ストアGPOスクリプトをNetlogonまたはポリシーフォルダに保存しますか?
ログオンスクリプトを\\DOMAIN\Netlogonに、またはデフォルトで配置されるポリシーフォルダに一元的に保存するのがベストプラクティスですか。 \\DOMAIN\SysVol\DOMAIN\Policies\{DE22B6FB-315E-4C55-BF06-A7709913CD9E}\User\Scripts\Logon?
ある場所を他の場所よりも選択することの意味(ある場合)は何ですか?
アクセス/レビューを簡単にするために、それらすべてをNetlogonに保持する傾向があります...
デフォルトユーザーログオンスクリプトの場所はNETLOGON共有で、デフォルトでは、フォレスト内のすべてのDC)に複製されます。物理的に次の場所にあります:
%SystemRoot%\SYSVOL\sysvol\<domain DNS name>\scripts。
または
%SystemRoot%\SYSVOL_DFSR\sysvol\<domain DNS name>\scripts(これはServer 2012R2 +から推奨されるため、DFSベースのFRSの場合)
serログオンスクリプト(ADUC>ユーザー>プロパティ>ログオン>ログオンスクリプト> hello.cmd)を設定すると、NETLOGONから実行されます。
「公式」のベストプラクティスは次のとおりです。
- gPOを使用して設定した場合は、GPOとともに保存します。
- aDでユーザープロパティとして設定した場合は、NETLOGONに保存します。
どちらの場所もドメインコントローラ間で同期されるため、私にとっては個人の選択にすぎません。
私の個人的な見解では、特定の数のGPOを超えると、すべてをnetlogonに入れることは管理が困難になる可能性があります。 (GPOを削除しても、例ではスクリプトは消去されません)
これが「ベストプラクティス」であるかどうかはわかりませんが、いくつかのブログ投稿でこれを推奨しているのを確認しました。
スクリプトを含む、GPOのすべてのサポートファイルを含むファイル共有があります。スクリプトはすべてバージョン管理にチェックインされます。
ファイル共有はDFSでセットアップされているため、\ domain.com\DFS\GPO-Filesになります。
スクリプトは、サブディレクトリ\ domain.com\DFS\GPO-Files\Scriptsにあります
GPOでは、スクリプト "powershell.exe"を呼び出し、パラメーターには-PathPathScriptスクリプトを実行します。
GPOファイルとスクリプトは、よく知られている場所にあり、GUIDという名前のフォルダーには埋め込まれていません。
また、ExecutionPolicyなどのpowershell.exeの呼び出し方法をより詳細に制御できます。