Beschleunigen der Gruppenrichtlinien und wie wirkt sich die Implementierung der Gruppenrichtlinieneinstellungen auf die Anmeldezeit aus?

8

Ich suche nach Ratschlägen zur Beschleunigung und Aktualisierung unseres Anmeldesystems, um es robuster und schneller zu machen.

Ich habe ein älteres Anmeldesystem geerbt, das ursprünglich von Novell Netware migriert wurde. Wir führen derzeit Windows Server 2008 R2 aus, aber die Domänenversion ist immer noch Windows 2000 (theoretisch, wenn es nicht kaputt ist, beheben Sie es nicht). Wir möchten eventuell auf Windows 7 aktualisieren, werden aber für mindestens einige Jahre eine Mischung aus Windows 7 und Windows XP SP3 haben. Wir haben einige SP2-Maschinen, aber wir können es uns leisten, diese zu ersetzen, wenn ein Upgrade auf SP3 nicht möglich ist.

Derzeit stützen wir uns hauptsächlich auf Anmeldeskripte, die hauptsächlich in Kixtart geschrieben wurden, einige jedoch in VBScript und mit einem Windows BAT-Wrapper. Anmeldeskripte ordnen Laufwerke und Drucker zu, installieren schnelle Problemumgehungen für Sicherheitsprobleme oder kleinere Fehler, wenn kein offizieller Patch vorhanden ist (wie das aktuelle Sicherheitsproblem winhelp.exe), installieren Software und führen verschiedene Aufgaben wie das Sichern einiger Einstellungen wie IE-Favoriten für Computer aus müssen neu abgebildet werden.

Wir haben auch eine kleine Anzahl von Gruppenrichtlinien aktiviert. Diese implementieren meistens einige Sicherheitseinstellungen. Ich habe mit GPO experimentiert, um Software zu installieren, aber ich habe dies nicht als praktisch empfunden. Zu viel von unserer Software verwendet kein MSI, und die Stunden, die ich damit verbracht habe, eine MSI-Erfassung durchzuführen, waren bei der einen Gelegenheit, bei der ich es ausprobiert habe, nicht belohnt. Es war einfacher, einfach ein Skript für die unbeaufsichtigte Installation zu verwenden. Darüber hinaus ist die Wartung ein Problem, ebenso wie verzögerte Startvorgänge, wenn ein Computer zu lange ausgeschaltet wurde. Es macht mir nichts aus, dies noch einmal zu wiederholen, aber es schien, dass Skripte gut funktionierten, so dass ich nie gezwungen war, mehr Zeit in dieses zu investieren.

Unser System funktioniert einwandfrei, ist aber etwas unflexibel. Es wurde entwickelt, um Informationen bei jeder Anmeldung in einer zentral gespeicherten Datei auf der Basis einer Anmelde-ID zu protokollieren, und Berechtigungsprobleme (z. B. bei gleichzeitiger Anmeldung mit einem Benutzernamen) lösen dies von Zeit zu Zeit aus. Wir stützen uns auf Flags, um festzustellen, ob zuvor Software installiert wurde. Dies kann anfällig sein und manchmal zu unnötigen Installationen führen (wenn sich beispielsweise ein neuer Benutzer an einer Workstation anmeldet). Es ist etwas langsam, besonders auf der Seite der Gruppenpolitik. Ich habe versucht, ein Profil zu erstellen, und ich denke, dies dauert ungefähr 300 Sekunden (könnte etwas abweichen). Ein typischer Benutzer würde ungefähr 8 kleine Richtlinien anwenden. Wir haben ungefähr 12 Organisationseinheiten, verwenden jedoch die WMI-Filterung für einige der Gruppenrichtlinien.

Wir ordnen ungefähr 8 freigegebene Laufwerke (basierend auf der Gruppenmitgliedschaft, nicht der Organisationseinheit) und ungefähr 20 Drucker zu (jeder erhält jeden Drucker, aber einen anderen Druckserver für jeden Standort). Die Softwareanforderungen variieren ziemlich dramatisch, hauptsächlich basierend auf der Organisationseinheit, aber einige Leute außerhalb einer Organisationseinheit benötigen möglicherweise auch die Software.

Meine Fragen:

  1. Wie schwierig ist es, GPP bereitzustellen? Angesichts der Tatsache, dass Windows XP dies nicht nativ unterstützt, richtig? Müssen wir die clientseitigen Erweiterungen installieren?
  2. Ist GPP unter Windows XP SP3 zuverlässig? Beim Googeln habe ich einige Hinweise auf Fehler und langsame Leistung gefunden. Entspricht dies dem aktuellen Status dieses Produkts?
  3. Wie ist die Leistung / der Overhead von GPP im Vergleich zur Verwendung eines Kixtarts oder VBScript für Dinge wie das Zuordnen von Laufwerken und das Installieren von Druckern?
  4. Was ist eine gute Vorgehensweise, um erfolgreiche / erfolglose Anmeldungen zu verfolgen? Unser derzeitiges System scheint zu viel Overhead zu haben. Sollte dies im Ereignisprotokoll gespeichert werden? Auf welcher Maschine? Zentral oder auf dem lokalen Desktop? Wir verwenden die Protokolle derzeit als Debugging-Tool und auch, um festzustellen, wann sich ein Benutzer zuletzt bei der Domäne angemeldet hat.
  5. Was sollte ich versuchen, um unsere aktuelle Gruppenrichtlinieninfrastruktur zu beschleunigen? Ich denke, das dauert beim Start sehr lange. Irgendwelche Ideen, wo Sie mit der Fehlerbehebung beginnen können?
  6. Was sind Best Practices für die Erstellung eines modernen Anmeldesystems für die von mir genannten Aufgaben? Kartieren Sie Laufwerke, Kartendrucker, installieren Sie Software, installieren Sie Patches und führen Sie verschiedene Sicherungsroutinen und dergleichen durch. Welche Tools mögen und empfehlen Sie für diesen Job?
  7. Was ist der beste Weg, um Software zu installieren, die noch nicht ordentlich in ein MSI gepackt ist? Wir sind ein gemeinnütziger Verein und könnten einige Softwarespenden von Tech Soup erhalten, unter anderem von SCCM. Aber ich weiß wirklich nicht, ob sich das lohnt.
  8. Welche Auswirkungen hat ein Upgrade unserer Domain auf die Server 2008 R2-Version, damit wir GPP verwenden können? Ich sollte erwähnen, dass wir zwei Mitgliedsserver in unserer Domäne haben, auf denen Windows NT ausgeführt wird. Dies sind im Grunde Geräte, die nur für unser Voicemail-System verwendet werden. Ich möchte nicht, dass diese brechen. Wir hatten ein Problem beim Upgrade unserer Domänencontroller mit SMB, aber ich konnte die Problemumgehung zum Verringern der Sicherheitseinstellungen finden. Irgendwelche Fallstricke, wenn wir die Domain-Version aktualisieren? Es scheint, als sollte die Antwort nein sein, aber ich hoffe, einige Erfahrungen aus der realen Welt kennenzulernen.

Es tut mir leid, dass ich so langatmig bin. Es stellte sich heraus, dass dies komplizierter war, als ich gedacht hatte. Alle Gedanken zu Ihren persönlichen Erfahrungen wären hilfreich. Ich bin die einzige technische Person in unserem IT-Team.

windows-server-2008-r2 group-policy login Quinten
quelle

Antworten:

7

Grüße von einer anderen gemeinnützigen IS-Person. :) :)

Wie schwierig ist es, GPP bereitzustellen? Angesichts der Tatsache, dass Windows XP dies nicht nativ unterstützt, richtig? Müssen wir die clientseitigen Erweiterungen installieren?

GPP sind ziemlich einfach, wenn Ihre Systeme XP SP3 sind und kürzlich gepatcht wurden. Ich habe selten Probleme im Zusammenhang mit den Einstellungen gesehen. Wenn Sie bereits über WSUS verfügen, sollten Sie überprüfen können, ob auf allen Ihren Systemen der erforderliche Client installiert ist.

Ist GPP unter Windows XP SP3 zuverlässig? Beim Googeln habe ich einige Hinweise auf Fehler und langsame Leistung gefunden. Entspricht dies dem aktuellen Status dieses Produkts?

Ich hatte keine größeren Zuverlässigkeitsprobleme, nachdem die oben aufgeführten Probleme mit der clientseitigen Erweiterung behoben wurden.

Wie ist die Leistung / der Overhead von GPP im Vergleich zur Verwendung eines Kixtarts oder VBScript für Dinge wie das Zuordnen von Laufwerken und das Installieren von Druckern?

Ich gehe davon aus, dass Sie sich auf die Desktop-Leistung beziehen. Wenn ja, war die Geschwindigkeit zwischen den beiden in meiner Umgebung vernachlässigbar.

Was ist eine gute Vorgehensweise, um erfolgreiche / erfolglose Anmeldungen zu verfolgen? Unser derzeitiges System scheint zu viel Overhead zu haben. Sollte dies im Ereignisprotokoll gespeichert werden? Auf welcher Maschine? Zentral oder auf dem lokalen Desktop? Wir verwenden die Protokolle derzeit als Debugging-Tool und auch, um festzustellen, wann sich ein Benutzer zuletzt bei der Domäne angemeldet hat.

Wir haben ein paar Systeme eingerichtet, ein Legacy-System (sehr ähnlich wie Sie es beschreiben, ich würde es gerne im Ruhestand sehen) und eine Ereignisprotokollprüfung für erfolgreiche und fehlgeschlagene Anmeldeversuche. Aktivieren Sie die Überwachung auf Ihren Domänencontrollern. Ich schlage vor, Splunk zum Sammeln Ihrer Protokolle zu verwenden, aber das ist eine Frage der Wahl.

Was sollte ich versuchen, um unsere aktuelle Gruppenrichtlinieninfrastruktur zu beschleunigen? Ich denke, das dauert beim Start sehr lange. Irgendwelche Ideen, wo Sie mit der Fehlerbehebung beginnen können?

Was sind Best Practices für die Erstellung eines modernen Anmeldesystems für die von mir genannten Aufgaben? Kartieren Sie Laufwerke, Kartendrucker, installieren Sie Software, installieren Sie Patches und führen Sie verschiedene Sicherungsroutinen und dergleichen durch. Welche Tools mögen und empfehlen Sie für diesen Job?

Ich hatte sehr viel Glück mit dem oben aufgeführten GPP. Die überwiegende Mehrheit der Startaufgaben kann mit einer Handvoll GPP-Einstellungen ausgeführt werden.

Was ist der beste Weg, um Software zu installieren, die noch nicht ordentlich in ein MSI gepackt ist? Wir sind ein gemeinnütziger Verein und könnten einige Softwarespenden von Tech Soup erhalten, unter anderem von SCCM. Aber ich weiß wirklich nicht, ob sich das lohnt.

Ich kann EminentWare nur empfehlen. Es ist ein kostenpflichtiges Produkt, aber nicht zu teuer. Es werden Updates für Ihre Nicht-MS-Produkte bereitgestellt (ich liebe die Java- und Adobe-Updates) und ermöglicht Ihnen das Packen und Bereitstellen von Software.

Welche Auswirkungen hat ein Upgrade unserer Domain auf die Server 2008 R2-Version, damit wir GPP verwenden können? Ich sollte erwähnen, dass wir zwei Mitgliedsserver in unserer Domäne haben, auf denen Windows NT ausgeführt wird. Dies sind im Grunde Geräte, die nur für unser Voicemail-System verwendet werden. Ich möchte nicht, dass diese brechen. Wir hatten ein Problem beim Upgrade unserer Domänencontroller mit SMB, aber ich konnte die Problemumgehung zum Verringern der Sicherheitseinstellungen finden. Irgendwelche Fallstricke, wenn wir die Domain-Version aktualisieren? Es scheint, als sollte die Antwort nein sein, aber ich hoffe, einige Erfahrungen aus der realen Welt kennenzulernen.

Ich kann nicht kommentieren, ich bin immer noch auf der Funktionsebene 2003.

Tim Brigham
quelle
2
+1 - Alle Halse mit meiner Erfahrung und ich habe nicht viel hinzuzufügen. Ich werde sagen, dass Ihre Domänen- und Gesamtstrukturfunktionsebene keine Auswirkungen auf Computer hat, die keine Domänencontroller sind.
Evan Anderson
Danke, einige tolle Infos hier! Ich hoffe, dass auch einige andere ihre Erfahrungen einbringen können.
Quinten
4

8.

Der Mitgliedsserver hat keinen Einfluss auf die Funktionsebene Ihrer Domain. Dies wird nur von DCs benötigt. Wenn alle Ihre DCs 2008 und höher sind, können Sie die Funktionsebene ohne Probleme auf 2008 erhöhen.

Nixphoe
quelle
3

Von 30.000 Zeilen Anmeldeskript auf 4.000 PCs auf reines GPP umgestellt, ohne dass unter XP SP2 mit GPP-Add-On Probleme auftreten. Wir haben GP-Sicherheitsfilter und GPP-Filter verwendet, um die meisten Richtlinien über AD Universal Groups und nicht über Organisationseinheiten zu steuern. Die linearen Organisationseinheiten ermöglichen nicht die Flexibilität, die Sie möglicherweise benötigen, während reine Sicherheitsfilter ein Design ermöglichen, das frei von den Einschränkungen Ihres Organisationseinheiten-Designs ist.

Rückblickend hätte ich bei so flexiblen GPPs wahrscheinlich alle benutzerbasierten GPPs in einem einzigen Gruppenrichtlinienobjekt zusammengefasst, um Ladezeit zu sparen. Wir haben zunächst GPPs mit einem neuen Gruppenrichtlinienobjekt für jede GPP-Funktion implementiert: eines für Laufwerkszuordnungen, eines für Favoriten usw. Es wurden Hunderte von Einstellungen vorgenommen, aber ich kann mir vorstellen, dass die Verarbeitung als einzelnes Gruppenrichtlinienobjekt (eine XML-Datei für GPP) schneller gewesen wäre ).

Halten Sie in XP Ihre Computer- und Benutzereinstellungen in XP in separaten Gruppenrichtlinienobjekten und deaktivieren Sie sie auf Gruppenrichtlinienobjektebene, je nachdem, was Sie in diesem Gruppenrichtlinienobjekt nicht verwenden. In Windows 7 ist dies kein Problem.

Bret Fisher
quelle
2

Vor ungefähr anderthalb Jahren hat meine Firma diesen Prozess durchlaufen. Wir waren alle XP (ca. 700 Plätze), Server 2003 (Domain auch), mit einer Reihe von Skripten wie alle anderen. Wir hatten auch ScriptLogic, das mir nicht gefallen hat. Wir haben GPP auf unseren XP-Computern bereitgestellt, die Funktionsebenen aktualisiert und begonnen, die per Skript erledigten Aufgaben auf GPP zu migrieren, und hatten großen Erfolg. Seitdem haben wir viele Dutzend Elemente zu GPP hinzugefügt. Alle Laufwerkszuordnungen werden dort durchgeführt, viele Dateikopien, Verknüpfungen, Regkeys usw. Ich kann mit Sicherheit sagen, dass wir sehr starke GPP-Benutzer sind. Wir verwenden das Targeting auf Artikelebene für die große Mehrheit der Artikel (ohne erkennbare Auswirkungen). Wir sind auf Windows 7 migriert und haben mithilfe der WMI-Filterung entsprechende Gruppenrichtlinienobjekte verknüpft, die ebenfalls mit Gruppenrichtlinienobjekten gefüllt sind, und hatten nur sehr wenige Probleme. Nichts Ernstes. Vom Kaltstart bis zum gebrauchsfertigen Desktop sind wir bei 3 Minuten oder weniger.

  1. Die Bereitstellung von GPP unter XP war für uns einfach. Wir haben nur sichergestellt, dass es auf unserem Image (oder im Image-Prozess) vorhanden ist, und sind auf alle PCs gelangt, bevor wir GPPs verwenden.
  2. Zu der Zeit waren wir auf XP SP2
  3. 3 Minuten oder weniger vom Ausschalten bis zum verwendbaren Desktop mit vielen Gruppenrichtlinienobjekten und vielen Gruppenrichtlinienobjekten. Ich finde das ziemlich gut. Eine Einschränkung - wir stellen keine Drucker mit GPP bereit - dies ist wohl ein Bereich, in dem wir einige Probleme hatten, aber hauptsächlich leistungsbasiert. Dies hat die Anmeldung in einigen Fällen erheblich verlangsamt, sodass wir sie deaktiviert haben.
  4. Wir verfolgen die Start- und Anmeldezeiten (über native Desktop-Ereignisprotokolleinträge) mithilfe eines benutzerdefinierten Skripts, das in die Remote-SQL-Datenbank geschrieben wird.
  5. Das Ereignisprotokoll ist dein Freund. Wenn Sie migrieren möchten, müssen Sie die Gruppenrichtlinienobjekte nicht erneut verwenden. Erstellen Sie neue mit nur dem, was Sie brauchen. Verwenden Sie nach Möglichkeit die WMI-Filterung und befolgen Sie einfach die Best Practices (dh deaktivieren Sie die Benutzereinstellungen für Gruppenrichtlinienobjekte, die nur für Computer gelten ... usw.).
  6. Wir verwenden eine Kombination von Gruppenrichtlinienobjekten mit GPP, SCCM, WSUS und AppV. Wir haben die Ordnerumleitung (mit VSS) aktiviert, Roaming-Profile deaktiviert und alle sind ziemlich zufrieden mit der Umgebung.
  7. Für Sie, je nachdem wie groß oder klein, würde ich SCCM wahrscheinlich nicht empfehlen, obwohl es mir gefällt, aber ich kann AppV auf jeden Fall empfehlen. Kann es nicht genug empfehlen.
  8. kein Kommentar
Jordan W.
quelle
Auf # 7 sind wir ungefähr 150 Vollzeitmitarbeiter und schwellen im Sommer mit Teilzeit-Freiwilligen und Praktikanten auf ~ 200 an. Ist der Grund, den Sie empfehlen, gegen die SCCM-Komplexität?
Quinten
Ja, ich meine, es gibt eine Lernkurve, wenn Sie es bereits gut genug wissen UND es kostenlos bekommen können, dann machen Sie es auf jeden Fall. Aber AppV könnte Ihr Leben verändern. SCCM ist nur eine andere Art, Dinge zu tun, ja, es schafft Mehrwert, aber nichts, was wir vorher noch nicht gesehen haben, aber AppV, wenn Sie es noch nicht benutzt haben, ist einfach wunderbar (für einen Desktop-Administrator wie mich)
Jordan W.
Ich habe mir von einer anderen Person appv empfehlen lassen, also sollten wir es uns vielleicht ansehen. Unser Netzwerk besteht ausschließlich aus Halbduplex, daher mache ich mir ein wenig Sorgen um die Leistung.
Quinten
Ja, das ist ein bisschen beängstigend. Mit AppV gibt es jedoch nur eine echte Verzögerung beim ERSTEN Start einer App. Dann wird es lokal gestreamt und alles lokal ausgeführt. Danach wird es zwischengespeichert und muss den ersten Stream nicht erneut ausführen. Bis oder solange Sie die virtualisierte Kopie auf der Serverseite nicht aktualisieren, wird das Update erneut gestreamt. Ich hoffe, das hilft.
Jordan W.