web-dev-qa-db-ja.com

Active Directoryは信頼できませんか、それともここに別の問題がありますか?

ActiveDirectoryネットワーク上に約1200のWindowsPCクライアントの組織があります。ポリシーが設定されていないランダムなシステムがあるように思われることに気づきました。

たとえば、ポリシーには、Windowsシステムが更新を通知するが、更新は適用しないというものがあります。夏にアップグレードした後、誰もログインしていなくても、アップデートをダウンロードして再起動するシステムのグループがあります。これらのシステムにはDeep Freezeがインストールされているため、再起動すると、適用された修正がすべて消去され、そのため、ダウンロード/再起動のサイクルを無限に再開します。その他、ユーザーがログインすると、「後で」をクリックしない限り、5分後に再起動するという通知がポップアップ表示されます。

過去に、Cへのアクセスのブロックなどの問題が発生しました。ADポリシーのドライブ。通常、システムはドライブを隠していましたが、一部のシステムでは、一見ランダムに見え、ユーザーはログインしてアクセスできました。

コマンドラインからのポリシーの更新では問題が解決されなかったようですが、数回再起動すると問題が解決する場合があります。これらのシステムは起動時にネットワークにアクセスできるように見えるため、ADサーバーと通信できる必要があります(さらに、ユーザーはシステムにログインできるため、凍結されたシステムはキャッシュされたプロファイルなしで凍結されるため、認証できる必要があります)。

これは、ADポリシーが常にクライアントを「引き受ける」とは限らないのは正常ですか、それともチェックする必要があるものがありますか?他の人は予想通りにこれに遭遇しますか? ADポリシーはクライアントでランダムに更新されることになっていることは知っていますが、ポリシーを手動で更新するコマンドを実行したとき、問題は修正されなかったようです。

3

マシンアカウントのパスワードは通常、マシンによって30日ごとに変更されます。 DeepFreezeで新しいパスワードをコンピューターに保存できない場合、コンピューターはADにログオンできないため、コンピューターレベルGPOは失敗する可能性があります。

パスワードの自動変更を無効にすることができます(推奨されていませんが): http://www.Microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/580.mspx

それはDeepFreezeの既知の問題のようです(または少なくともそうでした): http://universitytechnology.blogspot.com/2008/03/session-setup-from-computer.html

2
skettler

私の経験では、グループポリシーの適用は非常に信頼できました。ポリシーアプリケーションの問題が断続的に発生するお客様に対して私が実行したトラブルシューティングのほぼすべてのケースは、次のように分類されます。

  • ポリシーが適切な場所に適用されていない(つまり、ユーザーにコンピューターポリシーを適用しようとしている、コンピューターにユーザーポリシーを適用しようとしている、ループバックポリシー処理またはグループメンバーシップによるポリシー適用のフィルタリングを理解していない)

  • クライアントコンピュータで使用されている危険なDNSサーバー(DNSへのネットワーク接続が不十分、「セカンダリ」DNSサーバーと呼ばれるISP DNSサーバー)

  • 「メディアセンス」機能により、NICは起動プロセスの十分早い段階でネットワーク接続を確立できません( http://support.Microsoft.com/kb/239924 を参照)。

私の意見では、[コンピューターの設定]/[管理用テンプレート]/[システム]/[ネットワーク]の[起動時とログオン時にコンピューターを常に待機する]は、ドメインのルートで指定されたポリシーで強制的に「有効」にする必要があります。この設定により、起動時とログオン時のグループポリシー処理が同期的に適用されます(つまり、起動時にログオンボックスが表示される前、またはログオン時にデスクトップが表示される前に完了します)。

同期アプリケーションはWindows2000のデフォルトの動作であり、当時、Microsoftは非同期アプリケーションを推奨していませんでした。これは、非決定論的に動作する可能性があるためです。 Microsoftは、Windows XPの動作を非同期に変更しました。確かに、一部のグループポリシークライアント拡張機能(ソフトウェアインストールポリシーなど)は、ややランダムで危険な動作をします。ポリシーアプリケーションを常に同期設定に戻します。 、起動とログオンが少し遅くなっても。

そのようなソフトウェアを使用したことがないため、「DeepFreeze」がグループポリシーとどのように相互作用する可能性があるかはわかりません。 (私はそれが何をするかを知っていますが、私はそれを使用していません。)私はWindowsを実行しているシンクライアントデバイスで作業しましたXPそれぞれにポリシーを適切に適用したフラッシュベースのディスクで実行されている組み込み「拡張書き込みフィルター」を使用していて、起動ごとに以前の構成に効果的に「リセット」されたとしても、起動します。

「数回の再起動」により、非同期ポリシー処理で問題が発生していると思います。 「DeepFreeze」ソフトウェアがイベントログへの書き込みを永続化することをおそらく許可していないことを除いて、イベントログはおそらくあなたに教えてくれるでしょう、それであなたは再起動する前にログを調べる必要があるでしょう。

0
Evan Anderson

Deep Freeze PCに更新プログラムを自動的にダウンロードしてインストールして再起動するように指示するGPOがありますか?rsop.mscを実行して、PCに適用されているGPOとそのポリシーを確認できます。これにより、自動更新ポリシーが設定されます。グループポリシーエディター(gpedit.msc)では、[コンピューターの構成]> [管理用テンプレート]> [Windowsコンポーネント]> [Windowsの更新]の下にあります。この場合、最初にそれらのPCを別のOUに移動します。そして、それらを更新から取り出しますGPOパス(AD構造のどこから来ているかによって異なります)。GPの更新速度の設定に関係なく、更新を停止する必要がありますGPOはシステムに適用されません。

もう1つのシナリオは、自動更新と再起動の設定が「凍結」されており、GPが更新をダウンロードして再起動することを決定する前に、これを行わないように設定を強制する機会がない場合です。 Deep Freezeがどのように機能するかはよくわかりません。一部の設定をまったく変更できないのか、変更できるのかはわかりませんが、再起動すると以前の設定に戻ります。

0
August