Escolar Documentos
Profissional Documentos
Cultura Documentos
Usurio : as GPOs aplicadas aos usurios sero carregadas em todos os computadores em que o usurio efetuar logon. Essas polticas so aplicadas no momento em que o usurio efetuar logon. Computador : as GPOs aplicadas aos computadores sero aplicadas no computador, independente do usurio que efetuar logon. Essas polticas so aplicadas no momento em que o computador for inicializado.
Por padro, existem 2 GPOs que so configuradas automaticamente durante a instalao do Active Directory:
Default Domain Policy (Diretiva de Domnio Padro) : as configuraes efetuadas nesta GPO sero aplicadas a todos os usurios e computadores do domnio. Portanto, devemos definir nesta GPO, todas as configuraes que devem ser aplicadas para todos os usurios e computadores do domnio. Essa GPO est associada com o domnio.
Default Domain Controllers Policy (Diretiva de Controladores de Domnio Padro) : as configuraes efetuadas nesta GPO sero aplicadas a todos os Domain Controllers (Controladores de Domnio). Essa GPO est associada com a OU (Unidade Organizacional) Domain Controllers.
Figura 2 Default Domain Controller Policy Diretiva de Controladores de Domnio Padro Existe ainda um mecanismo de permisses de acesso as GPOs, com o qual podemos definir sobre quais grupos de usurios e computadores a GPO dever ser aplicada. Podemos tambm criar uma GPO e associar essa GPO com vrios elementos do Active Directory, por exemplo: podemos criar uma GPO e associ-la com diferentes OUs e com um site. Assim como as contas de usurios e grupos de usurios, as diretivas de segurana tambm podem ser criadas e aplicadas localmente ou no domnio. Em empresas pequenas que no utilizam o AD, podemos implementar as diretivas de segurana locais em cada computador da rede. Se a empresa for grande e utilizar o AD, podemos implementar as diretivas de segurana de domnio, o que far com que a administrao da rede seja centralizada. Para implementar as diretivas de segurana de domnio, ou GPO, devemos abrir o console Active Directory Users and Computers (Usurios e Computadores do AD). As diretivas de domnio so mais conhecidas como Group Policy Objects GPO (Objetos de Diretiva de Grupo).
Est armazenado na pasta NETLOGON do PDC (Primary Domain Controller) e de todos os BDCs (Backup Domain Controllers) de um domnio NT. Para que essas configuraes possam ser utilizadas em clientes Windows 95, Windows 98 e Windows ME, esse arquivo deve ter o nome config.pol. Para que essas configuraes possam ser utilizadas em clientes Windows NT Workstation 4.0, esse arquivo deve ter o nome ntconfig.pol. As configuraes presentes nesse arquivo sero aplicadas ao registro dos computadores todas as vezes que um usurio efetuar logon.
Com o Windows 2000 Server utilizamos as GPOs, e no mais o Police Editor. Uma das grandes diferenas entre a GPO e o Police Editor que com a GPO podemos aplicar mais de um conjunto de polticas para um mesmo usurio e computador. Com o Police Editor, apenas um conjunto de polticas aplicado para os usurios e computadores, polticas estas definidas no arquivo .pol. Ou seja, podemos ter mais de uma GPO aplicada a um usurio ou computador. Seguem abaixo algumas consideraes sobre as GPOs:
As configuraes das GPOs so armazenadas na pasta SYSVOL dos Domain Controllers (Controladores de Domnio) e so replicadas entre todos os Domain Controllers (Controladores de Domnio) de um domnio. Dentro da pasta SYSVOL, temos as seguintes pastas: o Adm : armazena os modelos administrativos.
o o o o
Machine : armazena as configuraes que sero aplicadas nos computadores. Essas configuraes so armazenadas no arquivo registry.pol. Durante a inicializao do computador, feito o download desse arquivo e as configuraes so aplicadas no registro do computador. User : armazena as configuraes que sero aplicadas aos usurios quando estes efetuarem logon. Essas configuraes so armazenadas no arquivo registry.pol. Durante o logon, feito o download desse arquivo e as configuraes so aplicadas no registro do computador. Scripts : armazena os scripts utilizados pelas GPOs, caso existam. Arquivo GPT.INI : contm informaes sobre a verso da GPO.
Todas as informaes contidas na pasta SYSVOL so conhecidas como GPT (Group Policy Template). Esses templates definem todas as opes que estaro disponveis nas GPOs. Quando criamos uma nova GPO, est criada com base nos templates da pasta SYSVOL. A nova GPO ento criada e armazenada no Active Directory. Esta GPO conhecida como GPC (Group Policy Container).
GPO Local : as diretivas de segurana local sero as primeiras a serem processadas. GPO associada ao Site : logo aps as diretivas de segurana locais serem aplicadas, a GPO associada ao site ser aplicada. GPO associada ao Domnio : logo aps a GPO associada ao Site ser aplicada, sero aplicadas as GPOs associadas ao domnio. Saiba que podemos ter vrias GPOs associadas a um domnio, e podemos definir a ordem em que as GPOs associadas ao domnio sero aplicadas. GPO associada a OU : logo aps todas as GPOs associadas ao domnio serem aplicadas, sero aplicadas as GPOs associadas as OUs. Lembrando que a GPO associada com a OU pai ser aplicada por primeiro, e assim por diante.
As GPOs aplicadas por ltimo tero prioridade sobre as GPOs aplicadas por primeiro. Ou seja, se na GPO associada ao domnio estiver configurado para que menu Run (Executar) no seja exibido no menu Iniciar, e na GPO associada a OU na qual o usurio est localizado estiver configurado para que menu Run (Executar) seja exibido no menu Iniciar, o resultado ser que o menu Run (Executar) ser exibido no menu Iniciar. Podemos tambm fazer com que as configuraes da GPO aplicadas ao domnio no sejam substitudas. Veremos como fazer essa configurao mais adiante.
Recurso Loopback
Como vimos anteriormente, as GPOs possuem uma ordem na qual so aplicadas. Com o recurso Loopback podemos configurar uma outra ordem de aplicao das GPOs. Esse recurso pode ser configurado como: Not Configured (No Configurado), Enable (Habilitado) ou Disabled (Desabilitado). Caso esteja habilitado, poder ser configurado com as seguintes opes:
Merge : a ordem de aplicao padro das GPOs ser substituda pela ordem definida no prprio computador. Replace : a ordem de aplicao padro das GPOs ser concatenada com a ordem definida no prprio computador. A ordem de aplicao das GPOs definidas no computador ser aplicada por ltimo.
Block Policy Inheritance (Bloqueio do Mecanismo de Herana) : esse recurso quebra a herana de GPOs, ou seja, caso habilitemos essa opo, as GPOs configuradas a um nvel superior no sero herdadas. Por padro, as GPOs herdam as configuraes de outras GPOs configuradas em nveis superiores. Lembrem-se da ordem em que as GPOs so processadas: local, site, domnio e OU. Podemos usar essa opo quando desejamos aplicar uma GPO em todos os objetos de um domnio, com exceo a uma OU. Devemos ento marcar a opo Block Policy Inheritance na OU para que as configuraes dessa GPO no sejam aplicadas na OU. No Override (No Sobrescrever) : esse recurso faz com que as configuraes de uma GPO no sejam sobrescritas por outras GPOs. Devemos utilizar essa opo quando desejamos que as configuraes de uma GPO no sejam substitudas por configuraes de outras GPOs, independente do local em que a GPO esteja sendo aplicada.
Um detalhe importante que no existe herana de GPOs entre domnios. Ou seja, as GPOs existentes no domnio pai dominio1.com, no sero herdadas pelo domnio filho teste.dominio1.com.
Exemplo prtico Visualizar as GPOs disponveis em um domnio com o console Active Directory Users and Computers (Usurios e Computadores do AD).
Efetue logon com uma conta de usurio com direitos administrativos; Abra o console Active Directory Users and Computers (Usurios e Computadores do AD); Clique com o boto direito sobre o nome do domnio e escolha Properties (Propriedades); Clique na aba Group Policy (Diretiva de Grupo). Observe as GPOs disponveis, selecione uma delas e clique em Edit (Editar). Observe que o console Group Policy (GPO) ser aberto; Feche esse console e feche a janela de propriedades do domnio; Agora siga os mesmo procedimentos acima para visualizar as GPOs aplicadas em nvel de OU.
Concluso
Finalizamos aqui o artigo sobre a Group Policy Objects GPO (Objetos de Diretiva de Grupo). Em caso de dvidas sobre o contedo deste artigo, ou para enviar sugestes sobre novos tutoriais que voc gostaria de ver publicados neste site, entre com contato atravs de e-mail:fabianodesantana@terra.com.br.