Meilleures pratiques de Group Policy pour le dépannage des problèmes de performance

Il y a des compromis pour tout. Dans un environnement Windows, les utilisateurs veulent des connexions/démarrages rapide et une pratique cohérente sur plusieurs appareils. Une connexion efficace est souvent liée à la facilité d’utilisation. Par exemple, la redirection de dossiers et les préférences d’imprimante de stratégie de groupe fournissent des fonctions utilisateur final plus unifiées au prix de connexions plus lentes. Il s’agit d’un cas classique de vitesse contre accessibilité.

Au fur et à mesure que des modifications sont apportées au fil du temps, un certain nombre de ralentissements de Group Policy peuvent se développer. La clé pour corriger la lenteur de Group Policy est d’en surveiller constamment les performances. Dans ce guide, nous explorerons plusieurs nouveaux outils et problèmes communs, concernant les performances de Group Policy. Nous nous concentrerons spécifiquement sur un environnement Windows 10.

Suivi des performances de Group Policy des clients

Très peu de choses sont plus frustrantes que d’attendre qu’une machine se connecte….et d’attendre….et d’attendre… et d’attendre. Les machines qui ont des problèmes peuvent souvent prendre plus de 10 minutes pour démarrer ou se connecter. La seule indication que l’utilisateur final reçoit est un message « Merci de patienter » ou l’équivalent Windows 10 « Nous préparons votre système. »

Pour faire savoir aux utilisateurs que la machine n’est pas simplement déconnectée et pour vous aider à dépanner, vous voudrez activer les deux paramètres GPO suivants sur vos machines :

  • Computer Configuration\Policies\Administrative Templates\System – Display Highly Detailed Status Messages : Setting – Enabled
  • Computer Configuration\Policies\Administrative Templates\System\Logon\ – Show first sign-in animation : Setting – Disabled

Le premier paramètre affiche le composant de démarrage en cours d’exécution, au lieu des messages de démarrage génériques. Par exemple, vous pouvez voir Application de l’installation du logiciel Group Policy si vos machines installent une MSI déployée par GP. Ce paramètre était auparavant connu sous le nom de Group Policy Verbose mode. Pour faciliter les dépannages futurs, je préfère activer ce paramètre sur les clients et les serveurs.

 

Le second paramètre supprime l’animation « Nous préparons votre système. » qui apparaît la première fois qu’un utilisateur se connecte à une machine. L’utilisateur verra des messages d’état détaillés avant que l’animation ne prenne le dessus. Cette politique doit être désactivée pour que l’utilisateur puisse voir tous les messages. Je préfère appliquer cette politique à tous les clients. Les serveurs n’affichent pas l’animation de première connexion.

Suivi des performances de Group Policy avec la Console de gestion des stratégies de groupe (GPMC)

En règle générale, les administrateurs doivent toujours utiliser la dernière mise à jour de l’Outils d’administration de serveur distant pour les clients qu’ils gèrent. Si vous gérez des clients Windows 10, votre machine d’administration doit être sous Windows 10, avec la dernière version de l’Outils d’administration de serveur distant installé.

Lorsque vous exécutez un résultat de Group Policy dans la GPMC sur une machine Windows 10, vous remarquerez une nouvelle section État des Composants sous l’onglet Détails. Les éléments de Group Policy, tels que la redirection de dossiers et les préférences d’imprimante de Group Policy, sont connus sous le nom de Client Side Extensions (CSEs). Cette section sur l’état des composantes affichera le dernier état d’évaluation de chaque CSE. Il indiquera également le temps qu’il a fallu à chaque CSE pour traiter la demande. Ces valeurs sont également stockées dans le journal des événements de Group Policy sur les machines clientes.

Ce volet peut aider un administrateur à résoudre rapidement les problèmes de performance de Group Policy. Tout élément non complété en 600 secondes. Par défaut, le service Group Policy n’accorde que 10 minutes à un CSE pour être complété.

Méfiez-vous des CSEs hérités

Les CSEs de Group Policy ont évolué à chaque itération de Windows ou du composant qu’ils desservent. Les CSEs qui gèrent Internet Explorer en sont un parfait exemple. L’une des premières méthodes de gestion impliquait l’extension de maintenance d’Internet Explorer (IEM). IEM a complété de nombreuses fonctionnalités disponibles sous Modèles d’administration\Composants Windows\Internet Explorer. Plusieurs années plus tard, Microsoft a introduit les Préférences de Group Policy pour Internet Explorer (IE). Avoir trois outils de gestion pour un produit est devenu déroutant pour tout le monde !

Avec la sortie d’IE10, IEM a été retiré de la GPMC sur toute machine sur laquelle IE10 a été installé. Ce changement est également valable pour Windows 10/IE11.

Avant la mise en place des Préférences de Group Policy (GPP), tout dans Group Policy était verrouillé. Lorsque les GPP ont été publiés pour la première fois, de nombreux administrateurs les ont traités comme un modèle administratif (également connu sous le nom d’établissement des politiques). De nombreuses actions de préférence individuelle ont été changées par Remplacer, et l’option Supprimer cet élément lorsqu’il n’est plus appliqué a été activée. Ceci a le gros inconvénient de faire le retraitement des GPP à chaque fois que Group Policy est actualisé et à chaque connexion/démarrage.

De nombreux environnements de Group Policy ne sont pas actualisés pour des changements dans les CSEs ou pour refléter le comportement des BPP. Les administrateurs peuvent toujours appliquer les paramètres IEM en utilisant la GPMC sur des systèmes d’exploitation plus anciens. Dans la mesure du possible, les administrateurs devraient envisager les solutions de rechange suivantes pour ces CSEs inefficaces en termeà de temps :

  • IEM : Remplacer par des modèles administratifs ou des préférences.
  • Imprimantes déployées : Remplacer par Préférences d’imprimante
  • Installation du logiciel de Group Policy : Remplacer par une suite logicielle de gestion telle que SCCM.
  • Redirection de dossiers : Remplacer par une alternative telle que dossiers de travail.

Vous remarquerez que les scripts de Group Policy côté utilisateur ne figurent pas dans la liste ci-dessus. Avec la sortie de Windows 8.1, les scripts GP peuvent être configurés pour s’éteindre après X secondes au lieu de s’exécuter pendant tout le processus de connexion. Cela permet aux scripts de s’exécuter en coulisses après qu’un utilisateur se soit déjà connecté. Ce paramètre peut être trouvé à Computer Configuration\Administrative Templates\System\Group Policy

Les administrateurs doivent réévaluer leurs préférences de déploiement. Dans la mesure du possible, les postes préférentiels doivent utiliser Créer ou Actualiser. Personnellement, je préfère la cohérence de n’utiliser que la préférence Créer. Le ciblage au niveau de l’article ne devrait évaluer les ressources locales que si le temps est essentiel. Enfin, envisagez de déplacer certains éléments de la connexion d’utilisateurs au démarrage de l’ordinateur. Un CSE parfait pour cela est Printer Preferences.

Lorsque vous surveillez les performances de votre Group Policy, vous trouverez probablement des configurations qui peuvent être annulées ou migrées. En utilisant la GPMC, vous pouvez évaluer le temps de traitement pour l’ensemble des clients et vous concentrer sur les CSEs qui prennent beaucoup de temps. J’ai dit plus tôt qu’il y a des compromis pour tout. Bonne chance dans votre lutte pour équilibrer vitesse et accessibilité !

Vous pourriez être intéressé par :