OK para modificar HKLM \ Software \ Policies e HKCU \ SOFTWARE \ Policies em um domínio?

5

Histórico:

Eu tenho um domínio (2003 Functional Level) com uma mistura de clientes Windows XP e Windows 7. Estamos usando a Política de Grupo para gerenciar nossas estações de trabalho.

Agora, estou em uma situação em que preciso aplicar diferentes Políticas do GPO ( não Preferências) com base em alguma lógica complexa. Eu posso ser capaz de criar vários GPOs e fazer filtragem de segurança / WMI, mas isso vai ficar confuso. Um script seria uma abordagem muito mais limpa para nós (PowerShell especificamente).

O que eu quero fazer:

Eu quero usar scripts de inicialização para ativar as políticas de GPO. Parece que meus scripts de logon poderiam editar o conteúdo de HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies e HKEY_CURRENT_USER \ SOFTWARE \ Policies. Essas entradas do registro são bem documentadas e configuradas é bastante simples. Já vi muitos casos de pessoas fazendo isso on-line, mas quero ter certeza de que essa é uma ideia sensata antes de fazer isso.

Os PCs ainda serão associados ao domínio e ainda haverá alguns GPOs presentes (no mínimo, a Diretiva de Domínio Padrão). Portanto, conflitos com quaisquer políticas existentes são uma possibilidade. Eu estou esperando o seguinte acontecerá:

  • Se o item de política não estiver "configurado" em um GPO, não haverá conflito. O valor do registro no meu script de inicialização será gravado e a política entrará em vigor.
  • Se o item de política estiver definido como Desativado / Ativado no GPO, ele colidirá com o meu script. O script pode "vencer" na inicialização, mas durante a atualização em segundo plano ele será substituído.

Então, o meu entendimento é correto? Isso é uma coisa boa a se fazer?

    
por myron-semack 18.02.2014 / 15:41

2 respostas

6

Seu entendimento está correto.

Quando sua empresa chegar ao tamanho necessário para trazer um administrador de sistema dedicado do Windows, eles ficarão insatisfeitos com isso.

Não consigo imaginar que sua lógica seja tão complexa que não possa ser resolvida pela funcionalidade incorporada na Diretiva de Grupo. A filtragem do grupo de segurança, a filtragem WMI (que é cara, mas flexível) e a segmentação em nível de item nas preferências de política de grupo, proporcionam uma grande flexibilidade à tabela. Manter a funcionalidade do sistema operacional de estoque significa que você também pode obter suporte da Microsoft e de terceiros qualificados. Conte-nos mais sobre suas necessidades lógicas, se você for muito inclinado.

De uma perspectiva de funcionalidade, você está jogando fora muito. Os primeiros itens que devem ser lembrados incluem atualização em segundo plano, reconhecimento do site, redundância do SYSVOL e ferramentas de gerenciamento, criação de log e relatórios do sistema operacional de estoque. Tenho certeza de que há muito mais que não estou pensando.

De uma perspectiva de manutenção: Quando você rola sua própria coisa e ela quebra, você consegue manter ambas as peças. Quando você deixa a empresa, você a deixa "alta e seca" com o que pode parecer, para você, algo simples e auto-documentado, mas, para a próxima pessoa, apresentará algum grau de curva de aprendizado (especialmente se sua lógica é assim < em> complexo ).

Para falar com o seu comentário re: controle de versão - eu diria que você pode "versão e diferencial" configurações do Objeto de Diretiva de Grupo facilmente usando o cmdlet Powershell Get-GPOReport , que pode gerar um arquivo XML contendo as configurações do GPO.

    
por 18.02.2014 / 22:52
0

O seu entendimento está correto, mas quando o computador está sendo inicializado, você pode concluir que as alterações de script não funcionam em caso de conflito e configurações de prioridade (por exemplo, o GPO que executa primeiro o script de inicialização e outro GPO que modifica esse valor)

A modelagem de GPO fornece uma visão única de qual configuração está em vigor. Quando você tira algumas das configurações, fazer um RSOP no cliente lhe contará apenas metade da história. Se as pessoas que suportam as estações de trabalho não estiverem cientes de que você está inserindo essas chaves e isso está afetando as máquinas, a solução de problemas será um pouco mais difícil.

    
por 18.02.2014 / 20:34