在 Windows 上自动执行管理任务

这些天来，我们几乎对所有事情都使用组策略，并且我们使用部署到所有计算机的单个 Windows 磁盘映像。我们还安装了 System Center Configuration Manager（最新版本的 SMS）。

我们的映像包含我们设施中的所有常用应用程序，但我们使用组策略仅公开特定用户或用户组需要查看的应用程序。这使开始菜单和桌面保持整洁。

SCCM 允许安装和修补软件。这也可以通过组策略来完成。

对于自动化任务，我们大量使用 PowerShell。为学习它而付出的努力是值得的。

我们不允许用户安装应用程序，因此我们不需要删除太多被列入黑名单的应用程序，但如果我们这样做了，也可以通过 SCCM 完成。

这是一个很笼统的问题。有什么特别需要您了解的吗？

关于您对用于操作系统初始部署的标准化磁盘映像的评论，您是否考虑过使用Microsoft 部署工具包来构建和部署映像？

我们已经使用它大约两年了，它确实减少了我们必须维护的图像数量，尤其是在驱动程序管理方面。我们不仅将它用于桌面构建，还用于服务器构建。它还与SCCM OS Deployment有很好的联系。

我们将Windows Systems Management Server用于您所描述的许多内容。另一个名为Softricity SoftGrid的应用程序也可以做一些您可能感兴趣的事情。

由于易于部署和管理，我们尽可能多地使用 Active Directory 和 GPO。值得注意的是，有很多有用的工具和.adm 模板可以让您通过 GPO 将管理扩展到不仅仅是库存窗口设置。

我们还使用 WSUS，它在补丁管​​理方面很难被击败。对于其他任务，我们使用用 python 编写的脚本（它很容易快速编写并附带电池）以及良好的老式批处理脚本来自动化。备份就是一个很好的例子；一个脚本在 ntbackup、osql 数据库转储和 exmerge 砖级邮箱备份中运行作业，对所有内容进行加密，将其放在需要的位置，并在完成后通过电子邮件发送日志。

SMS变成了SCCM，以防出现任何混乱。我们使用竞争对手产品 Altiris 进行软件部署和跟踪。然而，这些解决方案往往有点贵。如果您谈论的是小型企业。在我支持这种情况的情况下，我使用安装了通用软件（如 Office）的 Symantec Ghost 之类的工具构建标准映像。然后我想出了如何使用批处理脚本自动安装其他软件包。当新系统出现或必须重新映像时，我可以运行这些脚本以确保安装了正确的软件。

如果可以强制执行，最好的解决方案之一是剥夺最终用户的本地管理员权限。在大多数情况下，这是可行的，而且是一场政治斗争。这有助于减少由于应用程序设置而导致的工作，并且几乎完全消除了用户安装黑名单软件的情况。它还倾向于减少由于恶意软件引起的支持电话。

我过去做过的一件事是在每台机器的桌面上放置一个脚本的快捷方式。在这个中央脚本中，我放置了各种修复、补丁、数据收集、日志记录等。用户能够运行这个脚本并“重置”应用程序。例如： HKCU 中的某些应用程序设置偶尔会出错。如果某些事情出错了，用户只知道点击重置脚本并回到原点。它根据不同的触发器重新映射驱动器和打印机。很久以前，我们在 NT 时代放弃了漫游桌面后就开始这样做了。用户可以切换办公桌并确保所有内容都配置为某个基准。

有时我们会使用 Primal script 之类的东西在本地提升的 privs 下打包 vbscript，以紧急修复用户无法安装的问题。绝对是一种你自己的方法，但它简单、可扩展且非常有效。一旦用户习惯了使用它的想法，问题就会很快得到解决，停机时间很少。你可以用它变得很有创意。

如果可能的话，我也强烈支持删除本地管理员权限的想法（不过，这可能会给笔记本电脑旅行者带来问题）。

这些天来，强烈建议使用 Microsoft 自己的映像系统，而不是像 Ghost 这样的硬映像解决方案。基本工具是免费的，您可以使用Windows 部署服务 (WDS)等包含的服务和Microsoft 部署工具包 (MDT)等免费加速器来轻松部署它们。

组策略用于基本配置，可以做一些事情，比如允许笔记本电脑旅行者在没有管理员身份的情况下更改他们的网络设置，以及设置各种默认值、强制设置和根据许多标准运行脚本。

在此基础上添加更复杂的解决方案以更轻松地管理第三方应用程序将是明智的，具体取决于环境的大小。System Center系列以较小的品种提供，如Essentials和现已解散的EBS，或者作为成熟的产品，如Configuration Manager，如果 Essentials 不适合规模，这将是一个不错的第一步。