Я ищу несколько советов по ускорению и модернизации нашей системы входа в систему, чтобы сделать ее более надежной и быстрой.
Я унаследовал старую систему входа в систему, которая изначально была перенесена из Novell Netware. В настоящее время мы используем Windows Server 2008 R2, но версия домена по-прежнему Windows 2000 (по теории, если она не сломана, не исправляйте ее). Мы хотели бы в конечном итоге перейти на Windows 7, но у нас будет сочетание Windows 7 и Windows XP SP3 в течение как минимум нескольких лет. У нас есть несколько машин с пакетом обновления 2 (SP2), но мы можем позволить себе заменить их, если невозможно обновить до SP3.
В настоящее время мы в основном полагаемся на сценарии входа в систему, в основном написанные на Kixtart, но некоторые из которых написаны на VBScript, а также на оболочке Windows BAT. Сценарии входа в систему сопоставляют диски и принтеры, устанавливают быстрые обходные пути для проблем безопасности или незначительных ошибок, когда нет официального исправления (например, недавняя проблема безопасности winhelp.exe), устанавливают программное обеспечение и выполняют различные задачи, такие как резервное копирование некоторых параметров, таких как IE Favorites, на случай компьютеров должны быть reimaged.
У нас также включено небольшое количество групповых политик. Они реализуют некоторые настройки безопасности, в основном. Я экспериментировал с использованием GPO для установки программного обеспечения, но я не нашел это практичным. Слишком большая часть нашего программного обеспечения не использует MSI, и часы, которые я потратил, пытаясь сделать захват MSI, были бесполезными в одном случае, когда я попробовал его. В итоге оказалось проще просто использовать скрипт для автоматической установки. Более того, обслуживание - это боль, так же как и в случае отложенных загрузок, если машина слишком долго выключалась. Я не против вернуться к этому, но казалось, что сценарии работают нормально, поэтому я никогда не был вынужден тратить на это больше времени.
Наша система работает нормально, но она немного негибкая. Он был разработан для регистрации информации о каждом входе в систему в централизованно хранимом файле на основе идентификатора для каждого входа в систему, и проблемы с разрешениями (например, при одновременном входе в систему с одним именем пользователя) время от времени приводят к возникновению этой проблемы. Мы полагаемся на флаги, чтобы определить, было ли ранее установлено программное обеспечение, которое может быть хрупким и иногда приводить к ненужным установкам (например, если новый пользователь входит в систему на рабочей станции). Это несколько медленно, особенно в области групповой политики. Я попытался сделать профиль, и я думаю, что это занимает около 300 секунд (может быть несколько выключен). Типичный пользователь будет применять около 8 небольших политик. У нас около 12 подразделений, но мы используем фильтрацию WMI для некоторых групповых политик.
Мы сопоставляем около 8 общих дисков (на основе членства в группах, а не OU) и около 20 принтеров (каждый получает каждый принтер, но разные серверы печати для каждого сайта). Потребности в программном обеспечении довольно сильно варьируются в зависимости от OU, но некоторым людям за пределами OU может также понадобиться программное обеспечение.
Мои вопросы:
- Насколько сложно развернуть GPP? Учитывая, что Windows XP изначально не поддерживает это, верно? Нам нужно установить клиентские расширения?
- Надежен ли GPP в Windows XP SP3? Погуглив, я обнаружил некоторые ссылки на ошибки и медленную производительность. Соответствует ли это текущему статусу этого продукта?
- Как производительность / накладные расходы GPP сравниваются с использованием kixtart или vbscript для таких вещей, как сопоставление дисков и установка принтеров?
- Какую практику следует использовать для отслеживания успешных / неудачных входов в систему? У нашей нынешней системы слишком много накладных расходов. Должно ли это быть сохранено в журнале событий? На какой машине? В центре или на локальном рабочем столе? В настоящее время мы используем журналы в качестве инструмента отладки, а также для определения, когда пользователь последний раз входил в домен.
- Что я должен попытаться ускорить нашу текущую инфраструктуру групповой политики? Я думаю, что это занимает много времени при запуске. Есть идеи, с чего начать устранение неполадок?
- Каковы лучшие практики для создания современной системы входа в систему для решения задач, которые я упомянул? Сопоставьте диски, подключите принтеры, установите программное обеспечение, установите исправления и выполните различные процедуры резервного копирования и тому подобное. Какие инструменты вы любите и рекомендуете для этой работы?
- Каков наилучший способ установить программное обеспечение, которое еще не аккуратно упаковано в MSI? Мы некоммерческие и можем получить пожертвования на программное обеспечение от Tech Soup, например, SCCM. Но я действительно не знаю, стоит ли это того.
- Каковы последствия обновления нашего домена до версии Server 2008 R2, чтобы мы могли использовать GPP? Я должен упомянуть, что у нас есть два рядовых сервера в нашем домене под управлением Windows NT. Это в основном устройства, используемые только для нашей системы голосовой почты. Я не хочу, чтобы они сломались. У нас была проблема с обновлением наших контроллеров домена с помощью SMB, но я смог найти обходной путь снижения настроек безопасности. Есть ли ошибки, если мы обновим версию домена? Кажется, что ответ должен быть нет, но я надеюсь узнать о некоторых реальных событиях.
Извините, что так затянуто, это оказалось более сложным, чем я думал, это будет спросить. Любые мысли о вашем личном опыте будут полезны. Я единственный технический специалист в нашей команде ИТ.
Рядовой сервер не влияет на уровень функций вашего домена. Только DC будут требовать этого. Если все ваши контроллеры домена 2008 и выше, вы можете поднять функциональный уровень до 2008 года без каких-либо проблем.
источник
Перешел с 30 000 строк сценария входа в систему на 4000 ПК на чистый GPP, практически без проблем в XP SP2 с надстройкой GPP. Мы использовали фильтры безопасности GP и фильтры GPP для управления большинством политик через универсальные группы AD, а не OU. Линейные подразделения не допускают гибкости, которая может вам понадобиться, в то время как чистые фильтры безопасности позволяют проектировать без ограничений вашего дизайна подразделений.
Оглядываясь назад, с учетом того, что GPP настолько гибок, я бы, вероятно, поместил все пользовательские GPP в один GPO, чтобы сэкономить время загрузки. Сначала мы внедрили GPP с новым GPO для каждой функции GPP: один для сопоставления дисков, один для избранного и т. Д. Это были сотни настроек, но я думаю, что было бы быстрее обрабатывать как один GPO (который является XML-файлом для GPP). ).
Для ускорения, в XP храните настройки компьютера и пользователя в отдельных объектах групповой политики и отключайте их на уровне объекта групповой политики, который вы никогда не используете в этом объекте групповой политики. В Windows 7 это не проблема.
источник
Около полутора лет назад моя фирма прошла через этот процесс. Все мы были XP (около 700 мест), server 2003 (также домен), с кучей скриптов, как и все остальные. У нас также был ScriptLogic, который мне не понравился. Мы развернули GPP на наших компьютерах с XP, обновили функциональные уровни и начали переносить вещи, выполненные с помощью сценариев, на GPP, и имели большой успех. С тех пор мы добавили много десятков предметов в GPP. Здесь выполняется все сопоставление дисков, множество копий файлов, ярлыков, повторных ключей и т. Д. Я могу, конечно, сказать, что мы очень активные пользователи GPP. Мы используем таргетинг на уровне предметов на подавляющее большинство предметов (без заметного влияния). Мы перешли на Windows 7 и также использовали фильтрацию WMI, связанную с соответствующими объектами GPO, также заполненными GPP, и у нас было очень мало проблем. Ничего серьезного. От холодного старта до готового к использованию рабочего стола у нас 3 минуты или меньше.
источник