Příliš dlouhý test GPO při startu počítače
Dotaz
Všechny reakce
-
Dobrý den.
ad "Znamena to, ze system nejakou dobu fungoval a ted prestal fungovat jako predtim?"
Neznamená. Není to skoková změna. Já u svého počítače (W7 a poměrně výkonným HW) jsem ten problém zatím nezaznamenal. Přesněji nevšiml jsem si že by se to u mě někdy stalo. Občas si ale někteří uživatele na stěžovali, že se jim prodlužuje start PC. Opět si dovolím zdůraznit slovo někteří. Protože to byli z větší části ti z kategorie "věčně nespokojení" nebo ti, kteří mají pomalejší HW (nejslabší jeu nás Celeron 3.06 GHz, popřípadě Athlon X2 3800+ s 1 GB RAM), tak jsem to přičítal kombinaci obou těchto faktorů. Jedná se výhradně o kancelářské počítače.
Teď se mi ale dostaly 2 takovéto počítače na stůl k reinstalaci v době nemoci uživatelů. Oba počítače s XP a oba po cca 3 letech od předchozí instalace. Nová instalace byla provedena, všechny politiky i update přes WSUS aplikované. Protože jsem nemusel spěchat, tak jsem ty počítače měl pár dní u sebe a několikkrát za den (2x až 3x) je vypnul a zapnul. Přes menu, ne násilně. A přitom jsem zjistil, že mají pravdu. Skutečně po některém novém spuštění trvá uvedené operace Nastavení počítače i několik minut. Jindy to trvá jen chvilu. Nejsou to desítky minut spíše to trvá do těch cca 5 minut. Těch 10 minut to určitě není. Žádná změna v GPO přitom provedena nebyla.
V eventlogu na PC žádná chyba vypsaná není. "Jen" to trvá někdy dlouho.
Konfigurace AD - jsem strom, který je součástí velkého lesa a jsem tak až v doméně 5. řádu. Ke konfiguraci DNS nejsem schopen nic konkrétního sdělit. Ne, že bych nechtěl, ale nevím co. Nekonfiguji to. Stejně tak nekonfigujuji strukturu AD. Obojí je dané a je spravované z centra.
V rámci politik instaluji všechny programy, které se u nás používají a které takto instalovat přes msi balíčky lze. Mimo to politikami distribuuji certifikáty, nastavuji správu přihlašování do domény, chování MSIE, práva k adresářům atd. Viz přiložený obrázek. Mám za to, že nic neobvyklého.
Možná co je neobvyklé je to, že při nové verzi instalovaných programů nepoužívám jejich aktualizace v rámci balíčků, ale starou verzi odeberu ze správy (je zaškrtnuto odebrat je-li mimo obor správy) a pro novou verzi vytvořím vždy novou politiku a po nějaké době (měsíc, dva) původní politiku se starou verzí vymažu. Takto to dělám po tom, co se půvovodní systém aktualizací stal před pár roky poměrně nepřehledným.
Pro filtrování používám authenticated users u instalace SW, popřípadě bezpečnostní skupiny nebo v kombinaci s filtrováním přes WMI. Plus zákaz konfigurace u HW nebo uživatele v případě, že se daná politika HW nebo uživatelů netýká.
Že opisovat nebudete vím, není co. :-) Lehkou konspiraci mi vzhledem k tomu, že jsem až v té doméně 5. řádu mi prosím odpusťte.
Ještě doplním, že nepoužíváme cestovní profily uživatelů a používáme jen neveřejné pevné IP adresy a DHCP se neuplatní.
Ještě mě teď napadla jedna věc. Cca před 1/2 rokem jsem začal pro správu GPO používat mimo gpmc.msc přímo na serveru 2003 také Group Policy and AD Tools on Windows 7. Takže část politik je vytvořená a spravovaná přes tuto verzi. Jestli to ale začalo až s používáním tohoto SW nejsem schopen říct.
Závěrem se omlouvám, za dlouhý příspěvek.
