GPO:Performanceverbesserung durch Deaktivierung der Computer oder Benutzereinstellungen?

[NilsK 3.046]

Moin,

 

es sagt ja auch niemand, dass man es nicht machen soll. Der vermutete Effekt für die Performance lässt sich nur eben nicht belegen.

Den Sinn sehe ich eher in der Doku und Zuordnung: Ist ein Teil deaktiviert, dann kann da nichts (Wirksames) drinstehen.

 

Gruß, Nils

bearbeitet 4. August 2016 von NilsK

[NorbertFe 2.283]

Ich hab grad mal Mark gefragt, weil ich mich dunkel an ein recht ausführliches Dokument erinnern konnte. ;)

http://matthiaswolf.blogspot.de/2013/05/der-groe-group-policy-troubleshooting.html und auch die beiden anderen Artikel davor.

 

Soweit ich mich erinnere, ist eher höhere Performance zu erzielen, wenn man beim CSEs Processing optimiert. Nur kann das schnell unübersichtlich werden, wenn man damit in einer bestehenden Umgebung startet. ;)

Das Deaktivieren nicht benötigter GPO Teile ist als Best-Practise aber trotzdem in Ordnung, wenn man weiß was man tut. ;)

 

Bye

Norbert

bearbeitet 4. August 2016 von NorbertFe

[daabm 1.431]

Ich korrigiere mal ein paar Aussagen hier... (Auch wenn der Fred schon beantwortet ist)

 

1. Client sended "give me GPOs" an den Server

2. Server liefert eine Liste aller verknüpften GPOs im Scope of Management an den Client zurück (alle!)

3. Client versucht von jedem GPO den GPC zu lesen (also den AD-Teil)

4. Client kriegt für alle GPCs ohne LEserechte gleich eins auf die Finger

5. Client wertet "Flags" des GPC aus - User/COmputer aktiviert?

6. Client wertet gPCUserExtensionNames oder gPCMachineExtensionNames aus - sind Settings vorhanden?

Und den Computerteil zu deaktivieren, erspart einem exakt diesen Schritt. Da der GPC aber ein AD-Objekt mit Attributen ist, das "im Ganzen" gelesen wird, ist der Performance-Unterschied definitiv "Null".

7. DACL auswerten - ist "Apply" dabei?

8. WMI-Filter - wenn vorhanden - wahr?

9. Inhalte lesen - jetzt kommt der erste Sysvol-Zugriff...

 

Einziger Vorteil: Wenn ich den ungenutzten Teil deaktiviere, passiert nicht so viel, falls meine GPO mal wo wirkt, wo sie nicht sollte (Stichwort "Computer-GPOs mit vergessenen User-Settings, und jetzt aktiviere ich Loopback"...)

 

Das CSE-Processing zu optimieren bringt in der Tat sehr viel mehr - es ist kontraproduktiv, z.B. GPP Registry über 100 GPOs zu verteilen, weil dann 100 registry.xml gelesen werden müssen. Besser alles in eine einzige GPO (= 1 registry.xml) packen und den Rest über ILT erledigen.

 

Und die meisten Performance-Verbesserungen findet man i.d.R. ohnehin bei WMI-Filtern und synchronen Skripts.

http://evilgpo.blogspot.de/2014/11/wmi-filter-queries-and-thoughts-on.html

 

Noch Fragen? Dann fragen! :-)

 

Edit: Bei der genauen Reihenfolge von 5/6/7 bin ich mir nicht sicher - kann auch sein, daß 7 vor 5/6 kommt. Aber 5/6 stimmt auf jeden Fall.

bearbeitet 4. August 2016 von daabm