Fala pessoal, td bom?
Recebi um email neste último final de semana com o seguinte título "GPO não aplica !!!". Era de um grande amigo meu que estava com problemas numa pequena rede.
Bom, depois de entender o que estava havendo fizemos algumas alterações e bingo, funfou.
Pensei então em criar uma listinha rápida do que revisar qdo isto ocorrer.
Espero que seja útil a alguém:
1 ) DNS
Verifique se o computador, ao qual a GPO deve ser aplicada, está autenticando com sucesso no DC. Isto é imprescindível.
2) Linkar a GPO
Lembre-se sempre de linkar a sua GPO ao domínio (cuidado ao linkar com o domínio), OU ou site. Apenas criar a GPO não adianta, pq o server não sabe o que fazer com ela. Você criou uma regra mas não disse a ele quem deve segui-la.
3) Você criou a GPO para tipo de objeto errado
Nas configurações da GPO temos: Computer Configuration e User Configuration. Certifique-se de mexer no lugar certo.
Exemplo: Você criou uma GPO, e dentro de Computer Configuration você configurou para que ningúem consiga instalar driver para impressoras, mas você linkou esta GPO para uma OU em que só tem objetos User, ou seja, não vai funcionar. - Por que? - Porque você criou regras para o computador, mas não tem computador na OU que você linkou a GPO, só tem users.
4) Valor da GPO errado
Quando vamos editar alguns Templates Administrativos temos as famosas 3 opções 'completamente intuitivas': Not Configured, Enabled, e Disabled. - Cuidado, leia bem a descrição da feature antes de selecionar qualquer umas das 3 opções. Nem sempre o Enable irá habilitar algo e nem sempre o Disable vai desabilitar algo.
5) Verifique se não há conflito de GPOs
Exemplo: Você tem uma OU chamada RH, e há várias GPOs aplicadas para esta OU, e suponhamos que os funcionários do RH queiram poder acessar o Control Panel, que hoje está bloqueado, ai você vai lá e cria uma GPO para liberar o acesso, mas eles continuam sem poder acessar. O que faz mais sentido é que já havia uma GPO bloqueando o acesso, então você deveria ter alterado esta GPO, e não criado outra, porque evitaria o conflito de 'Pode ou não pode' e também você reduz a quantidade de GPOs a serem gerenciadas. Isto considerando é claro, que a GPO está linkada apenas à OU RH. Se a GPO estiver linkada para o domínio, por exemplo, e você quiser que só o pessoal do RH acesse o Control Panel, ai sim faz sentido você criar uma GPO para isto.
6) Certifique-se de que linkou a GPO para a OU certa. Às vezes você fez tudo certo, mas ao invés de linkar a GPO para a OU certa, você linka para uma OU nada a ver. Isto pode ocorrer com qq um. Na correria do dia a dia e por tornar aquilo tão automático, qualquer um pode se enganar.
É isso ai pessoal ...
Espero ter ajudado.
Até ...
Problema quando no ambiente tem windows 7 e XP.
ResponderExcluirRicardo
Ricardo,
ResponderExcluirSe seu ambiente é misto, você deve tratá-lo como tal, ou migrá-lo tudo para Win7. Uma sugestão, dentre várias, por exemplo, é você ter uma OU para Win7 e separar o ambiente. Abs !
Amigo tudo bem ?
ResponderExcluirSeguinte estou com um problema para implantar um programa para instalação via gpo, criei o .msi tudo certinho, criei a gpo corretamente seguindo varios sites e todos estão igual, mando atualizar o servidor para ir mais rapido com o gpupdate /force e atualizo a estação tambem com o mesmo comando ai ele pede para reiniciar para que possa aplicar quando ele reincia ele loga normal mas não instala nada, se mando atualizar novamente ele diz a mesma mensagem mas nunca instala, já dei até permissao de adm local mas mesmoa assim nada.
Teria uma ideia ?
Obrigado
Amigo, td bom?
ExcluirVc está aplicando a GPO?
Bom, você não citou qual a config das máquinas no seu ambiente ...
Mas dá uma olhada neste link: http://support.microsoft.com/kb/816102#method3
Qq coisa avisa ae !
Abs !
Este comentário foi removido pelo autor.
ResponderExcluirBom dia, estou com o mesmo problema citado acima pelo Anônimo.
ResponderExcluirCriei uma OU coloquei o computador referente a instalação que quero fazer. Compartilhei a pasta de Software que quero instalar, criei uma GPO para a instalação do software e coloquei como atribuído, também coloquei instalar software com alto privilégio, mas não funciona, nem logando como administrador na maquina referente a instalação não instala.
att
Olá amigo. Quais versões de Windows está usando? Abs !
ExcluirWindows 2008 Server R2 64bits como servidor de AD e windows XP e Windows 7 nos terminais ambos 32 bits.
ResponderExcluirSua aplicação esta como .msi? Vc consegue instalar na mão, para ver se ela esta ok?
ExcluirDe qualquer maneira, vou dar print numas telas mais tarde e publicar aqui, e vc compara com seu ambiente, blz? - Ai vemos o que pode estar errado.
Tiago, consegui, instalei uma atualização no Windows XP KB943729 e inseri o IP do meu server Wins nas propriedades do tcp/ip e coloquei a maquina conectada via cabo de rede, antes estava no Wi-fi e funcionou.
ResponderExcluirAgora não tenho muito conhecimento sobre a utilização do Wins ou se foi isso que fez funcionar ou a atualização do Windows XP.
Att
Thiago, este KB que instalou é para o XP, no caso, ter acesso a mais recursos das GPOs do Server 2k8 (o estranho era o win 7 não estar aplicando a gpo tb). O fato de configurar o Wins é quando se tem Win95, 98 e NT na rede. Vc havia dito, pelo que entendi, que tinha apenas o server 2k8 e maqs XP e 7, então não havia necessidade do Wins, só DNS, por exemplo. Agora, o fato de vc mudar de wifi para cabo pode mudar sim. Mas se funcionou, maravilha !!
ResponderExcluirAcho que inserir o Wins não influenciou realmente já que seria apenas caso de estações com Win95, Win98 e NT, mas pode ter sido a atualização do XP, estranho que as GPOs de mapeamento feitas pelas preferencias estavam funcionando, ainda não tinha testado no Windows 7(foi um erro não ter feito isto), mas a alteração do Wifi para Cabeada, pode ter ajudado pois, estava usando perfil movel e algumas vezes ao fazer logoff dizia q não podia salvar no local pois não localizava destino. Mas obrigado pela ajuda.
ResponderExcluirAlguma sugestão pra criar uma GPO pra instalar automaticamente as atualizações do JAVA?
ResponderExcluirBlz? Em relação a updates do Java, eu sugiro sempre remover a versão antiga e instalar a nova. Neste link vc encontra como fazer isto: http://support.microsoft.com/kb/816102
ExcluirAbs !
Obrogado pela dica Tiago. Mas sabe me dizer se tem algum passo a passo espalhado pela internet?
ExcluirEu já tinha chegado nesse link que vc passou, mas não consegui!
:-(
Este passo a passo esta bem detalhado. Geralmente os erros mais comuns, ou esquecimento, é de não usar o UNC no caminho e não setar as permissões corretas no caminho tb. Crie o caminho e tente acessar de uma maquina na mão mesmo, tipo \\server\pastaxyz. Veja se consegue acessar e executar o sw.
ExcluirTambém não consigo instalar um pacote MSI no meu ambiente.
ResponderExcluirEm testes, com máquinas virtuais, o Windows XP chega a mostrar na tela antes de fazer o logon, que está instalando o o software gerenciado... mas passada essa tela, e feito o logon, o programa sequer aparece na lista de programas instalados.
Esta operação chegou a funcionar em uma outra máquina.
No ambiente de testes, tenho instalado um Servidor Samba4.
Blz Gabriel?
Excluiralguns comments ...
1) se o .msi tiver que clicar na opção Accept, do Readme and I agree, por exemplo, então não rola.
2) Logado numa máquina qualquer, pelo caminho UNC tente instalar e veja se corre td ok.
1) isso serve só pra opções desse tipo, ou vale também para botões do tipo "next"?
Excluir*em uma das máquinas, mesmo tendo que marcar a opção "I agree" pra depois aceitar, o programa foi instalado.
2) pelo caminho UNC o programa foi aberto e instalou normalmente.
1) Só "I agree" eu tive problemas até hoje.
ExcluirEstranho este comportamento de instalar só numa máquina por GPO. O que ela tem de config diferente das outras? São todas 64 bits, por exemplo?
até agora, todas de 32bits.
ResponderExcluirno Win7 funcionou, Vista e XP não.
Usando o mesmo user?
Excluirmesmo usuário..
ResponderExcluirjá tentei de tudo.. já dei permissão 777 pro diretório que o MSI está colocado, habilitei todos os usuários terem permissão de acesso pelo windows à pasta compartilhada, domain computers, auth users... e nada...
Se achar interessante, sugiro outro teste:
Excluir- muda o .msi do samba para um share numa máquina windows e tenta. Tente com outro .msi tb.
Parabéns pelo Post. Me salvou.
ResponderExcluirEstou com problema para aplicar uma GPO no Windows 8.1... É uma GPO de perfil, se aplico para maquinas w7 funcionam perfeitamente, mas no w8.1 não estou conseguindo, quando dou o comando GPRESULT -R a GPO está lá, e mesmo assim não vai...
ResponderExcluirOlá.
ExcluirO que sua GPO está tentando fazer? Poderia passar mais detalhes?
O Win7 é Enterprise? E o Win8 tb é?
Olá Tiago, tudo bem?
ResponderExcluirEstou com uma grande dor de cabeça, tenho um ambiente onde os servidores são 2008 R2 e as estações W10 Pro (Desktops e notebooks).
Minha estrutura está definida em OUs Computadores (Desktops, notebooks e servidores) e Usuarios (Setores). Criei uma GPO dentro da OU Usuarios, onde é aplicado o tema (Wallpaper, url home, etc) e outra GPO dentro da OU Computadores, onde são aplicadas configurações padrão das estações (fundo de tela logon, impressoras, etc), o grande problema é que quando dou um gpresult /r só é informada a política default e as criadas (linkadas) se quer aparecem na lista de GPOs não aplicadas, porém, o fundo de tela padrão está aplicando, mesmo sem a police.
Já validei o DNS e está normal, respondendo sem problemas na máquina de teste.
Já não sei mais o que posso fazer pra tentar entender o problema.
Oi.
ResponderExcluirVc tem instalado?
https://www.microsoft.com/en-us/download/details.aspx?id=48257
Sim, já possuo instalado! Inclusive implementei a Central Store ADMX
ResponderExcluirOi Romulo,
ResponderExcluir- As máquinas estão por wifi ou cabeadas?
- Estão atualizadas? (existia um bug para windows 10)
- Já tentou criar uma OU de teste, colocar só 1 maquina win10 e aplicar uma GPO teste para ela? Somente esta GPO.
- Nos logs registra algum erro?
Oi Tiago,
ResponderExcluir- As máquinas estão cabeadas
- Estou rodando a versão 10586.420
- Realizei o teste com a OU e coloquei minha VM com W10 e a mesma não aplica. Na verdade nem lê a GPO, somente a Default.
- Não tenho nenhum registro de erro nos logs, somente a detecção e aplicação de 1 política (creio ser a default).
Faz um favor.
ExcluirNa sua VM com Windows10, por favor tente com esta config:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths
"\\*\SYSVOL"
"RequireMutualAuthentication=0"
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths "\\*\NETLOGON"
"RequireMutualAuthentication=0"
Tem algum filtro wmi aplicado na policy? Está enabled para user e computer?
ExcluirEste comentário foi removido pelo autor.
ResponderExcluirTiago, minha resposta chegou?
ResponderExcluirBlz?
Excluir- No event viewer você encontra algum erro '1058'? Ou algum outro?
Havia problemas com GPO no windows 10, mas sua versão, pelo que falou, esta atualizada. Deveria estar corrigido. Estranho ...
Tenta com esta mudança tb:
- Deixa estes 2 itens com o valor 0: RequireMutualAuthentication & RequireIntegrity
path \*NETLOGON & \*SYSVOL
Há outro teste:
Excluir- Em HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Crie um DWORD Value
- Insira o nome: GpNetworkStartTimeoutPolicyValue, e use o valor decimal "60"
- Reinicie
...
- Se não funcionar, tente com o valor "200" e reinicie
Obs: 200 é um valor alto, mas é para teste. Se funcionar, ai ajusta-se para um valor menor.
Opa Tiago, tudo certo e você?
ExcluirEntão, todos os testes realizados e nada! Além de te incomodar bastante já estou perdendo todos os meus últimos fios de cabelo! rs
Quanto a erros relacionados a GPO, nenhum! Confesso que está um mistério pra mim.
Muito doido.
ExcluirPra qdo precisa entregar isto?
Uma dúvida: vc fez uma instalação limpa do windows 10, ou foi update do windows 7?
ExcluirOpa Tiago,
ResponderExcluirTenho que entregar no dia 1º de agosto, porém, hoje de manhã a GPO apareceu como aplicada, porém, sem algumas funcionalidades como loja desabilitada, home do IE e impressora. Achei um tanto quanto bizarro.
Quanto a instalação, foi feita limpa a partir da ISO da Microsoft
Romulo,
ExcluirCriei um ambiente de teste igual ao seu. Funcionou tudo normal.
Criei uma gpo_test (user configuration) e mudei o wallpaper, e algumas outras configs e apliquei a minha OU_test onde estava o usuario de teste 'admin'. **Isto é importante estar atento. Se a alteração foi para user, tem que aplicar a gpo na OU do user, não do pc.
Na maq windows10, logo após o restart tudo aplicou 100% e rodando gpresult /v vi as alterações aplicadas.
Confirma se não pulou nada ai.
Este comentário foi removido pelo autor.
ExcluirBom dia Tiago, estou com um problema aqui na empresa. De repente, do nada nenhum computador está mais aplicando as GPOs que estavam aplicadas , ou seja, todas as configurações de personalização do SO deixaram de ser aplicadas. Em todos os computadores a comunicação com o AD está normal, o que pode estar havendo?
ResponderExcluirOi !
ExcluirConsegue lembrar as ultimas alterações que fez ao sistema? ou no seu ambiente?
As GPOs estão 'linkadas'?
Opa Tiago,
ResponderExcluirPara te dar um feedback, depois de muita correria e perguntas e dúvidas aqui, refiz todas as polices e as mesmas aplicaram corretamente nos equipamentos! Muito obrigado pela ajuda e atenção dedicada.
Um grande abraço!
Olá Tiago,
ResponderExcluirParabéns pelo post. Muito bom!
Favoritei aqui.
Preciso de um help.
Tenho um ambiente misto.
AD = WS 2008
Servidor de impressão = WS 2003
Clientes = Windows XP e 7
O meu problema é com uma GPO de mapeamento de impressora.
Na verdade, talvez o problema não seja na gpo em si.
Estou tentando mapear uma impressora local compartilhada na rede.
O GPRESULT /V informa que a GPO está sendo aplicada para o usuário, mas a impressora não é mapeada.
Testei a pouco numa máquina XP recém instalada que os mapeamentos do servidor de impressão também não estão funcionando. Entretanto, se instalar mapear a impressora manualmente os demais perfis de usuário aplicam a gpo.
Segue abaixo resumo do evento:
Categoria do evento: (2)
Id. do evento: 4098
Descrição:
O item de preferência usuário 'hpdeskjet_nuc' do objeto de Diretiva de Grupo 'Map_Imp_HP_Nuc {0FA1775C-8411-46DF-AF21-AA3CE39BF854}' não foi aplicado porque falhou com o código de erro: '0x80070709 O nome da impressora é inválido.' Esse erro foi suprimido.
Agradeço previamente a atenção.
Olá !
ExcluirDê uma olhada nesta solução:
http://www.fr0ns.net/group-policy/group-policy-printer-error-0x80070709-the-printer-name-is-invalid/
Boa tarde Tiago,
ResponderExcluirtenho o seguinte ambiente: Servidor Windows 2008 R2, clients Windows 8.1 Pro
Realizei as configurações de GPO para um OU quando um determinado grupo de usuário logar em qualquer computador seja mapeada a unidade de rede.
Quando usuários logan nos computadores as unidade simplesmente não são mapeadas.
Configurei a Default Domain Policy para alterar a imagem da Desktop para todos os usuários e este politica é aplicada com sucesso.
Quando rodo o GPresult a minha politica de mapeamento de unidade de rede nem chega a ser citada como aplicada ou erro.
Já verifiquei se os usuários estão no grupo correto, se a GPO está linkada, já tentei com a opção enforce marcada e desmarcada. Toda alteração que realizo executo o comando GPupdate/force e reinicio o computador para realizar testes e a unidade nunca está mapeada.
Não sei onde posso ter errado, consegue me ajudar?
Oi Diego,
ExcluirManualmente o user consegue da máquina dele mapear a unidade?
No Group Policy Management, em Group Policy Results o que você vê sobre esta GPO quando aplicada para um computador?
Me ajudou muito.
ResponderExcluirObrigado!!!!