Ausführung von GPOs bei der Windows-Anmeldung beschleunigen

Lange Anmeldezeiten sind nicht nur die Folge von leistungsschwachen Rechnern und überlasteten Netzwerken. Ursache können auch all die Prozeduren sein, die ein Client beim Anmelden in der Domäne abarbeiten muss. Dazu zählt auch die Anwendung von GPOs. Ein Whitepaper von SDM Software (PDF) beschreibt, wie man ein langsames Login aufgrund von GPOs vermeiden kann.

Auf den Zielrechnern sind die so genannten Client Side Extension (CSE) für die Durchsetzung der zentral definierten Gruppenrichtlinien zuständig. Sie laufen entweder als Vorder- oder als Hintergrund-Prozess und arbeiten wahlweise synchron oder asynchron.

Vordergrundprozess läuft normal asynchron

Die Ausführung im Vordergrund erfolgt nur beim Start von Windows und bei der Anmeldung von Benutzern, wogegen der Hintergrundprozess während einer User-Session in regelmäßigen Intervallen die Einstellungen aktualisiert. Letzterer kann aber nicht alle Richtlinien umsetzen.

Bei langen Anmeldezeiten hat man es also mit dem Vordergrund-Prozess zu tun, der standardmäßig asynchron abläuft. In diesem Fall blockieren die CSE den Rechner nicht, vielmehr sieht der Benutzer bereits den Anmeldedialog, während die Computerkonfiguration aktualisiert wird, und den Desktop, während die CSE die Benutzerkonfiguration laden.

Synchroner Modus bremst

Zu Wartezeiten kommt es also besonders dann, wenn die Anwendung der GPOs synchron erfolgt. Selbst wenn man diese Form der Ausführung nicht über die dafür zuständige Gruppenrichtlinie konfiguriert, können die CSE trotzdem selbständig in diesen Modus umschalten. Dies ist der Fall bei

• Installation von Software
• Ordnerumleitung
• Setzen von Disk Quotas
• Zuordnung von Netzlaufwerken über Group Policy Preferences

Das Umschalten in den synchronen Modus erfolgt allerdings nur dann, wenn die Einstellungen in den GPOs verändert wurden. Legt man Wert auf eine zügige Anwendung von Richtlinien, dann muss man also keineswegs auf Ordnerumleitungen oder sie Zuordnung von Netzlaufwerken verzichten.

Problematische Kombination mehrerer Einstellungen

Dafür sollte man mit Änderungen sparsam sein und darauf achten, welche Einstellungen man gemeinsam in ein GPO packt. Kombiniert man Einstellungen aus den administrativen Vorlagen etwa mit der Zuordnung von Netzlaufwerken, dann wird das gesamte GPO auf synchrone Ausführung umgeschaltet, wenn man irgendeine Einstellungen ändert. Das gilt auch dann, wenn die Drive Mappings gleich bleiben. Enthielte das GPO jedoch keine Zuordnung von Netzlaufwerken oder Ordnerumleitungen, dann würden Änderungen nicht den Wechsel in den synchronen Modus bewirken.

Scripts, WMI-Filter und ILT

Weitere mögliche Bremsklötze bei der Anwendung von GPOs sind:

• Scripts
• WMI-Filter
• Zielgruppenadressierung auf Elementebene

Scripts werden vor allem dann zum Problem, wenn sie sehr umfangreich oder gar fehlerhaft sind und bei der Ausführung hängen bleiben. Auch WMI-Filter in Gruppenrichtlinien sind nicht per se zu meiden, Bremser sind dem Whitepaper zufolge vor allem LDAP-Abfragen.

Auch die fein abgestuften Möglichkeiten, Group Policy Preferences auf bestimmte User oder Computer einzuschränken (Item Level Targeting, ILT), verzögern normalerweise den Logon-Prozess nicht nennenswert. Performance kosten auch hier Abfragen, die über das Netz an Domänen-Controller gerichtet werden, die etwa die Mitgliedschaft in OUs oder Sicherheitsgruppen betreffen.

Synchrone Ausführung über WANs verhindern

Die Anwendung von Gruppenrichtlinien erfordert zahlreiche Anfragen der Clients an den Domänen-Controller. Daher wirkt sich die synchrone Ausführung auf langsamen Netzwerken noch stärker auf die Dauer der Windows-Anmeldung aus.

Um lange Wartezeiten in solchen Umgebungen zu vermeiden, kann man die synchrone Abarbeitung von GPOs in langsamen Netzen verhindern. Zuständig dafür ist sowohl in der Computer- als auch in der Benutzerkonfiguration die Einstellung

Administrative Vorlagen => System => Gruppenrichtlinien => asynchrone Verarbeitung der Gruppenrichtlinie bei langsamen Netzwerkverbindungen

Die Anwendung von Einstellungen, die diesen blockierenden Modus erfordern, wird dann so lange aufgeschoben, bis der Rechner wieder über eine schnellere Verbindung mit dem DC kommunizieren kann.