加快组策略,以及实施组策略首选项将如何影响登录时间?

tag-icon tag-icon windows-server-2008-r2 group-policy login
加快组策略,以及实施组策略首选项将如何影响登录时间?

我正在寻求一些有关加快和升级我们的登录系统的建议,以使其更加健壮和快速。

我继承了一个较旧的登录系统,该系统最初是从 Novell Netware 迁移过来的。我们目前运行的是 Windows Server 2008 R2,但域版本仍然是 Windows 2000(理论上,如果它没有损坏,就不要修复它)。我们希望最终升级到 Windows 7,但至少几年内我们将同时使用 Windows 7 和 Windows XP SP3。我们有一些 SP2 机器,但如果无法升级到 SP3,我们可以负担得起更换它们的费用。

目前,我们主要依赖登录脚本,这些脚本大多用 Kixtart 编写,但也有一些用 VBScript 编写,并使用 Windows BAT 包装器。登录脚本映射驱动器和打印机,在没有官方补丁的情况下安装快速解决方法以解决安全问题或小错误(例如最近的 winhelp.exe 安全问题),安装软件,并执行其他任务,例如备份某些设置(如 IE 收藏夹),以防机器需要重新映像。

我们还启用了少量组策略。这些策略主要实现一些安全设置。我尝试使用 GPO 安装软件,但我发现这并不实用。我们的软件中有太多不使用 MSI,我花在尝试进行 MSI 捕获上的时间在一次尝试中毫无意义。最终发现使用脚本进行无人值守安装更为简单。此外,维护很麻烦,如果机器关闭时间过长,处理延迟启动也很麻烦。我不介意重新考虑这个问题,但似乎脚本运行良好,所以我从未被迫在这上面投入更多时间。

我们的系统运行正常,但有点不灵活。它被设计为将每次登录的信息记录到基于每个登录 ID 的集中存储文件中,权限问题(例如同时使用一个用户名登录)会时常导致这一问题。我们依靠标志来确定软件是否已安装,这可能很脆弱,有时会导致不必要的安装(例如,如果新用户登录到工作站)。它有点慢,尤其是组策略方面。我尝试创建一个配置文件,我认为这大约需要 300 秒(可能有点偏差)。典型用户将应用大约 8 个小策略。我们有大约 12 个 OU,但对一些组策略使用 WMI 过滤。

我们映射了大约 8 个共享驱动器(基于组成员身份,而不是 OU)和大约 20 台打印机(每个人都有每台打印机,但每个站点都有不同的打印服务器)。软件需求主要根据 OU 而有很大差异,但 OU 之外的少数人可能也需要该软件。

我的问题:

  1. 部署 GPP 有多难?鉴于 Windows XP 本身不支持此功能,对吧?我们需要安装客户端扩展?
  2. GPP 在 Windows XP SP3 上可靠吗?通过 Google 搜索,我发现了一些有关错误和性能低下的参考资料。这符合该产品的当前状态吗?
  3. 与使用 kixtart 或 vbscript 进行映射驱动器和安装打印机等操作相比,GPP 的性能/开销如何?
  4. 有什么好的做法可以用于跟踪成功/失败的登录?我们当前的系统似乎开销太大。这应该存储在事件日志中吗?在哪台机器上?集中存储,还是在本地桌面上?我们目前确实将日志用作调试工具,也用于确定用户上次登录域的时间。
  5. 我应该尝试什么来加速我们当前的组策略基础架构?我认为这是启动时需要很长时间的原因。有什么想法可以开始对此进行故障排除吗?
  6. 创建现代登录系统来处理我提到的任务的最佳实践是什么?映射驱动器、映射打印机、安装软件、安装补丁并执行各种备份例程等。您喜欢并推荐哪些工具来完成这项工作?
  7. 安装尚未整齐打包在 MSI 中的软件的最佳方法是什么?我们是非营利组织,可以从 Tech Soup 获得一些 SCCM 之类的软件捐赠。但是,我真的不知道这是否值得。
  8. 将我们的域升级到 Server 2008 R2 版本以允许我们使用 GPP 会产生什么影响?我应该提到,我们的域中有两个运行 Windows NT 的成员服务器。这些基本上是仅用于我们的语音邮件系统的设备。我不想让它们损坏。我们在使用 SMB 升级域控制器时确实遇到了问题,但我能够找到降低安全设置的解决方法。如果我们升级域版本,会有什么问题吗?答案似乎是否定的,但我希望了解一些现实世界的经验。

抱歉说了这么多,这个问题比我想象的要复杂得多。任何关于你个人经历的想法都会有所帮助。我是我们 IT 团队中唯一的技术人员。

答案1

来自另一位非营利 IS 人士的问候。:)

部署 GPP 有多难?鉴于 Windows XP 本身不支持此功能,对吧?我们需要安装客户端扩展?

如果您的系统是 XP SP3 并且最近打过补丁,那么 GPP 非常简单。我很少看到与偏好设置相关的问题。如果您已经安装了 WSUS,您应该能够检查您的所有系统是否都安装了必要的客户端。

GPP 在 Windows XP SP3 上可靠吗?通过 Google 搜索,我发现了一些有关错误和性能低下的参考资料。这符合该产品的当前状态吗?

在解决了上面列出的客户端扩展问题之后,我没有遇到任何重大的可靠性问题。

与使用 kixtart 或 vbscript 进行映射驱动器和安装打印机等操作相比,GPP 的性能/开销如何?

我假设您指的是桌面性能...如果是这样,那么在我的环境中两者之间的速度可以忽略不计。

有什么好的做法可以用于跟踪成功/失败的登录?我们当前的系统似乎开销太大。这应该存储在事件日志中吗?在哪台机器上?集中存储,还是在本地桌面上?我们目前确实将日志用作调试工具,也用于确定用户上次登录域的时间。

我们有几个系统,一个旧系统(非常像您描述的系统,我希望它退役)和成功和失败登录尝试的事件日志审计。在您的域控制器上启用审计就足够了。我建议使用 Splunk 来收集您的日志,但这是一个选择问题。

我应该尝试什么来加速我们当前的组策略基础架构?我认为这是启动时需要很长时间的原因。有什么想法可以开始对此进行故障排除吗?

创建现代登录系统来处理我提到的任务的最佳实践是什么?映射驱动器、映射打印机、安装软件、安装补丁并执行各种备份例程等。您喜欢并推荐哪些工具来完成这项工作?

我对上面列出的 GPP 非常满意。绝大多数启动任务都可以通过少数 GPP 设置完成。

安装尚未整齐打包在 MSI 中的软件的最佳方法是什么?我们是非营利组织,可以从 Tech Soup 获得一些 SCCM 之类的软件捐赠。但是,我真的不知道这是否值得。

我强烈推荐 EminentWare。这是一款付费产品,但价格不算太贵。它将为您的非 MS 产品部署更新(我喜欢 Java 和 Adob​​e 更新),并允许您打包和部署软件。

将我们的域升级到 Server 2008 R2 版本以允许我们使用 GPP 会产生什么影响?我应该提到,我们的域中有两个运行 Windows NT 的成员服务器。这些基本上是仅用于我们的语音邮件系统的设备。我不想让它们损坏。我们在使用 SMB 升级域控制器时确实遇到了问题,但我能够找到降低安全设置的解决方法。如果我们升级域版本,会有什么问题吗?答案似乎是否定的,但我希望了解一些现实世界的经验。

我无法评论,我仍然处于 2003 功能级别。

答案2

8.

成员服务器不会影响您域的功能级别。只有 DC 才需要此功能。如果您的所有 DC 都是 2008 及以上版本,则可以毫无问题地将功能级别提升到 2008。

答案3

将 4,000 台 PC 上的 30,000 行登录脚本移至纯 GPP,在带有 GPP 附加组件的 XP SP2 上几乎没有问题。我们使用 GP 安全过滤器和 GPP 过滤器通过 AD 通用组而不是 OU 来控制大多数策略。OU 是线性的,不具备您最终可能需要的灵活性,而纯安全过滤器允许不受 OU 设计限制的设计。

回想起来,由于 GPP 非常灵活,我可能会将所有基于用户的 GPP 放在一个 GPO 中,以节省加载时间。我们最初实施 GPP 时,为每个 GPP 功能都设置了一个新 GPO:一个用于驱动器映射,一个用于收藏夹等。设置有数百个,但我认为将其作为单个 GPO(GPP 的 XML 文件)处理会更快。

为了提高速度,在 XP 中,请将计算机和用户设置保留在单独的 GPO 中,并在 GPO 级别禁用您未在该 GPO 中使用的任何设置。在 Windows 7 中,这不是问题。

答案4

大约一年半前,我的公司经历了这个过程。我们都是 XP(大约 700 个席位)、服务器 2003(还有域),和其他人一样有一堆脚本。我们还有我不喜欢的 ScriptLogic。我们将 GPP 部署到我们的 XP 机器上,升级功能级别,并开始将通过脚本完成的事情迁移到 GPP,并取得了巨大的成功。从那时起,我们在 GPP 中添加了几十个项目。所有驱动器映射都在那里完成,大量的文件副本、快捷方式、注册表键等。我可以肯定地说,我们是 GPP 的重度用户。我们对大多数项目使用项目级定位(没有明显的影响)。我们迁移到 Windows 7,并使用 WMI 过滤链接适当的 GPO,也填充了 GPP,几乎没有遇到问题。没有什么严重的问题。从冷启动到随时可用的桌面,我们只用了 3 分钟或更短的时间。

  1. 对我们来说,将 GPP 部署到 XP 很简单。我们只需确保它在我们的映像上(或在映像进程中)并在开始使用 GPP 之前到达所有 PC 即可。
  2. 当时我们使用的是 XP SP2
  3. 从关机到桌面可用,只需 3 分钟或更短时间,而且桌面上有很多 GPO 和 GPP。我认为这已经很不错了。需要注意的是,我们不使用 GPP 部署打印机,我想这是我们确实遇到一些问题的一个方面,但主要是性能问题。在某些情况下,这会大大减慢登录速度,因此我们将其关闭。
  4. 我们使用写入远程 SQL DB 的自定义脚本来跟踪启动和登录时间(通过本机桌面事件日志条目)。
  5. 事件日志是您的好朋友。如果您要迁移,那就是清理的时候了,不要重复使用 GPO。只创建您需要的新 GPO。尽可能使用 WMI 过滤并遵循最佳实践(例如,关闭仅适用于计算机的 GPO 上的用户设置……等等)。
  6. 我们结合使用 GPO、GPP、SCCM、WSUS 和 AppV。我们启用了文件夹重定向(使用 VSS),关闭了漫游配置文件,每个人都对环境非常满意。
  7. 对于您来说,根据规模大小,我可能不会推荐 SCCM,尽管我喜欢它,但我强烈推荐 AppV。强烈推荐。
  8. 没有意见

相关内容