,,,, i mine tidligere artikel bedste praksis for udarbejdelse af koncernens politik, jeg beskrev, hvordan man får gruppen politik fra starten ved at planlægge din active directory struktur omhyggeligt.grunden er, at hvis du ikke tage koncernens politik i betragtning, før du begynder at skabe deres områder, konstant og steder, du kan ende med at ansætte såkaldte "avancerede" gruppe politik karakteristika som blok arv, håndhæves, eller loopback for at gøre din gruppe politik gør, hvad du vil, og ved hjælp af disse karakteristika gør fejlsøgning vanskeligere senere.en god gruppe politik imidlertid kan normalt få det fint uden brug af disse "avancerede" karakteristika (bortset fra anvendelse af sikkerhed, filtrering og undertiden wmi filtre), og resultatet er en simpel gpo struktur, som er let at forstå og løse problemer.en del af gruppen, udformning af politikken er imidlertid hensyn til slutbrugeren oplever.en dårligt udformet gruppe gennemførelse af politik, brugerne kan opleve lange forsinkelser, før velkommen til vinduer rubrik synes at invitere dem til tryk ctrl + alat + del til at logge på, eller de kan opleve yderligere forsinkelse, efter at de har optaget deres logon akkreditiver og før deres desktop - viser sig, så de kan begynde deres arbejde.faktisk længe logon forsinkelser er normalt den mest frustrerende del af brugernes erfaringer med hensyn til koncernens politik angår, men tæt på, er, når brugerne klager over, at de har lukket deres desktop - pc 'er for tæt ved hjælp af koncernens politik til, at brugerne føler, at de ikke kan gøre deres arbejde ordentligt.lad os se på nogle tips til, hvordan gruppen politik kan optimeres til at fremskynde logon ydeevne, samtidig med at vi bevarer det sikkerhedsniveau, en gennemførelse af koncernens politik har til formål at skabe en fælles myte,.,,, en fælles myte om koncernens politik er, at de mere gruppepolice genstande (gpos), du har, jo længere det tage for dem at blive forarbejdet ved igangsætning og bruges.faktisk en microsoft videnbase artikel faktisk siger, at "startkapital og logon - tider er direkte proportional med antallet af gpos, der skal forarbejdes." det er noget vildledende, af følgende grunde: for det første, den artikel, er faktisk ret, når det siger, at starte og logon gange kan afhænge af antallet af gpos det må være beredt. "nøgleordet er" forarbejdet ". med andre ord, det er ikke, hvor mange gpos, du har skabt i dit netværk, der betyder noget, er det, hvor mange gpos, der faktisk er forarbejdet ved igangsætning eller logon - sagen.så for eksempel sige, at du har 20 øverste bør i deres område og de øverste ou har to lavere niveau bør under (en for brugerkonti og en for edb - regnskaber), og at alle du har en enestående gpo knyttet til det.og lad os sige, at du kun har et område, der er knyttet gpo (default område politik) og nr. stedet er knyttet gpos.så alt du vil have 20 + 40 + 1 = 61 gpos, der virker som en masse.men for hver enkelt bruger - /edb - kombination, igangsætning /logon - processen kun fire gpos forarbejdede: misligholdelse område politik, en gpo forbundet med et højt niveau af dig, og gpos i forbindelse med de to nedre niveau bør under den øverste ou.mere præcist, ved igangsætning tre gpos forarbejdes (default område politik, øverste gpo politik og edb - konto gpo politik), mens der i tre gpos logon ligeledes er forarbejdet (default område politik, øverste gpo politik og brugerkonto gpo politik).så mens du har 61 gpos, få faktisk er forarbejdet til en bestemt bruger eller en computer.så husk, det er ikke, hvor mange gpos du har, men hvor mange er forarbejdet, der faktisk betyder noget.,, for det andet den udtalelse, at igangsætning /logon - tid er "proportional" antallet af gpos forarbejdet er også noget misvisende.hvad der faktisk sker, er, at hvis x er misligholdelse logon - sammen med nr. gpos forarbejdede og y er tid til at behandle en gpo, så den samlede logon - tid er cirka x + ny, hvor n er antallet af gpos forarbejdet under logon (det samme gælder for startkapital, men vi vil fokusere på logon enkelhed).denne formel er kun vejledende, men eftersom værdien af y kan variere for de enkelte gpo.faktisk er de mere politiske indstillinger, du har aktiveret eller deaktiveret inden for en gpo, større y er for, at gpo.desuden, når der kun er nogle få, der er udformet på en gpo, værdien af y for at gpo er normalt meget mindre end x, og i så fald samlede logon - tid er bare x plus lidt længere end x + new york.,, virkeligheden, hvad virkelig påvirker logon - tid er ikke, hvor mange gpos er forarbejdet, men hvor mange miljøer er konfigureret inden for hver gpo.hvis du kun har et par gpos forarbejdet under logon - men de gpos har hundredvis af indstillinger konfigureret med modstridende forhold i en gpo ikke overskrives i en anden gpo under forarbejdningen, så brugerne sandsynligvis vil opleve frustrerende logon forsinkelser i det mindste, da brugere logger på første gang, efter at du har skabt en lang række miljøer i en gpo de processen i logon.men selv med hundredvis af indstillinger aktiveret eller deaktiveret i en gpo kan kun medføre "anvendelse af din personlige omgivelser" i rubrik angives for yderligere et par sekunder og dermed tilføje, kun et par sekunder til logon - proces, der normalt tager et par sekunder, så selv at have masser af gpos med masser af indstillinger konfigureret ikke altid henlede ire af deres brugere og få dem til at klage over, at "de net, det er langsom i dag", og så videre.,,, hvad der er endnu vigtigere end antallet af gpos forarbejdet ved igangsætning /logon - og antallet af indstillinger konfigureret i de gpos - miljøer i de gpos har til formål at gøre.for eksempel, hvis du skal finde en ny mappe omdirigering af så er omfattet af, at brugerne kan opleve en indledende forsinkelse som deres mapper, omdirigeres til et netværk file server.eller hvis du får software ved hjælp af en gpo så brugere vil opleve en startkapital forsinkelse, som det nye program er installeret.men simpel sikkerhedsindstillinger eller desktop - miljøer generelt ikke medføre uforholdsmæssigt store nystartede eller logon forsinkelser for brugerne.,, andre resultater tips, en anden ting, der kan påvirke starter eller logon - tid, er størrelsen af de gpos behandles.efter størrelse af en gpo, jeg mener antallet og størrelsen af de administrative formularer (adm - filer) du har importeret til deres gpos.for eksempel, hvis du klarer microsoft kontor ved hjælp af koncernens politik, så du har indført nogle af kontoret. adm filer i din gpos, og dette kan i høj grad øge størrelsen af gpos og dermed den tid, det tager at behandle dem på vinduer klient maskiner.så moralen her er kun importerer sådanne supplerende. adm filer i gpos, at brugerne af target og computere, som rent faktisk har brug for disse indstillinger.dette er især tilfældet for forvaltningen af bruger - og edb - miljøer, der over en langsom wan forbindelsen, som på nogen måde du kan mindske mængden af koncernens politik proces, man kan opnå over var kan hjælpe afsidesliggende brugere undgå frustrerende forsinkelser.,, en anden forestilling tip, som kan fremskynde gruppepolice behandling er at uskadeliggøre enten bruger eller computer del en gpo, hvis denne del er ikke nødvendigt under behandlingen.hvis f.eks. en gpo er betinget af, at de, der kun indeholder edb - regnskaber, og ingen brugerkonti, så er der ingen grund til brugeren del af gpo kunne da ikke indstillinger konfigureret i del vil blive behandlet af edb - regnskab, alligevel.tilsvarende gælder, at hvis en gpo er betinget af, at de, der kun indeholder brugerkonti og edb - regnskaber, er der ingen grund til edb - del af gpo kunne da ikke indstillinger konfigureret i denne del behandles af brugerkonti.til at frakoble brugeren eller edb - del af en gpo, gøre følgende:,,, - koncernens politik forvaltning konsol (se artiklen om windowssecurity.com for mere information) og udvide domænet node, indtil du finder posthuset link til din gpo., udvælge oplysninger regning i højre side., klik på posthuset status ud og vælge, om at slå rubrik bruger eller edb - miljøer i overensstemmelse hermed (se fig. 1).,,,,,,, figur 1, invaliderende brugeren del af en gpo, at målene kun edb - regnskaber,,, en anden tip til optimering af koncernens politik forarbejdning er: brug wmi filtre omhyggeligt.hvad jeg mener er: wmi filtre er et magtfuldt værktøj, der lod dig målgruppe politik meget specifikke ting.for eksempel, de kunne skabe en wmi - filter, som ville anvende en vis gpo kun de computere, der løber en pentium iii forarbejdningsvirksomhed, der har 256 mb ram eller mindre, og så videre.mens wmi filtre, gør det muligt at være meget specifik i, hvordan du målet politik, burde du indse, at henrette en wmi filter mod en samling af fjerntliggende maskiner kan tage et stykke tid, så er det bedst at undgå at anvende denne avancerede del af koncernens politik, medmindre du har en absolut tvingende grund til at gøre det.,, endelig, hvis deres klient maskiner kører vinduer xp faglige ved misligholdelse, som de har hurtigt logon optimering aktiveret (medmindre du bruger roaming brugerprofiler og dette træk er handicappede).hurtigt logon optimering gør igangsætning /logon - forarbejdning af koncernens politik opfører sig på nøjagtig samme måde som baggrund genopfriske af koncernens politik finder sted, med andre ord asynkront med.resultatet af under hurtig logon optimering mulighed for på vinduer xp computere er, at brugerne vil være i stand til at gå ind på deres computere, før gruppen politik har afsluttet behandling.grunden til denne funktion blev indført i xp var at løse spørgsmålet om lange forsinkelser brugere ofte oplevet, når de er logget på deres windows 2000 professional.disse forsinkelser skyldtes, at windows 2000 behandlede gruppe politik på en synkroniseret måde ved igangsætning /logon, hvilket betød, at behandling af maskine politik skulle være færdig før logon - skærmen viste og forarbejdning af brugernes politik skulle være færdigt inden brugerens desktop dukkede op., desværre, mens hurtigt logon optimering hastigheder, den tid, det tager for en bruger til at nå deres skrivebord fra at bryde deres maskine, kan det få negative bivirkninger.naturligvis, hvis en bruger, når deres skrivebord før politik har afsluttet behandling, de kan være i stand til kort at gøre visse ting, som politik, der har til formål at forhindre.for eksempel, du kan have ført til en politik for at forhindre brugerne i at få adgang til panelet, men hvis denne politik et par sekunder efter deres skrivebord lader til, at de kan have en kort vindue, som de er i stand til at få adgang til deres kontrol panel, hvilket er formålet med politikken, ikke?så mens hurtigt logon optimering, kan få store konsekvenser for at fremskynde gruppepolice forarbejdning, kan det også indføre en sikkerhedsrisiko i din desktop - miljø, som giver brugerne mulighed for at gennemføre aktioner, vil du ikke have dem til at udføre.for yderligere oplysninger om dette aspekt, og at deaktivere den, hvis det ønskes, jf. denne artikel i microsoft - viden.,