Stratégie de groupe : Meilleures pratiques pour le dépannage des problèmes de performance

Il y a des compromis à tout. Dans un environnement Windows, les utilisateurs veulent des connexions/démarrages rapides et une expérience cohérente sur plusieurs appareils. Une connexion efficace est souvent liée à la facilité d'utilisation. Par exemple, la Redirection de Dossiers et Group Policy les Préférences d'Imprimante offrent des expériences utilisateur finales plus unifiées au prix de connexions plus lentes. C'est un cas classique de vitesse contre accessibilité.

À mesure que davantage de modifications sont effectuées au fil du temps, un certain niveau d'encombrement de la stratégie de groupe peut se développer. La clé pour résoudre la lenteur de la stratégie de groupe est de surveiller constamment ses performances. Dans ce guide, nous explorerons plusieurs nouveaux outils et problèmes courants liés à la performance de la stratégie de groupe. Nous nous concentrerons spécifiquement sur un environnement Windows 10.

Surveillance des performances de la stratégie de groupe depuis les clients

Peu de choses sont plus frustrantes que d'attendre qu'une machine se connecte… et d'attendre… et d'attendre … et d'attendre. Les machines avec des problèmes peuvent souvent prendre plus de 10 minutes pour démarrer ou se connecter. La seule indication que l'utilisateur final reçoit est un message de Veuillez patienter ou l'équivalent sur Windows 10 de l'écran Préparation de vos paramètres.

Pour informer les utilisateurs que la machine n'est pas simplement bloquée et pour vous aider à dépanner, vous voudrez activer les deux paramètres GPO suivants sur vos machines :

• Configuration de l'ordinateurStratégiesModèles d'administrationSystème – Afficher des messages d'état très détaillés : Paramètre – Activé
• Configuration de l'ordinateurStratégiesModèles d'administrationSystèmeOuverture de session – Afficher l'animation de la première ouverture de session : Paramètre – Désactivé

Le premier paramètre affiche le composant de démarrage qui est actuellement en cours d'exécution au lieu des messages de démarrage génériques. Par exemple, vous pourriez voir Applying Group Policy Software Installation si vos machines installent un MSI déployé par GP. Ce paramètre était auparavant connu sous le nom de mode Verbose de la stratégie de groupe. Pour faciliter le dépannage futur, je préfère activer ce paramètre sur les clients et les serveurs.

Le deuxième paramètre supprime l'animation de préparation pour vous qui apparaît la première fois qu'un utilisateur se connecte à une machine. L'utilisateur verra quelques messages d'état détaillés avant que l'animation ne prenne le relais. Cette stratégie doit être définie sur désactivée pour que l'utilisateur puisse voir tous les messages. Je préfère appliquer cette politique à tous les clients. Les serveurs ne montrent pas l'animation de premier connexion.

Surveillance de la performance des stratégies de groupe à partir de la GPMC

En règle générale, les administrateurs doivent toujours utiliser la dernière installation de RSAT pour les clients qu'ils gèrent. Si vous gérez des clients Windows 10, votre machine d'administration doit être sous Windows 10 avec le dernier RSAT installé dessus.

Lors de l'exécution d'un résultat de stratégie de groupe dans la console de Group Policy management sur une machine Windows 10, vous remarquerez une nouvelle section État des composants sous l'onglet Détails. Les composants de la stratégie de groupe, tels que la redirection de dossier et les préférences d'imprimante de stratégie de groupe, sont connus sous le nom d'extensions côté client (CSEs). Cette section d'état des composants affichera le dernier statut d'évaluation de chaque CSE. Elle affichera également le temps de traitement de chaque CSE. Ces valeurs sont également stockées dans le journal des événements de stratégie de groupe sur les machines clientes.

Ce volet peut aider un administrateur à résoudre rapidement les problèmes de performance des stratégies de groupe. Tout élément avec un temps de 600 secondes n'a pas abouti. Le service de stratégie de groupe n'autorise par défaut qu'un CSE à se terminer en 10 minutes.

Méfiez-vous des CSEs hérités

Les CSE de stratégie de groupe ont évolué avec chaque version de Windows ou du composant qu'ils gèrent. Un parfait exemple de cela sont les CSE qui gèrent Internet Explorer. L'une des premières méthodes de gestion impliquait l'extension de maintenance d'Internet Explorer (IEM). IEM complétait de nombreuses fonctionnalités disponibles sous Modèles d'administrationComposants WindowsInternet Explorer. Plusieurs années plus tard, Microsoft a introduit les préférences de stratégie de groupe pour Internet Explorer (IE). Avoir trois outils de gestion pour un seul produit est devenu source de confusion pour tout le monde !

Avec la sortie de IE10, IEM a été retiré du GPMC sur toute machine sur laquelle IE10 était installé. Ce changement est également valable pour Windows 10/IE11.

Avant les Group Policy Preferences (GPPs), tout dans Group Policy était verrouillé. Lorsque les GPPs ont été lancés pour la première fois, de nombreux administrateurs les ont traités comme un modèle administratif (également connu sous le nom de paramètre de stratégie). De nombreuses actions de préférence individuelles ont été modifiées en Remplacer, et l'option Supprimer cet élément lorsqu'il n'est plus appliqué a été définie. Cela a le grand inconvénient de faire retraiter le GPP à chaque actualisation de la stratégie de groupe et à chaque connexion/démarrage.

De nombreux environnements de stratégie de groupe ne sont pas mis à jour pour les changements dans les CSE ou pour refléter le comportement des GPP. Les administrateurs peuvent toujours appliquer les paramètres IEM en utilisant la GPMC sur des systèmes d'exploitation plus anciens. Lorsque c'est possible, les administrateurs devraient envisager les alternatives suivantes pour ces CSE qui prennent du temps :

• IEM : Remplacez par des modèles d'administration ou des préférences
• Imprimantes déployées : Remplacez par les Préférences d'impression
• Installation de logiciels de stratégie de groupe : Remplacez par une suite de gestion de logiciels telle que SCCM
• Redirection de dossier : Remplacez par une alternative telle que Work Folders

Vous remarquerez que les scripts de stratégie de groupe côté utilisateur ne sont pas listés ci-dessus. Avec la sortie de Windows 8.1, les scripts GP peuvent être configurés pour se déclencher après X secondes au lieu de s'exécuter pendant le processus de connexion. Cela permet aux scripts de s'exécuter en arrière-plan après qu'un utilisateur soit déjà connecté. Ce paramètre peut être trouvé dans Configuration de l'ordinateurModèles administratifsSystèmeStratégie de groupe

Les administrateurs devraient réévaluer toutes leurs préférences déployées. Lorsque c'est possible, les éléments de préférence devraient utiliser Créer ou Mettre à jour. Personnellement, je préfère la cohérence d'utiliser uniquement la préférence Créer. Le ciblage au niveau de l'élément devrait évaluer les ressources locales uniquement si le temps presse. Enfin, envisagez de déplacer certains éléments de la connexion utilisateur au démarrage de l'ordinateur. Un CSE parfait pour cela est les Préférences d'imprimante.

Lorsque vous surveillez la performance de votre stratégie de groupe, il est probable que vous trouviez certaines configurations qui peuvent être annulées ou migrées. En utilisant la GPMC, vous pouvez évaluer le temps de traitement sur les clients et vous concentrer sur les CSEs qui prennent beaucoup de temps. J'ai mentionné plus tôt qu'il y a des compromis à tout. Bonne chance dans votre lutte pour équilibrer vitesse et accessibilité !