我刚刚开始处理现有的 2003/AD 域,其中用户抱怨 XP 客户端启动后到达登录提示所需的时间(大约 4 分钟)。
到目前为止,我还没有深入研究过这个问题,但有一件事我注意到了,那就是有大约 150 个 GPO。其中大部分可以通过手动检查并将几个合并为一个来减少。到目前为止,看起来我可以用大约 30 个 GPO 实现相同的结果。幸运的是,GPO 都有很好的记录。
我进行的一些 wireshark 跟踪似乎显示每个客户端在启动时(或在组策略刷新时)检查 sysvol 共享中每个 gpo 中每个文件的时间戳。这大约需要 25 秒。
我相当肯定还有其他因素导致客户端启动时间过长,但总的来说,将 GPO 数量保持在最低限度是否值得?
答案1
组策略及其应用是一个复杂的话题。在假设组策略是启动/登录时间缓慢的原因之前,我的建议是,在开始进行组策略更改之前,先验证您的基础架构是否已配置并正常运行。您可能走在正确的轨道上,但在您有证据证明之前,切勿对问题的原因做出任何假设。
DNS 是否正常运行?客户端计算机的 DNS 设置是否配置正确。
域控制器的位置是否正确?您是否有多个 AD 站点?如果有,是否在 ADS&S 中设置了相应的子网?域控制器是否位于正确的站点中?
您是否针对计算机/用户运行过 gpresults 来验证正在应用的 GPO 的管理范围?
我会在其中一台客户端计算机上启用用户环境调试日志并查看日志。这至少会显示该计算机/用户的 GP 处理何时开始和结束。
以下两篇文章可能会有所帮助:
http://blogs.technet.com/b/ad/archive/2007/08/20/tracking-user-environment-creation.aspx
http://technet.microsoft.com/en-us/library/cc784268(WS.10).aspx
答案2
是的,GPO 越多,启动和/或登录过程所需的时间就越长。您的思路是对的。尽量减少这种情况,然后找出下一个影响因素并修复它,直到您和您的用户都满意为止。
答案3
作为一种良好做法,您应该拥有自己的策略,并为每组连贯的偏好设置指定一个描述性名称。这样,您可以保留更好的可维护性(例如,您可以精细地禁用和重新启用单个策略,而无需突然更改一大堆彼此不相关的设置),并使您的文档工作更轻松。如果您的客户正在检查每一个组策略对象,您可能拥有一个相当扁平的 OU 结构,其中大多数客户端驻留在单个 OU 中,并且所有 GPO 都连接或继承到该 OU。
您可能会考虑将其划分为更分层的结构,这样客户端需要处理的策略就更少了。
还有一篇通用的性能优化文章发布为知识库 315418在 Microsoft 网站上。