Como corrigir política de grupo (GPO) que não aplica aos clientes

Neste artigo falaremos sobre os motivos típicos pelos quais um determinado objeto de diretiva de grupo (GPO) pode não se aplicar a uma unidade organizacional (UO) ou a um computador / usuário de domínio específico. Acho que este artigo será útil para administradores de diretiva de grupo do AD novatos e experientes para entender como funcionam as diretivas de grupo e arquitetura GPO. O artigo descreve problemas potenciais com a aplicação de GPOs relacionados às configurações de política no nível do domínio, bem como solução de problemas de GPOs em clientes Windows. Quase todas as configurações descritas no artigo são definidas usando o Console de gerenciamento de política de grupo ( GPMC.msc).

Leia mais:

Como resolver erro de conexão ao serviço de sincronização do Azure AD Connect
Como copiar arquivos ou pastas para todos os computadores via GPO
Como trabalhar com grupos dinâmicos no Azure Active Directory
Como usar a prevenção de perda de dados no Office 365
Aplicar MFA para sites online do SharePoint com políticas de acesso condicional

Gerenciando o escopo do GPO

Se um parâmetro de política específico não for aplicado a um cliente, verifique o escopo do GPO. Se você definir a configuração na seção Configuração do Computador , sua Política de Grupo deverá estar vinculada a uma UO com objetos de computador. O mesmo é verdade se você definir seus parâmetros na seção de configuração do usuário .

Para aplicar as configurações do usuário aos computadores, você precisa habilitar o modo de processamento de loopback GPO (mais sobre isso a seguir).

Além disso, certifique-se de que o objeto ao qual você está tentando aplicar o GPO esteja nos computadores ou contêiner AD (UO) corretos dos usuários. Você pode pesquisar por domínio usando o dsa.mscconsole ADUC ( ). A OU em que o objeto está localizado é especificada na guia Objeto.

Como usar a filtragem de segurança da Diretiva de Grupo para aplicar GPOs a grupos selecionados?

Verifique as configurações de Filtragem de Segurança em sua política. Por padrão, todos os novos objetos GPO no domínio têm as permissões habilitadas para o grupo Usuários Autenticados . Este grupo inclui todos os usuários e computadores do domínio. Isso significa que a política será aplicada a todos os usuários e computadores em seu escopo.

Em alguns casos, você deseja que um GPO específico se aplique apenas a membros de um grupo de segurança de domínio específico (ou usuários / computadores específicos). Para fazer isso, você precisa remover o grupo Usuários autenticados do filtro de segurança e adicionar o grupo ou contas de destino ao filtro.

Se você atribuiu um filtro de segurança a um grupo, certifique-se de que o objeto desejado seja membro desse grupo AD.

Além disso, verifique se o grupo que você adicionou à Filtragem de Segurança tem as permissões Ler e Aplicar a política de grupo com a opção Permitir marcada em GPO -> Delegação -> guia Avançado.

Se você estiver usando filtros de segurança de GPO não padrão, verifique se não há proibição explícita de uso de GPO para grupos-alvo (Negar).

Filtragem WMI de GPO de Política de Grupo

Você pode usar filtros WMI especiais no GPO. Isso permite aplicar uma política aos seus computadores com base em alguma consulta WMI. Por exemplo, você pode criar um filtro GPO WMI para aplicar uma política apenas a computadores com a versão específica do Windows, a computadores na sub-rede IP específica , a laptops apenas etc.

Ao usar a filtragem WMI da Diretiva de Grupo, certifique-se de que sua consulta WMI esteja correta. Deve selecionar apenas os dispositivos de que você precisa e seus computadores de destino não devem ser excluídos. Você pode testar seu filtro WMI em qualquer computador usando o PowerShell:

gwmi -Query ‘select * from Win32_OperatingSystem where Version like "10.%" and ProductType="1"‘

Se a consulta retornar algum dado, o filtro WMI será aplicado a este computador.

Desativar configurações de usuário ou computador no objeto de política de grupo

Como já mencionamos, cada GPO tem duas seções independentes:

  • Configuração do computador – configurações aplicadas ao computador;
  • Configuração do usuário – configurações do usuário.

Se o seu GPO definir apenas as configurações do usuário ou apenas as configurações do computador, você pode desabilitar a seção de política não utilizada. Isso reduzirá o tráfego de GPO e permitirá que você reduza o tempo de processamento de GPO nos clientes.

Verifique o status do GPO na guia Detalhes das propriedades da política em GPMC.msc. Observe o valor na lista suspensa Status do GPO .

Como você pode ver, 4 opções estão disponíveis:

  • Todas as configurações desabilitadas – todas as configurações de política são desabilitadas (o GPO não se aplica);
  • Definições de configuração do computador desabilitadas – as configurações apenas da configuração do computador de seu GPO não são aplicadas;
  • Definições de configuração do usuário desabilitadas – as configurações da seção de configuração do usuário não são aplicadas;
  • Habilitado – todas as configurações de GPO são aplicadas aos objetos AD de destino (o valor padrão).

Delegação de Política de Grupo

As permissões configuradas para uma política são mostradas na guia Delegação do GPO. Aqui você pode ver quais grupos podem alterar as configurações de GPO e se a política é aplicada a eles. Você pode conceder privilégios para gerenciar GPO a partir deste console ou usar o Assistente de Delegação do Active Directory no ADUC . Se houver permissão de acesso “Enterprise Domain Controllers”, esta política pode ser replicada entre os controladores de domínio do Active Directory (observe se você tiver problemas de replicação de GPOs entre DCs). As permissões na guia Delegação correspondem às permissões NTFS atribuídas ao diretório de políticas na pasta SYSVOL.

Bloquear herança e aplicação no link de política de grupo

Herança é um dos principais conceitos da Diretiva de Grupo. Por padrão, as políticas de alto nível são aplicadas a todos os objetos aninhados na hierarquia do domínio. No entanto, um administrador pode bloquear a aplicação de todas as políticas herdadas para a UO específica. Para fazer isso, clique com o botão direito do mouse na UO no GPMC e selecione Bloquear herança.

As unidades organizacionais com a opção de herança bloqueada ativada são marcadas com um ponto de exclamação azul no console.

Se uma Política de Grupo não for aplicada a um cliente, verifique se ela está na UO com a opção de herança bloqueada.

Observe que as políticas de domínio com a propriedade Imposta habilitada são aplicadas até mesmo às UOs com a configuração de herança bloqueada (você pode ver as políticas herdadas aplicadas ao contêiner na guia Herança de Política de Grupo).

Escopos de GPO e ordem de processamento de política (LSDOU)

Para lembrar a ordem em que as políticas de grupo são aplicadas no domínio, lembre-se da abreviatura LSDOU . Os GPOs são aplicados aos clientes na seguinte ordem:

  1. Políticas do computador local ( local ) configuradas no console do editor de GPO local gpedit.msc (se estiverem configuradas incorretamente, você pode redefini- las);
  2. GPO no nível do site ( Site );
  3. GPO de nível de domínio ( domínio ).
  4. GPOs do nível da unidade organizacional ( Unidade Organizacional ).

As últimas políticas têm a prioridade mais alta. Isso significa que se você habilitar alguma configuração do Windows no nível do domínio, ela pode ser desabilitada por outra política no nível da UO (a política mais próxima do objeto na hierarquia do AD vencerá).

Ao usar a opção Forçada , a política que está mais acima na hierarquia de domínio vence (por exemplo, se a Política de Domínio Padrão tiver a opção Forçada habilitada, ela terá uma prioridade mais alta do que qualquer outro GPO).

Um administrador também pode alterar a ordem de processamento da política usando o console GPMC. Para fazer isso, selecione uma UO e vá para a guia Objetos de Política de Grupo Vinculados . Há uma lista de GPOs aplicados a esta UO com a prioridade exibida. As políticas são processadas na ordem inversa (de baixo para cima). Isso significa que uma política com Link Order 1 será aplicada por último. Você pode alterar a prioridade do GPO usando as setas na coluna esquerda e mover uma política para cima ou para baixo na lista.

Gerenciando links de GPO habilitados

Qualquer objeto GPO vinculado a uma unidade organizacional AD pode ter a opção Link Habilitado ativada ou desativada. Se o link estiver desabilitado, seu ícone ficará cinza. Quando o link é desabilitado, a política não é aplicada aos clientes, mas o link para o objeto GPO não é removido da hierarquia de domínio. Você pode habilitar o link GPO a qualquer momento.

Explicação do modo de processamento de loopback da política de grupo

Por exemplo, se você aplicar uma política com configurações definidas na seção Configuração do usuário a uma unidade organizacional com computadores, essas configurações não serão aplicadas ao usuário sem o uso de um loopback. O modo de processamento de loopback é habilitado em Configuração do computador -> Modelos administrativos -> Sistema -> Política de grupo -> Configurar o modo de processamento de loopback de política de grupo do usuário .

Esta política de processamento de loopback tem dois modos possíveis:

  • Mesclar – GPOs com base na localização do usuário são aplicados ao computador e, em seguida, GPOs vinculados ao computador são aplicados. Se houver conflitos entre a UO do usuário e as políticas da UO do computador, as políticas do nível de Configuração do Computador terão precedência.

Observe que, ao usar o processamento de Loopback com o modo Mesclar, a política é, na verdade, executada duas vezes. Considere isso ao usar scripts de logon .

  • Substituir – apenas as políticas atribuídas à OU contendo o computador no qual o usuário está conectado serão aplicadas ao usuário.

Use o Assistente de Modelagem de Política de Grupo

Você pode usar o recurso de modelagem de GPO no console de gerenciamento de política de domínio ( gpmc.msc). A modelagem GPO permite que o administrador obtenha as políticas resultantes que serão aplicadas a um objeto específico do Active Directory.

Vá para a seção Modelagem de Política de Grupo e execute o Assistente de Modelagem de Política de Grupo .

Selecione a UO ou usuário / computador específico para o qual deseja obter o relatório de política resultante.

Em seguida, siga as perguntas do Assistente de Modelagem de GPO. Como resultado, você receberá um relatório (verifique a guia Detalhes ), que mostra quais políticas são aplicadas ao objeto AD e quais não são. Se uma política for aplicada ou rejeitada devido a um filtro GPO, isso ficará visível no relatório.

Habilitar registro de depuração de preferências de política de grupo

Nas versões modernas do Active Directory, há uma extensão adicional da Política de Grupo – Preferências de Política de Grupo (GPP). O GPP permite que você aplique configurações adicionais usando as extensões do lado do cliente GP. Por exemplo, por meio do GPP, você pode:

  • Implantar impressoras via GPO ;
  • Adicionar usuários ao grupo de administradores locais em um computador de domínio ;
  • Mapear unidades de rede ;
  • Implantar configurações de registro ;
  • Copie pastas e arquivos para os computadores dos usuários ;
  • Etc.

Para solucionar problemas de Preferências de Política de Grupo, você pode usar um modo de registro especial – Rastreamento de Preferências de Política de Grupo.

Você pode habilitar esse modo por meio do parâmetro na seção Configuração do Computador -> Políticas -> Modelos Administrativos -> Sistema -> Política de Grupo -> Registro e Rastreamento . Existem opções de registro separadas para diferentes parâmetros GPP.

Por exemplo, quero verificar como um parâmetro de registro com configurações de proxy é aplicado por meio de um GPO . Para fazer isso, habilito a opção Configurar log e rastreio de preferências do Registro . Aqui você pode configurar os parâmetros de registro e depuração e o tamanho do registro.

Depois de aplicar a política ao cliente, abra o C:\ProgramData\GroupPolicy\Preference\Trace\Computer.log, arquivo para obter o status detalhado do GPP.

Desative esta opção de GPO depois de terminar a depuração do GPP.

Além disso, lembre-se de que o GPP tem opções adicionais de segmentação em nível de item para filtrar quando uma política é aplicada.

Solução de problemas de GPOs aplicados em clientes Windows

O gpresult , rsop.msce o Windows Event Viewer são usados ​​para solucionar problemas e depurar a Política de Grupo no lado do cliente. As duas primeiras ferramentas fornecem o conjunto resultante de políticas que foram aplicadas ao dispositivo Windows.

Para obter um relatório simples sobre os GPOs aplicados no computador, execute o comando:

gpresult /r

O comando retornará uma lista de Objetos de Política de Grupo Aplicados e GPOs que não se aplicam. A lista de GPOs filtrados pode conter os seguintes itens:

  • Não aplicada (vazio) – a política é atribuída, mas não contém configurações;
  • Negado (Filtro WMI) – a política não foi aplicada porque o filtro WMI não corresponde a este computador;
  • Negado (Segurança) – A ACL da Política de Grupo não tem permissão para aplicar o GPO a este objeto;
  • Desabilitado (GPO) – seção de configurações de computador ou usuário desabilitada nas configurações de GPO.

Para obter um relatório HTML com o GPO resultante, use o comando:

gpresult /h c:\reports\gpreport.html /f

O relatório gpresult RSoP HTMP contém erros de GPO, o tempo de processamento de certas políticas e CSEs e outras informações úteis. Isso ajuda a entender por que alguns GPOs são processados ​​por muito tempo . Este relatório mostra quais configurações de política foram aplicadas e por quais GPOs específicos.

O serviço Group Policy Client ( gpsvc) deve estar em execução no Windows para processar GPOs. Verifique se o serviço é iniciado usando o PowerShell :

Get-Service gpsvc

Você também precisa se lembrar de como a Política de Grupo é atualizada no Windows . Por padrão, os GPOs são atualizados em segundo plano a cada 90 minutos + um deslocamento de tempo aleatório de 0 a 30 minutos. No entanto, um administrador pode alterar esse intervalo usando a opção “ Definir intervalo de atualização da política de grupo para computadores ” em Configuração do computador -> Modelos administrativos -> Sistema -> Política de grupo no GPO.

Você pode usar o Visualizador de Eventos para localizar eventos de processamento de GPO. Filtre o log do sistema por fonte GroupPolicy (Microsoft-Windows-GroupPolicy) . Além disso, observe atentamente os eventos nos Logs de aplicativos e serviços -> Microsoft -> Windows -> Política de grupo -> Operacional.

Algumas dicas adicionais ao depurar GPOs:

  • Ao analisar as políticas de senha de domínio , lembre-se de que apenas uma política de senha de domínio pode ser configurada usando GPMC (geralmente na Política de Domínio Padrão). Use as políticas de senha refinadas se precisar usar políticas separadas de senha e bloqueio de conta para usuários ou grupos específicos;
  • Também recomendo usar a ferramenta Microsoft AGPM (Advanced Group Policy Management), que permite manter o controle de versão dos GPOs e as regras para sua aprovação;
  • Use o Repositório Central de Políticas de Grupo para modelos ADMX. Nesse caso, você não precisará implantar manualmente os arquivos admx da Política de Grupo em todos os computadores .

Concluindo, recomendarei manter sua estrutura de GPO o mais simples possível e não criar políticas desnecessárias. Use um esquema de nomenclatura de política transparente. O nome do GPO deve indicar claramente para que serve.

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!