Se você gostaria de ler as outras partes desta série de artigos, por favor, vá para:

  • Top 10 Razões de Política de Grupo Falha ao Aplicar (Parte 1)
  • Top 10 Razões de Política de Grupo Falha ao Aplicar (Parte 2)

Introdução

Nas nossas duas primeiras parcelas deste tópico olhamos as 7 razões pelas quais a Diretiva de Grupo pode não estar funcionando corretamente em seu ambiente. Olhando para trás, essas 7 razões expuseram alguns fatores-chave sobre a Política de grupo. Primeiro, a Política de grupo depende da autenticação adequada por meio de DNS para os controladores de domínio, usando Kerberos para o protocolo de autenticação, escopo de gerenciamento e usando o tipo de objeto correto para cada configuração em um GPO. Em seguida, analisamos a precedência GPO (LSDOU) e a filtragem de segurança. Nesta edição, não veremos filtros override, Block inheritance e WMI.

imposto (SEM substituição) é definido no GPO

por padrão, cada GPO configurado não possui filtragem de segurança, imposto (SEM substituição), herança de bloco, etc. No entanto, pode haver um tempo em que alguém configure um desses recursos. Nós olhamos para a filtragem de segurança, mas agora estamos olhando para aplicada (sem substituição). Imposta (sem substituição) é uma configuração que é imposta a um GPO, junto com todas as configurações no GPO, para que qualquer GPO com precedência mais alta não “ganhe” se houver uma configuração conflitante.

é importante entender que a herança GPO funciona com LSDOU (Local, site, domínio, OU). Depois de definir nenhuma substituição em um GPO, esse conceito de precedência é negado. Forçado (sem substituição) define o GPO em questão para não ser substituído por nenhum outro GPO (por padrão, é claro).

um bom exemplo aqui é definir a Política de domínio padrão para imposta( sem substituição), para que as configurações de Política de senha contidas nela não sejam superadas por um GPO no domínio para usuários de domínio ou em uma UO para usuários SAM locais em computadores localizados na UO. Você pode ver que isso está definido na Política de Domínio Padrão Na Figura 1.


Figura 1:
forçado (sem substituição) é definido para a Política de domínio padrão.

há algumas coisas a considerar ao definir forçado (sem substituição). Primeiro, o GPO será definido como a precedência mais alta do local onde o GPO está vinculado pela estrutura do anúncio. Em segundo lugar, se um GPO de precedência mais alto (como, em um nível OU em nosso exemplo) também for definido como imposto (SEM substituição), ele não terá precedência maior do que o GPO vinculado mais alto na estrutura AD. Isso significa que um administrador da OU não pode definir um GPO para ter precedência maior do que um administrador de domínio.

a herança de bloco é definida no nó do Active Directory

outro recurso, embora não sugerido para uso regular, é a capacidade de bloquear a herança do processamento padrão da Política de grupo por meio do Active Directory. Como já foi mencionado muitas vezes neste conjunto de artigos, a precedência do LSDOU é respeitada para aplicação de Política de grupo e resolução de conflitos.

o recurso de herança de bloco é aquele definido no nó de domínio ou em uma unidade organizacional. Mesmo que os sites possam ter um GPO vinculado, o único GPO que tem precedência mais fraca do que o GPO vinculado ao site é o GPOs local e local não pode ser bloqueado com esse recurso.

o que o recurso faz é bloquear todos os GPOs de precedência mais fracos associados ao nível em que a configuração de herança de bloco é estabelecida. Portanto, se a herança do bloco for definida em um segundo nível OU, todos os GPOs definidos no domínio e no nível superior OU serão bloqueados, não afetando os usuários e computadores localizados no segundo nível OU. Apenas os GPOs vinculados ao segundo nível OU teriam algum efeito. Claro, se houvesse mais níveis de UO sob o segundo nível Um, esses GPOs também seriam eficazes, apenas não aqueles que têm precedência mais fraca. Você pode ver como isso afeta as GPOs observando as figuras 2 e 3. A figura 2 não tem Conjunto de herança de bloco, enquanto a Figura 3 tem a configuração estabelecida no segundo nível OU.


Figura 2:
precedência e herança padrão do GPO no segundo nível OU.


Figura 3:
a herança de blocos é definida no segundo nível OU.

o filtro WMI está incorreto

os filtros WMI são uma maneira poderosa de controlar quais objetos (usuários ou computadores) recebem as configurações em um GPO. O filtro WMI é um arquivo autônomo que está vinculado a um ou mais GPOs. Quando as configurações de Diretiva de grupo de cada GPO são avaliadas, o filtro WMI determinará se as consultas incluídas no filtro WMI retornam como positivas ou negativas. Se positivo, atendendo aos critérios no filtro WMI, as configurações no GPO às quais o filtro WMI está vinculado serão aplicadas.

claro, você pode ver onde pode haver muitas áreas neste processo que o filtro WMI fará com que o GPO pareça falhar. Primeiro, se o arquivo de filtro WMI for alterado ou excluído, mas o link do filtro WMI permanecer intacto, o filtro WMI não será atendido, portanto, as configurações no GPO não serão aplicadas. Em seguida, se o filtro WMI tiver algum erro sintático, fazendo com que a consulta falhe, as configurações no GPO também não serão aplicadas. Finalmente, se a consulta for projetada incorretamente ou a lógica para o sucesso da consulta WMI estiver incorreta, as configurações de GPO não serão aplicadas.

use apenas filtros WMI onde não há outras opções, pois os filtros WMI têm muitas áreas onde podem negar todas as configurações no GPO de aplicação, além de os filtros WMI são muito lentos para avaliar e aplicar. Mesmo na segmentação de Nível de Item (ILT) localizada nas preferências de Política de Grupo, use os filtros WMI com moderação, pois dentro da ILT eles também podem ter problemas.

resumo

nesta série de artigos, analisamos dez maneiras diferentes pelas quais a Política de grupo pode falhar, ou pelo menos parece que está falhando. Na realidade, a própria política de grupo raramente falha. O que normalmente falha é a configuração do GPO, links, estrutura de Política de grupo, etc. que estão incorretos, fazendo com que o GPO e as configurações não se apliquem aos alvos desejados. Eu sempre sugiro que voltar ao básico e aos fundamentos da Política de grupo ajudará a rastrear onde os problemas centrais estão enraizados. Além disso, acho que as configurações básicas e fundamentais causam a maioria dos problemas com a Política de grupo. Como regra geral, certifique-se de usar a estrutura da UO para implantar configurações de Diretiva de grupo, de modo que todos os objetos na UO recebam as configurações. Quando você tenta alterar as permissões padrão, o aplicativo e a precedência da Política de grupo, é aqui que os problemas realmente começam a se acumular. Sugere-se, apenas em situações muito raras, que você use recursos como filtragem de segurança, herança de bloco, aplicação e filtros WMI. Ficar longe dessas opções e recursos ajudará você a manter seu ambiente de Política de grupo mais simples, estável e fácil de solucionar quando ocorrerem problemas reais.

se você gostaria de ler as outras partes desta série de artigos, vá para:

  • Top 10 Razões de Política de Grupo Falha ao Aplicar (Parte 1)
  • Top 10 Razões de Política de Grupo Falha ao Aplicar (Parte 2)
Pós Opiniões:54,660

Ezoicrelatório a esse anúncio

Deixe uma resposta

O seu endereço de email não será publicado.