服务器技巧之优化活动目录组策略


  组策略是你活动目录基础设施中用于管理所有计算机和用户对象的神奇工具,但是它在减少林中某些机器的整体响应上名声很不好,这有时是公平的,有时并不公平。
  
  好好看看下面的五大技巧,只需小量的性能开销,你一定能得到组策略的管理好处。
  
  1.承认你遇到了问题。微软方面表示:“客户端计算机和其它域成员的启动和登录时间直接与必须处理的GPO数量成比例。”如果你有很多组策略对象(GPO)需要在机器启动或用户登录时处理,逻辑上来说,你在这两点之一或全部两点上会遇到瓶颈。虽然GPO本身非常小,如果你在各点上只用两种设置这种影响会最小化(下文中将提到其它技巧),但是你拥有的GPO越多,通过该列表分类所需的时间就越长。
  
  2.限制网络密集型组策略对象设置。进一步行动,尽管处理时间直接按每个GPO配置的独立设置量成比例增加。虽然桌面设置或IE策略等相对简单的配置可能不会花太长时间,但是软件部署策略的文件夹重定向等严重依赖网络的选项可能会花很长时间,并且确实会让你的用户感到气愤。他们还会在高峰时间(刚上班时、午餐时间较短但仍然很显着的波动,快下班时)在网络上遇到瓶颈,然后你企业所有的地理位置都会遇到相同的情况。
  
  3.将你的GPO分离成计算机和用户GPO,然后关闭策略中没有用到的部分。一个既提高了性能又减少了管理困惑的最佳实践是针对将应用到计算机的设置创建单独的GPO,针对用户创建另外的一些单独GPO.然后,一旦你已经配置了合适的设置,关闭每个GPO上未使用的部分。例如,如果你有一个GPO设置一个启动脚本,关闭该策略的用户部分。而在登录脚本GPO上,关闭计算机部分。用这种方式,Windows简单地略过了余下的选择,减少了复制网络上的网络流量传输GPO.
  
  4.抵制用Windows管理规范(WMI)的组策略过滤功能走极端的诱惑。通过使用WMI过滤器,你可以动态地应用某些GPO到那些符合你用WMI查询设置标准的计算机或用户。面向某些应用或计算机里的这类能力对管理员很有吸引力,但是你应该知道WMI不是一种非常高效的语言,特别是当你有多个其它GPO企图同时应用自身(如,启动)时,WMI过滤器可能要花很长时间来处理。所以,尝试着只在它们绝对必要时使用WMI过滤。在别一种情况中,为特定的组织单元考虑连接GPO,在活动目录里根据目标对旬所在的AD等级限制这些设置的范围。
  
  5.实现快速登录优化。从Windows XP开始,微软就包含了Windows客户端同时处理机器和用户策略的能力,在Windows2000中,这些策略按顺序应用,在一个设置完成前不能开始另一项设置。快速登录优化(FLO)改变了这个公式,但是这也是有代价的:你会发现那些在策略完成应用前到达桌面的用户有一个时间窗口,在这期间他们可以进行那些你尝试保护的事情。它也让应用新策略有些风险,因为它可能需要在新策略到达客户端之前占用三次重启(或三次登录)。FLO功能还大大提高了企业环境中的性能,这笔交易是值得的。