Замедляет ли групповая политика загрузку ПК?

Представляем перевод статьи TechNet "Is Group Policy Slowing Me Down?" которая, на наш взгляд, будет интересна широкому кругу русскоязычных читателей.

Привет всем, Натан Пенн снова обратился к одному из наиболее часто встречающихся вопросов: является ли групповая политика в моей среде замедляющим фактором загрузки и входа в систему? К счастью, если знать, где искать, мы можем быстро получить ответ на этот вопрос.

Онлайн-курс по устройству компьютерных сетей
На углубленном курсе "Архитектура современных компьютерных сетей" вы с нуля научитесь работать с Wireshark и «под микроскопом» изучите работу сетевых протоколов. На протяжении курса надо будет выполнить более пятидесяти лабораторных работ в Wireshark.

Для начала следует прояснить некоторые термины, чтобы все мы понимали, о чем идет речь. В нашем случае время загрузки - это время которое требуется компьютеру чтобы загрузить операционную систему после включения питания или перезагрузки до интерактивного экрана входа в систему (Ctrl + Alt + Del / Windows Hello). Время входа - это время, которое проходит после интерактивного входа с соответствующими учетными/биометрическими данными до появления рабочего стола и приложений. С учетом этого, давайте рассмотрим, как мы можем определить вызывает ли групповая политика задержки. Для этого перейдем в Просмотр событий Windows.

Первая остановка - Журналы Windows - Система. Здесь мы можем найти событие с кодом 12 (Event ID 12) из источника Kernel-General, которое фиксирует время запуска системы после включения или перезагрузки.

Прокручивая список вверх от события с кодом 12 мы заметим несколько событий с ID 7036 из источника Service Control Manager. В одном из событий 7036 будет содержаться запись со следующим описанием: Служба "Клиент групповой политики" перешла в состояние Работает.

В нашем случае компьютер был включен в 13:51:12, а служба клиента групповой политики запустилась в 13:51:25 или на 13 секунд позже. Пока групповая политика не влияла на время загрузки, но теперь все изменится. Чтобы выяснить влияние групповой политики на время загрузки системы, необходимо перейти к журналу операций групповой политики в оснастке Просмотр событий, раздел Журналы приложений и служб - Microsoft - Windows - GroupPolicy - Operational.

Если в журнале операций групповой политики перейти ко времени запуска службы Клиент групповой политики, мы найдем несколько событий с идентификатором 5320, в одном из которых будет описание: Инициализация и чтение текущей конфигурации службы для службы клиента групповой политики.

Теперь мы знаем, что система включается и запускает службы, при этом запускается служба клиента групповой политики, которая инициализирует конфигурацию запуска и готовится приступить к обработке объектов групповой политики. Чтобы немного упростить ситуацию, ниже приведены четыре основных события в журнале операций групповой политики, которые должны более всего заинтересовать вас, но мы также рассмотрим и некоторые другие важные из них:

Event ID 4000 - Запуск обработки политики загрузки компьютера для COMPUTER
Event ID 8000 - Завершена обработка политики загрузки компьютера для COMPUTER за # с.
Event ID 4001 - Запуск обработки политики входа пользователя в систему для USER
Event ID 8001 - Завершена обработка политики входа пользователя для USER за # с.

С помощью этих событий можно точно определить время начала и окончания обработки политик для компьютера и пользователя, а также время, затраченное на это. Я уверен, вы думаете, что это какое-то шаманство, верно... Но что, если мы хотим немного больше деталей, например, почему это заняло X секунд? Поэтому перейдем к промежуточным событиям и рассмотрим самые важные их них.

После событий с ID 4000 и 4001нам необходимо найти в структуре Active Directory (AD) соответствующие объекты политик компьютера или пользователя, чтобы определить, какие из них будут применяться. Этот системный вызов контроллера домена (DC) описывается в событии с идентификатором 5017, в котором также фиксируется сколько времени для этого потребовалось.

Следующее, что должно произойти - это поиск и подключение к контроллеру домена, который мы будем использовать для выполнения запросов групповой политики. Это фиксирует событие с кодом 5326, а также записывает время, ушедшее на соединение.

Далее у нас будет событие с кодом 5310, которое детализирует то, что мы нашли: местоположение объекта компьютера или пользователя в AD, а также имя контроллера домена, который будет использоваться для запросов GPO.

Событие с идентификатором 5312 предоставит нам список всех политик, которые применяются к объекту на основе его размещения в AD.

Событие с кодом 5313 покажет, какие политики были отфильтрованы как неприменимые из-за фильтра безопасности (т. е. политика, предназначенная для определенного списка или группы объектов).

Как видим, существует ряд событий, которые могут дать ясную картину вызывает ли групповая политика замедление загрузки. В журнале операций групповой политики содержится еще много записей, которые остались за рамками статьи, но могут помочь выяснить, сколько времени потребовалось для обработки политик, выполнения сценариев входа и запуска, а также на ожидание системы. Будем надеяться, что данный материал поможет снять завесу тайны с вопроса замедляет ли групповая политика загрузку вашего ПК.