locked
Problema com GPO RRS feed

  • Pergunta

  • Caros, estou com um problema que não sei mais o fazer, espero que possam me ajudar. O cenário é o seguinte.

    Tenho algumas GPO criadas, porém elas só se aplicam a Usuários Autenticados ou a computadores, se eu defino para que a GPO se aplique para os usuários X, Y, Z ela não aplica, aparece como filtrada no gpresult. Se eu no lugar de colocar os Usuários X, Y, Z coloco o  nome dos computadores ela aplica e se coloco a Usuários autenticados ai aplica para todos da rede. Como resolvo isso para aplicar nos Usuários X, Y, Z?

    Um detalhe, essas GPO já funcionaram assim e derrepente parou, não tenha certeza com o fato mas fiz atualização recente pelo Windows Update, a versão que tenho hoje é Server 2012 R2

    Já li diversos forum, já revisei DNS, enfim diversas alternativas, alguém pode me ajudar???

    Resultado do GPresult


    Ferramenta de resultados de pol¡tica de grupo v2.0 do Sistema operacional
    Microsoft (R) Windows (R)
    ¸ 2013 Microsoft Corporation. Todos os direitos reservados.

    Criado em 26/08/2016 …s 09:23:33



    Dados RSOP para UCAYALI\admin em UCAYALISERVER : modo de log
    -------------------------------------------------------------

    Configura‡Æo do sistema operacional:  Controlador de dom¡nio prim rio
    VersÆo do sistema operacional:        6.3.9600
    Nome do site:                         Default-First-Site-Name
    Perfil m¢vel:                         N/A
    Perfil local:                         C:\Users\admin
    Conectado por meio de um link lento?: NÆo


    CONFIGURAیES DO COMPUTADOR
    ----------------------------
        CN=UCAYALISERVER,OU=Domain Controllers,DC=UCAYALI,DC=local
        éltima vez em que a pol¡tica de grupo foi aplicada: 26/08/2016 em 09:23:14
        A pol¡tica de grupo foi aplicada de:                UcayaliServer.UCAYALI.local
        Limite de v¡nculo lento de pol¡tica de grupo:       500 kbps
        Nome do dom¡nio:                                    UCAYALI
        Tipo de dom¡nio:                                    Windows 2008 ou posterior

        Objetos de pol¡tica de grupo aplicados
        ---------------------------------------
            Default Domain Controllers Policy
            Default Domain Policy

        Os GPOs a seguir nÆo foram aplicados porque foram filtrados
        ------------------------------------------------------------
            USB
                Filtragem:  Negado (seguran‡a)

            Local Group Policy
                Filtragem:  NÆo aplicado (vazio)

        O computador faz parte dos seguintes grupos de seguran‡a
        --------------------------------------------------------
            BUILTIN\Administrators
            Everyone
            Certificate Service DCOM Access
            BUILTIN\Users
            BUILTIN\Pre-Windows 2000 Compatible Access
            Windows Authorization Access Group
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            This Organization
            UCAYALISERVER$
            Domain Controllers
            NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
            Authentication authority asserted identity
            Cert Publishers
            Denied RODC Password Replication Group
            System Mandatory Level
            

    CONFIGURA€åES DO USUµRIO
    -------------------------
        CN=admin,CN=Users,DC=UCAYALI,DC=local
        éltima vez em que a pol¡tica de grupo foi aplicada: 26/08/2016 em 09:23:16
        A pol¡tica de grupo foi aplicada de:                UcayaliServer.UCAYALI.local
        Limite de v¡nculo lento de pol¡tica de grupo:       500 kbps
        Nome do dom¡nio:                                    UCAYALI
        Tipo de dom¡nio:                                    Windows 2008 ou posterior
        
        Objetos de pol¡tica de grupo aplicados
        ---------------------------------------
            Assinatura Outlook
            Fundo de Logon
            Papel de Parede
            Bloquear (Zip, Rar, Exe)

        Os GPOs a seguir nÆo foram aplicados porque foram filtrados
        ------------------------------------------------------------
            Menu Iniciar
                Filtragem:  Negado (seguran‡a)

            Pol¡ticas de grupo locais
                Filtragem:  NÆo aplicado (vazio)

        O usu rio faz parte dos seguintes grupos de seguran‡a
        -----------------------------------------------------
            Domain Users
            Everyone
            BUILTIN\Administrators
            BUILTIN\Users
            Certificate Service DCOM Access
            BUILTIN\Pre-Windows 2000 Compatible Access
            NT AUTHORITY\INTERACTIVE
            CONSOLE LOGON
            NT AUTHORITY\Authenticated Users
            This Organization
            LOCAL
            WseAllowMediaAccess
            WseAlertAdministrators
            WseAllowHomePageLinks
            WseAllowAddInAccess
            WseAllowComputerAccess
            WseRemoteWebAccessUsers
            Domain Admins
            WseAllowShareAccess
            WseRemoteAccessUsers
            WseAllowDashboardAccess
            Authentication authority asserted identity
            Denied RODC Password Replication Group
            High Mandatory Level
            

    sexta-feira, 26 de agosto de 2016 13:25

Respostas

  • Obrigado pela ajuda, resolvi formatar as estações e voltaram a aplicar as GPOs normalmente.

    Apesar de não ter histórico de atualização no W.U. deve ter algo que bloqueou.

    Obrigado Rafael e Felipe pela ajuda!

    • Marcado como Resposta Thales F Quintas sexta-feira, 26 de agosto de 2016 19:22
    sexta-feira, 26 de agosto de 2016 19:00

Todas as Respostas

  • Olá Junior, como vai?

    Nos dê mais detalhe desta GPO especifica. Onde você está aplicando (OU de Usuários ou Computadores)? Esta GPO aplica diretivas de Computador ou de Usuários?

    Pode ser que a estrutura do AD esteja errada e a filtragem não funcione conforme você está imaginando.


    Att,

    Rafael Vicentini Martins

    Citrix Certified Administrator for NetScaler
    Citrix Certified Administrator for Citrix XenApp 6
    Citrix Certified Administrator for Citrix XenDesktop 4
    Citrix Certified Advanced Administrator for Citrix XenApp 5 for Windows Server 2008
    MCP Managing and Maintaining a Microsoft Windows Server 2003 Environment
    MCTS Windows Server Virtualization, Configuration
    MCTS Windows Server 2008 R2, Desktop Virtualization
    MCTS Windows Server 2008 R2, Virtualization Administrator
    MCITP Virtualization Administrator

      LinkedIn:   Facebook:

    sexta-feira, 26 de agosto de 2016 13:38
  • Olá Rafael, na realidade tenho 6 GPO, entre elas é de personalizar papel de parede, personalizar menu, etc. E essas seleciono para aplicar em usuários autenticados, e funciona de boa. Agora tenho outra que é para bloquear unidade removível e cd/dvd, que se coloco para aplicar em usuários autenticados funciona normal, mas essa GPO não quero que se aplique a todos usuários da rede. Então o que sempre fiz foi remover o perfil de usuário autenticado e incluo os usuários ao quais quero que se aplique a GPO. Na realidade aplico em grupo de usuários, mas como não estava funcionado no grupo, removi o grupo e tentei adicionar usuário a usuário. Mas também não foi, tentei ao invés de colocar usuário coloquei o computador e foi... Então está assim, a mesma GPO se coloco para usuários autenticados aplica, se coloco pelo nome do computador aplica, mas se coloco os usuários que devem executar não aplica. Para descartar problema na GPO já a exclui, já criei novamente, e nada. E como teste pequei uma GPO que rodam em usuários autenticados removi usuário autenticado e coloquei um usuário qualquer mas ai a GPO não aplica. 

    A GPO USB é assim:

    Configuração do Computador (Habilitada)
    Políticas
    Modelos Administrativos
    Definições de política (arquivos ADMX) recuperadas do computador local.
    Sistema/Acesso de armazenamento removível
    Política Configuração comentário
    Ativada
    Ativada
    Ativada
    Ativada
    Ativada
    Ativada
    Ativada

    Assim a conclusão que cheguei há algo filtrando a regra quando aplico usuario, esse sendo adm de rede ou usuário de rede.

    Obrigado!!!

    sexta-feira, 26 de agosto de 2016 14:29
  • Certo a diretiva que bloqueia unidade removível e cd/dvd, é de usuário (Configuração do usuário) ou de computador (Configuração do Computador)? Se for de computador a mesma não se aplicará a grupos de usuários, somente à computadores. Desta forma, a filtragem por usuário/grupo de usuários não funcionará para esta política.

    Att,

    Rafael Vicentini Martins

    Citrix Certified Administrator for NetScaler
    Citrix Certified Administrator for Citrix XenApp 6
    Citrix Certified Administrator for Citrix XenDesktop 4
    Citrix Certified Advanced Administrator for Citrix XenApp 5 for Windows Server 2008
    MCP Managing and Maintaining a Microsoft Windows Server 2003 Environment
    MCTS Windows Server Virtualization, Configuration
    MCTS Windows Server 2008 R2, Desktop Virtualization
    MCTS Windows Server 2008 R2, Virtualization Administrator
    MCITP Virtualization Administrator

      LinkedIn:   Facebook:

    sexta-feira, 26 de agosto de 2016 14:37
  • Rafael fiz a alteração que mencionou agora ela está como usuário...

    Configuração do Computador (Habilitada)
    Sem configuração definida.
    Configuração do Usuário (Habilitada)
    Políticas
    Modelos Administrativos
    Definições de política (arquivos ADMX) recuperadas do computador local.
    Sistema/Acesso de armazenamento removível
    Política Configuração comentário
    Ativada
    Ativada
    Ativada
    Ativada
    Ativada

    Executei um gpupdate /force como administrador

    E um gpresult /r como abaixo:

                        

    Ferramenta de resultados de pol¡tica de grupo v2.0 do Sistema operacional


    Microsoft (R) Windows (R)
    ¸ 2013 Microsoft Corporation. Todos os direitos reservados.

    Criado em 26/08/2016 …s 10:45:43



    Dados RSOP para UCAYALI\admin em UCAYALISERVER : modo de log
    -------------------------------------------------------------

    Configura‡Æo do sistema operacional:  Controlador de dom¡nio prim rio
    VersÆo do sistema operacional:        6.3.9600
    Nome do site:                         Default-First-Site-Name
    Perfil m¢vel:                         N/A
    Perfil local:                         C:\Users\admin
    Conectado por meio de um link lento?: NÆo


    CONFIGURAیES DO COMPUTADOR
    ----------------------------
        CN=UCAYALISERVER,OU=Domain Controllers,DC=UCAYALI,DC=local
        éltima vez em que a pol¡tica de grupo foi aplicada: 26/08/2016 em 10:45:13
        A pol¡tica de grupo foi aplicada de:                UcayaliServer.UCAYALI.local
        Limite de v¡nculo lento de pol¡tica de grupo:       500 kbps
        Nome do dom¡nio:                                    UCAYALI
        Tipo de dom¡nio:                                    Windows 2008 ou posterior

        Objetos de pol¡tica de grupo aplicados
        ---------------------------------------
            Default Domain Controllers Policy
            Default Domain Policy

        Os GPOs a seguir nÆo foram aplicados porque foram filtrados
        ------------------------------------------------------------
            USB
                Filtragem:  NÆo aplicado (razÆo desconhecida)

            Local Group Policy
                Filtragem:  NÆo aplicado (vazio)

        O computador faz parte dos seguintes grupos de seguran‡a
        --------------------------------------------------------
            BUILTIN\Administrators
            Everyone
            Certificate Service DCOM Access
            BUILTIN\Users
            BUILTIN\Pre-Windows 2000 Compatible Access
            Windows Authorization Access Group
            NT AUTHORITY\NETWORK
            NT AUTHORITY\Authenticated Users
            This Organization
            UCAYALISERVER$
            Domain Controllers
            NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS
            Authentication authority asserted identity
            Cert Publishers
            Denied RODC Password Replication Group
            System Mandatory Level


    CONFIGURA€åES DO USUµRIO
    -------------------------
        CN=admin,CN=Users,DC=UCAYALI,DC=local
        éltima vez em que a pol¡tica de grupo foi aplicada: 26/08/2016 em 10:45:14
        A pol¡tica de grupo foi aplicada de:                UcayaliServer.UCAYALI.local
        Limite de v¡nculo lento de pol¡tica de grupo:       500 kbps
        Nome do dom¡nio:                                    UCAYALI
        Tipo de dom¡nio:                                    Windows 2008 ou posterior

        Objetos de pol¡tica de grupo aplicados
        ---------------------------------------
            Assinatura Outlook
            Fundo de Logon
            Papel de Parede
            Bloquear (Zip, Rar, Exe)
            USB

        Os GPOs a seguir nÆo foram aplicados porque foram filtrados
        ------------------------------------------------------------
            Menu Iniciar
                Filtragem:  Negado (seguran‡a)

            Pol¡ticas de grupo locais
                Filtragem:  NÆo aplicado (vazio)

        O usu rio faz parte dos seguintes grupos de seguran‡a
        -----------------------------------------------------
            Domain Users
            Everyone
            BUILTIN\Administrators
            BUILTIN\Users
            Certificate Service DCOM Access
            BUILTIN\Pre-Windows 2000 Compatible Access
            NT AUTHORITY\INTERACTIVE
            CONSOLE LOGON
            NT AUTHORITY\Authenticated Users
            This Organization
            LOCAL
            WseAllowMediaAccess
            WseAlertAdministrators
            WseAllowHomePageLinks
            WseAllowAddInAccess
            WseAllowComputerAccess
            WseRemoteWebAccessUsers
            Domain Admins
            WseAllowShareAccess
            WseRemoteAccessUsers
            WseAllowDashboardAccess
            Authentication authority asserted identity
            Denied RODC Password Replication Group
            High Mandatory Level

     


    Ele aparece como executada mas não foi aplicado ao usuário que defini...

    Também ocorre o mesmo com o GPO Menu Iniciar que também se aplica a configurações de usuários e se verificar no resultado do gpresult aparece (filtrado segurança) sabe o por que?

    Obrigado!


    sexta-feira, 26 de agosto de 2016 14:54
  • Consegui observar algo, o problema não é geral na rede, sai aplicando gpupdate nos terminais e na maioria das estações as GPO funcionaram, se a desabilito o GPO desabilita nas estações e se habilito volta a aplicar nas estações. Então acredito que as GPOs estejam funcionando.

    Nessas estações que encontrei problemas os GPO só se aplicam com o perfil de usuário autenticado.

    Inclusive tenho um cenário interessante. Tenho 4 computadores na recepção, 2 com Windows 8.1, 2 com Windows 10, as 4 fazem login com o mesmo usuário e senha. 2 delas (1 com Win 8.1 + 1 Win 10) as GPO  definida para o usuário de login se aplica, as outras 2 (tbm com 1 com Win 8.1 + 1 Win 10) não funciona a GPO com o mesmo usuário somente as que estão para usuários autenticados.....

    Nas estações com Windows 7 nenhum apresentou problema.

    O que pode ser isso? 

    Obrigado!

    sexta-feira, 26 de agosto de 2016 15:09
  • Estranho isso acontecer caso todas as 4 estiverem na mesma OU. Estão?

    O que você pode começar a investigar é na possibilidade de ter algum update específico atrabalhando essa configuração.


    Att,

    Rafael Vicentini Martins

    Citrix Certified Administrator for NetScaler
    Citrix Certified Administrator for Citrix XenApp 6
    Citrix Certified Administrator for Citrix XenDesktop 4
    Citrix Certified Advanced Administrator for Citrix XenApp 5 for Windows Server 2008
    MCP Managing and Maintaining a Microsoft Windows Server 2003 Environment
    MCTS Windows Server Virtualization, Configuration
    MCTS Windows Server 2008 R2, Desktop Virtualization
    MCTS Windows Server 2008 R2, Virtualization Administrator
    MCITP Virtualization Administrator

      LinkedIn:   Facebook:

    sexta-feira, 26 de agosto de 2016 17:34
  • Rafael é isso mesmo, as 4 são mesma OU....

    E tenho outro caso assim tbm com outras OU em outro departamento onde de 3, 1 não lê as GPO....

    Update do Windows..... Nos terminais acredito que não pois a internet é restrita nas estações. Mas o Server atualizei recentemente.  Mas se fosse update do server acredito que todas estações deveriam parar de aplicar as GPO.

    Fiz alguns procedimentos nas estações que não está aplicando as GPO em retirar do domínio, remover o computador do AD e ingressar novamente no domínio. Mas não tive resultado, o problema persistiu.

    Tbm apaguei o histórico na estação em "C:\Users\<usuario>\AppData\Local\Microsoft\Group Policy\History

    Estou quase formatando uma estação para testar...

    Realmente não sei mais o que fazer!

    sexta-feira, 26 de agosto de 2016 17:44
  • Sim, questionei especificamente nas estações. Certeza que não aplicou nada de atualização neste ultimos tempos? Pq está muito estranho algumas máquinas funcionarem e outras não. Além de updates, outra coisa que me veio em mente é se você utiliza algum tipo de Filtro WMI.

    Também faça o seguinte... pegue um dos usuários que não está funcionando, isole ele em uma OU com quebra de herança e aplique somente a GPO que está falhando a delegação.


    Att,

    Rafael Vicentini Martins

    Citrix Certified Administrator for NetScaler
    Citrix Certified Administrator for Citrix XenApp 6
    Citrix Certified Administrator for Citrix XenDesktop 4
    Citrix Certified Advanced Administrator for Citrix XenApp 5 for Windows Server 2008
    MCP Managing and Maintaining a Microsoft Windows Server 2003 Environment
    MCTS Windows Server Virtualization, Configuration
    MCTS Windows Server 2008 R2, Desktop Virtualization
    MCTS Windows Server 2008 R2, Virtualization Administrator
    MCITP Virtualization Administrator

      LinkedIn:   Facebook:


    sexta-feira, 26 de agosto de 2016 17:56
  • Junior,

    Acredito que esta discussão sobre filtros e escopo de aplicação de GPOs pode te ajudar a encontrar um caminho.

    https://social.technet.microsoft.com/Forums/pt-BR/22d2d48c-f7b0-41d9-9850-e9a8f2b55e52/questao-de-gpo-opniao?forum=w8serverpt

    Abs,


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    sexta-feira, 26 de agosto de 2016 18:14
    Moderador
  • Obrigado pela ajuda, resolvi formatar as estações e voltaram a aplicar as GPOs normalmente.

    Apesar de não ter histórico de atualização no W.U. deve ter algo que bloqueou.

    Obrigado Rafael e Felipe pela ajuda!

    • Marcado como Resposta Thales F Quintas sexta-feira, 26 de agosto de 2016 19:22
    sexta-feira, 26 de agosto de 2016 19:00