Я хочу использовать Chef для автоматизации настройки параметров групповой политики, контролируемых активным каталогом (обычно на основном PDC для каждого леса).
Я не могу найти никаких конкретных функций AD GPO в рецепте Windows рецепт оконной рекламы или рецепт местной политики это локальные политики безопасности или присоединение компьютеров к домену - я ничего не могу найти по управлению AD GPO.
Будет ли это случай написания рецепта для установки значений, хранящихся в центральном хранилище AD в соответствии с http://techgenix.com/group-policy-settings-part1/? Или это действительно плохая идея?
В качестве альтернативы мы можем запустить утилиту, чтобы передать известное состояние (Powershell DSC) контроллеру домена и просто перезаписать то, что было раньше? Можно экспортировать https://github.com/microsoft/BaselineManagement, или сценарии PowerShell для резервного копирования-gpo и restore-gpo.
Короче говоря, нам нужен базовый набор политик Windows AD, который мы применяем в качестве стандарта ко всем (независимым отдельным лесам) контроллерам домена, когда они выходят из коробки или устанавливаются в качестве новой управляемой инфраструктуры, а также обновляют GPO из одна команда на нескольких серверах в будущем.
Прежде чем я начну делать это сам, это плохая идея (неправильный инструмент для работы) или изобретать колесо (сделано раньше)?