Ускорение групповой политики, и как реализация предпочтений групповой политики повлияет на время входа в систему?

Я ищу несколько советов по ускорению и модернизации нашей системы входа в систему, чтобы сделать ее более надежной и быстрой.

Я унаследовал старую систему входа в систему, которая изначально была перенесена из Novell Netware. В настоящее время мы используем Windows Server 2008 R2, но версия домена по-прежнему Windows 2000 (по теории, если она не сломана, не исправляйте ее). Мы хотели бы в конечном итоге перейти на Windows 7, но у нас будет сочетание Windows 7 и Windows XP SP3 в течение как минимум нескольких лет. У нас есть несколько машин с пакетом обновления 2 (SP2), но мы можем позволить себе заменить их, если невозможно обновить до SP3.

В настоящее время мы в основном полагаемся на сценарии входа в систему, в основном написанные на Kixtart, но некоторые из которых написаны на VBScript, а также на оболочке Windows BAT. Сценарии входа в систему сопоставляют диски и принтеры, устанавливают быстрые обходные пути для проблем безопасности или незначительных ошибок, когда нет официального исправления (например, недавняя проблема безопасности winhelp.exe), устанавливают программное обеспечение и выполняют различные задачи, такие как резервное копирование некоторых параметров, таких как IE Favorites, на случай компьютеров должны быть reimaged.

У нас также включено небольшое количество групповых политик. Они реализуют некоторые настройки безопасности, в основном. Я экспериментировал с использованием GPO для установки программного обеспечения, но я не нашел это практичным. Слишком большая часть нашего программного обеспечения не использует MSI, и часы, которые я потратил, пытаясь сделать захват MSI, были бесполезными в одном случае, когда я попробовал его. В итоге оказалось проще просто использовать скрипт для автоматической установки. Более того, обслуживание - это боль, так же как и в случае отложенных загрузок, если машина слишком долго выключалась. Я не против вернуться к этому, но казалось, что сценарии работают нормально, поэтому я никогда не был вынужден тратить на это больше времени.

Наша система работает нормально, но она немного негибкая. Он был разработан для регистрации информации о каждом входе в систему в централизованно хранимом файле на основе идентификатора для каждого входа в систему, и проблемы с разрешениями (например, при одновременном входе в систему с одним именем пользователя) время от времени приводят к возникновению этой проблемы. Мы полагаемся на флаги, чтобы определить, было ли ранее установлено программное обеспечение, которое может быть хрупким и иногда приводить к ненужным установкам (например, если новый пользователь входит в систему на рабочей станции). Это несколько медленно, особенно в области групповой политики. Я попытался сделать профиль, и я думаю, что это занимает около 300 секунд (может быть несколько выключен). Типичный пользователь будет применять около 8 небольших политик. У нас около 12 подразделений, но мы используем фильтрацию WMI для некоторых групповых политик.

Мы сопоставляем около 8 общих дисков (на основе членства в группах, а не OU) и около 20 принтеров (каждый получает каждый принтер, но разные серверы печати для каждого сайта). Потребности в программном обеспечении довольно сильно варьируются в зависимости от OU, но некоторым людям за пределами OU может также понадобиться программное обеспечение.

Мои вопросы:

1. Насколько сложно развернуть GPP? Учитывая, что Windows XP изначально не поддерживает это, верно? Нам нужно установить клиентские расширения?
2. Надежен ли GPP в Windows XP SP3? Погуглив, я обнаружил некоторые ссылки на ошибки и медленную производительность. Соответствует ли это текущему статусу этого продукта?
3. Как производительность / накладные расходы GPP сравниваются с использованием kixtart или vbscript для таких вещей, как сопоставление дисков и установка принтеров?
4. Какую практику следует использовать для отслеживания успешных / неудачных входов в систему? У нашей нынешней системы слишком много накладных расходов. Должно ли это быть сохранено в журнале событий? На какой машине? В центре или на локальном рабочем столе? В настоящее время мы используем журналы в качестве инструмента отладки, а также для определения, когда пользователь последний раз входил в домен.
5. Что я должен попытаться ускорить нашу текущую инфраструктуру групповой политики? Я думаю, что это занимает много времени при запуске. Есть идеи, с чего начать устранение неполадок?
6. Каковы лучшие практики для создания современной системы входа в систему для решения задач, которые я упомянул? Сопоставьте диски, подключите принтеры, установите программное обеспечение, установите исправления и выполните различные процедуры резервного копирования и тому подобное. Какие инструменты вы любите и рекомендуете для этой работы?
7. Каков наилучший способ установить программное обеспечение, которое еще не аккуратно упаковано в MSI? Мы некоммерческие и можем получить пожертвования на программное обеспечение от Tech Soup, например, SCCM. Но я действительно не знаю, стоит ли это того.
8. Каковы последствия обновления нашего домена до версии Server 2008 R2, чтобы мы могли использовать GPP? Я должен упомянуть, что у нас есть два рядовых сервера в нашем домене под управлением Windows NT. Это в основном устройства, используемые только для нашей системы голосовой почты. Я не хочу, чтобы они сломались. У нас была проблема с обновлением наших контроллеров домена с помощью SMB, но я смог найти обходной путь снижения настроек безопасности. Есть ли ошибки, если мы обновим версию домена? Кажется, что ответ должен быть нет, но я надеюсь узнать о некоторых реальных событиях.

Извините, что так затянуто, это оказалось более сложным, чем я думал, это будет спросить. Любые мысли о вашем личном опыте будут полезны. Я единственный технический специалист в нашей команде ИТ.

Привет от другого некоммерческого ЕГО человека. :)

Насколько сложно развернуть GPP? Учитывая, что Windows XP изначально не поддерживает это, верно? Нам нужно установить клиентские расширения?

GPP довольно прост, если ваши системы XP SP3 и недавно исправлены. Я редко видел проблемы, связанные с предпочтениями. Если у вас уже есть WSUS, вы сможете проверить, что на всех ваших системах установлен необходимый клиент.

Надежен ли GPP в Windows XP SP3? Погуглив, я обнаружил некоторые ссылки на ошибки и медленную производительность. Соответствует ли это текущему статусу этого продукта?

У меня не было серьезных проблем с надежностью после того, как были разработаны перечисленные выше проблемы расширения на стороне клиента.

Как производительность / накладные расходы GPP сравниваются с использованием kixtart или vbscript для таких вещей, как сопоставление дисков и установка принтеров?

Я предполагаю, что вы имеете в виду производительность рабочего стола. Если это так, то скорость между ними была незначительной в моей среде.

Какую практику следует использовать для отслеживания успешных / неудачных входов в систему? У нашей нынешней системы слишком много накладных расходов. Должно ли это быть сохранено в журнале событий? На какой машине? В центре или на локальном рабочем столе? В настоящее время мы используем журналы в качестве инструмента отладки, а также для определения, когда пользователь последний раз входил в домен.

У нас есть пара систем, унаследованная система (очень похоже на то, что вы описываете, я бы хотел, чтобы она была удалена) и аудит журнала событий для успешных и неудачных попыток входа в систему. Включить аудит на ваших контроллерах домена будет достаточно. Я предлагаю использовать Splunk для сбора логов, но это вопрос выбора.

Что я должен попытаться ускорить нашу текущую инфраструктуру групповой политики? Я думаю, что это занимает много времени при запуске. Есть идеи, с чего начать устранение неполадок?

Каковы лучшие практики для создания современной системы входа в систему для решения задач, которые я упомянул? Сопоставьте диски, подключите принтеры, установите программное обеспечение, установите исправления и выполните различные процедуры резервного копирования и тому подобное. Какие инструменты вы любите и рекомендуете для этой работы?

Мне очень повезло с GPP, перечисленным выше. Подавляющее большинство задач запуска может быть выполнено с помощью нескольких настроек GPP.

Каков наилучший способ установить программное обеспечение, которое еще не аккуратно упаковано в MSI? Мы некоммерческие и можем получить пожертвования на программное обеспечение от Tech Soup, например, SCCM. Но я действительно не знаю, стоит ли это того.

Я очень рекомендую EminentWare. Это платный продукт, но не слишком дорогой. Он будет развертывать обновления для ваших продуктов не MS (я люблю обновления Java и Adobe) и позволяет вам упаковывать и развертывать программное обеспечение.

Каковы последствия обновления нашего домена до версии Server 2008 R2, чтобы мы могли использовать GPP? Я должен упомянуть, что у нас есть два рядовых сервера в нашем домене под управлением Windows NT. Это в основном устройства, используемые только для нашей системы голосовой почты. Я не хочу, чтобы они сломались. У нас была проблема с обновлением наших контроллеров домена с помощью SMB, но я смог найти обходной путь снижения настроек безопасности. Есть ли ошибки, если мы обновим версию домена? Кажется, что ответ должен быть нет, но я надеюсь узнать о некоторых реальных событиях.

Я не могу комментировать, я все еще на функциональном уровне 2003 года.

8.

Рядовой сервер не влияет на уровень функций вашего домена. Только DC будут требовать этого. Если все ваши контроллеры домена 2008 и выше, вы можете поднять функциональный уровень до 2008 года без каких-либо проблем.

Перешел с 30 000 строк сценария входа в систему на 4000 ПК на чистый GPP, практически без проблем в XP SP2 с надстройкой GPP. Мы использовали фильтры безопасности GP и фильтры GPP для управления большинством политик через универсальные группы AD, а не OU. Линейные подразделения не допускают гибкости, которая может вам понадобиться, в то время как чистые фильтры безопасности позволяют проектировать без ограничений вашего дизайна подразделений.

Оглядываясь назад, с учетом того, что GPP настолько гибок, я бы, вероятно, поместил все пользовательские GPP в один GPO, чтобы сэкономить время загрузки. Сначала мы внедрили GPP с новым GPO для каждой функции GPP: один для сопоставления дисков, один для избранного и т. Д. Это были сотни настроек, но я думаю, что было бы быстрее обрабатывать как один GPO (который является XML-файлом для GPP). ).

Для ускорения, в XP храните настройки компьютера и пользователя в отдельных объектах групповой политики и отключайте их на уровне объекта групповой политики, который вы никогда не используете в этом объекте групповой политики. В Windows 7 это не проблема.

Около полутора лет назад моя фирма прошла через этот процесс. Все мы были XP (около 700 мест), server 2003 (также домен), с кучей скриптов, как и все остальные. У нас также был ScriptLogic, который мне не понравился. Мы развернули GPP на наших компьютерах с XP, обновили функциональные уровни и начали переносить вещи, выполненные с помощью сценариев, на GPP, и имели большой успех. С тех пор мы добавили много десятков предметов в GPP. Здесь выполняется все сопоставление дисков, множество копий файлов, ярлыков, повторных ключей и т. Д. Я могу, конечно, сказать, что мы очень активные пользователи GPP. Мы используем таргетинг на уровне предметов на подавляющее большинство предметов (без заметного влияния). Мы перешли на Windows 7 и также использовали фильтрацию WMI, связанную с соответствующими объектами GPO, также заполненными GPP, и у нас было очень мало проблем. Ничего серьезного. От холодного старта до готового к использованию рабочего стола у нас 3 минуты или меньше.

1. Развертывание GPP в XP было для нас простым. Мы просто убедились, что это было на нашем образе (или в процессе обработки изображений) и добрались до всех ПК, прежде чем мы начнем использовать GPP.
2. В то время мы были на XP SP2
3. 3 минуты или меньше от отключения питания до рабочего стола с большим количеством GPO и GPP. Я думаю, что это довольно хорошо. Одно предостережение - мы не разворачиваем принтеры с использованием GPP - это одна из областей, в которой у нас были некоторые проблемы, но в основном основанные на производительности. В некоторых случаях это сильно замедляло вход в систему, поэтому мы отключили это.
4. Мы отслеживаем время загрузки и входа в систему (через собственные записи в журнале событий рабочего стола), используя специальный сценарий записи в удаленную базу данных SQL.
5. Журнал событий - ваш друг. Если вы собираетесь мигрировать, это время для очистки, не используйте повторно объекты групповой политики. Создавайте новые только с тем, что вам нужно. Используйте фильтрацию WMI, где это возможно, и просто следуйте рекомендациям (например, отключите пользовательские настройки для объектов групповой политики, применяемых только к компьютерам ... и т. Д.)
6. Мы используем комбинацию GPO с GPP, SCCM, WSUS и AppV. Мы включили перенаправление папок (с VSS), отключили перемещаемые профили, и все очень довольны окружающей средой.
7. Для вас, в зависимости от размера или размера, я, вероятно, не рекомендую SCCM, хотя мне это нравится, но я, безусловно, очень рекомендую AppV. Не могу рекомендовать это достаточно высоко.
8. без комментариев