درخواست توضیح در مورد Group Policy Refresh Interval
با سلام خدمت دوستان
در کنسول Group Policy در مسیر زیر چند پالیسی وجود داره که تفاوت اونها رو با هم نمیدونم همینطور هر کدومشون رو که باز میکنید با Enable کردن دو عدد از ورودی دریافت میکنه اگر ممکنه بفرمایید این پالیسی ها چکار میکنند و تفاوتشون رو با هم توضیح بدید و بفرمایین که این دو عدد چی هستند و چه مواقعی ازشون استفاده میشه . ممنون
برای کامپیوترها :
Computer Configuration => Administrative Templates => System => Group Policy
- Set Group Policy refresh interval for computers
- Set Group Policy refresh interval for domain controllers
و برای کاربران :
User Configuration => Administrative Templates => System => Group Policy
- Set Group Policy refresh interval for users
4 پاسخ
سلام
با استفاده از این پالیسی مشخص می کنیم هر چند وقت یکبار group policy مختص به کامپیوترها, کاربران و DC ها هنگامی که سیستم ها و سرورها استفاده می شوند به روز زسانی بشوند.این پالیسی با توجه به دسته بندیش (computer configuration,user configuration) براورد می کند بروز رسانی پالسیی ها رو از فولدر Computer Configuration یا فولدر User Configuration. به طور پیش فرض computer&user group policy هر 90 دقیقه و Group Policy on the domain controllers هر 5 دقیقه به روز رسانی می شوند با آفست تصادفی از 0 تا 30 دقیقه, علاوه بر این به روز رسانی group policy برای کامپوتر زمانی اتفاق می افتد که سیستم شروع به کار می کند.
شما می تونید سرعت بروز رسانی را از 0 تا 64800 دقیقه (45 روز) را مشخص کنید. اگر 0 دقیقه رو انتخاب کنید کامپوتر سعی می کند هر 7 ثانیه group policy مختص به کامپیوتر یا یوزر را به روز رسانی کند همچنین DC سعی می کند group policy را هر 7 ثانیه به روز کند.
به دلیل به روز رسانی ممکن است تداخل با کار کاربران و افزایش ترافیک شبکه به وجود بیاد, فواصل بروز رسانی بسیار کوتاه برای بسیاری از installation ها مناسب نیست. Group Policy refresh interval برای پالیسی کامپیوترها اجازه می ده مقدار فاصله به روز رسانی متفاوت مشخص کنیم, برای جلوگیری از درخواست به روز رسانی به طور همزمان کلاینت ها, سیستم فاصله به روز رسانی برای هر کلاینت را توسط یک عدد تصادفی دقیقه متفاوت می سازد. اگر شما 30 دقیقه را در قسمت زمان تصادفی مجموعه که حد بالایی محدوده واریانس است تایپ کنید, سیستم واریانس 0 تا 30 دقیقه را انتخاب می کند. با غیر فعال کردن این پالیسی, group policy هر 90 دقیقه به روز می شود و برای DC هر 5 دقیقه.
برای مشخص کردن این که group policy هرگز نباید به روز رسانی شود در حالی که کامپیوتر در حال استفاده است Disable background refresh of Group Policy policy را enable کنید.
با سلام . بسیار ممنون بابت راهنماییتون خیلی به من کمک کردید حالا 2تا سوال دیگه
- با اینکه پالیسی Set Group Policy refresh interval for domain controllers در ویندوزهای سون وجود داره ولی بی اثر هست و فقط در دومین کنترولرها قابل استفاده هست درسته ؟
- حالا در دومین کنترولرها پالیسی Set Group Policy refresh interval for domain controllers همون کار Set Group Policy refresh interval for computers رو همچنان انجام میده؟؟ یعنی دیگه با اعمال اون میشه پالیسی Set Group Policy refresh interval for computers رو برای دومین کنترولرها اعمال نکرد ؟
1. علت اینکه میبینید یک سری پالسی ها توی کلاینت ها یا سرور ها هستند که عملا مربوط به اون سیستم عامل نیستند، این هستش که مایکروسافت از یک Package یکسان از Group Policy در نسخه های ویندوز استفاده میکنه. یعنی کنسول و Database مربوط به Group Policy در در ویندوز های Windows XP و Server 2003 یکی بود. همینطور نسخه Group Policy در Windows Vista و Server 2008 یکسان بودند. این برای Server 2008 R2 و Windows 7 هم صحیح هستش. بنابراین شما پالسی های تقریبا یکسانی رو روی این نسخه های میبینید، در حالی که خیلی از این پالسی ها ممکنه روی اون سیستم عامل اصلا قابلیت اجرایی نداشته باشند (Applicable نباشند).
بنابراین Set Group Policy refresh interval for domain controllers روی نسخه های کلاینت کاری انجام نمیده.
البته علت دیگه این مورد، این هستش که شما امکان تغییر پالسی های موجود روی Server رو از طریق کنسول RSAT دارین. بنابراین امکان ویرایش این پالسی روی Windows 7 وجود داره، در حالی که به خود Windows 7 اعمال نمیشه.
2. طبق توضیحاتی که در جواب پرسش اول دادم، پالسی Set Group Policy refresh interval for computers فقط روی Domain Controller وجود داره، ولی کاری انجام نمیده. روی Domain Controller ها می بایست از Set Group Policy refresh interval for domain controllers استفاده کنید.
در تکمیل صحبت های امیر جان، چند نکته رو لازم میدونم که بگم.
1. بر خلاف تصور خیلی از دوستان که فکر میکنند این سرورها هستند که پالسی ها رو به کلاینت ها Force میکنند، این تصور اشتباه هستش. همیشه کلاینت هستش که از سرور درخواست میده، سرور فقط پالسی رو ارائه میده. یعنی کلاینت به سرور میگه که پالسی رو میخواد یا نه، وگرنه سرور پالسی رو روی کلاینت اعمال نمیکنه.
2. به صورت پیش فرض کلاینت هر 90 دقیقه یک بار به سرور درخواست پالسی میده. با استفاده از پالسی هایی که آقای شمس گفتن، میشه این زمان رو کم یا زیاد کرد. عدد اول مربوط به بازه زمانی هست که کلاینت از سرور درخواست پالسی میکنه. با توجه به اینکه اگر 1000 کلاینت هم زمان از سرور درخواست کنند، هم ترافیک شبکه بالا میره و هم بار (Load) روی سرور، کلاینت ها با توجه به بار (Load) روی سرور ، زمان مناسبی برای درخواست پالسی از سرور رو انتخاب میکنند. انتخاب این زمان مناسب با توجه به عدد دومی هست که در پالسی (که آقای شمس گفتن) مشخص میکنید.
3. همیشه ترجیح بر این هستش که این پالسی تغییر داده نشه و اعمال پالسی به صورت default انجام بشه. ولی زمانی که یه پالسی دارین که از نظز امنیتی خیلی برای شما مهم هستش، مثلا پالسی مربوط به Account Policy، Password Policy و یا تنظیمات مربوط به IPSec، در این شرایط شما میتونین به طور موقتی تنظیمات Refresh Interval رو روی عددی مثل 30 دقیقه قرار بدین که مطمئن باشین کلاینت ها در مدت زمان کمی، تنظیمات مد نظر شما رو دریافت میکنن.
4. با توجه به اینکه خیلی از دوستان فکر میکنن که کلاینت با حداکثر 1 بار Restart، تمامی پالسی ها رو دریافت میکنه، عملا اینطور نیست. این 1 بار Restart، حداقل هستش، نه حداکثز. این نکته رو در نظر بگیرین که کم بودن زمان Boot شدن کلاینت، اولویت داره به اعمال شدن پالسی ها (البته نه تمام پالسی ها)
این به آن خاطر هستش که پالسی Fast Logon Optimization به صورت پیش فرض روی حالت Enabled قرار داره. این پالسی برسی میکنه در صورتی که با اعمال شدن پالسی ها، زمان Boot شدن و Logon کردن کاربر بالا بره، ترجیح میده که کاربر تو زمان کمتری بتونه به Desktop دسترسی داشته باشه. البته در صورتی که کاربر برای اولین بار روی کلاینتی Login کنه، و یا کاربر Roaming Profile یا Home Directory داشته باشه و یا Logon Script داشته باشه که در Properties اون کاربر اعمال شده باشه، Fast Logon Optimization اثری نداره. این توضیحات بدین معنی هستن که با توجه ترافیک شبکه، سرعت کلاینت در پردازش پالسی ها و یا بار (Load) روی سرور، گاهی ممکنه برای اعمال پالسی ها مجبور بشین چند بار کلاینت رو Restart کنین.
5. توجه داشته باشین که کم کردن زمان Process کردن پالسی ها روی کلاینت ها، ممکنه باعث نارضایتی کاربران بشه. چون در زمان اعمال پالسی، صفحه Desktop کاربر Refresh میشه و منوهای باز، بسته میشن. همینطور اگر در تنظیمات جدیدتون، Software Restriction Policy و ... اعمال کرده باشین، ممکنه با Task روی کلاینت ناسازگاری داشته باشه و باعث اجرا نشدن نرم افزار خاصی بشه.