Aprenda o Active Directory do Zero 100% Curso Gratuito

>> O link será enviado via Whatsapp, Para receber o link do curso preencha o campo ao lado.

Active Directory Leonardo Duarte

O que é GPO?

Introdução a GPO

A GPO também conhecida como group policy ou diretiva de grupo é um conjunto de configurações que permite que você personalize diversos recursos dos usuários e dos computadores seja localmente (stand-alone) ou em um ambiente do domínio do Active Directory.

Você pode por exemplo bloquear o menu executar, painel de controle, definir aspectos de configuração do Internet Explorer como página inicial, sites confiáveis, favoritos e outros.

A Microsoft fornece um  snap-in de programa  que permite usar o GPMC (Console de Gerenciamento de Diretiva de Grupo ). As seleções resultam em um objeto de diretiva de grupo. O GPO está associado a  contêineres selecionados do  Active Directory , como sites, domínios ou unidades organizacionais ( OU ). O GPMC permite criar um GPO que define políticas baseadas em registro, opções de segurança, instalação e manutenção de software, opções de scripts e opções de redirecionamento de pastas.

Tipos de GPOs

Existem três tipos de GPOs: local, não local e inicial.

  • Objetos de Diretiva de Grupo Local. Uma Diretiva de Grupo local se refere à coleção de configurações de diretiva de grupo que se aplicam apenas ao computador local e aos usuários que fazem logon nesse computador. GPOs locais são usados ??quando as configurações de diretiva precisam ser aplicadas a um único computador ou usuário do Windows. GPOs locais existem por padrão em todos os computadores Windows.
  • Objetos de diretiva de grupo não locais. Um objeto de diretiva de grupo não local é usado quando as configurações de diretiva precisam ser aplicadas a um ou mais computadores ou usuários do Windows. GPOs não locais se aplicam a computadores ou usuários do Windows depois que eles são vinculados a objetos do Active Directory, como sites, domínios ou unidades organizacionais.
  • Objetos de Diretiva de Grupo para iniciantes. Introduzidos no Windows Server 2008, os GPOs iniciais são modelos para as configurações de Diretiva de Grupo. Esses objetos permitem que um administrador crie e tenha um grupo pré-configurado de configurações que representam uma linha de base para qualquer política futura a ser criada.

COMO SÃO APLICADAS AS POLÍTICAS DE GRUPO?

A política de grupo segue uma ordem de aplicação que é: Local , Sites, Domínios e OUs (Unidades Organizacionais):

gpo02

 

Aviso

 

NUNCA ESQUEÇA A POLÍTCA LOCAL PODE SUBSTITUIR AS DEMAIS CONFIGURAÇÕES DE OUTRA GPO EXEMPLO DE DOMÍNIO.

Vou explicar para você entender melhor, vamos supor que você crie uma GPO de domínio para bloquear o painel de controle dos usuários e depois você cria uma GPO Local para desbloquear o painel de controle. Neste caso quando há conflitos prevalece a configuração que está mais próxima do usuário ou seja neste caso a configuração local vai substituir as configurações realizadas a nível de domínio.

Gerenciando Políticas de Grupos Locais

Com o Windows 7 e o Windows Server 2008 R2 agora você pode ter vários objetos de diretiva de grupo local em um único computador. Agora você pode atribuir diversas configurações de diretivas para cada usuário local, isto torna o processo mais fléxivel caso você tenha vários usuários que utilizam o mesmo computador por exemplo e este computador não faz parte de um domínio do Active Directory.

Quando os computadores estão em modo stand-alone ou seja quando não fazem parte de um domínio você pode achar interessante ter diversas diretivas de grupo local configuradas para administradores para usuários que não são administradores etc.

Já em um ambiente do Active Directory dificilmente você vai precisar configurar diretivas de grupos locais visto que agora você pode a partir do GPMC (Group Policy Management Console) aplicar uma única configuração para todos os computadores ou usuários.

No Windows 7 e no Windows Server 2008 R2 você têm três camadas de Políticas Locais (Objeto de Politica de Grupo Local).

Diretiva de Grupo Local: Permite que uma única configuração possa ser aplicada para todos os usuários do computador.

Os administradores e não-administradores de Diretiva de Grupo Local: Contém apenas as configurações do usuário. Para que esta policita seja aplicada a conta do usuário deve ser membro do grupo de Administradores Locais.

Diretiva de Grupo Local específicas do usuário:  Esta política é aplicada a usuários individuais e grupos.

Estas camadas são processadas na seguinte ordem: Diretiva de Grupo Local, 2º Os administradores e não-administradores de Diretiva de Grupo Local e 3º Diretiva de Grupo Local específicas do usuário.

COMO ACESSAR A CONFIGURAÇÕES DE DIRETIVA LOCAL?

Você pode acessar as configurações de diretiva local usando o seguinte comando (Você necessita de privilégio de administrador):

gpedit.msc /gpcomputer: “%ComputerName%”

gpo03

 

Ao executar o comando acima esta janela será aberta, essa é a tela de configuração da Política de Grupo Local onde você vai pode realizar uma série de configurações.

gpo04

 

Você também pode acessar as configurações de diretiva local usando o console MMC:

Para isto digite MMC no executar:

gpo05

 

Clique no menu Arquivo e escolha a opção Adicionar/remover snap-in….

gpo06

 

Navegue até a opção de Editor de Objeto de Diretiva de Grupo e clique em OK:

gpo07

Deixe a opção Computador Local marcado e clique Concluir:

gpo08

Agora você pode fazer as configurações necessárias seja de computador ou de usuário:

gpo09

 

As políticas de grupo local são armazenadas por padrão na pasta %SystemRoot%\System32\GroupPolicy dentro destas pastas você vai encontrar as subpastas Machine e User. Para visualizar estas pastas você precisa habilitar os arquivos ocultos.

gpo10

Pasta Computador (Machine): Armazena os scripts do computador e políticas baseadas nas informações de registro na chave HKEY_LOCAL_MACHINE (HKLM).

Pasta Usuário (User): Armazena os scritps dos usuários e políticas baseadas nas informações de registro na chave HKEY_CURRENT_USER (HKCU).

Você não pode editar estas pastas e arquivos diretamente. Você deve utilizar o Editor de GPO para realizar as alterações.

Objeto de segurança de dados e diretiva de grupo

Existem algumas configurações de Diretiva de Grupo que podem ajudar a proteger a rede de uma empresa. Por exemplo, por meio da Diretiva de Grupo, uma organização pode executar scripts , impedir que os usuários acessem determinados recursos e executar tarefas simples, como forçar a abertura de uma home page específica para cada usuário da rede.

Algumas dessas medidas de segurança incluem:

  • Limitando o acesso ao Painel de Controle – através do Painel de Controle , uma empresa pode controlar todos os aspectos de um computador. Limitar quem tem acesso a um computador permite que as organizações mantenham dados e outros recursos em segurança.
  • Desativando o prompt de comando – Uma empresa pode usar os prompt de comando para executar comandos que dão acesso de alto nível aos usuários e ignoram outras restrições do sistema. É por isso que é prudente desabilitar o Prompt de Comando para garantir a segurança dos recursos do sistema. Se um usuário tentar abrir uma janela de comando após o prompt de comando ser desativado, o sistema exibirá uma mensagem indicando que algumas configurações estão impedindo isso.
  • Impedir instalações de software – se os usuários puderem instalar software, eles poderão instalar aplicativos ou malware indesejados que possam comprometer o sistema de uma empresa. Como tal, é melhor impedir instalações de software por meio da Diretiva de Grupo.

Benefícios dos objetos de diretiva de grupo

Existem vários benefícios na implementação de GPOs, além da segurança, incluindo:

  • Gerenciamento mais eficiente – os GPOs já existentes aplicam um ambiente padronizado a todos os novos usuários e computadores que ingressam no domínio de uma organização, economizando tempo na instalação.
  • Facilidade de administração – os administradores de sistema podem implantar software, patches e outras atualizações via GPO.
  • Melhor aplicação da diretiva de senha – os GPOs determinam o tamanho da senha, reutilizam regras e estabelecem outros requisitos de senhas para manter a rede da empresa segura.
  • Configurando o redirecionamento de pasta – os GPOs permitem às empresas garantir que os usuários mantenham arquivos importantes da empresa em um sistema de armazenamento centralizado e monitorado. Por exemplo, uma organização pode redirecionar a pasta Documentos de um usuário, que geralmente é armazenada em uma unidade local, para um local de rede.

Exemplos de GPOs

A seguir, exemplos de objetos de diretiva de grupo:

  • Um GPO pode especificar a página inicial exibida pela primeira vez quando um usuário inicia o Internet Explorer . Quando o usuário faz logon no domínio, esse objeto de diretiva de grupo é recuperado e aplicado à configuração do Internet Explorer do usuário.
  • Uma organização pode implantar conexões de impressora de rede compartilhada para usuários de uma OU específica  do Active Directory usando a Diretiva de Grupo. Portanto, quando um usuário faz login no Windows, uma impressora de rede atribuída aparece automaticamente na lista de impressoras disponíveis.
  • Os administradores podem usar uma política de grupo para ajustar as configurações, como desligar as telas do computador por um determinado período de tempo, escolher programas padrão e impedir que os usuários alterem as opções de conexão com a Internet.

Melhores práticas

Algumas práticas recomendadas para GPOs incluem:

  • Crie uma estrutura de unidade organizacional bem projetada no Active Directory para simplificar a aplicação e solução de problemas da Diretiva de Grupo.
  • Atribua nomes descritivos aos GPOs para permitir que os administradores identifiquem rapidamente o que cada GPO faz.
  • Adicione comentários a cada GPO, explicando por que ele foi criado, qual é seu objetivo e quais são suas configurações.
  • Não defina GPOs no nível do domínio, pois eles serão aplicados a todos os objetos de computador e usuário. Isso pode fazer com que algumas configurações sejam aplicadas a alguns objetos desnecessariamente.
  • Não use os computadores raiz ou as pastas de usuário no Active Directory porque não são unidades organizacionais e não podem ter GPOs vinculados a eles. Quando um novo usuário ou objeto de computador aparece nessas pastas, ele deve estar imediatamente na unidade organizacional apropriada.
  • Não desative um GPO. Em vez disso, exclua o link de uma UO em vez de desabilitar o GPO se não desejar que ele seja aplicado. Desabilitar o GPO impedirá que ele seja aplicado inteiramente no domínio. Isso pode ser um problema, porque se essa Diretiva de Grupo específica for usada em outra UO, ela não funcionará mais por lá.

 

Sobre o autor | Website

Meu nome é Leonardo Duarte sou profissional de TI com mais de 18 anos de experiência em produtos da Microsoft. Possuo diversas certificações: MCP/MCT/MCTS/MCSA/MCSE

Que tal um Curso Microsoft Gratuito com Certificado Internacional? Não fiquede fora junte-se aos 1100 alunos já inscritos.

Aprenda o Active Directory do Zero - Curso 100% Gratuito Para receber o link do curso preencha o campo abaixo.

Por gentileza, se deseja alterar o arquivo do rodapé,
entre em contato com o suporte.