> А кто сказал, что gpo мертво?Это сказал Microsoft и на это есть причины:
- как инструмент они не подходят ни для установки и обновления программ на конечных рабочих станциях, потому что они замкнуты на определенные версии ОС Windows и определенные версии API.
- они не вполне подходят для конфигурирования чего-то кроме того подмножества функций Windows, под которые есть шаблоны, потому что стороннее приложение должно реализовать GPO у себя и дать шаблоны. Правильно так: у ПО есть конфигурация и API для управления, вместо приписывания GPO сбоку конфигурирующая инфраструктура должна использовать родные инструменты, а не заставлять разработчика велосипедить
- GPO - это технология времен COM+/DCOM и не вполне поддерживает современный Windows Desktop, ввиду перехода последнего везде где можно на маршалинг средствами CLR
- И при конфигурировании и при развертывании нет возможности убедиться ни в верном результирующем состоянии конфигурации/развертывания ни наоборот представить всё в виде модулей патчей на конфигурацию. Это техническое ограничение самих механизмов GPO
- GPO и кластерные развертывания - отличный способ прострелить себе обе ноги, потому что GPO не поддерживают транзакционные модели конфигурирования, нет понятия инвентаря, вообще ничего нет. Отправив GPO на кластер вы можете только надеяться, что всё пройдет гладко, при условии если хранилища конфигураций что-нибудь вам гарантируют.
- Конфигурация даже собственных подсистем Windows, которые хранят конфигурации в БД (ESENT, WID, MSSQL, SQLite) не возможна по определению.
- GPO требуют наличие периметрического домена, если нужно их применять на хосты в демилитаризованной зоне.
Вы вдумайтесь особенно в последнее. Не все серверы и рабочие станции должны быть в едином лесу. У вас есть внешние недоменные сервера, которые смотрят в Интернет через NAT. У вас есть переносные рабочие станции, мобильные телефоны и прочее. GPO же работает только в домене. Если вы хотите GPO, то ставьте периметрический домен или меняете устройства на те, которые поддерживают ADDS. Просто разочек разверните периметрический сайт за файрволом или периметрический домен с однонаправленым доверием ради пары GPO... мало кто так делает из-за необусловленно большого объёма работ.
На основании этих причин Microsoft заявил, что развивать GPO он не будет. Он его меняет на те инструменты, которые более эффективны для выполнения задач, но при этом никто их удалять не планирует.
GPO решает вполне конкретные задачи. Решает их из рук вон плохо чисто с технической стороны и сейчас и 5 лет назад и 10 лет назад. В Linux-инфраструктурах тоже есть эти задачи, но Альтовцы зачем-то пытаются копировать неудачный опыт MS в вопросах оркестрации и конфигурирования. Если уж не можете писать своё и надо копировать у других, ну возьмите за основу SCCM. С DSC при этом будут проблемы, потому что у большинства программ не выделенных объектов для конфигурирования (нет объекто-ориентированного API для конфигурации), но есть документы. Ну вот и реализуйте транзакционную модель применения патчей на документы в /etc и выдаёте это как API на вебсервисы, как это делает тот же https://github.com/haproxytech/dataplaneapi
Но нет, вместо того чтобы придумать что-то реально работающее и конкурентоспособное, русское IT, копирует на западе то, что плохо лежит и морально устарело, дабы "догнать и перегнать". Совковый подход, как с советской микроэлектроникой.