Escolar Documentos
Profissional Documentos
Cultura Documentos
DIOGO MOLINA
ÍNDICE
INTRODUÇÃO 03
CONCLUSÃO 37
SEJA MUITO BEM VINDO A ESSE MATERIAL ONDE
EU VOU TE MOSTRAR 9 TEMPLATES DE GPO
INDISPENSÁVEIS PARA QUALQUER AMBIENTE.
05
Na console de edição da GPO, vá até o caminho “Computer
Configuration > Preferences > Control Panel Settings > Local
Users and Groups”:
06
Para esse exemplo iremos utilizar “Grupos” Nas propriedades
do novo grupo local, na primeira opção devemos definir o
campo “Action” como “Create” pois estaremos criando um
novo grupo local.
Em “Group name” definimos qual será o nome para esse grupo.
E já tem também a opção de adicionar os membros para esse
novo grupo local:
07
08
2º Template
GPO CONFIGURAÇÃO PROXY
DO NAVEGADOR
Essa é outra configuração muito comum e muito prática para
qualquer ambiente. Hoje praticamente todos os ambientes
utilizam uma solução de Proxy para controlar as conexões com
a Internet. E essa configuração na grande maioria dos casos
ficam definidas no navegador.
Então conseguimos através de uma única GPO configurar as
opções de Proxy para todos os usuários da Empresa. Para criar
a GPO de configuração de Proxy, siga os passos abaixo:
Na ferramenta de edição da GPO, vá até o caminho “User
Configuration > Preferences > Control Panel Settings >
Internet Settings”.
10
Para o nosso cenário, vamos seguir com a configuração para o
“Internet Explorer 10” Vá até a aba “Connections”, depois em
“LAN settings” e em “Proxy server” selecione o checkbox e
insira o endereço do Servidor Proxy e a porta que ele utiliza.
11
Clique em “Ok”, depois “Ok novamente” e pronto sua GPO já
está pronto, só vincular para o seu ambiente.
12
3º Template
GPO PARA MAPEAMENTO DE
PASTAS NA REDE
Outro recurso extremamente útil fazer via GPO. Qualquer
empresa possui um Servidor de Arquivos, e para os usuários
acessarem os conteúdos que estão armazenados no Servidor
de Arquivos, precisamos mapear esse conteúdo em suas
estações de trabalho. E aqui, novamente a GPO faz isso de uma
forma muito simples.
Para criar a GPO para Mapear pastas da rede, siga os passos
abaixo: Na ferramenta de edição de GPO, vá até “User
Configuration >Preferences > Windows Settings > Drive
Maps”:
14
Em “Action” como estamos criando um mapeamento novo,
selecionamos a opção de “Create” Em “Location” inserimos o
caminho (UNC) onde a pasta está armazenada.
Em “Recconnect” selecionamos a opção se queremos que no
caso de falha de conexão esse mapeamento possa ser
reconectado automaticamente.
Em “Labes as” definimos como o nome desse mapeamento irá
aparecer para os usuários. Em “Driver Letter” inserimos qual a
letra será atribuída para o nosso mapeamento.
Em “Hide/Show this drive” selecionamos a opção de “Show this
drive” para esse mapeamento ficar visível para os usuários:
15
Clicamos em “OK” e pronto a GPO de mapeamento para essa
pasta está pronta, o próximo passo é vincular essa GPO na OU
onde estão os usuários que precisam desse mapeamento.
16
4º Template
GPO PARA CONTROLAR OS
SERVIÇOS DO WINDOWS
Essa GPO é muito utilizada em ambientes que precisam aplicar
Hardening, onde o objetivo é eliminar da máquina serviços que
ela não precisa executar e mesmo assim os serviços ficam
iniciados por padrão.
Para esse tipo de cenário, podemos forçar essa configuração
via GPO. Imagina por exemplo que sua política de Hardening fala
que somente Servidores de Impressão devem ter o serviço de
Spooler iniciado, porém por padrão esse serviço é iniciado em
todas as máquinas.
Conseguimos forçar via GPO que esse serviço seja desabilitado
nas máquinas que não são Servidores de Impressão por
exemplo. Para configurar a GPO de gerenciamento de Serviços,
siga os passos abaixo: Na ferramenta de edição de GPO, vá até
“Computer Configuration > Preferences > Control Panel
Settings > Services”.
18
Clique com o botão direito e “Services” selecione “New” >
“Service”
19
Clique em “OK” e pronto configuração está feita. Agora é só
vincular a GPO na OU que está as contas de computadores que
terão esse serviço desabilitado.
20
5º Template
GPO DE AUDITORIA DE ACESSO A
PASTAS E ARQUIVOS
É muito comum nos ambientes, os administradores precisarem
auditar o que os usuários acessam no File Server, quem deleta
os arquivos, quem altera, etc. Aqui podemos utilizar o poder das
GPO para configurar a auditoria para esses objetos.
Para que o administrador da rede possa identificar quem exclui,
editou determinados arquivos por exemplo. Para criar a GPO, na
ferramenta de edição vá até “Computer Configuration >
Policies > Windows Settings > Security Settings > Local
Policies > Audit Policy”:
22
Clique em “Ok” e pronto. Só vincular essa GPO na OU onde está
a conta de computador do File Server.
23
6º Template
GPO FORÇAR A RESTRIÇÃO DE
MEMBROS DE GRUPOS ADMINISTRATIVOS
Essa GPO é muito interessante, muito útil, porém pouca gente
utiliza, mas eu recomendo sua utilização. Existem grupos
administrativos que precisam ser protegidos, que não
podemos deixar qualquer usuário fazer parte dele.
E para ter esse gerenciamento, temos uma GPO para controlar
os membros desses grupos. A partir do momento que
informamos na GPO quem serão os membros desse grupo, se
alguém adicionar outro membro nesse grupo que não esteja
definido na GPO, ele será automaticamente removido.
Para configurar essa GPO, siga os passos abaixo: Na
ferramenta de edição de GPO, vá até “Computer Configuration
> Windows Settings > Security Settings > Restricted Groups”:
25
Clique com o botão direito e selecione “Add Group” Clique em
“Browse” e selecione o Grupo (no exemplo escolhi o grupo
Domain Admin):
Clique em “Ok”
Agora devemos adicionar os membros desse grupo e se esse
grupo vai pertencer a algum outro grupo.
26
Clique em “Ok”. Pronto a partir de agora, qualquer usuário que
for adicionado nesse grupo e não estiver definido na GPO, será
automaticamente removido. Uma coisa interessante é que a
qualquer momento você pode ir na GPO e adicionar ou remover
os membros.
27
7º Template
GPO CRIAÇÃO DE PASTAS
Uma coisa comum que pegamos nos ambientes é aplicações
que são instaladas remotamente, mas que precisam de alguma
pasta criada previamente. Conseguimos fazer a criação dessas
pastas utilizando as GPO.
Imagina o cenário onde você precisa instalar um novo agente
nas estações de trabalho de todos os funcionários da empresa.
E você vai utilizar uma ferramenta de implementação
automatizada, para não precisar instalar a aplicação máquina
por máquina.
Agora imagina que essa aplicação, para ser instalada precisa
que uma pasta seja criada em cada máquina antes da
instalação. Já pensou ter que ir em máquina por máquina
criando essa pasta? Não dá né. Não se preocupe conseguimos
fazer isso através das GPO. Para isso siga o processo abaixo:
Na ferramenta de edição de GPO, vá até “Computer
Configuration > Preferences > Windows Settings > Folders”.
29
Clique com o botão direito em “Folder”, selecione “New” e
“Folder”:
32
Em “Action” selecione a opção “Create”.
Em “Source Files” selecione a origem do arquivo a ser copiado.
Em “Destination File” selecione onde o arquivo será copiado.
33
9º Template
GPO CRIAÇÃO CONEXÃO VPN
Esse recurso é muito útil, principalmente agora que boa parte
das empresas estão com os colaboradores trabalhado
remotamente. Podemos também criar as conexões VPN
através de GPO.
Para não ter que conectar máquina por máquina para fazer as
configurações para os colaboradores conectarem na VPN,
podemos aplicar isso através de GPO. Para criar essa GPO, siga
os passos abaixo: Na ferramenta de edição de GPO, vá até
“User Configuration > Preferences > Control Panel Settings >
Network Options”.
35
Em “Action” selecione a opção de “Create” E defina todas as
configurações para conexão na VPN e depois clique Ok.
36
Chegamos ao fim dos 9 Templates de GPO que eu recomendo
que você utilize no seu ambiente. É claro que existem muito,
mais muito mais GPOs, mas essas são GPO estratégicas que
eu recomendo para qualquer ambiente.
Uma coisa interessante quando falamos de GPO é que há
necessidade de conhecer toda a estrutura de como funciona
as GPO no Active Directory. Não se contente em apenas ser um
criador de GPO, não se contente em criar várias e várias GPO,
sem entender como funciona todo o fluxo de aplicação, pois
isso vai te ajudar e muito um dia que você precisar fazer a
resolução de um problema que envolva uma GPO.
O grande problema é que a maioria dos profissionais de
trabalham com GPO, só sabem criar, não entende a estrutura. E
isso envolve um conhecimento mais profundo do próprio
Active Directory e até do DNS. A verdade é que se você
somente ficar na criação de GPOs, sem conhecer a fundo toda
essa estrutura que está por trás, dificilmente você vai
conseguir se destacar na área, na sua empresa...
...dificilmente será um profissional reconhecido. Dificilmente
quando você entrar em uma sala de reunião, as pessoas vão
querer ouvir sua opinião sobre um problema, um projeto. Mas se
você tem esse DESEJO de ser um profissional reconhecido, um
profissional que todos vão querer ouvir para dar soluções,
direcionamento nos projetos, em outras palavras, um
profissional desejado pelas empresas, e transformar seu
conhecimento em dinheiro no bolso..
37
SEU PRÓXIMO PASSO
@molina_diogo_ti