Vi anbefaler en spesifikk fremgangsmåte for jobbing med herding som benytter GPOer. Denne guiden passer dersom man ikke har jobbet strukturert med herdingsprosessen før, eller om man bare ønsker å endre litt på en eksisterende rutine.
Lag permanente GPOer for all herding
Vi anbefaler å lage tre permanent GPOer for herding:DC Herding: Denne inneholder herdinger for domenekontrollerne.Server Herding: Denne inneholder herdinger for serverne.Klient Herding: Denne inneholder herdinger for klientene.
Alle tre GPOene har Security Filtering satt til Authenticated Users, og lenkes til de OUene hvor de respektive objekter ligger.
Lag Test-GPO og Test-Grupper for forsiktig innføring
Vi anbefaler å lage en egen GPO for å teste hver ny herding som skal legges inn, f.eks: "Klient Herding Test"
Lag en gruppe som f.eks heter "Klient Herding Test Klienter" og sett Security Filtering for "Klient Herding Test" til gruppen "Klient Herding Test Klienter", slik at dere kan aktivere herdingen på klienter med å legge klienter inn i gruppen "Klient Herding Test Klienter".
Når dere er sikker på at den nye herdingen ikke gir noen problemer, så legger dere herdingen inn i den permanente "Klient Herding" GPOen. Herdingen vil da blir aktiv for alle klienter framover.
For å klargjøre til neste herding, så tømmer dere gruppen "Klient Herding Test Klienter" for klienter og fjerner innstillingen fra "Klient Herding Test" GPOen
Bruk tilsvarende metode også for servere.
PS: Husk å legge inn Authenticated Users=Read under Delegation på "Klient Herding Test Klienter"-GPOen
Rollback GPO
Dersom en ny herding gir problemer, så vil det fra brukerens synspunkt være kritisk å komme raskt tilbake igjen. Vi anbefaler derfor å lage egne Rollback GPOer som setter innstillingen tilbake, f.eks "Klient Herding Test Rollback", som har Security Filtering for gruppen "Klient Herding Test Klienter Rollback".
Dersom det oppdages at det er problemer kan man da bare flytte alle klientene fra gruppen "Klient Herding Test Klienter" til gruppen "Klient Herding Test Klienter Rollback". Å ha en Rollback klar vil være spesielt viktig for innstillinger som tatoveres i Windows, siden det ikke vil hjelpe å bare deaktivere slike GPOer, men det vil også være nyttig for å raskt komme tilbake på andre endringer.
Eksempel på ferdig oppsett
