Sono due i consigli fondamentali che Microsoft elargisce riguardo la progettazione delle Group Policy: il primo è quello di utilizzarne il minor numero possibile, questo perchè tante GP non solo rallentano enormemente la fase di applicazione delle policies (logon e logoff dell'utente ad esempio), ma rendono particolarmente difficoltosa la gestione e la valutazione del funzionamento complessivo del sistema. Il secondo consiglio è di suddividerle tra quelle che hanno impostazioni che si applicano ai computer e quelle con impostazioni che si applicano agli utenti, avendo cura di disabilitare i computer configuration settings o gli user configuration settings di conseguenza, questo perchè il motore di applicazione delle policy legge TUTTI i file relativi alle configurazioni, anche se una delle due sezioni non è compilata (per impedirne la lettura è necessaria appunto la disabilitazione).
Il risultato è una intoccata flessibilità e una diminuzione dei tempi di applicazione oltre ad una maggiore semplicità di progettazione e gestione.

Un cliente vuole che i client (XP sp2) abbiano di default windows firewall disabilitato sulla rete locale (che è protetta da un fw hardware) se sono connessi nel dominio; viceversa deve essere attivo se questi lanciano il computer "standalone" (ad esempio chi esce con il portatile). Ho creato una OU laptop nella quale ho messo tutti i portatili. Ho creato una GPO ad hoc; nell'editor ho aperto "configurazione computer/Modelli amministrativi/Rete/Connessioni di rete/Windows Firewall/profilo di dominio" e la prima voce "Windows Firewall: proteggi tutte le connessioni di rete" l'ho settata su Disabilitato; nel "profilo standard", invece, la stessa voce è stata settata su Abilitato. Alla fine ho linkato la GPO alla OU, gpupdate /force su un client di prova, gpresult (eventualmente /v) per verificare che le policy siano applicate in modo corretto e via.

Giusto per ricordarmelo visto che ho avuto 3 minuti di panico da interrogazione del lunedì mattina: se applichi una GPO ad una OU che contiene solo utenti la configurazione computer non si applica! (donkey!)