グループポリシーの高速化、およびグループポリシーの基本設定の実装はログオン時間にどのように影響しますか?

8

ログオンシステムを高速化およびアップグレードして、より堅牢で高速にするためのアドバイスを探しています。

もともとNovell Netwareから移行された古いログオンシステムを継承しました。現在Windows Server 2008 R2を実行していますが、ドメインバージョンはWindows 2000のままです(理論的には、壊れていない場合は修正しないでください)。最終的にはWindows 7にアップグレードしたいと考えていますが、少なくとも数年間はWindows 7とWindows XP SP3が混在することになります。一部のSP2マシンがありますが、SP3にアップグレードできない場合は、置き換えることができます。

現在、主にログオンスクリプトに依存しています。ほとんどがKixtartで記述されていますが、一部はVBScriptで記述されており、Windows BATラッパーが使用されています。ログオンスクリプトは、ドライブとプリンターをマップし、公式のパッチ(最近のwinhelp.exeのセキュリティの問題など)がない場合に、セキュリティの問題やマイナーなバグの迅速な回避策をインストールし、ソフトウェアをインストールし、ケースマシンでIEのお気に入りなどのいくつかの設定をバックアップするなどのその他のタスクを実行します再イメージ化する必要があります。

また、少数のグループポリシーが有効になっています。それらは主にいくつかのセキュリティ設定を実装しています。GPOを使用してソフトウェアをインストールする実験をしていましたが、これが実用的であるとは思いませんでした。私たちのソフトウェアの多くはMSIを使用していません。MSIキャプチャを実行するために費やした時間は、一度試しただけでは報われませんでした。スクリプトを使用して無人インストールを行う方が簡単になりました。さらに、マシンの電源がオフになっている場合に、起動の遅延を処理するのと同じように、メンテナンスが面倒です。私はこれを再確認してもかまいませんが、スクリプトは正常に機能しているようでした。そのため、これにもっと時間を費やす必要がありませんでした。

私たちのシステムは問題なく動作しますが、少し柔軟性がありません。これは、ログインごとに中央に保存されたファイルにログインIDごとに情報を記録するように設計されており、アクセス許可の問題(1つのユーザー名での同時ログオンなど)により、頻繁にこの問題が発生します。フラグを使用して、ソフトウェアが以前にインストールされているかどうかを判断します。これは脆弱で、不必要なインストールが発生する場合があります(新しいユーザーがワークステーションにログオンした場合など)。それは、特にグループポリシーの面で、やや遅いです。プロファイルを試してみましたが、これには約300秒かかると思います(多少ずれている可能性があります)。一般的なユーザーには、約8つの小さなポリシーが適用されます。約12のOUがありますが、いくつかのグループポリシーにWMIフィルタリングを利用します。

約8台の共有ドライブ(OUではなくグループメンバーシップに基づく)と約20台のプリンター(誰もがすべてのプリンターを取得しますが、サイトごとに異なるプリントサーバーを取得します)をマッピングします。ソフトウェアのニーズは、主にOUに基づいてかなり劇的に変化しますが、OUの外部の数人がソフトウェアを必要とする場合もあります。

私の質問:

  1. GPPを展開するのはどれくらい難しいですか?Windows XPがこれをネイティブにサポートしていないことを考えると、そうですか?クライアント側の拡張機能をインストールする必要がありますか?
  2. Windows XP SP3のGPPは信頼できますか?グーグルで、バグやパフォーマンスの低下について言及しました。これはこの製品の現在のステータスと一致しますか?
  3. GPPのパフォーマンス/オーバーヘッドは、ドライブのマッピングやプリンターのインストールなどの目的で、kixtartまたはvbscriptを使用する場合とどのように違いますか?
  4. ログインの成功/失敗を追跡するために使用する良い習慣は何ですか?現在のシステムはオーバーヘッドが多すぎるようです。これをイベントログに保存する必要がありますか?どのマシンで?一元的に、またはローカルデスクトップに?現在、ログをデバッグツールとして使用しています。また、ユーザーがドメインに最後にログオンした日時を特定するためにも使用しています。
  5. 現在のグループポリシーインフラストラクチャを高速化するために何を試すべきですか?これが起動時に時間がかかると思います。これのトラブルシューティングをどこから始めるかについてのアイデアはありますか?
  6. 私が言及したタスクに対処するための最新のログオンシステムを作成するためのベストプラクティスは何ですか?ドライブの割り当て、プリンターの割り当て、ソフトウェアのインストール、パッチのインストール、その他のバックアップルーチンなどを実行します。この仕事にどんなツールが好きで、お勧めですか?
  7. まだMSIにきちんとパックされていないソフトウェアをインストールする最良の方法は何ですか?私たちは非営利団体であり、SCCMのようなもののTech Soupからいくつかのソフトウェア寄付を得ることができます。しかし、これが価値があるかどうかは本当にわかりません。
  8. GPPを利用できるようにするために、ドメインをServer 2008 R2バージョンにアップグレードするとどのような影響がありますか?Windows NTを実行しているドメインに2つのメンバーサーバーがあることを述べておきます。これらは基本的に、ボイスメールシステムにのみ使用されるアプライアンスです。これらが壊れてほしくない。SMBを使用してドメインコントローラーをアップグレードすることには問題がありましたが、セキュリティ設定を下げる回避策を見つけることができました。ドメインバージョンをアップグレードする場合の落とし穴はありますか?答えはノーであるように思えますが、私はいくつかの現実の世界の経験について学びたいと思っています。

あまりにも長い間ごめんなさい、これは私が尋ねるだろうと思ったよりももっと複雑であることが判明しました。あなたの個人的な経験についてのどんな考えも役に立ちます。私はITチームで唯一の技術者です。

windows-server-2008-r2  group-policy  login 
キンテン
ソース

回答:

7

別の非営利団体の人からの挨拶。:)

GPPを展開するのはどれくらい難しいですか?Windows XPがこれをネイティブにサポートしていないことを考えると、そうですか?クライアント側の拡張機能をインストールする必要がありますか?

お使いのシステムがXP SP3で最近パッチを当てている場合、GPPは非常に簡単です。設定に関連する問題はめったに見ません。WSUSを既に使用している場合は、すべてのシステムに必要なクライアントがインストールされていることを確認できるはずです。

Windows XP SP3のGPPは信頼できますか?グーグルで、バグやパフォーマンスの低下について言及しました。これはこの製品の現在のステータスと一致しますか?

上記のクライアント側の拡張機能の問題が解決された後は、大きな信頼性の問題は発生していません。

GPPのパフォーマンス/オーバーヘッドは、ドライブのマッピングやプリンターのインストールなどの目的で、kixtartまたはvbscriptを使用する場合とどのように違いますか?

私はあなたがデスクトップのパフォーマンスについて言及していると思います。もしそうなら、2つの間の速度は私の環境では無視できます。

ログインの成功/失敗を追跡するために使用する良い習慣は何ですか?現在のシステムはオーバーヘッドが多すぎるようです。これをイベントログに保存する必要がありますか?どのマシンで?一元的に、またはローカルデスクトップに?現在、ログをデバッグツールとして使用しています。また、ユーザーがドメインに最後にログオンした日時を特定するためにも使用しています。

いくつかのシステムが用意されています。レガシーシステム(説明と非常によく似ています。廃止したいと思います)と、ログイン試行の成功と失敗に対するイベントログ監査です。ドメインコントローラーで監査を有効にするだけで十分です。Splunkを使用してログを収集することをお勧めしますが、これは選択の問題です。

現在のグループポリシーインフラストラクチャを高速化するために何を試すべきですか?これが起動時に時間がかかると思います。これのトラブルシューティングをどこから始めるかについてのアイデアはありますか?

私が言及したタスクに対処するための最新のログオンシステムを作成するためのベストプラクティスは何ですか?ドライブの割り当て、プリンターの割り当て、ソフトウェアのインストール、パッチのインストール、その他のバックアップルーチンなどを実行します。この仕事にどんなツールが好きで、お勧めですか?

上記のGPPで私は非常に幸運でした。起動タスクの大部分は、少数のGPP設定で実行できます。

まだMSIにきちんとパックされていないソフトウェアをインストールする最良の方法は何ですか?私たちは非営利団体であり、SCCMのようなもののTech Soupからいくつかのソフトウェア寄付を得ることができます。しかし、これが価値があるかどうかは本当にわかりません。

EminentWareを強くお勧めします。これは有料の製品ですが、高すぎません。それはあなたの非MS製品(私はJavaとAdobeのアップデートが大好きです)のアップデートをデプロイし、ソフトウェアをパッケージ化してデプロイすることを可能にします。

GPPを利用できるようにするために、ドメインをServer 2008 R2バージョンにアップグレードするとどのような影響がありますか?Windows NTを実行しているドメインに2つのメンバーサーバーがあることを述べておきます。これらは基本的に、ボイスメールシステムにのみ使用されるアプライアンスです。これらが壊れてほしくない。SMBを使用してドメインコントローラーをアップグレードすることには問題がありましたが、セキュリティ設定を下げる回避策を見つけることができました。ドメインバージョンをアップグレードする場合の落とし穴はありますか?答えはノーであるように思えますが、私はいくつかの現実の世界の経験について学びたいと思っています。

私はコメントできません。私はまだ2003年の機能レベルです。

ティム・ブリガム
ソース
2
+1-私の経験とすべてのジャイブ。追加するものはあまりありません。ドメインとフォレストの機能レベルは、ドメインコントローラー以外のコンピューターには影響しません。
エヴァンアンダーソン
ありがとう、ここにいくつかの素晴らしい情報があります!他の何人かも同様に彼らの経験を取り入れることを望んでいます。
Quinten 2011
4

8。

メンバーサーバーはドメインの機能レベルに影響を与えません。DCのみがこれを必要とします。すべてのDCが2008以降の場合、問題なく機能レベルを2008に上げることができます。

ニクスフォー
ソース
3

GPPアドオンを備えたXP SP2では、4,000台のPCの30,000行のログオンスクリプトから純粋なGPPにほとんどまたはまったく問題なく移動しました。GPセキュリティフィルターとGPPフィルターを使用して、OUではなくADユニバーサルグループを介してほとんどのポリシーを制御しました。OUは線形であるため、最終的に必要になる可能性のある柔軟性が得られませんが、純粋なセキュリティフィルターでは、OU設計の制約のない設計が可能です。

振り返ってみると、GPPは非常に柔軟であるため、おそらくすべてのユーザーベースのGPPを単一のGPOに配置して、読み込み時間を節約します。最初に、各GPP機能用に新しいGPOを使用してGPPを実装しました。1つはドライブマッピング用、もう1つはお気に入り用などです。これは何百もの設定でしたが、単一のGPO(GPPのXMLファイル)として処理する方が速いと思います)。

速度を上げるために、XPではコンピュータとユーザーの設定を別々のGPOに保持し、そのGPOで使用していないGPOレベルで無効にします。Windows 7では、これは問題ではありません。

ブレットフィッシャー
ソース
2

約一年半前に私の会社はこのプロセスを経験しました。私たちは全員、XP(約700シート)、サーバー2003(ドメインも)で、他の皆と同じようにたくさんのスクリプトがありました。また、私が嫌いなScriptLogicもありました。XPマシンにGPPを展開し、機能レベルをアップグレードして、スクリプトを介して行われた処理をGPPに移行し始め、大きな成功を収めました。それ以来、何十ものアイテムをGPPに追加しました。すべてのドライブマッピングはそこで行われ、ファイルコピー、ショートカット、レジストリキーなどがたくさんあります。私たちは、GPPのヘビーユーザーであると言えます。ほとんどのアイテムにアイテムレベルのターゲティングを使用しています(顕著な影響はありません)。Windows 7に移行し、またWMIフィルタリングを使用してリンクされた適切なGPOもGPPで満たされており、問題はほとんどありませんでした。たいしたことはない。コールドブートからすぐに使用できるデスクトップまで、3分以内です。

  1. GPPをXPに展開するのは簡単でした。GPPの使用を開始する前に、それがイメージ上(またはイメージプロセス内)にあることを確認し、すべてのPCに到達しました。
  2. 当時、私たちはXP SP2を使用していました
  3. 電源がオフになっている状態から、GPOとGPPが多数ある使用可能なデスクトップまで3分以内。それはかなり良いと思います。注意点の1つ-GPPを使用してプリンターを展開しない-これは、問題があった領域の1つだと思いますが、ほとんどがパフォーマンスに基づいています。これにより、場合によってはログインがかなり遅くなるため、これをオフにしました。
  4. リモートSQL DBに書き込むカスタムスクリプトを使用して、(ネイティブデスクトップイベントログエントリを介して)起動時間とログオン時間を追跡します。
  5. イベントログはあなたの友達です。移行する場合は、クリーンアップするときです。GPOを再利用しないでください。必要なものだけで新しいものを作成します。可能な場合はWMIフィルタリングを使用し、ベストプラクティスに従ってください(つまり、コンピューターにのみ適用されるGPOでユーザー設定をオフにするなど)。
  6. GPOとGPP、SCCM、WSUS、AppVの組み合わせを使用します。(VSSを使用した)フォルダーリダイレクトをオンにし、ローミングプロファイルをオフにしたので、誰もが環境にかなり満足しています。
  7. あなたにとっては、規模の大小に応じて、SCCMはお勧めしますが、お勧めしませんが、AppVを強くお勧めします。それを十分に推薦することはできません。
  8. コメント無し
ジョーダンW
ソース
#7では、約150名のフルタイムのスタッフがおり、夏にはパートタイムのボランティアとインターンで約200名に膨れ上がります。SCCMの複雑さに対して推奨する理由は何ですか?
Quinten 2011
ええ、私はそれへの学習曲線があることを意味します、もしあなたがそれを十分によく知っていて、無料でそれを手に入れることができれば、ぜひそれのために行きます。しかし、AppVはあなたの人生を変えるかもしれません。SCCMは、物事を行うための別の方法です。はい、価値はありますが、これまでに見たことのないものはありませんが、AppVをこれまでに使用したことがない場合は、すばらしいです(私のようなデスクトップ管理者にとって)
Jordan W.
他の人にappvを勧めてもらったので、チェックする必要があるかもしれません。私たちのネットワークはすべて半二重なので、パフォーマンスについては少し心配します。
Quinten、2011
ええ、それは少し怖いです。ただし、AppVを使用すると、アプリの最初の起動時に実際の遅延が発生するだけです。次に、ローカルでストリーミングし、すべてをローカルで実行します。その後、キャッシュし、最初のストリームを再度行う必要はありません。サーバー側で仮想化されたコピーを更新するまで、または更新しない限り、その更新は再ストリーミングされます。お役に立てば幸いです。
ジョーダンW
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.