5 Replies Latest reply on May 30, 2014 7:50 AM by NicoS1

    eure Erfahrung mit dynamischen Gruppen

    Nice2010 Expert
      Hallo, wir überarbeiten gerade unsere Infrastruktur und möchten gerne einiges über dynamische Gruppen realisieren. Wie sind da eure Erfahrungen? Gibt es Probleme bei dem erkennen (bin ich Mitglied dieser Gruppe oder nicht). Wenn das nicht zu 100% zuverlässig ist, würde ja ab und an mal Software installiert oder deinstalliert.

      Freue mich über eure Erfahrungen.
        • 1. Re: eure Erfahrung mit dynamischen Gruppen
          NicoS1 Master
          Hallo Nice,

          wir verwenden dynamische Gruppen für:
          - Modelle (Proukt=Lifebook E520)
          - Betriebssysteme
          --Darunter haben wir die Gruppe nochmal nach Sprache aufgebrochen
          - Typen: Wir haben noch eine "Notebook" Gruppe, die dann über eine OR Abfrage z.B. nach Produkt=Lifebook* oder Latitude* filtert

          Auf diese Gruppen sind Treiber, Standardsoftware und Typenspezifische Software zugewiesen (z.B. Notebooks bekommen standardmäßig VPN Clients, Desktops nicht).

          Was manche nicht wissen, bei Dynamischen Gruppen gibt es ein Feature eine dynamische Gruppe nochmals weiter zu filtern/verschachteln. So wie wir es bei Betriebssystemen gemacht hat. Machst eine Gruppe Windows 7 (x64), darunter dann nochmal eine Gruppe anlegen und filterst nach Deutsch, Englisch usw. Dann hast alle Windows 7, 64 Bit Clients in Deutsch.

          Dieses Prinzip fahren wir glaube ich seit Enteo V6.1 (in der 6.0 vorher gabs eine Empfehlung von Frontrange maximal 5 oder 10 Dynamische Gruppen zu haben). Was die Zuverlässigkeit an ging hatten wir noch nie wirklich Probleme. Das einzige mal, woran ich mich erinnern kann war ein Dell Techniker, der ein Mainboard getauscht hatte und dann über eine Techniker CD noch Seriennummer, Modell usw. im BIOS gespeichert hatte. Da kam durch einen Tippfehler dann ein falscher Produktname auch im DSM raus. Aber das ist schon ewig her und glaube ich eher ein extrem selterner Fall ;-)

          Da das Basic Inventory auch bereits in der OSD Phase läuft, funktioniert das super. Wir packen den Client in eine Statische Gruppe, auf die ist nur das OS-Set zugewiesen. Alles weitere passiert über die dynamischen Gruppen komplett automatisch.

          Man kann auch mit Schemaerweiterungen noch ein bisschen Flexiblität mit einbauen. Bei einem Kunden habe ich noch eine Erweiterung "NonStandard" drin. Und in den Dynamischen Gruppe filter ich noch, dass das Attribut "NonStandard" nicht "Yes" sein darf. Ab und zu wünscht der Kunde einen Rechner nur mit Betriebssystem, ohne jegliche Software. Da setzen wir dann NonStandard auf Yes und schon ist die Dynamik ausgehebelt. Und wir können dem Kunden auch schön reporten welche Clients vom Standard abweichen und sich damit in seiner Verantwortung befinden

          Aktuell gibt es glaube ich im OSD Forum nur ein Thema, dass der Produktname bei UEFI Geräten evtl. etwas schräg sein kann (meiner Meinung ab nichts, was mit nicht mit Wildcards hinbekommen könnte)
          • 2. Re: eure Erfahrung mit dynamischen Gruppen
            Frank.Scholer Master
            Hallo Nice,

            ich nutze - ganz ähnlich wie Nico - die dynamischen Gruppen sehr gerne und erfolgreich, allerdings auch nur für recht genau abgegrenzte Einsatzszenarien, nämlich

              [*]Zuweisung von Treibern über dynamische Hardware-Gruppen
              [*]Zuweisung des Betriebssystems
              [*]Zuweisung von Patch-Paketen (Unterscheidung Test, Pilot, Produktion)

            Für alles andere empfehle ich eigentlich immer die Nutzung statischer Gruppen und ggfs. deren "Pflege" über Scripts.

            Hintergrund ist, dass es mit dynamischen Gruppen m.E. recht schwierig ist Ausnahmen zu definieren. Die 98% Standard kannst du also ganz gut abbilden und mit wenig Aufwand implementieren, die 2% "Sonderlocken" machen aber viel Stress (sowas wie "ein Rechner soll komplett Standard sein außer dem Browser, da will der Kollege mal mit der neuen Version testen).

            Natürlich gibt es die Möglichkeit, z.B. über ne Schema-Erweiterung zu sagen, dass ein Rechner nicht Mitglied in einer dynamischen Gruppen werden soll, aber wenn man das konsequent durchziehen will, braucht man ja so viele Schema-Erweiterungen wie dynamische Gruppen und das halte ich doch für nicht so richtig prickelnd.

            Der entscheidende Punkt ist aber meines Erachtens, warum die die dynamischen Gruppen nutzen möchtest. Ich nehme an, um den administrativen Aufwand zu verringern. Das kann wie gesagt ganz gut funktionieren, eventuell wird die Ersparnis aber durch aufwändige und komplexe Konstrukte für die Ausnahmen wieder aufgebraucht.

            Meine Empfehlung ist daher - wie oben beschrieben - die dynamischen Gruppen nur für die genannten Anwendungsfälle zu verwenden und ansonsten statische.

            Grüße Frank

            P.S.: zuverlässig sind die dynamischen Gruppen. Ich hatte auf jeden Fall noch nie Probleme damit.
            • 3. Re: eure Erfahrung mit dynamischen Gruppen
              NicoS1 Master
              Danke für die Ergänzung Frank, das kann ich sehr gut nachvollziehen

              Ich kann hier nur vollkommen zustimmen. Das Thema "Standardisierung" sollte man in dem Zuge auch beleuchten. Wie weit will / kann / muss man Abweichungen zulassen usw.

              Bei einem Firefox sind wir z.B. emotionslos. Wir setzen die ESR Variante ein. Falls jemand meint er müsse sich eine andere Version installieren, wird beim nächsten Update über DSM wieder die aktuelle ESR installiert.

              Anders sieht es bei Java aus. Hier haben wir eine Hand voll Rechner die eine ganze spezielle Version benötigen. Für solche Ausnahmen haben wir uns Active Directory Gruppen erstellt, in die wir die Clients dann stecken und innerhalb der Pakete dann eine if Abfrage gemacht, ob der Computer in dieser AD Gruppe ist. Falls ja wird das Paket mit exitProxEx(Done) und einem sinnvollen Kommentar dann beendet.

              Aber meiner Meinung nach sind das Themen, die hättest du mit jedem "normalen" Standard. Egal ob du deine Standardsoftware über eine Statische Gruppe handhabst, ein Software-Set oder eine Dynamische Gruppe.

              Und Möglichkeiten etwas auszuhebeln sind jederzeit gegeben, manche mit mehr, manche mit weniger Aufwand und "reportbarkeit". Wichtig sollte meiner Meinung nach nur sein, dass ihr DSM Admins euch auf eine Variante einigt, und nicht der eine AD Gruppen baut und im Script umsetzt, der nächste Deny Policies und der dritte Schemaerweiterungen oder sowas. Dann wirds unterschiedlich und ihr habt schwer zu überblickendes Chaos.

              Aber ja, für mehr als das was Frank aufgelistet hat + Standardsoftware habe ich das auch noch nicht verwendet... das mit der Standardsoftware ist noch diskutabel und Geschmackssache Der eine will seine komplette Software lieber auf eine einzige Gruppe zuweisen in die er dann einen Rechner steckt (dynamisch oder statisch), ich weise meine Software lieber nur auf eine Gruppe zu und lass die Dynamik so gut (und sinnvoll) entscheiden wie möglich welcher Rechner in welche Gruppe kommt

              Evtl. noch zum Besseren Verständnis... als Standardsoftware bezeichne ich "den kleinsten gemeinsamen Nenner" den jeder Rechner im Unternehmen haben soll / muss. Wir haben durchaus auch Standardsoftware pro Abteilung (die dann zusätzlich auf die Rechner kommt), aber das sind einfache, statische Gruppen.
              • 4. Re: eure Erfahrung mit dynamischen Gruppen
                luckydevil Specialist
                Moin,

                auch für OSD-SelfService nutze ich die dyn. Gruppen in Verbindung mit (wenigen) Schemaerweiterungen gerne. Läuft bisher tadellos.
                Weiterhin nutze ich ebenfalls externe Gruppen, die bisher ohne Probleme u.a. mit dyn. AD-Gruppenmitgliedschaften arbeiten. (z.B. Softwareenstallationsberechtigung über AD-Gruppenmitgliedschaften. Nebenbei: Softwareinstallationsberechtigung über AD-Gruppenmitgliedschaften kommt auch bei App-V 5 zum Einsatz. Mit App-V 5 werden auch kompl. Autodeskprodukt-Projekte- realisiert).
                Statische Gruppen verwende ich hauptsächlich für "Sonderlocken", die noch die spezielle Betreuung der DSMC-Konsolen-Admins fordern.

                Viele Grüße
                lucky devil
                • 5. Re: eure Erfahrung mit dynamischen Gruppen
                  derniwi Master
                  Hallo,

                  also ich kann auch nicht von Problemen mit den dyn. Gruppen berichten. Wenn mal irgendwo damit Probleme auftraten, dann waren das Probleme bei der Konfiguration, nicht aber bei der Erkennung.

                  Das Einzige, was mir in diesem Zusammenhang einfällt: man ist bei der Anzahl der Parameter für die AND/OR-Verknüpfungen stark beschränkt. Jedenfalls war das unter 7.0 noch so, ob das mit 7.2 verbessert wurde, weiß ich aktuell nicht.

                  Gruß
                  Nils