Я ищу способ управлять групповой политикой в нескольких доменах, некоторые из которых находятся в одном лесу, а другие - в отдельных лесах. Я не видел этого раньше и не могу найти ничего в пространстве DevOps, чтобы сказать, что это можно сделать через DSC или какой-либо другой инструмент.
По сути, я пытаюсь добиться единообразия в нескольких доменах и иметь единый способ применить его ко всем. Это подготовка к применению группы настроек, связанных с CIS, примерно к 6 доменам.
Подойдет ли DSC для этого?
Это большой вопрос. Мы поддерживаем набор базовых объектов групповой политики, которые содержат параметры, общие для нескольких доменов, и используем наш процесс управления конфигурацией, чтобы обеспечить их совместное обновление после проверки и утверждения изменений. Обновление GPO в каждом домене не автоматизировано. Изменения сначала проверяются перед экспортом настроек и импортом в каждый домен.
В зависимости от ожидаемого воздействия, мы можем захотеть внедрить изменения систематически, а не все сразу. И нам, возможно, потребуется согласовать изменения с клиентами нижнего уровня. Было бы неплохо, если бы это автоматизировалось, но у нас не было бы такого контроля над развертыванием. В стабильной производственной среде такие изменения вносить очень редко, но когда вы это делаете, это следует тщательно контролировать.
Мне любопытно услышать, как это удается другим. DSC может делать почти все, если вы его разрабатываете.