Precisa de explicação sobre por que um GPO específico é aplicado a todos os computadores do domínio

9

Estou um pouco perplexo com isso, então espero que alguém possa me esclarecer, já que me considero uma pessoa bem informada do GPO.

Eu tenho um GPO de banner de login que altera as Interactive Logon:configurações Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logonpara exibir um banner de login. Essa é a única coisa que esse GPO faz.

Agora, meu entendimento da Technet e de outras pessoas on-line, junto com minhas próprias experiências anteriores, é que você configura isso em um GPO que é aplicado / vinculado ao nível do domínio.

No entanto, aqui na minha empresa atual, nosso "LogonMessage GPO" é aplicado / vinculado aos controladores de domínio OU SOMENTE e, com certeza, esse GPO se aplica a todos os computadores da organização.

Executei um rsop.msc, por exemplo, na minha estação de trabalho e ele é mostrado como o GPO de origem dessa configuração, mesmo que minha estação de trabalho obviamente NÃO esteja na UO dos controladores de domínio.

Então, o que dá? Por que a aplicação de um GPO de faixa de login à UO dos Controladores de Domínio o aplica a todos os computadores no domínio?

group-policy O limpador
fonte
@joeqwerty Gotcha. Eu estava pensando que a mensagem era pós-login. Vamos limpar isso.
blaughw
Não se preocupe. É um problema realmente interessante. Nenhum dos domínios que eu olhei exibe esse comportamento.
joeqwerty
Eu não acho que o rsop mostra onde o GPO está vinculado. gpresult deve, na seção GPO aplicado ("Local do link"). Convém ativar o log de depuração do ambiente de diretiva de grupo e revisar o gpsvc.log. Ele deve mostrar de onde os GPOs estão sendo retirados. Pesquisar:SearchDSObject: Searching <CN=
Greg Askew
@GregAskew: Bom ponto. Embora o RSOP mostre o GPO de origem da configuração em questão, como você diz, não mostra onde o GPO está vinculado.
Joeqwerty
@GregAskew - sim, como afirmado, ele está vinculado apenas à UO dos controladores de domínio. Foi isso que motivou a pergunta, que me jogou completamente para saber como está funcionando dessa maneira.
TheCleaner

Respostas:

8

Tem certeza de que não está vinculado no nível do site? Você deve verificar isso no GPMC, em Sites (clique com o botão direito do mouse e escolha "Mostrar sites" e mostre todos os sites).

Duenni
fonte
Foi isso. Eu havia pulado completamente um GPO vinculado a um site. Obrigado senhor por me lembrar de verificar lá.
TheCleaner
Agradável! Ainda bem que ajudou.
duenni 27/07/2015
3

Para solucionar esse tipo de problema, você deve usar a ferramenta GPMC (Console de Gerenciamento de Diretiva de Grupo), que ajuda a localizar onde as diretivas de grupo estão vinculadas e quem tem direitos para lê-las.

Brian Lewis
fonte