web-dev-qa-db-fra.com

Store GPO scripts dans NetLogon ou dossier politique?

Est-il préférable de stocker des scripts de connexion centralisés dans \\DOMAIN\Netlogon ou dans le dossier politique, ils sont mis par défaut, par exemple. \\DOMAIN\SysVol\DOMAIN\Policies\{DE22B6FB-315E-4C55-BF06-A7709913CD9E}\User\Scripts\Logon?

Quelles sont les implications (le cas échéant) de choisir un emplacement sur l'autre?

Je suis enclin à les garder tous à Netlogon pour faciliter l'accès/l'avis ...

5
BlueCompute

Le par défaut Emplacement pour tilisateur Scripts de connexion est la part NetLogon, qui, par défaut, est répliquée sur tout DC dans votre forêt et est physiquement situé dans:

%SystemRoot%\SYSVOL\sysvol\<domain DNS name>\scripts.

ou

%SystemRoot%\SYSVOL_DFSR\sysvol\<domain DNS name>\scripts (pour les FRS DFS, car cela est recommandé de Server 2012R2 +)

Si vous définissez un script de connexion A tilisateur (ADUC> Utilisateur> Propriétés> Logon> Script de connexion> Hello.cmd), il est exécuté de NetLogon.

"Officiel" la meilleure pratique est:

  • rangez-les avec le GPO, si vous le définissez par GPO.
  • rangez-les dans NetLogon, si vous le définissez comme une propriété utilisateur en annonce.
8
bjoster

Les deux emplacements sont synchronis entre contrôleur de domaine, donc pour moi, ce n'est qu'un choix personnel.

L'opinion de mon personnel est qu'après sur un certain nombre de GPO, l'autant de Netlogon peut être difficile à gérer. (Comme lorsque vous supprimez un GPO, le script ne serait pas effacé dans l'exemple)

3
yagmoth555

Pas sûr, c'est que c'est la "meilleure pratique", mais j'ai vu quelques points de blogs recommander cela, et je le préfère:

Nous avons une action de fichier contenant tous les fichiers de support de nos logiciels de stratégie de groupe, y compris les scripts. Les scripts sont tous vérifiés dans la version de la version.

Le partage de fichiers est configuré avec DFS, de sorte qu'il s'agit\domaines.com\dfs\gpo-fichiers

Les scripts sont dans un subdir\domaines.com\dfs\gpo-files\scripts

Dans le GPO, vous appelez le script "PowerShell.exe" et pour les paramètres que vous faites -filetoscript.

J'aime cette approche parce que le GPO fichiers et scripts sont dans un emplacement bien connu, non enfoui dans un dossier avec un GUID Nom.

Il permet également de contrôler davantage comment PowerShell.exe est invoqué, comme ExecutionPolicy.

0
myron-semack