Besoin d'expliquer pourquoi un objet de stratégie de groupe particulier est appliqué à tous les ordinateurs du domaine

9

Je suis un peu perplexe sur celui-ci, donc j'espère que quelqu'un pourra m'éclairer, car je me considère comme un GPO assez compétent.

J'ai un GPO de bannière de connexion qui modifie les Interactive Logon:paramètres à l'intérieur Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logonafin d'afficher une bannière de connexion. C'est la SEULE chose que fait ce GPO.

MAINTENANT, ma compréhension de Technet et d'autres en ligne, ainsi que mes propres expériences passées est que vous configurez cela dans un GPO qui est appliqué / lié au niveau du domaine.

Cependant, ici dans mon entreprise actuelle, notre "objet de stratégie de groupe LogonMessage" est appliqué / lié aux contrôleurs de domaine OU UNIQUEMENT , et bien sûr, cet objet de stratégie de groupe s'applique à tous les ordinateurs de l'organisation.

J'ai exécuté un rsop.msc par exemple sur mon poste de travail et il le montre comme l'objet de stratégie de groupe source pour ce paramètre, même si mon poste de travail n'est évidemment PAS dans l'unité d'organisation des contrôleurs de domaine.

Alors qu'est-ce qui donne? Pourquoi l'application d'un GPO de bannière de connexion à l'unité d'organisation Contrôleurs de domaine l'applique-t-elle à tous les ordinateurs du domaine?

Le nettoyeur
la source
@joeqwerty Gotcha. Je pensais que le message était post-login. Nettoyons cela.
blaughw
Pas de soucis. C'est un problème vraiment intéressant. Aucun des domaines que j'ai examinés ne présente ce comportement.
joeqwerty
Je ne pense pas que rsop montre où le GPO est lié. gpresult devrait, dans la section Applied GPO ("Link Location"). Vous souhaiterez peut-être activer la journalisation du débogage de l'environnement de stratégie de groupe et consulter le gpsvc.log. Il devrait montrer d'où les GPO sont extraits. Rechercher:SearchDSObject: Searching <CN=
Greg Askew
@GregAskew: Bon point. Alors que RSOP affiche le GPO source pour le paramètre en question, comme vous le dites, il ne montre pas où le GPO est lié.
joeqwerty
@GregAskew - oui, comme indiqué, il n'est lié qu'à l'unité d'organisation des contrôleurs de domaine. C'est ce qui a suscité la question, cela m'a complètement jeté un coup d'œil sur la façon dont cela fonctionne de cette façon.
TheCleaner

Réponses:

8

Êtes-vous sûr qu'il n'est pas lié au niveau du site? Vous devriez vérifier cela dans la GPMC, sous Sites (faites un clic droit et choisissez "Afficher les sites" et afficher tous les sites).

duenni
la source
C'était ça. J'avais complètement sauté un GPO lié à un site. Merci monsieur de m'avoir rappelé de vérifier.
TheCleaner
Joli! Heureux que cela ait aidé.
duenni
3

Pour résoudre ce type de problème, vous devez utiliser l'outil GPMC (Group Policy Management Console) qui vous aide à localiser où vos stratégies de groupe sont liées et qui a le droit de les lire.

Brian Lewis
la source