Мне нужен совет по ускорению и обновлению нашей системы входа в систему, чтобы сделать ее более надежной и быстрой.
Я унаследовал старую систему входа в систему, которая изначально была перенесена с Novell Netware. В настоящее время мы работаем под Windows Server 2008 R2, но доменной версией по-прежнему является Windows 2000 (теоретически, если она не сломалась, не чините ее). Мы хотели бы в конечном итоге перейти на Windows 7, но у нас будет сочетание Windows 7 и Windows XP SP3, по крайней мере, в течение нескольких лет. У нас есть несколько компьютеров с пакетом обновления 2 (SP2), но мы можем позволить себе заменить их, если невозможно выполнить обновление до SP3.
В настоящее время мы полагаемся в первую очередь на сценарии входа в систему, в основном написанные на Kixtart, но некоторые из которых написаны на VBScript и с оболочкой Windows BAT. Сценарии входа в систему сопоставляют диски и принтеры, устанавливают быстрые обходные пути для проблем с безопасностью или незначительных ошибок, когда нет официального патча (например, недавняя проблема безопасности winhelp.exe), устанавливают программное обеспечение и выполняют разные задачи, такие как резервное копирование некоторых настроек, таких как Избранное IE, на случай машины нужно переосмыслить.
У нас также включено небольшое количество групповых политик. В основном они реализуют некоторые настройки безопасности. Я экспериментировал с использованием GPO для установки программного обеспечения, но не нашел это практичным. Слишком большая часть нашего программного обеспечения не использует MSI, и часы, которые я потратил на попытки сделать захват с MSI, оказались ничтожными, когда я однажды попробовал его. В итоге стало проще просто использовать сценарий для автоматической установки. Более того, техническое обслуживание - это боль, как и работа с отложенной загрузкой, если машина была выключена слишком долго. Я не против еще раз вернуться к этому, но казалось, что скрипты работают нормально, поэтому мне никогда не приходилось тратить на это больше времени.
Наша система работает нормально, но немного негибкая. Он был разработан для регистрации информации о каждом входе в централизованно хранимый файл для каждого идентификатора входа, и проблемы с разрешениями (например, при одновременном входе в систему с одним именем пользователя) часто вызывают это. Мы полагаемся на флаги, чтобы определить, было ли ранее установлено программное обеспечение, которое может быть хрупким и иногда приводит к ненужным установкам (например, если новый пользователь входит на рабочую станцию). Это несколько медленно, особенно со стороны групповой политики. Я попытался создать профиль, и, думаю, это займет около 300 секунд (может быть несколько не так). Типичный пользователь применяет около 8 небольших политик. У нас около 12 подразделений, но мы используем фильтрацию WMI для некоторых групповых политик.
Мы сопоставляем около 8 общих дисков (на основе членства в группах, а не подразделений) и около 20 принтеров (каждый получает каждый принтер, но отдельный сервер печати для каждого сайта). Потребности в программном обеспечении сильно различаются в зависимости от подразделения, но некоторым людям за пределами подразделения оно может также понадобиться.
Мои вопросы:
Извините за такую многословность, это оказалось более сложным, чем я ожидал, если бы спросил. Любые мысли о вашем личном опыте были бы полезны. Я единственный технический специалист в нашей ИТ-команде.
Привет от другого некоммерческого лица. :)
Насколько сложно развернуть GPP? Учитывая, что Windows XP изначально не поддерживает это, верно? Нам нужно установить расширения на стороне клиента?
GPP довольно просты, если ваши системы XP SP3 и недавно исправлены. Редко сталкивался с проблемами, связанными с настройками. Если у вас уже есть WSUS, вы сможете проверить, что на всех ваших системах установлен необходимый клиент.
Надежен ли GPP на Windows XP SP3? Погуглив, я обнаружил несколько ссылок на ошибки и низкую производительность. Соответствует ли это текущему статусу этого продукта?
У меня не было серьезных проблем с надежностью после того, как были решены перечисленные выше проблемы с расширениями на стороне клиента.
Как производительность / накладные расходы GPP сравниваются с использованием kixtart или vbscript для таких вещей, как отображение дисков и установка принтеров?
Я предполагаю, что вы имеете в виду производительность настольного компьютера. Если это так, то в моей среде скорость между ними была незначительной.
Что лучше всего использовать для отслеживания успешных / неудачных входов в систему? У нашей нынешней системы слишком много накладных расходов. Следует ли это хранить в журнале событий? На какой машине? Централизованно или на локальном рабочем столе? В настоящее время мы используем журналы в качестве инструмента отладки, а также для определения того, когда пользователь в последний раз входил в домен.
У нас есть пара систем, устаревшая система (очень похожая на то, что вы описываете, я бы хотел, чтобы она была удалена) и аудит журнала событий для успешных и неудачных попыток входа в систему. Достаточно включить аудит на контроллерах домена. Я предлагаю использовать Splunk для сбора ваших журналов, но это вопрос выбора.
Что я должен попытаться ускорить нашу текущую инфраструктуру групповой политики? Думаю, именно это занимает много времени при запуске. Есть идеи, с чего начать устранение неполадок?
Каковы передовые методы создания современной системы входа в систему для решения упомянутых мною задач? Сопоставляйте диски, сопоставляйте принтеры, устанавливайте программное обеспечение, устанавливайте исправления и выполняйте различные процедуры резервного копирования и тому подобное. Какие инструменты вы любите и рекомендуете для этой работы?
Мне очень повезло с перечисленным выше GPP. Подавляющее большинство задач запуска можно выполнить с помощью нескольких настроек GPP.
Как лучше всего установить программное обеспечение, которое еще не упаковано в MSI? Мы некоммерческая организация и можем получить пожертвования на программное обеспечение от Tech Soup, например, SCCM. Но я действительно не знаю, стоит ли это того.
Я очень рекомендую EminentWare. Это платный продукт, но не слишком дорогой. Он будет развертывать обновления для ваших продуктов, отличных от MS (мне нравятся обновления Java и Adobe), и позволяет вам упаковывать и развертывать программное обеспечение.
Каковы последствия обновления нашего домена до версии Server 2008 R2, чтобы мы могли использовать GPP? Я должен упомянуть, что в нашем домене есть два рядовых сервера, работающих под управлением Windows NT. В основном это устройства, используемые только для нашей системы голосовой почты. Я не хочу, чтобы они сломались. У нас была проблема с обновлением наших контроллеров домена с помощью SMB, но я смог найти обходной путь снижения настроек безопасности. Есть ли проблемы, если мы обновим версию домена? Кажется, что ответ должен быть отрицательным, но я надеюсь узнать о некоторых реальных событиях.
Я не могу комментировать, я все еще на функциональном уровне 2003 года.
8.
Рядовой сервер не влияет на функциональный уровень вашего домена. Это потребуется только для DC. Если все ваши DC относятся к 2008 году и старше, вы можете без проблем поднять функциональный уровень до 2008 года.
Перемещено с 30 000 строк сценария входа в систему на 4 000 ПК на чистый GPP без каких-либо проблем с XP SP2 с надстройкой GPP. Мы использовали фильтры безопасности GP и фильтры GPP для управления большинством политик через универсальные группы AD, а не через подразделения. Линейность OU не обеспечивает гибкости, которая может вам в конечном итоге понадобиться, тогда как чистые фильтры безопасности позволяют создавать дизайн, свободный от ограничений дизайна вашего OU.
Оглядываясь назад, можно сказать, что с такой гибкостью GPP, я бы, вероятно, поместил все пользовательские GPP в один GPO, чтобы сэкономить время загрузки. Изначально мы реализовали GPP с новым GPO для каждой функции GPP: один для сопоставления дисков, один для избранного и т. Д. Это были сотни настроек, но я полагаю, было бы быстрее обрабатывать как один GPO (который является файлом XML для GPP ).
Для скорости в XP сохраните настройки компьютера и пользователя в отдельных объектах групповой политики и отключите их на уровне групповой политики, которые вы никогда не используете в этом объекте групповой политики. В Windows 7 это не проблема.
Примерно полтора года назад моя фирма прошла через этот процесс. Мы все были XP (около 700 мест), server 2003 (тоже домен), с кучей скриптов, как и все остальные. Еще у нас был ScriptLogic, который мне не понравился. Мы развернули GPP на наших машинах XP, обновили функциональные уровни и начали перенос вещей, выполненных через скрипт, на GPP, и добились большого успеха. С тех пор мы добавили в GPP много десятков предметов. Все сопоставления дисков выполняются там, множество копий файлов, ярлыков, ключей regkeys и т. Д. Я могу с уверенностью сказать, что мы очень интенсивные пользователи GPP. Мы используем таргетинг на уровне элементов для подавляющего большинства элементов (без заметного воздействия). Мы перешли на Windows 7 и также использовали фильтрацию WMI, связанные с соответствующими объектами групповой политики, также заполненными GPP, и у нас было очень мало проблем. Ничего серьезного. От холодной загрузки до готового к использованию рабочего стола у нас остается 3 минуты или меньше.