locked
GPO Não Aplica para Grupos ou Usuários Específicos RRS feed

  • Pergunta

  • PEssoal,

    Estou criando uma GPO simples que apenas adiciona um atalho de uma aplicação na área de trabalho para o usuário, o problema é que preciso aplicar isto para um determinado grupo de usuários e isto não está funcionando.

    Ao criar a GPO padrão automaticamente é adicionado ao campo Security Filering o grupo "Authenticated Users", e quando está desta forma ela funciona normalmente e o atalho é criado no desktop do usuário, tanto máquinas Windows 10 quanto Windows 7.

    Ao remover o grupo de "Authenticated Users"  e colocar apenas o grupo de usuários específicos que desejo e até o meu próprio usuário diretamente a GPO pára de funcionar.

    Ao realizar o Gpupdate /Force e Gpresult /R vejo que há uma mensagem dizendo que a Gpo não foi aplicada por razão desconhecida devido à Filtragem !

    O mais estranho é que se eu logar em máquinas que são controladores de domínio a mesma funciona, apenas estações de trabalho e servidores Member Server não funciona !

    Em análise ao event viewer de uma máquina Windows 10 é apresentada a seguinte mensagem de Information cuja fonte é ESENT:

    Nome do Log:   Application
    Fonte:         SceCli
    Data:          22/11/2018 10:34:24
    Identificação do Evento:1202
    Categoria da Tarefa:Nenhum
    Nível:         Aviso
    Palavras-chave:Clássico
    Usuário:       N/D
    Computador:    PADRAO02.xyx.com
    Descrição:
    As políticas de segurança foram propagadas com aviso. 0x534 : Não foi feito mapeamento entre os nomes de conta e as identificações de segurança.

    Opções de ajuda avançada referentes a este problema estão disponíveis em https://support.microsoft.com. Faça uma consulta por "solução de problemas de eventos 1202". 

    O erro 0x534 ocorre quando uma conta de usuário em um ou mais objetos de política de grupo (GPOs) não pode ser resolvida como um SID. A causa provável deste erro é uma conta de usuário digitada incorretamente ou excluída à qual é feita referência na ramificação 'Direitos do usuário' ou 'Grupos restritos' de um objeto de política de grupo. Para resolver o evento, contate um administrador do domínio para executar as seguintes ações: 

    1. Identificar contas que não podem ser resolvidas como um SID:

    No prompt de comandos, digite: FIND /I "Cannot find"  %SYSTEMROOT%\Security\Logs\winlogon.log

    A cadeia de caracteres "Cannot find" na saída de FIND identifica os nomes de conta com problemas.

    Exemplo: Cannot find PauloSilva.

    Neste caso, o SID para nome_de_usuário "PauloSilva" não pôde ser determinado. Isso geralmente ocorre porque a conta foi excluída ou renomeada ou deve ser escrita de maneira diferente (por exemplo, "PaulodaSilva"). 

    2. Use RSoP para identificar os 'Direitos de usuário', 'Grupos restritos' e GPOs de origem' específicos que contêm as contas com problemas:

    a. Iniciar -> Executar -> RSoP.msc
    b. Examine os resultados para Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Atribuição de direitos do usuário e Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Grupos restritos para verificar se há erros sinalizados com um "X" vermelho.
    c. Para qualquer direito de usuário ou grupo restrito marcado com um "X" vermelho, o objeto de política correspondente que contém a configuração de política com problemas é listado na coluna 'Objeto de política de grupo de origem'. Anote os direitos de usuário, grupos restritos e objetos de política de grupo de origem específicos que estão gerando erros. 

    3. Remova as contas de política de grupo não resolvidas

    a. Iniciar -> Executar -> MMC.EXE
    b. No menu 'Arquivo', selecione 'Adicionar ou remover snap-in..."
    c. Na caixa de diálogo 'Adicionar ou remover snap-in', selecione 'Adicionar..."
    d. Na caixa de diálogo 'Adicionar snap-in autônomo', selecione 'Política de grupo' e clique em 'Adicionar'
    e. Na caixa de diálogo 'Selecionar objeto de política de grupo', clique no botão 'Procurar'.
    f. Na caixa de diálogo 'Procurar um objeto de política de grupo', escolha a guia 'Todos'
    g. Para cada objeto de política de grupo de origem identificado na etapa 2, corrija os direitos de usuário específicos ou os grupos restritos que foram sinalizados com um "X" vermelho na etapa 2. Esses direitos de usuário ou grupos restritos podem ser corrigidos removendo-se ou corrigindo-se as referências a contas com problemas que foram identificadas na etapa 1.
    XML de Evento:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="SceCli" />
        <EventID Qualifiers="32768">1202</EventID>
        <Level>3</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2018-11-22T12:34:24.575464000Z" />
        <EventRecordID>60152</EventRecordID>
        <Channel>Application</Channel>
        <Computer>PADRAO02.xyx.com</Computer>
        <Security />
      </System>
      <EventData>
        <Data>0x534 : Não foi feito mapeamento entre os nomes de conta e as identificações de segurança.

    Opções de ajuda avançada referentes a este problema estão disponíveis em https://support.microsoft.com. Faça uma consulta por "solução de problemas de eventos 1202". 

    O erro 0x534 ocorre quando uma conta de usuário em um ou mais objetos de política de grupo (GPOs) não pode ser resolvida como um SID. A causa provável deste erro é uma conta de usuário digitada incorretamente ou excluída à qual é feita referência na ramificação 'Direitos do usuário' ou 'Grupos restritos' de um objeto de política de grupo. Para resolver o evento, contate um administrador do domínio para executar as seguintes ações: 

    1. Identificar contas que não podem ser resolvidas como um SID:

    No prompt de comandos, digite: FIND /I "Cannot find"  %SYSTEMROOT%\Security\Logs\winlogon.log

    A cadeia de caracteres "Cannot find" na saída de FIND identifica os nomes de conta com problemas.

    Exemplo: Cannot find PauloSilva.

    Neste caso, o SID para nome_de_usuário "PauloSilva" não pôde ser determinado. Isso geralmente ocorre porque a conta foi excluída ou renomeada ou deve ser escrita de maneira diferente (por exemplo, "PaulodaSilva"). 

    2. Use RSoP para identificar os 'Direitos de usuário', 'Grupos restritos' e GPOs de origem' específicos que contêm as contas com problemas:

    a. Iniciar -&gt; Executar -&gt; RSoP.msc
    b. Examine os resultados para Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Atribuição de direitos do usuário e Configuração do computador\Configurações do Windows\Configurações de segurança\Políticas locais\Grupos restritos para verificar se há erros sinalizados com um "X" vermelho.
    c. Para qualquer direito de usuário ou grupo restrito marcado com um "X" vermelho, o objeto de política correspondente que contém a configuração de política com problemas é listado na coluna 'Objeto de política de grupo de origem'. Anote os direitos de usuário, grupos restritos e objetos de política de grupo de origem específicos que estão gerando erros. 

    3. Remova as contas de política de grupo não resolvidas

    a. Iniciar -&gt; Executar -&gt; MMC.EXE
    b. No menu 'Arquivo', selecione 'Adicionar ou remover snap-in..."
    c. Na caixa de diálogo 'Adicionar ou remover snap-in', selecione 'Adicionar..."
    d. Na caixa de diálogo 'Adicionar snap-in autônomo', selecione 'Política de grupo' e clique em 'Adicionar'
    e. Na caixa de diálogo 'Selecionar objeto de política de grupo', clique no botão 'Procurar'.
    f. Na caixa de diálogo 'Procurar um objeto de política de grupo', escolha a guia 'Todos'
    g. Para cada objeto de política de grupo de origem identificado na etapa 2, corrija os direitos de usuário específicos ou os grupos restritos que foram sinalizados com um "X" vermelho na etapa 2. Esses direitos de usuário ou grupos restritos podem ser corrigidos removendo-se ou corrigindo-se as referências a contas com problemas que foram identificadas na etapa 1.</Data>
      </EventData>
    </Event>

    Alguma sugestão ? 

    quinta-feira, 22 de novembro de 2018 13:09

Respostas

  • Caro Vinicius,

    Todos os testes citados por você eu já havia verificado, encontrei este doc

     https://superuser.com/questions/1106551/gpo-only-works-on-authenticated-users aonde a pessoa tem o mesmo problema meu.

    O que ocorre é que no Windows Server 2016 quando você remove o grupo de "Authenticated Users" da guia de Security Filtering este grupo é também removido da Guia "Delegation", sendo assim a GPO não é aplicada.

    O documento recomendo colocar manualmente o grupo "Authenticated Users" na Guia Delegation mas como apenas leitura, aí realmente vai funcionar.

    Como migrei meu domínio recentemente para 2016 até então não havia criado uma GPO nova, quando fui criar é que me deparei com o problema.

    Existe um KB que também foi liberado via Windows Update que corrige o problema, no documento também é mencionado.

    Obrigado pelo apoio de todos !

    • Marcado como Resposta Cesar_Alex quinta-feira, 22 de novembro de 2018 16:13
    quinta-feira, 22 de novembro de 2018 16:12

Todas as Respostas

  • Olá Cesar,

    Existe vários pontos que podem estar ocorrendo, pois GPO é algo que fornece muitos detalhes. Uma coisa importante que voce citou sobre aplicar em apenas controladores de domínio, isso pode ocorrer se utilizou a GPO de domain controller.

    Sobre o logo, seria interessante reingressar uma estação no domínio e logar novamente com o usuário ou até mesmo recriar o usuário no AD.

    Revise também o DNS Server e rode o gpupdate /force no controlador de domínio principal e veja se o logo 1704 é gerado. Se for gerado está correto, se ocorrer erro, revise as configurações de domínio, DNS Server e NICs.

    Espero que ajude e qualquer coisa entre em contato.


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart || www.wenzcursos.com.br

    • Sugerido como Resposta IgorFKModerator quinta-feira, 22 de novembro de 2018 16:08
    quinta-feira, 22 de novembro de 2018 13:18
    Moderador
  • Caro Vinicius,

    Todos os testes citados por você eu já havia verificado, encontrei este doc

     https://superuser.com/questions/1106551/gpo-only-works-on-authenticated-users aonde a pessoa tem o mesmo problema meu.

    O que ocorre é que no Windows Server 2016 quando você remove o grupo de "Authenticated Users" da guia de Security Filtering este grupo é também removido da Guia "Delegation", sendo assim a GPO não é aplicada.

    O documento recomendo colocar manualmente o grupo "Authenticated Users" na Guia Delegation mas como apenas leitura, aí realmente vai funcionar.

    Como migrei meu domínio recentemente para 2016 até então não havia criado uma GPO nova, quando fui criar é que me deparei com o problema.

    Existe um KB que também foi liberado via Windows Update que corrige o problema, no documento também é mencionado.

    Obrigado pelo apoio de todos !

    • Marcado como Resposta Cesar_Alex quinta-feira, 22 de novembro de 2018 16:13
    quinta-feira, 22 de novembro de 2018 16:12