Con bastante frecuencia, los usuarios del dominio se quejan de la lentitud del inicio de la computadora y el tiempo de inicio de sesión causado por el largo procesamiento de las políticas de grupo (GPO). Desde el punto de vista del usuario, el equipo arranca durante mucho tiempo y parece que se cuelga durante varios minutos en el escenario de “Aplicar la configuración de la computadora / usuario“. En este artículo, intentaré recopilar herramientas y métodos de diagnóstico útiles que permitan a un administrador determinar las razones de la aplicación lenta de GPO en los equipos del dominio.

En realidad, hay una serie de razones por las que las políticas de grupo tardan mucho en aplicarse: pueden ser problemas de DNS, disponibilidad de DC y la velocidad de conexión, configuración incorrecta de sitios de AD o problemas de replicación, políticas de grupo mal configuradas, scripts incorrectos , etc. Es difícil describir un algoritmo todo en uno para diagnosticar todos estos problemas. Al resolver tales problemas, por regla general, la experiencia y las habilidades de un administrador que realiza diagnósticos desempeña un papel importante. En este artículo, nos centraremos solo en el diagnóstico de los problemas con los mecanismos GPO y GPClient.

Cómo bloquear la herencia de políticas de grupo

Para asegurarse de que el problema está relacionado con el GPO del dominio, cree una unidad organizativa separada en el dominio y mueva el equipo con el problema allí. Luego usando Consola de administración de políticas de grupo (GPMC.msc) habilita el bloqueo de la herencia de políticas para este contenedor (Herencia en bloque). Por lo tanto, todas las políticas de dominio dejarán de aplicarse a este contenedor (las políticas con el modo Forzado habilitado son la excepción).

Reinicie la computadora y verifique si el problema con la aplicación lenta de GPO persiste. Si persiste, es probable que el problema esté en la propia computadora o en las políticas del grupo local (intente restablecerlas a las predeterminadas).

Cómo mostrar información detallada en la pantalla de inicio

En Windows, puede habilitar la visualización de información de estado detallada que permite a los usuarios y al administrador comprender visualmente en qué etapa de carga de la computadora se observa el mayor retraso. Si habilita esta política, también se muestra la información sobre los componentes de GPO que se están aplicando.
Puede habilitar esta política en la siguiente sección de GPO:

  • en Windows 7 / Vista: Configuración de la computadora -> Políticas -> Sistema -> Mensajes de estado detallados frente a normales = Habilitado
  • en Windows 8/10: Configuración de la computadora -> Políticas -> Sistema -> Muestra mensajes de estado muy detallados = Habilitado

GPO Muestra mensajes de estado muy detallados

El mismo parámetro se puede activar a través del registro. Para hacerlo, cree un parámetro DWORD con el nombre verbosestatus y el valor 1 en la clave de registro HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System.

Como resultado, durante el arranque verá los siguientes mensajes en la pantalla:

por favor espere el servicio de perfil de usuario

Informe GPResult

Es mejor analizar la política resultante aplicada a la computadora usando el informe HTML de GPResult que se puede crear con el siguiente comando ejecutado con privilegios de administrador:

gpresult /h c:scriptsgpreport.html

Este informe es muy conveniente para el análisis y contiene referencias a errores al aplicar GPO.

También en Detalles del equipo -> Estado del componente En la sección del informe hay datos útiles del tiempo de aplicación (en ms) de diferentes componentes de GPO que se ven así:
Group Policy Files (N/A) 432 Millisecond(s) 19.02.2017 11:10:01 View Log
Group Policy Folders (N/A) 188 Millisecond(s) 19.02.2017 11:10:00 View Log
Group Policy Local Users and Groups (N/A) 338 Millisecond(s) 19.02.2017 11:10:00 View Log
Group Policy Registry (N/A) 171 Millisecond(s) 19.02.2017 11:10:01 View Log
Group Policy Scheduled Tasks (N/A) 353 Millisecond(s) 19.02.2017 11:10:01 View Log
Scripts (N/A) 156 Millisecond(s) 19.02.2017 11:09:04 View Log
Security (N/A) 3 Second(s) 495 Millisecond(s) 19.02.2017 11:09:08 View Log
Registry (N/A) 18 Second(s) 814 Millisecond(s) 19.02.2017 11:10:00 View Log

informe html de gpresult

Análisis de eventos de políticas de grupo en los registros del sistema de Windows

En el registro de la aplicación, EventID 6006 de Winlogon con el siguiente mensaje puede evidenciar la lentitud de la aplicación de la política:

El suscriptor de notificación de winlogon tardó 3104 segundos en manejar el evento de notificación (CreateSession).

El suscriptor de notificación de winlogon <GPClient> tardó 3104 segundos en manejar el evento de notificación (CreateSession).

Según este evento, un usuario tuvo que esperar hasta que se aplicaron las políticas de grupo durante el arranque durante casi una hora ...

En Windows 7 / Windows 2008 R2 o superior, todos los eventos relacionados con el procesamiento de políticas de grupo en un cliente están disponibles en el Visor de eventos (eventvwr.msc) en Registros de aplicaciones y servicios -> Microsoft -> Windows -> Registros de aplicaciones y servicios -> Política de grupo -> Operativo.

Nota. En el registro del sistema, solo quedan los eventos relacionados con el funcionamiento del cliente de políticas de grupo (gpsvc).

Para analizar el tiempo de aplicación de la política, los siguientes EventID serán útiles:

Se completó el procesamiento de la política de arranque del equipo para CORP pc212333 $ en 28 segundos.

Al analizar el registro, preste atención al tiempo entre dos eventos vecinos. Puede ayudar a encontrar el componente problemático.

Registro de depuración de GPSVC

En algunos casos, es útil habilitar el registro de depuración de procesamiento de GPO: gpsvc.log. Usando marcas de tiempo en gpsvc.log puede encontrar componentes de GPO que se han procesado durante mucho tiempo.

Registros de depuración de preferencias de directiva de grupo

Las extensiones de preferencias de directiva de grupo también pueden registrar el inicio de cada componente de CSE (extensiones del lado del cliente). Los registros de depuración de CSE se pueden habilitar en la siguiente sección de GPO: Configuración de la computadora -> Políticas -> Plantillas administrativas-> Sistema-> Política de grupo -> Registro y seguimiento

CSE de seguimiento y registro de directivas de grupo

Como puede ver, las configuraciones individuales están disponibles para cada CSE. En la configuración de la política, puede especificar el tipo de evento registrado (informativo, errores, advertencias o todos ellos), el tamaño máximo del registro y la ruta de ubicación del registro:

  • Archivo de seguimiento de políticas de usuario% SYSTEMDRIVE% ProgramData GroupPolicy Preference Trace User.log
  • Archivo de seguimiento de políticas informáticas% SYSTEMDRIVE% ProgramData GroupPolicy Preference Trace Computer.log

configurar el registro y el seguimiento de las preferencias de la aplicación

Consejo. Si no tiene la subsección Registro y seguimiento en la sección Política de grupo de su consola gpedit.msc / GPMC, descargue e instale las plantillas ADMX de Preferencias de política de grupo y copie GroupPolicyPreferences.admx de % PROGRAMFILES% Política de grupo de Microsoft a la carpeta local PolíticasDefiniciones o al directorio central PolicyDefinitions en SYSVOL.

Después de recopilar los registros, debe analizarlos en busca de errores y también tratar de encontrar eventos cercanos, el tiempo entre los cuales es diferente durante unos minutos.

seguimiento de user.log

Entonces, en este artículo, hemos considerado las principales formas de diagnosticar el procesamiento lento de la Política de grupo en las computadoras del dominio. Espero que el artículo te sea de utilidad.

Recomendado para ti