O Active Directory não é confiável ou há outro problema aqui?

Navegue suas respostas
3

Temos uma organização de aproximadamente 1200 clientes de PC com Windows em uma rede do Active Directory. Percebemos que parece haver sistemas aleatórios que não recebem políticas definidas.

Por exemplo, temos em nossas políticas que o sistema Windows deve notificar atualizações, mas não aplicá-las. Nós temos um grupo de sistemas após atualizações durante o verão que estão baixando atualizações e reiniciando, mesmo sem ninguém logar. A questão é que esses sistemas têm o Deep Freeze neles, então quando eles são reiniciados, qualquer correção é então apagada e então eles reiniciam seu ciclo de download / reinicialização novamente, ad infinitum. Outros, os usuários fazem login, e ele irá aparecer um aviso de que ele será reinicializado em cinco minutos, a menos que você clique em "Mais tarde".

Antigamente, vimos problemas com coisas como bloquear o acesso à unidade C: nas políticas do AD; geralmente os sistemas escondiam as unidades, em alguns sistemas, aparentemente aleatoriamente, os usuários faziam login e tinham acesso.

As atualizações de políticas da linha de comando não pareciam corrigir o problema, mas às vezes algumas reinicializações. Esses sistemas parecem ter acesso à rede na inicialização, portanto, devem poder se comunicar com os servidores do AD (além disso, os usuários podem fazer login neles, portanto, devem poder autenticar uma vez que os sistemas congelados são congelados sem perfis em cache).

Isso é normal para as políticas do AD nem sempre "tomarem" os clientes, ou há algo que deve ser verificado? Outras pessoas entram nisso como um comportamento esperado? Eu sei que as políticas do AD devem ser atualizadas aleatoriamente nos clientes, mas quando executamos o comando para atualizar manualmente as políticas, isso não parece resolver o problema.

    
por Bart Silverstrim 01.09.2009 / 14:08

3 respostas

2

A senha da conta da máquina geralmente é alterada a cada 30 dias pela máquina. Se o DeepFreeze não permitir que a nova senha seja armazenada no computador, o GPO no nível do computador provavelmente falhará, pois o computador não poderá fazer logon no AD.

You can disable that automatic password change (although it's not recommended): http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/580.mspx

Looks like that is (or at least was) a known problem with DeepFreeze: http://universitytechnology.blogspot.com/2008/03/session-setup-from-computer.html

    
por 01.09.2009 / 15:04
0

A aplicação da política de grupo tem sido muito fiável, na minha experiência. Quase todos os casos de solução de problemas que eu executei para os clientes com problemas de aplicativos de política intermitentes foram divididos em:

  • Políticas não aplicadas no lugar certo (ou seja, tentar aplicar diretivas de computador a usuários, diretivas de usuários a computadores, não entender o processamento de diretivas de loopback ou filtrar aplicativos de diretivas por associação a grupos)

  • Servidores DNS desonestos em uso por computadores clientes (baixa conectividade de rede com DNS, servidores DNS ISP nomeados como servidores DNS "secundários")

  • O recurso "media sense" que faz com que as NICs não tenham conectividade de rede suficientemente cedo no processo de inicialização (consulte link ).

O "Sempre aguarde o computador na inicialização e no logon" em Configurações do Computador / Modelos Administrativos / Sistema / Rede deve, em minha opinião, ser forçado a "Ativado" em uma política especificada na raiz do domínio. Essa configuração faz com que o processamento da política de grupo na inicialização e no logon seja aplicado de forma síncrona (isto é, é concluído antes que a caixa de logon seja exibida na inicialização ou antes que a área de trabalho seja exibida no logon).

O aplicativo síncrono era o comportamento padrão do Windows 2000 e, naquela época, a Microsoft recomendava o uso de um aplicativo assíncrono, pois ele poderia atuar de forma não determinística. A Microsoft alterou o comportamento do Windows XP para assíncrono e, com certeza, algumas extensões de cliente da política de grupo (como a política de instalação de software) agem de forma aleatória e desonesta. Eu sempre forço o aplicativo de política de volta à configuração síncrona, mesmo que ele faça inicialização e logon um pouco lentos.

Não posso dizer como o "Deep Freeze" pode estar interagindo com a política de grupo porque nunca usei software como esse. (Eu sei o que ele faz, mas não o usei.) Trabalhei com dispositivos thin client executando o Windows XP Embedded em execução em discos baseados em flash que aplicavam políticas corretamente em cada inicialização, mesmo que estivessem usando o " filtro de gravação aprimorado "e seria efetivamente" redefinir "de volta para uma configuração anterior em cada inicialização.

Seu "par de reinicializações" me faz pensar que você está tendo problemas com o processamento de políticas assíncronas. Seu log de eventos provavelmente diria a você, exceto que seu software "Deep Freeze" provavelmente não permite que as gravações no log de eventos sejam persistentes, então você teria que examinar o log antes de reinicializar.

    
por 01.09.2009 / 14:22
0

Você tem um GPO que informe ao Deep Freeze PCs para baixar e instalar atualizações automaticamente e reinicializar? Você pode executar o rsop.msc para determinar quais GPOs estão sendo aplicados ao PC e qual é a política que define a política de atualização automática. No editor de Diretiva de Grupo (gpedit.msc), ele está em Configuração do Computador > Modelos Administrativos > Componentes do Windows > Atualização do Windows. A primeira coisa seria mover esses PCs para outra UO, se esse for o caso, e tirá-los do caminho Atualizar GPO (dependendo de onde está sua estrutura do AD). Independentemente das configurações da taxa de atualização do GP, você precisará impedir que o GPO de atualização seja aplicado aos sistemas, se for esse o caso.

O outro cenário é que você congelou profundamente a configuração de auto-atualização e reinicialização, e o GP não tem a chance de impor a configuração para não fazer isso antes de decidir baixar atualizações e se auto-reinicializar. Eu não sei ao certo como o Deep Freeze funciona - se ele impede que algumas configurações sejam modificadas ou se elas podem ser modificadas, mas elas retornam para a configuração anterior após a reinicialização.

    
por 01.09.2009 / 14:26

Tags

ActiveDirectory DNS - gerenciamento baseado na web Como autenticar certificados de cliente ssl com front-end nginx?