Exatamente COMO as Políticas de Grupo de inicialização da máquina são processadas e o que é necessário?

Navegue suas respostas
4

Temos o Server 2008 R2 e o Windows 7 Enterprise.

Estou perguntando isso porque temos várias centenas de laptops e netbooks em nossa organização. Nós não temos um servidor NAC ou RADIUS, então todas as configurações sem fio são feitas no computador local. Por favor, não sugira um NAC ou RADIUS, pois não temos a capacidade de implementar isso no momento.

Temos um script de inicialização de uma máquina GP que redefine as configurações sem fio nos laptops / netbooks na inicialização. Isso ocorre porque nossos usuários geralmente levam seus dispositivos para casa, viagens, etc. e, quando se conectam a outras redes, nossas informações de rede geralmente se perdem ou são desativadas. Nosso script deixa quaisquer conexões adicionadas pelo usuário, mas redefine nossas configurações e torna o item principal na lista.

Funciona razoavelmente bem, mas ocasionalmente falha por alguma razão desconhecida.

Ainda não encontrei nenhum tipo de documentação sobre como o Windows processa e aplica os GPs de inicialização da máquina e o que é necessário. Por exemplo, como a rede nem sempre está presente, mas o GP ainda é executado quando off-line, presumo que o GP esteja em cache em algum lugar da máquina local. Onde é que esta cache? Por alguma razão, quando colocamos o script no próprio GP, ele não é executado. Mas quando colocamos o script em um arquivo no repositório de arquivos do GP e o chamamos do GP ele corre bem. Os scripts de inicialização da máquina são aplicados antes ou depois da ativação da conexão sem fio local?

Todas essas perguntas poderiam ser respondidas se eu pudesse encontrar alguma documentação definitiva sobre exatamente como todo esse processo funciona.

Qualquer ajuda seria apreciada.

Obrigado!

Isso parece ser muito mais estável, mas ninguém ainda precisa responder à pergunta real, que é onde está um documento de referência sobre exatamente como os GPOs são aplicados. Quais são as etapas, quais são as condições e restrições, etc.

Obrigado!

    
por Matt Penner 30.08.2011 / 20:27

2 respostas

2

Não está claro para mim o que você está tentando fazer e acho que você está tomando o caminho errado para chegar lá.

O conteúdo dos Scripts de inicialização não é armazenado em cache pelos clientes. O cliente faz armazenar em cache o caminho para o script, mas não o conteúdo do próprio script (qualquer executável pode ser usado como o script e pode haver dependências nos arquivos além do próprio "script").

Parece que você descobriu que não é possível distribuir uma chave pré-compartilhada para os clientes usando a CSE (Extensão do Cliente) da Política de Grupo de Diretivas de Rede sem Fio. Para "contornar" esse fato, você implantou um script de inicialização que provavelmente usa netsh para importar um arquivo XML com o PSK. Não está claro para mim, no entanto, por que você gostaria de fazer isso em cada inicialização. Você só precisa importá-lo uma vez e o cliente manterá as configurações.

O que você está tentando fazer nunca funcionará bem. Eu sei que você não quer ouvir isso, mas você teria um tempo muito melhor apenas usando a Política de Grupo para distribuir suas informações de rede. Claro, para fazer isso você terá que passar para uma estratégia de autenticação / criptografia não baseada em PSK.

A menos que você tenha pontos de acesso totalmente reversos, seria melhor levar de 2 a 3 horas para instalar um servidor Windows RADIUS, configurar uma política, conectar alguns APs a ele como clientes RADIUS e implantar um teste. GPO com o novo SSID WPA-RADIUS ou WPA2-RADIUS configurado nele. Então você não terá que se meter com o hack desonesto que você está fazendo.

Se você tiver que fazer o que está fazendo, sua melhor opção seria colocar seu Script de Inicialização em uma Diretiva de Grupo Local. Quando seus clientes inicializarem e "perderem" suas configurações de rede sem fio, o script será executado e restaurado, mas o processamento da Diretiva de Grupo do Domínio será feito nesse ponto e as alterações nos GPOs do Domínio não serão aplicadas até a primeira atualização periódica da diretiva ( e, em seguida, somente as configurações que podem ser aplicadas durante a atualização periódica serão aplicadas). O cliente teria que ser inicializado novamente para que todas as configurações da Política de Grupo do Domínio sejam aplicadas.

Salve-se o incômodo e faça isso da maneira convencional. Você será mais feliz no final e a quantidade de tempo que você jogará será significativamente menor do que os anos de cuidado e alimentação para seu hamster desonesto.

    
por 14.09.2011 / 22:08
1

O Windows permitirá que você efetue login na estação de trabalho mesmo antes de qualquer conexão de rede estar pronta.

A maioria das pessoas não sabe que o Windows usa a Otimização de Logon Rápida na inicialização. Nessa configuração, se a rede não estiver disponível a tempo, os usuários existentes farão logon usando credenciais armazenadas em cache. A Política de Grupo é aplicada em segundo plano depois que a rede se torna disponível. Isso também tem o efeito colateral de que, se qualquer política de computador exigir um estado de não logon, elas exigirão dois logons para serem aplicadas. Isso possivelmente poderia explicar sua falha.

Você pode tentar desativar a Otimização de Logon Rápido por meio da Política de Grupo definindo isso como Ativado: 

Computer Configuration\Policies\Administrative Templates\System\Logon\Always wait for the network at computer startup and logon
    
por 14.09.2011 / 21:54

Tags

Rsnapshot hard-link ONLY + diffs Como posso registrar a criação de caixas de correio do Exchange 2003 e 2010?