Meu GPO não está sendo aplicado. O que eu devo fazer (verificar)?

Neste post você aprenderá algumas dicas de o porquê do seu GPO não está sendo aplicado.

Bom, muita gente ainda tem bastante dúvidas de identificar o porquê um GPO não está sendo aplicado ao seu objeto. É por isso que abaixo listo algumas possíveis causas de isso está acontecendo. Vamos lá:

DICA 1 – O objeto não está inserido no local em que o link do GPO está vinculado.

Essa é sem dúvidas, a campeã, do motivo que um GPO não está sendo aplicado a um objeto do domínio. 

Todo mundo sabe, e deve saber, (em especial aos que administram os GPOs do domínio) que um GPO deve está vinculado aos objetos que os receberão. Se o GPO não estiver vinculado onde estão os objetos ou então o objeto não estiver no local que está o link do GPO, o mesmo não será aplicado a ele. Veja um exemplo ilustrativo abaixo para explicar melhor:

 

1

Console Usuários e Computadores do Active Directory.


Na imagem acima eu tenho dois computadores, DESKTOP-JS09CSD e TI, ambos dentro da unidade organizacional “Computadores” que por sua vez está localizada em -> TI -> MATRIZ -> diegogouveia.com.br. Para que esses computadores recebam um GPO, o link do mesmo deve está em algum dos locais que os computadores pertencem, neste caso:
ou na OU Computadores, ou na OU TI, ou na OU Matriz ou no domínio diegogouveia.com.br ou no site, como ilustra um exemplo abaixo, no qual demonstra que o link do GPO Conf_EstaçõesTI está sendo aplicado nos computadores DESKTOP-JS09CSD e TI do domínio diegogouveia.com.br.

(também mostra ainda nessa mesma foto que os computadores recebem outros GPOs como Audit_ContasActiveDirectory, Default Domain Policy e WinRM, vinculados a nível de domínio).

 

1

Consoles: Usuários e Computadores do Active Directory e GPMC.


Então a primeiro coisa a ser feita é verificar se objetos estão inseridos corretamente no local em que o link do GPO está vinculado. Caso não tenha sido essa a resposta do motivo de não está sendo aplicado o GPO, vá para as próximas dicas.

DICA 2 – Verifique se as configurações do GPO estão habilitadas.

Outra coisa que é bastante comum e possa está impedindo que seu GPO não ser aplicado aos objetos é o mesmo está com TODAS as suas configurações (ou parte delas) desabilitadas. Geralmente isso ocorre acontece em locais que os administradores trabalham habilitando apenas as configurações do que o GPO será aplicado, ou seja, se for somente um GPO para alguma configuração voltada ao computador é habilitado somente as configurações de computador e não de usuário, garantindo assim um desempenho melhor do processamento da política.

Para verificar se está habilitando ou não as configurações do status do seu GPO para o objeto em questão, clique no nome do GPO e acesse a guia Detalhes, encontrada no painel de resultado que será carregado. Com a guia selecionada verifique o campo Status GPO, ilustrado abaixo, se está habilitado as configurações do objeto que está tentando aplicar. 

1.png

Guia Detalhes  – Console GPMC do Windows Server 2012


DICA 3 – Verifique se não há outro GPO no domínio anulando a configuração que deseja aplicar.

Como todos sabem, os GPOs são aplicados seguindo um lógica, que é:

1. Local Group (Grupo Local).
2. Site.
3. Domain (Domínio).
4. Unidade Organizacional.

Então por ser aplicado seguindo uma hierarquia pode acontecer de algum GPO está anulando a configuração no qual está tentando aplicar. O meu conselho a você é olhar na hierarquia dos GPOs quais configurações estão sendo aplicadas depois do GPO em questão e verificar se algum deles estão em conflito com o GPO que está tentando aplicar.

Para saber quais GPOs estão sendo aplicadas a um objeto você pode usar o comando gpresult /r, explicado neste artigo abaixo:

– Obtendo as Configurações das Políticas de Grupo, de “forma tradicional” e remota, com o comando gpresult.

https://diegogouveia.com.br/2018/11/20/exibindo-as-configuracoes-das-politicas-de-grupo-com-o-gpresult/

Você também pode, se quiser, usar a guia de Herança de Política de Grupo do console GPMC, localizada no console do GPMC. Ela demonstra o que está sendo aplicada aos objetos que estão dentro daquela unidade organizacional (domínio, etc) e a ordem de como eles estão sendo aplicados ao mesmo, ilustrado em Precedência. 

1

Console GPMC – Guia Herança de Política de Grupo.

Na imagem acima é possível notar que o último GPO aplicado nos objetos da OU Computadores é o GPO Conf_EstaçõesTI. Ou seja, se por ventura meu computador ou usuário estivesse dentro dessa OU e não tivesse recebendo a configuração da política possivelmente podia ser algum GPO que é aplicado depois está entrando em conflito com o GPO da configuração. Neste caso pode usar a informação de Precedência, localizada na imagem acima, para saber quais GPOs estão sendo aplicados depois e ir diretamente neles consultando se há algum conflito com a mesma configuração. Vale lembrar que é possível alterar esse valor de precedência mas esse é assunto para outro post futuro. 

DICA 4 – Vinculo Desabilitado.

Outra coisa que pode está fazendo com que seu GPO não seja aplicado, é o link do mesmo está desabilitado no local no qual vinculou. Geralmente isso ocorre quando precisamos desabilitar um GPO que não está sendo usado naquele momento. Com isso esquecemos de habilitá-lo depois e assim ele não é aplicado aos objetos.

Para verificar se o seu GPO está habilitado ou não clique nele com o botão direito do mouse e verifique se está marcado a opção VINCULO HABILITADO, ilustrado abaixo.

1

Console GPMC – Verificando se o vínculo de um GPO está habilitado.

DICA 5 – Objeto com negação na política.

Outro cenário bastante comum – isso porque muitos departamentos precisam trabalhar com exceções em GPOs – é ter uma negação de leitura ou de aplicação a um objeto. 

Então verifique na guia Delegação -> Avançados se o objeto em questão não está com negação na aplicação da política, conforme ilustra o exemplo abaixo que demonstra que o usuário Diego Lima está com negação na política Conf_EstaçõesTI do domínio diegogouveia.com.br.

1

Negação Política GPO – Propriedades de um GPO – Guia Delegação – Console GPMC

DICA 6 – Veja como está configurado o valor da política.

Quando configuramos uma política no domínio, é perguntando se deseja ou não habilitar a mesma nas suas propriedades. Isso pode ser visto dando um duplo clique na política, verificando assim se deseja ou não aplicar a mesma e caso deseje aplicar se deseja HABILITAR ou NÃO.

1

Propriedades da Política – Console Editor de Política de Grupo.

DICA 7 – Se você possui mais de um DC, verifique se todos estão fazendo a replicação correta dos GPOs. 

Isso porque o usuário possa está se autenticado em algum DC que não está com uma cópia fiel dos GPOS do domínio, com isso fazendo com que ele não receba o GPO. No post abaixo eu explico como você verificar isso.

– Analisando o Status Da Infraestrutura das Políticas de Grupo do domínio, por meio do GPMC.

https://diegogouveia.com.br/2019/01/08/analisando-o-status-da-infraestrutura-das-politicas-de-grupo-do-dominio-por-meio-do-gpmc/

Vale lembar que também existem OUTRAS inúmeras razões de seu GPO não está sendo aplicado. Como desde o adaptador de rede não está configurado direito ou desativado a problemas de DNS, de autenticação e por aí vai. Listei apenas alguns exemplos que devem ser verificados.

Gostou do artigo? Que tal aprender mais? Segue o link da venda dos meus livros: Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016 e Administrando O Active Directory Com O PowerShell. Neles tem inúmeras dicas úteis e práticas, demonstradas passo a passo e sem complicações, de como usar o Windows PowerShell para administrar o Active Directory e como trabalhar com políticas de grupo na administração de um domínio. 

– Link da venda do livro: Administrando o Active Directory com o PowerShell:

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001545.

– Link da venda do livro: Tudo sobre GPOs no Windows Server 2008, 2012 e 2016.

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525

3

Clique na foto acima e receba os conteúdos do Blog no teu celular.

Anúncios
The following two tabs change content below.
Diego é graduado em Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor) e possui diversos cursos de qualificações nas áreas de Tecnologia da Informação. É autor também dos livros: Tudo Sobre GPOs no Windows Server e Administrando o Active Directory com o PowerShell.

Deixe uma resposta