none
Active Directoryのグループポリシーについて RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    ユーザー数5000人のActive Directory環境(1フォレスト、1ドメイン、1サイト)をグループポリシーにてクライアント管理を
    運用しております。グループポリシーも段々増えてきて今では100個近くなってきております。

    ここでご質問なのですが
    ①グループポリシーの上限値ってあるのでしょうか。(例えば300個までとか)
      Active Directiry間で複製もしているので、あまり増えすぎるとちょっと不安です。
    ②又、新規にグループポリシーを作成し、削除を繰り返すこと自体はあまり良くないのでしょうか。
      GUIDが変わったグループポリシーの作成・削除を繰り返すことによるActiveDirectoryへの影響を懸念しております。

    ①②の質問のご回答よろしくお願いいたします。

    2010年12月27日 0:58
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    Domain Group Policy maximum site:microsoft.com

    あたりで絞ってマイクロソフト社のサイトをbing!ってみると良いかも。
    ざっと当たって見つけたのは以下のページです(残念ながら日本語はなさそうです)

    「Active Directory Maximum Limits Scalability Capacity」
    http://technet.microsoft.com/ja-jp/library/active-directory-maximum-limits-scalability(WS.10).aspx
    ----
    Maximum Number of GPOs Applied
    There is a limit of 999 Group Policy objects (GPOs) that you can apply to a user account or computer account. This does not mean that the total number of policy settings on the system is limited to 999. Rather, a single user or computer will not be able to process more than 999 GPOs. This limit exists for performance reasons.
    ----

    2010年12月27日 8:43
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    Active Directory Maximum Limits Scalability Capacity こんな資料があるのですねぇ。Chuki さんありがとうございます。

    GPO を作り直し続けることでどんな影響があるか、ですが、Active DIrectory データベースや SYSVOL 共有への影響は、リクツ上ほとんどないはずですよ。

    ただし、次の2点に注意する必要があります。

    1. GPOを削除したとき、適用されていたクライアントからも反映が除かれているか、ちゃんとチェックする(ネットワークトラブルで影響が残ってしまうことががあります)
    2. GPOを作ったり消したりすると(Active Directory データベースや SYSVOL 共有の内容が変更されるので)ドメインコントローラ間で複製のトラフィックが余計に発生します。極端に細い回線で運用している場合は注意が必要です。
    2010年12月29日 3:04
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票

    Domain Group Policy maximum site:microsoft.com

    あたりで絞ってマイクロソフト社のサイトをbing!ってみると良いかも。
    ざっと当たって見つけたのは以下のページです(残念ながら日本語はなさそうです)

    「Active Directory Maximum Limits Scalability Capacity」
    http://technet.microsoft.com/ja-jp/library/active-directory-maximum-limits-scalability(WS.10).aspx
    ----
    Maximum Number of GPOs Applied
    There is a limit of 999 Group Policy objects (GPOs) that you can apply to a user account or computer account. This does not mean that the total number of policy settings on the system is limited to 999. Rather, a single user or computer will not be able to process more than 999 GPOs. This limit exists for performance reasons.
    ----

    2010年12月27日 8:43
    |
    モデレータ
  • Question
    サインインして投票
    1
    サインインして投票

    (2)については、良い情報を見つけることができませんでした。
    片手落ちになってしまい申し訳ございません。

    個人的には、ゴミが残ってしまいそうで怖いため、あまり安易な削除はしないように心がけています。
    #あまり気にする必要は無いような気もしますが……

    「グループ ポリシー オブジェクトを作成または削除する」
    http://technet.microsoft.com/ja-jp/library/cc776678(WS.10).aspx

    2010年12月27日 9:10
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    Chukiさん、ご回答どうも有り難うございます。
    (2)についてですが、本番と完全に一致した同等の検証環境を作ることが(設備的にも金銭的にも)困難な為、
    本番環境で全社に適用前にテスト用のOUを作成し、GPOの適用テストを実施します。
    そのため、役目を終えたテスト用のGPOは消す運用としております。
    あまり気にすることないですかね!

    2010年12月28日 0:44
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    Active Directory Maximum Limits Scalability Capacity こんな資料があるのですねぇ。Chuki さんありがとうございます。

    GPO を作り直し続けることでどんな影響があるか、ですが、Active DIrectory データベースや SYSVOL 共有への影響は、リクツ上ほとんどないはずですよ。

    ただし、次の2点に注意する必要があります。

    1. GPOを削除したとき、適用されていたクライアントからも反映が除かれているか、ちゃんとチェックする(ネットワークトラブルで影響が残ってしまうことががあります)
    2. GPOを作ったり消したりすると(Active Directory データベースや SYSVOL 共有の内容が変更されるので)ドメインコントローラ間で複製のトラフィックが余計に発生します。極端に細い回線で運用している場合は注意が必要です。
    2010年12月29日 3:04
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンさん、安心しました。どうも有り難うございます!
    2011年1月5日 2:11
    |