Estou um pouco perplexo com isso, então espero que alguém possa me esclarecer, já que me considero uma pessoa bem informada do GPO.
Eu tenho um GPO de banner de login que altera as Interactive Logon:
configurações Computer Configuration - Policies - Windows Settings - Security Settings - Local Policies / Security Options - Interactive Logon
para exibir um banner de login. Essa é a única coisa que esse GPO faz.
Agora, meu entendimento da Technet e de outras pessoas on-line, junto com minhas próprias experiências anteriores, é que você configura isso em um GPO que é aplicado / vinculado ao nível do domínio.
No entanto, aqui na minha empresa atual, nosso "LogonMessage GPO" é aplicado / vinculado aos controladores de domínio OU SOMENTE e, com certeza, esse GPO se aplica a todos os computadores da organização.
Executei um rsop.msc, por exemplo, na minha estação de trabalho e ele é mostrado como o GPO de origem dessa configuração, mesmo que minha estação de trabalho obviamente NÃO esteja na UO dos controladores de domínio.
Então, o que dá? Por que a aplicação de um GPO de faixa de login à UO dos Controladores de Domínio o aplica a todos os computadores no domínio?
SearchDSObject: Searching <CN=