Política de segurança do Windows não está sendo atualizada - os modelos de administração funcionam bem

1

Eu tenho um domínio com uma mistura de servidores físicos e virtuais. Algum tempo atrás, outro administrador pode ter realizado algumas atualizações manuais com script no nível do cliente que agora estão impedindo que as alterações nas configurações de segurança cheguem aos clientes. As alterações feitas em outro lugar na atualização da política de grupo são boas.

Controlador de domínio único - isso é impulsionado pela política de contrato, mas mostro isso como não vejo como a replicação pode ser um problema, mas estou aberto a qualquer pensamento.

O sysadmin antigo estava usando a 'política de domínio padrão' em vez de uma política nomeada personalizada para o site. Copiei a política antiga para um novo nome e desvinculei a política padrão. Quando executo gpupdate / force no cliente, ele não apresenta erros e nenhum aparece nos logs. Quando executo o rsop, ainda vejo a política de domínio padrão como a política vencedora para as configurações de segurança, mas em todos os outros casos é a política recém-nomeada. Onde fica muito interessante para mim é que quando eu clico com o botão direito do mouse nas propriedades para o RSOP, vejo apenas o desenho do novo nome da política e a política de domínio padrão está longe de ser encontrada. O RSOP também não gera erros.

Aqui está o que eu fiz até agora sem sucesso: 1. Backup e exclusão de HKCU \ Software \ Policies 2. Backup e exclusão de HKLM \ Software \ Policies 3. Backup e exclusão de HKCU \ Software \ Microsoft \ Windows \ Versão atual \ Diretiva de Grupo 4. Backup e exclusão de HKLM \ Software \ Microsoft \ Windows \ Versão atual \ Diretiva de Grupo 5. Excluiu a pasta c: \ Windows \ System32 \ Group Policy 6. fez uma reversão não autoritária no CD

Todos os pedaços de sugestões que encontrei durante as minhas pesquisas. Estou um pouco perplexo com o que pode estar causando isso. Todos os outros comportamentos das máquinas são consistentes com boas configurações de DNS. Eu posso pegá-los dentro e fora do domínio muito bem - e isso não faz diferença.

    
por Ted M 04.02.2016 / 20:36

1 resposta

1

I copied the old policy to a new name and unlinked the default policy.

Você vincula a diretiva de domínio padrão desativada?
Não é uma prática recomendada, não é recomendada, provavelmente nem é suportada. Explicaria porque está faltando RSOP e seus resultados erráticos.

Você pode querer usar a ferramenta DCGPOFix para reparar o DDP. link Observe o que é dito deve e não deve ser incluído no DDP:

As a best practice, you should configure the Default Domain Policy GPO only to manage the default Account Policies settings, Password Policy, Account Lockout Policy, and Kerberos Policy.

  1. Faça backup de ambos os GPOs - de preferência, você já fez isso antes de sua primeira tentativa de correção.
  2. Remova as configurações nessas áreas do seu "Novo" GPO. Você não deseja aplicar essas configurações definidas em vários GPOs.
  3. Use a ferramenta DCGPOFix ou remova manualmente todas as configurações de outras áreas do GPO do DDP.
  4. Reabilite o link para o GPO do DDP.
  5. Cruze os dedos
por 05.02.2016 / 15:44