У нас есть организация, насчитывающая около 1200 клиентов для ПК с Windows в сети Active Directory. Мы заметили, что существуют случайные системы, в которых не установлены политики.
Например, в наших политиках указано, что система Windows должна уведомлять об обновлениях, но не применять их. У нас есть группа систем после обновлений в течение лета, которые загружают обновления и перезагружаются, даже если никто не вошел в систему. Проблема в том, что на этих системах установлено Deep Freeze, поэтому при перезагрузке любое примененное исправление затем стирается и поэтому они снова запускают цикл загрузки / перезагрузки, до бесконечности. Другие пользователи входят в систему, и появляется всплывающее уведомление о том, что он перезагрузится через пять минут, если вы не нажмете «Позже».
В прошлом мы видели проблемы с такими вещами, как блокирование доступа к диску C: в политиках AD; обычно системы скрывали диски, в некоторых системах, казалось бы, случайным образом, пользователи входили в систему и получали доступ.
Обновление политики из командной строки, похоже, не решило проблему, но иногда исправляла пара перезагрузок. Эти системы, похоже, имеют доступ к сети при запуске, поэтому они должны иметь возможность связываться с серверами AD (плюс пользователи могут входить в них, поэтому они должны иметь возможность аутентифицироваться, поскольку замороженные системы заморожены без кэшированных профилей).
Является ли это нормальным для политик AD не всегда «брать» клиентов, или есть что-то, что следует проверить? Другие люди сталкиваются с таким ожидаемым поведением? Я знаю, что политики AD должны обновляться на клиентах случайным образом, но когда мы запустили команду для ручного обновления политик, это не помогло решить проблему.
Пароль учетной записи компьютера обычно меняется каждые 30 дней. Если DeepFreeze не позволяет сохранить новый пароль на компьютере, возможно, произойдет сбой GPO на уровне компьютера, поскольку компьютер не сможет войти в AD.
Вы можете отключить автоматическую смену пароля (хотя это не рекомендуется): http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/580.mspx
Похоже, что это (или, по крайней мере, была) известная проблема с DeepFreeze: http://universitytechnology.blogspot.com/2008/03/session-setup-from-computer.html
Применение групповой политики было очень надежный, по моему опыту. Практически каждый случай устранения неполадок, который я выполнял для клиентов, у которых периодически возникают проблемы с применением политик, разбивается на:
Политики не применяются в нужном месте (например, пытается применить политику компьютера к пользователям, политику пользователя к компьютерам, не понимая обработку политики обратной связи или фильтрация применения политики по членству в группе)
Неаккуратные DNS-серверы, используемые клиентскими компьютерами (плохое сетевое подключение к DNS, DNS-серверы интернет-провайдеров, названные «вторичными» DNS-серверами)
Функция "распознавания носителей", из-за которой сетевые адаптеры не имеют возможности подключения к сети на достаточно раннем этапе процесса загрузки (см. http://support.microsoft.com/kb/239924).
На мой взгляд, параметр «Всегда ждать компьютер при запуске и входе в систему» в разделе «Параметры компьютера» / «Административные шаблоны» / «Система» / «Сеть» должен быть установлен в значение «Включено» в политике, указанной в корне домена. Этот параметр приводит к тому, что обработка групповой политики при загрузке и входе в систему применяется синхронно (то есть она завершается до появления окна входа в систему при загрузке или до отображения рабочего стола при входе в систему).
Синхронное приложение было поведением Windows 2000 по умолчанию, и в то время Microsoft рекомендовала не использовать асинхронное приложение, потому что оно могло действовать недетерминированно. Microsoft изменила поведение Windows XP на асинхронное, и, конечно же, некоторые клиентские расширения групповой политики (например, политика установки программного обеспечения) действуют несколько случайно и хитроумно. Я всегда принудительно возвращаю приложение политики к синхронной настройке, даже если это немного замедляет загрузку и вход в систему.
Я не могу сказать вам, как «Deep Freeze» может взаимодействовать с групповой политикой, потому что я никогда не использовал подобное программное обеспечение. (Я знаю, что он делает, но не использовал его.) Я работал с тонкими клиентскими устройствами под управлением Windows XP Embedded, работающими на флэш-дисках, которые правильно применяли политики при каждой загрузке, даже если они использовали " расширенный фильтр записи »и эффективно« сбрасывает »обратно к предыдущей конфигурации при каждой загрузке.
Ваша «пара перезагрузок» заставляет меня думать, что вы наблюдаете проблемы с асинхронной обработкой политик. Ваш журнал событий, вероятно, сообщит вам, за исключением того, что ваше программное обеспечение «Deep Freeze», вероятно, не позволяет записи в журнал событий быть постоянными, поэтому вам придется проверить журнал перед перезагрузкой.
Есть ли у вас объект групповой политики, который сообщает компьютерам Deep Freeze о необходимости автоматической загрузки и установки обновлений и перезагрузки? Вы можете запустить rsop.msc, чтобы определить, какие объекты групповой политики применяются к ПК и какая политика устанавливает политику автоматического обновления. В редакторе групповой политики (gpedit.msc) он находится в разделе Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Центр обновления Windows. Первым делом нужно переместить эти ПК в другое подразделение, если это так, и вывести их из пути обновления GPO (в зависимости от того, откуда он в структуре AD). Независимо от настроек частоты обновления GP, вам нужно будет остановить применение GPO обновления к системам, если это так.
Другой сценарий заключается в том, что у вас «заморожены» настройки автоматического обновления и перезагрузки, и GP не имеет возможности принудительно запретить выполнение этого параметра до того, как он решит загрузить обновления и перезагрузиться. Я не совсем уверен, как работает Deep Freeze - если он вообще предотвращает изменение некоторых настроек или их можно изменить, но после перезагрузки они возвращаются к предыдущим настройкам.