将GPO脚本存储在Netlogon或Policy文件夹中？

Question

最好的做法是将登录脚本集中存储在\\DOMAIN\Netlogon或默认的策略文件夹中，例如。\\DOMAIN\SysVol\DOMAIN\Policies\{DE22B6FB-315E-4C55-BF06-A7709913CD9E}\User\Scripts\Logon？

选择一个地点而不是另一个地点意味着什么？

为了便于访问/review，我倾向于将它们全部保存在Netlogon中.

Answer 1

用户登录脚本的默认位置是NETLOGON共享，默认情况下，该共享在林中的所有DC上复制，物理位置位于：

%SystemRoot%\SYSVOL\sysvol\<domain DNS name>\scripts。

或

%SystemRoot%\SYSVOL_DFSR\sysvol\<domain DNS name>\scripts (适用于基于DFS的FRS，因为这是服务器2012R2+推荐的)

如果您设置了一个用户登录脚本(ADUC > user > Properties > logon > Logon > hello.cmd)，则它将从NETLOGON执行。

“官方”最佳做法是：

• 如果您通过GPO设置GPO，则将它们与GPO一起存储。
• 如果将它们设置为AD中的用户属性，则将它们存储在NETLOGON中。

Answer 2

两个位置在域控制器之间是同步的，因此对我来说，这只是个人的选择。

我个人的看法是，在超过一定数量的GPO后，所有的上网都是很难管理的。(就像删除GPO时一样，脚本在示例中不会被删除)

Answer 3

不确定这是否是“最佳实践”，但我看过一些博客文章推荐这一点，我更喜欢这样做：

我们有一个文件共享，其中包含我们的GPO的所有支持文件，包括脚本。所有脚本都签入版本控制。

文件共享是用DFS设置的，所以它是\domain.com\DFS\GPO-Files

脚本位于subdir \domain.com\DFS\GPO-Files\Script中。

在GPO中，您可以调用脚本"powershell.exe“，并为参数调用-File PathToScript。

我喜欢这种方法，因为GPO文件和脚本位于一个众所周知的位置，而不是掩埋在具有GUID名称的文件夹中。

它还允许更多地控制powershell.exe的调用方式，比如ExecutionPolicy。