我正在尝试分析哪些组策略延长了启动时间。最好的方法是什么?
像 gpresult 这样的包含时间戳/周期的东西确实很有帮助!
答案1
这里记录了一种技术:
如何在 Windows 7/2008 R2 上启用 GPO 日志记录
https://blogs.technet.com/b/csstwplatform/archive/2010/11/09/how-to-enable-gpo-logging-on-windows-7-2008-r2.aspx
它类似于 Windows XP/2003 中的用户环境调试日志。
单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。
找到并单击以下注册表子项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion
在编辑菜单上,指向新建,然后单击项。
键入 Diagnostics,然后按 ENTER。
右键单击“诊断”子项,指向“新建”,然后单击“DWORD 值”。
键入 GPSvcDebugLevel,然后按 ENTER。
右键单击 GPSvcDebugLevel ,然后单击 修改 。
在数值数据框中,键入 0x30002,然后单击确定。
退出注册表编辑器。
在命令提示符下,键入以下命令,然后按 ENTER:
gpupdate /force
查看以下文件夹中的 Gpsvc.log 文件:
%windir%\debug\用户模式
如果你想知道左边的十六进制数是什么,它们是线程 ID。
如果您有多个域控制器和一个分布式网络,请注意处理 GPO 的域控制器。从与执行身份验证的域控制器不同的域控制器或地球另一端的域控制器提取 GPO 并不罕见。
我还发现 Microsoft Network Monitor 3.4 提供了有用的信息。通常,您可以观察每个 GPO 的处理情况,并带有时间戳。
答案2
在 Windows 7 中,查看组策略各个方面的一个好方法是通过客户端的事件日志。
- 打开事件日志(从搜索/命令框中打开 eventvwr.exe)。
- 打开事件查看器(本地)
- 打开应用程序和服务日志
- 打开微软
- 打开窗户
- 打开 GroupPolicy 并单击 Operational
事件 4016 和 5016 显示策略组处理的开始和结束,包括在结束事件中应用每个策略所花费的时间。
事件 5312 显示将应用的策略,而 5317 显示明确过滤掉的策略。
事件 8000 和 8001 分别显示计算机启动和用户启动 GP 处理的总处理时间,而 8006 和 8007 显示临时/定期 GP 处理的总处理时间。