本文介紹如何優(yōu)化和配置組策略以提高登錄性能。

當啟動作為域成員的基于 Windows 2000 的計算機時，系統(tǒng)將處理鏈接的組策略對象 (GPO) 的“計算機設置”部分的組策略設置，并應用于該計算機。此外，當您登錄到域時，系統(tǒng)將處理和應用每個鏈接的 GPO 的“用戶配置”部分的所有組策略設置。由于 Windows 花費時間應用每個策略設置，因此策略設置可能減緩登錄過程，這導致啟動計算機到能夠使用計算機之間出現(xiàn)時間間隔。您可以使用本文介紹的方法將這一間隔減至最小。

如何減少已處理的 GPO 的數(shù)目

Windows 2000 的啟動和登錄時間直接與需要處理的 GPO 數(shù)量成比例。鏈接到站點、域或組織單元的 GPO 由這些站點、域或組織單元的所有計算機和用戶進行處理。要減少這些組策略設置的處理時間，請使用下列任意一種方法：

• 使用組織單元。
• 合并組策略設置。
• 基于安全組成員身份篩選組策略。
• 禁用部分組策略設置。

如何使用組織單元

使用組織單元以更加詳細的形式分配組策略設置。將 GPO 鏈接到組織單元時，您可以將對不必要的 GPO 的處理減少到最小。要為組織單元創(chuàng)建一個 GPO，請按照下列步驟操作：

1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機”。
2. 單擊以擴展該域，右鍵單擊要配置的組織單元，然后單擊屬性。
3. 單擊組策略選項卡，然后單擊新建。
4. 在新建組策略對象框中鍵入 GPO 的描述性名稱，然后按 ENTER 鍵。
5. 單擊屬性，然后單擊安全選項卡。
6. 對于您不希望應用此策略設置的安全組，單擊清除允許列中的應用組策略復選框；對于您希望應用此策略設置的安全組，則單擊選中允許列中的應用組策略復選框；然后單擊確定。
7. 單擊編輯，然后配置您想要使用的策略設置。
8. 當您配置完策略設置后，請退出“組策略”管理單元，然后單擊關閉。
9. 退出“Active Directory 用戶和計算機”管理單元。

如何合并組策略設置

Windows 處理大量小 GPO 比處理少量大 GPO 要花費更長的時間。要減少登錄到域所花的時間，請合并若干個 GPO 的設置以創(chuàng)建一個大的策略設置。

如何基于安全組成員身份篩選組策略

Windows 處理所有鏈接的組策略設置，來確定要應用于登錄到域的計算機或用戶帳戶的有效策略設置。如果某個 GPO 與特定的用戶或組無關，您可以編輯安全權限，這樣將不處理您選擇的 GPO：

1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機”。
2. 執(zhí)行下列步驟之一：
   • 如果您想要編輯鏈接到域的 GPO 的安全設置，則右鍵單擊該域，然后單擊屬性。
   • 如果您想要編輯鏈接到一個組織單元的 GPO 的安全設置，則單擊展開該域，右鍵單擊該組織單元，然后單擊屬性。
3. 單擊組策略選項卡，單擊要配置的 GPO，然后單擊屬性。
4. 單擊安全選項卡。
5. 對于您不希望應用此策略設置的安全組，單擊以清除允許列中的應用組策略復選框，對于您希望應用此策略設置的安全組，則單擊選中允許列中的應用組策略復選框。
   
   備注：要基于安全組成員身份限制 GPO 的應用程序，您必須從“名稱”列表中刪除 Authenticated Users 組和 Everyone 組（如果它們存在）。如果啟用了環(huán)回處理，請單擊下面的文章編號，查看 Microsoft 知識庫中相應的文章，并閱讀其他說明。查找以“The machine account of the terminal server”開頭的句子。
   260370  (http://support.microsoft.com/kb/260370/EN-US/ ) How to Apply Group Policy Objects to Terminal Services Servers
6. 單擊確定，然后單擊確定。
7. 退出“Active Directory 用戶和計算機”管理單元。

如何禁用組策略設置的未使用部分

GPO 包含“計算機配置”部分和“用戶配置”部分。如果您希望應用的策略設置僅包含對該 GPO 的一個部分的配置更改，您可以配置該 GPO 以使系統(tǒng)不處理未使用的部分。此時，您可以減少 Windows 處理 GPO 所花的時間。

1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機”。
2. 執(zhí)行下列步驟之一：
   • 如果您想要編輯鏈接到域的 GPO 的安全設置，則右鍵單擊該域，然后單擊屬性。
   • 如果您想要編輯鏈接到一個組織單元的 GPO 的安全設置，則單擊展開該域，右鍵單擊該組織單元，然后單擊屬性。
3. 單擊組策略選項卡，單擊要配置的 GPO，然后單擊屬性。
4. 執(zhí)行下列步驟之一或都執(zhí)行：
   • 單擊以選中“禁用計算機配置設置”復選框，然后，當收到“確認禁用”消息時單擊是。
   • 單擊以選中“禁用用戶配置設置”復選框，然后，當收到“確認禁用”消息時單擊是。
5. 單擊確定，單擊應用，然后單擊確定。
6. 退出“Active Directory 用戶和計算機”管理單元。

如何將組策略設置配置為異步運行

啟動 Windows 時，系統(tǒng)將按以下順序同步處理每個 GPO 的計算機配置部分的策略設置：

1. 本地策略設置
2. 站點策略設置
3. 域策略設置
4. 組織單元策略設置

處理計算機配置策略設置后，系統(tǒng)將提示您登錄到域。登錄到域時，系統(tǒng)將按以下順序同步處理每個 GPO 的用戶配置部分的策略設置：

1. 本地策略設置
2. 站點策略設置
3. 域策略設置
4. 組織單元策略設置

要減少登錄所花的時間，請配置組策略設置的異步處理。此時，系統(tǒng)將下載策略設置并且不按順序處理，并且您就可以在應用所有策略設置之前登錄到域。要配置組策略設置的異步處理，請執(zhí)行下列步驟：

1. 創(chuàng)建一個您可以用來在域中實現(xiàn)異步組策略處理的 GPO。
2. 配置異步 GPO 處理。

下面各部分介紹如何完成這一過程。

如何為異步處理創(chuàng)建 GPO

要創(chuàng)建一個您可以用來在域中實現(xiàn)異步組策略處理的 GPO，請執(zhí)行以下步驟：

1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機”。
2. 右鍵單擊您的域，然后單擊屬性。
3. 單擊組策略選項卡，然后單擊新建。
4. 為該策略設置鍵入一個名稱（例如 Enable Asynchronous GPO Processing），然后按 ENTER 鍵。
5. 單擊屬性，然后單擊安全選項卡。
6. 對于您不希望應用此策略設置的安全組，單擊清除允許列中的應用組策略復選框；對于您希望應用此策略設置的安全組，則單擊選中允許列中的應用組策略復選框；然后單擊確定。

如何配置異步 GPO 處理

1. 單擊開始，指向程序，指向管理工具，然后單擊“Active Directory 用戶和計算機”。
2. 右鍵單擊您的域，然后單擊屬性。
3. 單擊組策略選項卡，單擊要配置的 GPO，然后單擊編輯。
4. 在計算機配置下，單擊以展開管理模板，單擊以展開系統(tǒng)，然后單擊組策略。
5. 在策略窗格中，雙擊“在啟動時為計算機異步采用組策略”。
6. 如果您希望在 Windows 啟動時啟用計算機策略設置的異步處理，請單擊已啟用。
7. 單擊應用，然后單擊確定。
8. 雙擊“在登錄時異步采用用戶的組策略”。
9. 如果您希望在用戶登錄域時啟用策略設置的異步處理，請單擊已啟用。
   
   備注：如果啟用該設置，您可能收到不想要的結果。如果您應用的策略設置與用戶配置設置沖突，則用戶可能在登錄到域后遇到這些改動。例如，系統(tǒng)處理每個策略設置后，登錄的用戶可能遇到桌面或開始菜單的變化。
10. 單擊應用，然后單擊確定。
11. 退出“組策略”管理單元，然后單擊關閉。