Benötigen Sie eine Erklärung, warum ein bestimmtes Gruppenrichtlinienobjekt auf alle Domänencomputer angewendet wird

9

Ich bin ein wenig ratlos, also hoffe ich, dass mich jemand aufklären kann, da ich mich als eine ziemlich sachkundige GPO-Person betrachte.

Ich habe ein Anmeldebanner-Gruppenrichtlinienobjekt, das die Interactive Logon:Einstellungen ändert Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logon, um ein Anmeldebanner anzuzeigen. Das ist das EINZIGE, was dieses Gruppenrichtlinienobjekt tut.

Mein Verständnis von Technet und anderen Online- Nutzern sowie meine eigenen Erfahrungen in der Vergangenheit sind, dass Sie dies in einem Gruppenrichtlinienobjekt konfigurieren, das auf die Domänenebene angewendet / verknüpft wird.

Hier in meiner aktuellen Firma wird unser "LogonMessage-Gruppenrichtlinienobjekt" jedoch NUR mit der Organisationseinheit "Domänencontroller" angewendet / verknüpft , und dieses Gruppenrichtlinienobjekt gilt mit Sicherheit für alle Computer in der Organisation.

Ich habe beispielsweise eine rsop.msc auf meiner Workstation ausgeführt und sie wird als Quell-Gruppenrichtlinienobjekt für diese Einstellung angezeigt, obwohl sich meine Workstation offensichtlich NICHT in der Organisationseinheit Domänencontroller befindet.

Also, was gibt es? Warum wendet das Anwenden eines Anmeldebanner-Gruppenrichtlinienobjekts auf die Organisationseinheit "Domänencontroller" es auf alle Computer in der Domäne an?

group-policy Der Reiniger
quelle
@ Joeqwerty Gotcha. Ich dachte, die Nachricht wäre nach dem Login. Lassen Sie uns das aufräumen.
Blaughw
Keine Bange. Es ist ein wirklich interessantes Problem. Keine der von mir betrachteten Domänen weist dieses Verhalten auf.
Joeqwerty
Ich glaube nicht, dass rsop zeigt, wo das Gruppenrichtlinienobjekt verknüpft ist. gpresult sollte im Abschnitt Angewandte Gruppenrichtlinienobjekte ("Link Location") angezeigt werden. Möglicherweise möchten Sie die Debug-Protokollierung für Gruppenrichtlinienumgebungen aktivieren und das gpsvc.log überprüfen. Es sollte zeigen, woher die Gruppenrichtlinienobjekte gezogen werden. Suche nach:SearchDSObject: Searching <CN=
Greg Askew
@ GregAskew: Guter Punkt. Während RSOP das Quell-Gruppenrichtlinienobjekt für die betreffende Einstellung anzeigt, wird, wie Sie sagen, nicht angezeigt, wo das Gruppenrichtlinienobjekt verknüpft ist.
Joeqwerty
@GregAskew - Ja, wie angegeben, ist es nur mit der Organisationseinheit Domänencontroller verknüpft. Das hat die Frage aufgeworfen, es hat mich völlig in eine Schleife geworfen, wie es so funktioniert.
TheCleaner

Antworten:

8

Sind Sie sicher, dass es nicht auf Site-Ebene verlinkt ist? Sie sollten dies in der GPMC unter Sites überprüfen (klicken Sie mit der rechten Maustaste und wählen Sie "Sites anzeigen" und zeigen Sie alle Sites an).

duenni
quelle
Das war's. Ich hatte ein mit einer Website verknüpftes Gruppenrichtlinienobjekt vollständig übersprungen. Vielen Dank, Sir, dass Sie mich daran erinnert haben, dort nachzusehen.
TheCleaner
Schön! Ich bin froh, dass es geholfen hat.
Duenni
3

Zur Behebung dieser Art von Problemen sollten Sie das GPMC-Tool (Group Policy Management Console) verwenden, mit dem Sie ermitteln können, wo Ihre Gruppenrichtlinien verknüpft sind und wer zum Lesen berechtigt ist.

Brian Lewis
quelle