Как избежать раздувания групповой политики

Групповая политика — отличный инструмент для управления конфигурациями и безопасностью ваших настольных компьютеров, но в очень больших средах с ней могут возникнуть проблемы с производительностью. В частности, предположим, что у вас есть крупная компания с тысячами сотрудников и сложной административной структурой, но с развернутым только одним доменом Active Directory. Это означает, что в вашем домене могут быть буквально сотни организационных единиц (OU), причем OU могут быть вложены в другие OU на нескольких уровнях. Затем предположим, что вы связали объекты групповой политики (GPO) с большинством этих OU, некоторые, возможно, с несколькими связанными GPO, так что вы можете удовлетворить все требования безопасности вашей организации.

Теперь возникает проблема, заключающаяся в том, что каждый объект групповой политики хранится в общей папке SYSVOL каждого контроллера домена в вашем домене. Эти объекты групповой политики можно найти в папке %systemroot%sysvoldomainnamePoliciesPOLICYGUID, где POLICYGUID — это глобальный уникальный идентификатор объекта групповой политики. Теперь, когда групповая политика была впервые выпущена для Windows 2000, ее мощность и гибкость значительно возросла, и это хорошо, но это также означает, что теперь с ее помощью вы можете управлять несколькими тысячами параметров политики. Это означает, что файлы ADM для групповой политики также выросли и теперь занимают почти 2 МБ дискового пространства. Теперь эти файлы ADM также копируются в каждый GPO на каждом контроллере домена и хранятся в папке %systemroot%sysvoldomainnamePoliciesPOLICYGUIDAdm. Это означает, что каждый объект групповой политики в вашем домене занимает не менее 2 МБ дискового пространства в общем ресурсе SYSVOL, ДАЖЕ ЕСЛИ в этом объекте групповой политики не настроены фактические параметры политики! Подумайте, что это может означать в отношении (а) использования дисков на ваших контроллерах домена и (б) репликации файлов общего ресурса SYSVOL между контроллерами домена.

К счастью, Windows Server 2003 предоставляет вам некоторую гибкость в этом вопросе, настраивая два (как вы уже догадались) параметра групповой политики « Всегда использовать локальные файлы ADM для редактора объектов групповой политики », который находится в разделе «Конфигурация компьютера», «Административные шаблоны», «Система», «Группа». Политика. Включив эту политику, вы можете предотвратить сохранение файлов ADM в объектах групповой политики на SYSVOL и сэкономить место на диске. Если вы включите этот параметр политики, также включите параметр « Отключить автоматическое обновление файлов ADM », который находится в разделе «Конфигурация пользователя», «Административные шаблоны», «Система», «Групповая политика», поскольку таким образом редактор объектов групповой политики может использовать локальные файлы ADM, хранящиеся в папку %windir%inf на компьютере, на котором запущена консоль управления групповыми политиками.