none
Questao de GPO - Opniao RRS feed

  • Pergunta

  • Ola pessoal

    Gostaria de ajuda sobre uma questao que errei ao responder, porem posteriormente ao testar na pratica eu estava certo.

    A questao é a seguinte:

    1- Uma OU chamada OU1 e dentro esta OU tem 1 usuario o usuario chamado User1

    2- Um Grupo de Seguranca, que esta dentro da OU1, onde tem um outro usuario User2 ( porém o User2 NAO esta dentro da OU1), somente o Grupo de Segurança esta dentro da OU1

    3- Uma Gpo chamada GP1 que esta linkada na na OU1, sendo que esta GPO bloqueia o acesso ao painel de controle.

    Ao aplicar a GP1 na OU1, e no filtro de segurança da GPO, adicionar somente o Grupo de Segurança, o que esperava era

    que a GPO fosse aplicada somente ao usuario2. ( pois no filtro de segurança, tem somente o grupo de seguranca, onde o membro deste grupo é somente o usuario2)

    A resposta para essa questao era que a GPO so iria ser aplicada no User2, porque ele estava dentro do Grupo de Segurança e somente o Grupo estava dentro do Filtro da GPO. ( Portanto aqui eu errei)

    Porem acabei de testar e o vi na pratica foi o seguinte:

    A GPO nao foi aplicada ao User2, porque ele nao estava dentro da OU1, e tambem nao foi aplicada ao User1, porque dentro do filtro de segurança da GPO, so estava adicionado o Grupo de Segurança.

    A conclusao que cheguei, foi que o filtro de segurança da GPO, so funciona para os usuarios que estao dentro da GPO.

    Neste caso, colocando  os dois usuarios estivessem dentro da OU1, a GPO so iria ser aplicada ao User2.

    Porem ainda assim, gostaria da opiniao dos colegas, pra saber se nao fiz nada errado.


    domingo, 24 de janeiro de 2016 16:05

Respostas

  • Olá Fernando, bom dia.

    Sua conclusão está correta. Uma GPO é aplicada a usuários e computadores dentro de uma OU, nunca a membros de um grupo. O grupo de segurança serve somente para filtrar quais usuários e computadores tem permissão de ler e aplicar a GPO. Ter essa clareza ajuda a resolver muitas questões na prova e no dia-a-dia de administração de AD. Sucesso!

    Se a resposta fornecida nessa thread ajudou na sua solução, não esqueça de marcar como resposta!

    Abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT
    Blog: www.gm9.com.br
    segunda-feira, 25 de janeiro de 2016 10:31
  • Gustavo, vamos lá... talvez eu tenha me expressado de uma forma que não ficou claro..

    dominio.xxx - Grupo "GrupoTeste" criado no dominio, fora de qualquer OU, apenas abaixo do dominio.

              |_ OU1 ->> GP1 -->> aplicada ao GrupoTeste

                       |_ user1

              |_ OU2

                       |_user2

                       |_user3

                       |_user4

    1 - Adicionei o User2 ao GrupoTeste;

    2 - Criei uma GPO de usuário para bloquear o Painel de Controle;

    3 - GPO "linkada" na OU1; (conforme teste/prova do nosso amigo lfernando34);

    4 - No filtro de segurança, informo que vou aplicar para o GrupoTeste;

    5 - Ao logar com User1 ou User2 a GPO não é aplicada, pois a mesma foi aplicada na OU1 e para um grupo que possui apenas o User2 como membro, porém o User2 esta alocado na OU2, então o sistema não consegue identificá-lo na OU1 para aplicar a GPO e não é aplicado ao User1, pois o mesmo não é membro do GrupoTeste;

    6 - Se eu aplicar essa GPO ao dominio, o User2 terá o Painel de Controle bloqueado, pois a GPO consegue identifcar o grupo e o user2 na estrutura abaixo e sua OU2 não possui bloqueio de herança e como apenas o User2 é membro deste grupo, os demais usuários não serão afetados;

    7- Não quero aplicar a nivel de dominio, quero que seja aplicada a nivel de OU, então como a GPO esta com filtro de segurança para aplicar ao GrupoTeste e o user2 esta na OU2, preciso aplicar a GPO (GP1) na OU2 que será aplicado ao GrupoTeste, onde o sistema identificará o User2 abaixo da OU, e irá descartar o User3, User4 que não são membros deste grupo;

    Concordamos em algo ?


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.






    segunda-feira, 25 de janeiro de 2016 21:34
    Moderador
  • Exatamente Felipe, concordamos sim! A combinação de filtro de grupo e posicionamento no AD é que determina a aplicação da GPO.

    Um abraço!
    Gustavo

    • Marcado como Resposta lfernando34 terça-feira, 26 de janeiro de 2016 10:31
    segunda-feira, 25 de janeiro de 2016 21:58

Todas as Respostas

  • Olá Fernando, bom dia.

    Sua conclusão está correta. Uma GPO é aplicada a usuários e computadores dentro de uma OU, nunca a membros de um grupo. O grupo de segurança serve somente para filtrar quais usuários e computadores tem permissão de ler e aplicar a GPO. Ter essa clareza ajuda a resolver muitas questões na prova e no dia-a-dia de administração de AD. Sucesso!

    Se a resposta fornecida nessa thread ajudou na sua solução, não esqueça de marcar como resposta!

    Abraço,
    Gustavo Zimmermann Montesdioca - MTAC, MCT
    Blog: www.gm9.com.br
    segunda-feira, 25 de janeiro de 2016 10:31
  • Prezados,

    Informo que é possível aplicar definições de Group Policy para grupos, porém para ter sucesso devemos prestar atenção no escopo de aplicação (site, OU, domínio, subOUs).

    Neste caso o usuário esta em uma OU especifica (OU1) onde a GP1 esta aplicada, então o grupo deve também estar abaixo desta mesma OU1 ou o grupo e a GP1 estarem configurados em um nível superior a conta do usuário ou até mesmo "linkado" ao site que a estação faz parte.

    Exemplo simples, se você "linkar" essa mesma GP1 ao domínio e aplicá-a para o grupo que o user2 é membro, a aplicação ocorrerá com êxito.

    Então nesta OU1 eu tenho user1, user2, user3...... user10, mas quero bloquear somente para o user1, 2 e 3 o painel de controle. Crio um grupo, adiciono os 3 usuários que desejo bloquear o painel de controle e aplico ao domínio ou aplico nesta OU que os usuários fazem parte e dou um move do grupo para lá (OU1), porém estou filtrando para somente 3 usuários dessa localização (OU1).

    Espero ter ajudado,

    abs,


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    segunda-feira, 25 de janeiro de 2016 13:59
    Moderador
  • Olá Felipe,

    Creio que possa estar um pouco confusa essa discussão. A menos que exista uma mudança significativa em GPO que eu não vi, você somente aplica GPO a usuários e computadores. Se você colocar usuários dentro de um grupo, colocar esse grupo em uma OU e vincular uma GPO, isso não faz com que a GPO seja aplicada aos usuários membros desse grupo. O grupo serve somente para aplicar filtros, ou seja, determinar quais usuários podem ler e aplicar a GPO, mas o grupo não precisa estar abaixo da GPO e o objeto (usuário ou computador) deve ser alcançável pela GPO. Se você vincula uma GPO em nível de domínio, por exemplo, qualquer objeto terá ele aplicado a menos que uma OU esteja marcada como bloqueio de herança. Eu procurei referências ao ler seu post sobre aplicação de GPO em grupos, não consegui encontrar nada. Abaixo, uma referência do Technet sobre GPO, a primeira frase fala aplicar a usuários e computadores.

    https://technet.microsoft.com/pt-br/windowsserver/bb310732.aspx

    Um abraço,
    Gustavo

    segunda-feira, 25 de janeiro de 2016 20:06
  • Gustavo, sugiro que você teste em seu ambiente de Lab o que eu estou dizendo.

    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    segunda-feira, 25 de janeiro de 2016 20:14
    Moderador
  • https://technet.microsoft.com/en-us/library/cc781988(v=ws.10).aspx

    "However, you can use Security Filtering on a GPO to modify its effect to apply only to a specific user or the members of a security group by modifying the permissions on the GPO"

    https://technet.microsoft.com/pt-br/library/cc728301(v=ws.10).aspx


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    segunda-feira, 25 de janeiro de 2016 20:24
    Moderador
  • Felipe,

    Ambos artigos deixam claro que o grupo serve para filtrar os usuários que terão a GPO aplicada. Para ter essa GPO aplicada, o usuário tem que estar abaixo da GPO (seja site, domínio, OU, subOU) e estar dentro do grupo. Está errado dizer que você aplica uma GPO para um grupo porque se você colocar um grupo abaixo da GPO, isso não terá nenhum efeito nos membros desse grupo (ou seja, nenhuma GPO será aplicada).

    Continuando a frase que tu destacasse: By combining Security Filtering with appropriate placement in OUs, you can target any given set of users.

    Ou seja, o lugar onde está o usuário ou computador importa para o resultado.

    Se você quiser apostar um café, eu monto o lab e provo :)

    Abraço,
    Gustavo


    segunda-feira, 25 de janeiro de 2016 20:58
  • Gustavo, vamos lá... talvez eu tenha me expressado de uma forma que não ficou claro..

    dominio.xxx - Grupo "GrupoTeste" criado no dominio, fora de qualquer OU, apenas abaixo do dominio.

              |_ OU1 ->> GP1 -->> aplicada ao GrupoTeste

                       |_ user1

              |_ OU2

                       |_user2

                       |_user3

                       |_user4

    1 - Adicionei o User2 ao GrupoTeste;

    2 - Criei uma GPO de usuário para bloquear o Painel de Controle;

    3 - GPO "linkada" na OU1; (conforme teste/prova do nosso amigo lfernando34);

    4 - No filtro de segurança, informo que vou aplicar para o GrupoTeste;

    5 - Ao logar com User1 ou User2 a GPO não é aplicada, pois a mesma foi aplicada na OU1 e para um grupo que possui apenas o User2 como membro, porém o User2 esta alocado na OU2, então o sistema não consegue identificá-lo na OU1 para aplicar a GPO e não é aplicado ao User1, pois o mesmo não é membro do GrupoTeste;

    6 - Se eu aplicar essa GPO ao dominio, o User2 terá o Painel de Controle bloqueado, pois a GPO consegue identifcar o grupo e o user2 na estrutura abaixo e sua OU2 não possui bloqueio de herança e como apenas o User2 é membro deste grupo, os demais usuários não serão afetados;

    7- Não quero aplicar a nivel de dominio, quero que seja aplicada a nivel de OU, então como a GPO esta com filtro de segurança para aplicar ao GrupoTeste e o user2 esta na OU2, preciso aplicar a GPO (GP1) na OU2 que será aplicado ao GrupoTeste, onde o sistema identificará o User2 abaixo da OU, e irá descartar o User3, User4 que não são membros deste grupo;

    Concordamos em algo ?


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.






    segunda-feira, 25 de janeiro de 2016 21:34
    Moderador
  • Exatamente Felipe, concordamos sim! A combinação de filtro de grupo e posicionamento no AD é que determina a aplicação da GPO.

    Um abraço!
    Gustavo

    • Marcado como Resposta lfernando34 terça-feira, 26 de janeiro de 2016 10:31
    segunda-feira, 25 de janeiro de 2016 21:58