Accélérer la stratégie de groupe et comment la mise en œuvre des préférences de stratégie de groupe affectera-t-elle le temps de connexion?

8

Je cherche des conseils sur l'accélération et la mise à niveau de notre système de connexion pour le rendre plus robuste et plus rapide.

J'ai hérité d'un ancien système de connexion, qui a été migré à partir de Novell Netware à l'origine. Nous exécutons actuellement Windows Server 2008 R2, mais la version du domaine est toujours Windows 2000 (en théorie, si ce n'est pas cassé, ne le corrigez pas). Nous aimerions éventuellement passer à Windows 7, mais nous aurons un mélange de Windows 7 et Windows XP SP3 pendant au moins quelques années. Nous avons quelques machines SP2, mais nous pouvons nous permettre de les remplacer s'il n'est pas possible de passer à SP3.

Actuellement, nous nous appuyons principalement sur des scripts de connexion, principalement écrits en Kixtart, mais avec certains écrits en VBScript et avec un wrapper Windows BAT. Les scripts d'ouverture de session mappent les lecteurs et les imprimantes, installent des solutions rapides pour les problèmes de sécurité ou les bogues mineurs en l'absence de correctif officiel (comme le récent problème de sécurité winhelp.exe), installent le logiciel et effectuent diverses tâches telles que la sauvegarde de certains paramètres tels que les favoris IE dans les machines de cas. besoin d'être réimaginé.

Nous avons également activé un petit nombre de stratégies de groupe. Ceux-ci implémentent principalement certains paramètres de sécurité. J'expérimentais avec l'utilisation de GPO pour installer un logiciel, mais je n'ai pas trouvé que c'était pratique. Trop de nos logiciels n'utilisent pas de MSI, et les heures que j'ai passées à essayer de faire une capture MSI n'étaient pas gratifiantes la seule fois où je l'ai essayé. Il s'est avéré plus facile d'utiliser simplement un script pour effectuer l'installation sans assistance. De plus, la maintenance est pénible, tout comme les démarrages retardés si une machine a été arrêtée trop longtemps. Cela ne me dérange pas de revoir cela, mais il semblait que les scripts fonctionnaient bien, donc je n'ai jamais été obligé d'investir plus de temps dans cela.

Notre système fonctionne bien, mais il est un peu rigide. Il a été conçu pour enregistrer des informations sur chaque ouverture de session dans un fichier stocké de manière centralisée sur une base d'ID par connexion, et les problèmes d'autorisations (comme avec une ouverture de session simultanée avec un nom d'utilisateur) se déclenchent de temps en temps. Nous nous appuyons sur des indicateurs pour déterminer si un logiciel a déjà été installé, ce qui peut être fragile et entraîne parfois des installations inutiles (si un nouvel utilisateur se connecte à un poste de travail, par exemple). C'est un peu lent, surtout du côté de la politique de groupe. J'ai essayé de faire un profil, et je pense que cela prend environ 300 secondes (pourrait être un peu décalé). Un utilisateur typique aurait environ 8 petites politiques appliquées. Nous avons environ 12 unités d'organisation, mais utilisons le filtrage WMI pour quelques stratégies de groupe.

Nous mappons environ 8 lecteurs partagés (en fonction de l'appartenance à un groupe, et non de l'unité d'organisation), et environ 20 imprimantes (tout le monde obtient chaque imprimante, mais un serveur d'impression différent pour chaque site). Les besoins en logiciels varient considérablement en fonction principalement de l'unité d'organisation, mais quelques personnes en dehors d'une unité d'organisation peuvent également avoir besoin du logiciel.

Mes questions:

  1. Est-il difficile de déployer GPP? Étant donné que Windows XP ne prend pas cela en charge de manière native, non? Nous devons installer les extensions côté client?
  2. Le GPP est-il fiable sur Windows XP SP3? Googler, j'ai trouvé quelques références aux bugs et aux performances lentes. Est-ce que cela correspond à l'état actuel de ce produit?
  3. Comment les performances / les frais généraux de GPP se comparent-ils à l'utilisation d'un kixtart ou d'un vbscript pour des choses comme le mappage de lecteurs et l'installation d'imprimantes?
  4. Quelle bonne pratique utiliser pour suivre les connexions réussies / infructueuses? Notre système actuel semble avoir trop de frais généraux. Doit-elle être stockée dans le journal des événements? Sur quelle machine? De manière centrale ou sur le bureau local? Nous utilisons actuellement les journaux comme outil de débogage, ainsi que pour déterminer la date de la dernière connexion d'un utilisateur au domaine.
  5. Que dois-je essayer d'accélérer notre infrastructure de stratégie de groupe actuelle? Je pense que c'est ce qui prend beaucoup de temps au démarrage. Avez-vous des idées par où commencer à résoudre ce problème?
  6. Quelles sont les meilleures pratiques pour créer un système de connexion moderne pour gérer les tâches que j'ai mentionnées? Cartographier des lecteurs, cartographier des imprimantes, installer des logiciels, installer des correctifs et exécuter diverses routines de sauvegarde et autres. Quels outils aimez-vous et recommandez-vous pour ce travail?
  7. Quelle est la meilleure façon d'installer un logiciel qui n'est pas déjà bien emballé dans un MSI? Nous sommes un organisme sans but lucratif et nous pourrions obtenir des dons de logiciels de Tech Soup, comme SCCM. Mais je ne sais vraiment pas si cela en vaut la peine.
  8. Quelles sont les implications de la mise à niveau de notre domaine vers la version Server 2008 R2, pour nous permettre d'utiliser GPP? Je dois mentionner que nous avons deux serveurs membres sur notre domaine qui exécutent Windows NT. Ce sont essentiellement des appareils utilisés uniquement pour notre système de messagerie vocale. Je ne veux pas que ça casse. Nous avons eu un problème avec la mise à niveau de nos contrôleurs de domaine avec SMB, mais j'ai pu trouver la solution de contournement des paramètres de sécurité. Des problèmes si nous mettons à niveau la version du domaine? Il semble que la réponse devrait être non, mais j'espère en savoir plus sur certaines expériences du monde réel.

Désolé d'être si long, cela s'est avéré être plus impliqué que je ne le pensais. Toute réflexion sur vos expériences personnelles serait utile. Je suis le seul technicien de notre équipe informatique.

windows-server-2008-r2 group-policy login Quinten
la source

Réponses:

7

Salutations d'une autre personne IS à but non lucratif. :)

Est-il difficile de déployer GPP? Étant donné que Windows XP ne prend pas cela en charge de manière native, non? Nous devons installer les extensions côté client?

Les GPP sont assez simples si vos systèmes sont XP SP3 et récemment corrigés. J'ai rarement vu des problèmes liés aux préférences. Si vous avez déjà WSUS, vous devriez pouvoir vérifier que tous vos systèmes ont le client nécessaire installé.

Le GPP est-il fiable sur Windows XP SP3? Googler, j'ai trouvé quelques références aux bugs et aux performances lentes. Est-ce que cela correspond à l'état actuel de ce produit?

Je n'ai eu aucun problème de fiabilité majeur après que les problèmes d'extension côté client répertoriés ci-dessus ont été résolus.

Comment les performances / les frais généraux de GPP se comparent-ils à l'utilisation d'un kixtart ou d'un vbscript pour des choses comme le mappage de lecteurs et l'installation d'imprimantes?

Je suppose que vous faites référence aux performances du bureau. Si c'est le cas, la vitesse entre les deux a été négligeable dans mon environnement.

Quelle bonne pratique utiliser pour suivre les connexions réussies / infructueuses? Notre système actuel semble avoir trop de frais généraux. Doit-elle être stockée dans le journal des événements? Sur quelle machine? De manière centrale ou sur le bureau local? Nous utilisons actuellement les journaux comme outil de débogage, ainsi que pour déterminer la date de la dernière connexion d'un utilisateur au domaine.

Nous avons quelques systèmes en place, un système hérité (très similaire à ce que vous décrivez, j'aimerais qu'il soit retiré) et un audit du journal des événements pour les tentatives de connexion réussies et échouées. Activer l'audit sur vos contrôleurs de domaine serait suffisant. Je suggère d'utiliser Splunk pour collecter vos journaux, mais c'est une question de choix.

Que dois-je essayer d'accélérer notre infrastructure de stratégie de groupe actuelle? Je pense que c'est ce qui prend beaucoup de temps au démarrage. Avez-vous des idées par où commencer à résoudre ce problème?

Quelles sont les meilleures pratiques pour créer un système de connexion moderne pour gérer les tâches que j'ai mentionnées? Cartographier des lecteurs, cartographier des imprimantes, installer des logiciels, installer des correctifs et exécuter diverses routines de sauvegarde et autres. Quels outils aimez-vous et recommandez-vous pour ce travail?

J'ai eu beaucoup de chance avec le GPP répertorié ci-dessus. La grande majorité des tâches de démarrage peuvent être accomplies avec une poignée de paramètres GPP.

Quelle est la meilleure façon d'installer un logiciel qui n'est pas déjà bien emballé dans un MSI? Nous sommes un organisme sans but lucratif et nous pourrions obtenir des dons de logiciels de Tech Soup, comme SCCM. Mais je ne sais vraiment pas si cela en vaut la peine.

Je recommande fortement EminentWare. C'est un produit payant mais pas trop cher. Il déploiera des mises à jour pour vos produits non MS (j'adore les mises à jour Java et Adobe) et vous permet de conditionner et de déployer des logiciels.

Quelles sont les implications de la mise à niveau de notre domaine vers la version Server 2008 R2, pour nous permettre d'utiliser GPP? Je dois mentionner que nous avons deux serveurs membres sur notre domaine qui exécutent Windows NT. Ce sont essentiellement des appareils utilisés uniquement pour notre système de messagerie vocale. Je ne veux pas que ça casse. Nous avons eu un problème avec la mise à niveau de nos contrôleurs de domaine avec SMB, mais j'ai pu trouver la solution de contournement des paramètres de sécurité. Des problèmes si nous mettons à niveau la version du domaine? Il semble que la réponse devrait être non, mais j'espère en savoir plus sur certaines expériences du monde réel.

Je ne peux pas commenter, je suis toujours au niveau fonctionnel 2003.

Tim Brigham
la source
2
+1 - Tous les jibes avec mon expérience et je n'ai pas grand-chose à ajouter. Je dirai que votre niveau fonctionnel de domaine et de forêt n'aura aucun impact sur les ordinateurs non contrôleurs de domaine.
Evan Anderson
Merci, quelques bonnes informations ici! J'espère que d'autres personnes pourront également faire écho à leurs expériences.
Quinten
4

8.

Le serveur membre n'affecte pas le niveau de fonction de votre domaine. Seuls les contrôleurs de domaine en auront besoin. Si tous vos contrôleurs de domaine sont de 2008 et au-dessus, vous pouvez augmenter le niveau fonctionnel à 2008 sans aucun problème.

Nixphoe
la source
3

Passé de 30 000 lignes de script d'ouverture de session sur 4 000 PC à GPP pur avec peu ou pas de problèmes sur XP SP2 avec module complémentaire GPP. Nous avons utilisé des filtres de sécurité GP et des filtres GPP pour contrôler la plupart des politiques via les groupes universels AD plutôt que les unités d'organisation. Les unités d'organisation étant linéaires ne permettent pas la flexibilité dont vous pourriez avoir besoin, tandis que les filtres de sécurité purs permettent une conception qui est libre des contraintes de votre conception d'unité d'organisation.

Avec le recul, les GPP étant si flexibles, j'aurais probablement mis tous les GPP basés sur les utilisateurs dans un seul GPO pour gagner du temps sur le chargement. Nous avons initialement implémenté les GPP avec un nouveau GPO pour chaque fonctionnalité GPP: un pour les mappages de lecteurs, un pour les favoris, etc. ).

Pour plus de vitesse, dans XP, conservez les paramètres de votre ordinateur et de l'utilisateur dans des objets de stratégie de groupe distincts et désactivez-les au niveau de l'objet de stratégie de groupe que vous n'utilisez jamais dans cet objet de stratégie de groupe. Dans Windows 7, ce n'est pas un problème.

Bret Fisher
la source
2

Il y a environ un an et demi, mon entreprise a suivi ce processus. Nous étions tous XP (environ 700 sièges), serveur 2003 (domaine également), avec un tas de scripts comme tout le monde. Nous avions également ScriptLogic que je n'aimais pas. Nous avons déployé GPP sur nos machines XP, mis à niveau les niveaux fonctionnels et commencé à migrer les choses via script à GPP et avons eu un grand succès. Depuis lors, nous avons ajouté plusieurs dizaines d'éléments dans GPP. Tout le mappage de lecteur est fait là-bas, beaucoup de copies de fichiers, de raccourcis, de clés d'enregistrement, etc. Je peux certainement dire que nous sommes de grands utilisateurs de GPP. Nous utilisons le ciblage au niveau des articles sur la grande majorité des articles (sans impact notable). Nous avons migré vers Windows 7 et également en utilisant le filtrage WMI lié aux GPO appropriés également remplis de GPP et avons eu très peu de problèmes. Rien de sérieux. Du démarrage à froid au bureau prêt à l'emploi, nous sommes à 3 minutes ou moins.

  1. Le déploiement de GPP vers XP a été simple pour nous. Nous nous sommes juste assurés que c'était sur notre image (ou dans le processus d'image) et nous sommes arrivés à tous les PC avant de commencer à utiliser les GPP.
  2. Au moment où nous étions sur XP SP2
  3. 3 minutes ou moins de la mise hors tension au bureau utilisable avec beaucoup de GPO et beaucoup de GPP. Je pense que c'est plutôt bien. Une mise en garde - nous ne déployons pas d'imprimantes à l'aide de GPP - c'est, je suppose, un domaine où nous avons eu quelques problèmes, mais principalement en fonction des performances. Cela a beaucoup ralenti la connexion dans certains cas, nous avons donc désactivé cela.
  4. Nous suivons les heures de démarrage et d'ouverture de session (via les entrées du journal des événements du bureau natif) à l'aide d'un script personnalisé écrit dans une base de données SQL distante.
  5. Le journal des événements est votre ami. Si vous allez migrer, c'est le moment de nettoyer, ne réutilisez pas les GPO. Créez-en de nouveaux avec uniquement ce dont vous avez besoin. Utilisez le filtrage WMI lorsque cela est possible et suivez simplement les meilleures pratiques (par exemple, désactivez les paramètres utilisateur sur les objets de stratégie de groupe uniquement appliqués aux ordinateurs ... etc.)
  6. Nous utilisons une combinaison de GPO avec GPP, SCCM, WSUS et AppV. Nous avons activé la redirection de dossiers (avec VSS), désactivé les profils itinérants et tout le monde est plutôt satisfait de l'environnement.
  7. Pour vous, en fonction de leur taille, je ne recommanderais probablement pas SCCM bien que je l'aime, mais je recommande fortement AppV. Je ne le recommande pas assez.
  8. sans commentaire
Jordan W.
la source
Sur # 7, nous sommes environ 150 employés à temps plein et gonflons en été à ~ 200 avec des bénévoles et des stagiaires à temps partiel. Est-ce la raison que vous recommandez contre la complexité SCCM?
Quinten
Oui, je veux dire qu'il y a une courbe d'apprentissage, si vous le connaissez déjà assez bien ET pouvez l'obtenir gratuitement, alors allez-y par tous les moyens. Mais AppV pourrait changer votre vie. SCCM est juste une autre façon de faire les choses, oui il ajoute de la valeur mais rien de ce que nous n'avons jamais vu auparavant, mais AppV, si vous ne l'avez pas utilisé auparavant est tout simplement merveilleux (pour un administrateur de bureau comme moi)
Jordan W.
J'ai eu une autre personne qui me recommande l'appv, alors nous devrions peut-être vérifier. Notre réseau est entièrement semi-duplex, donc je m'inquiète un peu pour les performances.
Quinten
Ouais c'est un peu effrayant. Mais avec AppV, il n'y a qu'un réel retard sur le PREMIER lancement d'une application. Ensuite, il le diffuse localement et exécute tout localement. Après cela, il le met en cache et n'a plus besoin de refaire ce premier flux. Jusqu'à ou à moins que vous ne mettiez à jour la copie virtualisée côté serveur, il retransmettra cette mise à jour. J'espère que cela pourra aider.
Jordan W.16