組策略是你活動目錄基礎設施中用于管理所有計算機和用戶對象的神奇工具,但是它在減少林中某些機器的整體響應上名聲很不好,這有時是公平的,有時并不公平。
好好看看下面的五大技巧,只需小量的性能開銷,你一定能得到組策略的管理好處。
1.承認你遇到了問題。微軟方面表示:“客戶端計算機和其它域成員的啟動和登錄時間直接與必須處理的GPO數量成比例。”如果你有很多組策略對象(GPO)需要在機器啟動或用戶登錄時處理,邏輯上來說,你在這兩點之一或全部兩點上會遇到瓶頸。雖然GPO本身非常小,如果你在各點上只用兩種設置這種影響會最小化(下文中將提到其它技巧),但是你擁有的GPO越多,通過該列表分類所需的時間就越長。
2.限制網絡密集型組策略對象設置。進一步行動,盡管處理時間直接按每個GPO配置的獨立設置量成比例增加。雖然桌面設置或IE策略等相對簡單的配置可能不會花太長時間,但是軟件部署策略的文件夾重定向等嚴重依賴網絡的選項可能會花很長時間,并且確實會讓你的用戶感到氣憤。他們還會在高峰時間(剛上班時、午餐時間較短但仍然很顯著的波動,快下班時)在網絡上遇到瓶頸,然后你企業所有的地理位置都會遇到相同的情況。
3.將你的GPO分離成計算機和用戶GPO,然后關閉策略中沒有用到的部分。一個既提高了性能又減少了管理困惑的最佳實踐是針對將應用到計算機的設置創建單獨的GPO,針對用戶創建另外的一些單獨GPO.然后,一旦你已經配置了合適的設置,關閉每個GPO上未使用的部分。例如,如果你有一個GPO設置一個啟動腳本,關閉該策略的用戶部分。而在登錄腳本GPO上,關閉計算機部分。用這種方式,Windows簡單地略過了余下的選擇,減少了復制網絡上的網絡流量傳輸GPO。
4.抵制用Windows管理規范(WMI)的組策略過濾功能走極端的誘惑。通過使用WMI過濾器,你可以動態地應用某些GPO到那些符合你用WMI查詢設置標準的計算機或用戶。面向某些應用或計算機里的這類能力對管理員很有吸引力,但是你應該知道WMI不是一種非常高效的語言,特別是當你有多個其它GPO企圖同時應用自身(如,啟動)時,WMI過濾器可能要花很長時間來處理。所以,嘗試著只在它們絕對必要時使用WMI過濾。在別一種情況中,為特定的組織單元考慮連接GPO,在活動目錄里根據目標對旬所在的AD等級限制這些設置的范圍。
5.實現快速登錄優化。從Windows XP開始,微軟就包含了Windows客戶端同時處理機器和用戶策略的能力,在Windows2000中,這些策略按順序應用,在一個設置完成前不能開始另一項設置。快速登錄優化(FLO)改變了這個公式,但是這也是有代價的:你會發現那些在策略完成應用前到達桌面的用戶有一個時間窗口,在這期間他們可以進行那些你嘗試保護的事情。它也讓應用新策略有些風險,因為它可能需要在新策略到達客戶端之前占用三次重啟(或三次登錄)。FLO功能還大大提高了企業環境中的性能,這筆交易是值得的。
京公網安備 11010502049343號