加速组策略，以及实施组策略首选项将如何影响登录时间？

Question

我正在寻求一些关于加速和升级我们的登录系统的建议，以使其更加强大和快速。

我继承了一个旧的登录系统，它最初是从 Novell Netware 迁移过来的。我们目前运行的是 Windows Server 2008 R2，但域版本仍然是 Windows 2000（理论上，如果它没有坏，就不要修复它）。我们希望最终升级到 Windows 7，但至少在几年内我们将混合使用 Windows 7 和 Windows XP SP3。我们有一些 SP2 机器，但如果无法升级到 SP3，我们有能力更换它们。

目前，我们主要依赖登录脚本，大部分是用 Kixtart 编写的，但也有一些是用 VBScript 编写的，并使用 Windows BAT 包装器。登录脚本映射驱动器和打印机，在没有官方补丁的情况下安装安全问题或小错误的快速解决方法（如最近的 winhelp.exe 安全问题），安装软件，并执行杂项任务，如备份一些设置，如 IE 收藏夹以防万一机器需要重新成像。

我们还启用了少量组策略。那些实现了一些安全设置，主要是。我曾尝试使用 GPO 安装软件，但我发现这并不实用。我们的太多软件不使用 MSI，而且我尝试进行 MSI 捕获所花费的时间在我尝试过的情况下并没有回报。简单地使用脚本进行无人值守安装最终变得更容易。更重要的是，维护是一种痛苦，如果机器关闭时间过长，处理延迟启动也是一种痛苦。我不介意重新审视这个，但似乎脚本运行良好，所以我从来没有被迫在这方面投入更多时间。

我们的系统运行正常，但有点不灵活。它旨在将每次登录的信息以每个登录 ID 为基础记录到一个集中存储的文件中，并且权限问题（例如使用一个用户名同时登录）时常会引起此问题。我们依靠标志来确定以前是否安装过软件，这可能很脆弱，有时会导致不必要的安装（例如，如果新用户登录到工作站）。有点慢，尤其是组策略方面。我尝试做一个配置文件，我认为这需要大约 300 秒（可能有点偏离）。一个典型的用户会应用大约 8 个小策略。我们有大约 12 个 OU，但对一些组策略使用了 WMI 过滤。

我们映射了大约 8 个共享驱动器（基于组成员身份，而不是 OU）和大约 20 台打印机（每个人都有每台打印机，但每个站点都有不同的打印服务器）。软件需求主要基于 OU，差异很大，但 OU 之外的一些人可能也需要该软件。

我的问题：

1. 部署 GPP 有多难？鉴于 Windows XP 本身不支持这一点，对吗？我们需要安装客户端扩展吗？
2. GPP 在 Windows XP SP3 上可靠吗？谷歌搜索，我发现了一些关于错误和性能缓慢的参考。这是否符合该产品的当前状态？
3. 与使用 kixtart 或 vbscript 进行映射驱动器和安装打印机等操作相比，GPP 的性能/开销如何？
4. 用于跟踪成功/不成功登录的好做法是什么？我们当前的系统似乎有太多的开销。这应该存储在事件日志中吗？在哪台机器上？集中，还是在本地桌面上？目前，我们确实将日志用作调试工具，并确定用户上次登录域的时间。
5. 我应该尝试什么来加速我们当前的组策略基础架构？我认为这就是启动时需要很长时间的原因。关于从哪里开始解决这个问题的任何想法？
6. 创建现代登录系统来处理我提到的任务的最佳实践是什么？地图驱动器、地图打印机、安装软件、安装补丁和执行各种备份程序等。您喜欢并推荐哪些工具来完成这项工作？
7. 安装尚未整齐打包在 MSI 中的软件的最佳方法是什么？我们是一个非营利组织，可以从 Tech Soup 获得一些软件捐赠，例如 SCCM。但是，我真的不知道这是否值得。
8. 将我们的域升级到 Server 2008 R2 版本以允许我们使用 GPP 意味着什么？我应该提到，我们的域中有两台运行 Windows NT 的成员服务器。这些基本上是仅用于我们的语音邮件系统的设备。我不想让这些坏掉。我们确实在使用 SMB 升级域控制器时遇到了问题，但我找到了降低安全设置的解决方法。如果我们升级域版本有什么问题吗？答案似乎是否定的，但我希望了解一些现实世界的经验。

很抱歉这么啰嗦，事实证明这比我想象的要问的要多。关于您个人经历的任何想法都会有所帮助。我是我们 IT 团队中唯一的技术人员。

Answer 1

来自另一个非营利组织的问候。:)

部署 GPP 有多难？鉴于 Windows XP 本身不支持这一点，对吗？我们需要安装客户端扩展吗？

如果您的系统是 XP SP3 并且最近打过补丁，那么 GPP 非常简单。我很少看到与偏好相关的问题。如果您已经拥有 WSUS，您应该能够检查您的所有系统是否都安装了必要的客户端。

GPP 在 Windows XP SP3 上可靠吗？谷歌搜索，我发现了一些关于错误和性能缓慢的参考。这是否符合该产品的当前状态？

在解决了上面列出的客户端扩展问题后，我没有遇到任何重大的可靠性问题。

与使用 kixtart 或 vbscript 进行映射驱动器和安装打印机等操作相比，GPP 的性能/开销如何？

我假设您指的是桌面性能。如果是这样，那么在我的环境中两者之间的速度可以忽略不计。

用于跟踪成功/不成功登录的好做法是什么？我们当前的系统似乎有太多的开销。这应该存储在事件日志中吗？在哪台机器上？集中，还是在本地桌面上？目前，我们确实将日志用作调试工具，并确定用户上次登录域的时间。

我们有几个系统，一个遗留系统（非常像你所描述的，我希望看到它退役）和成功和失败登录尝试的事件日志审计。在域控制器上启用审计就足够了。我建议使用 Splunk 来收集您的日志，但这是一个选择问题。

我应该尝试什么来加速我们当前的组策略基础架构？我认为这就是启动时需要很长时间的原因。关于从哪里开始解决这个问题的任何想法？

创建现代登录系统来处理我提到的任务的最佳实践是什么？地图驱动器、地图打印机、安装软件、安装补丁和执行各种备份程序等。您喜欢并推荐哪些工具来完成这项工作？

我在上面列出的 GPP 中运气非常好。绝大多数启动任务都可以通过少量 GPP 设置来完成。

安装尚未整齐打包在 MSI 中的软件的最佳方法是什么？我们是一个非营利组织，可以从 Tech Soup 获得一些软件捐赠，例如 SCCM。但是，我真的不知道这是否值得。

我强烈推荐 EminentWare。这是一个付费产品，但不是太贵。它将为您的非 MS 产品部署更新（我喜欢 Java 和 Adob​​e 更新），并允许您打包和部署软件。

将我们的域升级到 Server 2008 R2 版本以允许我们使用 GPP 意味着什么？我应该提到，我们的域中有两台运行 Windows NT 的成员服务器。这些基本上是仅用于我们的语音邮件系统的设备。我不想让这些坏掉。我们确实在使用 SMB 升级域控制器时遇到了问题，但我找到了降低安全设置的解决方法。如果我们升级域版本有什么问题吗？答案似乎是否定的，但我希望了解一些现实世界的经验。

我无法发表评论，我仍处于 2003 功能级别。