我正在寻求一些build议,加快和升级我们的login系统,使其更强大,更快。
我inheritance了一个较早的login系统,该系统最初是从Novell Netware迁移而来的。 我们目前正在运行Windows Server 2008 R2,但域版本仍然是Windows 2000(理论上,如果没有损坏,请不要修复)。 我们希望最终升级到Windows 7,但是至less在几年之后,我们将会混合使用Windows 7和Windows XP SP3。 我们有一些SP2的机器,但是如果不能升级到SP3的话,我们可以负担得起。
目前,我们主要依靠login脚本,主要是用Kixtart编写的,但有一些用VBScript编写,还有一个Windows BAT包装器。 login脚本映射驱动器和打印机,在没有官方补丁(如最近的winhelp.exe安全问题)时安装快速解决方法,以解决安全问题或小错误,安装软件和执行其他任务,如备份IEcollections夹等设置需要重新构图。
我们也启用了less量的组策略。 那些实现一些安全设置,主要是。 我正在尝试使用GPO来安装软件,但我没有发现这是实用的。 我们太多的软件不使用MSI,而我尝试进行MSI捕捉所花费的时间在有一次我试过的时候没有得到回应。 它只是简单地使用脚本进行无人参与的安装。 更重要的是,维护是一个痛苦,如果一台机器已经closures太久,处理延迟的启动。 我不介意重新审视这个问题,但是看起来脚本运行良好,所以我从来没有被迫投入更多的时间。
我们的系统工作正常,但有点不灵活。 它被devise成将每次login时的信息logging到每个loginID的中央存储文件中,并且权限问题(例如同时login一个用户名)每隔一段时间就会启动一次。 我们依靠标志来确定软件是否已经被安装,这可能是脆弱的,有时会导致不必要的安装(例如,如果新用户login到工作站)。 有点慢,尤其是团体政策方面。 我试图做一个configuration文件,我认为这需要大约300秒(可能有点closures)。 一个典型的用户将会应用大约8个小的策略。 我们有大约12个OU,但是对于一些组策略使用WMI过滤。
我们映射了大约8个共享驱动器(基于组成员身份而不是OU)和大约20台打印机(每个人都可以获得每台打印机,但每个站点都有不同的打印服务器)。 软件需求主要基于OU而显着变化,但OU之外的一些人也可能需要该软件。
我的问题:
对不起,这么啰嗦,事实certificate,这比我想象的要复杂得多。 任何关于你个人经历的想法都会有帮助。 我是我们IT团队中唯一的技术人员。
来自另一个非盈利IS人的问候。 🙂
部署GPP有多难? 鉴于Windows XP本身不支持这个,对吧? 我们需要安装客户端扩展?
如果您的系统是XP SP3并且最近进行了修补,那么GPP非常简单。 我很less看到有关偏好的问题。 如果您已经拥有WSUS,则应该能够检查您的所有系统是否安装了必要的客户端。
GPP在Windows XP SP3上可靠吗? 谷歌search,我发现一些引用错误和性能下降。 这是否符合该产品的当前状态?
上面列出的客户端扩展问题后,我没有任何重大的可靠性问题。
GPP的性能/开销与使用kixtart或vbscript进行映射驱动器和安装打印机相比如何?
我假设你指的是桌面性能..如果是这样的话,两者之间的速度在我的环境中可以忽略不计。
用来logging成功/失败login的最佳做法是什么? 我们目前的系统似乎有太多的开销。 这应该存储在事件日志中吗? 在哪台机器上? 集中,还是在本地桌面上? 我们目前使用日志作为debugging工具,并确定用户最后login到域的时间。
我们有一个系统,一个遗留系统(非常像你所描述的,我希望看到它退役)和事件日志审计成功和失败的login尝试。 启用域控制器上的审计就足够了。 我build议使用Splunk来收集日志,但这是一个select的问题。
我应该尝试加快我们当前的组策略基础架构? 我想这是需要很长时间的启动。 任何想法从哪里开始解决这个问题?
创build现代login系统来处理我提到的任务的最佳实践是什么? 映射驱动器,映射打印机,安装软件,安装补丁程序和执行各种备份例程等。 你喜欢和推荐什么工具来完成这项工作?
我已经与上面列出的GPP运气非常好。 绝大多数启动任务都可以通过一些GPP设置来完成。
已经安装好没有整齐地包装在MSI中的软件的最好方法是什么? 我们是一个非营利性组织,可以从科技汤(SCT)那里得到一些软件捐赠。 但是,我真的不知道这是否值得。
我强烈推荐EminentWare。 这是一个付费产品,但不是太昂贵。 它将为您的非MS产品部署更新(我喜欢Java和Adobe更新),并允许您打包和部署软件。
将我们的域名升级到Server 2008 R2版本有什么意义,以便我们能够使用GPP? 我应该提到我们的域上有两台运行Windows NT的成员服务器。 这些基本上只用于我们的语音信箱系统的设备。 我不希望这些打破。 我们确实遇到了使用SMB升级域控制器的问题,但我能够find降低安全设置的解决方法。 任何问题,如果我们升级域的版本? 看来答案应该是否定的,但我希望能够了解一些真实世界的经验。
我不能评论,我仍然在2003年的function层面。
8。
成员服务器不会影响您的域的function级别。 只有区议会需要这个。 如果所有的DC都是2008年以上,那么可以将function级别boost到2008年,而不会出现任何问题。
从4,000台PC上的30,000行login脚本转移到纯GPP上,在GPP插件的XP SP2上几乎没有问题。 我们使用GP安全筛选器和GPP筛选器,通过AD通用组来控制大多数策略,而不是OU。 OU的线性不允许您可能最终需要的灵活性,而纯粹的安全性filter允许一个没有OUdevise约束的devise。
回顾一下,GPP如此灵活,我可能会把所有基于用户的GPP放在一个GPO中,以节省加载时间。 我们最初为每个GPPfunction使用一个新的GPO来实现GPP:一个用于驱动器映射,一个用于collections夹等等。它有数百个设置,但是我想可以更快地处理为单个GPO(这是GPP的XML文件)。
为了提高速度,在XP中保持您的计算机和用户设置在不同的GPO中,并在GPO级别禁用,这是您在该GPO中不使用的。 在Windows 7中,这不是一个问题。
大约一年半前,我的公司经历了这个过程。 我们都是XP(约700个席位),服务器2003(域也),像其他人一样的脚本。 我们也有我不喜欢的ScriptLogic。 我们将GPP部署到我们的XP机器,升级了function级别,并开始通过脚本将事情完成迁移到GPP,并取得了巨大的成功。 从那时起,我们已经将许多项目添加到GPP中。 所有的驱动器映射在那里完成,大量的文件副本,快捷方式,重新命令等我可以肯定地说,我们是非常重的GPP用户。 我们对绝大多数项目使用项目级目标(没有明显的影响)。 我们迁移到Windows 7,并使用WMI过滤链接适当的GPO也填补了GPPs和有很less的问题。 不严重。 从冷启动到随时可用的桌面,我们都在3分钟或更短时间。