Group Policy: Meu GPO não está sendo aplicado. O que eu devo fazer (verificar)?
Neste post você aprenderá algumas dicas de o porquê do seu GPO não está sendo aplicado.
Bom, muita gente ainda tem bastante dúvidas de identificar o porquê um GPO não está sendo aplicado ao seu objeto. É por isso que abaixo listo algumas possíveis causas de isso está acontecendo. Vamos lá:
DICA 1 – O objeto não está inserido no local em que o link do GPO está vinculado.
Essa é sem dúvidas, a campeã, do motivo que um GPO não está sendo aplicado a um objeto do domínio.
Todo mundo sabe, e deve saber, (em especial aos que administram os GPOs do domínio) que um GPO deve está vinculado aos objetos que os receberão. Se o GPO não estiver vinculado onde estão os objetos ou então o objeto não estiver no local que está o link do GPO, o mesmo não será aplicado a ele. Veja um exemplo ilustrativo abaixo para explicar melhor:
https://i2.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-6.png?resize=472%2C317&ssl=1
Console Usuários e Computadores do Active Directory.
Na imagem acima eu tenho dois computadores, DESKTOP-JS09CSD e TI, ambos dentro da unidade organizacional “Computadores” que por sua vez está localizada em -> TI -> MATRIZ -> diegogouveia.com.br. Para que esses computadores recebam um GPO, o link do mesmo deve está em algum dos locais que os computadores pertencem, neste caso: ou na OU Computadores, ou na OU TI, ou na OU Matriz ou no domínio diegogouveia.com.br ou no site, como ilustra um exemplo abaixo, no qual demonstra que o link do GPO Conf_EstaçõesTI está sendo aplicado nos computadores DESKTOP-JS09CSD e TI do domínio diegogouveia.com.br.
(também mostra ainda nessa mesma foto que os computadores recebem outros GPOs como Audit_ContasActiveDirectory, Default Domain Policy e WinRM, vinculados a nível de domínio).
https://i1.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-7.png?resize=728%2C256&ssl=1
Consoles: Usuários e Computadores do Active Directory e GPMC.
Então a primeiro coisa a ser feita é verificar se objetos estão inseridos corretamente no local em que o link do GPO está vinculado. Caso não tenha sido essa a resposta do motivo de não está sendo aplicado o GPO, vá para as próximas dicas.
DICA 2 – Verifique se as configurações do GPO estão habilitadas.
Outra coisa que é bastante comum e possa está impedindo que seu GPO não ser aplicado aos objetos é o mesmo está com TODAS as suas configurações (ou parte delas) desabilitadas. Geralmente isso ocorre acontece em locais que os administradores trabalham habilitando apenas as configurações do que o GPO será aplicado, ou seja, se for somente um GPO para alguma configuração voltada ao computador é habilitado somente as configurações de computador e não de usuário, garantindo assim um desempenho melhor do processamento da política.
Para verificar se está habilitando ou não as configurações do status do seu GPO para o objeto em questão, clique no nome do GPO e acesse a guia Detalhes, encontrada no painel de resultado que será carregado. Com a guia selecionada verifique o campo Status GPO, ilustrado abaixo, se está habilitado as configurações do objeto que está tentando aplicar.
https://i1.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-8.png?resize=450%2C338&ssl=1
Guia Detalhes – Console GPMC do Windows Server 2012
DICA 3 – Verifique se não há outro GPO no domínio anulando a configuração que deseja aplicar.
Como todos sabem, os GPOs são aplicados seguindo um lógica, que é:
1. Local Group (Grupo Local).
2. Site.
3. Domain (Domínio).
4. Unidade Organizacional.
Então por ser aplicado seguindo uma hierarquia pode acontecer de algum GPO está anulando a configuração no qual está tentando aplicar. O meu conselho a você é olhar na hierarquia dos GPOs quais configurações estão sendo aplicadas depois do GPO em questão e verificar se algum deles estão em conflito com o GPO que está tentando aplicar.
Para saber quais GPOs estão sendo aplicadas a um objeto você pode usar o comando gpresult /r, explicado neste artigo abaixo:
– Obtendo as Configurações das Políticas de Grupo, de “forma tradicional” e remota, com o comando gpresult.
Você também pode, se quiser, usar a guia de Herança de Política de Grupo do console GPMC, localizada no console do GPMC. Ela demonstra o que está sendo aplicada aos objetos que estão dentro daquela unidade organizacional (domínio, etc) e a ordem de como eles estão sendo aplicados ao mesmo, ilustrado em Precedência.
https://i1.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-9.png?resize=727%2C219&ssl=1
Console GPMC – Guia Herança de Política de Grupo.
Na imagem acima é possível notar que o último GPO aplicado nos objetos da OU Computadores é o GPO Conf_EstaçõesTI. Ou seja, se por ventura meu computador ou usuário estivesse dentro dessa OU e não tivesse recebendo a configuração da política possivelmente podia ser algum GPO que é aplicado depois está entrando em conflito com o GPO da configuração. Neste caso pode usar a informação de Precedência, localizada na imagem acima, para saber quais GPOs estão sendo aplicados depois e ir diretamente neles consultando se há algum conflito com a mesma configuração. Vale lembrar que é possível alterar esse valor de precedência mas esse é assunto para outro post futuro.
DICA 4 – Vinculo Desabilitado.
Outra coisa que pode está fazendo com que seu GPO não seja aplicado, é o link do mesmo está desabilitado no local no qual vinculou. Geralmente isso ocorre quando precisamos desabilitar um GPO que não está sendo usado naquele momento. Com isso esquecemos de habilitá-lo depois e assim ele não é aplicado aos objetos.
Para verificar se o seu GPO está habilitado ou não clique nele com o botão direito do mouse e verifique se está marcado a opção VINCULO HABILITADO, ilustrado abaixo.
https://i2.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-10.png?resize=357%2C97&ssl=1
Console GPMC – Verificando se o vínculo de um GPO está habilitado.
DICA 5 – Objeto com negação na política.
Outro cenário bastante comum – isso porque muitos departamentos precisam trabalhar com exceções em GPOs – é ter uma negação de leitura ou de aplicação a um objeto.
Então verifique na guia Delegação -> Avançados se o objeto em questão não está com negação na aplicação da política, conforme ilustra o exemplo abaixo que demonstra que o usuário Diego Lima está com negação na política Conf_EstaçõesTI do domínio diegogouveia.com.br.
https://i1.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-11.png?resize=601%2C402&ssl=1
Negação Política GPO – Propriedades de um GPO – Guia Delegação – Console GPMC
DICA 6 – Veja como está configurado o valor da política.
Quando configuramos uma política no domínio, é perguntando se deseja ou não habilitar a mesma nas suas propriedades. Isso pode ser visto dando um duplo clique na política, verificando assim se deseja ou não aplicar a mesma e caso deseje aplicar se deseja HABILITAR ou NÃO.
https://i2.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-12.png?resize=428%2C208&ssl=1
Propriedades da Política – Console Editor de Política de Grupo.
DICA 7 – Se você possui mais de um DC, verifique se todos estão fazendo a replicação correta dos GPOs.
Isso porque o usuário possa está se autenticado em algum DC que não está com uma cópia fiel dos GPOS do domínio, com isso fazendo com que ele não receba o GPO. No post abaixo eu explico como você verificar isso.
- Analisando o Status Da Infraestrutura das Políticas de Grupo do domínio, por meio do GPMC.
Vale lembar que também existem OUTRAS inúmeras razões de seu GPO não está sendo aplicado. Como desde o adaptador de rede não está configurado direito ou desativado a problemas de DNS, de autenticação e por aí vai. Listei apenas alguns exemplos que devem ser verificados.