Windows Server 2008 Миграция - я пропускал что-то?

Я не вижу ничто плохого с тем, что Вы сделали для установки домена. Кажется, что Вам просто нужна довольно основная установка, и именно это у Вас есть выполнение прямо сейчас.

Сначала Ваша проблема с разработчиками:

Поведением того, что они имели очень ограниченный доступ является AD, работающий, как разработано. По умолчанию при присоединении к домену, следующее происходит с группами локального компьютера:

• AD группы admin Domain & Enterprise добавляются к локальной администраторской группе
• AD Пользователи домена добавляются к группе локальных пользователей

Таким образом, все Ваши пользователи находятся (правильно) в группе Пользователей домена и только имеют доступ уровня обычного пользователя к рабочим станциям.

До решения. Это становится немного жестким, особенно при контакте с низкоуровневым доступом в системе окон и могло зависеть от того, когда у них есть проблемы. Это, когда они пробуют к тестовому прогону программу? Это, когда они пытаются получить доступ к определенным файлам на диске при разработке?

Несколько возможных решений я могу думать:

• Сделайте их частью группы "Продвинутых пользователей" на их локальных машинах. Это позволило бы им иметь более высокий уровень доступа, не будучи полными администраторами
• Используйте Проводник Процесса для выяснения, какими файлами/каталогами они становятся одержимыми и дают им полномочия просто тем объектам
• Установите рабочую станцию VMware и дайте им базовое изображение, из которого они могут сделать копию, затем избавляются от копии после того, как они сделанный, таким образом, они всегда отделываются от того же базового изображения (неловкий и вероятно не слишком выполнимый, но я не могу помнить, позволяет ли рабочая станция VMware Вам сделать создание снимков),

Теперь по Вашим вопросам. Я возьму их немного не в порядке, главным образом потому что ответ на 3 или 4 из них должен учиться использовать и любить групповую политику. По моему скромному мнению, Групповая политика является приложением-приманкой в сети окон. Я не собираюсь пахать слишком глубоко в том, как настроить эти вещи в групповой политике, как это немного к далеко идущему для этого вопроса - но ищите вокруг этого сайта и задайте вопросы существует много умных людей и хорошей информации о групповой политике здесь.

Насколько WSUS идет да, он позволит Вам настраивать примерно каждый аспект как, как WSUS поставляет обновления машин. Фактические полномочия для патчей сделаны через интерфейс WSUS.

Для отображений диска мое персональное предпочтение не состоит в том, чтобы использовать установку в их AD пользовательском объекте. Поскольку Вы уже узнали, что это очень негибко. Можно сделать одну из двух вещей, обоих с групповой политикой:

• Установите пакетный файл, который подключает все пользовательские диски, что Вы хотите отобразить и вставить его \\<domain>\NETLOGON\<script_name> и назначьте его сценарием входа в систему в групповой политике.
• Используйте управляемые предпочтения (я приношу извинения, что забываю точное имя первое, что пришло на ум), пользовательские политики в GPO для установки сетевых дисков

С Вашими образами системы я шел бы вперед и использовал бы rsync, если Вы довольны им, DeltaCopy является портом окон, который является немного большим количеством дружественных окон. Я избегал бы синхронизирующей игрушки, поскольку я нашел, что это довольно медленно в больших копиях. Если Вы хотите другую опцию, Вы могли бы использовать robocopy или richcopy и написать сценарий запланированной задачи для копирования файлов за каждую ночь.

Хорошо так... Я просто собираюсь заняться вещами, поскольку я вижу их. Первая вещь, добавляет группа для всех Ваших разработчиков и очевидно поместила их всех в нее. Затем на локальных машинах добавляют что группа к соответствующей локальной группе. То, что я имею в виду, - если Вы хотите, чтобы они были администраторами, добавляет Группа разработчиков, которую Вы создали в AD группе локального администратора (или продвинутые пользователи, или везде, где Вы хотите это). Если Вы хотите развернуть еще больше вниз относительно того, чем они действительно управляют, необходимо было бы использовать групповые политики для него.

Вы корректны, чтобы предположить, что можно использовать WSUS, чтобы поддержать все текущие исправления и использовать его для снижения их - однако необходимо установить политику так, чтобы локальные машины применили обновления и т.д.

Можно ли объяснить централизованный общий диск разработки, рассуждающий? Они все разрабатывают из того же каталога? Можно выполнить вторую долю со сценариями входа в систему - однако я Настоятельно рекомендовал бы управление исходным кодом использования и позволил бы им разработать локально, такие как подверсия.

Насколько Ваш объем, зеркально отражающий Вас, мог зарегистрироваться в DFS (распределенная файловая система) для синхронизирования тех двух дисков, пока обе машины являются серверами окон.

Я уверен, что пропустил вещи, но это - просто некоторые мысли на первый взгляд.

Вы хорошо на правильном пути.

Для того, чтобы сделать большинство вещей Вы хотите сделать, необходимо будет узнать о Групповых политиках. Они позволят Вам делать все.

Во-первых, создайте Единицу организации (OU) в своем Active Directory для дампа всех этих администраторов в. GPOS, как правило, применяется к OU, таким образом, это означает, что все за пределами OU не получат все их настройки.

Во-вторых, необходимо установить GPO для этого OU. GPO позволит Вам:

• Укажите сервер WSUS для использования (для принудительных обновлений)
• Подключите сетевые диски в дополнение к тому, указанному в их профиле
• Разрешите или ограничьте права доступа локальной системой
• Разрешите или ограничьте доступ для установки программного обеспечения
• Даже вызовите установку определенных частей программного обеспечения (с другими соответственно настроенными сервисами)

Если Вы хотите синхронизировать два диска на двух отдельных серверах, и они оба выполняют Windows Server, исследуют Распределенную файловую систему (DFS). Это сохранит указанные папки на обоих серверах актуальными, обеспечивает единственную точку доступа, и будет обработка отказа или загружать баланс в зависимости от того, как Вы настраиваете его между двумя (или больше) серверы.

Для Ваших разработчиков можно найти разумным сделать их администраторами (или продвинутые пользователи) их компьютера. Можно использовать GPO для переопределения "Ограниченных Групп" для "Администраторов" или "Продвинутых пользователей" или "XXXX Group".

1. Создайте группу безопасности в AD
2. Добавьте разработчиков к этой группе безопасности
3. Примените GPO по компьютерам, которые используют разработчики так, чтобы под "Ограниченными Группами" у Вас были "Администраторы" с

Администратор

Администраторы YOURDOMAIN\Enterprise

Администраторы YOURDOMAIN\Domain

Группа безопасности YOURDOMAIN\Developer