Grupos restritos não funcionam

1

Eu tenho vários GPOs configurados em nosso domínio no trabalho, em um GPO eu defini o grupo como Administradores Locais por meio do recurso Grupos Restritos. No entanto, quando um dos usuários desse grupo efetua login em um dos computadores no domínio, ele não consegue fazer alterações administrativas, como instalar e remover programas. Eu verifiquei novamente o GPO e tudo parece estar configurado corretamente. O GPO está vinculado e está configurado para impor as políticas.

Atualização: Quando eu faço o login em um computador cliente e executo gpresult / z eu recebo isso:

Os seguintes GPOs não foram aplicados porque foram filtrados

Technology Department Configuration
    Filtering:  Not Applied (Empty)

Local Group Policy
    Filtering:  Not Applied (Empty)

Por que diz que está vazio? Estou esquecendo alguma coisa? Eu estou olhando para todos os GPOs que temos em nosso domínio e há 5 total com cada um sendo aplicado apenas a grupos específicos. Esses usuários estão no grupo do Departamento de Tecnologia e estão vinculados somente a um único GPO. Eu não vejo onde algo poderia estar em conflito? Os únicos filtros desse grupo são eles são adicionados ao grupo Usuários da Área de Trabalho Remota, o Permitir logon localmente, ao Permitir logon pelos Serviços de Terminal e foram configurados para um Administrador Local por meio de Grupos Restritos.

    
por tylerbhughes 30.05.2013 / 20:35

2 respostas

2

Grupos restritos Os gPOs aplicam-se a computadores, não a usuários. Se você quiser usar um grupo de segurança Domínio para especificar quais computadores o gpo deve aplicar, os computadores no escopo precisam ser adicionados ao grupo de segurança Domínio .

    
por 31.05.2013 / 02:12
1

Coisas a verificar:

  • Faça logon no cliente e execute o comando gpresult /z e verifique se a política está sendo aplicada a este computador. - Se não, você tem sua política vinculada à OU incorreta, ou a política é escopo de tal forma que não está sendo aplicada ao cliente (ou seja, filtrada por membros do grupo). Há também uma GUI no GPMC (que será instalado em um DC) que permite que você faça isso.
  • Verifique os logs de eventos do cliente em que você espera que esta política entre em vigor. Há algum erro?

Sua pergunta afirma que um usuário não recebe direitos de administrador quando faz logon, o que implica que outros usuários o façam? Já outros usuários realmente tentaram neste mesmo computador? Em caso afirmativo, e outros usuários obtêm os direitos de administrador conforme o esperado, essa configuração está dentro da mesma política? Em caso afirmativo, verifique novamente a associação ao grupo. Novamente, verifique os logs de eventos, pois isso provavelmente oferecerá algumas pistas importantes sobre onde está o problema.

Como observação, você normalmente não precisa aplicar políticas, a menos que tenha políticas conflitantes mais altas na hierarquia. As políticas são aplicadas na seguinte ordem. Local, Site, Domínio e UOs (iniciando na raiz) dos quais o computador / usuário é membro, com a última política aplicada substituindo quaisquer conflitos anteriores, a menos que você use a configuração 'impor', nesse caso, a primeira configuração aplicada "forçada" vencerá.

É difícil saber onde está o problema a partir das informações que você forneceu, mas se você puder editar sua pergunta para adicionar mais detalhes, demonstrando o que você verificou (e descobriu), isso nos ajudará a fornecer um melhor diagnóstico.

    
por 30.05.2013 / 20:53