Accelerare i criteri di gruppo e in che modo l'implementazione delle preferenze dei criteri di gruppo influirà sul tempo di accesso?

Sto cercando qualche consiglio per accelerare e aggiornare il nostro sistema di accesso per renderlo più robusto e veloce.

Ho ereditato un vecchio sistema di accesso, che è stato migrato originariamente da Novell Netware. Attualmente stiamo eseguendo Windows Server 2008 R2, ma la versione del dominio è ancora Windows 2000 (in teoria, se non è rotto, non risolverlo). Vorremmo eventualmente eseguire l'aggiornamento a Windows 7, ma avremo un mix di Windows 7 e Windows XP SP3 per almeno alcuni anni. Abbiamo alcune macchine SP2, ma possiamo permetterci di sostituirle se non è possibile eseguire l'aggiornamento a SP3.

Attualmente, facciamo affidamento principalmente su script di accesso, scritti principalmente in Kixtart, ma con alcuni scritti in VBScript e con un wrapper BAT di Windows. Gli script di accesso mappano unità e stampanti, installano soluzioni alternative rapide per problemi di sicurezza o bug minori in assenza di patch ufficiali (come il recente problema di sicurezza winhelp.exe), installano software ed eseguono attività varie come il backup di alcune impostazioni come Preferiti di IE nelle case case deve essere reinventato.

Abbiamo anche un numero limitato di criteri di gruppo abilitati. Questi implementano alcune impostazioni di sicurezza, principalmente. Stavo sperimentando l'uso di GPO per installare il software, ma non ho trovato questo pratico. Troppa parte del nostro software non utilizza un MSI e le ore trascorse a provare a catturare un MSI sono state poco gratificanti in un'occasione in cui l'ho provato. Alla fine è stato più semplice utilizzare uno script per eseguire l'installazione automatica. Inoltre, la manutenzione è una seccatura, in quanto si tratta di avvio ritardato se una macchina è stata spenta per troppo tempo. Non mi dispiace rivisitare questo, ma sembrava che gli script funzionassero bene, quindi non sono mai stato costretto a investire più tempo in questo.

Il nostro sistema funziona bene, ma è un po 'flessibile. È stato progettato per registrare le informazioni su ogni accesso in un file archiviato centralmente in base all'ID di accesso e i problemi di autorizzazione (come ad esempio un accesso simultaneo con un nome utente) fanno scattare questo ogni tanto. Facciamo affidamento sui flag per determinare se il software è stato precedentemente installato, il che può essere fragile e talvolta comporta installazioni non necessarie (se un nuovo utente accede a una workstation, ad esempio). È un po 'lento, soprattutto per quanto riguarda i criteri di gruppo. Ho provato a creare un profilo e penso che questo richieda circa 300 secondi (potrebbe essere un po 'spento). A un utente tipico verrebbero applicate circa 8 piccole politiche. Abbiamo circa 12 unità organizzative, ma utilizziamo il filtro WMI per alcuni dei criteri di gruppo.

Mappiamo circa 8 unità condivise (in base all'appartenenza al gruppo, non all'unità organizzativa) e circa 20 stampanti (tutti ottengono ogni stampante, ma un server di stampa diverso per ogni sito). Le esigenze del software variano in modo piuttosto drammatico principalmente in base all'unità organizzativa, ma alcune persone al di fuori di un'unità organizzativa potrebbero aver bisogno anche del software.

Le mie domande:

1. Quanto è difficile distribuire GPP? Dato che Windows XP non supporta nativamente questo, giusto? Dobbiamo installare le estensioni lato client?
2. GPP è affidabile su Windows XP SP3? Cercando su Google, ho scoperto alcuni riferimenti a bug e prestazioni lente. Questo corrisponde allo stato corrente di questo prodotto?
3. In che modo le prestazioni / le spese generali di GPP si confrontano con l'uso di kixtart o vbscript per cose come mappare le unità e installare le stampanti?
4. Qual è una buona pratica da utilizzare per tenere traccia degli accessi riusciti / non riusciti? Il nostro sistema attuale sembra avere un sovraccarico eccessivo. Questo dovrebbe essere memorizzato nel registro eventi? Su quale macchina? A livello centrale o sul desktop locale? Attualmente utilizziamo i log come strumento di debug e anche per determinare quando un utente ha effettuato l'ultimo accesso al dominio.
5. Cosa devo provare per accelerare la nostra attuale infrastruttura di Criteri di gruppo? Penso che questo sia ciò che richiede molto tempo all'avvio. Qualche idea su dove iniziare a risolvere questo problema?
6. Quali sono le migliori pratiche per la creazione di un moderno sistema di accesso per gestire le attività che ho citato? Mappa unità, mappa stampanti, installa software, installa patch ed esegue varie routine di backup e simili. Quali strumenti ti piacciono e raccomandano per questo lavoro?
7. Qual è il modo migliore per installare un software che non è già ben confezionato in un MSI? Siamo senza scopo di lucro e potremmo ottenere alcune donazioni di software da Tech Soup di cose come SCCM. Ma non so davvero se questo valga la pena.
8. Quali sono le implicazioni dell'aggiornamento del nostro dominio alla versione Server 2008 R2, per consentirci di utilizzare GPP? Devo dire che abbiamo due server membri sul nostro dominio che eseguono Windows NT. Si tratta sostanzialmente di apparecchi utilizzati solo per il nostro sistema di posta vocale. Non voglio che si rompano. Abbiamo avuto un problema con l'aggiornamento dei nostri controller di dominio con SMB, ma sono stato in grado di trovare la soluzione alternativa per ridurre le impostazioni di sicurezza. Qualche problema se aggiorniamo la versione del dominio? Sembra che la risposta dovrebbe essere no, ma spero di conoscere alcune esperienze del mondo reale.

Mi dispiace essere così prolisso, questo si è rivelato più coinvolto di quanto pensassi sarebbe stato chiedere. Qualsiasi pensiero sulle tue esperienze personali sarebbe utile. Sono l'unica persona tecnica nel nostro team IT.

Saluti da un'altra persona IS senza scopo di lucro. :)

Quanto è difficile distribuire GPP? Dato che Windows XP non supporta nativamente questo, giusto? Dobbiamo installare le estensioni lato client?

I GPP sono praticamente semplici se i tuoi sistemi sono XP SP3 e patchati di recente. Raramente ho visto problemi legati alle preferenze. Se hai già WSUS dovresti essere in grado di verificare che tutti i tuoi sistemi abbiano installato il client necessario.

GPP è affidabile su Windows XP SP3? Cercando su Google, ho scoperto alcuni riferimenti a bug e prestazioni lente. Questo corrisponde allo stato corrente di questo prodotto?

Non ho riscontrato grossi problemi di affidabilità dopo che sono stati risolti i problemi relativi all'estensione lato client sopra elencati.

In che modo le prestazioni / le spese generali di GPP si confrontano con l'uso di kixtart o vbscript per cose come mappare le unità e installare le stampanti?

Suppongo che ti riferisci alle prestazioni del desktop. In tal caso, la velocità tra i due è stata trascurabile nel mio ambiente.

Qual è una buona pratica da utilizzare per tenere traccia degli accessi riusciti / non riusciti? Il nostro sistema attuale sembra avere un sovraccarico eccessivo. Questo dovrebbe essere memorizzato nel registro eventi? Su quale macchina? A livello centrale o sul desktop locale? Attualmente utilizziamo i log come strumento di debug e anche per determinare quando un utente ha effettuato l'ultimo accesso al dominio.

Abbiamo un paio di sistemi in atto, un sistema legacy (molto simile a quello che descrivi, mi piacerebbe vederlo ritirato) e il controllo del registro eventi per tentativi di accesso riusciti e falliti. Abilitare il controllo sui controller di dominio sarebbe sufficiente. Suggerisco di usare Splunk per raccogliere i tuoi registri, ma è una questione di scelta.

Cosa devo provare per accelerare la nostra attuale infrastruttura di Criteri di gruppo? Penso che questo sia ciò che richiede molto tempo all'avvio. Qualche idea su dove iniziare a risolvere questo problema?

Quali sono le migliori pratiche per la creazione di un moderno sistema di accesso per gestire le attività che ho citato? Mappa unità, mappa stampanti, installa software, installa patch ed esegue varie routine di backup e simili. Quali strumenti ti piacciono e raccomandano per questo lavoro?

Ho avuto molta fortuna con il GPP sopra elencato. La stragrande maggioranza delle attività di avvio può essere eseguita con una manciata di impostazioni GPP.

Qual è il modo migliore per installare un software che non è già ben confezionato in un MSI? Siamo senza scopo di lucro e potremmo ottenere alcune donazioni di software da Tech Soup di cose come SCCM. Ma non so davvero se questo valga la pena.

Consiglio vivamente EminentWare. È un prodotto a pagamento ma non troppo costoso. Distribuirà aggiornamenti per i tuoi prodotti non MS (adoro gli aggiornamenti Java e Adobe) e ti consente di creare pacchetti e distribuire software.

Quali sono le implicazioni dell'aggiornamento del nostro dominio alla versione Server 2008 R2, per consentirci di utilizzare GPP? Devo dire che abbiamo due server membri sul nostro dominio che eseguono Windows NT. Si tratta sostanzialmente di apparecchi utilizzati solo per il nostro sistema di posta vocale. Non voglio che si rompano. Abbiamo avuto un problema con l'aggiornamento dei nostri controller di dominio con SMB, ma sono stato in grado di trovare la soluzione alternativa per ridurre le impostazioni di sicurezza. Qualche problema se aggiorniamo la versione del dominio? Sembra che la risposta dovrebbe essere no, ma spero di conoscere alcune esperienze del mondo reale.

Non posso commentare, sono ancora al livello funzionale 2003.

8.

Il server membro non influisce sul livello di funzionalità del tuo dominio. Solo i DC lo richiederanno. Se tutti i controller di dominio sono dal 2008 in poi, puoi aumentare il livello funzionale al 2008 senza problemi.

Passato da 30.000 righe di script di accesso su 4.000 PC a GPP puro con pochi o nessun problema su XP SP2 con componente aggiuntivo GPP. Abbiamo utilizzato i filtri di sicurezza GP e i filtri GPP per controllare la maggior parte dei criteri tramite AD Universal Group anziché tramite OU. Il fatto che le unità organizzative siano lineari non consente la flessibilità eventualmente necessaria, mentre i filtri di sicurezza puri consentono una progettazione libera dai vincoli della progettazione delle unità organizzative.

Guardando indietro, con GPP così flessibile, probabilmente avrei messo tutti i GPP basati sull'utente in un singolo oggetto Criteri di gruppo per risparmiare sui tempi di caricamento. Inizialmente abbiamo implementato GPP con un nuovo oggetto Criteri di gruppo per ogni funzione GPP: uno per i mapping delle unità, uno per i preferiti, ecc. Sono state centinaia le impostazioni ma immagino che sarebbe stato più rapido elaborare come singolo oggetto Criteri di gruppo (che è un file XML per GPP ).

Per la velocità, in XP mantieni le impostazioni del tuo computer e dell'utente in oggetti Criteri di gruppo separati e disabilita a livello di oggetto Criteri di gruppo che non usi mai in quell'oggetto Criteri di gruppo. In Windows 7 questo non è un problema.

Circa un anno e mezzo fa la mia azienda ha attraversato questo processo. Eravamo tutti XP (circa 700 posti), server 2003 (anche dominio), con un sacco di script come tutti gli altri. Avevamo anche ScriptLogic che non mi piaceva. Abbiamo implementato GPP sulle nostre macchine XP, aggiornato i livelli funzionali e iniziato a migrare le cose fatte tramite script su GPP e abbiamo avuto un grande successo. Da allora abbiamo aggiunto molte decine di articoli in GPP. Tutta la mappatura dell'unità viene eseguita lì, molte copie di file, collegamenti, regkeys ecc. Posso sicuramente dire che siamo utenti molto pesanti di GPP. Utilizziamo il targeting a livello di articolo sulla maggior parte degli articoli (senza alcun impatto evidente). Siamo migrati a Windows 7 e anche utilizzando il filtro WMI collegato oggetti Criteri di gruppo appropriati anche riempiti con GPP e abbiamo avuto pochissimi problemi. Nulla di serio. Dall'avvio a freddo a un desktop pronto per l'uso siamo a 3 minuti o meno.

1. Distribuire GPP su XP è stato semplice per noi. Ci siamo appena assicurati che fosse sulla nostra immagine (o nel processo dell'immagine) e siamo arrivati ​​a tutti i PC prima di iniziare a usare i GPP.
2. All'epoca eravamo su XP SP2
3. 3 minuti o meno dallo spegnimento al desktop utilizzabile con molti oggetti Criteri di gruppo e molti GPP. Penso che sia abbastanza buono. Un avvertimento: non implementiamo stampanti con GPP, immagino che un'area in cui abbiamo avuto dei problemi, ma principalmente basata sulle prestazioni. Ciò ha rallentato un po 'l'accesso in alcuni casi, quindi l'abbiamo disattivato.
4. Tracciamo i tempi di avvio e di accesso (tramite voci del registro eventi del desktop nativo) utilizzando uno script personalizzato che scrive su un database SQL remoto.
5. Il registro eventi è tuo amico. Se stai per migrare, è il momento di ripulire, non riutilizzare gli oggetti Criteri di gruppo. Creane di nuovi con solo ciò di cui hai bisogno. Utilizzare il filtro WMI ove possibile e seguire solo le migliori pratiche (ad esempio disattivare le Impostazioni utente sugli oggetti Criteri di gruppo applicati solo ai computer ... ecc.)
6. Usiamo una combinazione di oggetti Criteri di gruppo con GPP, SCCM, WSUS e AppV. Abbiamo attivato il reindirizzamento delle cartelle (con VSS), disattivato i profili di roaming e tutti sono abbastanza soddisfatti dell'ambiente.
7. Per te, a seconda di quanto grande o piccolo, probabilmente non consiglierei SCCM anche se mi piace, ma consiglio vivamente AppV. Non posso raccomandarlo abbastanza.
8. nessun commento