Вопрос: Хранить сценарии GPO в папке Netlogon или Policy Folder?


Лучше всего хранить сценарии входа в систему централизованно в \\DOMAIN\Netlogon или в папке политики, которую они по умолчанию ставят, например. \\DOMAIN\SysVol\DOMAIN\Policies\{DE22B6FB-315E-4C55-BF06-A7709913CD9E}\User\Scripts\Logon?

Каковы последствия (если таковые имеются) выбора одного места над другим?

Я склонен просто держать их всех в Netlogon для удобства доступа / обзора ...


5
2018-04-28 12:29


Источник




Ответы:


по умолчанию место для пользователь сценарии входа в систему - это общий ресурс NETLOGON, который по умолчанию реплицируется на всех DC в вашем лесу и физически находится в %SystemRoot%\SYSVOL\sysvol\<domain DNS name>\scripts,

Если вы установили пользователь сценарий входа в систему (ADUC> Пользователь> Свойства> Вход в систему> Лог-скрипт> hello.cmd), он выполняется из NETLOGON.

«Официальная» лучшая практика:

  • сохраните их вместе с объектом групповой политики, если вы установите его через объект групповой политики.
  • сохраните их в NETLOGON, если вы установите его как пользовательское свойство в AD.

7
2018-04-28 13:54



Я одобряю эту технику. Преимущество заключается в том, что, как уже писал yagmoth555, скрипты, управляемые с помощью объекта групповой политики, удаляются, если объект групповой политики удаляется (read: deleted). - Daniel


Оба местоположения синхронизируются между контроллером домена, поэтому для меня это только личный выбор.

Мое личное мнение состоит в том, что после определенного количества объектов групповой политики наличие всего в netlogon может быть затруднено. (как, например, при удалении объекта групповой политики, скрипт не будет удалён в примере)


3
2018-04-28 13:14





Не уверен, что это «лучшая практика», но я видел, как несколько сообщений в блоге рекомендуют это, и я предпочитаю это:

У нас есть общий доступ к файлам, содержащий все поддерживающие файлы для наших объектов групповой политики, включая скрипты. Все скрипты проверяются на контроль версий.

Общий ресурс файла устанавливается с помощью DFS, поэтому это \ domain.com \ DFS \ GPO-Files

Скрипты находятся в файле subdir \ domain.com \ DFS \ GPO-Files \ Scripts

В объекте групповой политики вы вызываете скрипт «powershell.exe» и для параметров, которые вы выполняете - File PathToScript.

Мне нравится этот подход, потому что файлы и сценарии GPO находятся в хорошо известном месте, а не похоронены в папке с именем GUID.

Он также позволяет больше контролировать способ использования powershell.exe, например ExecutionPolicy.


0
2018-04-29 11:14



Как это отличается от хранения их в netlogon, кроме дополнительных накладных расходов на управление, которые вы создали? - BlueCompute
@bluecompute Он отделен от контроллера домена. У меня больше гибкости при разрешении. Мне не нужно заботиться о том, насколько это важно, потенциально заполняя диск C моих контроллеров домена. Кроме того, рассматриваемый файл может быть центральным репозиторием сценариев и содержать вещи, которые не относятся к «netlogon». - myron-semack