Precedências GPO´s

Uma dúvida muito comum que pegamos em fórum e até mesmo em sala de aula é o que acontece quando existem GPO´s que conflitam em suas configurações e essa GPO é em níveis diferentes mas afetam as mesmas contas, para simplificar vamos dar uma olhada na imagem abaixo:

Na imagem acima podemos ver que temos um domínio, a OU Vendas que está debaixo do domínio (OU Raiz), a OU Financeiro que também está debaixo do domínio e a OU Usuários que está debaixo da OU Financeiro e na OU Usuários temos uma conta de usuário chamada João.

Assim como acontece quando trabalhamos com permissões em pastas, as GPO´s também trabalham com herança, onde o que eu aplico em um objeto, é herdado pelo abjeto que está abaixo.

No cenário acima temos uma GPO (GPO1 que bloqueia o acesso ao CMD) que está sendo aplicada no nível de domínio, por padrão essa GPO será herdada por todos os objetos que estão abaixo do domínio, ou seja, todas as OU´s, porém na OU Usuários existe uma outra GPO (GPO2 que libera o acesso ao CMD), aqui temos um conflito, temos a GPO1 que bloqueia o acesso ao CMD e está aplicada no nível de domínio, está sendo aplicada para todos os objetos que estão no domínio inclusive a conta do usuário João, porém na OU Usuários tem aplicada a GPO2 que fala que o acesso ao CMD está liberado, então o usuário João estão sendo afetado pelas duas GPO´s, mas afinal, qual GPO será aplicada para o usuário João, visto que uma faz o contrário da outra?

Por padrão a GPO que terá procedência sempre será a que está mais próxima do objeto usuário ou computador, no nosso cenário a GPO que está mais próxima do usuário João é a GPO2, ou seja, o usuário João terá acesso ao CMD.

Só lembrando que esse é o comportamento padrão, pois podemos alterar o modo como a GPO será aplicada para os objetos, mas isso fica para um próximo artigo.

[]´s

Diogo Molina

E-mail: diogomolinadesa@hotmail.com
Facebook: https://www.facebook.com/diogo.molinadesa
Linkedin: https://www.linkedin.com/profile/view?id=76879773&trk=nav_responsive_tab_profile_pic

Leave a Reply

Your email address will not be published. Required fields are marked *