Os comentários acima dizem tudo. Eu não ouvi uma vez sobre alguém reclamando sobre a confiabilidade / credibilidade do gpresult. Seu administrador deve ter um novo ego.
Trabalho na área de TI há quase 15 anos e sempre usei gpresult para identificar e diagnosticar problemas de políticas de diretórios ativos. Eu estive envolvido em uma longa discussão com o nosso administrador do Windows, alegando que os GPOs não estão se aplicando a mais de 400 máquinas que temos. Minha reivindicação é baseada no fato de que quando executo um gpresult em qualquer máquina, toda política retorna "não aplicada (motivo desconhecido)".
Sua resposta é "gpresult não é exato, você tem um perfil corrompido".
Pessoalmente, acho que tenho um administrador corrompido.
Eu abro o chão para discussão
Tendo gasto muito da minha vida nas últimas três semanas batendo cabeça em questões de GPO / Perfil (apenas no lado do administrador), senti medo de ler esta pergunta. Felizmente, não temos implantação de ERP, então me sinto seguro ufa .
Sim. Sobre isso. No meu caso particular, gpresult está retornando a lista correta de políticas, mas elas não estão realmente fazendo o que deveriam. A evidência nos registros de eventos sugere que eles estão tentando aplicar, mas falhando. Isso é o que sugere um perfil ruim (especificamente um perfil de usuário padrão mal criado, pois são estações de laboratório de informática para estudantes).
Quando uma estação não consegue nem descobrir quais GPOs ela precisa aplicar, geralmente é muito barulhenta sobre isso nos logs de eventos. Eu tive isso acontecer há um mês, e descobriu-se que a estação de trabalho em questão tinha o serviço NetBIOS TCP / IP Helper desativado. Outro conseguiu escolher o Controlador de Domínio que não conseguiu. Ambos foram diagnosticados através da leitura de log de eventos e alguns diagnósticos de rede na máquina em questão.
Bem, seu admin parece estar se desviando. Eu concordo com todos aqui. Para responder à sua pergunta específica, o gpresult não inclui política de segurança local . O snap-in RSOP MMC ( rsop.msc ) inclui-o, pois é uma boa GUI sofisticada, mas fiquei decepcionado quando o relatório HTML não os incluiu. Essa coisa pode ser importante, e foi para mim na época. Fiz-me parecer tolo quando estava com um monte de gente e usei-o para "obter a resposta" quando o funcionário que conhecia estava fora. Eu estava convencido de que ele não havia aplicado nenhuma personalização da secpol. FALHA!
Para responder ao seu problema de GPO: esses GPOs estão vinculados de uma OU a outra? Nosso SOP é para nossos "administradores de domínio", já que somos um departamento de TI muito grande, para vinculá-los da UO onde eles criam GPOs diferentes com base em seu público-alvo e com as permissões bloqueadas adequadas para grupos de administradores , projetos especiais, etc.). Se você não habilitar o GPO vinculado no nível da UO de destino, obviamente não será aplicável. Se esse cara não conhece as coisas dele, isso parece uma maneira óbvia de fazer com que a política não se aplique. Basta clicar com o botão direito do mouse na OU vinculada na unidade organizacional de destino com gpmc.msc e clicar em Ativar (caso você não esteja familiarizado). Espero que ajude.
Tags active-directory