Meu GPO não está sendo aplicado. O que eu devo fazer (verificar)?

Livro-GPO-Banner

Livro: Tudo Sobre GPOs no Windows Server 2008. 2012 e 2016.

Neste post você aprenderá algumas dicas de o porquê do seu GPO não está sendo aplicado.

Bom, muita gente ainda tem bastante dúvidas de identificar o porquê um GPO não está sendo aplicado ao seu objeto. É por isso que abaixo listo algumas possíveis causas de isso está acontecendo. Vamos lá:

DICA 1 – O objeto não está inserido no local em que o link do GPO está vinculado.

Essa é sem dúvidas, a campeã, do motivo que um GPO não está sendo aplicado a um objeto do domínio. 

Todo mundo sabe, e deve saber, (em especial aos que administram os GPOs do domínio) que um GPO deve está vinculado aos objetos que os receberão. Se o GPO não estiver vinculado onde estão os objetos ou então o objeto não estiver no local que está o link do GPO, o mesmo não será aplicado a ele. Veja um exemplo ilustrativo abaixo para explicar melhor:

 

1

Console Usuários e Computadores do Active Directory.


Na imagem acima eu tenho dois computadores, DESKTOP-JS09CSD e TI, ambos dentro da unidade organizacional “Computadores” que por sua vez está localizada em -> TI -> MATRIZ -> diegogouveia.com.br. Para que esses computadores recebam um GPO, o link do mesmo deve está em algum dos locais que os computadores pertencem, neste caso:
ou na OU Computadores, ou na OU TI, ou na OU Matriz ou no domínio diegogouveia.com.br ou no site, como ilustra um exemplo abaixo, no qual demonstra que o link do GPO Conf_EstaçõesTI está sendo aplicado nos computadores DESKTOP-JS09CSD e TI do domínio diegogouveia.com.br.

(também mostra ainda nessa mesma foto que os computadores recebem outros GPOs como Audit_ContasActiveDirectory, Default Domain Policy e WinRM, vinculados a nível de domínio).

 

1

Consoles: Usuários e Computadores do Active Directory e GPMC.


Então a primeiro coisa a ser feita é verificar se objetos estão inseridos corretamente no local em que o link do GPO está vinculado. Caso não tenha sido essa a resposta do motivo de não está sendo aplicado o GPO, vá para as próximas dicas.

DICA 2 – Verifique se as configurações do GPO estão habilitadas.

Outra coisa que é bastante comum e possa está impedindo que seu GPO não ser aplicado aos objetos é o mesmo está com TODAS as suas configurações (ou parte delas) desabilitadas. Geralmente isso ocorre acontece em locais que os administradores trabalham habilitando apenas as configurações do que o GPO será aplicado, ou seja, se for somente um GPO para alguma configuração voltada ao computador é habilitado somente as configurações de computador e não de usuário, garantindo assim um desempenho melhor do processamento da política.

Para verificar se está habilitando ou não as configurações do status do seu GPO para o objeto em questão, clique no nome do GPO e acesse a guia Detalhes, encontrada no painel de resultado que será carregado. Com a guia selecionada verifique o campo Status GPO, ilustrado abaixo, se está habilitado as configurações do objeto que está tentando aplicar. 

1.png

Guia Detalhes  – Console GPMC do Windows Server 2012


DICA 3 – Verifique se não há outro GPO no domínio anulando a configuração que deseja aplicar.

Como todos sabem, os GPOs são aplicados seguindo um lógica, que é:

1. Local Group (Grupo Local).
2. Site.
3. Domain (Domínio).
4. Unidade Organizacional.

Então por ser aplicado seguindo uma hierarquia pode acontecer de algum GPO está anulando a configuração no qual está tentando aplicar. O meu conselho a você é olhar na hierarquia dos GPOs quais configurações estão sendo aplicadas depois do GPO em questão e verificar se algum deles estão em conflito com o GPO que está tentando aplicar.

Para saber quais GPOs estão sendo aplicadas a um objeto você pode usar o comando gpresult /r, explicado neste artigo abaixo:

– Obtendo as Configurações das Políticas de Grupo, de “forma tradicional” e remota, com o comando gpresult.

https://diegogouveia.com.br/2018/11/20/exibindo-as-configuracoes-das-politicas-de-grupo-com-o-gpresult/

Você também pode, se quiser, usar a guia de Herança de Política de Grupo do console GPMC, localizada no console do GPMC. Ela demonstra o que está sendo aplicada aos objetos que estão dentro daquela unidade organizacional (domínio, etc) e a ordem de como eles estão sendo aplicados ao mesmo, ilustrado em Precedência. 

1

Console GPMC – Guia Herança de Política de Grupo.

Na imagem acima é possível notar que o último GPO aplicado nos objetos da OU Computadores é o GPO Conf_EstaçõesTI. Ou seja, se por ventura meu computador ou usuário estivesse dentro dessa OU e não tivesse recebendo a configuração da política possivelmente podia ser algum GPO que é aplicado depois está entrando em conflito com o GPO da configuração. Neste caso pode usar a informação de Precedência, localizada na imagem acima, para saber quais GPOs estão sendo aplicados depois e ir diretamente neles consultando se há algum conflito com a mesma configuração. Vale lembrar que é possível alterar esse valor de precedência mas esse é assunto para outro post futuro. 

DICA 4 – Vinculo Desabilitado.

Outra coisa que pode está fazendo com que seu GPO não seja aplicado, é o link do mesmo está desabilitado no local no qual vinculou. Geralmente isso ocorre quando precisamos desabilitar um GPO que não está sendo usado naquele momento. Com isso esquecemos de habilitá-lo depois e assim ele não é aplicado aos objetos.

Para verificar se o seu GPO está habilitado ou não clique nele com o botão direito do mouse e verifique se está marcado a opção VINCULO HABILITADO, ilustrado abaixo.

1

Console GPMC – Verificando se o vínculo de um GPO está habilitado.

DICA 5 – Objeto com negação na política.

Outro cenário bastante comum – isso porque muitos departamentos precisam trabalhar com exceções em GPOs – é ter uma negação de leitura ou de aplicação a um objeto. 

Então verifique na guia Delegação -> Avançados se o objeto em questão não está com negação na aplicação da política, conforme ilustra o exemplo abaixo que demonstra que o usuário Diego Lima está com negação na política Conf_EstaçõesTI do domínio diegogouveia.com.br.

1

Negação Política GPO – Propriedades de um GPO – Guia Delegação – Console GPMC

DICA 6 – Veja como está configurado o valor da política.

Quando configuramos uma política no domínio, é perguntando se deseja ou não habilitar a mesma nas suas propriedades. Isso pode ser visto dando um duplo clique na política, verificando assim se deseja ou não aplicar a mesma e caso deseje aplicar se deseja HABILITAR ou NÃO.

1

Propriedades da Política – Console Editor de Política de Grupo.

DICA 7 – Se você possui mais de um DC, verifique se todos estão fazendo a replicação correta dos GPOs. 

Isso porque o usuário possa está se autenticado em algum DC que não está com uma cópia fiel dos GPOS do domínio, com isso fazendo com que ele não receba o GPO. No post abaixo eu explico como você verificar isso.

– Analisando o Status Da Infraestrutura das Políticas de Grupo do domínio, por meio do GPMC.

https://diegogouveia.com.br/2019/01/08/analisando-o-status-da-infraestrutura-das-politicas-de-grupo-do-dominio-por-meio-do-gpmc/

Vale lembar que também existem OUTRAS inúmeras razões de seu GPO não está sendo aplicado. Como desde o adaptador de rede não está configurado direito ou desativado a problemas de DNS, de autenticação e por aí vai. Listei apenas alguns exemplos que devem ser verificados.

Gostou do artigo? Que tal aprender mais? Segue o link da venda dos meus livros: Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016 e Administrando O Active Directory Com O PowerShell. Neles tem inúmeras dicas úteis e práticas, demonstradas passo a passo e sem complicações, de como usar o Windows PowerShell para administrar o Active Directory e como trabalhar com políticas de grupo na administração de um domínio. 

– Link da venda do livro: Administrando o Active Directory com o PowerShell:

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001545.

– Link da venda do livro: Tudo sobre GPOs no Windows Server 2008, 2012 e 2016.

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525

3

Clique na foto acima e receba os conteúdos do Blog no teu celular.

Anúncios
The following two tabs change content below.
Desde 2016 escrevo sobre Windows Server. De lá para cá, já são mais de 100 artigos, dois livros, diversos vídeos, muitas respostas em fóruns e bastante colaboração.

Deixe uma resposta