Mempercepat Kebijakan Grup, dan bagaimana penerapan Preferensi Kebijakan Grup memengaruhi waktu masuk?

8

Saya mencari beberapa saran untuk mempercepat dan meningkatkan sistem masuk kami untuk membuatnya lebih kuat dan lebih cepat.

Saya mewarisi sistem logon lama, yang awalnya dimigrasikan dari Novell Netware. Kami sedang menjalankan Windows Server 2008 R2, tetapi versi domainnya masih Windows 2000 (menurut teori, jika tidak rusak, jangan perbaiki). Kami pada akhirnya ingin meningkatkan ke Windows 7, tetapi kami akan memiliki campuran Windows 7 dan Windows XP SP3 selama setidaknya beberapa tahun. Kami memiliki beberapa mesin SP2, tetapi kami dapat menggantinya jika tidak memungkinkan untuk meningkatkan ke SP3.

Saat ini, kami terutama mengandalkan skrip logon, kebanyakan ditulis dalam Kixtart, tetapi dengan beberapa ditulis dalam VBScript, dan dengan pembungkus Windows BAT. Drive skrip peta drive dan printer, instal solusi cepat untuk masalah keamanan atau bug kecil ketika tidak ada patch resmi (seperti masalah keamanan winhelp.exe baru-baru ini), instal perangkat lunak, dan lakukan tugas lain-lain seperti membuat cadangan beberapa pengaturan seperti IE Favorites dalam mesin kasing perlu di reimaged.

Kami juga memiliki sejumlah kecil kebijakan grup yang diaktifkan. Mereka menerapkan beberapa pengaturan keamanan, kebanyakan. Saya sedang bereksperimen dengan menggunakan GPO untuk menginstal perangkat lunak, tetapi saya belum menemukan ini praktis. Terlalu banyak perangkat lunak kami yang tidak menggunakan MSI, dan jam-jam yang saya habiskan untuk mencoba menangkap MSI tidak menguntungkan pada satu kesempatan saya mencobanya. Akhirnya menjadi lebih mudah hanya dengan menggunakan skrip untuk melakukan instalasi tanpa pengawasan. Terlebih lagi, pemeliharaan itu menyusahkan, seperti halnya berurusan dengan boot yang tertunda jika mesin terlalu lama dimatikan. Saya tidak keberatan meninjau kembali ini, tetapi tampaknya skrip bekerja dengan baik, jadi saya tidak pernah dipaksa untuk menginvestasikan lebih banyak waktu ke dalam ini.

Sistem kami berfungsi dengan baik, tetapi sedikit tidak fleksibel. Itu dirancang untuk mencatat informasi pada setiap masuk ke file yang disimpan secara terpusat pada basis ID per-login, dan masalah izin (seperti dengan masuk secara bersamaan dengan satu nama pengguna) sering kali menjelajahinya. Kami bergantung pada tanda untuk menentukan apakah perangkat lunak telah diinstal sebelumnya, yang dapat rapuh dan terkadang menghasilkan instalasi yang tidak perlu (misalnya, pengguna baru masuk ke workstation, misalnya). Agak lambat, terutama sisi kebijakan kelompok. Saya mencoba melakukan profil, dan saya pikir ini membutuhkan waktu sekitar 300 detik (bisa agak tidak aktif). Pengguna biasa akan menerapkan sekitar 8 kebijakan kecil. Kami memiliki sekitar 12 OU tetapi menggunakan filter WMI untuk beberapa kebijakan grup.

Kami memetakan sekitar 8 drive bersama (berdasarkan keanggotaan grup, bukan OU), dan sekitar 20 printer (semua orang mendapatkan setiap printer, tetapi server cetak yang berbeda untuk setiap situs). Kebutuhan perangkat lunak bervariasi secara dramatis berdasarkan OU, tetapi beberapa orang di luar OU mungkin memerlukan perangkat lunak itu juga.

Pertanyaan saya:

  1. Seberapa sulit untuk menggunakan GPP? Mengingat bahwa Windows XP tidak mendukung ini, kan? Kita perlu menginstal ekstensi sisi klien?
  2. Apakah GPP dapat diandalkan pada Windows XP SP3? Googling, saya menemukan beberapa referensi bug dan kinerja lambat. Apakah ini cocok dengan status saat ini dari produk ini?
  3. Bagaimana kinerja / overhead GPP dibandingkan dengan menggunakan kixtart atau vbscript untuk hal-hal seperti memetakan drive dan menginstal printer?
  4. Apa praktik yang baik untuk digunakan untuk melacak login yang berhasil / tidak berhasil? Sistem kami saat ini tampaknya memiliki terlalu banyak overhead. Haruskah ini disimpan dalam log peristiwa? Di mesin mana? Secara terpusat, atau di desktop lokal? Kami menggunakan log sebagai alat debugging saat ini, dan juga untuk menentukan kapan pengguna terakhir masuk ke domain.
  5. Apa yang harus saya coba untuk mempercepat infrastruktur Kebijakan Grup kami saat ini? Saya pikir inilah yang membutuhkan waktu lama di startup. Ada ide untuk mulai dari mana memecahkan masalah ini?
  6. Apa praktik terbaik untuk membuat sistem masuk modern untuk menangani tugas yang saya sebutkan? Peta drive, memetakan printer, menginstal perangkat lunak, menginstal tambalan dan melakukan rutinitas cadangan lain-lain dan sejenisnya. Alat apa yang Anda sukai dan rekomendasikan untuk pekerjaan ini?
  7. Apa cara terbaik untuk menginstal perangkat lunak yang tidak dikemas dengan rapi dalam MSI? Kami adalah organisasi nirlaba dan bisa mendapatkan sumbangan perangkat lunak dari Tech Soup untuk hal-hal seperti SCCM. Tapi, saya benar-benar tidak tahu apakah ini bermanfaat.
  8. Apa implikasi dari pemutakhiran domain kami ke versi Server 2008 R2, agar kami dapat menggunakan GPP? Saya harus menyebutkan bahwa kami memiliki dua server anggota di domain kami yang menjalankan Windows NT. Ini pada dasarnya adalah peralatan yang hanya digunakan untuk sistem pesan suara kami. Saya tidak ingin ini rusak. Kami memang memiliki masalah dengan memutakhirkan pengontrol domain kami dengan SMB, tetapi saya dapat menemukan solusi untuk menurunkan pengaturan keamanan. Adakah gotcha jika kita meningkatkan versi domain? Sepertinya jawabannya seharusnya tidak, tetapi saya berharap untuk belajar tentang beberapa pengalaman dunia nyata.

Maaf karena bertele-tele, ini ternyata lebih melibatkan daripada yang saya pikir akan bertanya. Setiap pemikiran tentang pengalaman pribadi Anda akan sangat membantu. Saya satu-satunya orang teknis di tim IT kami.

windows-server-2008-r2 group-policy login Quinten
sumber

Jawaban:

7

Salam dari orang IS nirlaba lainnya. :)

Seberapa sulit untuk menggunakan GPP? Mengingat bahwa Windows XP tidak mendukung ini, kan? Kita perlu menginstal ekstensi sisi klien?

GPP cukup mudah jika sistem Anda adalah XP SP3 dan baru-baru ini ditambal. Saya jarang melihat masalah yang terkait dengan preferensi. Jika Anda sudah memiliki WSUS, Anda harus dapat memeriksa bahwa semua sistem Anda memiliki klien yang diperlukan diinstal.

Apakah GPP dapat diandalkan pada Windows XP SP3? Googling, saya menemukan beberapa referensi bug dan kinerja lambat. Apakah ini cocok dengan status saat ini dari produk ini?

Saya belum memiliki masalah keandalan utama setelah masalah ekstensi sisi klien yang tercantum di atas berhasil.

Bagaimana kinerja / overhead GPP dibandingkan dengan menggunakan kixtart atau vbscript untuk hal-hal seperti memetakan drive dan menginstal printer?

Saya berasumsi bahwa Anda mengacu pada kinerja desktop .. Jika demikian, kecepatan antara keduanya telah diabaikan di lingkungan saya.

Apa praktik yang baik untuk digunakan untuk melacak login yang berhasil / tidak berhasil? Sistem kami saat ini tampaknya memiliki terlalu banyak overhead. Haruskah ini disimpan dalam log peristiwa? Di mesin mana? Secara terpusat, atau di desktop lokal? Kami menggunakan log sebagai alat debugging saat ini, dan juga untuk menentukan kapan pengguna terakhir masuk ke domain.

Kami memiliki beberapa sistem, sistem warisan (sangat mirip dengan apa yang Anda jelaskan, saya ingin melihatnya pensiun) dan audit log aktivitas untuk upaya masuk yang berhasil dan gagal. Aktifkan audit pada pengontrol domain Anda sudah cukup. Saya sarankan menggunakan Splunk untuk mengumpulkan log Anda tapi itu masalah pilihan.

Apa yang harus saya coba untuk mempercepat infrastruktur Kebijakan Grup kami saat ini? Saya pikir inilah yang membutuhkan waktu lama di startup. Ada ide untuk mulai dari mana memecahkan masalah ini?

Apa praktik terbaik untuk membuat sistem masuk modern untuk menangani tugas yang saya sebutkan? Peta drive, memetakan printer, menginstal perangkat lunak, menginstal tambalan dan melakukan rutinitas cadangan lain-lain dan sejenisnya. Alat apa yang Anda sukai dan rekomendasikan untuk pekerjaan ini?

Saya sudah sangat beruntung dengan GPP yang tercantum di atas. Sebagian besar tugas startup dapat diselesaikan dengan sedikit pengaturan GPP.

Apa cara terbaik untuk menginstal perangkat lunak yang tidak dikemas dengan rapi dalam MSI? Kami adalah organisasi nirlaba dan bisa mendapatkan sumbangan perangkat lunak dari Tech Soup untuk hal-hal seperti SCCM. Tapi, saya benar-benar tidak tahu apakah ini bermanfaat.

Saya sangat merekomendasikan EminentWare. Ini produk berbayar tetapi tidak terlalu mahal. Ini akan menyebarkan pembaruan untuk produk non MS Anda (Saya suka pembaruan Java dan Adobe) dan memungkinkan Anda untuk mengemas dan menggunakan perangkat lunak.

Apa implikasi dari pemutakhiran domain kami ke versi Server 2008 R2, agar kami dapat menggunakan GPP? Saya harus menyebutkan bahwa kami memiliki dua server anggota di domain kami yang menjalankan Windows NT. Ini pada dasarnya adalah peralatan yang hanya digunakan untuk sistem pesan suara kami. Saya tidak ingin ini rusak. Kami memang memiliki masalah dengan memutakhirkan pengontrol domain kami dengan SMB, tetapi saya dapat menemukan solusi untuk menurunkan pengaturan keamanan. Adakah gotcha jika kita meningkatkan versi domain? Sepertinya jawabannya seharusnya tidak, tetapi saya berharap untuk belajar tentang beberapa pengalaman dunia nyata.

Saya tidak bisa berkomentar, saya masih di level fungsional 2003.

Tim Brigham
sumber
2
+1 - Semua kecocokan dengan pengalaman saya dan saya tidak perlu menambahkan banyak. Saya akan mengatakan bahwa tingkat fungsional domain dan hutan Anda tidak akan berdampak pada komputer pengontrol non-domain.
Evan Anderson
Terima kasih, beberapa info hebat di sini! Saya berharap beberapa yang lain bisa ikut berpadu dengan pengalaman mereka juga.
Quinten
4

8.

Server anggota tidak memengaruhi tingkat fungsi domain Anda. Hanya DC yang akan membutuhkan ini. Jika semua DC Anda adalah 2008 dan di atas, Anda dapat menaikkan Level Fungsional ke 2008 tanpa masalah.

Nixphoe
sumber
3

Pindah dari 30.000 baris skrip logon pada 4.000 PC ke GPP murni dengan sedikit atau tanpa masalah pada XP SP2 dengan tambahan GPP. Kami menggunakan filter Keamanan GP dan filter GPP untuk mengontrol sebagian besar kebijakan melalui AD Universal Groups daripada OU. OU linier tidak memungkinkan fleksibilitas yang mungkin Anda butuhkan pada akhirnya, sedangkan filter Keamanan murni memungkinkan desain yang bebas dari kendala desain OU Anda.

Melihat ke belakang, dengan GPP yang sangat fleksibel, saya mungkin akan menempatkan semua GPP berbasis pengguna dalam satu GPO untuk menghemat waktu pemuatan. Kami awalnya menerapkan GPP dengan GPO baru untuk setiap fitur GPP: satu untuk pemetaan drive, satu untuk favorit, dll. Itu adalah ratusan pengaturan tapi saya bayangkan akan lebih cepat untuk memproses sebagai GPO tunggal (yang merupakan file XML untuk GPP ).

Untuk kecepatan, di XP simpan pengaturan Komputer dan Pengguna Anda di GPO terpisah dan nonaktifkan pada tingkat GPO yang pernah Anda gunakan di GPO itu. Di Windows 7 ini bukan masalah.

Bret Fisher
sumber
2

Sekitar satu setengah tahun yang lalu perusahaan saya melewati proses ini. Kami semua XP (sekitar 700 kursi), server 2003 (domain juga), dengan banyak skrip seperti yang lainnya. Kami juga memiliki ScriptLogic yang tidak saya sukai. Kami menyebarkan GPP ke mesin XP kami, meningkatkan level fungsional, dan mulai memigrasi hal-hal yang dilakukan melalui skrip ke GPP dan sukses besar. Sejak itu kami telah menambahkan banyak item ke dalam GPP. Semua pemetaan drive dilakukan di sana, banyak salinan file, pintasan, regkeys dll. Saya bisa mengatakan bahwa kami adalah pengguna GPP yang sangat berat. Kami menggunakan penargetan tingkat item pada sebagian besar item (tanpa dampak nyata). Kami bermigrasi ke Windows 7 dan juga menggunakan filtering WMI terkait GPO yang sesuai juga diisi dengan GPP dan memiliki sedikit masalah. Tidak ada yang serius. Dari boot dingin ke desktop siap pakai, kami berada pada 3 menit atau kurang.

  1. Menyebarkan GPP ke XP sangat mudah bagi kami. Kami hanya memastikan itu pada gambar kami (atau dalam proses gambar) dan sampai ke semua PC sebelum kami mulai menggunakan GPP.
  2. Saat itu kami berada di XP SP2
  3. 3 menit atau kurang dari dimatikan ke desktop yang dapat digunakan dengan banyak GPO dan banyak GPP. Saya pikir itu cukup bagus. Satu peringatan - kami tidak menggunakan printer menggunakan GPP - ini saya kira satu area di mana kami memang memiliki beberapa masalah, tetapi sebagian besar berbasis kinerja. Ini memperlambat login sedikit dalam beberapa kasus jadi kami mematikannya.
  4. Kami melacak waktu bootup dan masuk (melalui entri log peristiwa desktop asli) menggunakan penulisan skrip khusus ke SQL DB jarak jauh.
  5. Log acara adalah teman Anda. Jika Anda akan bermigrasi, inilah saatnya untuk membersihkan, jangan gunakan kembali GPO. Buat yang baru hanya dengan apa yang Anda butuhkan. Gunakan pemfilteran WMI jika memungkinkan dan ikuti saja praktik terbaik (yaitu mematikan Pengaturan Pengguna pada GPO yang hanya diterapkan pada komputer ... dll.)
  6. Kami menggunakan kombinasi GPO dengan GPP, SCCM, WSUS dan AppV. Kami menyalakan pengalihan folder (dengan VSS), mematikan profil roaming dan semua orang cukup senang dengan lingkungannya.
  7. Untuk Anda, tergantung seberapa besar atau kecil, saya mungkin tidak akan merekomendasikan SCCM walaupun saya menyukainya, tapi saya pasti sangat merekomendasikan AppV. Tidak dapat merekomendasikan ini sangat cukup.
  8. tidak ada komentar
Jordan W.
sumber
Pada # 7, kami adalah sekitar 150 staf penuh waktu, dan membengkak di musim panas hingga ~ 200 dengan sukarelawan paruh waktu dan pekerja magang. Apakah alasan Anda merekomendasikan kompleksitas SCCM?
Quinten
Ya, maksud saya ada kurva belajar untuk itu, jika Anda sudah mengetahuinya dengan cukup baik DAN bisa mendapatkannya secara gratis maka tentu saja lakukanlah. Tetapi AppV mungkin mengubah hidup Anda. SCCM hanyalah cara lain dalam melakukan sesuatu, ya itu menambah nilai tetapi tidak ada yang belum pernah kita lihat sebelumnya, tetapi AppV, jika Anda belum pernah menggunakannya sebelumnya sungguh luar biasa (untuk dork Desktop Admin seperti saya)
Jordan W.
Saya punya satu orang merekomendasikan appv kepada saya, jadi mungkin kita harus memeriksanya. Jaringan kami semuanya setengah dupleks, jadi saya sedikit khawatir tentang kinerja.
Quinten
Ya itu agak menakutkan. Tetapi dengan AppV, hanya ada penundaan nyata pada peluncuran aplikasi PERTAMA. Kemudian streaming secara lokal dan menjalankan semuanya secara lokal. Setelah itu cache dan tidak perlu melakukan streaming pertama itu lagi. Sampai atau kecuali Anda memperbarui salinan tervirtualisasi di sisi server, maka itu akan streaming ulang pembaruan itu. Semoga itu bisa membantu.
Jordan W.