Jump to content
  • entries
    44
  • comments
    107
  • views
    4590

Βελτιστοποίηση των Group Policy Objects (GPO), για ελαχιστοποίηση της περιττής κίνησης στο δίκτυο LAN/WAN


GSimos

604 views

 Share

Control Panel

 

Συνήθως κανείς μας δεν δίνει τη δέουσα σημασία στα αντικείμενα Group Policy (GPO από εδώ και στο εξής), είναι πολύ σημαντικό όμως να έχουμε υπόψη ότι επηρεάζουν σε κάποιο βαθμό την ταχύτητα εισόδου του χρήστη στο σύστημα του ειδικά σε περιπτώσεις που συνδέονται με αργές συνδέσεις σε απομακρυσμένο DC, επίσης όταν ο δεύτερος έχει χαμηλό Uplink οπότε επέρχεται επιπλέον καθυστέρηση.

Τα βήματα για τη δημιουργία των GPO είναι:

1) Φόρτωμα των ADM, ADMX αρχείων στο PC που θα δημιουργήσει τις πολιτικές, από το οποίο θα ενημερωθεί και ο DC στον οποίο γίνονται οι προσθήκες με τα administrative templates που του λείπουν (στη συνέχεια θα γίνουν όλα replicate στους υπόλοιπους).*

2) Δημιουργία της πολιτικής, επεξεργασία για την επιλογή των ρυθμίσεων και έλεγχος της εφαρμογής της με τα σχετικά εργαλεία όπως το Resultant Set Of Policy (Group Policy Results) και το Group Policy Modeling Wizard.

3) Δημιουργία WMI Filters για τον περιορισμό της εφαρμογής της με συνθήκες (δείτε το σχετικό άρθρο μου εδώ)

4) Εναλλακτικά δημιουργία Security Filter για τον περιορισμό της εφαρμογής σε γκρουπ χρηστών (θα ακολουθήσει άρθρο μετά από αυτό!)

5) Σύνδεση (link) της πολιτικής με το/τα OUs που μας ενδιαφέρουν

Τα 3 & 4 είναι εντελώς προαιρετικά.

Τελειώσαμε!…………

Δεν τελειώσαμε όμως :)

Όταν έχουμε φορτώσει administrative templates στο σταθμό εργασίας που φτιάχνουμε τις πολιτικές, σε κάθε νέα πολιτική που δημιουργούμε προσαρτώνται αυτόματα τα παρακάτω administrative templates τα οποία υπάρχουν εξ ‘ορισμού στα λειτουργικά συστήματα Windows XP/2003/2000 SP3 εκτός από τα 64bit λειτουργικά από τα οποία λείπουν όσα έχουν το σταυρό (+):

Όνομα ADM

Περιγραφή

Μέγεθος

Conf.adm

+ NetMeeting Ρυθμίσεις, είδατε πως μπορεί να σας ξεγελάσει το όνομα!

40 ΚB

Inetres.adm

Internet Explorer

~ 1.7 MB

System.adm

System / Network / Desktop / Control Panel / Start Menu Ρυθμίσεις

> 1.7 MB

WMPlayer.adm

Windows Media Player

67 KB

Wuau.adm

+ Windows Update

43 KB

Όπως βλέπετε ένα GPO έχει περίπου 3.6 ΜΒ μέγεθος εξ’ ορισμού, φανταστείτε ότι αν έχετε τουλάχιστον δυο GPOs ενεργές σε OU με Clients απομακρυσμένους πχ σε υποκατάστημα, πόσο θα καθυστερήσουν να ξεκινήσουν, οι XP clients όταν συνδέονται με το AD ελέγχουν αν έχουν αλλάξει τα GPOs που τους αφορούν, ακόμη και με μια μικρή αλλαγή αυτό θα εννοηθεί ως πλήρης μεταφορά του GPO στον Client.

Οι XP Clients κάνουν ασύγχρονη επεξεργασία των GPOs αυτό δεν είναι πάντα επιθυμητό καθώς δε γνωρίζουμε πότε εφαρμόστηκαν οι ρυθμίσεις και τι κατάφερε να κάνει ο χρήστης στη διάρκεια της μη εφαρμογής τους περισσότερα μπορείτε να διαβάσετε εδώ πηγαίνοντας στο τέλος στο σημείο “Asynchronous Processing and Logon Optimization in Windows XP”.

Είναι λοιπόν καλή τακτική να αφαιρείτε όσα ADMs δεν χρειάζονται και καλό θα είναι να τα αφαιρείται πριν ξεκινήσετε να αλλάζετε ρυθμίσεις.

Για να αφαιρέσετε λοιπόν όποια templates δεν σας χρειάζονται κάνετε “Edit” στο GPO σας και μετά από τη δεξιά πλευρά είτε στο Computer Configuration είτε στο User Configuration κάντε δεξί κλικ στο “Administrative Templates”, και επιλέξτε “Add/Remove Templates” από τη λίστα αφαιρέστε αυτά που σας ενδιαφέρουν και είστε έτοιμοι!

Κάθε GPO έχει μια μοναδική ταυτότητα (Unique ID) σε δεκαεξαδική μορφή και περικλείεται σε αγκύλες, ένα παράδειγμα είναι αυτό: {16125B1D-4858-4460-AA70-FDA6AECCEF8A} την πληροφορία αυτή μπορείτε να την εντοπίσετε από τη Group Policy Management Console (GPMC) πατώντας πάνω στο GPO και έπειτα από την ετικέτα “Details”.

Όταν θελήσετε να δείτε το τελικό μέγεθος του GPO θα πρέπει να εντοπίσετε το φάκελο DriveLetter:\SYSVOL\sysvol\[domain.name]\Policies\{Unique-ID}\ ελέγξτε τα properties του φακελου με το Unique-ID και θα δείτε το τελικό μέγεθος του GPO, αν θέλετε να δείτε μόνο το μέγεθος των adm templates τότε κάτω από το Unique-ID υπάρχει ο φάκελος ADM δείτε τα properties του, προσέξτε στο path παραπάνω το δεύτερο sysvol φάκελο με μικρά γράμματα, αυτός πρέπει να είναι shared από Server και αυτό γίνεται κατά την εκτέλεση του DCPromo.

* Γενικά δεν είναι καλή ιδέα να φτιάχνετε τις πολιτικές στο Server (για λόγους ασφαλείας), παρόλα αυτά αν δεν υπάρχει επιλογή δεν υπάρχει πρόβλημα, μπορείτε να εγκαταστήσετε την Group Policy Management Console και τα Administrative templates που σας ενδιαφέρουν και να κάνετε όλες τις αλλαγές από εκεί.

Reblog this post [with Zemanta]
 Share

2 Comments


Recommended Comments

Guest
Add a comment...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
×
  • Create New...