背景:
我有一个域(功能级别为 2003),其中混合了 Windows XP 和 Windows 7 客户端。我们一直使用组策略来管理我们的工作站。
现在,我需要应用不同的 GPO政策(不是基于一些复杂的逻辑,我可以创建多个 GPO 并执行安全/WMI 过滤,但这会变得很混乱。对于我们来说,脚本是一种更简洁的方法(特别是 PowerShell)。
我想做的事:
我想使用启动脚本来启用 GPO 策略。看来我的登录脚本可以编辑 HKEY_LOCAL_MACHINE\SOFTWARE\Policies 和 HKEY_CURRENT_USER\SOFTWARE\Policies 的内容。这些注册表项是有据可查设置它们非常简单。我在网上看到过很多人这样做,但在这样做之前,我想确保这是一个明智的想法。
PC 仍将加入域,并且仍将存在一些 GPO(至少是默认域策略)。因此,与任何现有策略发生冲突是有可能的。我预计会发生以下情况:
- 如果策略项在 GPO 中为“未配置”,则不存在冲突。启动脚本中的注册表值将被写入,策略将生效。
- 如果 GPO 中的策略项设置为禁用/启用,它将与我的脚本发生冲突。脚本可能在启动时“获胜”,但在后台刷新期间它将被覆盖。
那么,我的理解正确吗?这样做可以吗?
答案1
你的理解是正确的。
当您的公司规模发展到需要引入专门的 Windows 系统管理员时,他们会对您这样做感到不满。
我无法想象您的逻辑如此复杂,以至于无法通过组策略中的内置功能来解决。安全组过滤、WMI 过滤(性能昂贵但灵活)和组策略首选项中的项目级定位都为表格带来了很大的灵活性。坚持使用现有操作系统功能意味着您也可以获得 Microsoft 和合格第三方的支持。如果您愿意,请告诉我们更多关于您的逻辑需求的信息。
从功能角度来看,你放弃了很多东西。首先想到的几项包括后台刷新、站点感知、SYSVOL 冗余以及库存操作系统管理、日志记录和报告工具。我确信还有很多我没有想到的东西。
从可维护性的角度来看:当你自己开发产品时,如果产品出了问题,你可以保留这两部分。当你离开公司时,你让他们“束手无策”,对你来说,这似乎是一件简单且自我记录的事情,但对其他人来说,这将带来一定程度的学习曲线(特别是如果你的逻辑如此复杂的)。
谈到你对版本控制的评论——我认为你能使用 Powershell cmdlet 相当容易地设置“版本和差异”组策略对象Get-GPOReport,它可以输出包含 GPO 设置的 XML 文件。
答案2
您的理解是正确的,但是在计算机启动时,如果发生冲突和优先级设置(例如,具有启动脚本的 GPO 首先运行,然后另一个 GPO 修改了该值),您的脚本更改可能会不起作用
GPO 建模为您提供了配置的单一视图。当您删除某些设置时,在客户端上执行 RSOP 只能告诉您一半的信息。如果支持工作站的人员不知道您正在插入这些密钥并且这会影响机器,则故障排除将更加困难。