Назад | Перейти на главную страницу

Хранить сценарии GPO в Netlogon или в папке политики?

Лучше всего хранить сценарии входа централизованно в \\DOMAIN\Netlogon или в папку политики, которую они помещают по умолчанию, например. \\DOMAIN\SysVol\DOMAIN\Policies\{DE22B6FB-315E-4C55-BF06-A7709913CD9E}\User\Scripts\Logon?

Каковы последствия (если таковые имеются) от выбора одного места перед другим?

Я склонен просто хранить их все в Netlogon для облегчения доступа / просмотра ...

В дефолт место для пользователь Скрипты входа в систему - это общий ресурс NETLOGON, который по умолчанию реплицируется на все контроллеры домена в вашем лесу и физически расположен в:

%SystemRoot%\SYSVOL\sysvol\<domain DNS name>\scripts.

или

%SystemRoot%\SYSVOL_DFSR\sysvol\<domain DNS name>\scripts (для FRS на основе DFS, поскольку это рекомендуется с Server 2012R2 +)

Если вы установите пользователь сценарий входа в систему (ADUC> Пользователь> Свойства> Вход в систему> Сценарий входа в систему> hello.cmd), он выполняется из NETLOGON.

«Официальная» передовая практика:

  • сохраните их вместе с GPO, если вы установите его через GPO.
  • сохраните их в NETLOGON, если вы установите его как свойство пользователя в AD.

Оба местоположения синхронизируются между контроллерами домена, поэтому для меня это только личный выбор.

Мое личное мнение таково, что после определенного количества GPO, когда все в netlogon может быть трудно управлять. (например, при удалении объекта групповой политики сценарий не будет удален)

Не уверен, что это «лучшая практика», но я видел несколько сообщений в блогах, рекомендующих это, и я предпочитаю это:

У нас есть общий файловый ресурс, содержащий все вспомогательные файлы для наших объектов групповой политики, включая сценарии. Все скрипты проверяются в системе контроля версий.

Общий файловый ресурс настроен с помощью DFS, поэтому это \ domain.com \ DFS \ GPO-Files

Скрипты находятся в подкаталоге \ domain.com \ DFS \ GPO-Files \ Scripts

В объекте групповой политики вы вызываете сценарий «powershell.exe» и в качестве параметров задаете -File PathToScript.

Мне нравится этот подход, потому что файлы и сценарии GPO находятся в хорошо известном месте, а не в папке с именем GUID.

Он также позволяет лучше контролировать способ вызова powershell.exe, например ExecutionPolicy.