Tenho a seguinte floresta:
- spatiebas.internal
- spatiebas
- linux
- windows
Criei uma "política de scripts de logon do Windows" do GPO (que apenas define um script de login na configuração do usuário) e vinculei-a na UO "Windows".
Em usuários e computadores do Active Directory, adicionei uma VM a esta UO. Quando inicio a VM e executo gpupdate /force & gpresult /r, ela não mostra o GPO sendo aplicado às configurações do usuário.
A única maneira que encontrei de corrigir isso foi mover minha conta de usuário para a mesma UO. Mas eu não quero isso, porque isso significaria que minha conta de usuário se tornaria específica do Windows/Linux.
Também criei um grupo de diretório ativo "usuários do Windows" que contém todas as contas de usuário que devem poder fazer logon em dispositivos Windows. Não que eu ficaria muito feliz com essa solução alternativa, mas também não funciona...
Deve ser possível criar GPOs para grupos específicos do AD? Ou ainda mais forte, deve ser possível criar GPOs para UOs específicas que sejam simplesmente configuradas para cada usuário logado.
Estou perdendo o óbvio aqui?
Para maior clareza, isso não se aplica ao GPO quando executogpupdate /force & gpresult /r
Isso funciona, mas não é aceitável porque não consigo criar a limitação de uma conta de usuário para o sistema operacional Windows/Linux
O que você está descrevendo é exatamente o que e como os GPOs devem funcionar imediatamente. As configurações do usuário se aplicam às contas de usuário na UO/caminho onde o GPO está vinculado. As configurações do computador se aplicam às contas de computador na UO/caminho onde o GPO está vinculado.
Primeiro, crie uma UO para as contas de usuário; não há motivo para que elas permaneçam no contêiner padrão.
Segundo, vincule a política à UO que contém os usuários. Se um GPO contiver configurações de usuário, ele deverá estar vinculado a uma unidade organizacional ou unidade organizacional pai do objeto de usuário. Se um GPO contiver configurações de computador, ele deverá estar vinculado a uma UO ou pai do objeto de computador.
GPOs nunca se aplicam a grupos. Você pode usar Grupos para filtrar as políticas, mas não pode direcionar diretamente um grupo de segurança.
Sim, você pode usar o processamento de política de loopback para garantir que cada usuário conectado a uma máquina específica receba as mesmas configurações. O processo de política de loopback certamente tem seu caso de uso, mas eu tentaria usar esse método somente depois que o uso de uma política baseada no usuário for insuficiente.