none
Hierarquia de GPOs RRS feed

  • Pergunta

  • Pessoal, estou com algumas dúvidas referente a hierarquia de GPOs.

    Atualmente, eu possuo duas diretivas em duas OUs independentes. Funciona perfeitamente.

    Porém, uma dessas OUs chama-se USUARIOS.

    Para melhor organizar isso, dentro de USUARIOS eu pretendo criar outras OUs, com o nome de cada setor da empresa. Com isso, criarei uma GPO específica para cada setor conforme sua necessidade, tanto quanto a restrições e scripts de logon.

    Daí em a minha dúvida. A GPOs aplicadas às OUs dentro da OU USUARIOS terão prioridade sobre a GPO atual, presente somente em USUARIOS?

    É possível "unir" as configurações de duas GPOs?

    Um exemplo da "união". Digamos que todos os USUARIOS precisem ter mapeado em suas estações a UNIDADE X. E os usuários do Setor A precisem ter mapeado alem da unidde X, a unidade Y.

    Se na GPO de USUARIOS eu criar o script para mapear o X e na GPO do Setor A um outro script para mapear a unidade Y, os dois scripts serão executados para os usuários do Setor A?

    E referente às restrições: Digamos que em USUARIOS, não é permitido a instalação de impressoras. Caso essa diretiva esteja como "Não definida" na GPO do Setor A, os usuários desse setor poderão instalar impressoras?

    Obrigado

    quarta-feira, 31 de agosto de 2011 18:43

Respostas

  • Jackson, as GPOs são herdáveis por padrão, então se uma OU possui uma GPO aplicada e dentro da OU for criando outras, essa que está na OU "pai", vai propagar p/ as demais. Isso por padrão, vc pode impedir isso.

    A ordem de execução de GPO, é:

    SITE 

    LOCAL

    DOMINIO

    OU

    É nesta sequência a precedência. Mais informações: http://technet.microsoft.com/pt-br/library/cc785665%28v=ws.10%29.aspx

     

    Não há necessidade de união. As configurações de diretiva vão se acumulando para o usuário ou computador, de acordo que recebem

    Ex: vc pode ter uma GPO com 50 configurações, tudo na mesma ou 50 GPOs com uma configuração da uma.

     

    Não sei se ficou claro.

    Vai postando suas dúvidas ai que ajudamos você até entender ;)

     

     


    Gustavo Valle | http://grvalle.com
    • Marcado como Resposta JacKSon1903 quarta-feira, 31 de agosto de 2011 21:04
    quarta-feira, 31 de agosto de 2011 18:55
    Moderador
  • Neste exemplo, os usuários não terão acesso ao painel de controle.

    A GPO do dominio irá prevalecer.


    Gustavo Valle | http://grvalle.com
    • Marcado como Resposta JacKSon1903 quarta-feira, 31 de agosto de 2011 21:04
    quarta-feira, 31 de agosto de 2011 20:02
    Moderador
  • Vc pode bloquear herança, Impor ou não Vículos, etc...

    Mas é isso mesmo, parece que entendeu o funcionamento :)

     


    Gustavo Valle | http://grvalle.com
    • Marcado como Resposta JacKSon1903 quarta-feira, 31 de agosto de 2011 21:04
    quarta-feira, 31 de agosto de 2011 20:48
    Moderador

Todas as Respostas

  • Jackson, as GPOs são herdáveis por padrão, então se uma OU possui uma GPO aplicada e dentro da OU for criando outras, essa que está na OU "pai", vai propagar p/ as demais. Isso por padrão, vc pode impedir isso.

    A ordem de execução de GPO, é:

    SITE 

    LOCAL

    DOMINIO

    OU

    É nesta sequência a precedência. Mais informações: http://technet.microsoft.com/pt-br/library/cc785665%28v=ws.10%29.aspx

     

    Não há necessidade de união. As configurações de diretiva vão se acumulando para o usuário ou computador, de acordo que recebem

    Ex: vc pode ter uma GPO com 50 configurações, tudo na mesma ou 50 GPOs com uma configuração da uma.

     

    Não sei se ficou claro.

    Vai postando suas dúvidas ai que ajudamos você até entender ;)

     

     


    Gustavo Valle | http://grvalle.com
    • Marcado como Resposta JacKSon1903 quarta-feira, 31 de agosto de 2011 21:04
    quarta-feira, 31 de agosto de 2011 18:55
    Moderador
  • Certo.

    Restou apenas uma dúvida.

    No exemplo de 50 configurações ou GPOs que você usou.

    Caso eu tenha alguma configuração conflitante entre elas, prevalecerá sempre a de nível mais restrito?

    Digamos que na GPO do domínio os usuários não podem acessar o painel de controle. Mas na GPO de uma OU a diretiva permite.

    Os usuários que estiverem dentro dessa OU terão acesso ao painel de controle, certo?

    quarta-feira, 31 de agosto de 2011 19:38
  • Neste exemplo, os usuários não terão acesso ao painel de controle.

    A GPO do dominio irá prevalecer.


    Gustavo Valle | http://grvalle.com
    • Marcado como Resposta JacKSon1903 quarta-feira, 31 de agosto de 2011 21:04
    quarta-feira, 31 de agosto de 2011 20:02
    Moderador
  • humm, entendi (ou acho que entendi pelo menos, rsrs).

    Isso então também vale para as OUs que estiverem dentro de uma outra OU.

    Apenas mudando o exemplo:

    SE eu tiver a OU USUARIOS e negar o acesso ao painel de controle e a OU Setor A estiver dentro dessa OU, por mais que a diretiva aplicada ao Setor A permita o acesso, os mesmos não acessrão devido a herança da OU principal (nesse caso USUARIO).

    Se eu quisesse liberar o acesso somente para esse setor, eu preciso criar uma OU fora de USUARIOS e aí sim aplicar a diretiva.

    Correto?

    quarta-feira, 31 de agosto de 2011 20:09
  • Vc pode bloquear herança, Impor ou não Vículos, etc...

    Mas é isso mesmo, parece que entendeu o funcionamento :)

     


    Gustavo Valle | http://grvalle.com
    • Marcado como Resposta JacKSon1903 quarta-feira, 31 de agosto de 2011 21:04
    quarta-feira, 31 de agosto de 2011 20:48
    Moderador
  • CErto.

     

    Vlw msm.

    quarta-feira, 31 de agosto de 2011 21:04


  • Olá Gustavo, acredito que houve um "engano" de sua parte :). A ordem significa que o objeto de Diretiva de Grupo é processado primeiro e os objetos de Diretiva de Grupo vinculados à unidade organizacional da qual o computador ou usuário é um membro direto são processadas por último, substituindo os objetos de Diretiva de Grupo anteriores, se houver conflitos. (Se não houver conflitos, as configurações anteriores e posteriores são meramente agregadas.)

    A ordem de execução correta é:
    Local
    Site
    Domínio
    Unidade Organizacional Pai (OU Pai)
    Unidade Organizacional Filha (OU Filha)

    Portanto, se houver conflito, a OU Filha será executada.

    http://technet.microsoft.com/pt-br/library/cc785665%28v=ws.10%29.aspx

    Abraços...


    sexta-feira, 26 de setembro de 2014 04:47