Optimalisering av Group Policy Performance


I min forrige artikkel Best Practices for Designing Group Policy, beskrev jeg hvordan du får Group Policy helt fra starten av planleggingen av Active Directory struktur nøye. Årsaken er, hvis du ikke tar Group Policy hensyn til før du begynner å lage dine domener, organisasjonsenheter og nettsteder, kan du ende opp med å måtte ansette såkalte "avanserte" Group Policy funksjoner som Block Arv, Tvungen eller Loopback til lage din Group Policy implementering gjøre hva du vil den skal gjøre, og bruker disse funksjonene gjør feilsøking vanskeligere senere. En godt designet Group Policy implementering men kan vanligvis klare seg fint uten å bruke noen av disse "avanserte" funksjoner (bortsett fra bruk av sikkerhetsfiltrering og tidvis WMI filter), og resultatet er en enkel GPO struktur som er lett å forstå og feilsøke.

En del av Group Policy design er imidlertid hensynet til sluttbrukerens opplevelse. I en dårlig utformet Group Policy Implementering, kan brukerne oppleve lange forsinkelser før Velkommen til Windows boks vises invitere dem til å trykke CTRL + ALT + DEL for å logge deg på, eller de kan oppleve ytterligere forsinkelser etter at de har lagt inn sine påloggingsinformasjon og før deres bordet vises, slik at de kan begynne sitt arbeid. Faktisk lang tid å logge forsinkelser er vanligvis den mest frustrerende aspektet av en brukers erfaring så langt Group Policy er opptatt av, selv om en nær andre er når brukere klager over at administratorer har låst ned sine datamaskiner for hardt å bruke Group Policy til det punktet at brukerne føler de kan ikke gjøre jobben sin ordentlig. La oss se da på noen tips for hvordan Group Policy kan optimaliseres til hastighet pålogging ytelse samtidig opprettholde sikkerhetsnivået en implementering av Group Policy er ment å gi.

En vanlig myte

A vanlig myte om gruppepolicy er at jo flere Group Policy Objects (GPOer) du har, jo lenger tid det tar for dem å bli behandlet under oppstart og pålogging. Faktisk en Microsoft Knowledge Base-artikkelen faktisk sier at "oppstart og pålogging tider er direkte proporsjonal med antall GPOer som må behandles." Dette er noe misvisende av følgende grunner.

For det første er artikkelen faktisk rett når den sier at oppstart og pålogging ganger kan stole på "antall GPOer som må bearbeides.» Nøkkelordet her er "behandlet". Med andre ord, det er ikke hvor mange GPOer du har opprettet på nettverket som saker, det er hvor mange GPOer som faktisk er behandlet ved oppstart eller pålogging den saks skyld. Så for eksempel si at du har tjue toppnivåorganisasjonsenheter i domenet og hvert toppnivå OU har to lavere nivå organisasjonsenheter under det (en for brukerkontoer og en for datamaskinkontoer), og at hver OU har en unik GPO knyttet til den. Og la oss også si at du bare har ett domene bundet GPO (Standard domenepolicy) og ingen språk bundet GPOer. Så helt vil du har 20 + 40 + 1 = 61 GPOer, som synes som mye. Men for hver enkelt bruker /datamaskin kombinasjon, vil oppstart /pålogging prosessen bare se fire GPOer behandlet: Standard domenepolicy, en GPO knyttet til en topp-nivå OU, og GPOer knyttet til de to nederste nivå organisasjonsenheter under topp- nivå OU. Mer presist, under oppstart tre GPOer behandles (Standard domenepolicy, toppnivå GPO politikk, og datamaskinen konto GPO policy) mens under pålogging tre GPOer er likeledes behandlet (Standard domenepolicy, toppnivå GPO politikk, og brukerkontoen GPO politikk ). Så mens du har 61 GPOer, er noen faktisk behandlet for en bestemt bruker eller datamaskin. Så husk, det er ikke hvor mange GPOer du har, men hvor mange er behandlet som faktisk betyr noe.

For det andre, er påstanden om at oppstart /pålogging klokkeslett er "direkte proporsjonal" til antall GPOer bearbeidet også noe misvisende. Hva som faktisk skjer er at hvis x er standard pålogging tid uten GPOer behandlet og y er tiden for å behandle noen GPO, så total pålogging tid er ca x + Ny hvor N er antall GPOer behandlet under pålogging (det samme gjelder til oppstart, men vi vil fokusere her på logon for enkelhet). Denne formelen er imidlertid bare omtrentlig, siden verdien av y kan variere for hver GPO. Faktisk, jo flere policyinnstillinger du har aktivert eller deaktivert innenfor en GPO, er det større y for at GPO. Videre, når bare noen få innstillinger er konfigurert i en GPO, er verdien av y for at GPO vanligvis mye mindre enn x, og i så fall total pålogging tid er bare x pluss en er litt lenger i stedet for x + Ny.

The Reality

Det som virkelig påvirker pålogging tid så er ikke hvor mange GPOer er behandlet, men heller hvor mange innstillinger er konfigurert innenfor hver GPO. Hvis du bare har noen få GPOer behandlet under pålogging, men disse GPOer har hundrevis av innstillingene som er konfigurert, med motstridende innstillinger på ett GPO overskriver de av en annen GPO under behandlingen, da brukerne er sannsynlig å oppleve frustrerende påloggings forsinkelser-minst når brukere logger på første gang etter at du har konfigurert et stort antall innstillinger i en GPO de behandler under pålogging. Men selv med hundrevis av innstillinger aktiveres eller deaktiveres i en GPO dette kan bare føre til at "Bruk av dine personlige innstillinger" boksen som skal vises i noen ekstra sekunder, og dermed legge til bare noen få sekunder til en pålogging prosess som vanligvis tar noen sekunder uansett , så selv å ha mange GPOer med massevis av innstillinger konfigurert vil ikke alltid trekke ire av brukerne og føre dem til å klage på at "nettverket sikkert virker treg i dag" og så videre.

Det som er enda viktigere enn antall GPOer behandlet under oppstart /pålogging og antallet innstillinger konfigurert i disse GPOer er hva innstillingene i de GPOer er designet for å gjøre. For eksempel, hvis du konfigurerer en ny Mappeomadressering innstillingen deretter brukere målrettet av denne innstillingen kan oppleve en initiell forsinkelse som sine mapper blir omdirigert til en filserver i nettverket. Eller hvis du tilordne programvare ved hjelp av en GPO vil brukerne oppleve en oppstart forsinkelse som det nye programmet er installert. Men enkle sikkerhetsinnstillinger eller låsing innstillinger stasjonære vanligvis ikke føre til overdreven oppstart eller pålogging forsinkelser for brukerne.

Andre Ytelsestips

En annen ting som kan påvirke starte eller logge tid er størrelsen på de GPOer blir behandlet. Etter størrelsen på et GPO, jeg mener antallet og størrelsen på de administrative maler (ADM-filer) du har importert til dine GPOer. For eksempel, hvis du klarer Microsoft Office bruker Group Policy så du har importert noen av kontor ADM-filene inn i dine GPOer, og dette kan i betydelig grad øke størrelsen på GPOer og dermed tiden det tar Windows til å behandle dem på klientmaskiner . Så moralen her er, bare importere slike ekstra ADM-filene inn GPOer som er rettet mot brukere og datamaskiner som faktisk trenger disse innstillingene. Dette gjelder spesielt for håndtering av bruker og datamaskin innstillinger eksternt over en langsom WAN-kobling, som noen måte du kan minimere mengden av Group Policy prosessen kan du oppnå over WAN kan definitivt bidra eksterne brukere unngå frustrerende forsinkelser.

En annen ytelse tips som kan få fart på Group Policy behandlingen er å deaktivere enten bruker eller datamaskin del av en GPO hvis denne delen ikke er nødvendig under behandlingen. For eksempel, hvis en GPO er knyttet til en OU som bare inneholder datamaskinkontoer og ingen brukerkontoer, så er det ingen grunn for bruker del av det GPO må være aktivert siden ingen innstillinger er konfigurert i den delen vil bli behandlet av datamaskinkontoer uansett. Tilsvarende vil en GPO er knyttet til en OU som bare inneholder brukerkontoer og ingen datamaskin kontoer, er det ingen grunn for Computer del av det GPO må være aktivert siden ingen innstillinger er konfigurert i den delen vil bli behandlet av brukerkontoer. For å deaktivere User eller Computer del av en GPO, gjør du følgende:

  • Åpne Group Policy Management Console (se denne artikkelen på WindowsSecurity.com for mer info) og utvide domenet node til du finner linken GPO for GPO.
  • Velg kategorien Detaljer i den høyre ruten.
  • Klikk på GPO Status drop-down boksen og velg om du vil deaktivere bruker eller datamaskininnstillingene deretter (se figur 1).


    Figur 1: Deaktivere bruker del av en GPO som er rettet kun datamaskinkontoer

    Et annet tips for å optimalisere Group Policy behandling er dette: bruke WMI filtrerer judiciously. Det jeg mener er dette: WMI filtre er et kraftig verktøy som lar deg målrette Group Policy til svært spesifikke ting. For eksempel kan du lage en WMI filter som ville gjelde en viss GPO bare til de datamaskiner som kjører en Pentium III-prosessor, som har 256 MB RAM eller mindre, og så videre. Mens WMI filtre gjør det mulig å være utrolig bestemt på hvordan du målrette politikken, bør du innse at du utfører en WMI filter mot en samling av eksterne maskiner kan ta en betydelig mengde tid, så det er best å unngå å bruke denne avanserte funksjonen av Group Policy med mindre du har noen helt overbevisende grunn til å gjøre det.

    Til slutt, hvis din klient maskinene kjører Windows XP Professional deretter som standard de har rask pålogging Optimization aktivert (med mindre du bruker roaming brukerprofiler i så fall dette funksjonen er deaktivert). Rask pålogging optimalisering gjør oppstart /pålogging behandlingen av Group Policy oppfører seg akkurat på samme måte som bakgrunn oppdatering av Group Policy skjer, med andre ord, asynkront. Resultatet av å ha rask pålogging Optimization aktivert på Windows XP-datamaskiner er at brukere skal kunne logge seg på sine datamaskiner før Group Policy er ferdigbehandlet. Grunnen til at denne funksjonen ble introdusert i XP var å løse problemet med lange forsinkelser brukere ofte opplevd når de logget seg på sin Windows 2000 Professional. Disse forsinkelsene ble forårsaket av det faktum at Windows 2000 behandlet Group Policy i en synkron mote under oppstart /pålogging, noe som medførte at behandlingen av maskin politikken måtte fullføre før påloggingsskjermen ble vist og behandling av brukerpolicy måtte være ferdig før brukerens desktop dukket opp.

    Dessverre, mens optimalisering av rask pålogging hastigheter tiden det tar for en bruker for å nå sine desktop fra å starte maskinen sin, kan det ha noen negative bivirkninger. Mest åpenbart, hvis en bruker kommer til skrivebordet før politikken er ferdigbehandlet, kan de være i stand til å raskt gjøre visse ting som politikken ble utformet for å forebygge. For eksempel kan du har aktivert en politikk for å hindre at brukere får tilgang til Kontrollpanel, men hvis det policyen brukes i noen sekunder etter at skrivebordet vises, kan de ha en kort vindu der de er i stand til å få tilgang til deres Kontrollpanel, hvilken type av Tap hele hensikten med politikken, ikke sant? Så mens optimalisering av rask pålogging kan ha en stor effekt på fartsovertredelse Group Policy behandling, kan det også innføre en sikkerhetsrisiko i skrivebordsmiljøet ved å gi brukerne en mulighet til å utføre handlinger som du ikke ønsker dem til å utføre. For mer informasjon om denne funksjonen, og hvordan du kan deaktivere den hvis det er ønskelig, kan du se denne artikkelen i Microsoft Knowledge Base.