9 Templates

de GPO que se você ainda

não utiliza, precisa
começar agora
Guia prático para você implementar as
melhores GPO hoje mesmo

DIOGO MOLINA
 ÍNDICE
INTRODUÇÃO 03

GPO PARA CRIAÇÃO DE CONTAS DE USUÁRIOS

1° TEMPLATE
OU GRUPOS LOCAIS
04

2° TEMPLATE GPO CONFIGURAÇÃO PROXY DO NAVEGADOR 09

3° TEMPLATE GPO PARA MAPEAMENTO DE PASTAS NA REDE 13

GPO PARA CONTROLAR OS SERVIÇOS DO

4° TEMPLATE
WINDOWS
17

GPO DE AUDITORIA DE ACESSO A PASTAS E

5° TEMPLATE
ARQUIVOS
21

GPO FORÇAR A RESTRIÇÃO DE MEMBROS DE

6° TEMPLATE
GRUPOS ADMINISTRATIVOS
24

7° TEMPLATE GPO CRIAÇÃO DE PASTAS 28

GPO CRIAÇÃO DE CÓPIA DE ARQUIVOS PARA

8° TEMPLATE
OUTRAS MÁQUINAS
31

9° TEMPLATE GPO CRIAÇÃO CONEXÃO VPN 34

CONCLUSÃO 37
SEJA MUITO BEM VINDO A ESSE MATERIAL ONDE
EU VOU TE MOSTRAR 9 TEMPLATES DE GPO
INDISPENSÁVEIS PARA QUALQUER AMBIENTE.

As GPO são recursos poderosos que temos dentro de um

ambiente com Active Directory, e se você quer REALMENTE se
destacar no gerenciamento de ambientes com Active
Directory, você vai precisar dominar esse recurso.
Em outras palavras, ou você aprende como funciona e como
gerenciar ambiente com as GPO ou dificilmente vai conseguir
se tornar um Administrador de ambientes com Active
Directory.
E para te ajudar nesse processo, estou te dando aqui nesse
material um ATALHO para você seguir. São 9 templates de GPO
que você precisa conhecer, que você precisa implementar no
seu ambiente.
Mas a verdade é que poucos profissionais, até os mais
experientes conhece essas GPO que eu vou te mostrar nesse
E-BOOK, então aproveite essa OPORTUNIDADE, entende cada
um desses templates e implante no seu ambiente HOJE
MESMO.
Vamos lá?
03
1º Template
GPO PARA CRIAÇÃO DE CONTAS DE
USUÁRIOS OU GRUPOS LOCAIS
É muito comum em ambientes a necessidade de criação de
alguns usuários locais ou grupos locais, seja para uma
aplicação especifica, seja para uma necessidade específica.
Só que por se tratar de uma criação local, no passado havia a
necessidade de logar em cada uma das máquinas para fazer a
criação desse usuário ou grupo. Agora imagina um cenário onde
havia a necessidade de criar essa conta em centenas de
máquinas, olha só o esforço manual que haveria.
Mas podemos fazer isso de uma forma muito simples utilizando
as GPOs. Fazendo com que a GPO faça a criação de um usuário
ou grupos locais para quantas máquinas a gente precisar.
Para criar essa GPO é só seguir os passos abaixo:
Abra a ferramenta GPMC crie a GPO e clique em “Edit”:

05
Na console de edição da GPO, vá até o caminho “Computer
Configuration > Preferences > Control Panel Settings > Local
Users and Groups”:

Clique com o botão direito em “Local Users and Groups” e

selecione se você vai criar um usuário local ou um grupo local:

06
Para esse exemplo iremos utilizar “Grupos” Nas propriedades
do novo grupo local, na primeira opção devemos definir o
campo “Action” como “Create” pois estaremos criando um
novo grupo local.
Em “Group name” definimos qual será o nome para esse grupo.
E já tem também a opção de adicionar os membros para esse
novo grupo local:

Feita essas configurações, é só clicar em “Ok” e pronto, é só

associar essa GPO na OU onde estão as contas de computador
que terão esse grupo local criado:

07
08
2º Template
GPO CONFIGURAÇÃO PROXY
DO NAVEGADOR
Essa é outra configuração muito comum e muito prática para
qualquer ambiente. Hoje praticamente todos os ambientes
utilizam uma solução de Proxy para controlar as conexões com
a Internet. E essa configuração na grande maioria dos casos
ficam definidas no navegador.
Então conseguimos através de uma única GPO configurar as
opções de Proxy para todos os usuários da Empresa. Para criar
a GPO de configuração de Proxy, siga os passos abaixo:
Na ferramenta de edição da GPO, vá até o caminho “User
Configuration > Preferences > Control Panel Settings >
Internet Settings”.

Clique com o botão direito em “Internet Settings” e selecione

“New” aqui você deverá selecionar a versão do Internet
Explorer.

10
Para o nosso cenário, vamos seguir com a configuração para o
“Internet Explorer 10” Vá até a aba “Connections”, depois em
“LAN settings” e em “Proxy server” selecione o checkbox e
insira o endereço do Servidor Proxy e a porta que ele utiliza.

11
Clique em “Ok”, depois “Ok novamente” e pronto sua GPO já
está pronto, só vincular para o seu ambiente.

12
3º Template
GPO PARA MAPEAMENTO DE
PASTAS NA REDE
Outro recurso extremamente útil fazer via GPO. Qualquer
empresa possui um Servidor de Arquivos, e para os usuários
acessarem os conteúdos que estão armazenados no Servidor
de Arquivos, precisamos mapear esse conteúdo em suas
estações de trabalho. E aqui, novamente a GPO faz isso de uma
forma muito simples.
Para criar a GPO para Mapear pastas da rede, siga os passos
abaixo: Na ferramenta de edição de GPO, vá até “User
Configuration >Preferences > Windows Settings > Drive
Maps”:

Clique com o botão direito em “Drive Maps” e selecione

“Mapped Drive”:

14
Em “Action” como estamos criando um mapeamento novo,
selecionamos a opção de “Create” Em “Location” inserimos o
caminho (UNC) onde a pasta está armazenada.
Em “Recconnect” selecionamos a opção se queremos que no
caso de falha de conexão esse mapeamento possa ser
reconectado automaticamente.
Em “Labes as” definimos como o nome desse mapeamento irá
aparecer para os usuários. Em “Driver Letter” inserimos qual a
letra será atribuída para o nosso mapeamento.
Em “Hide/Show this drive” selecionamos a opção de “Show this
drive” para esse mapeamento ficar visível para os usuários:

15
Clicamos em “OK” e pronto a GPO de mapeamento para essa
pasta está pronta, o próximo passo é vincular essa GPO na OU
onde estão os usuários que precisam desse mapeamento.

16
4º Template
GPO PARA CONTROLAR OS
SERVIÇOS DO WINDOWS
Essa GPO é muito utilizada em ambientes que precisam aplicar
Hardening, onde o objetivo é eliminar da máquina serviços que
ela não precisa executar e mesmo assim os serviços ficam
iniciados por padrão.
Para esse tipo de cenário, podemos forçar essa configuração
via GPO. Imagina por exemplo que sua política de Hardening fala
que somente Servidores de Impressão devem ter o serviço de
Spooler iniciado, porém por padrão esse serviço é iniciado em
todas as máquinas.
Conseguimos forçar via GPO que esse serviço seja desabilitado
nas máquinas que não são Servidores de Impressão por
exemplo. Para configurar a GPO de gerenciamento de Serviços,
siga os passos abaixo: Na ferramenta de edição de GPO, vá até
“Computer Configuration > Preferences > Control Panel
Settings > Services”.

18
Clique com o botão direito e “Services” selecione “New” >
“Service”

Na opção “Startup” selecione “Disabled” pois queremos

desabilitar o serviço de Print Spooler. Na opção “Service name”
selecione qual o serviço que você quer desabilitar (você pode
utilizar os “...” para localizar o serviço).
Como só estamos desabilitando um serviço, não precisamos
definir mais nenhuma configuração.

19
Clique em “OK” e pronto configuração está feita. Agora é só
vincular a GPO na OU que está as contas de computadores que
terão esse serviço desabilitado.

20
5º Template
GPO DE AUDITORIA DE ACESSO A
PASTAS E ARQUIVOS
 É muito comum nos ambientes, os administradores precisarem
auditar o que os usuários acessam no File Server, quem deleta
os arquivos, quem altera, etc. Aqui podemos utilizar o poder das
GPO para configurar a auditoria para esses objetos.
Para que o administrador da rede possa identificar quem exclui,
editou determinados arquivos por exemplo. Para criar a GPO, na
ferramenta de edição vá até “Computer Configuration >
Policies > Windows Settings > Security Settings > Local
Policies > Audit Policy”:

A politica de auditoria que devemos habilitar é a “Audit object

access” de dois clique nela e selecione o check box “Define
these policy settings” e escolha se você vai auditar somente
os acesso que tiveram sucesso ou se vai auditar as falhas de
acesso também (por exemplo, um usuário tentando fazer uma
ação que ele não tem permissão.

22
Clique em “Ok” e pronto. Só vincular essa GPO na OU onde está
a conta de computador do File Server.

23
6º Template
GPO FORÇAR A RESTRIÇÃO DE
MEMBROS DE GRUPOS ADMINISTRATIVOS
Essa GPO é muito interessante, muito útil, porém pouca gente
utiliza, mas eu recomendo sua utilização. Existem grupos
administrativos que precisam ser protegidos, que não
podemos deixar qualquer usuário fazer parte dele.
E para ter esse gerenciamento, temos uma GPO para controlar
os membros desses grupos. A partir do momento que
informamos na GPO quem serão os membros desse grupo, se
alguém adicionar outro membro nesse grupo que não esteja
definido na GPO, ele será automaticamente removido.
Para configurar essa GPO, siga os passos abaixo: Na
ferramenta de edição de GPO, vá até “Computer Configuration
> Windows Settings > Security Settings > Restricted Groups”:

25
Clique com o botão direito e selecione “Add Group” Clique em
“Browse” e selecione o Grupo (no exemplo escolhi o grupo
Domain Admin):

Clique em “Ok”
Agora devemos adicionar os membros desse grupo e se esse
grupo vai pertencer a algum outro grupo.

26
Clique em “Ok”. Pronto a partir de agora, qualquer usuário que
for adicionado nesse grupo e não estiver definido na GPO, será
automaticamente removido. Uma coisa interessante é que a
qualquer momento você pode ir na GPO e adicionar ou remover
os membros.

27
7º Template
GPO CRIAÇÃO DE PASTAS
Uma coisa comum que pegamos nos ambientes é aplicações
que são instaladas remotamente, mas que precisam de alguma
pasta criada previamente. Conseguimos fazer a criação dessas
pastas utilizando as GPO.
Imagina o cenário onde você precisa instalar um novo agente
nas estações de trabalho de todos os funcionários da empresa.
E você vai utilizar uma ferramenta de implementação
automatizada, para não precisar instalar a aplicação máquina
por máquina.
Agora imagina que essa aplicação, para ser instalada precisa
que uma pasta seja criada em cada máquina antes da
instalação. Já pensou ter que ir em máquina por máquina
criando essa pasta? Não dá né. Não se preocupe conseguimos
fazer isso através das GPO. Para isso siga o processo abaixo:
Na ferramenta de edição de GPO, vá até “Computer
Configuration > Preferences > Windows Settings > Folders”.

29
Clique com o botão direito em “Folder”, selecione “New” e
“Folder”:

Em “Action” selecione “Create” Em “Path” selecione onde você

quer criar essa pasta, no exemplo estou criando a pasta na
unidade C: e a pasta vai se chamar “LAB”.

Clique “Ok” e pronto, só vincular essa GPO na OU onde está

as contas de computadores que vão ter essa pasta criada.
30
8º Template
GPO CRIAÇÃO DE CÓPIA DE
ARQUIVOS PARA OUTRAS MÁQUINAS
Essa GPO é interessante, imagina o cenário onde você tem uma
aplicação e essa aplicação é instalada em 20 máquinas. E o
desenvolvedor fez uma alteração e para essa alteração dar
certo, precisa copiar uma nova DLL para as 20 máquinas.
Para evitar de ter que logar em cada máquina para copiar a DLL,
podemos utilizar a GPO. Só um ponto de atenção, essa GPO não
costuma funcionar muito bem para arquivos grandes, por
exemplo, ISO. Para criar essa GPO, siga os passos abaixo: Na
ferramenta de edição de GPO, vá até “Computer Configuration
> Preferences > Windows Settings > Files”.

Clique com o botão direito em “Files” selecione “New” e “Files”.

32
Em “Action” selecione a opção “Create”.
Em “Source Files” selecione a origem do arquivo a ser copiado.
Em “Destination File” selecione onde o arquivo será copiado.

Clique “Ok” e pronto.

33
9º Template
GPO CRIAÇÃO CONEXÃO VPN
Esse recurso é muito útil, principalmente agora que boa parte
das empresas estão com os colaboradores trabalhado
remotamente. Podemos também criar as conexões VPN
através de GPO.
Para não ter que conectar máquina por máquina para fazer as
configurações para os colaboradores conectarem na VPN,
podemos aplicar isso através de GPO. Para criar essa GPO, siga
os passos abaixo: Na ferramenta de edição de GPO, vá até
“User Configuration > Preferences > Control Panel Settings >
Network Options”.

Clique com o botão direito em “Network Options” selecione

“New” e “VPN Connections”

35
Em “Action” selecione a opção de “Create” E defina todas as
configurações para conexão na VPN e depois clique Ok.

Pronto, vincule a GPO na OU que tem as contas de usuários

que fazem a conexão por GPO.

36
Chegamos ao fim dos 9 Templates de GPO que eu recomendo
que você utilize no seu ambiente. É claro que existem muito,
mais muito mais GPOs, mas essas são GPO estratégicas que
eu recomendo para qualquer ambiente.
Uma coisa interessante quando falamos de GPO é que há
necessidade de conhecer toda a estrutura de como funciona
as GPO no Active Directory. Não se contente em apenas ser um
criador de GPO, não se contente em criar várias e várias GPO,
sem entender como funciona todo o fluxo de aplicação, pois
isso vai te ajudar e muito um dia que você precisar fazer a
resolução de um problema que envolva uma GPO.
O grande problema é que a maioria dos profissionais de
trabalham com GPO, só sabem criar, não entende a estrutura. E
isso envolve um conhecimento mais profundo do próprio
Active Directory e até do DNS. A verdade é que se você
somente ficar na criação de GPOs, sem conhecer a fundo toda
essa estrutura que está por trás, dificilmente você vai
conseguir se destacar na área, na sua empresa...
...dificilmente será um profissional reconhecido. Dificilmente
quando você entrar em uma sala de reunião, as pessoas vão
querer ouvir sua opinião sobre um problema, um projeto. Mas se
você tem esse DESEJO de ser um profissional reconhecido, um
profissional que todos vão querer ouvir para dar soluções,
direcionamento nos projetos, em outras palavras, um
profissional desejado pelas empresas, e transformar seu
conhecimento em dinheiro no bolso..
37
 SEU PRÓXIMO PASSO

EU TE CONVIDO A CONHECER MEU SUPER PACOTE DE

TREINAMENTOS, ONDE VOCÊ VAI APRENDER TUDO
SOBRE ACTIVE DIRECTORY (INCLUSIVE GPO), DNS
SERVER, VPN E HYPER-V.
 
Se você acha que está pronto para esse próximo passo na
sua carreira, clique no botão abaixo e conhece esse SUPER
Pacote de Treinamentos.

CONHEÇA O SUPER PACOTE

DE TREINAMENTOS
Me acompanhe no
Instagram

@molina_diogo_ti