Ускорение групповой политики, и как реализация предпочтений групповой политики повлияет на время входа в систему?

8

Я ищу несколько советов по ускорению и модернизации нашей системы входа в систему, чтобы сделать ее более надежной и быстрой.

Я унаследовал старую систему входа в систему, которая изначально была перенесена из Novell Netware. В настоящее время мы используем Windows Server 2008 R2, но версия домена по-прежнему Windows 2000 (по теории, если она не сломана, не исправляйте ее). Мы хотели бы в конечном итоге перейти на Windows 7, но у нас будет сочетание Windows 7 и Windows XP SP3 в течение как минимум нескольких лет. У нас есть несколько машин с пакетом обновления 2 (SP2), но мы можем позволить себе заменить их, если невозможно обновить до SP3.

В настоящее время мы в основном полагаемся на сценарии входа в систему, в основном написанные на Kixtart, но некоторые из которых написаны на VBScript, а также на оболочке Windows BAT. Сценарии входа в систему сопоставляют диски и принтеры, устанавливают быстрые обходные пути для проблем безопасности или незначительных ошибок, когда нет официального исправления (например, недавняя проблема безопасности winhelp.exe), устанавливают программное обеспечение и выполняют различные задачи, такие как резервное копирование некоторых параметров, таких как IE Favorites, на случай компьютеров должны быть reimaged.

У нас также включено небольшое количество групповых политик. Они реализуют некоторые настройки безопасности, в основном. Я экспериментировал с использованием GPO для установки программного обеспечения, но я не нашел это практичным. Слишком большая часть нашего программного обеспечения не использует MSI, и часы, которые я потратил, пытаясь сделать захват MSI, были бесполезными в одном случае, когда я попробовал его. В итоге оказалось проще просто использовать скрипт для автоматической установки. Более того, обслуживание - это боль, так же как и в случае отложенных загрузок, если машина слишком долго выключалась. Я не против вернуться к этому, но казалось, что сценарии работают нормально, поэтому я никогда не был вынужден тратить на это больше времени.

Наша система работает нормально, но она немного негибкая. Он был разработан для регистрации информации о каждом входе в систему в централизованно хранимом файле на основе идентификатора для каждого входа в систему, и проблемы с разрешениями (например, при одновременном входе в систему с одним именем пользователя) время от времени приводят к возникновению этой проблемы. Мы полагаемся на флаги, чтобы определить, было ли ранее установлено программное обеспечение, которое может быть хрупким и иногда приводить к ненужным установкам (например, если новый пользователь входит в систему на рабочей станции). Это несколько медленно, особенно в области групповой политики. Я попытался сделать профиль, и я думаю, что это занимает около 300 секунд (может быть несколько выключен). Типичный пользователь будет применять около 8 небольших политик. У нас около 12 подразделений, но мы используем фильтрацию WMI для некоторых групповых политик.

Мы сопоставляем около 8 общих дисков (на основе членства в группах, а не OU) и около 20 принтеров (каждый получает каждый принтер, но разные серверы печати для каждого сайта). Потребности в программном обеспечении довольно сильно варьируются в зависимости от OU, но некоторым людям за пределами OU может также понадобиться программное обеспечение.

Мои вопросы:

  1. Насколько сложно развернуть GPP? Учитывая, что Windows XP изначально не поддерживает это, верно? Нам нужно установить клиентские расширения?
  2. Надежен ли GPP в Windows XP SP3? Погуглив, я обнаружил некоторые ссылки на ошибки и медленную производительность. Соответствует ли это текущему статусу этого продукта?
  3. Как производительность / накладные расходы GPP сравниваются с использованием kixtart или vbscript для таких вещей, как сопоставление дисков и установка принтеров?
  4. Какую практику следует использовать для отслеживания успешных / неудачных входов в систему? У нашей нынешней системы слишком много накладных расходов. Должно ли это быть сохранено в журнале событий? На какой машине? В центре или на локальном рабочем столе? В настоящее время мы используем журналы в качестве инструмента отладки, а также для определения, когда пользователь последний раз входил в домен.
  5. Что я должен попытаться ускорить нашу текущую инфраструктуру групповой политики? Я думаю, что это занимает много времени при запуске. Есть идеи, с чего начать устранение неполадок?
  6. Каковы лучшие практики для создания современной системы входа в систему для решения задач, которые я упомянул? Сопоставьте диски, подключите принтеры, установите программное обеспечение, установите исправления и выполните различные процедуры резервного копирования и тому подобное. Какие инструменты вы любите и рекомендуете для этой работы?
  7. Каков наилучший способ установить программное обеспечение, которое еще не аккуратно упаковано в MSI? Мы некоммерческие и можем получить пожертвования на программное обеспечение от Tech Soup, например, SCCM. Но я действительно не знаю, стоит ли это того.
  8. Каковы последствия обновления нашего домена до версии Server 2008 R2, чтобы мы могли использовать GPP? Я должен упомянуть, что у нас есть два рядовых сервера в нашем домене под управлением Windows NT. Это в основном устройства, используемые только для нашей системы голосовой почты. Я не хочу, чтобы они сломались. У нас была проблема с обновлением наших контроллеров домена с помощью SMB, но я смог найти обходной путь снижения настроек безопасности. Есть ли ошибки, если мы обновим версию домена? Кажется, что ответ должен быть нет, но я надеюсь узнать о некоторых реальных событиях.

Извините, что так затянуто, это оказалось более сложным, чем я думал, это будет спросить. Любые мысли о вашем личном опыте будут полезны. Я единственный технический специалист в нашей команде ИТ.

Quinten
источник

Ответы:

7

Привет от другого некоммерческого ЕГО человека. :)

Насколько сложно развернуть GPP? Учитывая, что Windows XP изначально не поддерживает это, верно? Нам нужно установить клиентские расширения?

GPP довольно прост, если ваши системы XP SP3 и недавно исправлены. Я редко видел проблемы, связанные с предпочтениями. Если у вас уже есть WSUS, вы сможете проверить, что на всех ваших системах установлен необходимый клиент.

Надежен ли GPP в Windows XP SP3? Погуглив, я обнаружил некоторые ссылки на ошибки и медленную производительность. Соответствует ли это текущему статусу этого продукта?

У меня не было серьезных проблем с надежностью после того, как были разработаны перечисленные выше проблемы расширения на стороне клиента.

Как производительность / накладные расходы GPP сравниваются с использованием kixtart или vbscript для таких вещей, как сопоставление дисков и установка принтеров?

Я предполагаю, что вы имеете в виду производительность рабочего стола. Если это так, то скорость между ними была незначительной в моей среде.

Какую практику следует использовать для отслеживания успешных / неудачных входов в систему? У нашей нынешней системы слишком много накладных расходов. Должно ли это быть сохранено в журнале событий? На какой машине? В центре или на локальном рабочем столе? В настоящее время мы используем журналы в качестве инструмента отладки, а также для определения, когда пользователь последний раз входил в домен.

У нас есть пара систем, унаследованная система (очень похоже на то, что вы описываете, я бы хотел, чтобы она была удалена) и аудит журнала событий для успешных и неудачных попыток входа в систему. Включить аудит на ваших контроллерах домена будет достаточно. Я предлагаю использовать Splunk для сбора логов, но это вопрос выбора.

Что я должен попытаться ускорить нашу текущую инфраструктуру групповой политики? Я думаю, что это занимает много времени при запуске. Есть идеи, с чего начать устранение неполадок?

Каковы лучшие практики для создания современной системы входа в систему для решения задач, которые я упомянул? Сопоставьте диски, подключите принтеры, установите программное обеспечение, установите исправления и выполните различные процедуры резервного копирования и тому подобное. Какие инструменты вы любите и рекомендуете для этой работы?

Мне очень повезло с GPP, перечисленным выше. Подавляющее большинство задач запуска может быть выполнено с помощью нескольких настроек GPP.

Каков наилучший способ установить программное обеспечение, которое еще не аккуратно упаковано в MSI? Мы некоммерческие и можем получить пожертвования на программное обеспечение от Tech Soup, например, SCCM. Но я действительно не знаю, стоит ли это того.

Я очень рекомендую EminentWare. Это платный продукт, но не слишком дорогой. Он будет развертывать обновления для ваших продуктов не MS (я люблю обновления Java и Adobe) и позволяет вам упаковывать и развертывать программное обеспечение.

Каковы последствия обновления нашего домена до версии Server 2008 R2, чтобы мы могли использовать GPP? Я должен упомянуть, что у нас есть два рядовых сервера в нашем домене под управлением Windows NT. Это в основном устройства, используемые только для нашей системы голосовой почты. Я не хочу, чтобы они сломались. У нас была проблема с обновлением наших контроллеров домена с помощью SMB, но я смог найти обходной путь снижения настроек безопасности. Есть ли ошибки, если мы обновим версию домена? Кажется, что ответ должен быть нет, но я надеюсь узнать о некоторых реальных событиях.

Я не могу комментировать, я все еще на функциональном уровне 2003 года.

Тим Бригам
источник
2
+1 - все насмешки с моим опытом, и мне нечего добавить. Я скажу, что ваш функциональный уровень домена и леса не окажет никакого влияния на компьютеры, не являющиеся контроллерами домена.
Эван Андерсон
Спасибо, отличная информация здесь! Я надеюсь, что некоторые другие также смогут поделиться своим опытом.
Quinten
4

8.

Рядовой сервер не влияет на уровень функций вашего домена. Только DC будут требовать этого. Если все ваши контроллеры домена 2008 и выше, вы можете поднять функциональный уровень до 2008 года без каких-либо проблем.

Nixphoe
источник
3

Перешел с 30 000 строк сценария входа в систему на 4000 ПК на чистый GPP, практически без проблем в XP SP2 с надстройкой GPP. Мы использовали фильтры безопасности GP и фильтры GPP для управления большинством политик через универсальные группы AD, а не OU. Линейные подразделения не допускают гибкости, которая может вам понадобиться, в то время как чистые фильтры безопасности позволяют проектировать без ограничений вашего дизайна подразделений.

Оглядываясь назад, с учетом того, что GPP настолько гибок, я бы, вероятно, поместил все пользовательские GPP в один GPO, чтобы сэкономить время загрузки. Сначала мы внедрили GPP с новым GPO для каждой функции GPP: один для сопоставления дисков, один для избранного и т. Д. Это были сотни настроек, но я думаю, что было бы быстрее обрабатывать как один GPO (который является XML-файлом для GPP). ).

Для ускорения, в XP храните настройки компьютера и пользователя в отдельных объектах групповой политики и отключайте их на уровне объекта групповой политики, который вы никогда не используете в этом объекте групповой политики. В Windows 7 это не проблема.

Брет фишер
источник
2

Около полутора лет назад моя фирма прошла через этот процесс. Все мы были XP (около 700 мест), server 2003 (также домен), с кучей скриптов, как и все остальные. У нас также был ScriptLogic, который мне не понравился. Мы развернули GPP на наших компьютерах с XP, обновили функциональные уровни и начали переносить вещи, выполненные с помощью сценариев, на GPP, и имели большой успех. С тех пор мы добавили много десятков предметов в GPP. Здесь выполняется все сопоставление дисков, множество копий файлов, ярлыков, повторных ключей и т. Д. Я могу, конечно, сказать, что мы очень активные пользователи GPP. Мы используем таргетинг на уровне предметов на подавляющее большинство предметов (без заметного влияния). Мы перешли на Windows 7 и также использовали фильтрацию WMI, связанную с соответствующими объектами GPO, также заполненными GPP, и у нас было очень мало проблем. Ничего серьезного. От холодного старта до готового к использованию рабочего стола у нас 3 минуты или меньше.

  1. Развертывание GPP в XP было для нас простым. Мы просто убедились, что это было на нашем образе (или в процессе обработки изображений) и добрались до всех ПК, прежде чем мы начнем использовать GPP.
  2. В то время мы были на XP SP2
  3. 3 минуты или меньше от отключения питания до рабочего стола с большим количеством GPO и GPP. Я думаю, что это довольно хорошо. Одно предостережение - мы не разворачиваем принтеры с использованием GPP - это одна из областей, в которой у нас были некоторые проблемы, но в основном основанные на производительности. В некоторых случаях это сильно замедляло вход в систему, поэтому мы отключили это.
  4. Мы отслеживаем время загрузки и входа в систему (через собственные записи в журнале событий рабочего стола), используя специальный сценарий записи в удаленную базу данных SQL.
  5. Журнал событий - ваш друг. Если вы собираетесь мигрировать, это время для очистки, не используйте повторно объекты групповой политики. Создавайте новые только с тем, что вам нужно. Используйте фильтрацию WMI, где это возможно, и просто следуйте рекомендациям (например, отключите пользовательские настройки для объектов групповой политики, применяемых только к компьютерам ... и т. Д.)
  6. Мы используем комбинацию GPO с GPP, SCCM, WSUS и AppV. Мы включили перенаправление папок (с VSS), отключили перемещаемые профили, и все очень довольны окружающей средой.
  7. Для вас, в зависимости от размера или размера, я, вероятно, не рекомендую SCCM, хотя мне это нравится, но я, безусловно, очень рекомендую AppV. Не могу рекомендовать это достаточно высоко.
  8. без комментариев
Джордан В.
источник
На # 7 у нас около 150 штатных сотрудников, а летом их число увеличивается до ~ 200 с добровольцами и стажерами с частичной занятостью. Является ли причина, по которой вы рекомендуете против сложности SCCM?
Quinten
Да, я имею в виду, что есть кривая обучения, если вы уже достаточно хорошо это знаете и можете получить ее бесплатно, тогда непременно добейтесь этого. Но AppV может изменить вашу жизнь. SCCM - это просто еще один способ сделать что-то, да, он добавляет ценность, но ничего такого, чего мы не видели раньше, но AppV, если вы не использовали его раньше, просто замечательно (для администратора Desktop Desktop, как я)
Джордан В.
У меня был еще один человек, который порекомендовал мне appv, так что, возможно, нам стоит это проверить. Наша сеть полудуплексная, поэтому я немного беспокоюсь о производительности.
Quinten
Да, это немного страшно. Но с AppV существует только реальная задержка при первом запуске приложения. Затем он передает его локально и запускает все локально. После этого он кэширует его и ему не нужно делать этот первый поток снова. До тех пор, пока вы не обновите виртуализированную копию на стороне сервера, оно будет перенаправлять это обновление. Надеюсь, это поможет.
Джордан В.