WINDOWS 2000 Group Policy Objects GPO (Objetos de Diretiva de Grupo)

Autor: Fabiano de Santana Certificaes: MCP MCSA 2000/2003 MCSE 2000

Temos um componente muito importante no Windows 2000 quando falamos em segurana. So as diretivas de segurana, as quais utilizamos para proteger a rede em um ambiente corporativo. Com as diretivas de segurana podemos definir o que um usurio poder fazer em seu computador e na rede. As diretivas de segurana de domnio so aplicadas a usurios, computadores, Member Servers (Servidores Membros) e Domain Controllers (Controladores de Domnio). Um detalhe importante que a GPO s pode ser aplicada em computadores que utilizam o Windows 2000, Windows XP ou o Windows 2003. As verses mais antigas do Windows (95, 98, ME e NT) no podem utilizar este recurso. No Windows NT foi introduzido o recurso Police Editor, com o qual era possvel definir vrias configuraes das estaes de trabalho centralizadamente. Porm esse recurso era bem limitado. Com a chegada das GPOs no Windows 2000, a administrao do domnio se tornou bem mais fcil. Observe que em um domnio no qual os clientes so Windows 9x e Windows 2000, deveremos utilizar ambos os recursos: Police Editor para configurar os clientes anteriores ao Windows 2000 e a GPO para configurarmos os clientes Windows 2000. As GPOs possuem configuraes que podem ser aplicadas tanto em nvel de usurio como em nvel de computador:

Usurio : as GPOs aplicadas aos usurios sero carregadas em todos os computadores em que o usurio efetuar logon. Essas polticas so aplicadas no momento em que o usurio efetuar logon. Computador : as GPOs aplicadas aos computadores sero aplicadas no computador, independente do usurio que efetuar logon. Essas polticas so aplicadas no momento em que o computador for inicializado.

Por padro, existem 2 GPOs que so configuradas automaticamente durante a instalao do Active Directory:

Default Domain Policy (Diretiva de Domnio Padro) : as configuraes efetuadas nesta GPO sero aplicadas a todos os usurios e computadores do domnio. Portanto, devemos definir nesta GPO, todas as configuraes que devem ser aplicadas para todos os usurios e computadores do domnio. Essa GPO est associada com o domnio.

Figura 1 Default Domain Policy Diretiva de Domnio Padro

Default Domain Controllers Policy (Diretiva de Controladores de Domnio Padro) : as configuraes efetuadas nesta GPO sero aplicadas a todos os Domain Controllers (Controladores de Domnio). Essa GPO est associada com a OU (Unidade Organizacional) Domain Controllers.

Figura 2 Default Domain Controller Policy Diretiva de Controladores de Domnio Padro Existe ainda um mecanismo de permisses de acesso as GPOs, com o qual podemos definir sobre quais grupos de usurios e computadores a GPO dever ser aplicada. Podemos tambm criar uma GPO e associar essa GPO com vrios elementos do Active Directory, por exemplo: podemos criar uma GPO e associ-la com diferentes OUs e com um site. Assim como as contas de usurios e grupos de usurios, as diretivas de segurana tambm podem ser criadas e aplicadas localmente ou no domnio. Em empresas pequenas que no utilizam o AD, podemos implementar as diretivas de segurana locais em cada computador da rede. Se a empresa for grande e utilizar o AD, podemos implementar as diretivas de segurana de domnio, o que far com que a administrao da rede seja centralizada. Para implementar as diretivas de segurana de domnio, ou GPO, devemos abrir o console Active Directory Users and Computers (Usurios e Computadores do AD). As diretivas de domnio so mais conhecidas como Group Policy Objects GPO (Objetos de Diretiva de Grupo).

Processamento e aplicao das GPOs

Como j dito anteriormente, o Windows NT utiliza o Police Editor para fazer as configuraes dos clientes centralizadamente. Essas configuraes so armazenadas em um arquivo com a extenso .pol. Seguem abaixo algumas consideraes sobre esse arquivo:

Est armazenado na pasta NETLOGON do PDC (Primary Domain Controller) e de todos os BDCs (Backup Domain Controllers) de um domnio NT. Para que essas configuraes possam ser utilizadas em clientes Windows 95, Windows 98 e Windows ME, esse arquivo deve ter o nome config.pol. Para que essas configuraes possam ser utilizadas em clientes Windows NT Workstation 4.0, esse arquivo deve ter o nome ntconfig.pol. As configuraes presentes nesse arquivo sero aplicadas ao registro dos computadores todas as vezes que um usurio efetuar logon.

Com o Windows 2000 Server utilizamos as GPOs, e no mais o Police Editor. Uma das grandes diferenas entre a GPO e o Police Editor que com a GPO podemos aplicar mais de um conjunto de polticas para um mesmo usurio e computador. Com o Police Editor, apenas um conjunto de polticas aplicado para os usurios e computadores, polticas estas definidas no arquivo .pol. Ou seja, podemos ter mais de uma GPO aplicada a um usurio ou computador. Seguem abaixo algumas consideraes sobre as GPOs:

As configuraes das GPOs so armazenadas na pasta SYSVOL dos Domain Controllers (Controladores de Domnio) e so replicadas entre todos os Domain Controllers (Controladores de Domnio) de um domnio. Dentro da pasta SYSVOL, temos as seguintes pastas: o Adm : armazena os modelos administrativos.

o o o o

Machine : armazena as configuraes que sero aplicadas nos computadores. Essas configuraes so armazenadas no arquivo registry.pol. Durante a inicializao do computador, feito o download desse arquivo e as configuraes so aplicadas no registro do computador. User : armazena as configuraes que sero aplicadas aos usurios quando estes efetuarem logon. Essas configuraes so armazenadas no arquivo registry.pol. Durante o logon, feito o download desse arquivo e as configuraes so aplicadas no registro do computador. Scripts : armazena os scripts utilizados pelas GPOs, caso existam. Arquivo GPT.INI : contm informaes sobre a verso da GPO.

Todas as informaes contidas na pasta SYSVOL so conhecidas como GPT (Group Policy Template). Esses templates definem todas as opes que estaro disponveis nas GPOs. Quando criamos uma nova GPO, est criada com base nos templates da pasta SYSVOL. A nova GPO ento criada e armazenada no Active Directory. Esta GPO conhecida como GPC (Group Policy Container).

Figura 3 Estrutura da pasta SYSVOL

Ordem de processamento das GPOs

No raro em uma empresa que utiliza domnios baseados no Active Directory, vrias GPOs sendo utilizadas. Muitas vezes, essas GPOs so aplicadas a um mesmo objeto. Nesse caso, as GPOa possuem uma ordem na qual sero aplicadas. Segue abaixo essa ordem:

GPO Local : as diretivas de segurana local sero as primeiras a serem processadas. GPO associada ao Site : logo aps as diretivas de segurana locais serem aplicadas, a GPO associada ao site ser aplicada. GPO associada ao Domnio : logo aps a GPO associada ao Site ser aplicada, sero aplicadas as GPOs associadas ao domnio. Saiba que podemos ter vrias GPOs associadas a um domnio, e podemos definir a ordem em que as GPOs associadas ao domnio sero aplicadas. GPO associada a OU : logo aps todas as GPOs associadas ao domnio serem aplicadas, sero aplicadas as GPOs associadas as OUs. Lembrando que a GPO associada com a OU pai ser aplicada por primeiro, e assim por diante.

As GPOs aplicadas por ltimo tero prioridade sobre as GPOs aplicadas por primeiro. Ou seja, se na GPO associada ao domnio estiver configurado para que menu Run (Executar) no seja exibido no menu Iniciar, e na GPO associada a OU na qual o usurio est localizado estiver configurado para que menu Run (Executar) seja exibido no menu Iniciar, o resultado ser que o menu Run (Executar) ser exibido no menu Iniciar. Podemos tambm fazer com que as configuraes da GPO aplicadas ao domnio no sejam substitudas. Veremos como fazer essa configurao mais adiante.

Recurso Loopback
Como vimos anteriormente, as GPOs possuem uma ordem na qual so aplicadas. Com o recurso Loopback podemos configurar uma outra ordem de aplicao das GPOs. Esse recurso pode ser configurado como: Not Configured (No Configurado), Enable (Habilitado) ou Disabled (Desabilitado). Caso esteja habilitado, poder ser configurado com as seguintes opes:

Merge : a ordem de aplicao padro das GPOs ser substituda pela ordem definida no prprio computador. Replace : a ordem de aplicao padro das GPOs ser concatenada com a ordem definida no prprio computador. A ordem de aplicao das GPOs definidas no computador ser aplicada por ltimo.

Policy Inheritance e No Override

Quando configuramos uma diretiva de segurana de domnio (GPO), temos dois recursos importantes:

Block Policy Inheritance (Bloqueio do Mecanismo de Herana) : esse recurso quebra a herana de GPOs, ou seja, caso habilitemos essa opo, as GPOs configuradas a um nvel superior no sero herdadas. Por padro, as GPOs herdam as configuraes de outras GPOs configuradas em nveis superiores. Lembrem-se da ordem em que as GPOs so processadas: local, site, domnio e OU. Podemos usar essa opo quando desejamos aplicar uma GPO em todos os objetos de um domnio, com exceo a uma OU. Devemos ento marcar a opo Block Policy Inheritance na OU para que as configuraes dessa GPO no sejam aplicadas na OU. No Override (No Sobrescrever) : esse recurso faz com que as configuraes de uma GPO no sejam sobrescritas por outras GPOs. Devemos utilizar essa opo quando desejamos que as configuraes de uma GPO no sejam substitudas por configuraes de outras GPOs, independente do local em que a GPO esteja sendo aplicada.

Um detalhe importante que no existe herana de GPOs entre domnios. Ou seja, as GPOs existentes no domnio pai dominio1.com, no sero herdadas pelo domnio filho teste.dominio1.com.

Console de Administrao das GPOs

Apresentamos abaixo 2 formas de obtermos acesso ao console de administrao das GPOs:

Exemplo prtico Criar um console personalizado para administrao das GPOs.

Efetue logon com uma conta de usurio com direitos administrativos; Clique em Start (Iniciar), Run (Executar) e digite mmc; Clique no menu Console; Clique em Add/Remove Snap-in (Adicionar/Remover Snap-in); Clique em Add (Adicionar); Clique sobre o snap-in Group Policy (Diretiva de Grupo). Ser aberta uma janela para que voc informe qual GPO deseja abrir. Para o nosso exemplo, selecione a GPO padro do domnio e clique em Finish (Concluir); Clique em Close (Fechar); Clique em OK.

Exemplo prtico Visualizar as GPOs disponveis em um domnio com o console Active Directory Users and Computers (Usurios e Computadores do AD).

Efetue logon com uma conta de usurio com direitos administrativos; Abra o console Active Directory Users and Computers (Usurios e Computadores do AD); Clique com o boto direito sobre o nome do domnio e escolha Properties (Propriedades); Clique na aba Group Policy (Diretiva de Grupo). Observe as GPOs disponveis, selecione uma delas e clique em Edit (Editar). Observe que o console Group Policy (GPO) ser aberto; Feche esse console e feche a janela de propriedades do domnio; Agora siga os mesmo procedimentos acima para visualizar as GPOs aplicadas em nvel de OU.

Com o comando gpedit.msc abrimos o console da GPO Local.

Concluso
Finalizamos aqui o artigo sobre a Group Policy Objects GPO (Objetos de Diretiva de Grupo). Em caso de dvidas sobre o contedo deste artigo, ou para enviar sugestes sobre novos tutoriais que voc gostaria de ver publicados neste site, entre com contato atravs de e-mail:fabianodesantana@terra.com.br.