グループポリシーを、初めて設計する段階でまず困ったのが、全てのポリシーを一つにまとめるべきか、ポリシーごとに分けていくべきか、という事でした。
後々に影響するのでかなり考えましたが、私がとった方法は現在の状況を見ると、まあまあ成功だったのではないかと思います。
結論から言うと、私の環境では折衷案で運用しています。
例えばモバイル、デスクトップというOUを作成して、それぞれに使用するグループポリシーを作り上げます。一つずつです。
ただし、2つのOUに共通の部分はここに含めません。
その後、共通の部分を定義したグループポリシーを一つ作ります。
これはモバイル、デスクトップ両方を含む上位のOUに関連づけます。
これを基本セットとします。
(基本部分のまとめたポリシー)
その後の仕様変更等でのポリシー変更は、このポリシーには反映しません。その都度の要求を満たすポリシーを一つずつ新しく作成して、必要なOUにリンクさせます。いわば、ポリシーの部品みたいなもので、付けたり、外したりします。
こうする事で、最初に決定した仕様を壊す事無く、変更を分かりやすく管理する事が可能です。また、ポリシーによる障害発生時の、ポリシーの解除が簡単なのも魅力です。
デメリットとしては、ポリシーが多くなりがちです。
ここは自分なりの命名規則などを決めて、体系的に管理する事で回避できます。
多くのポリシーをリンクさせると、クライアントの処理時間に影響するのでは、と思われがちですが、これは誤りです。処理時間に影響を与えるのは、ポリシーの数ではなく、ポリシーの内容です。例えば、ファイルのアクセス権をかえるような処理や、システムに大きな変更を与えるようなものが処理時間に影響を与えます。反して、例えばスタートメニューの表示方法の変更など、軽微なものはそれほど処理に時間はかかりません。この辺はどこかにソースがあったのですが、ちょっと見つからないな・・・・・。
参考情報
MS グループポリシー管理コンソールによる企業システムの管理
http://www.microsoft.com/japan/windowsserver2003/gpmc/default.mspx
これは必須ですね。絶対にインストールした方が良いです。無料だし。
標準のコンソールは一つずつの管理になりますが、これはOUを指定して、そこに反映される全てのポリシーがとれたりします。クリックするだけで設定項目を抜き出してくれるのも便利です。
ひと目でわかるMicrosoft Active Directory
引き続きこれはおすすめです。手順書として是非手元に置いておきたいです。ところどころにある、理解を進めるコラムも良いです。
