Exchange Server 2003 генерирует журналы событий ежедневно в 17:00. После перезапуска сервисного банка сообщений Microsoft Exchange все работает

Фон:

Я использовал Групповую политику в большой степени на моих сайтах для клиентов с середины 2000, когда я начал развертывать клиенты Windows 2000 Professional и Windows 2000 Server. Групповая политика является одной из самых востребованных функций к Windows Server / платформа Active Directory по другому Samba и другим механизмам единой точки входа, которые совместимы с клиентскими операционными системами Windows.

Что Вы изучили при реализации Групповой политики?

• Асинхронная обработка политики предусматривает недетерминированный опыт. Это было выключено по умолчанию в Молитвеннике Windows 2000, но включено по умолчанию во всех более поздних версиях клиентской операционной системы Windows. Я настоятельно рекомендую сдерживание процесса к синхронному для обеспечения детерминированного опыта.

• Существует огромное значение в понимании, как настройки в GPOS выбираются и относятся компьютеры и пользователи. Алгоритм действительно, действительно простой (и "Наследование Блока" и "Никакое Переопределение" незначительно усложняют алгоритм). Большинство проблем приложения политики заканчивает тем, что было несоответствием между пониманием системного администратора алгоритма, используемого для применения групповой политики и что на самом деле делает ОС. Доверие инструментам как RSoP или GPRESULT вместо того, чтобы иметь основательное понимание того, как функция работает, является плохой идеей.

• Не забывайте уровень сайта ссылки GPO. Они могут быть очень, очень удобны. Опасайтесь настроек, которые могут заставить крупные события происходить (как установка программного обеспечения с обязательным удалением, когда компьютеры "падают из объема"), когда портативные компьютеры перемещены между сайтами.

• Запланируйте и протестируйте в лаборатории OUs и с тестовыми компьютерами прежде, чем развернуться к производству - особенно с функциональностью установки программного обеспечения. Тест, тест, тест и затем тестируют снова. Групповая политика может позволить Вам повреждать конфигурацию сотен или тысяч компьютеров очень, очень легко, если Вы делаете ошибку.

• Не смотрите на Групповую политику как на выполнение ничего для безопасности по сути. Групповая политика может помочь в "защите подробно" стратегии (включающий функции как AppLocker, осуществив составы группы, и т.д.), но если кто-то получает права "Администратора" на машине, для них будет легким "избавиться" от Групповой политики на той машине.

• Удостоверьтесь, что Вы понимаете, как "Наследование Блока", "Никакое Переопределение", и WMI и фильтрация группы безопасности не работают. Эти функции могут позволить Вам управлять сценариями, которые не может обработать просто соединение GPOS в OUs. Попытайтесь не злоупотребить эти функции, потому что они могут быть неинтуитивными для перепроектирования несколько месяцев спустя или чтобы другие системные администраторы поняли.

• Скопируйте критический GPOS прежде, чем внести изменения. Инструмент GPMC добавил эту функциональность, и это очень, очень удобно. Необходимо делать резервные копии Состояния системы AD так или иначе, но восстанавливать отдельный GPO от резервного копирования с помощью GPMC, намного более удобно, чем Восстановление состояния системы.

• Я часто использую в своих интересах сценарии, которые работают "лазейкой". Клиенты могут применить сценарии, пока они не член данной группы. Последняя строка сценария помещает клиент в ту группу, таким образом, что на следующей начальной загрузке клиент больше не выполняет сценарий. Это - очень удобное поведение.

Что Вы изменили бы?

Не очень. У меня есть всевозможные Клиенты со всевозможными "изменениями" моего приложения групповой политики "стиль". Я "не сделал бы ничего различного", по сути, но я действительно работаю к получению всего нормализованного в одну очень похожую конфигурацию. Для меня это - просто вопрос тонкой настройки "стиля" GPOS не такое создание любого вида широких, развертки изменений. Главным образом изменения, которые я должен был внести, были результатом не тестирования достаточно перед входом в производство. Я упоминал, что необходимо протестировать рано и часто?

Как Вы разрабатывали его для работы с обоими клиентами и серверами?

Точно так же, как я выделял бы различные классы клиентских компьютеров или пользователей. Я выделяю клиентские компьютеры и компьютеры серверов в другой OUs и связываю другой GPOS с теми OUs. Серверы различных ролей могут быть дальнейшие отдельный (или поместить в группы безопасности и фильтрованное приложение GPO). У меня есть общий GPOS, которые относятся к обоим типам компьютеров (обычно только с выбором немного настроек в них).

Как Вы обрабатывали или размещали различные операционные системы?

Фильтрация WMI является одним способом обработать различные версии Windows. Это хорошо работает, но мне не нравится он, лично.

Я обычно развертываю сценарий запуска (что я записал на времени Клиентов, к сожалению, таким образом, я не могу совместно использовать его здесь) для обнаружения версии Windows клиентов Групповой политики (а также их 32/64 разрядность и являются ли они чистым металлом, или работа данного гипервизора) для заполнения группируется таким образом, что я могу использовать фильтрацию группы безопасности, а не фильтрацию WMI. Поскольку фильтрация WMI является атомарной только к GPO, тогда как я могу использовать группу безопасности, просачивающуюся отдельные установки программного обеспечения в GPO, я предпочитаю фильтрацию группы безопасности.

У меня нет опыта с клиентским программным обеспечением, чтобы позволить клиентам не-Windows использовать Групповую политику, таким образом, я не могу говорить с этим вообще.

Есть ли общепринятые проекты групповой политики, за которыми нужно следовать?

Я приезжаю из "старой школы", таким образом, я учился разрабатывать Active Directory на основе рекомендаций, предоставленных Microsoft "назад в день". Я думаю о Групповой политике очень в большой степени, когда я кладу свою структуру OU (наряду с Делегацией Управления, которое является моим первым ре беспокойства: структура OU).

Лично, я предпочитаю иметь как можно меньше GPOS для получения задания сделанный w/o, повторяющий общие настройки в нескольких GPOS. Я делаю как ограниченное использование "Наследования Блока", "Никакое Переопределение" и фильтрация группы безопасности (особенно с "Отклоняют" полномочия) как возможный. Я пытаюсь назвать GPOS verbosely таким образом, что они "сам документирование". Я никогда не изменяю GPOS по умолчанию, которые прибывают "из поля" с Active Directory, таким образом, что я могу отключить весь другой GPOS в "чрезвычайной" ситуации и возвратить продукт назад поведению "запаса".

Действительно ли это - хорошая идея вложить политики создать hierarchal дерево как модель?

Это - моя общая стратегия, и она работала хорошо на меня. Я могу связаться, тот же GPO в нескольких местах (скажите, что GPO назвал "Общие настройки для Компьютеров Рядового сервера и Контроллера домена", это связано в "Рядовые серверы" OU и "Контроллеры домена" по умолчанию OU). Я затем связал бы addt'l GPOS, которые имеют более определенные настройки, поскольку я спускаюсь в свою иерархию OU. Соединение "глупого" количества GPOS (много десятков или сотни) собирается повлиять на производительность. У меня есть Клиенты с клиентами, которые связывают 7 - 12 GPOS без плохих эффектов производительности.

Там какие-либо проблемы состоят в том, чтобы войти в медленные холмы для клиентских машин относительно дизайна структуры политики?

Некоторые модули Клиентского расширения (CSE) групповой политики могут быть медленными. В некоторых случаях (как Перенаправление Папки или политика Установки программного обеспечения) это могло бы только быть одноразовое замедление. В других случаях (как политика IE в Windows XP SP3) это может добавить несколько секунд к каждому входу в систему. В целом попытайтесь быть консервативными и связать так немного GPOS, как Вам нужно. Выполненный так мало сценариев, как Вам нужно (они могут действительно сложить, если Вы обрабатываете их синхронно). Тестирование времен входа в систему должно быть частью Вашего тестирования.

С тех пор существует Windows XP и машины Windows 7, есть ли различие между файлами ADM и файлами ADMX? Как я знаю, когда использовать один по другому? Это даже имеет значение?

Нет никакого различия в файлах REGISTRY.POL, созданных файлами ADM по сравнению с файлами ADMX. Если Вы собираетесь управлять Групповой политикой из Windows 2003 или Windows XP затем, необходимо иметь в наличии файлы ADM. Если Вы собираетесь ограничить свое администрирование GPO Windows Vista или более новая ОС затем, можно угробить файлы ADM. Лично я не волновался об этом, но затем мой самый большой SYSVOL составляет только приблизительно 400 МБ. Если бы у меня были сотни GPOS затем, то я, вероятно, хотел бы мигрировать далеко от файлов ADM как можно скорее.

Обратная петля обрабатывает хорошую идею использовать?

При необходимости в функции, она обеспечивает затем, это - абсолютно хорошая идея. Существуют некоторые сценарии, которые Вы не можете настроить без него. Петлевая обработка политики хорошо работает, если Вы понимаете, как она работает. Это очень полезно для цели, которой это предназначено для обслуживания (применение последовательных пользовательских настроек к компьютерам независимо от пользователя вошло в систему).

Кто-то сказал мне, что я должен посмотреть на использование пользовательских параметров конфигурации, отключены, или настройки конфигурации компьютера являются отключенной опцией в Объекте Групповой политики. Действительно ли это - умная вещь сделать? Имеет значение, если это установлено?

Это набрасывается на ре вопроса: времена входа в систему. Можно сравнить его и видеть в среде, но, откровенно говоря, я не видел различия в производительности. Я не волнуюсь об этом на моих сайтах для клиентов.