Windows tem GPOs organizados em uma hierarquia:
Local-> site-> domínio-> OU
O nível no qual o MVISION Endpoint aplica sua política é
Política de grupo local. A política de grupo local contém alterações MVISION Endpoint quando elas são aplicadas ao sistema:
Local (MVISION Endpoint)-site >-> domínio-> OU
Os GPOs se aplicam a um sistema ou usuário em uma ordem específica. Essa ordem específica é a mesma que na OU acrônimo: LSD OU.
As configurações são aplicadas de cima para baixo. O MVISION Endpoint grava as políticas no nível local, mas todas as camadas de política de grupo subsequentes (site, domínio e UO) que possuem a mesma configuração ou ativadas podem sobrescrever essas configurações.
Isso significa que o MVISION Endpoint define as políticas de grupo localmente (política de grupo local), mas o sistema as sobrescreve quando você define as mesmas políticas de grupo em GPOs de site, domínio ou UOs.
Em Active Directory, há uma camada superior chamada de floresta AD. Uma organização pode ter várias florestas. Em cada floresta AD, pode haver vários domínios. Cada domínio pode ter várias unidades organizacionais e cada UO pode ter muitas UOs filho.
Você pode filtrar um GPO de várias maneiras, mas o mais comum são a filtragem de segurança e a filtragem WMI.
Você pode modificar o processamento de GPOs de várias maneiras, mas as formas mais comuns são o pedido de link, imposto e bloqueio de herança:
- Ordem dos vínculos especifica a ordem na qual os GPOs de mesmo nível são processados.
- Bloquear herança bloqueia a aplicação de GPOs de hierarquia superiores. Somente os GPOs do mesmo nível ou abaixo são aplicados.
- Imposição significa que, se qualquer outra UO subsequente tiver ativado outra configuração (bloquear herança), o GPO se aplicará, não importa. Um GPO mais alto na estrutura de domínio ou ou que tenha sido imposto sobrescreverá qualquer UOs subordinado, mesmo que tenha ativado a herança de bloqueio.
Outros problemas que podem surgir quando o ponto de extremidade é inscrito em um domínio:
- Depois que o MVISION Endpoint aplica as políticas atuais na política de grupo local, o componente da política de grupo começa a processar GPOs e os aplica. O servidor do controlador de domínio deve estar disponível durante esse processo para fornecer GPOs de domínio para o ponto de extremidade. Se o servidor do controlador de domínio não puder ser acessado, MVISION Endpoint as políticas relacionadas a componentes do Windows (Windows Defender Antivirus e Windows Defender Firewall) não serão aplicadas.
- O processamento da política de grupo local não está desativado com uma política de grupo de domínio.
- Ativar processamento de política de registro para ser executado em segundo plano. Caso contrário, a aplicação de políticas de MVISION Endpoint relacionadas a componentes do Windows (Windows Defender Antivirus e Windows Defender Firewall) precisará de uma reinicialização. Em particular, a configuração a seguir precisa ser feita no GPO do domínio: configurar processamento de política de registro, não aplicar durante processamento periódico em segundo plano, desativado.
- A aplicação de políticas de MVISION Endpoint relacionadas a componentes do Windows (Windows Defender Antivirus e Windows Defender Firewall) pode levar algum tempo. A hora deve ser semelhante ao intervalo para o comando gpupdate /force para ser concluído.
Para ver quais GPOs são aplicados em um ponto de extremidade, execute os dois comandos a seguir como um administrador:
gpupdate /force
gpresult /f /scope computer /h rsop.html
No arquivo gerado
rsop.html, nas seções relacionadas ao Windows Defender Antivirus e Windows Defender Firewall, todas as configurações precisam
GPO vencedor definida como
Política de grupo local para que as políticas de MVISION Endpoint entrem em vigor no ponto de extremidade.