Como Identificar as GPOs Sem Link
Políticas de Grupo sem dúvida é um dos recuros do Active Directory que são mais usados em uma rede de domínio Windows Server. É muito comum encontrar ambiente com centenas, ou até milhares de GPOs criadas, mas será que todas elas realmente estão em uso ? ou seja estão vinculadas (linked) em algum conteiner do AD ?
Todo administrador Windows sabe que para uma GPO ser aplicada, ela precisa ser vinculada, ou em um Site, ou em um Domínio ou em uma OU. Além disso, obviamente, o campo Filtering não pode estar vazio.
Muitas Políticas de Grupo principalmente as criadas no Windows Server 2003 provocam um problema chamado de SYSVOL Float, que nada mais é que o “inchaço” da pasta SYSVOL onde ficam as GPOS, isso pode provocar lentidão na promoção de controladores de domínio entre outros problemas. Vou tratar sobre o assunto SYSVOL float em detalhes em outro artigo.
Todas as GPOS por padrão ficam no conteiner Group Policy Objects no GPMC, você pode ver na imagem abaixo, existem 6 GPOs atualmente no domínio.
Para identificar qual delas não tem vínculo basta executar o script abaixo :
C:\Program Files\GPMC\Scripts\cscript FindUnlinkedGPOs.wsf /domain:contoso.com
Troque o nome do domínio contoso.com pelo seu domínio. Se preferir coloque no final do comando parâmetro > gposemlink.txt. Assim o arquivo gposemlink.txt terá todos os resultados.
![clip_image002[5]](https://msdntnarchive.z22.web.core.windows.net/media/TNBlogsFS/prod.evol.blogs.technet.com/CommunityServer.Blogs.Components.WeblogFiles/00/00/00/85/40/metablogapi/5076.clip_image0025_0C0E7C3A.gif "clip_image002[5]")
Cuidado : Este script não verifica as GPOS vinculadas em Sites ou em Domínios externos ( observe na linha NOTE : links to sites, as well as external domains, will not be checked.)
Podemos observar no resultado acima que as GPOS Policy_Sem_Vinculo e Policy_Sem_Vinculo02 foram listadas. Com essa lista em mãos você poderá encaminhá-la para as pessoas responsáveis, talvez a equipe de segurança para analisar se realmente elas podem ser excluídas. A exclusão não impacta em nada, afinal elas existem mas não estão em uso.
Por segurança, faça um backup das GPOS antes de removê-las definitivamente. Vou falar sobre como fazer backup das GPOS tanto no Windows Server 2003 como no WS 2008, este é o assunto do próximo artigo.
Comments
- Anonymous
April 12, 2011
Realmente GPO é uma ferramenta magnifica. Parabens pelos artigos, muito show.