¿Acelerar la directiva de grupo y cómo la implementación de las preferencias de directiva de grupo afectará el tiempo de inicio de sesión?

Estoy buscando algunos consejos sobre cómo acelerar y actualizar nuestro sistema de inicio de sesión para hacerlo más robusto y rápido.

Heredé un sistema de inicio de sesión anterior, que se migró originalmente de Novell Netware. Actualmente estamos ejecutando Windows Server 2008 R2, pero la versión de dominio sigue siendo Windows 2000 (en teoría, si no está roto, no lo arregles). Con el tiempo, nos gustaría actualizar a Windows 7, pero tendremos una combinación de Windows 7 y Windows XP SP3 durante al menos algunos años. Tenemos algunas máquinas SP2, pero podemos permitirnos reemplazarlas si no es posible actualizar a SP3.

Actualmente, confiamos principalmente en los scripts de inicio de sesión, principalmente escritos en Kixtart, pero con algunos escritos en VBScript y con un contenedor BAT de Windows. Las secuencias de comandos de inicio de sesión mapean unidades e impresoras, instalan soluciones rápidas para problemas de seguridad o errores menores cuando no hay un parche oficial (como el reciente problema de seguridad winhelp.exe), instalan software y realizan tareas diversas como hacer una copia de seguridad de algunas configuraciones, como favoritos de IE en máquinas de cajas necesita ser reimagen.

También tenemos un pequeño número de políticas grupales habilitadas. Los que implementan algunas configuraciones de seguridad, en su mayoría. Estaba experimentando con el uso de GPO para instalar software, pero no he encontrado que esto sea práctico. Demasiado de nuestro software no usa un MSI, y las horas que pasé tratando de hacer una captura de MSI no fueron gratificantes en la única ocasión en que lo intenté. Terminó siendo más fácil simplemente usar un script para realizar la instalación desatendida. Además, el mantenimiento es un problema, ya que se trata de arranques demorados si una máquina ha estado apagada durante demasiado tiempo. No me importa volver a visitar esto, pero parecía que los scripts funcionaban bien, por lo que nunca me vi obligado a invertir más tiempo en esto.

Nuestro sistema funciona bien, pero es un poco inflexible. Fue diseñado para registrar información en cada inicio de sesión en un archivo almacenado centralmente por ID de inicio de sesión, y los problemas de permisos (como con un inicio de sesión simultáneo con un nombre de usuario) disparan esto de vez en cuando. Confiamos en los indicadores para determinar si el software se ha instalado previamente, lo que puede ser frágil y, a veces, resulta en instalaciones innecesarias (si un nuevo usuario inicia sesión en una estación de trabajo, por ejemplo). Es algo lento, especialmente en el lado de la política de grupo. Intenté hacer un perfil, y creo que esto toma alrededor de 300 segundos (podría estar un poco apagado). Un usuario típico tendría aproximadamente 8 pequeñas políticas aplicadas. Tenemos alrededor de 12 unidades organizativas, pero utilizamos el filtro WMI para algunas de las políticas de grupo.

Mapeamos alrededor de 8 unidades compartidas (basadas en la pertenencia a grupos, no en unidades organizativas), y alrededor de 20 impresoras (todos obtienen cada impresora, pero un servidor de impresión diferente para cada sitio). Las necesidades de software varían drásticamente en función de la OU, pero algunas personas fuera de una OU también pueden necesitar el software.

Mis preguntas:

1. ¿Qué tan difícil es implementar GPP? Dado que Windows XP no admite esto de forma nativa, ¿verdad? ¿Necesitamos instalar las extensiones del lado del cliente?
2. ¿GPP es confiable en Windows XP SP3? Buscando en Google, encontré algunas referencias a errores y rendimiento lento. ¿Esto coincide con el estado actual de este producto?
3. ¿Cómo se compara el rendimiento / gastos generales de GPP con el uso de un kixtart o vbscript para cosas como mapear unidades e instalar impresoras?
4. ¿Cuál es una buena práctica para realizar un seguimiento de los inicios de sesión exitosos / no exitosos? Nuestro sistema actual parece tener demasiados gastos generales. ¿Debería almacenarse esto en el registro de eventos? En que maquina ¿Centralmente o en el escritorio local? Usamos los registros como una herramienta de depuración actualmente, y también para determinar cuándo un usuario inició sesión por última vez en el dominio.
5. ¿Qué debo intentar para acelerar nuestra infraestructura actual de directiva de grupo? Creo que esto es lo que lleva mucho tiempo en el inicio. ¿Alguna idea de dónde comenzar a solucionar esto?
6. ¿Cuáles son las mejores prácticas para crear un sistema de inicio de sesión moderno para hacer frente a las tareas que mencioné? Asigne unidades de disco, impresoras de mapas, instale software, instale parches y realice diversas rutinas de respaldo y similares. ¿Qué herramientas te gustan y recomiendas para este trabajo?
7. ¿Cuál es la mejor manera de instalar software que ya no está perfectamente empaquetado en un MSI? Somos una organización sin fines de lucro y podríamos obtener algunas donaciones de software de Tech Soup de cosas como SCCM. Pero, realmente no sé si esto vale la pena.
8. ¿Cuáles son las implicaciones de actualizar nuestro dominio a la versión Server 2008 R2 para permitirnos utilizar GPP? Debo mencionar que tenemos dos servidores miembros en nuestro dominio que ejecutan Windows NT. Estos son básicamente dispositivos utilizados solo para nuestro sistema de correo de voz. No quiero que se rompan. Tuvimos un problema con la actualización de nuestros controladores de dominio con SMB, pero pude encontrar la solución para reducir la configuración de seguridad. ¿Algún problema si actualizamos la versión del dominio? Parece que la respuesta debería ser no, pero espero aprender sobre algunas experiencias del mundo real.

Perdón por tener tanto aliento, esto resultó ser más complicado de lo que pensé que sería preguntar. Cualquier idea sobre sus experiencias personales sería útil. Soy la única persona técnica en nuestro equipo de TI.

Saludos de otra persona sin fines de lucro ES. :)

¿Qué tan difícil es implementar GPP? Dado que Windows XP no admite esto de forma nativa, ¿verdad? ¿Necesitamos instalar las extensiones del lado del cliente?

GPP son bastante sencillos si sus sistemas son XP SP3 y han sido revisados ​​recientemente. Raramente he visto problemas relacionados con las preferencias. Si ya tiene WSUS, debería poder verificar que todos sus sistemas tengan instalado el cliente necesario.

¿GPP es confiable en Windows XP SP3? Buscando en Google, encontré algunas referencias a errores y rendimiento lento. ¿Esto coincide con el estado actual de este producto?

No he tenido ningún problema importante de confiabilidad después de que se resolvieron los problemas de extensión del lado del cliente mencionados anteriormente.

¿Cómo se compara el rendimiento / gastos generales de GPP con el uso de un kixtart o vbscript para cosas como mapear unidades e instalar impresoras?

Supongo que se refiere al rendimiento del escritorio. Si es así, la velocidad entre los dos ha sido insignificante en mi entorno.

¿Cuál es una buena práctica para realizar un seguimiento de los inicios de sesión exitosos / no exitosos? Nuestro sistema actual parece tener demasiados gastos generales. ¿Debería almacenarse esto en el registro de eventos? En que maquina ¿Centralmente o en el escritorio local? Usamos los registros como una herramienta de depuración actualmente, y también para determinar cuándo un usuario inició sesión por última vez en el dominio.

Tenemos un par de sistemas, un sistema heredado (muy parecido a lo que usted describe, me gustaría verlo retirado) y auditoría de registro de eventos para intentos de inicio de sesión exitosos y fallidos. Habilitar la auditoría en sus controladores de dominio sería suficiente. Sugiero usar Splunk para recopilar sus registros, pero eso es una cuestión de elección.

¿Qué debo intentar para acelerar nuestra infraestructura actual de directiva de grupo? Creo que esto es lo que lleva mucho tiempo en el inicio. ¿Alguna idea de dónde comenzar a solucionar esto?

¿Cuáles son las mejores prácticas para crear un sistema de inicio de sesión moderno para hacer frente a las tareas que mencioné? Asigne unidades de disco, impresoras de mapas, instale software, instale parches y realice diversas rutinas de respaldo y similares. ¿Qué herramientas te gustan y recomiendas para este trabajo?

He tenido muy buena suerte con el GPP mencionado anteriormente. La gran mayoría de las tareas de inicio se pueden lograr con un puñado de configuraciones GPP.

¿Cuál es la mejor manera de instalar software que ya no está perfectamente empaquetado en un MSI? Somos una organización sin fines de lucro y podríamos obtener algunas donaciones de software de Tech Soup de cosas como SCCM. Pero, realmente no sé si esto vale la pena.

Recomiendo mucho EminentWare. Es un producto pagado pero no demasiado caro. Implementará actualizaciones para sus productos que no son de MS (me encantan las actualizaciones de Java y Adobe) y le permite empaquetar e implementar software.

¿Cuáles son las implicaciones de actualizar nuestro dominio a la versión Server 2008 R2 para permitirnos utilizar GPP? Debo mencionar que tenemos dos servidores miembros en nuestro dominio que ejecutan Windows NT. Estos son básicamente dispositivos utilizados solo para nuestro sistema de correo de voz. No quiero que se rompan. Tuvimos un problema con la actualización de nuestros controladores de dominio con SMB, pero pude encontrar la solución para reducir la configuración de seguridad. ¿Algún problema si actualizamos la versión del dominio? Parece que la respuesta debería ser no, pero espero aprender sobre algunas experiencias del mundo real.

No puedo comentar, todavía estoy en el nivel funcional de 2003.

8)

El servidor miembro no afecta el nivel de función de su dominio. Solo los DC requerirán esto. Si todos sus DC son 2008 y superiores, puede elevar el Nivel funcional a 2008 sin ningún problema.

Pasó de 30,000 líneas de secuencia de comandos de inicio de sesión en 4,000 PC a GPP puro con pocos o ningún problema en XP SP2 con complemento GPP. Utilizamos los filtros GP Security y los filtros GPP para controlar la mayoría de las políticas a través de AD Universal Groups en lugar de las OU. Las unidades organizativas lineales no permiten la flexibilidad que eventualmente pueda necesitar, mientras que los filtros de seguridad puros permiten un diseño libre de las limitaciones de su diseño de unidades organizativas.

Mirando hacia atrás, con los GPP siendo tan flexibles, probablemente habría puesto todos los GPP basados ​​en el usuario en un solo GPO para ahorrar tiempo de carga. Inicialmente implementamos GPP con un nuevo GPO para cada característica de GPP: uno para mapeos de unidades, uno para favoritos, etc. Fueron cientos de configuraciones, pero imagino que habría sido más rápido de procesar como un solo GPO (que es un archivo XML para GPP )

Para mayor velocidad, en XP mantenga la configuración de su computadora y usuario en GPO separados y desactive en el nivel de GPO lo que no esté usando en ese GPO. En Windows 7 esto no es un problema.

Hace aproximadamente un año y medio, mi empresa pasó por este proceso. Todos éramos XP (aproximadamente 700 asientos), servidor 2003 (dominio también), con un montón de scripts como todos los demás. También teníamos ScriptLogic que no me gustó. Implementamos GPP en nuestras máquinas XP, mejoramos los niveles funcionales y comenzamos a migrar las cosas hechas a través de script a GPP y tuvimos un gran éxito. Desde entonces, hemos agregado muchas docenas de elementos a GPP. Todo el mapeo de unidades se realiza allí, muchas copias de archivos, accesos directos, teclas, etc. Sin duda, puedo decir que somos muy usuarios de GPP. Utilizamos la orientación a nivel de elemento en la gran mayoría de los elementos (sin impacto notable). Migramos a Windows 7 y también utilizamos filtros de WMI vinculados a GPO apropiados también llenos de GPP y hemos tenido muy pocos problemas. Nada serio. Desde el arranque en frío hasta un escritorio listo para usar, estamos a 3 minutos o menos.

1. Implementar GPP en XP fue simple para nosotros. Simplemente nos aseguramos de que estaba en nuestra imagen (o en el proceso de imagen) y llegamos a todas las PC antes de comenzar a usar GPP.
2. En ese momento estábamos en XP SP2
3. 3 minutos o menos desde el escritorio apagado al escritorio utilizable con muchos GPO y muchos GPP. Creo que eso es bastante bueno. Una advertencia: no implementamos impresoras con GPP, creo que esta es un área en la que tuvimos algunos problemas, pero principalmente basados ​​en el rendimiento. Esto ralentizó el inicio de sesión bastante en algunos casos, así que lo desactivamos.
4. Hacemos un seguimiento de los tiempos de arranque e inicio de sesión (a través de entradas de registro de eventos de escritorio nativas) utilizando un script personalizado que escribe en SQL DB remoto.
5. El registro de eventos es tu amigo. Si va a migrar, ese es el momento de limpiar, no reutilice los GPO. Crea nuevos con solo lo que necesitas. Utilice el filtrado WMI siempre que sea posible y solo siga las mejores prácticas (es decir, desactive la Configuración de usuario en los GPO que solo se aplican a las computadoras ... etc.)
6. Utilizamos una combinación de GPO con GPP, SCCM, WSUS y AppV. Activamos la redirección de carpetas (con VSS), desactivamos los perfiles móviles y todos están muy contentos con el entorno.
7. Para usted, dependiendo de cuán grande o pequeño, probablemente no recomendaría SCCM aunque me gusta, pero ciertamente recomiendo AppV. No puedo recomendarlo lo suficiente.
8. sin comentarios