Necesita explicación de por qué se aplica un GPO particular a todas las computadoras de dominio

9

Estoy un poco perplejo con esto, así que espero que alguien pueda iluminarme, ya que me considero una persona muy conocedora de GPO.

Tengo un GPO de banner de inicio de sesión que cambia la Interactive Logon:configuración Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logonpara mostrar un banner de inicio de sesión. Eso es lo ÚNICO que hace este GPO.

AHORA, mi comprensión de Technet y otros en línea, junto con mis propias experiencias pasadas, es que configura esto en un GPO que se aplica / vincula al nivel de dominio.

Sin embargo, aquí en mi compañía actual, nuestro "LogonMessage GPO" se aplica / vincula a los controladores de dominio OU SOLAMENTE , y efectivamente , este GPO se aplica a todas las computadoras de la organización.

Ejecuté un rsop.msc, por ejemplo, en mi estación de trabajo y lo muestra como el GPO de origen para esa configuración, aunque mi estación de trabajo obviamente NO está en la unidad organizativa de controladores de dominio.

Entonces, ¿qué da? ¿Por qué la aplicación de un banner de inicio de sesión GPO a la OU de controladores de dominio lo aplica a todas las computadoras del dominio?

El limpiador
fuente
@joeqwerty Gotcha. Estaba pensando que el mensaje era posterior al inicio de sesión. Vamos a limpiar esto.
blaughw
Sin preocupaciones. Es un problema realmente interesante. Ninguno de los dominios que miré exhibe este comportamiento.
joeqwerty
No creo que rsop muestre dónde está vinculado el GPO. gpresult debería, en la sección de GPO aplicado ("Ubicación del enlace"). Es posible que desee habilitar el registro de depuración del entorno de políticas de grupo y revisar el gpsvc.log. Debería mostrar de dónde se extraen los GPO. Búsqueda de:SearchDSObject: Searching <CN=
Greg Askew
@ GregAskew: Buen punto. Mientras que RSOP muestra el GPO de origen para la configuración en cuestión, como usted dice, no muestra dónde está vinculado el GPO.
joeqwerty
@GregAskew: sí, como se indicó, solo está vinculado a la unidad organizativa de controladores de dominio. Eso es lo que provocó la pregunta, me dejó completamente perplejo en cuanto a cómo funciona de esa manera.
TheCleaner

Respuestas:

8

¿Estás seguro de que no está vinculado a nivel de sitio? Debe verificar esto en GPMC, en Sitios (haga clic con el botón derecho y elija "Mostrar sitios" y mostrar todos los sitios).

duenni
fuente
Eso fue todo. Me había saltado por completo un sitio vinculado a GPO. Gracias señor por recordarme que revise allí.
TheCleaner
¡Buena esa! Me alegra que haya ayudado.
duenni
3

Para solucionar este tipo de problema, debe usar la herramienta GPMC (Consola de administración de directivas de grupo) que le ayuda a localizar dónde están vinculadas sus directivas de grupo y quién tiene los derechos para leerlas.

Brian Lewis
fuente