Примените реестр или ADM к групповой политике для входа в систему определенных серверов
У нас есть некоторые старые серверы с 8 ГБ C: диск. Я заканчиваю тем, что удалил материал как папка $NTServicePackUninstall$ от c:\windows\system32 which frees up a few hundred meg. Также сервер может закончиться с большим количеством администраторских профилей на нем, они могут пойти также (конечно, они могли бы возвратиться снова).Что еще? Переместите pagefile.sys в другой диск, если Вы можете. Переместите папку шпульки в другой диск, если существует тяжелое использование принтера.
Я использую TreeSize Pro, потому что он имеет удобную "столбиковую диаграмму" Возрастов Файла, где можно быстро видеть, ли каким-либо файлам в папке более чем 6 месяцев, например.
Вы говорите, что у Вас есть пользовательские настройки, что Вы хотите обратиться к пользователям только, когда они входят в систему к определенным компьютерам? Звучит трудным, а? Это не трудно вообще. Это походит на задание для петлевой обработки групповой политики!
Примите следующее:
[Domain] mydomain.com.org.net.local
|
|--[OU] Special Computers
| |
| |-- [Computer] COMPUTER 1
| |
| |-- [Computer] COMPUTER 2
| ...
|
|--[OU] User Accounts
|
|--[User] Bob
|
|--[User] Alice
...
Требуется применить пользователя, устанавливающего (такого как запущение скрипта входа в систему или применение других типов пользовательских настроек GPO) для всех пользователей, которые входят в систему к компьютерам в "Специальных Компьютерах" OU. Когда они входят в систему к компьютерам, расположенным в другом OUs, тем не менее, Вы не хотите, чтобы эти специальные настройки применялись.
Создайте и свяжите GPO со "Специальными Компьютерами" OU. Укажите в том, который GPO все связанные с пользователем настройки Вы хотите применить.
("Но ожидайте, Evan! Объекты учетной записи пользователя не находятся в 'Специальных Компьютерах' OU!" Да. Я знаю это. Останьтесь w/меня здесь. Большинство AD администраторов, которых я встретил, не понимает петлевую обработку политики и испугано. Я видел, что ужасные взломы как создание дополнительного пользователя составляют пользователей для вхождения в систему с при использовании "специальных компьютеров", и т.д....> дрожь <),
В GPO Вы создали, войдите в КОМПЬЮТЕР "Административные Шаблоны", "Система", "Групповая политика", и найдите установку "User Group Policy loopback processing mode". Включите эту установку. В поле "Mode" выберите "Replace", если Вы хотите, чтобы "нормальные" настройки групповой политики всего пользователя были проигнорированы и только пользовательские настройки политики в этом новом GPO для применения. Выберите "Merge", если Вы хотите, чтобы пользовательские настройки в GPO применялись после того, как все их настройки обычного пользователя применялись.
Мое мнение - то, что это намного более чисто, чем вовлечение "взломов" "Если компьютер == вздор" в сценариях входа в систему.
Мой совет Вам состоял бы в том, чтобы сделать то, что Вы делаете с реестром Предпочтения групповой политики (GPP) настройки, а не со сценарием входа в систему. Это применит одно время, оставляя настройки по умолчанию в реестре пользователей, но пользователь сможет изменить настройки свободно в будущем, не разбивая их каждый раз, когда они входят в систему.
Если это машины Windows Server 2008, как Ваш тег говорит, то нет действительно никакого оправдания не использовать настройки реестра GPP. Взгляните на статьи ниже еще для некоторых деталей. Это - действительно хорошая функция W2K8 и чего-то, что необходимо использовать в своих интересах.
-
1Вы упоминаете " требуется запустить скрипт входа в систему для всех пользователей < snip> " затем Вы идете на, говорят " eww противный hacks". как Вы предлагаете импортировать настройки реестра затем? Как в моем первом предложении с помощью reg.exe? – Izzy 2 July 2009 в 02:15
-
2@Izzy: Мое ре оператора: " eww противный hacks" был следующие: Я использовал бы петлевую обработку групповой политики, чтобы обеспечить, чтобы этот сценарий (или независимо от того, что другие пользовательские настройки указаны в GPO) только относился к входам в систему за тех пользователей когда they' ре с помощью серверов, к которым применяется GPO. Выполнение ' ЕСЛИ " %COMPUTERNAME %" ==" THE_RIGHT_SERVER" REG ДОБАВЛЯЮТ..." в сценарии походит на противный взлом мне, потому что необходимо отредактировать сценарий при переименовании серверов добавьте больше серверов и т.д. Петлевая политика W/, обрабатывающая клиент групповой политики, обрабатывает применение GPO только на правильных компьютерах. – Evan Anderson 2 July 2009 в 02:22
Вот альтернативный метод:
У Вас уже есть сценарий входа в систему для Ваших пользователей? (Определенный в Пользовательском объекте в AD под Профилем). Если Вы делаете, то добавьте эти строки к тому сценарию:
если "%computername %" == "MyServer001" reg.exe добавляет HKCU\blah\blah\blah/v MyNewSetting/t REG_SZ/d 1/f
если "%computername %" == "MyServer002" reg.exe добавляет HKCU\blah\blah\blah/v MyNewSetting/t REG_SZ/d 1/f
Добавьте как многие из этих строк для каждого сервера, которому нужен этот ключ, когда пользователь входит в систему. Таким образом, каждый раз, когда пользователь входит в систему, сценарий посмотрит на название машины, в которое они входят и только применяют изменение реестра, если та машина соответствует одному из перечисленных. Если они войдут в свою собственную рабочую станцию, то название машины не будет в списке, и это не получит ключ
-
1@Izzy: Это - техника, которую я предлагал, был " противный hack". это doesn' t масштабируются хорошо к нескольким серверам и it' s не столь дружественный для изменения позже как просто использование петлевой обработки групповой политики. – Evan Anderson 2 July 2009 в 02:24
-
2@Evan I' m вполне уверенный никто не не торопится для вывода ответа так, чтобы кто-то еще мог назвать его " противный hack". – Kara Marfia 2 July 2009 в 16:55
Необходимо решить который маршрут Вы бледный для потери работоспособности - ADM или Реестр.
Можно установить пользовательские настройки реестра через GPO. Отредактируйте GPO, затем просмотрите к этому разделу:
Компьютерная конфигурация - политики - Windows Settings - настройки безопасности - реестр
Безотносительно комбинации ключей Вы определяете в, здесь будет применен к машинам в этом OU.
Кроме того, необходимо изменить фильтрацию Объема GPO для применения к объектам в AD, которым Вы интересуетесь. Это, возможно, приняло значение по умолчанию Аутентифицируемым Пользователям. Если правильно, то оставьте его. Я подозреваю, что необходимо будет изменить его, хотя, таким образом, это относилось к Доменным Компьютерам. Не разъедайте, это будет только относиться к доменным компьютерам в этом OU и весь sub OUs
Править:
Отредактированный для обеспечения практического руководства для импорта реестра пакетного файла и Сценариев входа в систему в GPO.
Так, сначала Вы испытываете необходимость для создания пакетного файла, который импортирует ключи реестра, которые Вы хотите.
Создайте пакетный файл и дайте ему любое имя, которое Вы любите, например, import_reg_keys.bat
Отредактируйте пакетный файл, и в его наиболее канонической форме, используйте следующую команду (команды):
reg.exe добавляет HKCU\blah\blah\blah/v MyNewSetting/t REG_SZ/d 1/f
Замените blah\blah\blah подразделом, которым Вы интересуетесь, заменяете MyNewSetting значением, заменяете REG_SZ типом значения (REG_SZ, REG_MULTI_SZ, REG_EXPAND_SZ, REG_DWORD, REG_BINARY, REG_NONE), и заменяете 1 любыми данными, которые Вы хотите в своем новом значении reg.
Сохраните пакетный файл и скопируйте его в долю домена NETLOGON (\\yourdomain.loc\netlogon) - Вам будут нужны права Администратора домена сделать это.
Отредактируйте GPO, который Вы уже создали, и перейдите к Пользовательской Конфигурации - политикам - Windows Settings - Сценарии
Дважды щелкните по объекту ВХОДА В СИСТЕМУ справа, нажмите ADD, нажмите BROWSE, в строке поиска наверху вводят \\mydomain.loc\netlogon и нажимают Enter, затем выбирают Ваш пакетный файл из списка
Нажмите Open, нажмите "OK", нажмите "OK", закройте редактора GPO
Вернитесь к управлению GPO, MMC, дважды щелкает по Вашему новому GPO, и затем на праве выбирают вкладку SCOPE.
Где это говорит, что Фильтрация внизу, удостоверьтесь, чтобы у Вас только были Доменные Компьютеры (yourdomain\Domain Компьютеры) и Аутентифицируемые Пользователи. Если Вы хотите заблокировать это вниз еще больше в будущем, это - то, как Вы файловый сервер, кто или что должно применить эту политику.
Купите меня пиво
Хорошая вещь о наличии пакетного файла в доле сетевого входа в систему (в противоположность установке его непосредственно в GPO) состоит в том, что это намного более быстро для редактирования.
PS. Переместитесь рассматриваемые серверы к этому OU (должен быть sub-OU Ваших Рядовых серверов OU),
-
1Я don' t знают, чтобы использовать, и при этом у меня нет предпочтений. Независимо от того, что легче. Я can' t, кажется, импортируют любое из моих изменений реестра в установке REgistry, и при этом она не позволяет мне добавлять ключ к HKEY_CURRENT_USER (it' s не опция) – Matt Rogish 2 July 2009 в 01:04
-
2
-
3Пользовательская Конфигурация-> политики-> Windows Settings-> Настройки безопасности-> не имеет никакого раздела реестра так это doesn' t похожи, я могу использовать это для добавления HKEY_CURRENT_USER. На машине... Настройки безопасности-> я могу использовать CLASSES_ROOT, МАШИНУ, ПОЛЬЗОВАТЕЛЕЙ, но затем это имеет просто пользователей, которые имеют локальные учетные записи; не HKCU – Matt Rogish 2 July 2009 в 01:07
-
4В этом случае, you' ll должны записать немного пакетного файла и иметь его, выполняются как Сценарий входа в систему в GPO. I' ll редактируют мой исходный ответ с практическим руководством – Izzy 2 July 2009 в 01:33
-
5Спасибо! Я действительно в недоумении относительно того, как сделать это только для этих серверов (работающий на клиентских рабочих столах, был бы BadThing(TM)), – Matt Rogish 2 July 2009 в 01:39