我正在寻求一些关于加速和升级我们的登录系统的建议,以使其更加强大和快速。
我继承了一个旧的登录系统,它最初是从 Novell Netware 迁移过来的。我们目前运行的是 Windows Server 2008 R2,但域版本仍然是 Windows 2000(理论上,如果它没有坏,就不要修复它)。我们希望最终升级到 Windows 7,但至少在几年内我们将混合使用 Windows 7 和 Windows XP SP3。我们有一些 SP2 机器,但如果无法升级到 SP3,我们有能力更换它们。
目前,我们主要依赖登录脚本,大部分是用 Kixtart 编写的,但也有一些是用 VBScript 编写的,并使用 Windows BAT 包装器。登录脚本映射驱动器和打印机,在没有官方补丁的情况下安装安全问题或小错误的快速解决方法(如最近的 winhelp.exe 安全问题),安装软件,并执行杂项任务,如备份一些设置,如 IE 收藏夹以防万一机器需要重新成像。
我们还启用了少量组策略。那些实现了一些安全设置,主要是。我曾尝试使用 GPO 安装软件,但我发现这并不实用。我们的太多软件不使用 MSI,而且我尝试进行 MSI 捕获所花费的时间在我尝试过的情况下并没有回报。简单地使用脚本进行无人值守安装最终变得更容易。更重要的是,维护是一种痛苦,如果机器关闭时间过长,处理延迟启动也是一种痛苦。我不介意重新审视这个,但似乎脚本运行良好,所以我从来没有被迫在这方面投入更多时间。
我们的系统运行正常,但有点不灵活。它旨在将每次登录的信息以每个登录 ID 为基础记录到一个集中存储的文件中,并且权限问题(例如使用一个用户名同时登录)时常会引起此问题。我们依靠标志来确定以前是否安装过软件,这可能很脆弱,有时会导致不必要的安装(例如,如果新用户登录到工作站)。有点慢,尤其是组策略方面。我尝试做一个配置文件,我认为这需要大约 300 秒(可能有点偏离)。一个典型的用户会应用大约 8 个小策略。我们有大约 12 个 OU,但对一些组策略使用了 WMI 过滤。
我们映射了大约 8 个共享驱动器(基于组成员身份,而不是 OU)和大约 20 台打印机(每个人都有每台打印机,但每个站点都有不同的打印服务器)。软件需求主要基于 OU,差异很大,但 OU 之外的一些人可能也需要该软件。
我的问题:
我们正在我的工作中实施一个新的 WiFi 网络,我正在努力思考网络安全性的设计。
用例 1:客人。我们将有一个强制门户设置,客人将接受可接受的使用政策,并将仅限于互联网,不能访问 LAN。很简单,我们将让防火墙阻止危险端口而不必担心,因为它们无法访问我们的主要网络。
用例 2:拥有 BYOD 和公司拥有的笔记本电脑的员工可能会在被带到办公室之前在异地待上数月。Windows 和 OSX 的混合。他们将通过 WPA2-Enterprise 向我们的 AD/RADIUS 进行身份验证。有没有一种好方法可以让这些人安全地通过局域网访问内部服务器?
我的想法是让这些人不受限制地访问 LAN 是有问题的。如果他们已加入域,他们最终将收到来自 WSUS 的安全更新,但不一定在他们连接之前。防病毒也不能保证。使用我们现在拥有的有线网络,这是次要的,但我可以看到 BYOD 随着 wifi 网络的增加而增长,特别是对于我们大量的暑期实习生。
我已经研究了 Microsoft 网络访问保护来强制执行安全设置并隔离不合规的设备,但我不确定它如何与 OS X 一起工作(我能找到的唯一代理,UNET 代理,在网站上有一些损坏的链接价格不详)。它似乎也很复杂。
这是矫枉过正吗?在现实世界中,其他人如何处理这种情况?人们是否喜欢更简单的网络访问控制解决方案?
我有一个用于创建新用户的 powershell 脚本。每年我们都会增加数百名实习生,因此自动化至关重要。HR 中有人运行脚本,因此脚本应该是万无一失的。
我在添加两个新功能时遇到了竞争条件,我想以比当前方法(睡眠 2 分钟)更可靠的方式解决它,该方法仍然间歇性地失败。
1) Office 365 许可证激活。Start-OnlineCoexistenceSync在尝试激活许可证之前,我使用该命令强制将 Office 365 与我们的本地 AD 同步。据我所知,没有办法检查同步的状态。所以我延迟了2分钟。在测试中这有效,但在生产中它间歇性地工作。我认为扩大等待会解决,但 2 分钟已经感觉很长。显然有时它比需要的时间长,我讨厌有不必要的延迟。
2) 发送欢迎电子邮件。创建帐户可能需要不同的时间(有时甚至完全失败),但我不想过度延迟脚本。
有关如何解决的任何建议?
powershell active-directory exchange-2010 microsoft-office-365