Outre le nombre de GPO qu'un objet ordinateur ou utilisateur doit traiter, il y a dans l'opération de traitement des GPO de nombreuses étapes qui influencent le temps nécessaire à un ordinateur pour s'initialiser ou à un utilisateur pour se connecter et prendre le contrôle du desktop. La capacité de
Accélérateurs de performances
résoudre
rapidement les noms DNS requis
et de trouver un DC sur le site de
la station de travail joue aussi un rôle
important dans la bonne performance
du traitement GPO. Le temps de
traitement GPO est directement influencé
par la durée de ces tâches de
préparation de base. Et, si les unités XP
ou Win2K ne peuvent pas résoudre les enregistrements SRV corrects, le traitement
GPO peut échouer purement et
simplement.
Même le traitement GPO de base
peut demander beaucoup de temps.
Mais il existe plusieurs paramètres et
fonctions de Group Policy susceptibles
d’influencer la performance du traitement
GPO. Comme la figure 1 le
montre, on peut accéder aux options
extensions côté client et Group Policy
au moyen du snap-in Group Policy.
Ouvrez la console Group Policy, passez
par Computer Configuration, Administrative
Templates, System, Group
Policy. Choisissez une Policy dans le
panneau de droite et ouvrez la boîte de
dialogue Properties de la Policy pour
visualiser ou modifier ses paramètres.
En particulier, les policies qui contrôlent
la détection d’une liaison lente, le
traitement malgré la version GPO, et le
traitement synchrone ou asynchrone,
peuvent peser grandement sur les performances.
Détection de liaison lente. Par défaut,
les extensions côté client qui
contrôlent Folder Redirection, Software
Installation, Scripts et Disk Quota
ne traiteront pas un GPO si la station
de travail détecte une liaison lente.
L’activation de la détection de liaison
lente signifie que moins d’extensions
côté client travailleront au traitement
des GPO et donc le temps de traitement
GPO diminuera dans des conditions de liaison lente. On peut
modifier la valeur liaison lente par défaut
de 500 Kbps au moyen de la policy
Group Policy slow link detection.
(Cependant, augmenter le seuil pour
forcer la détection de liaison lente
n’est pas le meilleur moyen d’améliorer
la performance de traitement
GPO.)
Versions de GPO. Le GPC et le GPT
de chaque GPO contiennent le numéro
de version du GPO. Win2K augmente
ce nombre chaque fois que l’on
change le GPO. Les stations de travail
XP et Win2K gardent un historique de
chaque session de traitement GPO
dans leurs registres locaux, sous les
sous-clés HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows\Curr
entVersion\GroupPolicy\History et
HKEY_CURRENT_USER\SOFTWAREMicrosoft\Windows\CurrentVers
ion\GroupPolicy\History. Par défaut,
les extensions côté client ne traiteront
pas un GPO si son numéro de version
n’a pas changé. Quand le numéro de
version d’un GPO est 0 (indiquant qu’il
n’y a eu aucun paramétrage dans le
GPO), les extensions côté client n’essaieront
même pas de traiter le GPO.
Le fait de forcer les extensions côté
client à traiter tous les GPO indépendamment
du numéro de version, augmentera
le temps de traitement. Dans
le dossier Group Policy, sélectionnez
une policy dans le panneau de droite, ouvrez la boîte de dialogue Properties
de la policy, sélectionnez l’option pour
activer la policy, et assurez-vous que la
case Process even if the Group Policy
objects have not changed n’est pas cochée.
Traitement asynchrone. Par défaut,
les opérations de traitement GPO de
Win2K sont synchrones : toutes les extensions
côté client doivent finir de
traiter les GPO de type machine (à l’initialisation
du système) avant que l’ordinateur
ne présente le dialogue de
connexion. De même, quand un utilisateur
se connecte à une unité Win2K,
les extensions côté client qui traitent
les GPO au niveau utilisateur doivent
terminer leur travail avant que l’utilisateur
ne puisse prendre le contrôle du
desktop et commencer à travailler. Si le
traitement de nombreux GPO retarde
sensiblement le démarrage du système
ou la connexion de l’utilisateur, on
peut configurer Win2K pour qu’il traite
les GPO de manière asynchrone (au
moyen des policies Apply Group Policy
for computers asynchronously during
startup et Apply Group Policy for users
asynchronously during logon.)
Toutefois, un GPO qui n’a pas terminé
le traitement au moment où un utilisateur
se connecte, risque de ne pas entrer
en action avant la prochaine
connexion de l’utilisateur – un « trou »
qui pourrait poser un problème pour
des catégories Group Policy comme
Software Installation et Folder
Redirection. (XP comporte une fonction
Fast logon optimization, et donc le
traitement GPO de XP est asynchrone
par défaut. Par conséquent, les extensions
côté client sur une unité XP pourraient
bien ne pas finir de traiter tous
les GPO avant qu’un système ne présente
la boîte de dialogue de
connexion ou ne permette à un utilisateur
d’accéder au desktop, et Software
Installation et Folder Redirection demandent
en principe deux connexions
avant d’entrer en vigueur.)
Win2K utilise également le traitement
asynchrone pour rafraîchir
Group Policy en arrière-plan. Win2K rafraîchit périodiquement certaines extensions
côté client, comme celles qui
sont responsables des paramètres de
sécurité et des modèles administratifs,
après le traitement initial qui accompagne
l’initialisation ou le logon. Ainsi,
l’extension côté client responsable des
paramètres de sécurité sur un serveur
ou une station de travail Win2K rafraîchit
tous les paramètres GPO applicables
toutes les 90 minutes par défaut.
Sur les DC, l’intervalle de rafraîchissement
par défaut est de 5 minutes. Ce
type de traitement périodique limite
les dégâts provoqués par des utilisateurs
laxistes avec les paramètres de sécurité
entre les connexions ou les réinitialisations.
Toutes les extensions côté client ne
permettent pas le rafraîchissement en
arrière-plan. Par exemple, la policy Software Installation ne fait pas de rafraîchissement
(il ne faut donc pas
désinstaller Microsoft Word pendant
que quelqu’un l’utilise). De plus, les
extensions côté client ne rafraîchiront
pas un GPO qui n’a pas changé. Pour
empêcher le rafraîchissement d’un
GPO, ouvrez la boîte de dialogue
Properties d’une policy et cochez la
case Do not apply during periodic
background processing. Pour modifier
les paramètres de traitement d’arrièreplan
globaux d’une unité, activez et
modifiez la policy Disable background
refresh of Group Policy, Group Policy
refresh interval for computers ou
Group Policy refresh interval for domain
controllers.
Bien que le traitement d’arrièreplan
n’influence pas beaucoup les performances
du système, il faut quand même savoir qu’il se déroule. Vous
pouvez activer le logging d’événement
pour le traitement GPO afin de pouvoir
superviser le traitement d’arrière-plan
et régler les problèmes associés (pour
plus de détails, voir l’encadré « Logging
de Group Policy »).
Téléchargez cette ressource
Rapport Forrester sur les solutions de sécurité des charges de travail cloud (CWS)
Dans cette évaluation, basée sur 21 critères, Forrester Consulting étudie, analyse et note les fournisseurs de solutions de sécurité des charges de travail cloud (CWS). Ce rapport détaille le positionnement de chacun de ces fournisseurs pour aider les professionnels de la sécurité et de la gestion des risques (S&R) à adopter les solutions adaptées à leurs besoins.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
- Gestion du cycle de vie des outils de cyberdéfense : un levier de performance pour les entreprises
