Com a implementação do Windows 11 24H2, pode ter problemas na aplicação da política de grupo, o que pode ser visto ao executar o comando gpupdate.
Mensagem de erro:
A política de TI não pôde ser atualizada corretamente. Foram encontrados os seguintes erros:
Falha no processamento da Política de Grupo. O Windows não conseguiu resolver o nome do computador. Isto pode ocorrer por um dos seguintes motivos:
a) A resolução de nomes falhou no controlador de domínio atual.
b) Latência de replicação da Active Directory (uma conta criada noutro controlador de domínio não foi replicada para o controlador de domínio atual).
A política do utilizador não pôde ser atualizada corretamente. Foram encontrados os seguintes erros:
Falha no processamento da Política de Grupo. O Windows não conseguiu autenticar-se com o serviço Active Directory num controlador de domínio. (Falha na chamada da função LDAP Bind). Consulte o separador Detalhes para obter o código de erro e a descrição.
Para diagnosticar a avaria, verifique o registo de eventos ou execute GPRESULT /H GPReport.htm
Como costuma acontecer, ao receber esta mensagem, rapidamente pensa num problema de DNS que não resolve o nome de domínio da Active Directory.
Com o Windows 11 24H2, o problema não advém daí, mas sim do tipo de encriptação dos Tickets Kerberos. Com esta nova versão do Windows 11, a encriptação AES (AES128_HMAC_SHA1 e AES256_HMAC_SHA1) deve ser activada nos tipos de encriptação Kerberos.
Em ambientes Active Directory que já existem há vários anos, não é incomum encontrar uma Política de Grupo que configura os tipos de encriptação para Kerberos e está configurada com cifras AES desativadas.
Para resolver este problema, o suporte para a encriptação AES128_HMAC_SHA1 e AES256_HMAC_SHA1 deve ser ativado.
Antes de configurar a Política de Grupo para computadores e servidores no seu ambiente, deve garantir que os seus controladores de domínio também suportam estes tipos de encriptação.
Após esta verificação, poderá ativar estes tipos de encriptação para toda a sua frota.
Pode encontrar a configuração: Segurança de rede: configurar os tipos de encriptação permitidos para o Kerberos no seguinte local: Configuração do computador / Políticas / Definições do Windows / Definições de segurança / Políticas locais / Opções de segurança.
Configure a configuração para ativar o suporte para os tipos de cifra AES128_HMAC_SHA1, AES256_HMAC_SHA1 e Future.
Se também tiver tipos mais antigos de encriptação, planeie desativá-los, se possível.
Esta manipulação pode ter efeitos secundários, pois uma vez aplicada ao nível do computador, pode haver problemas de autenticação, principalmente ao nível do utilizador quando bloqueia a sua sessão, quando tenta desbloquear o seu computador, terá uma mensagem a indicar que a sua palavra-passe não está correta, para resolver o problema, o computador deve ser reiniciado.
Da minha parte, eis como procedi:
- Mensagem a todos os utilizadores a pedir que não desliguem os seus computadores à noite.
- Implementação da Política de Grupo às 19h00.
- 1ª reinicialização dos computadores às 4h30.
- 2ª reinicialização dos computadores às 6h.
Com este método, quase não tivemos efeitos secundários.
Para agendar uma reinicialização, pode utilizar uma ferramenta de terceiros, se tiver uma, ou implementar tarefas agendadas por política de grupo.