Hai bisogno di una spiegazione del perché un determinato oggetto Criteri di gruppo viene applicato a tutti i computer di dominio

9

Sono un po 'perplesso su questo, quindi spero che qualcuno mi possa illuminare, dal momento che mi considero una persona di GPO abbastanza ben informata.

Ho un oggetto Criteri di gruppo per l'accesso che modifica le Interactive Logon:impostazioni Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logonal fine di visualizzare un banner di accesso. Questa è l'unica cosa che fa questo oggetto Criteri di gruppo.

ORA, la mia comprensione da Technet e altri online, insieme alle mie esperienze passate è che si configura questo in un oggetto Criteri di gruppo che viene applicato / collegato a livello di dominio.

Tuttavia, qui presso la mia attuale azienda il nostro "oggetto Criteri di gruppo LogonMessage" viene applicato / collegato SOLO all'unità organizzativa dei controller di dominio e questo oggetto Criteri di gruppo si applica a tutti i computer dell'organizzazione.

Ho eseguito un rsop.msc per esempio sulla mia workstation e lo mostra come oggetto Criteri di gruppo di origine per quell'impostazione, anche se ovviamente la mia workstation NON si trova nell'unità organizzativa dei controller di dominio.

Quindi cosa dà? Perché l'applicazione di un oggetto Criteri di gruppo banner di accesso all'unità organizzativa dei controller di dominio lo applica a tutti i computer nel dominio?

group-policy 
TheCleaner
fonte
@joeqwerty Gotcha. Stavo pensando che il messaggio fosse post-login. Puliamo questo.
blaughw,
Nessun problema. È un problema davvero interessante. Nessuno dei domini che ho visto mostra questo comportamento.
joeqwerty,
Non credo che rsop mostri dove è collegato l'oggetto Criteri di gruppo. gpresult dovrebbe, nella sezione dell'oggetto Criteri di gruppo applicato ("Posizione collegamento"). È possibile abilitare la registrazione del debug dell'ambiente di criteri di gruppo e rivedere gpsvc.log. Dovrebbe mostrare da dove vengono estratti gli oggetti Criteri di gruppo. Cerca:SearchDSObject: Searching <CN=
Greg Askew,
@GregAskew: buon punto. Mentre RSOP mostra l'oggetto Criteri di gruppo di origine per l'impostazione in questione, come dici tu non mostra dove l'oggetto Criteri di gruppo è collegato.
joeqwerty,
@GregAskew: sì, come indicato, è collegato solo all'unità organizzativa dei controller di dominio. Questo è ciò che ha portato alla domanda, mi ha completamente gettato un ciclo su come funziona in quel modo.
TheCleaner,

Risposte:

8

Sei sicuro che non sia collegato a livello di sito? Dovresti verificarlo nel GPMC, sotto Siti (fai clic con il tasto destro e scegli "Mostra siti" e mostra tutti i siti).

duenni
fonte
Questo è stato. Avevo completamente ignorato un oggetto Criteri di gruppo collegato al sito. Grazie signore per avermi ricordato di controllare lì.
TheCleaner,
Ben fatto! Sono contento che abbia aiutato.
duenni,
3

Per risolvere questo tipo di problema, è necessario utilizzare lo strumento GPMC (Group Policy Management Console) che consente di individuare dove sono collegati i criteri di gruppo e chi dispone dei diritti per leggerli.

Brian Lewis
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.