GPOs processing optimaisation - Serversoftware en clouddiensten

woensdag 19 februari 2003 14:07

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Op dit moment is het aanloggen op desktops verschrikkelijk traag ivm het aantal GPOs wat applied is. Dit processen duurt verschrikkelijk lang. Het zijn hoofdzakelijk Office GPOs.

Is het mogelijk om deze GPOs te verwerken in een nieuw default profile en om daarna alle profielen van de gebruikers te resetten? Ze krijgen dan een profiel waar alle GPO settings al inzitten. En kunnen veel GPOs uitgezet worden.
De vraag is of dit kan bij Office profiles; Word, Excel en Internet Explorer.

donderdag 20 februari 2003 08:14

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

kom op mensen, niemand?

donderdag 20 februari 2003 08:21

Acties:

0 Henk 'm!

Arno

PF5A

GPO's worden ten alle tijden gedraaid, je zult zelf in je GPO's moeten snijden of ze samenvoegen.

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 20 februari 2003 09:46

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

dat snap ik, maar ik kan ze toch consolideren in een nieuw default profiel. Dan kan ik die allemaal uitzetten.
Dit zou moeten werken of niet?

donderdag 20 februari 2003 10:59

Acties:

0 Henk 'm!

Arno

PF5A

Nee, GPO's zijn profile onafhankelijk

"Supercars are made to mess around with G-forces, hypercars are made to mess around with G-strings"
Jeremy Clarkson

donderdag 20 februari 2003 11:24

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

eh, je hebt een office GPO wat bijvoorbeeld beschrijft dat een locatie waar standaard bepaalde files worden weggeschreven naar een andere lokatie. Dat is dus gewoon een default setting veranderen.
Wanneer ik nu die setting al aanpas bij een default user. Dan wordt dit weggeschreven in het profiel en zou dit toch moeten werken.
En heb je dus de GPO die dat omschrijft niet nodig.

[ Voor 8% gewijzigd door Verwijderd op 20-02-2003 11:44 ]

donderdag 20 februari 2003 14:04

Acties:

0 Henk 'm!

Dennis

Hoezo is het dan zo traag, heb je GPO's uit meerdere domeinen ofzo?

donderdag 20 februari 2003 14:06

Acties:

0 Henk 'm!

Devster

-=+CLOUDBARISTA+=-

Je kunt je GPO's optimaliseren door alleen het relevante gedeelte (user/computer) toe te passen. Verder het aantal OU-levels niet te groot laten worden (is ook nergens voor nodig) en het aantal GPO's minimaliseren.

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

vrijdag 21 februari 2003 08:21

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Ik heb verschillende zaken toegepast die optimaliserend zouden moeten werken; versioning, asynchrone processing, slow link detection. Maar helaas. We werken hier met zo'n 3000 man. Dan moet je wel met GPOs werken. En zijn dus het aanta OU-levels erg groot. We hebben één domein, die met MWDM links verbonden is over verschillende locaties. Netwerksnelheid is het ook niet, overal CAT6 en gigabit.

vrijdag 21 februari 2003 11:03

Acties:

0 Henk 'm!

Devster

-=+CLOUDBARISTA+=-

Verwijderd schreef op 21 februari 2003 @ 08:21:
Maar helaas. We werken hier met zo'n 3000 man. Dan moet je wel met GPOs werken. En zijn dus het aanta OU-levels erg groot. We hebben één domein, die met MWDM links verbonden is over verschillende locaties.

Ik ben het niet met je eens dat je veel OU levels nodig hebt. Je moet je OU structuur inrichten op beheer. Ik weet niet of er geprobeerd is om de organisatiestructuur na te tekenen, maar 3 OU levels is al erg veel.

Ik heb al aardig wat designs gemaakt voor nog veel grotere organisaties en volgens mij moet het streven zijn om de OU structuur zo simpel mogelijk te houden en puur en alleen op beheer in te richten.

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

vrijdag 21 februari 2003 13:31

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Wat bedoel je precies met OU levels? Misschien praten we langs elkaar heen.
We hebben op dit moment aan mijn account ongeveer 200 policies applied via oa diversen security groups.

vrijdag 21 februari 2003 13:35

Acties:

0 Henk 'm!

Devster

-=+CLOUDBARISTA+=-

200 policies!?! Dat is echt behoorlijk veel.

Met OU levels bedoel ik hoe "diep" je structuur is, bijv:

code:

1
2
3

Clients - Mobile - Low Tco
      |         |_
      |          High Tco

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

vrijdag 21 februari 2003 13:37

Acties:

0 Henk 'm!

Devster

-=+CLOUDBARISTA+=-

200 policies!?! Dat is echt behoorlijk veel. Waarom heb je er zo veel nodig? Kun je niet een aantal samenvoegen in een aantal wat grotere Policies?

Met OU levels bedoel ik hoe "diep" je structuur is, bijv:

code:

Clients-Mobile-Low TCO
      |       |
      |       +High TCO
      |
      +-Desktop-Low TCO
      |        |
      |        +High TCO

Deze structuur is 3 "levels" diep.

[ Voor 5% gewijzigd door Devster op 21-02-2003 13:38 ]

"The problem with internet quotes is that you can't always depend on their accuracy" ~Abraham Lincoln, 1864.

vrijdag 21 februari 2003 13:39

Acties:

0 Henk 'm!

Verwijderd

heb je gelinkte gpo's... dus een gpo uit een andere domain (en andere locatie). dat wordt namelijk erg traag...

zondag 23 februari 2003 21:53

Acties:

0 Henk 'm!

Verwijderd

in plaats van gpo te gebruiken registerkeys in profielen importeren, dit kan je via een script laten lopen....

Alleen de controle ben je kwijt bij 3000 accounts, dus om die reden zou ik het niet doen, maar het kan wel.

[ Voor 34% gewijzigd door Verwijderd op 23-02-2003 21:53 ]

maandag 24 februari 2003 08:24

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

klopt en registrykeys zijn editable door de clients. Dat willen we ook niet.
Het zijn idd erg veel GPOs. Maar helaas kunnen we ze niet verminderen.
Een tijd geleden is Microsoft hier geweest die de hele structuur heeft onderzocht. Op dit moment hebben we hun approval op onze inrichting.

Maar nu kom ik terug op de vraag die ik in het begin gesteld heb. Kan ik die verwerken in een nieuw default profile?

maandag 24 februari 2003 08:28

Acties:

0 Henk 'm!

Dennis

Sommige dingen kun je vast verwerken, maar een groot aantal niet denk ik.
En sommige dingen kunnen best via registerkeys lijkt me, het logo in internet explorer veranderen doen ze toch vast niet (voorbeeld).

maandag 24 februari 2003 09:42

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Bepaalde settings kan ik inderdaad meenemen in een default profiel. Andere niet. Op dit moment is bijvoorbeeld het proxy server adres enzo grayed-out voor de user. Dit kunnen ze niet aanpassen binnen Internet Explorer. Wanneer ik dit zou toevoegen in een default profiel, dan is het natuurlijk wel aante passen. ik moet alleen een lijst maken met GPOs die ik zou kunnen toevoegen aan dat profiel.
Heeft iemand dit wel eens gedaan?

dinsdag 25 februari 2003 12:42

Acties:

0 Henk 'm!

Arfman

Drome!

Ik zou eens beginnen met precies inventariseren hoeweel GPO's je hebt, waar ze staan, welke link er tussen ligt (100 mbit of misschien ISDN (WAN ?)) en wat ze precies voor effect hebben. Probeer dan het aantal GPO's en de plekken waar ze staan drastisch te verminderen, door op centrale plekken GPO's te maken die zoveel mogelijk settings in 1 keer doorvoeren.

Succes !

donderdag 27 februari 2003 23:54

Acties:

0 Henk 'm!

Arfman

Drome!

En, al progressie in je inventarisatie ?

vrijdag 28 februari 2003 10:12

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Jazeker,

Ik heb er vanmiddag een meeting over me iemand van Microsoft die langs komt. Ik houd jullie op de hoogte

maandag 3 maart 2003 12:58

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

We gaan een inventaris doen van alle GPOs (True policies en GP Preferences) en van alle True policies gaan we bekijken welke we apply-en en welke users mogen veranderen, daarvan maken we een nieuw default profiel en dan strippen we die policies. Dat zou al moeten schelen.

maandag 3 maart 2003 15:52

Acties:

0 Henk 'm!

Verwijderd

je kan er ook voor kiezen de gpo's op de achtergrond uit te voeren. windows zal dan al het login scherm geven en de gpo's uitvoeren. is een optie die je een gpo kan zetten. deze kan je dus in je root van de AD zetten zodat deze overal uitgevoerd wordt.

maandag 3 maart 2003 19:43

Acties:

0 Henk 'm!

Arfman

Drome!

Waarom wil je allen in een profiel zetten dan ? Lijkt mij dat het juist veel handiger is om je images zo schoon mogelijk te houden ivm. overzichtelijkheid (en dus beheersbaarheid), ben je ook nog eens veel flexibeler.

But then again, ik ben die in de onderwijswereld werkt op een Novell platform. Ik heb echter wel ervaring met GPO's onder Windows 2000, dit via ZENworks 3.2.

maandag 3 maart 2003 22:50

Acties:

0 Henk 'm!

jvdmeer

Verwijderd schreef op 21 February 2003 @ 13:31:
Misschien praten we langs elkaar heen.
We hebben op dit moment aan mijn account ongeveer 200 policies applied via oa diversen security groups.

Kan je voorbeelden noemen van een paar GPO's? Ik kan er echt niet meer dan een paar bedenken.

Wij (3000 man) hebben 4 GPO's: Standaard computers, Standaard gebruikers, laptop-computers en laptop-gebruikers. En dan nog een paar kleintjes op een bepaalde afdeling. Maar dat zijn er hooguit 3.

Traag schreef op 20 februari 2003 @ 08:21:
GPO's worden ten alle tijden gedraaid, je zult zelf in je GPO's moeten snijden of ze samenvoegen.

Dit klopt helaas niet kwam ik van de week achter. En iemand van MS bevestigde dat. Wat jij zegt geldt alleen voor de system-policies.
Voor alle andere policies (met behulp van .adm-files) geldt dat die eenmalig op een computer wordt uitgevoerd, en dat daarna alleen de versienrs. worden gecontroleerd. Zodra dus de GPO wordt bijgewerkt, wordt 'ie weer eenmalig uitgevoerd. In de tussentijd, verwacht de computer dat de settings niet zijn aangepast, en dat de GPO niet opnieuw uitgevoerd moet worden.

maandag 3 maart 2003 23:47

Acties:

0 Henk 'm!

Arfman

Drome!

That's an affirmative, Novell zegt hetzelfde als jvdmeer en die MS-dude

woensdag 5 maart 2003 08:24

Acties:

0 Henk 'm!

jvdmeer

Arfman schreef op 03 maart 2003 @ 23:47:
That's an affirmative, Novell zegt hetzelfde als jvdmeer en die MS-dude

offtopic:
Wow, Novell en MS zijn het eens... met mij.

woensdag 5 maart 2003 15:47

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

wat jij zegt heet versioning. En versioning kun je aan of uit zetten en werkt impliciet voor alle GPOs. Dat is geen optie helaas.
Passy kwam met de mogelijkheid om ze in de achtergrond te draaien. Dat kan inderdaad ook en heet asynchronous processing. Dit hebben we al geprobeerd. Normaliter als je 5 GPOs hebt komen ze in volgorde: 1,2,3,4,5, bij asynchronous is het door elkaar: 2,5,3,1,4. Dus bepaalde waarden KUNNEN worden overschreven

donderdag 6 maart 2003 01:29

Acties:

0 Henk 'm!

SED

Ik kan me eigenlijk geen situatie voorstellen waarbij 200 gpo's zijn ontstaan.
Alleen door een volslagen ongeplande netwerkbeheerstructuur ( hoezo structuur) kan zoiets gebeuren.
Ik neem aan dat er binnen de AD wel OU's zijn aangemaakt en dat er een hierarchie is in de GPO's die jullie bedacht hebben.
Mogelijk dat er flink genest is maar dan nog is het een kwestie van een goede structuur ontwerpen waarop GPO's gezet worden die elkaar niet tegenwerken.

Natuurlijk kun je GPO's samenvoegen, probleem is niet de samenvoeging maar of ze de juiste functionaliteit blijven doorvoeren per groep of OU.
Daarvoor heb je een helder inzicht nodig in de groepen die er bestaan binnen het bedrijf en welke beperkingen ze hebben.
Dat is dus een kwestie van goede planning.

Pagina: 1

Reageer