Uma GPO com muita configuração ou várias configurações por GPO? 2

Fala galera, 100%?!

Quem nunca se perguntou: “E agora, eu crio uma GPO com várias configurações ou crio uma para cada config?”. Esse tipo de dúvida é comum entre profissionais, clientes, iniciantes, veteranos e tudo mais. Por um tempos isso também ficou martelando na minha cabeça e eu não achava de fato o que era o melhor.

Well well, o primeiro lance é entender que existe um nome bonito para tudo na vida, então, neste artigo, falaremos sobre GPOS Monolíticas e GPOs Funcionais ou Task Based. Esses são os nomes científicos para “GPO com um monte de configuração” e “GPO com uma configuração apenas”. =D

A pergunta que não quer calar e ainda ecoa na mente de muitos Administradores é: “Qual a melhor opção”. Eu como de costume, vou responder: “DEPENDE”. Volta e meia pareço chato com isso de “depende”, mas é algo que prezo muito pelo simples fato de não existir ambiente de TI idêntico. Do meu ponto de vista, no mundo de TI, o importante é entender o conceito e aplicabilidade, “o melhor” fica a critério do profissional, que, baseando-se nos conceitos corretos vai analisar o ambiente e definir como atuar.

Agora que já entendemos que não existe “O melhor” padrão, vamos entender o como se comportam as tais Políticas Monolíticas e as Funcionais. Depois disso conseguirá decidir qual delas utilizar.

Tentarei expor alguns pontos aqui sobre as duas formas de se trabalhar. Farei um paralelo tentando deixar o mais claro possível as vantagens e desvantagens de ambos os estilos. Let’s rock.

O primeiro ponto que devemos levar em conta é o tamanho e complexidade do ambiente em que as GPOs serão aplicadas. Alguns detalhes como Delegação e Isolamento, para teste, ou produção são tarefas complexas se utilizamos GPOs monolíticas. Pense comigo, fica impossível difícil delegar funções sendo que utilizo apenas uma GPO, ainda não temos a opção de permitir que usuário “x” altere apenas a configuração “y” dentro de tal GPO. Trabalhando com Políticas de Grupo funcionais isso não seria problema, visto que cada uma responde por determinada configuração.

Pensando no isolamento, se eu tenho apenas uma GPO, muito provavelmente ela estará com link no domínio ou em uma GPO “pai”, fazendo com que as demais herdem as configurações. Como fazer pra isolar determinada configuração se todas ficam em um lugar só? (FORGET IT).

A nível de processamento, o lance começa fica meio obscuro! Qualquer alteração, por mínima que seja, faz com que todos os itens dentro da GPO sejam revistos, por conta disso as Monolíticas levam mais tempo para serem atualizadas. Exemplificando um pouco mais…por padrão a cada 90 minutos os servidores atualizam as informações de GPOs para os clientes (se forem DCs, isso acontece de 5 em 5 minutos). Em GPOs trabalhando de forma Monolítica podemos ter alteração de tema do Windows, politicas de segurança e alguma modificação de registro, então, se rolar uma pequena alteração em qualquer uma destas diretivas a GPO por completo será reprocessada. Isso acontece por que não existe um controle de versão por diretiva, apenas para a GPO de forma geral. Toda vez que algo é alteração o número serial (vamos chamar assim) sofre modificações, quando o cliente compara os seriais e vê que existe diferença (maior, menos…whatever), reprocessa as políticas como um todo. Vale uma observação aqui, não estou analisando a velocidade que determinada GPO leva para ser aplicada, estou escrevendo sobre a ótica da GPO em si, das atualizações DA GPO não do efeito que terão nos clientes diretamente. O tempo que uma politica leva para ser aplicada envolve muito mais detalhes do que seu design.

Falando sobre gerenciamento as GPOs Monolíticas são mais tranquila pois centralizam todas as diretivas em um local só. As Funcionais, mesmo segmentadas trazem maior complexidade pois estão em locais distintos. A resolução de problema torna-se também um pouco mais complexo pois o administrador terá de analisar mais locais, mais links e mais configurações.

Em conclusão percebo que não existe uma receita de bolo. Tudo varia de acordo com o ambiente que possui.

E você o que prefere?? Deixe ai nos comentários!

Vou deixar uma tabela retirada do technet que resume o que falamos acima!

image

https://technet.microsoft.com/pt-br/library/2008.01.gpperf.aspx

Espero que tenha curtido! Grande abraço \,,/

2 thoughts on “Uma GPO com muita configuração ou várias configurações por GPO?

  1. Reply Ricardo Conzatti abr 10,2017 17:05

    Eu também sou um adepto do “DEPENDE”. Eu gosto de separar as configurações em várias GPO’s, entendo que facilita o troubleshooting. Mas entendo também que o tamanho e complexidade do ambiente podem influenciar nessa “escolha”, por isso tento fazer um mix entre o isolamento e a consolidação. Ótimo artigo Nathan, abraço!

Leave a Reply