none
Influência de GPO (com vários parâmetros) no tempo de login RRS feed

  • Discussão Geral

  • Olá pessoal,

    Acho que a galera fera daqui pode responder algumas dúvidas relativas a GPO por gentileza, pois estou revendo algumas questões sobre as GPOs da Sascar e gostaria apenas de entender o serviço:

    1) Uma GPO que muda diversos parâmetros em serviços de usuário pode influenciar no tempo de login na máquina? (segue exemplo abaixo)

    2) Quando uma GPO muda diversos parâmetros em vez de um, ela é aplicada diversas vezes até definir parâmetro-por-parâmetro ou executa tudo “em um lote só”?

    3) Quando uma máquina já tem a GPO "X" de login aplicada, ao reiniciar e logar novamente, ela volta a aplicar a GPO "X" ou ela ignora e parte para as que não estão aplicadas?

     

    (exemplo da pergunta 1)

    Por exemplo, ao dar um gpresult na minha máquina me deparo com uma GPO que é aplicada diversas vezes (estou passando apenas alguns parâmetros que ela altera):

     

            Direitos do usuário

            -------------------

                GPO: W10

                    Pol¡tica:                    CreateGlobalPrivilege

                    Configura‡Æo do computador:  Administradores

                                       SERVI€O LOCAL

                                       SERVI€O DE REDE

                                       SERVICE

                                      

                GPO: W10

                    Pol¡tica:                    DenyRemoteInteractiveLogonRight

                    Configura‡Æo do computador:  Convidados

                                       

                GPO: W10

                    Pol¡tica:                    ImpersonatePrivilege

                    Configura‡Æo do computador:  Administradores

                                       SERVI€O LOCAL

                                       SERVI€O DE REDE

                                       SERVICE

                                      

                GPO: Default Domain Policy

                    Pol¡tica:                    MachineAccountPrivilege

                    Configura‡Æo do computador:  GG_TI_ServiceDesk

                                       GG_TI_ServiceDesk Nivel 2

                                       SASCAR\GG_TI_Infra

                                      

                GPO: W10

                    Pol¡tica:                    ChangeNotifyPrivilege

                    Configura‡Æo do computador:  SERVI€O LOCAL

                                       SERVI€O DE REDE

                                       Usu rios autenticados

    quarta-feira, 10 de outubro de 2018 20:41

Todas as Respostas

  • Olá caro Regis, tudo bem!

    Vamos explicar abaixo cada pergunta, assim como, alguns conceitos importantes para entendermos melhor seu cenário, problemas e soluções.

    1) Uma GPO que muda diversos parâmetros em serviços de usuário pode influenciar no tempo de login na máquina? (segue exemplo abaixo)

    Bom, analisando suas GPO´s acima, os comportamentos não seriam muito abruptos, ou seja, a levar uma lentidão para os usuários, quase todas são a nível de computador.

    Ponto importante: Em Ambientes heterogêneos (Tanto em Desktop Win Xp-7-8-10 e Windows Server 2012-2016 e outros), Hardware com sub-sistemas (Cpu, Disco, Memória e Rede), conta e muito nas analises, pois, podem ser necessários configurações extras conforme abaixo.

    Importante habilitar aguardar pela rede no logon, muitas das vezes a Gpo não aplica porque o processo de inicialização é muito rápido e "não conversa de forma correta com o AD e as Dll´s local"

    Outro Ponto importante, é que se for um ambiente muito lento e por links mpls, fundamental habilitar sllow link detection.

    Como viu acima, é altamente importante ver a saúde do AD e Desktop, mas quem aplica são as Dll´s locais do desktop, comando muito bom: sfc /scannow

    A nível de server para validar quem aplicou em um ou outro: Set l

    Importante nos testes: Testar em várias outras máquinas e tipos de SO, desta forma, fechar o cerco no problema.

    2) Quando uma GPO muda diversos parâmetros em vez de um, ela é aplicada diversas vezes até definir parâmetro-por-parâmetro ou executa tudo “em um lote só”?

    A gpo aplica de uma única vez, e quando de forma nativa na próxima aplicação somente valida se está ok e segue, se não estiver aplica novamente.

    Em instalação de Software e outros Scripts, ai vai como foi programada os passos.

    Pode-se trabalhar em modo mesh ou passo a passo, de forma padrão vai aplicada conforme níveis: Site, domínio , Ou e Ou´s filhas.

    3) Quando uma máquina já tem a GPO "X" de login aplicada, ao reiniciar e logar novamente, ela volta a aplicar a GPO "X" ou ela ignora e parte para as que não estão aplicadas?

    Nas explicações acima explanamos isso ok.

    Mas com algum problema no desktop, ela não aplica e isso é um problema grande. Event Viewer é sempre bom e SFC /scannow.

    Boas práticas:

    1. Segregar bem as GPO´s, ou seja, expecíficas e não mesclar. Ex: Se é de segurança que sea disso, enão misturar com instalação de software;
    2. Habilitar Sllow Link Detection e Always Wait for Network importante;
    3. Trabalhe as Gpo´s a nível de OU (Unidade Organizacional);

    Abraços FOL!

    quinta-feira, 11 de outubro de 2018 19:08