Potrzebujesz wyjaśnienia, dlaczego konkretny obiekt GPO jest stosowany do wszystkich komputerów w domenie

9

Jestem trochę zaskoczony tym, więc mam nadzieję, że ktoś może mnie oświecić, ponieważ uważam się za dość kompetentną osobę z GPO.

Mam obiekt GPO banera logowania, który zmienia Interactive Logon:ustawienia Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logonw celu wyświetlenia banera logowania. To jedyna rzecz, którą robi ten obiekt GPO.

TERAZ, rozumiem przez Technet i inne osoby w Internecie, a także z moich własnych przeszłych doświadczeń, że konfigurujesz to w obiekcie zasad grupy, który jest stosowany / powiązany z poziomem domeny.

Jednak tutaj, w mojej obecnej firmie, nasz obiekt GPO „LogonMessage” jest stosowany / powiązany TYLKO z kontrolerami domeny OU i na pewno ten obiekt zasad grupy dotyczy wszystkich komputerów w organizacji.

Na przykład uruchomiłem plik rsop.msc na mojej stacji roboczej i pokazuje on go jako źródłowy obiekt GPO dla tego ustawienia, nawet jeśli moja stacja robocza oczywiście NIE znajduje się w jednostce organizacyjnej kontrolerów domeny.

Co więc daje? Dlaczego zastosowanie obiektu GPO banera logowania do jednostki organizacyjnej kontrolerów domeny stosuje go do wszystkich komputerów w domenie?

group-policy TheCleaner
źródło
@joeqwerty Gotcha. Myślałem, że wiadomość była po zalogowaniu. Wyczyśćmy to.
blaughw
Bez obaw. To naprawdę interesujący problem. Żadna z domen, na które patrzyłem, nie wykazuje tego zachowania.
joeqwerty
Nie sądzę, aby rsop pokazuje, gdzie GPO jest połączony. gpresult powinien w sekcji Applied GPO („Link Location”). Możesz włączyć rejestrowanie debugowania środowiska zasad grupy i przeglądanie pliku gpsvc.log. Powinien pokazywać, skąd są pobierane obiekty GPO. Szukaj:SearchDSObject: Searching <CN=
Greg Askew,
@GregAskew: Dobra uwaga. Podczas gdy RSOP pokazuje źródłowy obiekt GPO dla danego ustawienia, jak mówisz, nie pokazuje, gdzie obiekt GPO jest połączony.
joeqwerty
@GregAskew - tak, jak wspomniano, jest powiązany tylko z jednostką organizacyjną kontrolerów domeny. To spowodowało pytanie, całkowicie rzuciło mnie na pętlę, jak to działa.
TheCleaner

Odpowiedzi:

8

Czy na pewno nie jest on powiązany na poziomie witryny? Powinieneś to sprawdzić w konsoli zarządzania zasadami grupy w obszarze Witryny (kliknij prawym przyciskiem myszy i wybierz „Pokaż witryny” i pokaż wszystkie witryny).

duenni
źródło
To było to. Całkowicie pominąłem obiekt zasad grupy połączony z witryną. Dziękuję panu za przypomnienie, żebym tam sprawdził.
TheCleaner
Niezłe! Cieszę się, że pomogło.
duenni
3

Aby rozwiązać problem tego typu, należy użyć narzędzia GPMC (Konsola zarządzania zasadami grupy), które pomaga zlokalizować, gdzie są połączone zasady grupy i kto ma prawo je czytać.

Brian Lewis
źródło