我正在寻找一种方法来管理多个域中的组策略,其中一些域位于同一林中,另一些域位于不同的林中。我以前从未见过这样做,在 DevOps 领域也找不到任何资料表明可以通过 DSC 或其他工具来完成。
本质上,我试图在多个领域实现一致性,并采用统一的方式将其应用于所有领域。这是为将一组与 CIS 相关的调整应用于大约 6 个领域做准备。
DSC 是否适合这种情况?
答案1
这是一个很好的问题。我们维护一组基线组策略对象,其中包含多个域之间共享的设置,并使用我们的配置管理流程来确保在更改经过测试和批准后将它们一起更新。每个域中的 GPO 更新不是自动的。在导出设置并导入到每个域之前,会先测试更改。
根据预期的影响,我们可能希望系统地部署变更,而不是一次性全部部署。我们可能需要与下级客户协调变更。自动化会很好,但我们对部署的控制力会减弱。在稳定的生产环境中进行此类变更的情况非常罕见,但当您这样做时,应该谨慎控制。
我很好奇其他人是如何做到的。只要你开发它,DSC 几乎可以做任何事情。