Tăng tốc Chính sách nhóm và cách triển khai Tùy chọn chính sách nhóm sẽ tác động đến thời gian đăng nhập như thế nào?

Tôi đang tìm kiếm một số lời khuyên về việc tăng tốc và nâng cấp hệ thống đăng nhập của chúng tôi để làm cho nó mạnh mẽ hơn và nhanh hơn.

Tôi được thừa hưởng một hệ thống đăng nhập cũ hơn, được di chuyển từ Novell Netware ban đầu. Chúng tôi hiện đang chạy Windows Server 2008 R2, nhưng phiên bản miền vẫn là Windows 2000 (theo lý thuyết, nếu nó không bị hỏng, đừng sửa nó). Cuối cùng chúng tôi muốn nâng cấp lên Windows 7, nhưng chúng tôi sẽ có sự kết hợp giữa Windows 7 và Windows XP SP3 trong ít nhất vài năm. Chúng tôi có một số máy SP2, nhưng chúng tôi có thể đủ khả năng để thay thế những máy đó nếu không thể nâng cấp lên SP3.

Hiện tại, chúng tôi chủ yếu dựa vào các tập lệnh đăng nhập, chủ yếu được viết bằng Kixtart, nhưng với một số được viết bằng VBScript và với trình bao bọc Windows BAT. Các kịch bản đăng nhập ánh xạ ổ đĩa và máy in, cài đặt cách khắc phục nhanh các sự cố bảo mật hoặc lỗi nhỏ khi không có bản vá chính thức (như sự cố bảo mật winhelp.exe gần đây), cài đặt phần mềm và thực hiện các tác vụ linh tinh như sao lưu một số cài đặt như IE Favorites trong các trường hợp máy cần phải được đánh giá lại.

Chúng tôi cũng có một số lượng nhỏ các chính sách nhóm được kích hoạt. Những người thực hiện một số cài đặt bảo mật, chủ yếu. Tôi đã thử nghiệm sử dụng GPO để cài đặt phần mềm, nhưng tôi không thấy điều này là thực tế. Quá nhiều phần mềm của chúng tôi không sử dụng MSI và số giờ tôi dành để thực hiện một bản chụp MSI đã không được chấp nhận trong một lần tôi đã thử nó. Cuối cùng, việc sử dụng một tập lệnh để thực hiện cài đặt không giám sát trở nên dễ dàng hơn. Hơn nữa, bảo trì là một nỗi đau, cũng như đối phó với việc khởi động bị trì hoãn nếu một máy bị tắt quá lâu. Tôi không ngại xem lại điều này, nhưng có vẻ như các kịch bản đã hoạt động tốt, vì vậy tôi chưa bao giờ bị buộc phải đầu tư nhiều thời gian hơn vào việc này.

Hệ thống của chúng tôi hoạt động tốt, nhưng nó không linh hoạt. Nó được thiết kế để ghi thông tin trên mỗi lần đăng nhập vào một tệp được lưu trữ tập trung trên cơ sở ID mỗi lần đăng nhập và các vấn đề về quyền (chẳng hạn như đăng nhập đồng thời với một tên người dùng) thường xuyên xảy ra. Chúng tôi dựa vào các cờ để xác định xem phần mềm đã được cài đặt trước đó chưa, có thể dễ hỏng và đôi khi dẫn đến các cài đặt không cần thiết (ví dụ: nếu người dùng mới đăng nhập vào máy trạm chẳng hạn). Nó hơi chậm, đặc biệt là phía chính sách nhóm. Tôi đã thử làm một hồ sơ, và tôi nghĩ rằng điều này mất khoảng 300 giây (có thể hơi tắt). Một người dùng thông thường sẽ có khoảng 8 chính sách nhỏ được áp dụng. Chúng tôi có khoảng 12 OU nhưng sử dụng bộ lọc WMI cho một vài chính sách của nhóm.

Chúng tôi ánh xạ khoảng 8 ổ đĩa được chia sẻ (dựa trên thành viên nhóm, không phải OU) và khoảng 20 máy in (mọi người đều có mỗi máy in, nhưng một máy chủ in khác nhau cho mỗi trang web). Nhu cầu phần mềm thay đổi khá lớn dựa chủ yếu vào OU, nhưng một vài người ngoài OU cũng có thể cần phần mềm.

Những câu hỏi của tôi:

1. Làm thế nào là khó để triển khai GPP? Vì Windows XP không hỗ trợ điều này, phải không? Chúng ta cần cài đặt phần mở rộng phía máy khách?
2. GPP có đáng tin cậy trên Windows XP SP3 không? Googling, tôi đã bật lên một số tài liệu tham khảo về lỗi và hiệu suất chậm. Điều này có phù hợp với tình trạng hiện tại của sản phẩm này không?
3. Làm thế nào để hiệu suất / chi phí hoạt động của GPP so với việc sử dụng kixtart hoặc vbscript cho những thứ như ánh xạ ổ đĩa và cài đặt máy in?
4. Cách tốt nhất để sử dụng để theo dõi các lần đăng nhập thành công / không thành công là gì? Hệ thống hiện tại của chúng tôi dường như có quá nhiều chi phí. Điều này có nên được lưu trữ trong Nhật ký sự kiện? Trên máy nào? Trung tâm, hoặc trên máy tính để bàn địa phương? Hiện tại chúng tôi sử dụng nhật ký làm công cụ gỡ lỗi và cũng để xác định khi nào người dùng đăng nhập lần cuối vào miền.
5. Tôi nên cố gắng gì để tăng tốc cơ sở hạ tầng Chính sách nhóm hiện tại của chúng tôi? Tôi nghĩ rằng đây là những gì mất nhiều thời gian khi khởi động. Bất kỳ ý tưởng cho nơi để bắt đầu xử lý sự cố này?
6. Thực tiễn tốt nhất để tạo ra một hệ thống đăng nhập hiện đại để đối phó với các nhiệm vụ tôi đã đề cập là gì? Bản đồ ổ đĩa, máy in bản đồ, cài đặt phần mềm, cài đặt các bản vá và thực hiện các thói quen sao lưu linh tinh và tương tự. Những công cụ nào bạn thích và giới thiệu cho công việc này?
7. Cách tốt nhất để cài đặt phần mềm chưa được đóng gói gọn gàng trong MSI là gì? Chúng tôi là một tổ chức phi lợi nhuận và có thể nhận được một số đóng góp phần mềm từ Tech Soup cho những thứ như SCCM. Nhưng, tôi thực sự không biết điều này có đáng không.
8. Ý nghĩa của việc nâng cấp tên miền của chúng tôi lên phiên bản Server 2008 R2, để cho phép chúng tôi sử dụng GPP là gì? Tôi nên đề cập rằng chúng tôi có hai máy chủ thành viên trên miền đang chạy Windows NT. Đây là những thiết bị cơ bản chỉ được sử dụng cho hệ thống thư thoại của chúng tôi. Tôi không muốn những thứ này bị phá vỡ. Chúng tôi đã có một vấn đề với việc nâng cấp bộ điều khiển miền của chúng tôi với SMB, nhưng tôi đã có thể tìm ra cách giải quyết của việc hạ thấp cài đặt bảo mật. Bất kỳ vấn đề gì nếu chúng tôi nâng cấp phiên bản tên miền? Có vẻ như câu trả lời là không, nhưng tôi hy vọng sẽ tìm hiểu về một số trải nghiệm trong thế giới thực.

Xin lỗi vì quá dài dòng, điều này hóa ra có liên quan nhiều hơn tôi nghĩ nó sẽ được hỏi. Bất kỳ suy nghĩ về kinh nghiệm cá nhân của bạn sẽ hữu ích. Tôi là người kỹ thuật duy nhất trong nhóm CNTT của chúng tôi.

Lời chào từ một người IS phi lợi nhuận khác. :)

Làm thế nào là khó để triển khai GPP? Vì Windows XP không hỗ trợ điều này, phải không? Chúng ta cần cài đặt phần mở rộng phía máy khách?

GPP khá dễ dàng nếu hệ thống của bạn là XP SP3 và gần đây đã được vá. Tôi hiếm khi thấy các vấn đề liên quan đến sở thích. Nếu bạn đã có WSUS, bạn sẽ có thể kiểm tra xem tất cả các hệ thống của bạn đã cài đặt máy khách cần thiết chưa.

GPP có đáng tin cậy trên Windows XP SP3 không? Googling, tôi đã bật lên một số tài liệu tham khảo về lỗi và hiệu suất chậm. Điều này có phù hợp với tình trạng hiện tại của sản phẩm này không?

Tôi đã không có bất kỳ vấn đề đáng tin cậy lớn nào sau khi các vấn đề mở rộng phía khách hàng được liệt kê ở trên đã được giải quyết.

Làm thế nào để hiệu suất / chi phí hoạt động của GPP so với việc sử dụng kixtart hoặc vbscript cho những thứ như ánh xạ ổ đĩa và cài đặt máy in?

Tôi giả sử rằng bạn đang đề cập đến hiệu suất máy tính để bàn .. Nếu vậy thì tốc độ giữa hai người không đáng kể trong môi trường của tôi.

Cách tốt nhất để sử dụng để theo dõi các lần đăng nhập thành công / không thành công là gì? Hệ thống hiện tại của chúng tôi dường như có quá nhiều chi phí. Điều này có nên được lưu trữ trong Nhật ký sự kiện? Trên máy nào? Trung tâm, hoặc trên máy tính để bàn địa phương? Hiện tại chúng tôi sử dụng nhật ký làm công cụ gỡ lỗi và cũng để xác định khi nào người dùng đăng nhập lần cuối vào miền.

Chúng tôi có một vài hệ thống, một hệ thống kế thừa (rất giống với những gì bạn mô tả, tôi muốn thấy nó đã nghỉ hưu) và kiểm tra nhật ký sự kiện để thử đăng nhập thành công và thất bại. Cho phép kiểm toán trên bộ điều khiển miền của bạn là đủ. Tôi đề nghị sử dụng Splunk để thu thập nhật ký của bạn nhưng đó là vấn đề lựa chọn.

Tôi nên cố gắng gì để tăng tốc cơ sở hạ tầng Chính sách nhóm hiện tại của chúng tôi? Tôi nghĩ rằng đây là những gì mất nhiều thời gian khi khởi động. Bất kỳ ý tưởng cho nơi để bắt đầu xử lý sự cố này?

Thực tiễn tốt nhất để tạo ra một hệ thống đăng nhập hiện đại để đối phó với các nhiệm vụ tôi đã đề cập là gì? Bản đồ ổ đĩa, máy in bản đồ, cài đặt phần mềm, cài đặt các bản vá và thực hiện các thói quen sao lưu linh tinh và tương tự. Những công cụ nào bạn thích và giới thiệu cho công việc này?

Tôi đã rất may mắn với GPP được liệt kê ở trên. Phần lớn các tác vụ khởi động có thể được thực hiện với một số cài đặt GPP.

Cách tốt nhất để cài đặt phần mềm chưa được đóng gói gọn gàng trong MSI là gì? Chúng tôi là một tổ chức phi lợi nhuận và có thể nhận được một số đóng góp phần mềm từ Tech Soup cho những thứ như SCCM. Nhưng, tôi thực sự không biết điều này có đáng không.

Tôi đánh giá cao EmesyWare. Đó là một sản phẩm trả tiền nhưng không quá đắt. Nó sẽ triển khai các bản cập nhật cho các sản phẩm không phải MS của bạn (tôi thích các bản cập nhật Java và Adobe) và cho phép bạn đóng gói và triển khai phần mềm.

Ý nghĩa của việc nâng cấp tên miền của chúng tôi lên phiên bản Server 2008 R2, để cho phép chúng tôi sử dụng GPP là gì? Tôi nên đề cập rằng chúng tôi có hai máy chủ thành viên trên miền đang chạy Windows NT. Đây là những thiết bị cơ bản chỉ được sử dụng cho hệ thống thư thoại của chúng tôi. Tôi không muốn những thứ này bị phá vỡ. Chúng tôi đã có một vấn đề với việc nâng cấp bộ điều khiển miền của chúng tôi với SMB, nhưng tôi đã có thể tìm ra cách giải quyết của việc hạ thấp cài đặt bảo mật. Bất kỳ vấn đề gì nếu chúng tôi nâng cấp phiên bản tên miền? Có vẻ như câu trả lời là không, nhưng tôi hy vọng sẽ tìm hiểu về một số trải nghiệm trong thế giới thực.

Tôi không thể nhận xét, tôi vẫn ở cấp độ chức năng 2003.

số 8.

Máy chủ thành viên không ảnh hưởng đến cấp chức năng của tên miền của bạn. Chỉ có DC sẽ yêu cầu điều này. Nếu tất cả các DC của bạn là 2008 trở lên, bạn có thể nâng Cấp chức năng lên 2008 mà không gặp phải bất kỳ vấn đề nào.

Đã chuyển từ 30.000 dòng kịch bản đăng nhập trên 4.000 PC sang GPP thuần túy mà không có vấn đề gì với XP SP2 với tiện ích bổ sung GPP. Chúng tôi đã sử dụng bộ lọc GP Security và bộ lọc GPP để kiểm soát hầu hết các chính sách thông qua AD Universal Groups thay vì OU. OU là tuyến tính không cho phép sự linh hoạt mà cuối cùng bạn có thể cần, trong khi các bộ lọc Bảo mật thuần túy cho phép một thiết kế không bị ràng buộc trong thiết kế OU của bạn.

Nhìn lại, với GPP rất linh hoạt, có lẽ tôi đã đặt tất cả các GPP dựa trên người dùng vào một GPO duy nhất để tiết kiệm thời gian tải. Ban đầu, chúng tôi đã triển khai GPP với GPO mới cho mỗi tính năng GPP: một cho ánh xạ ổ đĩa, một cho mục ưa thích, v.v. Đó là hàng trăm cài đặt nhưng tôi tưởng tượng sẽ nhanh hơn khi xử lý như một GPO duy nhất (là tệp XML cho GPP ).

Đối với tốc độ, trong XP, giữ các cài đặt Máy tính và Người dùng của bạn ở các GPO riêng biệt và vô hiệu hóa ở cấp GPO mà bạn chưa từng sử dụng trong GPO đó. Trong Windows 7, đây không phải là một vấn đề.

Khoảng một năm rưỡi trước, công ty của tôi đã trải qua quá trình này. Chúng tôi là tất cả XP (khoảng 700 chỗ ngồi), máy chủ 2003 (tên miền cũng), với một loạt các kịch bản như mọi người khác. Chúng tôi cũng có ScriptLogic mà tôi không thích. Chúng tôi đã triển khai GPP cho các máy XP của mình, nâng cấp các chức năng và bắt đầu di chuyển mọi thứ được thực hiện qua tập lệnh sang GPP và đã thành công lớn. Kể từ đó, chúng tôi đã thêm hàng tá mặt hàng vào GPP. Tất cả ánh xạ ổ đĩa được thực hiện ở đó, rất nhiều bản sao tệp, phím tắt, regkey, v.v ... Tôi chắc chắn có thể nói rằng chúng tôi là những người sử dụng GPP rất nặng. Chúng tôi sử dụng nhắm mục tiêu cấp mục trên phần lớn các mục (không có tác động đáng chú ý). Chúng tôi đã chuyển sang Windows 7 và cũng sử dụng bộ lọc GPO thích hợp được lọc bằng GPMI cũng chứa đầy GPP và có rất ít vấn đề. Không có gì nghiêm trọng. Từ khởi động nguội đến máy tính để bàn sẵn sàng sử dụng, chúng tôi chỉ mất 3 phút hoặc ít hơn.

1. Việc triển khai GPP sang XP rất đơn giản đối với chúng tôi. Chúng tôi chỉ đảm bảo rằng nó có trên hình ảnh của chúng tôi (hoặc trong quá trình hình ảnh) và đã đến tất cả các PC trước khi chúng tôi bắt đầu sử dụng GPP.
2. Vào thời điểm chúng tôi ở trên XP SP2
3. 3 phút hoặc ít hơn từ tắt nguồn cho máy tính để bàn có thể sử dụng với rất nhiều GPO và rất nhiều GPP. Tôi nghĩ điều đó khá tốt. Một cảnh báo - chúng tôi không triển khai máy in bằng GPP - đây là một lĩnh vực mà chúng tôi đã gặp phải một số vấn đề, nhưng chủ yếu dựa trên hiệu suất. Điều này làm chậm đăng nhập khá một chút trong một số trường hợp vì vậy chúng tôi đã tắt nó.
4. Chúng tôi theo dõi thời gian khởi động và đăng nhập (thông qua các mục nhật ký sự kiện trên máy tính để bàn) bằng cách sử dụng tập lệnh tùy chỉnh để viết SQL DB từ xa.
5. Nhật ký sự kiện là bạn của bạn. Nếu bạn sắp di chuyển, đó là thời gian để dọn dẹp, đừng sử dụng lại GPO. Tạo cái mới chỉ với những gì bạn cần. Sử dụng lọc WMI khi có thể và chỉ cần làm theo các thực tiễn tốt nhất (nghĩa là tắt Cài đặt người dùng trên GPO chỉ áp dụng cho máy tính ... vv)
6. Chúng tôi sử dụng kết hợp GPO với GPP, SCCM, WSUS và AppV. Chúng tôi đã bật chuyển hướng thư mục (với VSS), tắt hồ sơ chuyển vùng và mọi người đều rất hài lòng với môi trường.
7. Đối với bạn, tùy thuộc vào mức độ lớn hay nhỏ, tôi có thể sẽ không đề xuất SCCM mặc dù tôi thích nó, nhưng tôi chắc chắn rất khuyến khích AppV. Không thể đề nghị nó đủ cao.
8. miễn bình luận