Escolar Documentos
Profissional Documentos
Cultura Documentos
https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525
Tudo Sobre GPOs no Windows Server 2008, Windows Server 2012 e Windows Server 2016
Trecho de Demonstrao!!!
Muitos Administradores de Rede tem inmeras dvidas sobre como utilizar GPOs, quais as reais
capacidades deste recurso, o que pode e o que no pode ser feito com GPOs, como implementar,
como administrar e assim por diante. Este livro procura preencher esta lacuna, ou seja, ser um livro
onde o Administrador ir encontrar tudo o que ele precisa para dominar o recurso de GPOs, em
diferentes verses do Windows Server.
GPOs - Group Policy Objects, ou, na traduo Oficial da Microsoft: Diretivas de Grupo. Mas o que
vem a serem as tais de GPOs?
Nota: Neste livro usarei o termo mais conhecido e utilizado pela comunidade de TI, que ,
simplesmente: GPOs. Prefiro usar GPOs do que a traduo Diretivas de Grupo.
Alm de usar a Diretiva de Grupo para definir configuraes para grupos de usurios e
computadores, voc tambm pode usar as GPOs para ajudar a gerenciar e configurar servidores,
inclusive DCs - Domain Controllers (Controladores de Domnio), aplicando configuraes de
segurana, polticas de senha para o domnio, configuraes para a conta Administrador,
configuraes para grupos de segurana. So muitos, MUITOS MESMO, os recursos e
configuraes que podem ser feitas via GPOs. Por exemplo, voc pode at mesmo fazer instalao
automatizada de software, via GPOs, definir o papel de parede para grupos de usurios, restringir o
acesso a opes do menu Iniciar ou do Painel de Controle, definir que usurios que no sejam
Administradores possam instalar impressoras e assim por diante.
Usando o recurso de GPOs, como Administrador da Rede, voc pode reduzir significativamente o
custo total de propriedade de uma organizao (custo anual para manter um computador em rede e
funcionando), ao automatizar dezenas, centenas de configuraes, tanto de usurios quanto de
computadores.
Vrios fatores, como o grande nmero de configuraes de diretiva disponveis, a interao entre
vrias diretivas e opes de herana, podem tornar o projeto de implementao das GPOs bastante
complexo. Planejando, projetando, testando e implantando cuidadosamente uma soluo baseada
nos requisitos de negcios da sua organizao, voc pode fornecer a funcionalidade, segurana e
controle centralizado de gerenciamentos padronizados que sua organizao precisa.
As configuraes de Diretivas de Grupo que voc cria esto contidas em um GPO. Para criar e
editar um GPO o Administrador utiliza o Console de Gerenciamento de Diretiva de Grupo
(GPMC). Ao usar o console GPMC para vincular um GPO a sites, domnios e unidades
organizacionais (OUs) selecionados do Active Directory, voc aplica as configuraes de diretiva
no GPO aos usurios e computadores nesses objetos do Active Directory. Uma OU o continer do
Active Directory de nvel mais baixo ao qual voc pode atribuir configuraes de Diretiva de Grupo
personalizadas.
Para orientar suas decises de projeto de Diretiva de Grupo, voc precisa entender claramente as
necessidades de negcios da sua organizao, os contratos de nvel de servio e os requisitos de
segurana, rede e TI. Analisando o ambiente atual e os requisitos dos usurios, definindo os
objetivos de negcios que voc deseja atender usando a Diretiva de Grupo e seguindo estas
diretrizes para projetar uma infraestrutura de Diretiva de Grupo, voc pode estabelecer a abordagem
que melhor atenda s necessidades da sua organizao.
Muito bem. Este ser um livro S SOBRE GPOS. Mostraremos como Planejar, Implementar e
Administrar GPOs em redes baseadas no Windows Server 2008 R2, Windows Server 2012 R2 ou
Windows Server 2016.
Um bom estudo a todos e espero, sinceramente, que este curso possa ajud-los a entender e,
principalmente, a planejar, implementar e administrar, corretamente, o recurso de GPOs em
diferentes verses do Windows Server.
Cordialmente,
Jlio Battisti,
Introduo
GPOs - O Que So e Para o Que Servem
Implementao e Administrao de GPOs no Windows Server 2008
Trabalhando com GPOs Iniciais - Uma Novidade do Windows Server 2008
Editando GPOs - O Console Editor de GPOs
Configurando as Propriedades de uma GPO
Definindo a Ordem de Aplicao das GPOs Ligadas ao Mesmo Objeto
Usando as Polticas para Criao de Grupos Restritos
Definindo Permisses de Acesso em Chaves da Registry
Definindo Permisses de Acesso em Pastas de um Volume via GPOs
Criando uma Lista de Snap-ins Permitidos Lista Branca
Distribuio de Software via GPOs - Teoria e Prtica
Polticas de Restrio de Software via GPO
Redirecionamento de Pastas via GPOs
RSoP Resultant Set of Policy
Preferncias
Delegao de Permisses em GPOs e Outras Aes
Backup e Restore das GPOs
Implementando o Recurso Loopback
Utilizando Modelos de Segurana
Localizando as configuraes em uma GPO
Comandos Relacionados com as GPOs
Concluso
Introduo
GPOs - O Que So, Para Que Servem e Novidades
GPOs Para Gerenciamento de Dispositivos Mveis
Ordem de Aplicao das GPOs no Windows Server 2016
O Recurso de Loopback
Ordem de Eventos quando o Computador Inicializado e o Quando o Usurio faz o Logon
Como Funciona o Mecanismo de Herana Policy Inheritance
Console de Administrao de GPOs - Console GPMC
Criao e Administrao de GPOs com o GPMC
Editor de Gerenciamento de Poltica de Grupo
Configurando as Propriedades de uma GPO - GPMC
Trabalhando com Filtros WMI GPMC
O Que So e Como Trabalhar com GPOs Iniciais
Trabalhando com Modelagem de Polticas de Grupos
Resultados da Poltica de Grupo - RsOP
Ordem de Aplicao das GPOs Precedncia GPOs
Delegao de Permisses em GPOs e Outras Aes
Backup e Restore das GPOs
Introduo
Implementao, Gerenciamento e Administrao de GPOs com o PowerShell
Cmdlets de Polticas de Grupo via Windows PowerShell
Resoluo de Problemas Com GPOS
Como Descobrir o Motivo de uma GPO No Ser Aplicada
Polticas de Senhas Windows Server 2016
Configurando UAC via GPO Windows Server 2016
Configurando o Firewall do Windows via GPOs Windows Server 2016
Configurando Politicas de Redes Sem Fio e Com Fio via GPOs Windows Server 2016
FAQ - Dvidas Relacionadas a GPOs e Resoluo de Problemas em Situaes Prticas
Concluso
IMPORTANTE:
Este e-book um Trecho de Demonstrao do livro:
Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016
Teoria e Exemplos Prticos e teis - Passo a Passo
https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525
O recurso de Group Policy Objects (GPO) de ENORME utilidade para o administrador da rede.
Com o uso de GPOs o administrador pode definir as configuraes de vrios elementos das estaes
de trabalho do usurio, como por exemplo, os programas que estaro disponveis, os atalhos do
Menu Iniciar que estaro disponveis, os atalhos dentro do Painel de Controle que estaro
disponveis para o usurio, as configuraes de Internet, habilitar ou desabilitar itens do Painel de
Controle, configurar redirecionamento de pastas, configuraes de rede e assim por diante. Por
exemplo, o administrador pode configurar, via GPOs, quais grupos de usurios devero ter acesso
ao comando Executar e quais no tero, pode configurar a pgina inicial do Internet Explorer, do
Firefox ou do Chrome para um grupo de usurios ou para toda a empresa, pode fazer configuraes
de Proxy e por a vai. So milhares (literalmente milhares) de opes de configuraes que esto
disponveis via GPOs.
As configuraes feitas via GPOs so aplicadas para usurios, computadores, Member Servers e
DCs (Domain Controllers = Controladores de Domnio), mas somente para computadores
executando Windows 2000 (Server ou Professional), Windows XP, Windows Vista, Windows 7,
Windows 8, Windows 10, Windows Server 2003, Windows Server 2008, Windows Server 2012 ou
Windows Server 2016. Para verses mais antigas do Windows, tais como Windows 95/98/Me e NT
4.0, o recurso de GPOs no aplicado.
Vamos iniciar o captulo com a teoria necessria para que voc entenda exatamente o que o
recurso de GPOs, como ele se aplica em um domnio, em que nveis ele pode ser configurado e
quais as opes que o administrador tem para garantir que as configuraes definidas via GPOs,
sejam aplicadas nas estaes de trabalho dos usurios, em um domnio baseado no Windows Server
2008 R2.
Em seguida passarei as aes prticas relacionadas com GPOs. Desde a alterao da GPO padro do
domnio, passando pela criao de novas polticas de segurana e aplicaes destas polticas em
diferentes nveis, dentro do domnio.
Outro ponto abordado em detalhes ser o uso das polticas de segurana para redirecionamento das
pastas de dados pessoais dos usurios, tais como a pasta Documentos. Combinando o uso dos
recursos de GPOs e de roaming profiles, o administrador pode redirecionar, por exemplo, a pasta
Documentos dos usurios para um servidor da rede, de tal maneira que o usurio ter acesso a esta
pasta, independentemente do computador em que estiver logado. Combinando estes dois recursos,
com o recurso de pastas off-line, o usurio poder ter acesso aos seus documentos, mesmo sem estar
conectado rede.
Para encerrar o captulo vou apresentar as ferramentas de gerenciamento relacionados com GPOs,
tais como:
Quem j trabalhou na administrao de uma rede baseada no Windows sabe o quanto trabalhoso
(e com um custo elevado), manter a configurao de milhares de estaes de trabalho rodando
diversas verses do Windows. Existem diversas questes/problemas que tem que ser enfrentados:
Como definir configuraes de maneira centralizada, para que seja possvel padronizar as
configuraes das estaes de trabalho?
Com fazer a instalao e distribuio de software de uma maneira centralizada, sem ter que
fazer a instalao em cada estao de trabalho da rede?
Como configurar as polticas de senha e polticas de bloqueio de conta para todo o domnio,
de maneira centralizada??
Como configurar scripts de logon e logoff do usurio e scripts para serem executados na
inicializao e/ou desligamento da estao de trabalho??
Nota: importante salientar que as GPOs somente so aplicadas a computadores com o Windows
2000, Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10, Windows Server 2003,
Windows Server 2008, Windows Server 2012 ou Windows Server 2016. Estaes de trabalho que
ainda estejam com verses mais antigas do Windows, tais como Windows 95, Windows 98,
Windows Me ou Windows NT 4.0, tero como nico recurso de configurao o uso de Polices e do
Police Editor. O recurso de GPOs no aplicado a estas verses mais antigas. Ento, em uma rede
onde voc tem estaes de trabalho com as novas verses do Windows e estaes de trabalho com
verses mais antigas (95, 98, Me e NT 4.0), voc ter que utilizar os dois recursos. Polices para as
verses mais antigas do Windows, sempre levando em considerao as limitaes deste recurso, em
comparao com o uso de GPOs e usar GPOs para as estaes de trabalho com verses mais novas
do Windows.
As GPOs incluem configuraes que so aplicadas a nvel de usurio (ou seja, em qualquer estao
de trabalho do domnio em que o usurio faa o logon, as polticas associadas a sua conta de usurio
sero aplicadas) e a nvel de computador (ou seja, qualquer usurio que faa o logon no computador
ter as polticas de computador sero aplicadas).
Por exemplo, se o administrador definiu uma poltica de usurio para o grupo do usurio jsilva, de
tal maneira que o comando Executar no deva estar disponvel para este grupo, em qualquer estao
de trabalho que o jsilva fizer o logon, o comando Executar no estar disponvel. Agora imagine
que o administrador configurou uma poltica de computador, para o grupo de computadores da
seo de contabilidade, definindo que o comando Executar no deve estar disponvel nestes
computadores. Qualquer usurio que faa o logon em qualquer um dos computadores da seo de
contabilidade, no ter disponvel o comando Executar, independentemente dos grupos aos quais
pertena o usurio, uma vez que a poltica est sendo aplicada ao computador (independentemente
do usurio que esteja utilizando-o).
Atribuio de scripts: Com o uso de GPOs o administrador pode configurar um script para
ser executado na inicializao e tambm no desligamento do Windows. Tambm podem ser
definidos scripts de logon e logoff.
Redirecionamento de pastas: O administrador pode configurar uma GPO para que pastas
tais como Documentos, Imagens, Downloads, etc. sejam redirecionadas para uma pasta
compartilhada em um servidor. Com isso os dados do usurio passam a estar disponveis no
servidor e podero ser acessados de qualquer estao de trabalho da rede, na qual o usurio
faa o logon no domnio. Alm disso, com os dados no servidor, possvel criar e
implementar uma poltica de backup centralizada.
Alm da GPO local, podem ser aplicadas GPOs definidas no Active Directory, para aplicao nos
computadores que fazem parte do domnio. Pode inclusive acontecer de haver conflitos de
configuraes entre a GPO local e uma ou mais GPOs do domnio. Neste caso existem
configuraes (que voc aprender mais adiante), que definem, em caso de conflito, se deve ser
aplicada a definio da GPO local ou a definio da GPO do domnio.
Dica: Existe uma GPO padro para o domnio. Configuraes feitas nesta GPO sero aplicadas a
todos os usurios e computadores do domnio. Configuraes gerais, que devam ser aplicadas a
todos os objetos do domnio, devem ser definidas nesta GPO. Voc aprender a configurar a GPO
padro do domnio, nos exemplos prticos deste captulo.
Outra GPO que existe por padro uma GPO associada com a OU Domain Controllers
(Controladores de domnio). Esta GPO aplicada somente aos DCs do domnio. Embora seja
possvel mover a conta de um DC para outra unidade organizacional, este no um procedimento
recomendado. Ao mover a conta de um DC da unidade organizacional Domain Controllers para
outra unidade organizacional, a GPO padro para os DCs deixar de ser aplicado ao DC que foi
movido, pois esta GPO est ligada a unidade organizacional Domain Controllers.
Nota: As polticas definidas no Active Directory so aplicadas somente a objetos do tipo usurio e
computador. Por questes de desempenho, as polticas no podem ser configuradas para objetos do
tipo Grupos. Porm possvel utilizar o mecanismo de permisses de acesso das GPOs, para limitar
a aplicao de uma GPO somente a um ou mais grupos de usurios e computadores, conforme voc
aprender na parte prtica deste captulo, mais adiante.
possvel criar objetos do tipo GPO e associ-los a diferentes objetos do Active Directory. Um
objeto do tipo GPO pode ser criado e associado com um domnio, com uma unidade organizacional
ou com um site. Alm da GPO que pode ser criada localmente em cada computador com o
Windows a partir do Windows 2000, conforme descrito anteriormente.
As GPOs so aplicadas em uma ordem especfica, caso esteja definida mais de uma GPO para o
usurio que estiver fazendo o logon ou para o computador que est sendo inicializado. Por exemplo,
quando o usurio faz o logon, so aplicadas a GPO do domnio e mais (se houver), a GPO da
unidade organizacional a qual pertence a sua conta e a GPO local da estao de trabalho que ele est
utilizando. A ordem de aplicao das GPOs a seguinte:
A GPO local.
GPOs do domnio.
GPOs definidas a nvel de unidade organizacional, da OU pai para a OU filho. Por exemplo,
se foi criada uma OU Diviso Sul e, dentro desta OU as divises: Finanas, Contabilidade
e Vendas e a conta do usurio jsivla est na OU Vendas, primeiro ser aplicada a GPO da
OU Diviso Sul e depois a GPO da OU Vendas.
Por padro, as polticas aplicadas por ltimo, tem precedncia sobre as polticas aplicadas
anteriormente.
Por exemplo, a GPO de domnio aplicada. Em seguida vem a GPO definida na Unidade
Organizacional. Se houver um conflito entre a GPO de domnio e a GPO da unidade organizacional,
ir prevalecer a configurao definida na GPO da unidade organizacional (aplicada por ltimo). O
administrador pode configurar a GPO de domnio (ou outras GPOs em qualquer nvel), para que
suas configuraes no possam ser sobrescritas (substitudas) pelas configuraes de GPOs de nvel
mais baixo, em caso de conflito.
Por exemplo, o administrador pode definir na GPO de domnio, que nenhum usurio ter acesso ao
comando Executar e marcar a GPO onde est esta configurao com a opo No Override (No
Sobrescrever). Com isso, mesmo que exista um GPO em uma unidade organizacional, permitindo o
uso do comando Executar, esta configurao no ser aplicada, uma vez que a GPO do domnio no
permite que sejam alteradas suas configuraes em caso de conflito. Este mecanismo uma
maneira que o administrador tem, de garantir que determinadas configuraes sejam aplicadas em
todo o domnio, independentemente das configuraes que so efetuadas em nvel de unidade
organizacional.
Uma srie de novos recursos foram adicionados no Windows Server 2008. Com as GPOs a histria
no diferente, alis, muitos novos recursos foram adicionados ou aprimorados no Windows Server
2008. Vou apresentar rapidamente uma viso geral desses novos recursos de GPOs e, no decorrer
deste captulo, exploraremos alguns desses novos recursos na prtica.
Objetos de Diretiva de Grupo Iniciais (GPOs Iniciais): esse recurso muito interessante
e funciona basicamente da seguinte forma: suponha que voc crie muitas GPOs, e a maioria
dessas GPOs possuem muitas configuraes em comum. Ao invs de voc ter que
configurar esses mesmos parmetros em cada uma das GPOs, voc pode criar uma Diretiva
de Grupo Inicial e definir todas essas configuraes nessa diretiva. Aps isso, voc cria suas
GPOs baseado nessa Diretiva de Grupo Inicial. Em outras palavras, ao invs de voc criar
uma GPO do zero, voc cria uma GPO baseada em uma GPO Inicial j existente, a qual
possui as configuraes que voc desejar. Imagine um modelo de GPO, a partir do qual voc
cria suas GPOs baseada nesse modelo. para isso que servem as GPOs Iniciais.
Servio Diretiva de Grupo: toda a infraestrutura das GPOs foi aprimorada com o
isolamento completo do Winlogon, proporcionando assim uma nova arquitetura para a
forma na qual as GPOs executam aes de notificao e processamento. Como as GPOs
exigem menos recurso de processamento em segundo plano e menos utilizao de memria,
a aplicao das GPOs mais eficaz e mais rpida.
no Windows Server 2003. E como que voc localiza as opes desejadas rapidamente?
Realmente um processo complicado, e para quem no tem muita experincia com GPOs,
algumas horas podem ser perdidas at que as configuraes desejadas sejam localizadas. No
Windows Server 2008 voc tem a possibilidade de criar filtros e localizar rapidamente as
configuraes desejadas. Tanto nas configuraes de computador quanto nas configuraes
de usurios, dentro da opo Modelos Administrativos temos uma opo chamada Todas as
Configuraes. Essa categoria nos mostra, por padro, todas as opes disponveis nos
Modelos Administrativos. E aqui voc pode criar os filtros desejados para encontrar
rapidamente as configuraes que precisa configurar.
Sobre as novidades de GPOs no Windows Server 2008 basicamente isso. Vamos agora entender
como feito o processamento e aplicao das GPOs.
Porm, mais do que saber configurar as GPOs, o administrador precisa entender exatamente como
as GPOs so processadas e aplicadas s estaes de trabalho e aos usurios. Com este
entendimento, o Administrador tem condies de planejar as polticas a serem implementadas e
tambm de resolver problemas relacionados a aplicao das GPOs. Por isso fundamental que o
administrador entenda, exatamente, como feito o processamento e aplicao das GPOs.
IMPORTANTE:
Este e-book um Trecho de Demonstrao do livro:
Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016
Teoria e Exemplos Prticos e teis - Passo a Passo
https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525
A partir do Windows 2000 Server, Windows Server 2003 e Windows Server 2008, o processamento
das GPOs segue caminhos bem diferentes, os quais sero descritos neste item.
As configuraes das GPOs so armazenadas em uma estrutura de pastas e arquivos dos DCs do
domnio. Estas informaes so gravadas na pasta SYSVOL e so replicadas para todos os DCs do
domnio. Na Figura 1.1 apresento uma viso geral da pasta onde ficam gravadas as informaes
sobre as GPOs do domnio abc.com (C:\WINDOWS\SYSVOL\sysvol\abc.com\Policies), onde o
Windows Server 2008 est instalado na pasta Windows, no drive C:
Cada pasta representa uma determinada GPO. Ao abrir uma destas pastas, ser exibido o seguinte
contedo:
Pasta Adm ou Admx: Contm os arquivos com os templates administrativos. Uma das
novidades no Windows Server 2008 so os templates baseados no padro XML, os quais
usam a extenso .Admx.
Pasta Scripts: Se houver scripts definidos neste template, esta pasta conter os scripts e
arquivos relacionados.
Pasta USER: Contm as configuraes que se aplicam a usurios. Esta pasta contm um
arquivo chamado Registry.pol, o qual contm as configuraes de registry que sero
aplicadas ao usurio quando este fizer o logon (veja os passos de aplicao das polices
durante a inicializao do computador, mais adiante). Quando o computador inicializado,
feito o download do arquivo Registry.pol e so aplicadas as configuraes definidas neste
arquivo. As configuraes so aplicadas na opo HKEY_CURRENT_USER, da registry
modelo (GPT, armazenado na pasta SYSVOL). O modelo define quais opes de configurao
estaro disponveis. Aps criada e configurada, a GPO salva na base de dados do Active
Directory, quando conhecida como GPC Group Policy Container. Estas definies muitas vezes
se confundem. Nos exemplos prticos, quando voc aprender a criar e a configurar as polticas,
usarei sempre o termo genrico GPO.
Seo do usurio.
Seo do computador.
Conforme o prprio nome sugere, estas sees contm as configuraes especficas aplicadas a
usurios ou computadores especificamente. Quando um computador com o Windows 2000,
Windows XP Professional, Windows Vista, Windows 7, Windows 8, Windows 10, Windows
Server 2003, Windows Server 2008, Windows Server 2012 ou Windows Server 2016, pertencente
ao domnio inicializado, o Windows verifica se existem novas GPOs ou alteraes nas GPOs
existentes e aplica as configuraes definidas na seo do computador (independentemente de
algum usurio ter feito o logon ou no). Quando o usurio faz o logon no domnio (em qualquer
computador da rede com uma das verses do Windows descritas no incio do pargrafo), o
Windows verifica se existem GPOs a serem aplicadas a este usurio ou alteraes nas GPOs j
aplicadas e aplica as configuraes definidas na seo de usurio destas GPOs. Estas informaes
ficam gravadas no Active Directory. Conforme descrito anteriormente (estou insistindo neste ponto
porque ele muito importante), uma GPO criada com base nos modelos armazenados na pasta
Sysvol (GPT- Group Policy Templates). Uma vez criada e configurada, a GPO salva no Active
Directory (tornando-se uma GPC Group Policy Container). Quando um usurio faz o logon o
Windows Server 2008 verifica no Active Directory se existem GPOs a serem aplicadas para o
usurio. Quando um computador inicializado, o Windows Server 2008 verifica no Active
Directory, se existem GPOs a serem aplicadas ao computador. isso.
1. GPO Local: Cada computador com o Windows 2000, Windows XP Professional, Windows
Vista, Windows 7, Windows 8, Windows 10, Windows Server 2003, Windows Server 2008,
PROIBIDO O USO DESTE MATERIAL EM SALA DE AULA E EM TREINAMENTOS
Pgina 25 de 34
Tudo Sobre GPOs no Windows Server 2008, Windows Server 2012 e Windows Server 2016
Trecho de Demonstrao!!!
Windows Server 2012 ou Windows Server 2012, possui uma GPO local, a qual aplicada em
primeiro lugar, antes das demais GPOs que possam estar disponveis.
2. GPOs do Site: Em seguida aplicada a GPO associada (ou GPOs associadas, caso exista
mais de uma) ao site do qual faz parte o computador que est sendo inicializado. Lembre-se que um
site do Active Directory definido por uma ou mais sub-redes. O Windows Server 2008 identifica a
qual site pertence um computador, pela identificao de rede do computador (propriedades do
Protocolo TCP/IP).
Com esta seqncia, as GPOs aplicadas por ltimo tem preferncia em relao as que so aplicadas
anteriormente. Por exemplo, se na GPO do domnio est que o usurio no deve ter acesso ao
comando Iniciar -> Executar, porm na GPO da OU do usurio este comando est habilitado, valer
a configurao da GPO da OU, ou seja, comando habilitado, uma vez que esta GPO ser aplicada
por ltimo. O administrador tem meios para fazer com que uma GPO de nvel mais alto, como por
exemplo uma GPO de domnio, no tenha suas configuraes sobrescritas por GPOs de nvel mais
baixo, aplicadas por ltimo, como uma GPO associada a uma unidade organizacional. Para
implementar esta configurao, o administrador marca a opo No Override (No sobrescrever),
conforme voc aprender na parte prtica deste captulo.
Qualquer GPO que estiver associada a um site, domnio ou unidade organizacional (a nica
exceo a GPO local), poder ser configurada com a opo No Override, de tal maneira
que suas configuraes no possam ser sobrescritas pelas GPOs que sero aplicadas depois.
Caso duas GPOs, no mesmo caminho, tenham esta opo marcada, valer a configurao da
GPO que estiver mais acima na hierarquia de objetos. Por exemplo, se uma GPO de domnio
est marcada com a opo No Override e uma GPO de uma unidade organizacional tambm
esta marcada com a opo No Override, em caso de conflito nas configuraes destas duas
GPOs, valer a configurao da GPO de domnio, que a que est mais acima na hierarquia
de objetos do Active Directory.
Importante: Deve ser observado que a propriedade No Override uma propriedade da ligao da
GPO com o domnio, site ou unidade organizacional. Esta no uma propriedade da GPO
propriamente dita. Uma GPO poder ser associada em diferentes locais no Active Directory. Por
exemplo posso associar uma determinada GPO com o domnio e tambm com uma ou mais
unidades organizacionais do domnio. Em uma das associaes posso habilitar a opo No
Override, em outras no e assim por diante. Lembre (principalmente para os exames de certificao
do Windows Server 2008): A propriedade No Override uma propriedade da ligao (objeto do
tipo link) entre uma GPO e um domnio, site ou unidade organizacional e no uma propriedade da
GPO propriamente dita.
O Recurso de Loopback:
Existe um recurso avanado das polices, o qual conhecido como Loopback. Este recurso
especialmente recomendado para computadores que esto conectados rede da empresa mas com
acesso ao pblico externo, como por exemplo em quiosques de informao ao pblico, terminais de
autoatendimento e computadores de salas de treinamentos.
O recurso de Loopback permite que voc defina uma ordem alternativa para aplicao das GPOs.
Lembrando que a ordem padro : local, site, domnio e unidade organizacional. O recurso de
Loopback pode ser configurado com os valores Not configured (No configurado), Enabled
(Habilitado) ou Disabled (Desabilitado). Se este recurso for habilitado, ele poder ser configurado
com as opes Merge ou Replace, conforme descrito a seguir:
Loopback configurado com a opo Replace: Com este mtodo, a lista de execuo
padro (que define a seqncia de aplicao das GPOs) ser substituda pela lista definida
no prprio computador.
Loopback configurado com a opo Merge: Com este mtodo, a lista de execuo padro
(que define a seqncia de aplicao das GPOs) ser concatenada com lista definida no
prprio computador. As GPOs obtidas a partir da lista definida no prprio computador sero
aplicadas por ltimo, o que far com que estas GPOs tenham precedncia em relao as
GPOs definidas pela lista padro, obtida a partir do Active Directory.
Neste item descrevo a ordem de eventos que ocorrem quando um computador inicializado e
quando o usurio faz o logon. Considerando um computador que pertence ao domnio e possui o
Windows 2000, Windows XP Professional, Windows Vista, Windows 7, Windows 8, Windows 10,
Windows Server 2003, Windows Server 2008, Windows Server 2012 ou Windows Server 2016
instalado:
2. Uma lista ordenada de objetos do tipo GPO obtida pelo computador. A maneira como esta
lista obtida, depende dos seguintes fatores:
2.1. O computador deve fazer parte do domnio e obter esta lista a partir das informaes
do Active Directory. Se o computador no fizer parte do domnio, apenas a GPO local ser
aplicada.
2.2. A lista depende de onde est contida a conta do computador, no Active Directory.
Por exemplo, a unidade organizacional onde encontra-se a conta, definir quais GPOs sero
aplicadas, as configuraes de rede definem a qual site pertence o computador e quais GPOs
de site (se houver alguma), sero aplicadas e assim por diante.
2.3. De a lista de GPOs ter sido alterada desde a ltima inicializao. Se a lista de GPOs
no foi alterada, nenhum processamento ser feito.
4. Se houver um script de inicializao configurado ele ser executado. Pode haver mais de um
script de inicializao configurado, conforme veremos na parte prtica. Neste caso eles sero
executados na ordem em que foram definidos e de maneira sncrona, ou seja, um script executado
e somente depois que ele concluir a sua execuo, o prximo ser executado e assim por diante.
Existem tambm um tempo mximo de execuo para cada script, que por padro de 600
segundos. Se o script no terminar a sua execuo neste tempo, ele ser encerrado e o prximo
script (se houver) ser inicializado.
5. Aps terem sido feitos estes processamentos, a tela de logon exibida. O usurio faz o
logon.
6. O usurio digita as suas informaes de logon e autenticado por um dos DCs do domnio.
Aps a validao do usurio, a sua profile carregada.
7. Uma lista ordenada de objetos do tipo GPO obtida pelo usurio. A maneira como esta lista
obtida, depende dos seguintes fatores:
7.1. Se o usurio est fazendo o logon no domnio e, portanto, recebendo a lista de GPOs
a serem aplicadas a partir do Active Directory.
7.2. Se o recurso de Loopback est habilitado e, estando habilitado, qual opo est
definida (Merge ou Replace).
7.3. A lista depende de onde est contida a conta do usurio, no Active Directory. Por
exemplo, a unidade organizacional onde encontra-se a conta, definir quais GPOs sero
plicadas.
7.4. De a lista de GPOs ter sido alterada desde o ltimo logon. Se a lista de GPOs no foi
alterada, nenhum processamento ser feito. Este comportamento pode ser alterado.
9. Os scripts de logon definidos nas GPOs sero executados. Estes scripts so executados sem
que seja exibida uma tela de execuo dos scripts e de maneira sncrona, ou seja, um aps o outro,
conforme descrito para a execuo de scripts de inicializao. O script de logon, definido nas
propriedades da conta do usurio, no Active Directory, ser executado aps a execuo dos scripts
definidos via GPOs. Este script executado e uma janela do Prompt de comando exibida. Observe
que podem ser executados vrios scripts de logon, em seqncia, sendo que estes scripts so
definidos nas GPOs que se aplicam ao usurio e o ltimo script a ser executado o script de logon
definido nas propriedades da conta do usurio, no Active Directory.
10. A rea de trabalho do usurio carregada e o Windows est pronto para ser utilizado.
Pode acontecer uma situao em que o usurio est fazendo o logon em um computador que
pertence a um domnio do NT Server 4.0, porm fazendo o logon em um domnio baseado
no Windows Server 2008 (sendo que existem relaes de confiana entre os domnios).
Neste caso, para as configuraes de computador sero aplicadas as configuraes definidas
no sistema de Polices do NT 4.0 e para o usurio, ser aplicada a parte relativa as
configuraes de usurio, das GPOs definidas no domnio de origem do usurio. Pode
ocorrer o contrrio, ou seja, a conta de computador ser de um domnio do Windows Server
2008 e a conta do usurio de um domnio do NT Server 4.0. Neste caso sero aplicadas as
configuraes de computador, obtidas via GPO e as configuraes de polices definidas para
o usurio, no domnio de origem da conta.
Por padro, as GPOs so aplicadas a partir do objeto pai (a raiz do domnio), passando pelos objetos
filho, at a unidade organizacional onde est a conta do usurio ou do computador. importante
salientar este funcionamento dentro de um mesmo domnio, no existe uma herana de GPOs
entre domnios. Por exemplo, as GPOs aplicadas em um domnio raiz abc.com, no sero herdadas
e aplicadas nos domnios filho, tais como vendas.abc.com e rh.abc.com.
Porm dentro do domnio, o funcionamento o padro descrito nos itens anteriores. Se voc
associar uma GPO com um determinado elemento do Active Directory (um domnio ou uma
unidade organizacional), as configuraes desta GPO tambm sero aplicadas a todos os objetos
contidos nos elementos filho. Por exemplo, se voc aplicar uma GPO no domnio, todos os objetos
do domnio recebero as configuraes desta GPO. Se voc aplicar uma GPO a uma unidade
organizacional, todos os objetos (inclusive objetos contidos em unidades organizacionais dentro da
unidade organizacional que est sendo configurada) contidos nesta unidade organizacional
recebero estas configuraes. Porm importante lembrar que, ao associar uma GPO com um
objeto filho (por exemplo uma unidade organizacional), as configuraes desta GPO iro
sobrescrever as configuraes do objeto Pai (por exemplo o domnio), pois so executadas por
ltimo, a no ser que o mecanismo de No Override tenha sido habilitado na GPO do objeto Pai.
Se nas configuraes de GPO da OU pai, houver itens que esto marcados como No configurados,
a OU filho no ir herdar estes itens no configurados. Lembrando que a maioria das opes pode
ser marcada como Enabled (Habilitada), Disabled (Desabilitada) ou Not deffined (No definida). As
opes que tiverem o valor padro como desabilitado, tambm sero definidas como desabilitado na
OU filho. As opes que estiverem configuradas na OU pai, habilitadas ou desabilitadas (no
confundir com aquelas que tem o valor padro como desabilitada) e as respectivas opes no
estiverem configuradas na OU filho, sero herdadas pela OU filho, com o mesmo valor definido na
OU pai (habilitada ou desabilitada). Se uma determinada opo estiver configurada na OU filho,
valer o que est configurado na OU filho, a no ser que a opo No Override tenha sido definida
na GPO da OU pai. Se as configuraes definidas na OU pai e as polticas definidas em uma OU
filho so compatveis, isso , se no houver conflito, a OU filho ir herdar as definies da OU pai e
ir aplic-las normalmente na OU filho.
A herana pode ser bloqueada tanto em nvel de domnio quanto em nvel de unidade
organizacional. Esta opo configurada nas propriedades do domnio ou da OU respectivamente,
conforme voc aprender na parte prtica deste captulo, mais adiante.
Para forar a herana, ou seja, para fazer com que os objetos filho, obrigatoriamente, tenham que
aplicar as configuraes definidas no objeto pai, voc utiliza a opo No Override, j descrita
anteriormente e que ser exemplificada na parte prtica. Ao marcar esta opo, voc fora todos os
objetos filho a herdarem as configuraes definidas no objeto Pai, mesmo que existam conflitos de
configurao e mesmo que a opo Blocking inheritance tenha sido habilitada no objeto filho.
As opes No Override e Block Policy inheritance devem ser utilizadas com cautela, pois o
uso muito intensivo destes recursos, torna difcil o trabalho de identificar e resolver
problemas de configurao, quando no se est obtendo o resultado desejado.
Neste tpico vamos descrever algumas situaes prticas, onde o uso das configuraes No
Override e Block Policy inheritance se aplica.
Situao 01: Como administrador do domnio abc.com voc gostaria de implementar um conjunto
de configuraes usando GPOs. Este conjunto deve ser aplicado a todos os computadores e usurios
do domnio. Essas configuraes no devem ser sobrescritas por GPOs ligadas a objetos filhos, tais
como GPOs ligadas a OUs do domnio. Qual a soluo para a situao descrita?
Soluo: Esta uma situao de soluo bastante simples e ao mesmo tempo muito comum.
Neste caso, como as configuraes devem ser aplicadas a todos os usurios e computadores
do domnio, elas devem ser feitas na GPO padro do domnio, com a qual voc aprender a
trabalhar mais adiante, na parte prtica deste captulo. Para que estas configuraes no
possam ser sobrescritas por configuraes definidas nas GPOs dos objetos filho, voc deve
acessar a GPO no console GPMC, clicar na guia Escopo, clicar com o boto direito do
mouse no link da GPO e, no menu de opes que exibido, clicar em Imposto. Veremos
exemplos prticos, passo a passo, na parte prtica do captulo, mais adiante.
Situao 02: Como administrador do domnio abc.com voc gostaria de implementar um conjunto
de configuraes usando GPOs. Este conjunto deve ser aplicado a todos os computadores e usurios
dos domnios. Existe uma nica OU do domnio, na qual devem ser aplicadas configuraes
especiais e no devem ser aplicadas as configuraes definidas na GPO padro do domnio. Nesta
OU esto as contas de usurios e computadores do setor de pesquisa, e uma srie de configuraes
especiais de segurana devem ser aplicadas via GPO. Qual a soluo para a situao descrita?
Soluo: Nesta situao o administrador deve configurar a GPO padro do domnio, com as
configuraes que sero utilizadas pela maioria dos usurios e computadores, com exceo
dos usurios e computadores da OU Pesquisa. Na OU pesquisa, crie e configure uma GPO
com as configuraes exigidas pelos usurios e computadores desta OU. Para isso basta
abrir o console GPMC, navegar at o domnio abc.com, clicar com o boto direito do mouse
no domnio abc.com e, no menu de opes que exibido, clicar em Bloquear Herana.
Veremos exemplos prticos, passo a passo, na parte prtica do captulo, mais adiante. Com
esta configurao a OU pesquisa no herdar as definies de GPOs aplicadas ao domnio e
somente sero aplicadas as GPOs definidas na prpria OU Pesquisa, que exatamente o que
deve ser feito para solucionar a questo proposta.
Bem, sobre a teoria inicial de GPOs era isso. Agora voc aprender uma srie de aes prticas
sobre GPOs. Aps as aes prticas falarei sobre uma outra funcionalidade muito importante das
GPOs que a distribuio de software. Durante os exemplos prticos sero apresentados diversos
conceitos relacionados com o tpico que est sendo exemplificado.
IMPORTANTE:
Este e-book um Trecho de Demonstrao do livro:
Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016
Teoria e Exemplos Prticos e teis - Passo a Passo
https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525