Я не вижу ничто плохого с тем, что Вы сделали для установки домена. Кажется, что Вам просто нужна довольно основная установка, и именно это у Вас есть выполнение прямо сейчас.
Сначала Ваша проблема с разработчиками:
Поведением того, что они имели очень ограниченный доступ является AD, работающий, как разработано. По умолчанию при присоединении к домену, следующее происходит с группами локального компьютера:
Таким образом, все Ваши пользователи находятся (правильно) в группе Пользователей домена и только имеют доступ уровня обычного пользователя к рабочим станциям.
До решения. Это становится немного жестким, особенно при контакте с низкоуровневым доступом в системе окон и могло зависеть от того, когда у них есть проблемы. Это, когда они пробуют к тестовому прогону программу? Это, когда они пытаются получить доступ к определенным файлам на диске при разработке?
Несколько возможных решений я могу думать:
Теперь по Вашим вопросам. Я возьму их немного не в порядке, главным образом потому что ответ на 3 или 4 из них должен учиться использовать и любить групповую политику. По моему скромному мнению, Групповая политика является приложением-приманкой в сети окон. Я не собираюсь пахать слишком глубоко в том, как настроить эти вещи в групповой политике, как это немного к далеко идущему для этого вопроса - но ищите вокруг этого сайта и задайте вопросы существует много умных людей и хорошей информации о групповой политике здесь.
Насколько WSUS идет да, он позволит Вам настраивать примерно каждый аспект как, как WSUS поставляет обновления машин. Фактические полномочия для патчей сделаны через интерфейс WSUS.
Для отображений диска мое персональное предпочтение не состоит в том, чтобы использовать установку в их AD пользовательском объекте. Поскольку Вы уже узнали, что это очень негибко. Можно сделать одну из двух вещей, обоих с групповой политикой:
\\<domain>\NETLOGON\<script_name>
и назначьте его сценарием входа в систему в групповой политике. С Вашими образами системы я шел бы вперед и использовал бы rsync, если Вы довольны им, DeltaCopy является портом окон, который является немного большим количеством дружественных окон. Я избегал бы синхронизирующей игрушки, поскольку я нашел, что это довольно медленно в больших копиях. Если Вы хотите другую опцию, Вы могли бы использовать robocopy или richcopy и написать сценарий запланированной задачи для копирования файлов за каждую ночь.
Хорошо так... Я просто собираюсь заняться вещами, поскольку я вижу их. Первая вещь, добавляет группа для всех Ваших разработчиков и очевидно поместила их всех в нее. Затем на локальных машинах добавляют что группа к соответствующей локальной группе. То, что я имею в виду, - если Вы хотите, чтобы они были администраторами, добавляет Группа разработчиков, которую Вы создали в AD группе локального администратора (или продвинутые пользователи, или везде, где Вы хотите это). Если Вы хотите развернуть еще больше вниз относительно того, чем они действительно управляют, необходимо было бы использовать групповые политики для него.
Вы корректны, чтобы предположить, что можно использовать WSUS, чтобы поддержать все текущие исправления и использовать его для снижения их - однако необходимо установить политику так, чтобы локальные машины применили обновления и т.д.
Можно ли объяснить централизованный общий диск разработки, рассуждающий? Они все разрабатывают из того же каталога? Можно выполнить вторую долю со сценариями входа в систему - однако я Настоятельно рекомендовал бы управление исходным кодом использования и позволил бы им разработать локально, такие как подверсия.
Насколько Ваш объем, зеркально отражающий Вас, мог зарегистрироваться в DFS (распределенная файловая система) для синхронизирования тех двух дисков, пока обе машины являются серверами окон.
Я уверен, что пропустил вещи, но это - просто некоторые мысли на первый взгляд.
Вы хорошо на правильном пути.
Для того, чтобы сделать большинство вещей Вы хотите сделать, необходимо будет узнать о Групповых политиках. Они позволят Вам делать все.
Во-первых, создайте Единицу организации (OU) в своем Active Directory для дампа всех этих администраторов в. GPOS, как правило, применяется к OU, таким образом, это означает, что все за пределами OU не получат все их настройки.
Во-вторых, необходимо установить GPO для этого OU. GPO позволит Вам:
Если Вы хотите синхронизировать два диска на двух отдельных серверах, и они оба выполняют Windows Server, исследуют Распределенную файловую систему (DFS). Это сохранит указанные папки на обоих серверах актуальными, обеспечивает единственную точку доступа, и будет обработка отказа или загружать баланс в зависимости от того, как Вы настраиваете его между двумя (или больше) серверы.
Для Ваших разработчиков можно найти разумным сделать их администраторами (или продвинутые пользователи) их компьютера. Можно использовать GPO для переопределения "Ограниченных Групп" для "Администраторов" или "Продвинутых пользователей" или "XXXX Group".
Администратор
Администраторы YOURDOMAIN\Enterprise
Администраторы YOURDOMAIN\Domain
Группа безопасности YOURDOMAIN\Developer