Cinco dicas para melhorar o desempenho das Diretivas de Grupo (GPO) do seu Active Directory.

Diretiva de Grupo – ou se preferir: Group Policy – é uma ferramenta fantástica para gerenciar computadores e usuários em uma infraestrutura gerenciada pelo Active Directory, mas às vezes, quando mal configuradas, podem trazer respostas ruins para o domínio como: lentidão na inicialização dos computadores, demora para os usuários logarem nas estações, além de outros problemas. É por isto, que abaixo, separei cinco dicas para garantir que você obtenha os benefícios de gerenciamento da Diretiva de Grupo com o mínimo de sobrecarga de desempenho na rede. Vamos lá!

1. Não crie uma GPO para cada configuração, a menos que seja extremamente necessário.  

Segundo a Microsoft, os tempos de inicialização e de logon (tanto para computadores clientes como também para outros membros de um domínio) são diretamente proporcionais ao número de políticas que serão processadas na rede. Ou seja, se você tiver muitas políticas que precisam ser processadas, seja na inicialização de qualquer máquina ou no logon dos usuários, consequentemente, você poderá ter um gargalo em ambos (tanto nas políticas voltadas ao computadores como também as políticas voltadas aos usuários) ou em algum dos dois pontos. O ideal é que você minimize as políticas, não criando uma GPO para cada configuração, mas, tratando exceções, caso precise. 

2. Limite as configurações de objeto de Diretiva de Grupo com uso intensivo de rede.

No entanto, dê um passo adiante: o tempo de processamento aumenta diretamente proporcional ao número de configurações individuais configuradas dentro de cada GPO. Embora configurações relativamente simples, como as configurações da área de trabalho ou as políticas do Internet Explorer, não demorem muito a ser processadas, muitas opções dependentes da rede, como o redirecionamento de pastas de políticas de implantação de software, podem levar muito tempo a ser processadas e deixar os usuários com bastante raiva (e, com razão). Eles também podem representar um gargalo na sua rede em horários de pico (no início do dia de trabalho, um atraso menor, mas ainda significativo, na hora do almoço e no final do dia) e aplicar essa mesma fórmula a todas as localizações geográficas da sua organização. .

3. Divida as políticas em: GPOs de Computador e GPOs de Usuário e, em seguida, desative a parte não usada de uma política. 

Uma prática recomendada para melhorar o desempenho do processamento das políticas e também diminuir a confusão do gerenciamento é criar GPOs separadas para configurações que serão aplicadas a computadores e a usuários. Em seguida, depois de definir as configurações apropriadas para cada uma deles, desative a parte não usada de cada GPO criada. Por exemplo, se você tiver um GPO definindo um script de inicialização, ou seja configurada para ser aplicada nas configurações de computador, desabilite a parte do usuário dessa diretiva, uma vez que ela não será processada. Essa lógica também serve para quando criar uma política voltada aos usuários, desabilitando a parte do computador. Dessa forma, o Windows simplesmente ignora o restante das opções e reduz o tráfego de rede que transmite os GPOs ao redor da rede de replicação.

Não sabe como desabilitar SOMENTE as Configurações de Computador ou de Usuário de uma GPO? Veja nesses dois artigos abaixo, em que ensino como fazer isso, para cada um deles:

4. Resista à tentação de usar SEMPRE o recurso de filtragem do Windows Management Instrumentation (WMI) da Diretiva de Grupo. 

Usando filtros WMI, você pode aplicar dinamicamente determinados GPOs a computadores ou usuários que correspondam aos critérios configurados usando uma consulta WMI. Esse tipo de poder na segmentação de determinados aplicativos ou computadores pode ser muito atraente para um administrador, mas você deve saber que o WMI não é uma linguagem particularmente eficiente e especialmente quando você tem vários outros GPOs tentando se aplicar ao mesmo tempo (por exemplo, inicialização ), Os filtros WMI podem levar muito tempo para serem processados. Portanto, tente colocar o filtro WMI em ação somente quando for absolutamente necessário; em outros cenários, considere vincular GPOs a unidades organizacionais específicas, ou UOs, no Active Directory para limitar o escopo dessas configurações com base no local em que um objeto de destino está na hierarquia do AD.

5. Veja se política: “Sempre espere pela rede na inicialização e no logon.” está habilitada. 

Essa configuração de política determina se o processamento da Política de Grupo é síncrono (ou seja, se os computadores aguardam que a rede seja totalmente inicializada durante a inicialização do computador e o logon do usuário). Por padrão, nos computadores cliente, o processamento da Política de Grupo não é síncrono; os computadores cliente geralmente não esperam que a rede seja totalmente inicializada na inicialização e no logon. Os usuários existentes fazem logon usando credenciais em cache, o que diminui o tempo de logon. A Política de Grupo é aplicada em segundo plano depois que a rede fica disponível. Se ela tiver habilitada, os computadores aguardarão a rede ser totalmente inicializada para permitir que os usuários façam logon, com isso podendo ter uma demora a mais. 

Ela pode ser acessada pelo Editor de Gerenciamento de Política de Grupo, no caminho: Configuração do Computador – Diretivas – Modelos Administrativos -Sistemas – Logon – Sempre espere pela rede ao iniciar o computador e fazer logon. 

01

Gostou das dicas? Então segue o link da venda dos meus livros:  Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016 e Administrando O Active Directory Com O PowerShell. Neles tem inúmeras dicas úteis e práticas, demonstradas passo a passo e sem complicações, de como usar o Windows PowerShell para administrar o Active Directory e como trabalhar com políticas de grupo na administração de um domínio. 

– Link da venda do livro: Administrando o Active Directory com o PowerShell:
https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001545.

30265390_566037330450082_5311249608711551235_n

– Link da venda do livro: Tudo sobre GPOs no Windows Server 2008, 2012 e 2016.
https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525

LIV0001525

Anúncios
The following two tabs change content below.
Diego é graduado em Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor) e possui diversos cursos de qualificações nas áreas de Tecnologia da Informação. É autor também dos livros: Tudo Sobre GPOs no Windows Server e Administrando o Active Directory com o PowerShell.

Deixe uma resposta