或计算机子集打开/关闭的设置创建专用的GPO。