GPO so aplica em usuários com previlégio de ADM

Sammy_Sam · 12 de setembro de 2012

Olá pessoal estou há alguns dias batendo cabeça pra aplicar GPO num server 2003 q to implantando aq na prefeitura, é o seguinte criei uma OU usuários no meu domínio, dentro dela criei os usuários do domínio e dentro dessa OU criei uma GPO usuários onde eu editei com as configurações q eu quero q seja aplicado para os USUÁRIOS do meu domínio..o problema é que a GPO nao ta sendo aplicada se o usuário não tiver direitos administrativo ela só funciona s eu colocar os usuário como Administrador..o que pode ta ocorrendo? vou ficar muito agradecido s haver alguém q me ajude a solucionar esse problema.

valeu

Sammy_Sam · 13 de setembro de 2012

e ai gente ninguem q possa ajudar? ninguem...

rbrtarenhart · 11 de outubro de 2012

e ai gente ninguem q possa ajudar? ninguem...

Puxa vida,

estou com o mesmo problema se alguém souber por que está acontecendo isso

D13g0 · 12 de outubro de 2012

Ao selecionar a GPO no console Group Policy Management, verifique se o grupo ao qual os usuários pertencem está listado no campo Security Filtering, ou então o grupo Authenticated Users, para indicar que a GPO deve ser aplicada a todos os usuários.

Espero ter ajudado.

rbrtarenhart · 12 de outubro de 2012

Ao selecionar a GPO no console Group Policy Management, verifique se o grupo ao qual os usuários pertencem está listado no campo Security Filtering, ou então o grupo Authenticated Users, para indicar que a GPO deve ser aplicada a todos os usuários.
Espero ter ajudado.

Sim, isso está tudo certo... no caso será que se eu for habilitar as gpo individuais para grupos eu terei que desabilitar as gpo para os usuários autênticados nas politicas padrões "Default Domain Policy" e "Default Domain Controllers Policy"?

D13g0 · 12 de outubro de 2012

Sim, isso está tudo certo... no caso será que se eu for habilitar as gpo individuais para grupos eu terei que desabilitar as gpo para os usuários autênticados nas politicas padrões "Default Domain Policy" e "Default Domain Controllers Policy"?

Você não precisa desabilitar as outras GPOs para aplicar uma nova, caso você queira aproveitar as configurações já feitas na Default Domain Policy, por exemplo. As GPOs de níveis mais específicos (como as aplicadas em OUs, por exemplo) herdam por padrão as configurações das GPOs de níveis mais gerais (como uma GPO aplicada ao domínio, por exemplo), e as configurações feitas em um nível mais específico sobrescrevem as configurações correspondentes herdadas. A ordem de precedência é (do nível mais geral para o mais específico):

- GPOs aplicadas a um site

- GPOs aplicadas a um domínio

- GPOs aplicadas a uma OU

Esse link contém a referência a esse assunto.

Quanto ao problema das GPOs serem apenas aplicadas a usuários com nível administrativo, tirando a questão do Security Filtering, eu não tenho ideia do que pode ser. Vá na máquina cliente e execute o seguinte comando no prompt:


gpresult /r > resultado.txt

E poste o resultado aqui. Esse comando lista as GPOs que foram aplicadas, as que foram filtradas e a razão caso tenha sido filtrada em um arquivo chamado resultado.txt que será criado no mesmo diretório de onde você chamou o gpresult.

Espero ter ajudado.

rbrtarenhart · 14 de outubro de 2012

Você não precisa desabilitar as outras GPOs para aplicar uma nova, caso você queira aproveitar as configurações já feitas na Default Domain Policy, por exemplo. As GPOs de níveis mais específicos (como as aplicadas em OUs, por exemplo) herdam por padrão as configurações das GPOs de níveis mais gerais (como uma GPO aplicada ao domínio, por exemplo), e as configurações feitas em um nível mais específico sobrescrevem as configurações correspondentes herdadas. A ordem de precedência é (do nível mais geral para o mais específico):
- GPOs aplicadas a um site

- GPOs aplicadas a um domínio

- GPOs aplicadas a uma OU

Esse link contém a referência a esse assunto.

Quanto ao problema das GPOs serem apenas aplicadas a usuários com nível administrativo, tirando a questão do Security Filtering, eu não tenho ideia do que pode ser. Vá na máquina cliente e execute o seguinte comando no prompt:
gpresult /r > resultado.txt
E poste o resultado aqui. Esse comando lista as GPOs que foram aplicadas, as que foram filtradas e a razão caso tenha sido filtrada em um arquivo chamado resultado.txt que será criado no mesmo diretório de onde você chamou o gpresult.

Espero ter ajudado.

hum, entendi bastante coisa agora, mas tipo vou explicar melhor o meu ambiente windows server:

Eu criei o dominio e o servidor dns e apliquei algumas gpos a nível de domínio ne "Default Domain Policy" e criei outra gpo também a nível de domínio mas aplicando o que eu fiz somente para um grupo nessa determinada GPO.

Não estou na empresa agora, mas quando eu chegar la eu vou executar este comando no windows server 2003, subi um windows server 2008 sexta-feira e estou mexendo mais nele agora, mas vou executar este comando que você me disse la no windows server 2003, será que este comando também funciona no windows server 2008? estou com dificuldade para implementar algumas gpo também lá, e gostaria de saber se o problema está na configuração das errada das GPO ou se nem está executando no windows server 2008.

D13g0 · 14 de outubro de 2012

hum, entendi bastante coisa agora, mas tipo vou explicar melhor o meu ambiente windows server:
Eu criei o dominio e o servidor dns e apliquei algumas gpos a nível de domínio ne "Default Domain Policy" e criei outra gpo também a nível de domínio mas aplicando o que eu fiz somente para um grupo nessa determinada GPO.

Não estou na empresa agora, mas quando eu chegar la eu vou executar este comando no windows server 2003, subi um windows server 2008 sexta-feira e estou mexendo mais nele agora, mas vou executar este comando que você me disse la no windows server 2003, será que este comando também funciona no windows server 2008? estou com dificuldade para implementar algumas gpo também lá, e gostaria de saber se o problema está na configuração das errada das GPO ou se nem está executando no windows server 2008.

Esse comando também funciona no Windows Server 2008, porém, para efeito de teste, eu sugiro que execute o comando em uma máquina cliente que esteja no domínio com um usuário sem privilégios administrativos, pois é nesse caso que ocorre o problema.

Vale notar também que quando você fizer uma alteração em uma GPO, as alterações da mesma só serão replicadas para os clientes quando o Active Directory for efetuar a replicação das informações, então caso você esteja fazendo algum tipo de teste e você queira testar a nova configuração imediatamente, na máquina cliente você deve executar o seguinte comando:


gpupdate /force

Isso fará com que a máquina cliente atualize as suas informações relativas às GPOs.

Espero ter ajudado.

rbrtarenhart · 15 de outubro de 2012

Esse comando também funciona no Windows Server 2008, porém, para efeito de teste, eu sugiro que execute o comando em uma máquina cliente que esteja no domínio com um usuário sem privilégios administrativos, pois é nesse caso que ocorre o problema.
Vale notar também que quando você fizer uma alteração em uma GPO, as alterações da mesma só serão replicadas para os clientes quando o Active Directory for efetuar a replicação das informações, então caso você esteja fazendo algum tipo de teste e você queira testar a nova configuração imediatamente, na máquina cliente você deve executar o seguinte comando:
gpupdate /force
Isso fará com que a máquina cliente atualize as suas informações relativas às GPOs.

Espero ter ajudado.

Fiz o que você me disse no windows server 2008, testei e em um computador cliente windows 7 funcionou... já em computador cliente windows xp não funcionou, ai coloquei o comando "gpresult > resultado.txt" e me retornou a seguinte mensagem:

"INFORMAÇÕES: o objeto de diretiva não existe."

D13g0 · 15 de outubro de 2012

Fiz o que você me disse no windows server 2008, testei e em um computador cliente windows 7 funcionou... já em computador cliente windows xp não funcionou, ai coloquei o comando "gpresult > resultado.txt" e me retornou a seguinte mensagem:
"INFORMAÇÕES: o objeto de diretiva não existe."

Eu pesquisei um pouco sobre esse problema no Windows XP, e vi em alguns lugares que pode estar relacionado à configuração de DNS na máquina cliente (como por exemplo, aqui e aqui).

Verifique se a máquina cliente aponta corretamente pro servidor DNS do Windows Server e se o sufixo DNS possui o nome do seu domínio, para isso, na máquina com Windows XP, basta rodar o comando:


ipconfig /all

E confirmar se o sufixo DNS da sua conexão corresponde ao nome do domínio ao qual essa máquina ingressou e se o IP do servidor DNS aponta para o IP do servidor Windows Server com o serviço de DNS.

Espero ter ajudado.

rbrtarenhart · 15 de outubro de 2012

Eu pesquisei um pouco sobre esse problema no Windows XP, e vi em alguns lugares que pode estar relacionado à configuração de DNS na máquina cliente (como por exemplo, aqui e aqui).
Verifique se a máquina cliente aponta corretamente pro servidor DNS do Windows Server e se o sufixo DNS possui o nome do seu domínio, para isso, na máquina com Windows XP, basta rodar o comando:
ipconfig /all
E confirmar se o sufixo DNS da sua conexão corresponde ao nome do domínio ao qual essa máquina ingressou e se o IP do servidor DNS aponta para o IP do servidor Windows Server com o serviço de DNS.

Espero ter ajudado.

De fato o problema era esquecimento

eu esqueci de colocar o DNS no computador xp cliente, ai depois disso consegui rodar e retirar as gpo que foram aplicadas:

Ferramenta de resultados de diretiva de grupo v2.0 do Sistema operacional

Microsoft ® Windows ® XP

Copyright © Microsoft Corp. 1981-2001

Criado em 15/10/2012 …s 09:51:33

Resultados RSOP para TELEVISAOGOYA\suporte em TI-BACKUP : modo de log

----------------------------------------------------------------------

Tipo de sistema operacional: Microsoft Windows XP Professional

Configura‡Æo do sistema operacional: Esta‡Æo de trabalho membro

VersÆo do sistema operacional: 5.1.2600

Nome do dom¡nio: TELEVISAOGOYA

Tipo de dom¡nio: Windows 2000

Nome do site: Default-First-Site-Name

Perfil m¢vel:

Perfil local: C:\Documents and Settings\suporte.TELEVISAOGOYA

Conectado por meio de um link lento?: NÆo

CONFIGURA€åES DO COMPUTADOR

----------------------------

CN=TI-BACKUP,CN=Computers,DC=televisaogoya,DC=com

éltima vez em que a diretiva de grupo foi aplicada: 15/10/2012 at 09:43:30

A diretiva de grupo foi aplicada de: suporte04.televisaogoya.com

Limite de v¡nculo lento de diretiva de grupo: 500 kbps

Objetos de diretiva de grupo

aplicados

-------------------------------------------

Default Domain Policy

Os GPOs a seguir nÆo foram aplicados porque foram filtrados

------------------------------------------------------------

Diretivas de grupo locais

Filtragem: NÆo aplicado (vazio)

O computador faz parte dos seguintes grupos de seguran‡a:

---------------------------------------------------------

Administradores

Todos

Usu*rios

REDE

Usu*rios autenticados

TI-BACKUP$

Computadores do dom¡nio

CONFIGURA€åES DO USUµRIO

-------------------------

CN=suporte,CN=Users,DC=televisaogoya,DC=com

éltima vez em que a diretiva de grupo foi aplicada: 15/10/2012 at 09:43:54

A diretiva de grupo foi aplicada de: suporte04.televisaogoya.com

Limite de v¡nculo lento de diretiva de grupo: 500 kbps

Objetos de diretiva de grupo

aplicados

-------------------------------------------

TI

Os GPOs a seguir nÆo foram aplicados porque foram filtrados

------------------------------------------------------------

Default Domain Policy

Filtragem: NÆo aplicado (vazio)

Diretivas de grupo locais

Filtragem: NÆo aplicado (vazio)

O usu*rio faz parte dos seguintes grupos de seguran‡a:

------------------------------------------------------

Usu*rios do dom¡nio

Todos

Usu*rios

INTERATIVO

Usu*rios autenticados

LOCAL

TI

porém não mostrou as gpo que eu apliquei como por exemplo a troca do papel de parede no Active Desktop e proxy manual para mozilla firefox, tentei colocar o parametro "/R" conforme gpresult /R > resultado.txt mas não funcionou.

D13g0 · 15 de outubro de 2012

De fato o problema era esquecimento
eu esqueci de colocar o DNS no computador xp cliente, ai depois disso consegui rodar e retirar as gpo que foram aplicadas:

porém não mostrou as gpo que eu apliquei como por exemplo a troca do papel de parede no Active Desktop e proxy manual para mozilla firefox, tentei colocar o parametro "/R" conforme gpresult /R > resultado.txt mas não funcionou.

A do proxy não tenho certeza, mas a GPO do papel de parede só aplica no próximo logon do usuário. Se você está usando uma imagem para configurar o papel de parede, a mesma tem que estar numa pasta compartilhada, para poder ser acessada da máquina cliente, e na configuração da GPO você usa o caminho para acesso da imagem pela rede.

Espero ter ajudado.

Sammy_Sam · 27 de fevereiro de 2013

Eu consegui resolver o problema pessoal, a questão era q eu deixei a pasta SYSVOL com acesso apenas para administradores e como é la q fica as politicas ai não pegava para os usuarios, coloquei usuarios do dominio para terem acesso a pasta ai funcionou a GPO..o problema agora é q as GPO não aplicam na parte do computador, quando dou o comando GPRESULT na parte do computador aparece a GPO PMV como Negada(segurança) sabem como posso resolver isso?

valeu

De fato o problema era esquecimento
eu esqueci de colocar o DNS no computador xp cliente, ai depois disso consegui rodar e retirar as gpo que foram aplicadas:

porém não mostrou as gpo que eu apliquei como por exemplo a troca do papel de parede no Active Desktop e proxy manual para mozilla firefox, tentei colocar o parametro "/R" conforme gpresult /R > resultado.txt mas não funcionou.

Olá colega,

não sei se ja resolveu o problema mais para colocar o papel de parede basta editar na GPO que você colocou e usar o mesmo exemplo q da la Ex: C:\WINDOWS\Web\Wallpaper\imagem.jpg , coloca a imagem nesse caminho ai em todas as estações de trabalho q vai funcionar legal aq eu fiz assim e funcionou beleza.