加快组策略，实施组策略首选项将如何影响登录时间？

我正在寻找有关加快和升级登录系统的建议，以使其更强大，更快速。

我继承了一个较旧的登录系统，该系统最初是从Novell Netware迁移过来的。我们当前正在运行Windows Server 2008 R2，但是域版本仍然是Windows 2000（理论上，如果它没有损坏，请不要修复它）。我们最终希望升级到Windows 7，但是至少要几年后，我们才能同时使用Windows 7和Windows XP SP3。我们有一些SP2机器，但是如果无法升级到SP3，我们可以负担得起的费用。

当前，我们主要依靠登录脚本，这些脚本大多数是用Kixtart编写的，但是有些是用VBScript编写的，并且使用Windows BAT包装器。登录脚本映射驱动器和打印机，在没有官方补丁（例如最近的winhelp.exe安全问题）时安装快速解决方案，以解决安全问题或小错误，安装软件，并执行诸如备份某些设置（例如在机器中备份IE收藏夹）的其他任务需要重新成像。

我们还启用了少量的组策略。这些大多数实现一些安全设置。我正在尝试使用GPO来安装软件，但是我发现这不切实际。我们太多的软件没有使用MSI，而我一次尝试进行MSI捕获所花费的时间却无济于事。最终，使用脚本执行无人值守安装变得更加容易。更重要的是，维护工作很麻烦，如果机器关闭时间过长，则需要延迟启动。我不介意重新讨论这个问题，但是脚本似乎运行良好，所以我从来没有被迫为此花更多的时间。

我们的系统可以正常运行，但是有点不灵活。它旨在将每次登录时的信息记录到每个登录ID的集中存储文件中，而权限问题（例如使用一个用户名的同时登录）经常会触发这种情况。我们依靠标志来确定以前是否已安装软件，这可能很脆弱，有时会导致不必要的安装（例如，如果新用户登录到工作站）。这有点慢，尤其是在组策略方面。我尝试进行配置文件，但我认为这大约需要300秒钟（可能会有所减少）。一个典型的用户将应用大约8个小型策略。我们大约有12个OU，但是对一些组策略使用WMI筛选。

我们映射约8个共享驱动器（基于组成员身份，而不是OU），以及约20台打印机（每个人都获得每台打印机，但每个站点都有不同的打印服务器）。基于OU的软件需求差异很大，但是OU以外的一些人可能也需要软件。

我的问题：

1. 部署GPP有多困难？鉴于Windows XP本身不支持此功能，对吗？我们需要安装客户端扩展吗？
2. GPP在Windows XP SP3上是否可靠？谷歌搜索，我发现了一些有关错误和性能降低的参考。这符合该产品的当前状态吗？
3. 与将kixtart或vbscript用于映射驱动器和安装打印机之类的东西相比，GPP的性能/开销如何？
4. 跟踪成功/失败登录的最佳做法是什么？我们当前的系统似乎有太多的开销。是否应将其存储在事件日志中？在哪台机器上？集中还是在本地桌面上？当前，我们确实将日志用作调试工具，并且还确定用户最后一次登录域的时间。
5. 我应如何尝试加快我们当前的组策略基础结构？我认为这是启动时需要很长时间的事情。关于从哪里开始进行故障排除的任何想法？
6. 创建现代登录系统以处理我提到的任务的最佳实践是什么？地图驱动器，地图打印机，安装软件，安装补丁程序以及执行其他备份例程等。您喜欢并推荐什么工具来完成这项工作？
7. 安装尚未巧妙集成在MSI中的软件的最佳方法是什么？我们是非营利组织，可以从Tech Soup等SCCM等公司获得一些软件捐赠。但是，我真的不知道这是否值得。
8. 将域升级到Server 2008 R2版本对允许我们使用GPP有什么意义？我应该提到，我们域中有两个运行Windows NT的成员服务器。这些基本上是仅用于我们的语音邮件系统的设备。我不想这些打破。在使用SMB升级域控制器时确实遇到了问题，但是我能够找到降低安全设置的解决方法。如果我们升级域版本，有任何陷阱吗？似乎答案应该为否，但我希望了解一些现实世界的经验。

真是太抱歉了，结果比我想的要复杂得多。关于您的个人经历的任何想法都将有所帮助。我是我们IT团队中唯一的技术人员。

来自另一个非盈利性IS人的问候。:)

部署GPP有多困难？鉴于Windows XP本身不支持此功能，对吗？我们需要安装客户端扩展吗？

如果您的系统是XP SP3且最近进行了修补，则GPP非常简单。我很少见到与首选项有关的问题。如果您已经拥有WSUS，则应该能够检查所有系统是否都安装了必要的客户端。

GPP在Windows XP SP3上是否可靠？谷歌搜索，我发现了一些有关错误和性能降低的参考。这符合该产品的当前状态吗？

解决了上面列出的客户端扩展问题之后，我没有遇到任何重大的可靠性问题。

与将kixtart或vbscript用于映射驱动器和安装打印机之类的东西相比，GPP的性能/开销如何？

我假设您指的是台式机性能。如果是这样，在我的环境中，两者之间的速度可以忽略不计。

跟踪成功/失败登录的最佳做法是什么？我们当前的系统似乎有太多的开销。是否应将其存储在事件日志中？在哪台机器上？集中还是在本地桌面上？当前，我们确实将日志用作调试工具，并且还确定用户最后一次登录域的时间。

我们有几个系统，一个旧系统（非常类似于您所描述的系统，我希望它退休了）和事件日志审计，用于成功和失败的登录尝试。在域控制器上启用审核就足够了。我建议使用Splunk收集您的日志，但这是一个选择的问题。

我应如何尝试加快我们当前的组策略基础结构？我认为这是启动时需要很长时间的事情。关于从哪里开始进行故障排除的任何想法？

创建现代登录系统以处理我提到的任务的最佳实践是什么？地图驱动器，地图打印机，安装软件，安装补丁程序以及执行其他备份例程等。您喜欢并推荐什么工具来完成这项工作？

我对上面列出的GPP感到非常幸运。绝大多数启动任务可以通过一些GPP设置来完成。

安装尚未巧妙集成在MSI中的软件的最佳方法是什么？我们是非营利组织，可以从Tech Soup等SCCM等公司获得一些软件捐赠。但是，我真的不知道这是否值得。

我强烈推荐EminentWare。这是一种付费产品，但价格也不算太贵。它将为您的非MS产品部署更新（我喜欢Java和Adobe更新），并允许您打包和部署软件。

将域升级到Server 2008 R2版本对允许我们使用GPP有什么意义？我应该提到，我们域中有两个运行Windows NT的成员服务器。这些基本上是仅用于我们的语音邮件系统的设备。我不想这些打破。在使用SMB升级域控制器时确实遇到了问题，但是我能够找到降低安全设置的解决方法。如果我们升级域版本，有任何陷阱吗？似乎答案应该为否，但我希望了解一些现实世界的经验。

我无法发表评论，我仍处于2003年的功能级别。

8。

成员服务器不会影响您域的功能级别。只有DC会要求这样做。如果所有DC都在2008年及以上，则可以将功能级别提高到2008年，而不会出现任何问题。

从4,000台PC上的30,000行登录脚本迁移到纯GPP，而带有GPP附加组件的XP SP2几乎没有问题。我们使用GP安全过滤器和GPP过滤器通过AD通用组而不是OU来控制大多数策略。OU线性是不允许您最终需要的灵活性，而纯Security过滤器允许不受OU设计约束的设计。

回顾一下，由于GPP如此灵活，我可能会将所有基于用户的GPP放在一个GPO中，以节省加载时间。最初，我们为GPP的每个功能实现了一个新的GPO：一个用于驱动器映射，一个用于收藏夹，等等。这是数百种设置，但我想将它作为单个GPO（用于GPP的XML文件）进行处理会更快。 ）。

为了提高速度，在XP中将您的计算机和用户设置保存在单独的GPO中，并在GPO级别禁用您在该GPO中未使用过的设置。在Windows 7中，这不是问题。

大约一年半以前，我的公司经历了这个过程。我们都是XP（大约700个席位），服务器2003（也属于域），并且拥有与其他所有人一样的一堆脚本。我们还拥有我不喜欢的ScriptLogic。我们将GPP部署到我们的XP机器上，升级了功能级别，并开始将通过脚本完成的工作迁移到GPP，并取得了巨大的成功。从那时起，我们在GPP中添加了许多项目。所有驱动器映射都在此完成，有大量文件副本，快捷方式，regkey等。我可以肯定地说我们是GPP的大量用户。我们对大多数商品使用了商品级定位（没有明显的影响）。我们迁移到Windows 7，并且还使用WMI筛选链接了也充满GPP的适当GPO，这些问题很少。不严重。从冷启动到现成的台式机，我们只需3分钟或更短的时间。

1. 对我们来说，将GPP部署到XP很简单。我们只是确定它在我们的图像上（或在图像处理过程中），并且在开始使用GPP之前已经到达所有PC。
2. 当时我们使用的是XP SP2
3. 从关闭电源到具有许多GPO和许多GPP的可用台式机不到3分钟。我认为那很好。一个警告-我们不使用GPP部署打印机-我想这是我们确实存在一些问题的领域，但主要是基于性能的。在某些情况下，这大大降低了登录速度，因此我们将其关闭。
4. 我们使用写入远程SQL DB的自定义脚本来跟踪启动和登录时间（通过本地桌面事件日志条目）。
5. 事件日志是您的朋友。如果要进行迁移，那是清理的时候了，请不要重复使用GPO。仅根据需要创建新的。尽可能使用WMI筛选，并遵循最佳做法（即，关闭仅适用于计算机的GPO上的“用户设置”等）。
6. 我们将GPO与GPP，SCCM，WSUS和AppV结合使用。我们打开了文件夹重定向（使用VSS），关闭了漫游配置文件，每个人都对环境感到满意。
7. 对于您，无论大小，我都不会推荐SCCM，尽管我喜欢它，但我当然强烈推荐AppV。不能高度推荐它。
8. 没有意见