Migração do Windows Server 2008 - Eu perdi alguma coisa?

Navegue suas respostas
2

Estou correndo para algumas complicações no meu processo de migração. Meu papel principal tem sido um administrador Linux / Sun por 15 anos, então o ambiente do servidor Windows 2008 é um pouco novo para mim, mas compreensível.

Veja nossa situação e motivo para a migração ...

Temos um grupo de desenvolvedores que desenvolve software de MUITO baixo nível no Visual C com algum montador embutido. Todas as estações de trabalho eram separadas umas das outras, o que envolvia problemas de consistência com bibliotecas de desenvolvimento, versões, etc ...

Nosso objetivo era jogá-los todos em um domínio do Windows onde pudéssemos controlar instalações de estações de trabalho, hot fixes (que podem causar problemas enormes), versões de software, etc ... Todas as estações de trabalho de desenvolvimento estão executando o Windows XP x32 (sp3) e x64 (sp2) Eu corri para problemas de permissão do usuário e fiquei imaginando que talvez tenha perdido uma, duas ou algumas coisas durante a minha implantação.

Aqui está o que eu fiz atualmente:

  1. Instalado e ativado no Windows Server 2008
  2. Funções adicionadas para DNS e Active Directory
  3. DNS configurado com o WINS para uso do nome do netbios
  4. Adicionamos desenvolvedores ao AD e mapeamos suas pastas compartilhadas ao perfil deles
  5. Funções adicionadas para o IIS7 e configuradas para desenvolvedores SVN
  6. Instalado o MySQL Enterprise Edition para uso de desenvolvimento

Não tendo uma compreensão firme da Política de Grupo, ainda não mergulhei profundamente nesse domínio.

Problemas que estou encontrando: 1. Quando configuro qualquer estação de trabalho XP para fazer logon em nosso domínio, quando um usuário usa seu novo login do AD, tudo vai bem, exceto que eles têm permissões muito restritivas. (Por exemplo: se um usuário abrir qualquer arquivo existente, ele não terá acesso de gravação, exceto na pasta de documentos.) Como esses caras estão trabalhando em eventos de baixo nível de sistema, eles precisam r / w de todos os arquivos. Tudo o que estou procurando restringir em instalações de software.

  1. Estou correto em assumir que posso usar o WSUS para manter os hotfixes e atualizações de domínios enviados para as estações de trabalho?

  2. Eu preciso mapear uma unidade de desenvolvimento compartilhada centralizada no login dos usuários. Isso está aberto para todos. Agora eu tenho as pastas de usuários mapeadas no login através de seu perfil AD. Mas como mapear um compartilhamento se já tiver definido um no perfil dele no AD?

Qualquer resposta seria muito grata.

  1. Eu preciso configurar e definir uma política de grupo para os usuários do domínio?

  2. Posso usar o Espelhamento de Volume para espelhar / sincronizar duas unidades em dois servidores separados ou devo apenas fazer o script de um rsync ou do MS Synctool? As unidades simplesmente armazenam imagens noturnas do sistema.

por DevNULL 16.12.2009 / 03:30

4 respostas

1

Não vejo nada de errado com o que você fez para configurar o domínio. Parece que você precisa apenas de uma configuração básica, e é isso que você está executando agora.

Primeiro seu problema com os desenvolvedores:

O comportamento deles com acesso muito restrito é o AD funcionando como planejado. Por padrão, quando você entra em um domínio, o seguinte acontece com seus grupos de computadores locais:

  • Domínio do AD & Grupos de administradores corporativos são adicionados ao grupo de administradores locais
  • Os usuários do domínio do AD são adicionados ao grupo de usuários locais

Portanto, todos os seus usuários estão (corretamente) no grupo Usuários do Domínio e só têm acesso normal ao nível do usuário às estações de trabalho.

Tanto quanto uma solução. Isso fica um pouco difícil, especialmente quando se lida com acesso de baixo nível em um sistema Windows e pode depender de quando eles têm problemas. É quando eles tentam testar o programa? É quando eles tentam acessar certos arquivos na unidade durante o desenvolvimento?

Algumas possíveis soluções que posso pensar:

  • Torne-os parte do grupo "Usuários avançados" em suas máquinas locais. Isso permitiria que eles tivessem um nível mais alto de acesso sem serem administradores completos
  • Use o Process Explorer para descobrir em quais arquivos / diretórios eles estão sendo conectados e dar-lhes permissões para apenas esses itens
  • Instale a estação de trabalho VMWare, e dê a eles uma imagem de base para que possam fazer uma cópia e depois removam a cópia depois de fazerem isso, sempre trabalhando na mesma imagem de base (inábil e provavelmente não muito possível, mas eu posso) Lembre-se se a estação de trabalho VMWare permite fazer instantâneos)

Agora, responda às suas perguntas. Eu vou levá-los um pouco fora de ordem, principalmente porque a resposta para 3 ou 4 deles é aprender a usar e amar a política de grupo. Política de Grupo IMHO é o aplicativo matador em uma rede Windows. Eu não vou me aprofundar muito sobre como definir essas coisas na política de grupo, pois isso é um pouco a ser alcançado para essa pergunta - mas, por favor, procure por este site, e faça perguntas, há muitas pessoas inteligentes e boas informações sobre a política de grupo aqui.

No que diz respeito ao WSUS, ele permitirá que você configure praticamente todos os aspectos de como o WSUS entrega atualizações para as máquinas. As autorizações reais para as correções são feitas através da interface do WSUS.

Para os mapeamentos de unidade, minha preferência pessoal é não usar a configuração em seu objeto de usuário do AD. Como você já descobriu, é muito inflexível. Você pode fazer uma das duas coisas, ambas com política de grupo:

  • Configure um arquivo em lote que mapeie todas as unidades de usuários que você deseja mapear e coloque-as em \<domain>\NETLOGON\<script_name> e atribua-as como um script de logon na política de grupo.
  • Use as preferências de gerenciamento (peço desculpas, esqueço o nome exato fora da minha cabeça) nas políticas de usuário no GPO para definir as unidades mapeadas

Com as imagens do seu sistema eu iria em frente e usaria o rsync se você estiver confortável com ele DeltaCopy é um windows porta que é um pouco mais amigável do Windows. Eu ficaria longe de sincronizar brinquedo como eu achei que fosse muito lento em cópias grandes. Se você quiser outra opção, use robocopy ou richcopy e faça o script de uma tarefa agendada para copiar os arquivos durante cada noite.

    
por 16.12.2009 / 05:00
0

Ok, então ... vou abordar as coisas como eu as vejo. A primeira coisa é adicionar um grupo para todos os seus desenvolvedores e, obviamente, colocá-los todos nele. Em seguida, nas máquinas locais, adicione esse grupo ao grupo local apropriado. O que quero dizer é - se você quiser que eles sejam administradores, adicione o grupo de desenvolvedores que você criou no AD ao grupo de administradores locais (ou usuários avançados, ou onde você quiser). Se você quiser detalhar ainda mais o que eles fazem / não têm controle sobre você teria que usar políticas de grupo para isso.

Você está correto ao assumir que pode usar o WSUS para manter todos os hotfixes e usá-lo para pressioná-los - no entanto, é necessário definir a diretiva para que as máquinas locais apliquem as atualizações, etc.

Você pode explicar o raciocínio centralizado da unidade de desenvolvimento compartilhado? Todos eles estão desenvolvendo a partir do mesmo diretório? Você pode realizar um segundo compartilhamento com scripts de login - no entanto, eu recomendo usar o controle de origem e deixá-los desenvolver localmente, como o subversion.

No que diz respeito ao espelhamento de volume, você pode acessar o DFS (sistema de arquivos distribuído) para sincronizar essas duas unidades, desde que ambas as máquinas sejam servidores Windows.

Tenho certeza de que perdi as coisas, mas esses são apenas alguns pensamentos à primeira vista.

    
por 16.12.2009 / 04:47
0

Você está bem no caminho certo.

Para fazer a maioria das coisas que você quer fazer, você precisará aprender sobre as Políticas de Grupo. Eles vão permitir que você faça tudo.

Primeiro, crie uma unidade organizacional (UO) no Active Directory para despejar todos esses administradores. Os GPOs geralmente são aplicados a uma UO, portanto, todos que estiverem fora da UO não obterão todas as configurações.

Em segundo lugar, você precisa definir um GPO para essa OU. O GPO permitirá que você:

  • Especifique o servidor WSUS para usar (para atualizações forçadas)
  • Mapeie as unidades de rede além da especificada em seu perfil
  • Permitir ou restringir direitos de acesso ao sistema local
  • Permitir ou restringir o acesso para instalar o software
  • Até mesmo forçar a instalação de certos softwares (com outros serviços configurados apropriadamente)

Se você quiser sincronizar duas unidades em dois servidores separados e ambos estiverem executando o Windows Server, verifique o DFS (Distributed File System). Ele manterá as pastas especificadas nos dois servidores atualizadas, fornecerá um único ponto de acesso e fará failover ou balanceamento de carga, dependendo de como você o configurar entre os dois (ou mais) servidores.

    
por 16.12.2009 / 04:58
0

Para seus desenvolvedores, você pode achar razoável torná-los administradores (ou usuários avançados) de seus computadores. Você pode usar um GPO para substituir "Grupos restritos" por "Administradores" ou "Usuários avançados" ou "Grupo XXXX".

  1. Crie um grupo de segurança no AD
  2. Adicione os desenvolvedores a este grupo de segurança
  3. Aplique um GPO sobre os computadores que os desenvolvedores usam para que, em "Grupos restritos", você tenha "Administradores" com

Administrador

YOURDOMAIN \ Administradores de empresas

YOURDOMAIN \ Administradores de domínio

YOURDOMAIN \ Grupo de segurança do desenvolvedor

    
por 15.01.2010 / 06:20

Tags

benchmark para executar no servidor e no vmware normais Sharepoint: Ocultar o número da porta em um URL do site do sharepoint?