myr*_*ack 5 scripting powershell group-policy windows-registry startup-scripts
背景:
我有一个域(2003 功能级别),其中包含 Windows XP 和 Windows 7 客户端。我们一直在使用组策略来管理我们的工作站。
现在,我处于一种情况,我需要根据一些复杂的逻辑应用不同的 GPO策略(而不是首选项)。我也许能够创建多个 GPO 并进行安全/WMI 过滤,但它会变得很混乱。脚本对我们来说是一种更简洁的方法(特别是 PowerShell)。
我想做的事:
我想使用启动脚本来启用 GPO 策略。我的登录脚本似乎可以编辑 HKEY_LOCAL_MACHINE\SOFTWARE\Policies 和 HKEY_CURRENT_USER\SOFTWARE\Policies 的内容。这些注册表项都有详细记录,设置它们非常简单。我在网上看到很多人这样做的案例,但我想在我做之前确保这是一个理智的想法。
PC 仍将加入域,并且仍将存在一些 GPO(至少是默认域策略)。因此,有可能与任何现有政策发生冲突。我期待以下情况会发生:
那么,我的理解正确吗?这是一件可以做的事情吗?
你的理解是正确的。
当您的公司达到需要引入专门的 Windows 系统管理员的规模时,他们会因为您这样做而感到不满。
我无法想象您的逻辑如此复杂,以至于无法通过组策略中的内置功能来解决。安全组过滤、WMI 过滤(性能昂贵但灵活)和组策略首选项中的项目级目标都为表带来了很大的灵活性。坚持使用现有操作系统功能意味着您也可以获得 Microsoft 和合格第三方的支持。如果您愿意,请告诉我们更多有关您的逻辑需求的信息。
从功能的角度来看,你扔掉了很多东西。首先想到的几个项目包括后台刷新、站点感知、SYSVOL 冗余以及库存操作系统管理、日志记录和报告工具。我敢肯定还有很多我没有想到的。
从可维护性的角度来看:当您推出自己的东西并且它坏了时,您可以保留这两部分。当你离开公司时,你会让他们“干枯”,在你看来,就像一些简单和自我记录的东西,但对下一个人来说,会呈现一定程度的学习曲线(特别是如果你的逻辑如此复杂)。
谈谈您的评论:版本控制 - 我认为您可以使用 Powershell cmdlet 相当轻松地“版本和差异”组策略对象设置Get-GPOReport,它可以输出包含 GPO 设置的 XML 文件。
您的理解是正确的,但是当计算机启动时,如果发生冲突和优先级设置,您的脚本更改可能会不起作用(例如,具有启动脚本的 GPO 首先运行,然后有另一个 GPO 修改该脚本)价值)
GPO 建模为您提供了当前配置的单一视图。当您删除某些设置时,在客户端上执行 RSOP 只能告诉您故事的一半。如果支持工作站的人员不知道您正在插入这些密钥并且这会影响计算机,则故障排除将会有点困难。
| 归档时间: |
|
| 查看次数: |
949 次 |
| 最近记录: |