Tudos Sobre GPOs No Windows Server 2008, 2012 e 2016

IMPORTANTE:
Este e-book um Trecho de Demonstrao do livro:

Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016
Teoria e Exemplos Prticos e teis - Passo a Passo
Pginas: 654 | Autores: Jlio Battisti e Diego Lima
Para Comprar o Livro Completo, com 50% de Desconto

e Ainda Ganhar um Pacote de Bnus que Valem 20
Vezes o Valor do Livro, Acesse o Seguinte Endereo:
https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525
Tudo Sobre GPOs no Windows Server 2008, Windows Server 2012 e Windows Server 2016
Trecho de Demonstrao!!!
Tudo Sobre GPOs no Windows

Server 2008, 2012 e 2016
Teoria e Exemplos Prticos e
teis - Passo a Passo
Autores: Jlio Battisti e Diego da Silva Lima
Autor: Jlio Battisti | Site: http://www.juliobattisti.com.br
Autor: Diego da Silva Lima | Site: https://diegogouveia.com.br
PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Pgina 2 de 34
Introduo e Algumas palavras dos Autores:

Este livro foi criado com o objetivo de ajud-lo a dominar desde a fundamentao terica sobre
GPOs no Active Directory, at a parte prtica de Implementao, Configurao e Administrao de
GPOs no Windows Server 2008, Windows Server 2012 e Windows Server 2016.
Muitos Administradores de Rede tem inmeras dvidas sobre como utilizar GPOs, quais as reais
capacidades deste recurso, o que pode e o que no pode ser feito com GPOs, como implementar,
como administrar e assim por diante. Este livro procura preencher esta lacuna, ou seja, ser um livro
onde o Administrador ir encontrar tudo o que ele precisa para dominar o recurso de GPOs, em
diferentes verses do Windows Server.
GPOs - Group Policy Objects, ou, na traduo Oficial da Microsoft: Diretivas de Grupo. Mas o que
vem a serem as tais de GPOs?
Nota: Neste livro usarei o termo mais conhecido e utilizado pela comunidade de TI, que ,
simplesmente: GPOs. Prefiro usar GPOs do que a traduo Diretivas de Grupo.
O recurso de GPOs permite o gerenciamento centralizado e automatizado de centenas, milhares de

configuraes relacionadas com usurios e computadores de um Domnio. As GPOs se aplicam a
todas as verses do Windows, a partir do Windows 2000. Claro que existem configuraes que s
existem em determinadas verses, por serem novidades na respectiva verso (no existirem nas
verses anteriores). Ao invs de fazer as configuraes individualmente, para milhares de usurios e
em milhares de computadores, usando GPOs, o Administrador pode aplicar, automaticamente, estas
configuraes usando GPOs. No se preocupe em entender como funciona este recurso neste
momento, pois voc ter este livro inteiro para isso.
Alm de usar a Diretiva de Grupo para definir configuraes para grupos de usurios e
computadores, voc tambm pode usar as GPOs para ajudar a gerenciar e configurar servidores,
inclusive DCs - Domain Controllers (Controladores de Domnio), aplicando configuraes de
segurana, polticas de senha para o domnio, configuraes para a conta Administrador,
configuraes para grupos de segurana. So muitos, MUITOS MESMO, os recursos e
configuraes que podem ser feitas via GPOs. Por exemplo, voc pode at mesmo fazer instalao
automatizada de software, via GPOs, definir o papel de parede para grupos de usurios, restringir o

Pgina 3 de 34
acesso a opes do menu Iniciar ou do Painel de Controle, definir que usurios que no sejam
Administradores possam instalar impressoras e assim por diante.
Poupando Tempo e Dinheiro:
Usando o recurso de GPOs, como Administrador da Rede, voc pode reduzir significativamente o
custo total de propriedade de uma organizao (custo anual para manter um computador em rede e
funcionando), ao automatizar dezenas, centenas de configuraes, tanto de usurios quanto de
computadores.
Vrios fatores, como o grande nmero de configuraes de diretiva disponveis, a interao entre
vrias diretivas e opes de herana, podem tornar o projeto de implementao das GPOs bastante
complexo. Planejando, projetando, testando e implantando cuidadosamente uma soluo baseada
nos requisitos de negcios da sua organizao, voc pode fornecer a funcionalidade, segurana e
controle centralizado de gerenciamentos padronizados que sua organizao precisa.
As configuraes de Diretivas de Grupo que voc cria esto contidas em um GPO. Para criar e
editar um GPO o Administrador utiliza o Console de Gerenciamento de Diretiva de Grupo
(GPMC). Ao usar o console GPMC para vincular um GPO a sites, domnios e unidades
organizacionais (OUs) selecionados do Active Directory, voc aplica as configuraes de diretiva
no GPO aos usurios e computadores nesses objetos do Active Directory. Uma OU o continer do
Active Directory de nvel mais baixo ao qual voc pode atribuir configuraes de Diretiva de Grupo
personalizadas.
Para orientar suas decises de projeto de Diretiva de Grupo, voc precisa entender claramente as
necessidades de negcios da sua organizao, os contratos de nvel de servio e os requisitos de
segurana, rede e TI. Analisando o ambiente atual e os requisitos dos usurios, definindo os
objetivos de negcios que voc deseja atender usando a Diretiva de Grupo e seguindo estas
diretrizes para projetar uma infraestrutura de Diretiva de Grupo, voc pode estabelecer a abordagem
que melhor atenda s necessidades da sua organizao.

Pgina 4 de 34
Muito bem. Este ser um livro S SOBRE GPOS. Mostraremos como Planejar, Implementar e
Administrar GPOs em redes baseadas no Windows Server 2008 R2, Windows Server 2012 R2 ou
Windows Server 2016.
Um bom estudo a todos e espero, sinceramente, que este curso possa ajud-los a entender e,
principalmente, a planejar, implementar e administrar, corretamente, o recurso de GPOs em
diferentes verses do Windows Server.
Cordialmente,
Jlio Battisti,
Diego da Silva Lima
Pr-requisitos Para Acompanhar Este Livro:

Para que voc possa acompanhar as lies deste curso necessrio que voc j tenha preenchido os
seguintes pr-requisitos:
Conhecimentos da Instalao e Administrao dos Recursos Bsicos do Windows Server.

Conhecimentos Bsicos sobre o Active Directory e Seus Elementos (domnios, rvores,
florestas, sites, Unidades Organizacionais, Usurios e Grupos).
recomendado j ter alguma experincia, mesmo que bsica, com a implementao e
administrao de servidores baseados no Windows Server 2008, Windows Server 2012 ou
Windows Server 2016.

Pgina 5 de 34
Sumrio Do Livro Completo:
Captulo 01 GPOs no Windows Server 2008
Introduo
GPOs - O Que So e Para o Que Servem
Implementao e Administrao de GPOs no Windows Server 2008
Trabalhando com GPOs Iniciais - Uma Novidade do Windows Server 2008
Editando GPOs - O Console Editor de GPOs
Configurando as Propriedades de uma GPO
Definindo a Ordem de Aplicao das GPOs Ligadas ao Mesmo Objeto
Usando as Polticas para Criao de Grupos Restritos
Definindo Permisses de Acesso em Chaves da Registry
Definindo Permisses de Acesso em Pastas de um Volume via GPOs
Criando uma Lista de Snap-ins Permitidos Lista Branca
Distribuio de Software via GPOs - Teoria e Prtica
Polticas de Restrio de Software via GPO
Redirecionamento de Pastas via GPOs
RSoP Resultant Set of Policy
Preferncias
Delegao de Permisses em GPOs e Outras Aes
Backup e Restore das GPOs
Implementando o Recurso Loopback
Utilizando Modelos de Segurana
Localizando as configuraes em uma GPO
Comandos Relacionados com as GPOs
Concluso
Captulo 02 Tudo Sobre GPOs no Windows Server 2012 R2
Group Policy Objects Fundamentao Terica

Implementao e Administrao de GPOs no Windows Server 2012 R2
Trabalhando com GPOs - Configurao e Administrao
Exemplos Prticos de Configuraes de GPOs
Definindo Permisses de Acesso em Pastas de um Volume Usando GPOs

Pgina 6 de 34

Polticas de Grupo em Cenrios Prticos sem o Active Directory
Mapeamento de Pastas Compartilhadas sem o AD
Criando Polticas Baseadas em Controladores de Domnio
Modelos ADM do Google Chrome para Windows Server 2012 R2
Mapeando Unidades de Rede Usando GPOs
Instalao de Software via GPOs
Impondo Restries de Software via GPOs
Nveis de Segurana e Regras de Identificao de Software
Aplicando Polticas de Restrio de Software
Precedncia na Aplicao Das Regras das Polticas de Restrio de Software
Definindo o Nvel de Segurana Padro como Dissalowed (Desabilitado)
Eventos Gerados nos Logs do Sistema Pelas Polticas de Restrio de Software
Criando uma Nova Poltica de Restrio de Software
Prticas Recomendadas em Relao ao uso das Polticas de Restrio de Software
Captulo 03 Tudo Sobre GPOs no Windows Server 2016
Introduo
GPOs - O Que So, Para Que Servem e Novidades
GPOs Para Gerenciamento de Dispositivos Mveis
Ordem de Aplicao das GPOs no Windows Server 2016
O Recurso de Loopback
Ordem de Eventos quando o Computador Inicializado e o Quando o Usurio faz o Logon
Como Funciona o Mecanismo de Herana Policy Inheritance
Console de Administrao de GPOs - Console GPMC
Criao e Administrao de GPOs com o GPMC
Editor de Gerenciamento de Poltica de Grupo
Configurando as Propriedades de uma GPO - GPMC
Trabalhando com Filtros WMI GPMC
O Que So e Como Trabalhar com GPOs Iniciais
Trabalhando com Modelagem de Polticas de Grupos
Resultados da Poltica de Grupo - RsOP
Ordem de Aplicao das GPOs Precedncia GPOs
Delegao de Permisses em GPOs e Outras Aes
Backup e Restore das GPOs

Pgina 7 de 34
Implementando o Recurso Loopback

Utilizando Modelos de Segurana
Localizando as Configuraes em uma GPO
Comandos Relacionados com as GPOs
Usando as GPOs para Criao de Grupos Restritos
Definindo Permisses de Acesso em Chaves da Registry
Definindo Permisses de Acesso em Pastas de um Volume via GPOs
Distribuio de Software via GPOs - Teoria e Prtica
Polticas de Restrio de Software via GPO
Redirecionamento de Pastas via GPOs
Gerenciamento de Scripts via GPOs
Controle de Hardwares via GPO
Gerenciamento de Impressoras via GPOs
Gerenciando a Senha do Administrador Local via GPOs
Concluso
Captulo 04 GPOs - S Tpicos Avanados
Introduo
Implementao, Gerenciamento e Administrao de GPOs com o PowerShell
Cmdlets de Polticas de Grupo via Windows PowerShell
Resoluo de Problemas Com GPOS
Como Descobrir o Motivo de uma GPO No Ser Aplicada
Polticas de Senhas Windows Server 2016
Configurando UAC via GPO Windows Server 2016
Configurando o Firewall do Windows via GPOs Windows Server 2016
Configurando Politicas de Redes Sem Fio e Com Fio via GPOs Windows Server 2016
FAQ - Dvidas Relacionadas a GPOs e Resoluo de Problemas em Situaes Prticas
Concluso

Pgina 8 de 34
IMPORTANTE:


Pgina 9 de 34
:: Captulo 01 GPOs no Windows Server 2008

Introduo:
O recurso de Group Policy Objects (GPO) de ENORME utilidade para o administrador da rede.
Com o uso de GPOs o administrador pode definir as configuraes de vrios elementos das estaes
de trabalho do usurio, como por exemplo, os programas que estaro disponveis, os atalhos do
Menu Iniciar que estaro disponveis, os atalhos dentro do Painel de Controle que estaro
disponveis para o usurio, as configuraes de Internet, habilitar ou desabilitar itens do Painel de
Controle, configurar redirecionamento de pastas, configuraes de rede e assim por diante. Por
exemplo, o administrador pode configurar, via GPOs, quais grupos de usurios devero ter acesso
ao comando Executar e quais no tero, pode configurar a pgina inicial do Internet Explorer, do
Firefox ou do Chrome para um grupo de usurios ou para toda a empresa, pode fazer configuraes
de Proxy e por a vai. So milhares (literalmente milhares) de opes de configuraes que esto
disponveis via GPOs.
As configuraes feitas via GPOs so aplicadas para usurios, computadores, Member Servers e
DCs (Domain Controllers = Controladores de Domnio), mas somente para computadores
executando Windows 2000 (Server ou Professional), Windows XP, Windows Vista, Windows 7,
Windows 8, Windows 10, Windows Server 2003, Windows Server 2008, Windows Server 2012 ou
Windows Server 2016. Para verses mais antigas do Windows, tais como Windows 95/98/Me e NT
4.0, o recurso de GPOs no aplicado.
Devido importncia deste recurso e da grande quantidade de configuraes disponveis, este

captulo ser todo dedicado ao recurso de GPOs no Windows Server 2008. Este captulo ser de
grande utilidade para quem utiliza o Windows Server 2008 nos servidores da rede e quer
automatizar uma srie de configuraes, usando o recurso de GPOs.
Vamos iniciar o captulo com a teoria necessria para que voc entenda exatamente o que o
recurso de GPOs, como ele se aplica em um domnio, em que nveis ele pode ser configurado e
quais as opes que o administrador tem para garantir que as configuraes definidas via GPOs,
sejam aplicadas nas estaes de trabalho dos usurios, em um domnio baseado no Windows Server
2008 R2.

Pgina 10 de 34
Em seguida passarei as aes prticas relacionadas com GPOs. Desde a alterao da GPO padro do
domnio, passando pela criao de novas polticas de segurana e aplicaes destas polticas em
diferentes nveis, dentro do domnio.
Tambm falaremos sobre as configuraes de segurana e definio de permisses, relacionadas

com GPOs. Com a configurao das permisses de acesso a uma determinada GPO, o
administrador pode fazer com que um conjunto de polticas de segurana sejam aplicados apenas a
um determinado grupo de usurios ou computadores ( importante lembrar que no Windows Server
2008 R2, possvel adicionar as contas de computadores como membros de um grupo).
Apresentarei o conceito de herana de GPOs, conceito importante quando se aplicam diferentes
polticas em diferentes nveis dentro do domnio.
Outro ponto abordado em detalhes ser o uso das polticas de segurana para redirecionamento das
pastas de dados pessoais dos usurios, tais como a pasta Documentos. Combinando o uso dos
recursos de GPOs e de roaming profiles, o administrador pode redirecionar, por exemplo, a pasta
Documentos dos usurios para um servidor da rede, de tal maneira que o usurio ter acesso a esta
pasta, independentemente do computador em que estiver logado. Combinando estes dois recursos,
com o recurso de pastas off-line, o usurio poder ter acesso aos seus documentos, mesmo sem estar
conectado rede.
Para encerrar o captulo vou apresentar as ferramentas de gerenciamento relacionados com GPOs,
tais como:
Resultant Set of Policy RSoP.

Console Group Policy Management GPMC.
Comandos para o gerenciamento de GPOs.

Pgina 11 de 34
GPOs - O Que So e Para o Que Servem
Quem j trabalhou na administrao de uma rede baseada no Windows sabe o quanto trabalhoso
(e com um custo elevado), manter a configurao de milhares de estaes de trabalho rodando
diversas verses do Windows. Existem diversas questes/problemas que tem que ser enfrentados:
Como definir configuraes de maneira centralizada, para que seja possvel padronizar as
configuraes das estaes de trabalho?
Como impedir que os usurios possam alterar as configuraes do Windows em suas

estaes de trabalho (diversas verses: Windows XP, Windows Vista, Windows 7, Windows
8 e Windows 10), muitas vezes inclusive causando problemas no Windows, o que faz com
que seja necessrio um chamado equipe de suporte tcnico, para colocar a estao de
trabalho novamente em funcionamento, corrigindo alteraes que o usurio fez e que no
deveria ter feito e, nem mesmo, deveria ter permisses para fazer as alteraes?
Como aplicar configuraes de segurana e bloquear opes que no devam estar

disponveis para os usurios de uma maneira centralizada, sem ter que fazer estas
configuraes em cada estao de trabalho? Quando houver alteraes, eu gostaria de poder
faz-las em um nico local e ter estas alteraes aplicadas em toda a rede ou em partes
especficas da rede?
Com fazer a instalao e distribuio de software de uma maneira centralizada, sem ter que
fazer a instalao em cada estao de trabalho da rede?
Como definir um conjunto de aplicaes diferentes, para diferentes grupos de usurios do

Active Directory ou para computadores de um determinado departamento, de acordo com as
necessidades especficas de cada grupo?
Como aplicar diferentes configuraes aos computadores de diferentes grupos de usurios,

de acordo com as necessidades especficas de cada grupo??
Como configurar as polticas de senha e polticas de bloqueio de conta para todo o domnio,
de maneira centralizada??

Pgina 12 de 34
Como configurar o redirecionamento de pastas especiais, tais como a pasta Documentos,

para compartilhamentos em servidores de rede??
Como configurar scripts de logon e logoff do usurio e scripts para serem executados na
inicializao e/ou desligamento da estao de trabalho??
A primeira tentativa de responder a estas necessidades, recorrentemente levantadas pelos

Administradores de redes baseadas no Windows foi a introduo das chamadas Polices e do Police
Editor, juntamente com o Windows NT 4.0. Com o uso das Polices era possvel definir uma srie de
configuraes, as quais eram aplicadas registry da estao de trabalho do usurio quando ele
fizesse o logon no domnio. Por exemplo, era possvel utilizar as Polices para impedir que um
usurio do Windows 95/98/Me pressionasse a tecla ESC para cancelar a tela de logon e ter acesso
ao Windows sem fazer o logon no domnio. Eu digo uma primeira tentativa, porque o uso de
Polices no passou muito disso, uma tentativa, uma vez que muitas das demandas no foram
atendidas por este recurso (mas confesso que usei, bastante, as Polices e me foram bastante teis na
poca).
J com o lanamento do Windows 2000 Server e com a introduo do recurso de GPOs, o

administrador passou a ter um recurso realmente poderoso, capaz de atender todas as demandas
descritas anteriormente e muito, muito mais mesmo.
Nota: importante salientar que as GPOs somente so aplicadas a computadores com o Windows
2000, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10, Windows Server 2003,
Windows Server 2008, Windows Server 2012 ou Windows Server 2016. Estaes de trabalho que
ainda estejam com verses mais antigas do Windows, tais como Windows 95, Windows 98,
Windows Me ou Windows NT 4.0, tero como nico recurso de configurao o uso de Polices e do
Police Editor. O recurso de GPOs no aplicado a estas verses mais antigas. Ento, em uma rede
onde voc tem estaes de trabalho com as novas verses do Windows e estaes de trabalho com
verses mais antigas (95, 98, Me e NT 4.0), voc ter que utilizar os dois recursos. Polices para as
verses mais antigas do Windows, sempre levando em considerao as limitaes deste recurso, em
comparao com o uso de GPOs e usar GPOs para as estaes de trabalho com verses mais novas
do Windows.

Pgina 13 de 34
As GPOs incluem configuraes que so aplicadas a nvel de usurio (ou seja, em qualquer estao
de trabalho do domnio em que o usurio faa o logon, as polticas associadas a sua conta de usurio
sero aplicadas) e a nvel de computador (ou seja, qualquer usurio que faa o logon no computador
ter as polticas de computador sero aplicadas).
Por exemplo, se o administrador definiu uma poltica de usurio para o grupo do usurio jsilva, de
tal maneira que o comando Executar no deva estar disponvel para este grupo, em qualquer estao
de trabalho que o jsilva fizer o logon, o comando Executar no estar disponvel. Agora imagine
que o administrador configurou uma poltica de computador, para o grupo de computadores da
seo de contabilidade, definindo que o comando Executar no deve estar disponvel nestes
computadores. Qualquer usurio que faa o logon em qualquer um dos computadores da seo de
contabilidade, no ter disponvel o comando Executar, independentemente dos grupos aos quais
pertena o usurio, uma vez que a poltica est sendo aplicada ao computador (independentemente
do usurio que esteja utilizando-o).
Mas Enfim, o que as GPOs Podem Fazer?
Podem gerenciar, de maneira centralizada, configuraes definidas na registry do

Windows, com base em templates de administrao (Administrative Templates): As
GPOs criam arquivos com definies da registry. Estes arquivos so carregados e aplicados
na estao de trabalho do usurio, nas partes referentes a configurao de Usurios e
configurao de Computador da registry. As configuraes de usurio so carregadas na
opo HKEY_CURRENT_USER (HKCU), da registry. As configuraes de computador
so carregadas na opo HKEY_LOCAL_MACHINE (HKLM), da registry. A idia
relativamente simples. Ao invs de ter que configurar estas opes em cada estao de
trabalho, o administrador cria elas centralizadamente, usando GPOs. Durante o logon, o
Windows aplica as configuraes definidas nas GPOs que se aplicam ao usurio e ao
computador.
Atribuio de scripts: Com o uso de GPOs o administrador pode configurar um script para
ser executado na inicializao e tambm no desligamento do Windows. Tambm podem ser
definidos scripts de logon e logoff.

Pgina 14 de 34
Redirecionamento de pastas: O administrador pode configurar uma GPO para que pastas
tais como Documentos, Imagens, Downloads, etc. sejam redirecionadas para uma pasta
compartilhada em um servidor. Com isso os dados do usurio passam a estar disponveis no
servidor e podero ser acessados de qualquer estao de trabalho da rede, na qual o usurio
faa o logon no domnio. Alm disso, com os dados no servidor, possvel criar e
implementar uma poltica de backup centralizada.
Gerenciamento de software: Com o uso de GPOs o administrador pode fazer a instalao

de software de uma maneira centralizada. possvel associar uma aplicao com um grupo
de usurios. Quando o usurio fizer o logon, o cone da aplicao j exibido no menu
Iniciar. Quando ele clicar neste cone a aplicao ser instalada, automaticamente, a partir de
um servidor da rede, cujo caminho dos arquivos de instalao foi configurado via GPOs.
Tambm possvel publicar aplicaes. Neste caso, ao fazer o logon, o usurio tem que
acessar a opo Adicionar ou remover programas do Painel de controle (a partir do
Windows Vista esta opo foi renomeada para Programas e Recursos) e solicitar que a
aplicao seja instalada.
Definir configuraes de segurana: Para computadores executando o Windows 2000

Server ou Professional, Windows XP Professional, Windows Vista, Windows 7, Windows
8, Windows 10, Windows Server 2003, Windows Server 2008, Windows Server 2012 ou
Windows Server 2016, existe uma GPO localmente nestes computadores. Esta GPO pode
ser utilizada para configurar uma srie de opes do ambiente de trabalho do usurio. As
configuraes definidas na GPO local somente se aplicam ao computador onde as
configuraes esto sendo definidas. Algumas funcionalidades tais como distribuio de
software e redirecionamento de pastas no esto disponveis na GPO local. Esto
disponveis somente em GPOs aplicadas no Active Directory, conforme descrito logo a
seguir. A GPO local somente deve ser utilizada quando houver necessidade de uma
configurao especfica em um determinado computador. As configuraes que se aplicam a
grupos de computadores e usurios devem ser configuradas via GPOs no Active Directory,
j que isso facilita a configurao e atualizao das configuraes de uma maneira
centralizada.
Nota: A GPO local gravada, por padro, na pasta %systemroot%\System32\GroupPolicy

Pgina 15 de 34
Alm da GPO local, podem ser aplicadas GPOs definidas no Active Directory, para aplicao nos
computadores que fazem parte do domnio. Pode inclusive acontecer de haver conflitos de
configuraes entre a GPO local e uma ou mais GPOs do domnio. Neste caso existem
configuraes (que voc aprender mais adiante), que definem, em caso de conflito, se deve ser
aplicada a definio da GPO local ou a definio da GPO do domnio.
Dica: Existe uma GPO padro para o domnio. Configuraes feitas nesta GPO sero aplicadas a
todos os usurios e computadores do domnio. Configuraes gerais, que devam ser aplicadas a
todos os objetos do domnio, devem ser definidas nesta GPO. Voc aprender a configurar a GPO
padro do domnio, nos exemplos prticos deste captulo.
Outra GPO que existe por padro uma GPO associada com a OU Domain Controllers
(Controladores de domnio). Esta GPO aplicada somente aos DCs do domnio. Embora seja
possvel mover a conta de um DC para outra unidade organizacional, este no um procedimento
recomendado. Ao mover a conta de um DC da unidade organizacional Domain Controllers para
outra unidade organizacional, a GPO padro para os DCs deixar de ser aplicado ao DC que foi
movido, pois esta GPO est ligada a unidade organizacional Domain Controllers.
Polticas de Usurios e Polticas de Computador:
As polticas de usurios, isto , polticas associadas a conta do usurio, so configuradas na opo

Configuraes do Usurio, do console Editor de Gerenciamento da Diretiva de Grupo (o qual voc
aprender a utilizar mais adiante, neste captulo) e so aplicadas quando o usurio faz o logon.
Polticas de computador so configuradas atravs da opo Configuraes de Computador e so

aplicadas quando o computador e inicializado. Existe tambm um intervalo de atualizao, dentro
do qual as polticas so reaplicadas e quaisquer mudanas que tenham sido feitas pelo
Administrador, sero aplicadas aos usurios e computadores.
Nota: As polticas definidas no Active Directory so aplicadas somente a objetos do tipo usurio e
computador. Por questes de desempenho, as polticas no podem ser configuradas para objetos do
tipo Grupos. Porm possvel utilizar o mecanismo de permisses de acesso das GPOs, para limitar
a aplicao de uma GPO somente a um ou mais grupos de usurios e computadores, conforme voc
aprender na parte prtica deste captulo, mais adiante.

Pgina 16 de 34
possvel criar objetos do tipo GPO e associ-los a diferentes objetos do Active Directory. Um
objeto do tipo GPO pode ser criado e associado com um domnio, com uma unidade organizacional
ou com um site. Alm da GPO que pode ser criada localmente em cada computador com o
Windows a partir do Windows 2000, conforme descrito anteriormente.
Ordem de Aplicao das GPOs:
As GPOs so aplicadas em uma ordem especfica, caso esteja definida mais de uma GPO para o
usurio que estiver fazendo o logon ou para o computador que est sendo inicializado. Por exemplo,
quando o usurio faz o logon, so aplicadas a GPO do domnio e mais (se houver), a GPO da
unidade organizacional a qual pertence a sua conta e a GPO local da estao de trabalho que ele est
utilizando. A ordem de aplicao das GPOs a seguinte:
A GPO local.
GPO definida para o site ao qual pertence o computador.
GPOs do domnio.
GPOs definidas a nvel de unidade organizacional, da OU pai para a OU filho. Por exemplo,
se foi criada uma OU Diviso Sul e, dentro desta OU as divises: Finanas, Contabilidade
e Vendas e a conta do usurio jsivla est na OU Vendas, primeiro ser aplicada a GPO da
OU Diviso Sul e depois a GPO da OU Vendas.
Por padro, as polticas aplicadas por ltimo, tem precedncia sobre as polticas aplicadas
anteriormente.
Por exemplo, a GPO de domnio aplicada. Em seguida vem a GPO definida na Unidade
Organizacional. Se houver um conflito entre a GPO de domnio e a GPO da unidade organizacional,
ir prevalecer a configurao definida na GPO da unidade organizacional (aplicada por ltimo). O
administrador pode configurar a GPO de domnio (ou outras GPOs em qualquer nvel), para que
suas configuraes no possam ser sobrescritas (substitudas) pelas configuraes de GPOs de nvel
mais baixo, em caso de conflito.

Pgina 17 de 34
Por exemplo, o administrador pode definir na GPO de domnio, que nenhum usurio ter acesso ao
comando Executar e marcar a GPO onde est esta configurao com a opo No Override (No
Sobrescrever). Com isso, mesmo que exista um GPO em uma unidade organizacional, permitindo o
uso do comando Executar, esta configurao no ser aplicada, uma vez que a GPO do domnio no
permite que sejam alteradas suas configuraes em caso de conflito. Este mecanismo uma
maneira que o administrador tem, de garantir que determinadas configuraes sejam aplicadas em
todo o domnio, independentemente das configuraes que so efetuadas em nvel de unidade
organizacional.
Novidades das GPOs no Windows Server 2008:
Uma srie de novos recursos foram adicionados no Windows Server 2008. Com as GPOs a histria
no diferente, alis, muitos novos recursos foram adicionados ou aprimorados no Windows Server
2008. Vou apresentar rapidamente uma viso geral desses novos recursos de GPOs e, no decorrer
deste captulo, exploraremos alguns desses novos recursos na prtica.
Novas categorias de gerenciamento de diretivas: no Windows Server 2008 uma srie de

novas diretivas podem agora ser gerenciadas atravs das GPOs, como por exemplo,
gerenciamento das opes de energia, gerenciamento de instalao e uso de dispositivos
USB o outras mdias removveis, criao de polticas de firewall e IPSec, novas opes de
gerenciamento do Internet Explorer, atribuio de impressoras para os usurios de acordo
com a localizao fsica do usurio e permitir que os usurios instalem drivers de
impressoras. Perceba que no Windows Server 2008, com o uso das GPOs voc pode ter um
controle maior sobre as estaes de trabalho e laptops, elevando ainda mais o nvel de
segurana da sua rede.
Novos formato e funcionalidades de arquivos de modelo Administrativo (ADMX): os

modelos administrativos nada mais so do que arquivos que descrevem a Diretiva de Grupo
baseado no registro do Windows. Esses modelos existem desde a poca do Windows NT
4.0, porm o formato de arquivo utilizado era o ADM. J no Windows Server 2008, esses
arquivos passarem a ser baseados no padro XML, e possuem a extenso ADMX. Um
detalhe interessante que os arquivos ADMX oferecem suporte multilngue,
armazenamento de dados centralizado opcional e recursos de controle de verso.

Pgina 18 de 34
Objetos de Diretiva de Grupo Iniciais (GPOs Iniciais): esse recurso muito interessante
e funciona basicamente da seguinte forma: suponha que voc crie muitas GPOs, e a maioria
dessas GPOs possuem muitas configuraes em comum. Ao invs de voc ter que
configurar esses mesmos parmetros em cada uma das GPOs, voc pode criar uma Diretiva
de Grupo Inicial e definir todas essas configuraes nessa diretiva. Aps isso, voc cria suas
GPOs baseado nessa Diretiva de Grupo Inicial. Em outras palavras, ao invs de voc criar
uma GPO do zero, voc cria uma GPO baseada em uma GPO Inicial j existente, a qual
possui as configuraes que voc desejar. Imagine um modelo de GPO, a partir do qual voc
cria suas GPOs baseada nesse modelo. para isso que servem as GPOs Iniciais.
Comentrios sobre GPOs e configuraes de diretivas: imagine um domnio que possua

20 GPOs (concordo que eu exagerei mas vamos imaginar esse cenrio). Como que voc
faz para saber o que faz cada uma das GPOs? Com certeza voc utilizar nomes intuitivos.
Mas com 20 GPOs ficar difcil voc encontrar nomes intuitivos e curtos. Ao invs disso,
voc pode utilizar o recurso de comentrios. Ou seja, voc pode editar as propriedades das
GPOs e das GPOs Iniciais e colocar um comentrio em cada GPO. Com isso, voc poder
rapidamente identificar o que faz cada uma das suas 20 GPOs.
Reconhecimento de Locais de Rede: em domnios baseados em verses anteriores do

Windows Server 2008, a deteco de vnculo de GPOs baseava-se no uso do protocolo
ICMP, ou seja, no famoso ping. J no Windows Server 2008, as GPOs so processadas
mesmo que voc desabilite o ICMP nos computadores, o que no acontece em domnios
anteriores ao Windows Server 2008. Isso se deve ao fato do cliente de GPOs no Windows
Server 2008 usar o Reconhecimento de Locais de Rede para determinar a largura de banda
da rede e continuar a processar a aplicao das GPOs. Esse novo recurso permite que as
GPOs trabalham de uma melhor forma em redes que tenham mudanas constantes em suas
condies de uso e em sua configurao fsica. O primeiro benefcio oferecido por esse
recurso, j citado anteriormente, o fim da dependncia do protocolo ICMP (ping). Outra
vantagem que esse recurso apresenta a diminuio no tempo de inicializao das estaes
de trabalho e servidores. O Reconhecimento de Locais de Rede possui uma funcionalidade
que indica com preciso para a GPO quando a rede est pronta. A GPO pode tambm
determinar se o adaptador est desabilitado ou desconectado, permitindo assim que as GPOs
diminuam o tempo de espera daqueles cenrios nos quais a rede no estiver disponvel.

Pgina 19 de 34
Preferncias: as preferncias, que esto disponveis tanto em configuraes de computador

quanto em configuraes de usurio, aumentam ainda mais o nosso controle sobre as
estaes de trabalho do domnio. O objetivo simples: diminuir a quantidade de scripts que
precisam ser desenvolvidos e implementados atravs das GPOs. As preferncias nos
permitem gerenciar, atravs da interface grfica, mapeamentos de rede, habilitar ou
desabilitar determinados dispositivos de hardware, criar variveis de ambiente, configurar as
opes de pasta do Windows Explorer, associar extenses de arquivos com softwares
especficos, configurar servios, impressoras, tarefas agendadas, criao de usurios e
grupos locais, e assim por diante.
Servio Diretiva de Grupo: toda a infraestrutura das GPOs foi aprimorada com o
isolamento completo do Winlogon, proporcionando assim uma nova arquitetura para a
forma na qual as GPOs executam aes de notificao e processamento. Como as GPOs
exigem menos recurso de processamento em segundo plano e menos utilizao de memria,
a aplicao das GPOs mais eficaz e mais rpida.
Eventos e log: conforme j dissemos anteriormente, a infraestrutura das GPOs foi

totalmente modificada no Windows Server 2008. Por exemplo, o processamento das GPOs
no existe mais no processo Winlogon do Windows. Ao invs disso, est hospedado como
seu prprio servio. Outra alterao que o mecanismo de GPOs no se baseia mais no
registro de rastreamento encontrado na DLL Userenv. Em verses anteriores ao Windows
Server 2008, grande parte da resoluo dos problemas com GPOs baseava-se nos logs
gerados pela DLL Userenv. Quem j precisou trabalhar com esses logs sabe que no era na
fcil entender as mensagens que eram gravadas nos logs. No Windows Server 2008 as GPOs
possuem um componente prprio, com um novo servio de GPO. Esse servio executado
sobre o processo Svchost, com a finalidade de ler e aplicar as GPOs. Uma novidade tambm
que os eventos relacionados as GPOs so armazenados agora no log de sistema do
Windows, e no mais no log de aplicativo. E a origem desses eventos identificada como
Microsoft-Windows-GroupPolicy.
Localizando configuraes especficas da diretiva de modelos Administrativos: no

Windows Server 2008 temos muitas configuraes que podem ser habilitadas via GPO.
Quando digo muitas, estou me referindo a mais de 2400 configuraes, contra cerca de 1700

Pgina 20 de 34
no Windows Server 2003. E como que voc localiza as opes desejadas rapidamente?
Realmente um processo complicado, e para quem no tem muita experincia com GPOs,
algumas horas podem ser perdidas at que as configuraes desejadas sejam localizadas. No
Windows Server 2008 voc tem a possibilidade de criar filtros e localizar rapidamente as
configuraes desejadas. Tanto nas configuraes de computador quanto nas configuraes
de usurios, dentro da opo Modelos Administrativos temos uma opo chamada Todas as
Configuraes. Essa categoria nos mostra, por padro, todas as opes disponveis nos
Modelos Administrativos. E aqui voc pode criar os filtros desejados para encontrar
rapidamente as configuraes que precisa configurar.
Sobre as novidades de GPOs no Windows Server 2008 basicamente isso. Vamos agora entender
como feito o processamento e aplicao das GPOs.
Entendendo como Feito o Processamento e Aplicao das GPOs:
Este um item que eu considero de fundamental importncia para o administrador. Configurar as

GPOs, conforme voc ver mais adiante, relativamente simples com o uso do console de
administrao das GPOs.
Porm, mais do que saber configurar as GPOs, o administrador precisa entender exatamente como
as GPOs so processadas e aplicadas s estaes de trabalho e aos usurios. Com este
entendimento, o Administrador tem condies de planejar as polticas a serem implementadas e
tambm de resolver problemas relacionados a aplicao das GPOs. Por isso fundamental que o
administrador entenda, exatamente, como feito o processamento e aplicao das GPOs.
No NT Server 4.0 as configuraes de Polices eram armazenadas em um arquivo com a extenso

.pol, arquivo este que gravado no compartilhamento NETLOGON do PDC e de todos os BDCs do
domnio. Para clientes Windows 9x/Me o arquivo deve ter o nome config.pol e para clientes com o
NT 4.0, o arquivo deve ter o nome ntconfig.pol. As configuraes definidas neste arquivo so
carregadas durante o logon e aplicadas registry da estao de trabalho do usurio. As
configuraes de usurio so carregadas na opo HKEY_CURRENT_USER (HKCU) da registry.
As configuraes de computador so carregadas na opo HKEY_LOCAL_MACHINE (HKLM)
da registry.

Pgina 21 de 34
IMPORTANTE:


Pgina 22 de 34
A partir do Windows 2000 Server, Windows Server 2003 e Windows Server 2008, o processamento
das GPOs segue caminhos bem diferentes, os quais sero descritos neste item.
No NT Server 4.0 um nico conjunto de polticas aplicado ao usurio/computador, conjunto este

que definido no arquivo .POL, carregado quando o computador inicializado e o usurio faz o
logon. J no Windows Server 2008, mais de um conjunto de polticas pode ser aplicado ao mesmo
usurio/computador. Por exemplo, imagine o usurio jsilva, do domnio abc.com, cuja conta est na
Unidade Organizacional Vendas, dentro da Unidade Organizacional (OU) RegioSul. Para este
usurio, ser aplicada a GPO local, mais a GPO do domnio (uma ou mais GPOs que estiverem
definidas no domnio abc.com), mais o conjunto de GPOs definidas para a OU RegioSul e mais o
conjunto de GPOs definidas para a OU Vendas.
As configuraes das GPOs so armazenadas em uma estrutura de pastas e arquivos dos DCs do
domnio. Estas informaes so gravadas na pasta SYSVOL e so replicadas para todos os DCs do
domnio. Na Figura 1.1 apresento uma viso geral da pasta onde ficam gravadas as informaes
sobre as GPOs do domnio abc.com (C:\WINDOWS\SYSVOL\sysvol\abc.com\Policies), onde o
Windows Server 2008 est instalado na pasta Windows, no drive C:
Figura 1.1 - A pasta com informaes das GPOs em um DC do domnio abc.com.
Cada pasta representa uma determinada GPO. Ao abrir uma destas pastas, ser exibido o seguinte
contedo:

Pgina 23 de 34
Pasta Adm ou Admx: Contm os arquivos com os templates administrativos. Uma das
novidades no Windows Server 2008 so os templates baseados no padro XML, os quais
usam a extenso .Admx.
Pasta Scripts: Se houver scripts definidos neste template, esta pasta conter os scripts e
arquivos relacionados.
Pasta MACHINE: Contm as configuraes que se aplicam a computadores. Esta pasta

contm um arquivo chamado Registry.pol, o qual contm as configuraes de registry que
sero aplicadas ao computador durante a inicializao (veja os passos de aplicao das
polices durante a inicializao do computador, mais adiante). Quando o computador
inicializado, feito o download do arquivo Registry.pol e so aplicadas as configuraes
definidas neste arquivo. As configuraes so aplicadas na opo
HKEY_LOCAL_MACHINE, da registry, da estao de trabalho.
Pasta USER: Contm as configuraes que se aplicam a usurios. Esta pasta contm um
arquivo chamado Registry.pol, o qual contm as configuraes de registry que sero
aplicadas ao usurio quando este fizer o logon (veja os passos de aplicao das polices
durante a inicializao do computador, mais adiante). Quando o computador inicializado,
feito o download do arquivo Registry.pol e so aplicadas as configuraes definidas neste
arquivo. As configuraes so aplicadas na opo HKEY_CURRENT_USER, da registry
Arquivo GPT.INI: Informaes sobre a verso da GPO. Utilizada pelo servio de

replicao.
Em resumo: As informaes sobre as GPOs so gravadas em uma estrutura de pastas e arquivos,

dentro da pasta SYSVOL, nos DCs do domnio. Esta estrutura replicada para todos os DCs do
domnio. As informaes gravadas na pasta SYSVOL so os chamados modelos de GPOs,
oficialmente conhecidos como Group Policy Template (GPTs). O template que define quais
opes de configurao estaro disponveis. Por exemplo, o template de GPO para usurios define
quais opes de usurios podero ser configuradas via GPO. Quando uma nova GPO criada, o
Windows Server 2008 cria a GPO com base nos templates da pasta Sysvol. A nova GPO que
criada e as configuraes nela definidas so armazenadas no Active Directory. Esta GPO
conhecida como GPC Group Policy Container. Ou seja, uma GPO criada com base em um

Pgina 24 de 34
modelo (GPT, armazenado na pasta SYSVOL). O modelo define quais opes de configurao
estaro disponveis. Aps criada e configurada, a GPO salva na base de dados do Active
Directory, quando conhecida como GPC Group Policy Container. Estas definies muitas vezes
se confundem. Nos exemplos prticos, quando voc aprender a criar e a configurar as polticas,
usarei sempre o termo genrico GPO.
Toda GPO dividida em duas partes tambm conhecidas como sees:
Seo do usurio.
Seo do computador.
Conforme o prprio nome sugere, estas sees contm as configuraes especficas aplicadas a
usurios ou computadores especificamente. Quando um computador com o Windows 2000,
Windows XP Professional, Windows Vista, Windows 7, Windows 8, Windows 10, Windows
Server 2003, Windows Server 2008, Windows Server 2012 ou Windows Server 2016, pertencente
ao domnio inicializado, o Windows verifica se existem novas GPOs ou alteraes nas GPOs
existentes e aplica as configuraes definidas na seo do computador (independentemente de
algum usurio ter feito o logon ou no). Quando o usurio faz o logon no domnio (em qualquer
computador da rede com uma das verses do Windows descritas no incio do pargrafo), o
Windows verifica se existem GPOs a serem aplicadas a este usurio ou alteraes nas GPOs j
aplicadas e aplica as configuraes definidas na seo de usurio destas GPOs. Estas informaes
ficam gravadas no Active Directory. Conforme descrito anteriormente (estou insistindo neste ponto
porque ele muito importante), uma GPO criada com base nos modelos armazenados na pasta
Sysvol (GPT- Group Policy Templates). Uma vez criada e configurada, a GPO salva no Active
Directory (tornando-se uma GPC Group Policy Container). Quando um usurio faz o logon o
Windows Server 2008 verifica no Active Directory se existem GPOs a serem aplicadas para o
usurio. Quando um computador inicializado, o Windows Server 2008 verifica no Active
Directory, se existem GPOs a serem aplicadas ao computador. isso.
Detalhando a Ordem de Processamento das GPOs:
As GPOs so processadas na seguinte seqncia:
1. GPO Local: Cada computador com o Windows 2000, Windows XP Professional, Windows
Vista, Windows 7, Windows 8, Windows 10, Windows Server 2003, Windows Server 2008,
Pgina 25 de 34
Windows Server 2012 ou Windows Server 2012, possui uma GPO local, a qual aplicada em
primeiro lugar, antes das demais GPOs que possam estar disponveis.
2. GPOs do Site: Em seguida aplicada a GPO associada (ou GPOs associadas, caso exista
mais de uma) ao site do qual faz parte o computador que est sendo inicializado. Lembre-se que um
site do Active Directory definido por uma ou mais sub-redes. O Windows Server 2008 identifica a
qual site pertence um computador, pela identificao de rede do computador (propriedades do
Protocolo TCP/IP).
3. GPOs associadas ao domnio: Em seguida so processadas as GPOs associadas ao domnio

ao qual pertence o computador, conforme a ordem de execuo definida pelo administrador. Na
parte prtica deste captulo voc aprender a criar GPOs de domnio e a definir a ordem de
aplicao destas GPOs.
4. GPOs associadas a todas as OUs do caminho: Por exemplo, se um computador pertence a

OU Vendas, que est dentro da OU RegioSul, primeiro sero aplicadas as GPOs da OU RegioSul,
para depois serem aplicadas as GPOs associadas a OU Vendas. Quando houver mais de uma GPO
associada a mesma OU, as GPOs sero aplicadas na seqncia que foi definida pelo administrador.
Com esta seqncia, as GPOs aplicadas por ltimo tem preferncia em relao as que so aplicadas
anteriormente. Por exemplo, se na GPO do domnio est que o usurio no deve ter acesso ao
comando Iniciar -> Executar, porm na GPO da OU do usurio este comando est habilitado, valer
a configurao da GPO da OU, ou seja, comando habilitado, uma vez que esta GPO ser aplicada
por ltimo. O administrador tem meios para fazer com que uma GPO de nvel mais alto, como por
exemplo uma GPO de domnio, no tenha suas configuraes sobrescritas por GPOs de nvel mais
baixo, aplicadas por ltimo, como uma GPO associada a uma unidade organizacional. Para
implementar esta configurao, o administrador marca a opo No Override (No sobrescrever),
conforme voc aprender na parte prtica deste captulo.
Algumas excees na ordem de aplicao das GPOs:
Qualquer GPO que estiver associada a um site, domnio ou unidade organizacional (a nica
exceo a GPO local), poder ser configurada com a opo No Override, de tal maneira
que suas configuraes no possam ser sobrescritas pelas GPOs que sero aplicadas depois.
Caso duas GPOs, no mesmo caminho, tenham esta opo marcada, valer a configurao da

Pgina 26 de 34
GPO que estiver mais acima na hierarquia de objetos. Por exemplo, se uma GPO de domnio
est marcada com a opo No Override e uma GPO de uma unidade organizacional tambm
esta marcada com a opo No Override, em caso de conflito nas configuraes destas duas
GPOs, valer a configurao da GPO de domnio, que a que est mais acima na hierarquia
de objetos do Active Directory.
Importante: Deve ser observado que a propriedade No Override uma propriedade da ligao da
GPO com o domnio, site ou unidade organizacional. Esta no uma propriedade da GPO
propriamente dita. Uma GPO poder ser associada em diferentes locais no Active Directory. Por
exemplo posso associar uma determinada GPO com o domnio e tambm com uma ou mais
unidades organizacionais do domnio. Em uma das associaes posso habilitar a opo No
Override, em outras no e assim por diante. Lembre (principalmente para os exames de certificao
do Windows Server 2008): A propriedade No Override uma propriedade da ligao (objeto do
tipo link) entre uma GPO e um domnio, site ou unidade organizacional e no uma propriedade da
GPO propriamente dita.
Computadores que no faam parte do domnio, como por exemplo computadores

configurados para fazer parte de um Workgroup, iro processar e aplicar apenas a GPO
local, uma vez que todas as demais GPOs so carregadas a partir do Active Directory. Como
o computador no faz parte do domnio, ele no tem acesso ao Active Directory.
O Recurso de Loopback:
Existe um recurso avanado das polices, o qual conhecido como Loopback. Este recurso
especialmente recomendado para computadores que esto conectados rede da empresa mas com
acesso ao pblico externo, como por exemplo em quiosques de informao ao pblico, terminais de
autoatendimento e computadores de salas de treinamentos.
O recurso de Loopback permite que voc defina uma ordem alternativa para aplicao das GPOs.
Lembrando que a ordem padro : local, site, domnio e unidade organizacional. O recurso de
Loopback pode ser configurado com os valores Not configured (No configurado), Enabled
(Habilitado) ou Disabled (Desabilitado). Se este recurso for habilitado, ele poder ser configurado
com as opes Merge ou Replace, conforme descrito a seguir:

Pgina 27 de 34
Loopback configurado com a opo Replace: Com este mtodo, a lista de execuo
padro (que define a seqncia de aplicao das GPOs) ser substituda pela lista definida
no prprio computador.
Loopback configurado com a opo Merge: Com este mtodo, a lista de execuo padro
(que define a seqncia de aplicao das GPOs) ser concatenada com lista definida no
prprio computador. As GPOs obtidas a partir da lista definida no prprio computador sero
aplicadas por ltimo, o que far com que estas GPOs tenham precedncia em relao as
GPOs definidas pela lista padro, obtida a partir do Active Directory.
Ordem de Eventos quando o Computador Inicializado e o Usurio faz o Logon:
Neste item descrevo a ordem de eventos que ocorrem quando um computador inicializado e
quando o usurio faz o logon. Considerando um computador que pertence ao domnio e possui o
Windows 2000, Windows XP Professional, Windows Vista, Windows 7, Windows 8, Windows 10,
Windows Server 2003, Windows Server 2008, Windows Server 2012 ou Windows Server 2016
instalado:
1. O computador ligado, o Windows inicializado e os servios de rede so carregados.
2. Uma lista ordenada de objetos do tipo GPO obtida pelo computador. A maneira como esta
lista obtida, depende dos seguintes fatores:
2.1. O computador deve fazer parte do domnio e obter esta lista a partir das informaes
do Active Directory. Se o computador no fizer parte do domnio, apenas a GPO local ser
aplicada.
2.2. A lista depende de onde est contida a conta do computador, no Active Directory.
Por exemplo, a unidade organizacional onde encontra-se a conta, definir quais GPOs sero
aplicadas, as configuraes de rede definem a qual site pertence o computador e quais GPOs
de site (se houver alguma), sero aplicadas e assim por diante.
2.3. De a lista de GPOs ter sido alterada desde a ltima inicializao. Se a lista de GPOs
no foi alterada, nenhum processamento ser feito.

Pgina 28 de 34
3. As configuraes relativas a computador sero aplicadas, a partir da lista de GPOs obtidas.

As GPOs so aplicadas na ordem descrita anteriormente: local, site, domnio e unidade
organizacional.
4. Se houver um script de inicializao configurado ele ser executado. Pode haver mais de um
script de inicializao configurado, conforme veremos na parte prtica. Neste caso eles sero
executados na ordem em que foram definidos e de maneira sncrona, ou seja, um script executado
e somente depois que ele concluir a sua execuo, o prximo ser executado e assim por diante.
Existem tambm um tempo mximo de execuo para cada script, que por padro de 600
segundos. Se o script no terminar a sua execuo neste tempo, ele ser encerrado e o prximo
script (se houver) ser inicializado.
5. Aps terem sido feitos estes processamentos, a tela de logon exibida. O usurio faz o
logon.
6. O usurio digita as suas informaes de logon e autenticado por um dos DCs do domnio.
Aps a validao do usurio, a sua profile carregada.
7. Uma lista ordenada de objetos do tipo GPO obtida pelo usurio. A maneira como esta lista
obtida, depende dos seguintes fatores:
7.1. Se o usurio est fazendo o logon no domnio e, portanto, recebendo a lista de GPOs
a serem aplicadas a partir do Active Directory.
7.2. Se o recurso de Loopback est habilitado e, estando habilitado, qual opo est
definida (Merge ou Replace).
7.3. A lista depende de onde est contida a conta do usurio, no Active Directory. Por
exemplo, a unidade organizacional onde encontra-se a conta, definir quais GPOs sero
plicadas.
7.4. De a lista de GPOs ter sido alterada desde o ltimo logon. Se a lista de GPOs no foi
alterada, nenhum processamento ser feito. Este comportamento pode ser alterado.
8. As configuraes relativas ao usurio sero aplicadas, a partir da lista de GPOs obtidas. As

GPOs so aplicadas na ordem descrita anteriormente: local, site, domnio e unidade organizacional.

Pgina 29 de 34
9. Os scripts de logon definidos nas GPOs sero executados. Estes scripts so executados sem
que seja exibida uma tela de execuo dos scripts e de maneira sncrona, ou seja, um aps o outro,
conforme descrito para a execuo de scripts de inicializao. O script de logon, definido nas
propriedades da conta do usurio, no Active Directory, ser executado aps a execuo dos scripts
definidos via GPOs. Este script executado e uma janela do Prompt de comando exibida. Observe
que podem ser executados vrios scripts de logon, em seqncia, sendo que estes scripts so
definidos nas GPOs que se aplicam ao usurio e o ltimo script a ser executado o script de logon
definido nas propriedades da conta do usurio, no Active Directory.
10. A rea de trabalho do usurio carregada e o Windows est pronto para ser utilizado.
Alguns casos especiais em relao execuo das polices:
Pode acontecer uma situao em que o usurio est fazendo o logon em um computador que
pertence a um domnio do NT Server 4.0, porm fazendo o logon em um domnio baseado
no Windows Server 2008 (sendo que existem relaes de confiana entre os domnios).
Neste caso, para as configuraes de computador sero aplicadas as configuraes definidas
no sistema de Polices do NT 4.0 e para o usurio, ser aplicada a parte relativa as
configuraes de usurio, das GPOs definidas no domnio de origem do usurio. Pode
ocorrer o contrrio, ou seja, a conta de computador ser de um domnio do Windows Server
2008 e a conta do usurio de um domnio do NT Server 4.0. Neste caso sero aplicadas as
configuraes de computador, obtidas via GPO e as configuraes de polices definidas para
o usurio, no domnio de origem da conta.
Se for um computador com o Windows XP Professional, Windows Vista, Windows 7,

Windows 8, Windows 10, Windows 2000 Server, Windows Server 2003, Windows Server
2008, Windows Server 2012 ou Windows Server 2016, porm pertencente a um domnio
baseado no NT Server 4.0, somente sero aplicadas as polices do NT Server 4.0, j que em
um domnio baseado no NT Server 4.0 no existe o conceito de GPOs.
Entendendo como Funciona o Mecanismo de Herana Policy Inheritance:
Por padro, as GPOs so aplicadas a partir do objeto pai (a raiz do domnio), passando pelos objetos
filho, at a unidade organizacional onde est a conta do usurio ou do computador. importante
salientar este funcionamento dentro de um mesmo domnio, no existe uma herana de GPOs

Pgina 30 de 34
entre domnios. Por exemplo, as GPOs aplicadas em um domnio raiz abc.com, no sero herdadas
e aplicadas nos domnios filho, tais como vendas.abc.com e rh.abc.com.
Porm dentro do domnio, o funcionamento o padro descrito nos itens anteriores. Se voc
associar uma GPO com um determinado elemento do Active Directory (um domnio ou uma
unidade organizacional), as configuraes desta GPO tambm sero aplicadas a todos os objetos
contidos nos elementos filho. Por exemplo, se voc aplicar uma GPO no domnio, todos os objetos
do domnio recebero as configuraes desta GPO. Se voc aplicar uma GPO a uma unidade
organizacional, todos os objetos (inclusive objetos contidos em unidades organizacionais dentro da
unidade organizacional que est sendo configurada) contidos nesta unidade organizacional
recebero estas configuraes. Porm importante lembrar que, ao associar uma GPO com um
objeto filho (por exemplo uma unidade organizacional), as configuraes desta GPO iro
sobrescrever as configuraes do objeto Pai (por exemplo o domnio), pois so executadas por
ltimo, a no ser que o mecanismo de No Override tenha sido habilitado na GPO do objeto Pai.
Para entender melhor os conceitos apresentados, vamos considerar o exemplo de um domnio

chamado abc.com, no qual foi criada uma unidade organizacional chamada Sul. Dentro desta
unidade organizacional foi criada uma outra unidade organizacional chamada Vendas. Para a
discusso que apresentarei a seguir, Sul referenciada como OU pai (em Ingls usado o termo
Parent) e Vendas referenciada como OU filho (em Ingls usado o termo child).
Se nas configuraes de GPO da OU pai, houver itens que esto marcados como No configurados,
a OU filho no ir herdar estes itens no configurados. Lembrando que a maioria das opes pode
ser marcada como Enabled (Habilitada), Disabled (Desabilitada) ou Not deffined (No definida). As
opes que tiverem o valor padro como desabilitado, tambm sero definidas como desabilitado na
OU filho. As opes que estiverem configuradas na OU pai, habilitadas ou desabilitadas (no
confundir com aquelas que tem o valor padro como desabilitada) e as respectivas opes no
estiverem configuradas na OU filho, sero herdadas pela OU filho, com o mesmo valor definido na
OU pai (habilitada ou desabilitada). Se uma determinada opo estiver configurada na OU filho,
valer o que est configurado na OU filho, a no ser que a opo No Override tenha sido definida
na GPO da OU pai. Se as configuraes definidas na OU pai e as polticas definidas em uma OU
filho so compatveis, isso , se no houver conflito, a OU filho ir herdar as definies da OU pai e
ir aplic-las normalmente na OU filho.

Pgina 31 de 34
Se houver configuraes definidas na OU pai, as quais so incompatveis com as configuraes

definidas na OU filho (por exemplo, uma determinada Police est habilitada na GPO da OU pai e
desabilitada na Police da OU filho), estas configuraes no sero herdadas pela OU filho. Ser
aplicada a configurao definida na OU filho.
Como bloquear a herana (Blocking inheritance):
A herana pode ser bloqueada tanto em nvel de domnio quanto em nvel de unidade
organizacional. Esta opo configurada nas propriedades do domnio ou da OU respectivamente,
conforme voc aprender na parte prtica deste captulo, mais adiante.
Forando a herana (Enforcing inheritance):
Para forar a herana, ou seja, para fazer com que os objetos filho, obrigatoriamente, tenham que
aplicar as configuraes definidas no objeto pai, voc utiliza a opo No Override, j descrita
anteriormente e que ser exemplificada na parte prtica. Ao marcar esta opo, voc fora todos os
objetos filho a herdarem as configuraes definidas no objeto Pai, mesmo que existam conflitos de
configurao e mesmo que a opo Blocking inheritance tenha sido habilitada no objeto filho.
Algumas observaes importantes:
Polices que foram configuradas com a opo No Override sero aplicadas,

independentemente das configuraes existentes nos objetos filho.
As opes No Override e Block Policy inheritance devem ser utilizadas com cautela, pois o
uso muito intensivo destes recursos, torna difcil o trabalho de identificar e resolver
problemas de configurao, quando no se est obtendo o resultado desejado.
Exemplos de Situaes Prticas de uso das Opes No Override e Block Policy

Inheritance
Neste tpico vamos descrever algumas situaes prticas, onde o uso das configuraes No
Override e Block Policy inheritance se aplica.
Situao 01: Como administrador do domnio abc.com voc gostaria de implementar um conjunto
de configuraes usando GPOs. Este conjunto deve ser aplicado a todos os computadores e usurios

Pgina 32 de 34
do domnio. Essas configuraes no devem ser sobrescritas por GPOs ligadas a objetos filhos, tais
como GPOs ligadas a OUs do domnio. Qual a soluo para a situao descrita?
Soluo: Esta uma situao de soluo bastante simples e ao mesmo tempo muito comum.
Neste caso, como as configuraes devem ser aplicadas a todos os usurios e computadores
do domnio, elas devem ser feitas na GPO padro do domnio, com a qual voc aprender a
trabalhar mais adiante, na parte prtica deste captulo. Para que estas configuraes no
possam ser sobrescritas por configuraes definidas nas GPOs dos objetos filho, voc deve
acessar a GPO no console GPMC, clicar na guia Escopo, clicar com o boto direito do
mouse no link da GPO e, no menu de opes que exibido, clicar em Imposto. Veremos
exemplos prticos, passo a passo, na parte prtica do captulo, mais adiante.
Situao 02: Como administrador do domnio abc.com voc gostaria de implementar um conjunto
de configuraes usando GPOs. Este conjunto deve ser aplicado a todos os computadores e usurios
dos domnios. Existe uma nica OU do domnio, na qual devem ser aplicadas configuraes
especiais e no devem ser aplicadas as configuraes definidas na GPO padro do domnio. Nesta
OU esto as contas de usurios e computadores do setor de pesquisa, e uma srie de configuraes
especiais de segurana devem ser aplicadas via GPO. Qual a soluo para a situao descrita?
Soluo: Nesta situao o administrador deve configurar a GPO padro do domnio, com as
configuraes que sero utilizadas pela maioria dos usurios e computadores, com exceo
dos usurios e computadores da OU Pesquisa. Na OU pesquisa, crie e configure uma GPO
com as configuraes exigidas pelos usurios e computadores desta OU. Para isso basta
abrir o console GPMC, navegar at o domnio abc.com, clicar com o boto direito do mouse
no domnio abc.com e, no menu de opes que exibido, clicar em Bloquear Herana.
Veremos exemplos prticos, passo a passo, na parte prtica do captulo, mais adiante. Com
esta configurao a OU pesquisa no herdar as definies de GPOs aplicadas ao domnio e
somente sero aplicadas as GPOs definidas na prpria OU Pesquisa, que exatamente o que
deve ser feito para solucionar a questo proposta.
Bem, sobre a teoria inicial de GPOs era isso. Agora voc aprender uma srie de aes prticas
sobre GPOs. Aps as aes prticas falarei sobre uma outra funcionalidade muito importante das
GPOs que a distribuio de software. Durante os exemplos prticos sero apresentados diversos
conceitos relacionados com o tpico que est sendo exemplificado.

Pgina 33 de 34
IMPORTANTE:


Pgina 34 de 34

Tudos Sobre GPOs No Windows Server 2008, 2012 e 2016

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Tudos Sobre GPOs No Windows Server 2008, 2012 e 2016

Enviado por

Direitos autorais:

Formatos disponíveis

IMPORTANTE:

Este e-book um Trecho de Demonstrao do livro:

Pginas: 654 | Autores: Jlio Battisti e Diego Lima

Para Comprar o Livro Completo, com 50% de Desconto

Tudo Sobre GPOs no Windows

Autor: Jlio Battisti | Site: http://www.juliobattisti.com.br

Autor: Diego da Silva Lima | Site: https://diegogouveia.com.br

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Introduo e Algumas palavras dos Autores:

O recurso de GPOs permite o gerenciamento centralizado e automatizado de centenas, milhares de

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Poupando Tempo e Dinheiro:

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Diego da Silva Lima

Pr-requisitos Para Acompanhar Este Livro:

Conhecimentos da Instalao e Administrao dos Recursos Bsicos do Windows Server.

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Sumrio Do Livro Completo:

Captulo 01 GPOs no Windows Server 2008

Captulo 02 Tudo Sobre GPOs no Windows Server 2012 R2

Group Policy Objects Fundamentao Terica

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Criando uma Lista de Snap-ins Permitidos Lista Branca

Captulo 03 Tudo Sobre GPOs no Windows Server 2016

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Implementando o Recurso Loopback

Captulo 04 GPOs - S Tpicos Avanados

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Pginas: 654 | Autores: Jlio Battisti e Diego Lima

Para Comprar o Livro Completo, com 50% de Desconto

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

:: Captulo 01 GPOs no Windows Server 2008

Devido importncia deste recurso e da grande quantidade de configuraes disponveis, este

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Tambm falaremos sobre as configuraes de segurana e definio de permisses, relacionadas

Resultant Set of Policy RSoP.

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

GPOs - O Que So e Para o Que Servem

Como impedir que os usurios possam alterar as configuraes do Windows em suas

Como aplicar configuraes de segurana e bloquear opes que no devam estar

Como definir um conjunto de aplicaes diferentes, para diferentes grupos de usurios do

Como aplicar diferentes configuraes aos computadores de diferentes grupos de usurios,

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Como configurar o redirecionamento de pastas especiais, tais como a pasta Documentos,

A primeira tentativa de responder a estas necessidades, recorrentemente levantadas pelos

J com o lanamento do Windows 2000 Server e com a introduo do recurso de GPOs, o

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Mas Enfim, o que as GPOs Podem Fazer?

Podem gerenciar, de maneira centralizada, configuraes definidas na registry do

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Gerenciamento de software: Com o uso de GPOs o administrador pode fazer a instalao

Definir configuraes de segurana: Para computadores executando o Windows 2000

Nota: A GPO local gravada, por padro, na pasta %systemroot%\System32\GroupPolicy

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Polticas de Usurios e Polticas de Computador:

As polticas de usurios, isto , polticas associadas a conta do usurio, so configuradas na opo

Polticas de computador so configuradas atravs da opo Configuraes de Computador e so

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Ordem de Aplicao das GPOs:

GPO definida para o site ao qual pertence o computador.

PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS

Novidades das GPOs no Windows Server 2008:

Novas categorias de gerenciamento de diretivas: no Windows Server 2008 uma srie de