Нужно объяснить, почему конкретный объект групповой политики применяется на всех компьютерах домена

9

Я немного озадачен этим, так что я надеюсь, что кто-то может просветить меня, так как я считаю себя довольно знающим специалистом по GPO.

У меня есть GPO баннера входа в систему, который изменяет Interactive Logon:настройки Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logon, чтобы отобразить баннер входа в систему. Это единственное, что делает этот объект групповой политики.

ТЕПЕРЬ, мое понимание от Technet и других онлайн, а также мой собственный прошлый опыт заключается в том, что вы настраиваете это в объекте групповой политики, который применяется / связан с уровнем домена.

Однако здесь, в моей нынешней компании, наш «Объект групповой политики LogonMessage» применяется / связан ТОЛЬКО с OU контроллеров домена , и, разумеется, этот объект групповой политики применим ко всем компьютерам в организации.

Я, например, запустил rsop.msc на своей рабочей станции, и он показывает его как исходный объект групповой политики для этого параметра, хотя моя рабочая станция, очевидно, НЕ находится в подразделении «Контроллеры домена».

Так что же дает? Почему применение GPO баннера входа в OU контроллеров домена применяется ко всем компьютерам в домене?

group-policy Очиститель
источник
@joeqwerty Gotcha. Я думал, что сообщение было пост-логином. Давайте очистим это.
Blaughw
Не беспокойся. Это действительно интересная проблема. Ни один из доменов, на которые я смотрел, не демонстрирует такого поведения.
Joeqwerty
Я не думаю, что rsop показывает, где связан объект групповой политики. gpresult должен в разделе Applied GPO («Расположение ссылки»). Вы можете включить ведение журнала отладки среды групповой политики и просмотреть gpsvc.log. Он должен показать, откуда берутся объекты групповой политики. Искать:SearchDSObject: Searching <CN=
Грег Аскью
@GregAskew: Хороший вопрос. Хотя RSOP показывает исходный объект групповой политики для рассматриваемого параметра, как вы говорите, он не показывает, где связан объект групповой политики.
Joeqwerty
@GregAskew - да, как указано, он связан только с подразделением контроллеров домена. Именно это и подтолкнуло меня к ответу, и это заставило меня задуматься о том, как это работает.
TheCleaner

Ответы:

8

Вы уверены, что это не связано на уровне сайта? Вы должны проверить это в консоли управления групповыми политиками в разделе Сайты (щелкните правой кнопкой мыши и выберите «Показать сайты» и показать все сайты).

duenni
источник
Вот и все. Я полностью пропустил привязанный к сайту объект групповой политики. Спасибо, сэр, что напомнили мне проверить там.
TheCleaner
Хороший! Рад, что это помогло.
Дуэнни
3

Для устранения проблем такого типа вам следует использовать инструмент консоли управления групповыми политиками (GPMC), который поможет вам определить, где связаны ваши групповые политики и у кого есть права на их чтение.

Брайан Льюис
источник