Acelerando a Diretiva de Grupo e como a implementação de Preferências de Diretiva de Grupo afetará o tempo de logon?

8

Estou procurando conselhos sobre como acelerar e atualizar nosso sistema de logon para torná-lo mais robusto e rápido.

Eu herdei um sistema de logon mais antigo, que foi migrado do Novell Netware originalmente. No momento, estamos executando o Windows Server 2008 R2, mas a versão do domínio ainda é o Windows 2000 (na teoria, se não estiver quebrado, não corrija). Gostaríamos de atualizar para o Windows 7, mas teremos uma mistura do Windows 7 e Windows XP SP3 por pelo menos alguns anos. Temos algumas máquinas SP2, mas podemos substituí-las se não for possível atualizar para o SP3.

Atualmente, contamos principalmente com scripts de logon, principalmente escritos em Kixtart, mas com alguns escritos em VBScript e com um wrapper BAT do Windows. Os scripts de logon mapeiam unidades e impressoras, instalam soluções rápidas para problemas de segurança ou pequenos bugs quando não há um patch oficial (como o recente problema de segurança do winhelp.exe), instalam software e executam diversas tarefas, como fazer backup de algumas configurações, como o IE Favorites, no caso de máquinas precisa ser reimaginado.

Também temos um pequeno número de políticas de grupo ativadas. Eles implementam algumas configurações de segurança, principalmente. Eu estava experimentando usar o GPO para instalar software, mas não achei prático. Muito do nosso software não usa um MSI, e as horas que passei tentando fazer uma captura de MSI não foram recompensadoras na única ocasião em que tentei. Acabou sendo mais fácil simplesmente usar um script para fazer a instalação autônoma. Além do mais, a manutenção é uma dor, assim como lidar com inicializações atrasadas se uma máquina for desligada por muito tempo. Não me importo de revisar isso, mas parecia que os scripts estavam funcionando bem, então nunca fui obrigado a investir mais tempo nisso.

Nosso sistema funciona bem, mas é um pouco inflexível. Ele foi projetado para registrar informações em todos os logons em um arquivo armazenado centralmente, com base na identificação por login, e problemas de permissão (como um logon simultâneo com um nome de usuário) travam isso de vez em quando. Contamos com sinalizadores para determinar se o software foi instalado anteriormente, o que pode ser frágil e às vezes resulta em instalações desnecessárias (se um novo usuário fizer logon em uma estação de trabalho, por exemplo). É um pouco lento, especialmente no lado da política de grupo. Tentei criar um perfil e acho que isso leva cerca de 300 segundos (pode ser um pouco errado). Um usuário típico teria cerca de 8 políticas pequenas aplicadas. Temos cerca de 12 unidades organizacionais, mas fazemos uso da filtragem WMI para algumas das políticas de grupo.

Mapeamos cerca de 8 unidades compartilhadas (com base na associação ao grupo, não na UO) e em cerca de 20 impressoras (todos recebem todas as impressoras, mas um servidor de impressão diferente para cada site). As necessidades de software variam bastante de maneira dramática, principalmente na unidade organizacional, mas algumas pessoas fora de uma unidade organizacional também podem precisar do software.

Minhas perguntas:

  1. Quão difícil é implantar o GPP? Dado que o Windows XP não suporta nativamente isso, certo? Precisamos instalar as extensões do lado do cliente?
  2. O GPP é confiável no Windows XP SP3? Pesquisando, encontrei algumas referências a bugs e desempenho lento. Isso corresponde ao status atual deste produto?
  3. Como o desempenho / sobrecarga do GPP se compara ao uso de um kixtart ou vbscript para coisas como mapear unidades e instalar impressoras?
  4. Qual é uma boa prática a ser usada para acompanhar logins com ou sem êxito? Nosso sistema atual parece ter muita sobrecarga. Isso deve ser armazenado no log de eventos? Em qual máquina? Centralmente ou na área de trabalho local? Atualmente, usamos os logs como uma ferramenta de depuração e também para determinar quando um usuário fez o último logon no domínio.
  5. O que devo tentar acelerar nossa infraestrutura atual de Diretiva de Grupo? Eu acho que é isso que leva muito tempo na inicialização. Alguma idéia de por onde começar a solucionar isso?
  6. Quais são as práticas recomendadas para criar um sistema de logon moderno para lidar com as tarefas que mencionei? Mapeie unidades, mapeie impressoras, instale software, instale patches e execute diversas rotinas de backup e similares. Quais ferramentas você gosta e recomenda para este trabalho?
  7. Qual é a melhor maneira de instalar um software que não está bem embalado em um MSI? Somos uma organização sem fins lucrativos e poderíamos obter algumas doações de software da Tech Soup de coisas como o SCCM. Mas, realmente não sei se vale a pena.
  8. Quais são as implicações da atualização do nosso domínio para a versão Server 2008 R2, para permitir o uso do GPP? Devo mencionar que temos dois servidores membros em nosso domínio que estão executando o Windows NT. Estes são basicamente aparelhos usados ​​apenas para o nosso sistema de correio de voz. Eu não quero que eles quebrem. Tivemos um problema ao atualizar nossos controladores de domínio com SMB, mas consegui encontrar a solução alternativa para diminuir as configurações de segurança. Alguma dica se atualizarmos a versão do domínio? Parece que a resposta deve ser negativa, mas espero aprender sobre algumas experiências do mundo real.

Desculpe por ser tão demorado, isso acabou sendo mais envolvido do que eu pensei que seria perguntar. Qualquer opinião sobre suas experiências pessoais seria útil. Sou a única pessoa técnica em nossa equipe de TI.

windows-server-2008-r2 group-policy login Quinten
fonte

Respostas:

7

Saudações de outra pessoa sem fins lucrativos IS. :)

Quão difícil é implantar o GPP? Dado que o Windows XP não suporta nativamente isso, certo? Precisamos instalar as extensões do lado do cliente?

O GPP é bastante simples se os seus sistemas forem o XP SP3 e foram atualizados recentemente. Eu raramente vi problemas relacionados às preferências. Se você já possui o WSUS, deve poder verificar se todos os seus sistemas têm o cliente necessário instalado.

O GPP é confiável no Windows XP SP3? Pesquisando, encontrei algumas referências a bugs e desempenho lento. Isso corresponde ao status atual deste produto?

Não tive nenhum problema grave de confiabilidade depois que os problemas de extensão do lado do cliente listados acima foram resolvidos.

Como o desempenho / sobrecarga do GPP se compara ao uso de um kixtart ou vbscript para coisas como mapear unidades e instalar impressoras?

Suponho que você esteja se referindo ao desempenho da área de trabalho. Nesse caso, a velocidade entre os dois foi insignificante no meu ambiente.

Qual é uma boa prática a ser usada para acompanhar logins com ou sem êxito? Nosso sistema atual parece ter muita sobrecarga. Isso deve ser armazenado no log de eventos? Em qual máquina? Centralmente ou na área de trabalho local? Atualmente, usamos os logs como uma ferramenta de depuração e também para determinar quando um usuário fez o último logon no domínio.

Temos alguns sistemas em funcionamento, um sistema legado (muito parecido com o que você descreve, eu gostaria de vê-lo aposentado) e auditoria de log de eventos para tentativas de login bem-sucedidas e com falha. Habilitar a auditoria em seus controladores de domínio seria suficiente. Sugiro usar o Splunk para coletar seus logs, mas isso é uma questão de escolha.

O que devo tentar acelerar nossa infraestrutura atual de Diretiva de Grupo? Eu acho que é isso que leva muito tempo na inicialização. Alguma idéia de por onde começar a solucionar isso?

Quais são as práticas recomendadas para criar um sistema de logon moderno para lidar com as tarefas que mencionei? Mapeie unidades, mapeie impressoras, instale software, instale patches e execute diversas rotinas de backup e similares. Quais ferramentas você gosta e recomenda para este trabalho?

Eu tive muita sorte com o GPP listado acima. A grande maioria das tarefas de inicialização pode ser realizada com algumas configurações de GPP.

Qual é a melhor maneira de instalar um software que não está bem embalado em um MSI? Somos uma organização sem fins lucrativos e poderíamos obter algumas doações de software da Tech Soup de coisas como o SCCM. Mas, realmente não sei se vale a pena.

Eu recomendo o EminentWare. É um produto pago, mas não muito caro. Ele implementará atualizações para seus produtos que não são da MS (eu amo as atualizações Java e Adobe) e permite que você empacote e implante software.

Quais são as implicações da atualização do nosso domínio para a versão Server 2008 R2, para permitir o uso do GPP? Devo mencionar que temos dois servidores membros em nosso domínio que estão executando o Windows NT. Estes são basicamente aparelhos usados ​​apenas para o nosso sistema de correio de voz. Eu não quero que eles quebrem. Tivemos um problema ao atualizar nossos controladores de domínio com SMB, mas consegui encontrar a solução alternativa para diminuir as configurações de segurança. Alguma dica se atualizarmos a versão do domínio? Parece que a resposta deve ser negativa, mas espero aprender sobre algumas experiências do mundo real.

Não posso comentar, ainda estou no nível funcional de 2003.

Tim Brigham
fonte
2
+1 - Todas as piadas com minha experiência e não tenho muito a acrescentar. Eu direi que seu nível funcional de domínio e floresta não terá nenhum impacto em computadores que não são controladores de domínio.
Evan Anderson
Obrigado, algumas ótimas informações aqui! Espero que outras pessoas também possam compartilhar suas experiências.
Quinten
4

8)

O servidor membro não afeta o nível de função do seu domínio. Somente DCs exigirão isso. Se todos os seus CDs forem 2008 e acima, você poderá aumentar o Nível Funcional para 2008 sem problemas.

Nixphoe
fonte
3

Movido de 30.000 linhas de script de logon em 4.000 PCs para GPP puro, com pouco ou nenhum problema no XP SP2 com complemento GPP. Usamos os filtros GP Security e GPP para controlar a maioria das políticas por meio dos Grupos Universais do AD, e não das UOs. A UO sendo linear não permite a flexibilidade que você possa precisar, enquanto os filtros puros de segurança permitem um design livre de restrições do design da UO.

Olhando para trás, com os GPP sendo tão flexíveis, eu provavelmente colocaria todos os GPPs baseados no usuário em um único GPO para economizar tempo de carregamento. Inicialmente, implementamos GPPs com um novo GPO para cada recurso GPP: um para mapeamentos de unidades, um para favoritos etc. Foram centenas de configurações, mas imagino que teria sido mais rápido processar como um único GPO (que é um arquivo XML para GPP) )

Para velocidade, no XP, mantenha as configurações de Computador e Usuário em GPOs separados e desabilite no nível do GPO que você não estiver usando nesse GPO. No Windows 7, isso não é um problema.

Bret Fisher
fonte
2

Há cerca de um ano e meio, minha empresa passou por esse processo. Éramos todos XP (cerca de 700 assentos), servidor 2003 (domínio também), com vários scripts como todos os outros. Também tínhamos ScriptLogic que eu não gostei. Implantamos o GPP em nossas máquinas XP, atualizamos os níveis funcionais e começamos a migrar as coisas feitas via script para o GPP e tivemos grande sucesso. Desde então, adicionamos muitas dezenas de itens ao GPP. Todo o mapeamento da unidade é feito lá, muitas cópias de arquivos, atalhos, regkeys etc. Eu certamente posso dizer que somos usuários muito pesados ​​de GPP. Usamos a segmentação no nível do item na grande maioria dos itens (sem impacto perceptível). Migramos para o Windows 7 e também usamos GPOs apropriados vinculados por filtragem WMI, também preenchidos com GPPs e tivemos muito poucos problemas. Nada sério. Desde a inicialização a frio até uma área de trabalho pronta para uso, estamos em 3 minutos ou menos.

  1. A implantação do GPP no XP foi simples para nós. Apenas garantimos que ela estivesse em nossa imagem (ou no processo de imagem) e chegássemos a todos os PCs antes de começarmos a usar GPPs.
  2. Na época, estávamos no XP SP2
  3. 3 minutos ou menos, desde o desligado até a área de trabalho utilizável, com muitos GPOs e muitos GPPs. Eu acho isso muito bom. Uma ressalva - não implantamos impressoras usando GPP - acho que é uma área em que tivemos alguns problemas, mas principalmente com base no desempenho. Isso diminuiu bastante o login em alguns casos, então desativamos isso.
  4. Nós rastreamos os tempos de inicialização e logon (por meio de entradas nativas do log de eventos da área de trabalho) usando um script personalizado para gravar no SQL DB remoto.
  5. O log de eventos é seu amigo. Se você estiver migrando, é a hora de limpar, não reutilize GPOs. Crie novos apenas com o que você precisa. Use a filtragem WMI sempre que possível e siga as práticas recomendadas (por exemplo, desative as Configurações do usuário nos GPOs aplicados apenas aos computadores ... etc.)
  6. Usamos uma combinação de GPOs com GPP, SCCM, WSUS e AppV. Ativamos o redirecionamento de pastas (com VSS), desativamos os perfis de roaming e todos estão muito felizes com o ambiente.
  7. Para você, dependendo de quão grande ou pequeno, eu provavelmente não recomendaria o SCCM, embora goste, mas certamente recomendo o AppV. Não posso recomendar o suficiente.
  8. sem comentários
Jordan W.
fonte
No 7º lugar, temos cerca de 150 funcionários em período integral e aumentamos no verão para ~ 200 com voluntários e estagiários em meio período. É por isso que você recomenda a complexidade do SCCM?
Quinten
Sim, quero dizer, há uma curva de aprendizado, se você já o conhece bem o suficiente E pode obtê-lo gratuitamente, então, por todos os meios, vá em frente. Mas o AppV pode mudar sua vida. O SCCM é apenas outra maneira de fazer as coisas, sim, agrega valor, mas nada que não vimos antes, mas o AppV, se você nunca o usou antes, é simplesmente maravilhoso (para um administrador de computadores como eu)
Jordan W.
Uma outra pessoa recomendou o appv para mim, então talvez devêssemos dar uma olhada. Nossa rede é toda half-duplex, então eu me preocupo um pouco com o desempenho.
Quinten
Sim, isso é um pouco assustador. Mas com o AppV, existe apenas um atraso real no PRIMEIRO lançamento de um aplicativo. Em seguida, ele transmite localmente e executa tudo localmente. Depois disso, ele o armazena em cache e não precisa fazer o primeiro fluxo novamente. Até ou a menos que você atualize a cópia virtualizada no lado do servidor, ela atualizará novamente essa atualização. Espero que ajude.
16272 Jordan W.