none
Wie lange dauert die Ausführung von GPOs? RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo ...

    Bei uns entbrennt immer mal wieder eine Diskusion darüber, daß wir die Anzahl der GPOs möglichst verringern, um den Benutzern die Anmeldezeit nicht zu lang werden zu lassen. Nun bin ich kein Freund von Pauschalisierungen und kann mich an diesen Diskussionen nicht so recht beteiligen ohne zu wissen, von welchen Größenordungen wir überhaupt reden.

    Kurz und gut... wir haben derzeit 88 GPOs die auf den Computern mehr oder weniger angewendet werden. Ich persönlich denke auch, daß 88 GPOs nicht wirklich viel sind. Wir haben ca. 250 PCs mit ca. ebenso vielen Nutzern. Geregelt werden allgemeine Windows- und Programmeinstellung für Clients, Server und Benutzer sowie auch die Verteilung der Netzwerkdrucker.

    Gibt es irgendeine Möglichkeit bzw. ein Tool, welches die Ausführung der GPOs auf dem Rechner protokolliert? Benötigt wird eigentlich nur die Bezeichnung und die tatsächliche Dauer des gerade ausgeführten GPO.

    Donnerstag, 17. November 2011 09:43
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    >Gibt es irgendeine Möglichkeit bzw. ein Tool, welches die Ausführung der GPOs auf dem Rechner protokolliert? Benötigt wird eigentlich >nur die Bezeichnung und die tatsächliche Dauer des gerade ausgeführten GPO.

    Ja. Wenn du Windows 7 oder Vista verwendest, hast du das Logging in den Anwendungs- und Dienstprotokollen.
    (.. GroupPolicy).

    Filtere dort einmal nach Event-ID 5016.
    Nun hast du die einzelnen Zeit für die verschiedenen CSE's.

    Du kannst alternativ auch das Logging des gpsvc aktivieren:
    http://blogs.technet.com/b/deds/archive/2010/01/12/group-policy-debug-logging-gpsvc-log-in-windows-7-und-server-2008-r2.aspx

    >Kurz und gut... wir haben derzeit 88 GPOs die auf den Computern mehr oder weniger angewendet werden.

    Wenn auf jedem Rechner 88 Policies angewandt werden, so ist dies bei einer Umgebung von "nur" 250 Clients schon relativ viel.

    Um den gesamten Vorgang zu beschleunigen, deaktiviert man normalerweise die Teile der GPOs in denen keine Einstellungen hinterlegt sind.

    z.B. GPOxyz die nur Benutzereinstellungen enthält => Computereinstellungen deaktvieren.
    Dann müssen vom Client schon einmal nicht die Computereinstellungen der GPO durchsucht werden.

    Allerdings musst du natürlich etwas aufpassen, wenn du irgendwann doch Settings in den Computereinstellungen hinterlegst, musst du diese wieder aktivieren.

    MVP - Group Policy http://matthiaswolf.blogspot.com/
    Donnerstag, 17. November 2011 11:10
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    > Du kannst alternativ auch das Logging des gpsvc aktivieren:
     
    Das Log kannst Du mit
    analysieren. Bestes Tool, was es für GPO-Performanceanalyse als Einstieg
    gibt.
     
    Da siehst Du auch detailliert, wie lange das Ermitteln der anwendbaren
    GPOs und später das Anwenden (Ausführen der CSEs) dauert.
     
    > Um den gesamten Vorgang zu beschleunigen, deaktiviert man normalerweise
    > die Teile der GPOs in denen keine Einstellungen hinterlegt sind.
     
    Schneller geht's mit nem geeigneten Security Filter ("Domain Users" bzw.
    "Domain Computers").
     
    Oder - noch schneller - man schiebt Computer und User in getrennte OUs
    (an denen dann GPOs verlinkt werden), damit ein Computer gar nicht erst
    in Benutzer-GPOs reinschauen muß (vice versa), weil sie in der Domain
    SOM List gar nicht mehr auftauchen.
     
    BTW: Ich finde 88 GPOs reichlich viel für nur 250 Clients. Schneller
    geht's auf jeden Fall, wenn Du alle Settings, die eh jeder kriegt, in
    eine einzige große Policy steckst.
     
    Noch paar Tips zur Beschleunigung: Vermeide WMI-Filter, wenn irgend
    möglich. Verwende so wenige CSEs wie möglich bzw. nur so viele wie
    nötig. Vermeide die Verwendung der GPP "Dateien" (wird synchron im
    Vordergrund verarbeitet), nimm stattdessen GPO-Skripte, die Du auf
    "asynchron" (Computerstart) bzw. "gleichzeitig" (Logon) konfigurierst.
    Verteile keine Favoriten über die IE-Wartung, befülle die
    Favoriten-Ordner lieber per Skript (Logon). Verteile keine MSI-Pakete
    über GPOs, sondern nutze ein steuerbares Verfahren (SCE oder SCCM).
    Verwende keine servergespeicherten Profile. Steck nicht alles an
    Konfigurationseinstellungen in GPOs - alles, was nur einmal gemacht
    werden muss, sollte auch nur einmal gemacht werden.
     
    mfg Martin
     
    A bissle "Experience", a bissle GMV...
    Donnerstag, 17. November 2011 12:15
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden
    >Schneller geht's mit nem geeigneten Security Filter ("Domain Users" bzw.
    >"Domain Computers").
     
    Leider wurde der neue Artikel noch nicht veröffentlicht.
     
    >Oder - noch schneller - man schiebt Computer und User in getrennte OUs
     
    Das ist ohnehin sinnvoll.
    >nimm stattdessen GPO-Skripte, die Du auf
    >"asynchron" (Computerstart) bzw. "gleichzeitig" (Logon) konfigurierst.
     
    Is leider wieder so ein Übersetzungsproblem.
     
    Startscript asynchron = gleichzeitige Ausführung
    Logonscripts gleichzeitig = Scripte werden nacheinander ausgeführt = nicht gleichzeitig
    MVP - Group Policy http://matthiaswolf.blogspot.com/


    Donnerstag, 17. November 2011 12:52
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Am 17.11.2011 10:43, schrieb Rainer Krause:

    daß wir die Anzahl der GPOs möglichst verringern, um den Benutzern die Anmeldezeit nicht zu lang werden zu lassen.

    Pauschal kann man sagen: Es ist nicht die Summe der Richtlinie, sondern
    deren Inhalt.

    Was helfen dir 3 Richtlinien, wenn in einer eine 100MB Datei kopiert
    wird? Aber schau dir das Logging an.

    Mit der "Summe" der GPOs hatte bis jetzt in keiner Umgebung Probleme.

    Tschö
    Mark

    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage:       www.gruppenrichtlinien.de - deutsch
    GPO Tool:       www.reg2xml.com - Registry Export File Converter
    NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

    Donnerstag, 17. November 2011 20:06
    |
  • Question
    Anmelden
    0
    Anmelden
    Danke für die Hinweise... Viele der Dinge, z.B. das deaktivieren der Benutzer- oder Computerkonfiguration, haben wir bereits so eingerichtet. Diverse Einstellungen lassen sich sicher noch zusammenfassen. Aber daß 88 GPOs schon recht viele sind, hätte ich nun nicht gedacht. Das Tool sah auf den ersten Blich schonmal vielversprechend aus. Ich werde es weiter verfolgen... Danke...
    Dienstag, 22. November 2011 11:09
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    mal unabhängig von der Abarbeitungszeit der GPOs, versuche allein schon aus deinem
    Interesse als Administrator, die Anzahl der GPOs so gering wie möglich zu halten.

    Es gibt zwar viele Tools die dir helfen die Richtlinie zu finden in der sich die betreffende Einstellung befindet,
    jedoch kann es (vor allem in größeren Umgebungen) sehr undurchsichtig werden.

    Ein Ansatz ist zum Beispiel das Anlegen nach CSE und nicht nach Einstellung der GPO.

    Beispiel:
    Du hast 5 Policies die File- bzw. Registry Berechtigungen setzen:

    - GPO-App1
    - GPO-App2
    - GPO-App3
    - GPO-App4
    - GPO-App5

    Wenn möglich warum also nicht eine GPO erstellen:

    - GPO-ACLs (oder was auch immer).

    Das das leider nicht immer möglich ist, ist klar.

    MVP - Group Policy http://matthiaswolf.blogspot.com/

    Dienstag, 22. November 2011 12:17
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    hast Du das Problem gelöst? Kannst Du bitte auch die Antworten markieren, die Dir geholfen haben?

    Gruss,
    Raul

    Mittwoch, 30. November 2011 10:10
    |