none
Erro com GPO e Permissão de AD RRS feed

  • Pergunta

  • Boa tarde,

    Estou com um grave problema na minha rede, criei uma GPO para adicionar alguns usuários como administradores da maquina local.
    Porem não sei o que ocorreu, pois perdir acesso aos servidores, e só quem estava na lista tinha acesso aos servidores, consegui ter acesso aos servidores posteriormente. 
    Mas está ocorrendo algo muito estranho, os usuários do AD estão perdendo suas permissões ao acessar a pasta, verifiquei a base do AD e é como se o usuário realmente não tivesse permissão nenhuma, o pior é que a GPO já foi inativada e excluida, porem o erro persiste.
    Por favor me ajudem, pois não estou conseguindo reverter a situação.

    segunda-feira, 28 de agosto de 2017 17:07

Respostas

  • Olá Fábio, boa tarde !

    1 - eu criei a GPO no nível usuário, apontando usuários de diversas OU's.

    Usei o exemplo 2 do link abaixo:

    https://claudianojs.wordpress.com/2011/11/15/adicionar-grupo-de-administradores-local-via-gpo/

    2 - Não foi por script

    3 - Eu não consegui acessar o servidor com o meu usuário, só que consegui acessar com usuário teste.teste que também estava na lista

    4 - criei uma GPO do zero, porem aplicando em todas as maquina, não imagina nava que seria o descontrole que foi.

    5 - Estava usando o nivel de grupo local, porem quando mudei para universal os usuários não estava aparecendo mais no painel de controle do servidor (que foi um dos problemas, pois se ei tirasse um usuário do painel de controle e também saia do grupo da OU)

    6 - vou verificar
    • Marcado como Resposta Storm Cold terça-feira, 29 de agosto de 2017 18:37
    segunda-feira, 28 de agosto de 2017 18:59
  • Então,

    Seria interessante ver os logs do servidor e desktops também, sempre luzes aparecem.

    Seria interessante isola essa GPO em grupo destes específico e ambiente controlado, para assim conseguir entender melhor o que aconteceu ok.

    Como Dica:

    Cria um ambiente virtual igual a que vc tem e daqui pra frente sempre aplica nele antes.

    Já seria interessante criar para esse seu caso.

    Abraços FOL!

    • Sugerido como Resposta FÁBIOFOL terça-feira, 29 de agosto de 2017 02:56
    • Marcado como Resposta Storm Cold terça-feira, 29 de agosto de 2017 18:38
    terça-feira, 29 de agosto de 2017 02:56

Todas as Respostas

  • Olá caro Storm, tudo bem!

    Vamos entender alguns cenários de configuração e arquitetura, para assim entender melhor seu problema e resolução final:

    1 - Essa GPO que você criou foi a nível de usuário ou computador? Site, Domínio ou OU?

    Se foi a nível de usuário ver se está apontando para quais OU's, nível de computador mesma coisa.

    GPO's de restrição o ideal é trabalhar a nível de OU e vai crescendo, porque o controle é bem melhor.

    2 - Foi por Script?

    Esse tipo de necessidade o ideal é usar um script, pois, a tarefa é mais cirúrgica e controlada.

    3 - Quando você diz perca de acesso aos servidores (acesso remoto ou algum serviço ou pasta)?

    Se for acesso remoto, pode ser pelo motivo de usar uma GPO existente.

    Se for pasta, pode ser um Grupo dentro de outro Grupo tecnicamente aninhamento, se não tiver controle e documentação isso pode acontecer.

    Outro ponto é como está configurado a nível de compartilhamento e ntfs, isso faz uma diferença muito grande.

    4 - Algo estranho (Essa GPO foi criada do zero ou Usou uma existente)?

    Sempre importante isolar GPO's por recurso e restritiva ao seu escopo de atuação.

    5 - Nessas pastas está usando ACL a nível de usuário ou Grupo?

    A nível de Grupos é muito melhor, pois, o gerenciamento e centralização é bem melhor.

    Uma vez trabalhando com usuários, fica mais difícil entender os permissionamentos.

    Nessas pastas você pode usar as permissões efetivas que ajuda nisso.

    6 - O pior é que a GPO já foi inativada e excluída, porem o erro persiste!

    Dependendo do que foi configurado, os registros do windows são imputados e não adianta desativar.

    Para melhor entender:

    Nível de usuário: Chaves HKEY_CURRENT_USER

    Nível de Computador: Chaves HKEY_LOCAL_MACHINE

    Um bom Troubleshooting:

    1 - Gpresult /r /scope user ou Gpresult /r /scope computer;

    2 - Na Console do GPMC fazer uma análise nesses computadores de quais GPO's estão aplicando;

    3 - Se o que foi realizado é via configs, em um desktop com problema abrir o gpedit.msc;

    Grande abraço FOL!

    https://fabiofol.wordpress.com/

    https://www.arqengti.com.br

    https://www.youtube.com/c/FabioOliveiraFOL

    • Sugerido como Resposta FÁBIOFOL segunda-feira, 28 de agosto de 2017 18:35
    segunda-feira, 28 de agosto de 2017 18:35
  • Olá Fábio, boa tarde !

    1 - eu criei a GPO no nível usuário, apontando usuários de diversas OU's.

    Usei o exemplo 2 do link abaixo:

    https://claudianojs.wordpress.com/2011/11/15/adicionar-grupo-de-administradores-local-via-gpo/

    2 - Não foi por script

    3 - Eu não consegui acessar o servidor com o meu usuário, só que consegui acessar com usuário teste.teste que também estava na lista

    4 - criei uma GPO do zero, porem aplicando em todas as maquina, não imagina nava que seria o descontrole que foi.

    5 - Estava usando o nivel de grupo local, porem quando mudei para universal os usuários não estava aparecendo mais no painel de controle do servidor (que foi um dos problemas, pois se ei tirasse um usuário do painel de controle e também saia do grupo da OU)

    6 - vou verificar
    • Marcado como Resposta Storm Cold terça-feira, 29 de agosto de 2017 18:37
    segunda-feira, 28 de agosto de 2017 18:59
  • Parece que as maquinas não estão mais com a GPO, mas eu queria muito saber a causa desse problema todo.
    • Sugerido como Resposta FÁBIOFOL terça-feira, 29 de agosto de 2017 02:56
    • Não Sugerido como Resposta FÁBIOFOL terça-feira, 29 de agosto de 2017 02:56
    segunda-feira, 28 de agosto de 2017 19:22
  • Então,

    Seria interessante ver os logs do servidor e desktops também, sempre luzes aparecem.

    Seria interessante isola essa GPO em grupo destes específico e ambiente controlado, para assim conseguir entender melhor o que aconteceu ok.

    Como Dica:

    Cria um ambiente virtual igual a que vc tem e daqui pra frente sempre aplica nele antes.

    Já seria interessante criar para esse seu caso.

    Abraços FOL!

    • Sugerido como Resposta FÁBIOFOL terça-feira, 29 de agosto de 2017 02:56
    • Marcado como Resposta Storm Cold terça-feira, 29 de agosto de 2017 18:38
    terça-feira, 29 de agosto de 2017 02:56
  • Seria interessante seguir com alinha de criar o ambiente Virtual seria legal.

    Abraços FOL!

    • Sugerido como Resposta FÁBIOFOL terça-feira, 29 de agosto de 2017 02:57
    terça-feira, 29 de agosto de 2017 02:57
  • bom dia Fabio,

    Então estou com um erro que nunca vi antes.

    Possuo um grupo de usuário (Arquivo), nesse grupo existem 5 usuários e o escopo do grupo é universal,
    Porem quando mudo o escopo para Domínio local, de alguma forma esses 5 usuários aparecem no Painel de controle (Contas de usuário >> Gerenciar Contas de Usuário) do meu AD.
    Eu não estou entendendo o por que disso está ocorrendo, teria como me ajudar nessa situação por favor ?

    obrigado.
    terça-feira, 29 de agosto de 2017 14:40
  • Opa boa tarde,

    [Importante]

    Caro Storm favor marcar como resposta todas as perguntas que entende que ajudou e agregou ok. 

    Vc tem certeza que isso é dentro do seu AD?

    Te falo isso porque isso não existe quando vc tem um banco de dados do Active Directory, isso não acontece em Desktops ou Servidores Membros?

    Abraços FOL!

    • Sugerido como Resposta FÁBIOFOL terça-feira, 29 de agosto de 2017 18:07
    terça-feira, 29 de agosto de 2017 18:07
  • Boa tarde,

    Fabio, segue anexo 4 imagens do que está acontecendo. 
    terça-feira, 29 de agosto de 2017 18:54
  • terça-feira, 29 de agosto de 2017 18:54
  • terça-feira, 29 de agosto de 2017 18:55
  • terça-feira, 29 de agosto de 2017 18:56
  • Está ocorrendo exatamente o que está na imagem 
    terça-feira, 29 de agosto de 2017 18:57