Я только что начал работу над существующим доменом 2003 / AD, где пользователи жалуются на количество времени, которое требуется клиенту XP, чтобы добраться до приглашения входа в систему после загрузки (около 4 минут).
Я пока особо не разбирался в этом, но заметил одну вещь: существует около 150 объектов групповой политики. Большинство из них можно уменьшить, пройдя вручную и объединив несколько в один. Похоже, что я смог добиться того же результата с помощью примерно 30 объектов групповой политики. К счастью, объекты групповой политики хорошо документированы.
Некоторые трассировки wirehark, которые я сделал, похоже, показывают, что каждый клиент проверяет метку времени в каждом файле в каждом gpo в общей папке sysvol при загрузке (или при обновлении групповой политики). Это занимает около 25 секунд.
Я почти уверен, что есть и другие факторы, которые способствуют длительному времени загрузки клиентов, но в целом стоит ли сводить количество GPO к минимуму?
Групповая политика и ее применение - сложная тема. Перед тем, как сделать предположение, что групповая политика является причиной медленного времени запуска / входа в систему, я предлагаю проверить, что ваша инфраструктура настроена и работает правильно, прежде чем приступить к внесению изменений в групповую политику. Вероятно, вы на правильном пути, но никогда не делайте никаких предположений о причине проблемы, пока не получите доказательства, подтверждающие ее.
DNS работает правильно? Правильно ли настроены клиентские компьютеры в соответствии с их настройками DNS.
Правильно ли расположены контроллеры домена? У вас более одного сайта AD, и если да, настроены ли соответствующие подсети в ADS & S? На правильном ли сайте находятся контроллеры домена?
Вы запускали gpresults на компьютере / пользователе, чтобы проверить объем управления применяемыми объектами групповой политики?
Я бы включил ведение журнала отладки пользовательской среды на одном из клиентских компьютеров и посмотрел журнал. По крайней мере, это покажет вам, когда обработка GP началась и закончилась для этого компьютера / пользователя.
Вот две статьи, которые могут помочь:
http://blogs.technet.com/b/ad/archive/2007/08/20/tracking-user-environment-creation.aspx
http://technet.microsoft.com/en-us/library/cc784268(WS.10).aspx
Рекомендуется иметь собственную политику с описательным именем для каждого согласованного набора предпочтений. Таким образом, вы сохраняете лучшую ремонтопригодность (например, вы можете детально отключать и повторно включать отдельные политики без внезапного изменения целой группы настроек, не связанных друг с другом) и упрощаете работу с документацией. Если ваши клиенты проверяют каждый объект групповой политики, у вас может быть довольно плоская структура OU с большинством ваших клиентов, проживающими в одном OU, и все GPO, подключенные или унаследованные в этом OU.
Вы можете рассмотреть возможность сегментирования этого в более иерархическую структуру, чтобы клиентам нужно было обрабатывать меньше политик.
Также есть общая статья по оптимизации производительности, опубликованная как KB 315418 на сайте Microsoft.
Да, чем больше GPO, тем больше времени займет процесс запуска и / или входа в систему. Вы на правильном пути. Сведите к минимуму это, а затем определите следующий фактор и исправьте его, пока вы и ваши пользователи не останетесь довольны.