域用户经常抱怨由于组策略(GPO)的长时间处理而导致计算机启动和登录时间缓慢。从用户的角度来看，计算机启动时间很长，在"应用计算机/用户设置"阶段似乎挂断了几分钟。在本文中，我将尝试收集有用的诊断工具和方法，使管理员可以确定在域计算机上应用GPO速度慢的原因。

实际上，应用组策略需要花费较长时间的原因很多：可能是DNS问题，DC可用性和与它的连接速度，AD站点的配置错误或者复制问题，组策略配置错误，脚本错误等。很难描述一种诊断所有这些问题的多合一算法。通常，在解决此类问题时，进行诊断的管理员的经验和技能将发挥重要作用。在本文中，我们将仅专注于GPO和GPClient机制问题的诊断。

如何阻止组策略继承

为确保问题与域GPO有关，请在域中创建一个单独的OU，然后将有问题的计算机移至该OU。然后使用组策略管理控制台(GPMC.msc)为该容器启用策略继承阻止("块继承")。因此，所有域策略都将停止应用到此容器(启用了强制模式的策略除外)。

可以通过注册表激活相同的参数。为此，在注册表项HKEY_LOCAL_MACHINE\SOFTWARE Microsoft\Windows\CurrentVersion\Policies\System中，创建一个名称为verbosestatus且值为1的DWORD参数。

结果，在引导过程中，我们将在屏幕上看到以下消息：

Windows系统日志中的组策略事件分析

在应用程序日志中，来自Winlogon的EventID 6006带有以下消息可以证明策略应用程序运行缓慢：

Winlogon通知订阅者<GPClient>花费了3104秒来处理通知事件(CreateSession)。

• EventID5312包含已应用策略的列表，EventID5317显示已过滤的GPO的列表。
• EventID" 8000"和" 8001"分别包含引导期间计算机和用户策略处理的时间。 EventID" 8006"和" 8007"具有有关定期更新期间策略应用时间的数据。

在28秒内完成了对CORP\pc212333 $的计算机启动策略处理。

分析日志时，请注意两个相邻事件之间的时间。它可以帮助找到问题的组成部分。

GPSVC调试日志

在某些情况下，启用GPO处理调试日志gpsvc.log很有用。使用gpsvc.log中的时间戳，我们可以找到已经处理了很长时间的GPO组件。

组策略首选项调试日志

组策略首选项扩展也可以记录每个CSE(客户端扩展)组件的启动。可以在以下GPO部分中启用CSE调试日志：计算机配置->策略->管理模板->系统->组策略->日志记录和跟踪

提示如果gpedit.msc/GPMC控制台的"组策略"部分中没有"日志和跟踪"小节，请下载并安装"组策略首选项" ADMX模板，然后从"％PROGRAMFILES％\ Microsoft组策略"中复制" GroupPolicyPreferences.admx"到本地文件夹" PolicyDefinitions"或者SYSVOL中的中央目录" PolicyDefinitions"。

收集日志后，我们需要分析它们的错误，并尝试查找附近的事件，这些事件之间的时间间隔为几分钟。