GPO Solucionando problemas: GPO não está sendo aplicado
Neste post você aprenderá algumas dicas de o porquê do seu GPO não está sendo aplicado.
Bom, muita gente ainda tem bastante dúvidas de identificar o porquê um GPO não está sendo aplicado ao seu objeto. É por isso que abaixo listo algumas possíveis causas de isso está acontecendo. Vamos lá:
DICA 1 - O objeto não está inserido no local em que o link do GPO está vinculado.
Essa é sem dúvidas, a campeã, do motivo que um GPO não está sendo aplicado a um objeto do domínio.
Todo mundo sabe, e deve saber, (em especial aos que administram os GPOs do domínio) que um GPO deve está vinculado aos objetos que os receberão. Se o GPO não estiver vinculado onde estão os objetos ou então o objeto não estiver no local que está o link do GPO, o mesmo não será aplicado a ele. Veja um exemplo ilustrativo abaixo para explicar melhor:
https://diegogouveia.com.br/wp-content/uploads/2019/01/1-6.png
Console Usuários e Computadores do Active Directory.[/caption]
Na imagem acima eu tenho dois computadores, DESKTOP-JS09CSD e TI, ambos dentro da unidade organizacional "Computadores" que por sua vez está localizada em -> TI -> MATRIZ -> diegogouveia.com.br. Para que esses computadores recebam um GPO, o link do mesmo deve está em algum dos locais que os computadores pertencem, neste caso: ou na OU Computadores, ou na OU TI, ou na OU Matriz ou no domínio diegogouveia.com.br ou no site, como ilustra um exemplo abaixo, no qual demonstra que o link do GPO Conf_EstaçõesTI está sendo aplicado nos computadores DESKTOP-JS09CSD e TI do domínio diegogouveia.com.br.
(também mostra ainda nessa mesma foto que os computadores recebem outros GPOs como Audit_ContasActiveDirectory, Default Domain Policy e WinRM, vinculados a nível de domínio).
https://diegogouveia.com.br/wp-content/uploads/2019/01/1-7.png
Consoles: Usuários e Computadores do Active Directory e GPMC.
Então a primeiro coisa a ser feita é verificar se objetos estão inseridos corretamente no local em que o link do GPO está vinculado. Caso não tenha sido essa a resposta do motivo de não está sendo aplicado o GPO, vá para as próximas dicas.
DICA 2 - Verifique se as configurações do GPO estão habilitadas.
Outra coisa que é bastante comum e possa está impedindo que seu GPO não ser aplicado aos objetos é o mesmo está com TODAS as suas configurações (ou parte delas) desabilitadas. Geralmente isso ocorre acontece em locais que os administradores trabalham habilitando apenas as configurações do que o GPO será aplicado, ou seja, se for somente um GPO para alguma configuração voltada ao computador é habilitado somente as configurações de computador e não de usuário, garantindo assim um desempenho melhor do processamento da política.
Para verificar se está habilitando ou não as configurações do status do seu GPO para o objeto em questão, clique no nome do GPO e acesse a guia Detalhes, encontrada no painel de resultado que será carregado. Com a guia selecionada verifique o campo Status GPO, ilustrado abaixo, se está habilitado as configurações do objeto que está tentando aplicar.
https://diegogouveia.com.br/wp-content/uploads/2019/01/1-8.png
Guia Detalhes - Console GPMC do Windows Server 2012[/caption]
DICA 3 - Verifique se não há outro GPO no domínio anulando a configuração que deseja aplicar.
Como todos sabem, os GPOs são aplicados seguindo um lógica, que é:
1. Local Group (Grupo Local).
2. Site.
3. Domain (Domínio).
4. Unidade Organizacional.
Então por ser aplicado seguindo uma hierarquia pode acontecer de algum GPO está anulando a configuração no qual está tentando aplicar. O meu conselho a você é olhar na hierarquia dos GPOs quais configurações estão sendo aplicadas depois do GPO em questão e verificar se algum deles estão em conflito com o GPO que está tentando aplicar.
Para saber quais GPOs estão sendo aplicadas a um objeto você pode usar o comando gpresult /r, explicado neste artigo abaixo:
- Obtendo as Configurações das Políticas de Grupo, de “forma tradicional” e remota, com o comando gpresult.
Você também pode, se quiser, usar a guia de Herança de Política de Grupo do console GPMC, localizada no console do GPMC. Ela demonstra o que está sendo aplicada aos objetos que estão dentro daquela unidade organizacional (domínio, etc) e a ordem de como eles estão sendo aplicados ao mesmo, ilustrado em Precedência.
https://diegogouveia.com.br/wp-content/uploads/2019/01/1-9.png
Console GPMC - Guia Herança de Política de Grupo.
Na imagem acima é possível notar que o último GPO aplicado nos objetos da OU Computadores é o GPO Conf_EstaçõesTI. Ou seja, se por ventura meu computador ou usuário estivesse dentro dessa OU e não tivesse recebendo a configuração da política possivelmente podia ser algum GPO que é aplicado depois está entrando em conflito com o GPO da configuração. Neste caso pode usar a informação de Precedência, localizada na imagem acima, para saber quais GPOs estão sendo aplicados depois e ir diretamente neles consultando se há algum conflito com a mesma configuração. Vale lembrar que é possível alterar esse valor de precedência mas esse é assunto para outro post futuro.
DICA 4 - Vinculo Desabilitado.
Outra coisa que pode está fazendo com que seu GPO não seja aplicado, é o link do mesmo está desabilitado no local no qual vinculou. Geralmente isso ocorre quando precisamos desabilitar um GPO que não está sendo usado naquele momento. Com isso esquecemos de habilitá-lo depois e assim ele não é aplicado aos objetos.
Para verificar se o seu GPO está habilitado ou não clique nele com o botão direito do mouse e verifique se está marcado a opção VINCULO HABILITADO, ilustrado abaixo.
https://diegogouveia.com.br/wp-content/uploads/2019/01/1-10.png
Console GPMC - Verificando se o vínculo de um GPO está habilitado.[/caption]
DICA 5 - Objeto com negação na política.
Outro cenário bastante comum - isso porque muitos departamentos precisam trabalhar com exceções em GPOs - é ter uma negação de leitura ou de aplicação a um objeto.
Então verifique na guia Delegação -> Avançados se o objeto em questão não está com negação na aplicação da política, conforme ilustra o exemplo abaixo que demonstra que o usuário Diego Lima está com negação na política Conf_EstaçõesTI do domínio diegogouveia.com.br.
[caption id="attachment_5366" align="alignnone" width="601"]https://diegogouveia.com.br/wp-content/uploads/2019/01/1-11.png Negação Política GPO - Propriedades de um GPO - Guia Delegação - Console GPMC[/caption]
DICA 6 - Veja como está configurado o valor da política.
Quando configuramos uma política no domínio, é perguntando se deseja ou não habilitar a mesma nas suas propriedades. Isso pode ser visto dando um duplo clique na política, verificando assim se deseja ou não aplicar a mesma e caso deseje aplicar se deseja HABILITAR ou NÃO.
https://diegogouveia.com.br/wp-content/uploads/2019/01/1-12.png
Propriedades da Política - Console Editor de Política de Grupo.[/caption]
**DICA 7 - Se você possui mais de um DC, verifique se todos estão fazendo a replicação correta dos GPOs. **
Isso porque o usuário possa está se autenticado em algum DC que não está com uma cópia fiel dos GPOS do domínio, com isso fazendo com que ele não receba o GPO. No post abaixo eu explico como você verificar isso.
- Analisando o Status Da Infraestrutura das Políticas de Grupo do domínio, por meio do GPMC.
Vale lembar que também existem OUTRAS inúmeras razões de seu GPO não está sendo aplicado. Como desde o adaptador de rede não está configurado direito ou desativado a problemas de DNS, de autenticação e por aí vai. Listei apenas alguns exemplos que devem ser verificados.