GPO:Performanceverbesserung durch Deaktivierung der Computer oder Benutzereinstellungen?

[Knorkator 12]

Hallo zusammen,

 

in einem Beitrag zum Thema "Langsame Abarbeitung von Gruppenrichtlinien" wurde erwähnt, dass es sinnvoll sei, die Benutzer- oder Computerkonfiguration in der GPO zu deaktivieren wenn diese nicht benötigt würde.

Eine GPO in einer Computer-OU benötigt die Benutzerkonfiguration einer GPO ja nicht.

Zitat: Der Computer würde sich das durchsuchen der Benutzerkonfiguration dann sparen.

 

Bisher habe ich dies immer ignoriert... was meint Ihr dazu?

Deaktivieren oder nicht?

 

https://technet.microsoft.com/de-de/library/cc730760(v=ws.11).aspx

 

Vielen Dank im voraus.

[NilsK 2.792]

Moin,

 

wenn ich nicht ganz falsch liege, bringt das aus Sicht der Performance praktisch gar nichts. Was bei der GPO-Anwendung dauert, ist ja nicht das "Durchsuchen" einer Konfigurationsdatei - insbesondere nicht, wenn sie leer ist ... - sondern das Abarbeiten der vorhandenen Einstellungen.

 

Es gibt im Web eine ganze Reihe Untersuchungen und Videos dazu, u.a. von Helge Klein und von Mark Heitbrink.

 

Gruß, Nils

[lefg 276]

moin moin,

 

welcher Beitrag, wo steht das?

 

Sind denn die nicht nichtbenötigten, nichtkonfigurierten Gruppenrichtlinien nicht deaktiviert, also kein Eintrag?

 

Gibt es ein konkretes Preblem? Mit den Gruppenrichtlinien? Oder ist die wirkliche Ursache eine andere?

 

Meine bevorzugte Hauptverdächtige ist die Namensauflösung per DNS.

 

Und falls jemand meint, die GPO würden zu langsam abgearbeitet, dann liegt es wohl nicht an den GPOs, es liegt an etwas anderem, langsame Netzwerkberbindung, ausgelastete WAN-Verbindung et, so Server und PC leistungsfähig genug.

bearbeitet 3. August 2016 von lefg

[Knorkator 12]

@Nils: Danke für Deine Einschätzung dazu.

 

@lefg: Mir fiel das grad wieder ein und dachte.. frag ich mal nach.

Hab den Beitrag also grad nicht zu Hand und habe auch kein konkretes Problem.

Hätte ja sein können, dass dies für alle ein "Best-Practice" ist und ich es bisher verpennt habe.

:)

 

Danke

[lefg 276]

Falls überhaupt keine Gruppenrichtlinien benötigt, weder lokal noch zentral , kann der Dienst auf dem Client deaktivier werden, wie andere wirklich überflüssige Dienste auch. Dann kann man mal versuchen, ein Vorher/Nachher zu messen. Es gibt wohl jede Menge andere Dienste, die wesentlich mehr Ressource schlucken. Ich denke mal an den Computerbrowser,  Designs, Serverdiesnt, Audio. Nötig kann sowas sein aus meiner Erfahrung bei schwachbrüstigen Geräten. Ob das aber wirklich etwas einbringt bei Virenscannern mit zwei Engines auf dem Client? Eigentlich ist eine Speicheraufrüstung sinnvoller.

bearbeitet 3. August 2016 von lefg

[NilsK 2.792]

Moin,

 

der TO hat doch gar kein Problem. Er wollte die Frage nur abstrakt klären.

 

Gruß, Nils

[lefg 276]

Moin Nils,

 

ich konnte nicht anders. :)

[Knorkator 12]

Falls es jemanden Interessiert.. am Ende des Artikels wird die Geschwindigkeit gemessen... kann also vernachlässigt werden sowie Nils geschrieben hat.

https://helgeklein.com/blog/2015/12/how-group-policy-impacts-logon-performance-2-internals/

[blub 115]

Hallo,

 

Soweit ich die GPO Verarbeitung verstehe:

 

- Jeder Client/ User frägt per LDAP einen DC nach den für ihn passende Policies

- Der DC sendet eine Liste mit LDAP an zugewiesenen GPOs wieder an den Client/ User zurück

- Der Client/ User holt sich die ihm zugewiesenen GPOs vom Sysvol des DCs über SMB

- Abschließend werden die GPOs lokal am Client verarbeitet und auch gecached.

 

Pro aktiver, angewendeter GPO  geht bei jeder Aktualisierung extra LDAP und SMB Traffik zwischen Client und DC hin-und her. Caching verringert den Traffik sicherlich.

Bei wenigen User/ Clients und Policies macht das Deaktivieren von GPOs sicher nicht viel aus, aber bei vielen GPOs und vielen Clients und vielen Usern multipliziert sich der LDAP/ SMB Traffic. Wenn eine Policy z.B. keinen Userteil enthält, kann/ sollte man sich diesen damit überflüssigen Prozess für diese GPO mit einem einfachen Mausklick zum Deaktivieren der Userobjekte sparen.

Zumindest meine abstrakte Meinung :)

 

blub

[NilsK 2.792]

Moin,

 

soweit die Theorie. Schau dir mal den verlinkten Artikel von Helge Klein an, der einschlägige Teil ist ganz am Ende. Ins Gewicht fällt das nicht. Und 40 zu verarbeitende Policies dürften kaum irgendwo in größerem Stil anzutreffen sein.

 

Was dauert, ist die Verarbeitung. Nicht das Abholen und Auswerten.

 

Gruß, Nils

[blub 115]

ich seh's genau andersrum:

Die lokale Verarbeitungsgeschwindigkeit eines leeren Policyteils und eines disabled Policyteils wird exakt gleich sein. Beide male nahe 0. Die 0,35s Zeitdifferenz auf der Website schiebe ich auf Messungenauigkeit.

Ob eine Policy gar nicht, oder eben (unnötigerweise) komplett vom Client bzw. User abgeholt werden muss, das hingegen macht einen Unterschied. Ob User den Unterschied merken, hängt aber von vielen Faktoren ab: Je dünner die Leitungen, je älter die Hardware und Betriebssysteme, je größer die Policies, je mehr User und Clients, je weniger DCs, umso eher wird ein nicht optimiertes GPO-Management ins Gewicht fallen.

 

aber wiegesagt: abstrakte Theorie . Ich habe jetzt auch keine Lust oder Bedarf hierzu selbst Messungen anzuwerfen.

[NilsK 2.792]

Moin,

 

nein. Der Aufwand, den DC zu nach dem GPO zu fragen, ist in beiden Fällen gleich. Einmal gibt es die Antwort "hier findest du es", einmal "steht nix drin". Solange dann ein Teil des GPO aktiv ist, muss der Client es herunterladen, also auch nichts gespart.

 

Gruß, Nils

[P-a-x-i 12]

Servus,

 

ich deaktivere die nicht vorhandenen/gesetzten Einstellungen auch, vielleicht auch aus dem Grund, "mache ich schon immer so" :)

 

Bei uns könnte das evtl. sogar was bringen, da wir teilweise nicht sternförmig die Gebäude verkabelt haben, sondern sehr oft von Gebäude zu Gebäude wandern.

Hier sind mitunter lange Wege von einem entfernten Client zum Server vorhanden. Dazu kommt, dass bei uns sehr oft zwischen 60 und 100 Clients nahezu "gleichzeitig" eingeschalten werden.

 

Ich rücke von meiner Vorgehensweise jedenfalls nicht ab, auch wenn der Hinweis von Nils was anderes sagt :D

[Knorkator 12]

@P-a-x-i: Schaden kann es jedenfalls nicht..

:)

[lefg 276]

 

Bei uns könnte das evtl. sogar was bringen, da wir teilweise nicht sternförmig die Gebäude verkabelt haben, sondern sehr oft von Gebäude zu Gebäude wandern.

Hier sind mitunter lange Wege von einem entfernten Client zum Server vorhanden. Dazu kommt, dass bei uns sehr oft zwischen 60 und 100 Clients nahezu "gleichzeitig" eingeschalten werden.

 

Falls es ein echtes Problem gäbe ich schaute mir die Ethernerinfrastruktur mal genau an.