Escolar Documentos
Profissional Documentos
Cultura Documentos
A Diretiva de grupo no Microsoft Windows Server 2003 permite a uma organização reduzir
o Custo Total de Propriedade (TCO – Total Cost of Ownership) permitindo aos
administradores melhorar e controlar a área de trabalho do usuário. Eles podem fazer isto
criando um ambiente de área de trabalho gerenciado que é feito de acordo com o nível de
experiência e responsabilidades do trabalho do usuário. O TCO é o custo que está envolvido
na administração das redes de computadores pessoais distribuídas.
-224-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Introdução ao Gerenciamento dos Ambientes de Usuário
Gerenciar o ambiente do usuário significa controlar o que os usuários podem fazer quando
conectados à rede. Você faz isto controlando sua área de trabalho, conexões de rede, e
interfaces do usuário. Você controla o ambiente do usuário para assegurar que ele tem o que
precisa para executar seus trabalhos, mas não tem a capacidade de corromper ou configurar
incorretamente seus ambientes.
Os tipos de configurações de Diretivas de grupo que você geralmente usa para gerenciar o
ambiente do usuário são as configurações dos modelos administrativos, configurações de
scripts, redirecionamento de pastas, e configurações de segurança. Você configura isto na
Diretiva de Grupo nas extensões Modelos Administrativos e Scripts.
Se você usou a Diretiva de grupo para configurar o ambiente do usuário em um recipiente
do serviço de diretório do Active Directory, tal como uma unidade organizacional (UO),
qualquer computador ou usuário que você adicionar àquela UO terá as Diretivas de Grupo
aplicadas automaticamente.
-226-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
se aplicam ao computador são escritas para a chave SOFTWARE/Policies ou para a
chave \SOFTWARE\Microsoft\Windows\CurrentVersion\Policies.
• HKEY_CURRENT_USER (HKCU).
Quando um usuário efetua logon em um computador, as configurações da Diretiva de
Grupo contidas dentro da parte de configuração do usuário dos GPOs que se aplicam ao
usuário são escritas para a chave SOFTWARE\Policies ou para a chave
\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies.
Client computer starts, retrieves a list of GPOs that apply, and user logs on
Logon dialog box (for computer) or the desktop (for user) appears
O processo que um computador executando o Windows Server 2003 usa para aplicar as
configurações do modelo administrativo durante o processo de inicialização é o seguinte:
-227-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
1. Quando um computador cliente inicia, ele retorna a lista das GPOs que contém as
configurações do computador e determina a ordem na qual aplicá-las.
2. O computador cliente se conecta à pasta SYSVOL no controlador de domínio, e então
localiza o arquivo Registry.pol na pasta Machine no GPT para cada GPO que contém as
configurações do modelo administrativo que se aplicam ao computador.
3. O computador cliente escreve as configurações do registro e seus valores no arquivo
Registry.pol na sub-árvore do registro apropriada. O computador continua inicializando
o sistema operacional e força as configurações do registro.
4. Quando as configurações do registro são forçadas, a caixa de diálogo logon aparece.
-228-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
-229-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Nota: o Windows Server 2003 fornece a você a capacidade de adicionar novos modelos
aos Modelos Administrativos (Modelos Administrativos) na Diretiva de Grupo se os
modelos pré-configurados não fornecerem as configurações que você precisa.
Existem muitas configurações de Diretivas de Grupo que você pode usar para personalizar o
ambiente de área de trabalho do usuário. Dar segurança à área de trabalho envolve
configurar um computador para que ele possa executar somente um número limitado de
funções que os usuários não podem modificar. Por exemplo, um computador em um
quiosque de informações públicas pode ser configurado para executar somente um Web
browser.
A seguinte tabela descreve as configurações de Diretivas de Grupo comuns a configurar o
travamento da área de trabalho do usuário, e exemplos dos possíveis efeitos destas
configurações.
Você pode restringir os recursos de rede para os quais os usuários possam obter acesso. A
seguinte tabela fornece tipos de Diretivas de Grupo que contêm configurações para travar o
acesso aos recursos de rede, e exemplo dos possíveis efeitos destas configurações.
A seguinte tabela fornece os tipos de configurações que são possíveis para travar o acesso
do usuário às ferramentas administrativas e aplicações, e exemplos dos possíveis efeitos
destas configurações.
Além de selecionar um estado para uma configuração, você pode precisar fornecer
informações adicionais, como o modo para o processamento de Loopback, ou o tamanho
para uma cota de disco.
Os estados Habilitado e Desabilitado podem criar conflitos nas GPOs. Isto ocorre, por
exemplo, quando uma configuração é habilitada em uma GPO e a mesma configuração é
desabilitada em outra GPO – mas ambas GPOs se aplicam aos mesmos usuários ou
computadores. A menos que a herança da Diretiva de Grupo seja modificada, a última
configuração aplicada prevalecerá.
Para obter acesso à guia Diretiva para uma configuração de modelo administrativo,execute
os seguintes passos:
1. Clique com o botão direito no site, domínio ou OU apropriada e então clique em
Propriedades.
2. Na guia Diretiva de Grupo, crie ou selecione uma GPO existente, e então clique em
Edit.
3. Em Diretiva de Grupo, expanda Configurações do Computador ou Configurações do
Usuário, e então expanda Ferramentas Administrativas até você localizar as
configurações que quer modificar, por exemplo, Configuração do Usuário\Modelos
Administrativos\Área de Trabalho.
4. No painel de detalhes da Diretiva de Grupo, clique duas vezes na configuração de
Diretiva de Grupo que você quer modificar.
Nota: Quando você criar um GPO que contiver somente configurações para os usuários ou
computadores, você pode desabilitar o outro tipo de configuração (usuário ou computador)
para agilizar o processamento das configurações de Diretiva de Grupo. Você pode
desabilitar as configurações na guia Geral da caixa de diálogo Propriedades para a GPO.
-234-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Objetivos
Depois de completar este laboratório, você será capaz de configurar, aplicar, e testar
Diretivas de Grupos baseadas no registro usando os Modelos Administrativos.
Pré-requisitos
Configuração do Laboratório
Cenário
Você precisa determinar configurações de Diretivas de Grupos adicionais para um
controlador de domínio no seu domínio. As configurações de Diretiva de grupo que você
precisa aplicar precisam satisfazer as seguintes exigências de gerenciamento:
As cotas de disco devem estar habilitadas para todos os volumes para que o uso do
espaço em disco possa ser facilmente observado.
O limite das cotas de disco não deve ser forçado. Nenhum limite será forçado até você
poder determinar a média de utilização de disco para o servidor e instalar capacidade
adicional de disco, se for necessário.
Os usuários não devem ser capazes de executar o assistente Nova Tarefa para que o
servidor de aplicações não seja impactado.
Objetivo
Criar uma GPO (Objeto de Diretiva de Grupo) vinculada a uma OU do controlador de
domínio, e configurar a GPO para satisfazer as solicitações do cenário. Depois da GPO ser
configurada, reinicie seu computador para assegurar que as configurações de Diretiva de
Grupo sejam aplicadas.
-235-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
-236-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Cenário
Os usuários do telemarketing são geralmente trabalhadores temporários que recebem
pedidos por telefone e inserem os dados do cliente dentro de um banco de dados usando o
software instalado nos computadores pré-configurados. Você precisa implementar
configurações de Diretiva de Grupo que forcem as seguintes restrições para os usuários do
telemarketing.
Evitar que os usuários mapeiem drives de rede.
Evitar que os usuários usem Meus Locais de Rede para navegar pela rede da corporação.
Evitar que os usuários façam alterações nas configurações em Barra de Tarefas & Menu
Iniciar.
Evita que os usuários acessem o ícone Windows Update. O departamento de serviços de
informação deve instalar todos os softwares atualizados para os computadores da
corporação.
Habilitar os usuários a executar o assistente New Task para agendar um ferramenta
embutida para executar tarefas de manutenção no banco de dados.
Objetivo
Criar uma GPO vinculada à OU do Telemarketing, e configurar a GPO com as
configurações de Diretiva de Grupo que satisfazem as restrições descritas no cenário.
• Evitar que os usuários usem Meus • Oculte o ícone Meus Locais de Rede
Locais de Rede para navegar na rede da na Diretiva Área de Trabalho, que
corporação. está localizada nas pasta Área de
• Evitar que os usuários façam alterações Trabalho.
nas configurações da Barra de Tarefas e • Desabilite as alterações para as
Menu Iniciar. configurações do menu Barra de
• Evitar que os usuários acessem Tarefas & Menu Iniciar, que está
Windows Update. localizada na pasta Menu Iniciar &
• Habilitar os usuários a executarem o Barra de Tarefas.
assistente Nova Tarefa. • Desabilite e Remova links para a
Diretiva do Windows Update, que
está localizada na pasta Menu Iniciar
& Barra de Tarefas.
• Desabilite a Diretiva Criação de
Nova Tarefa, que está localizada na
pasta Componentes do Windows\
Agendador de Tarefas.
b. Feche todas as janelas abertas, e então
reinicie seu computador.
Cenário
Agora que as GPOs exigidas estão no lugar e configuradas, você precisa confirmar que as
configurações de Diretiva de Grupo sejam aplicadas como esperado.
Objetivo
Faça logon como administrador para verificar quais configurações de Diretivas de Grupo
estão em efeito no computador. Então faça logon como um usuário do Telemarketing para
verificar quais configurações de Diretiva de conta estão em efeito para os membros da OU
Telemarketing.
Startup/Shutdown
Startup/Shutdown
Computer
Computer
Scripts
Scripts
Computer
Computer Configuration
Configuration
Startup/Shutdown
Startup/Shutdown
User
User User
User Configuration
Configuration
Logon/Logoff
Logon/Logoff Logon/Logoff
Logon/Logoff
Você também pode usar scripts para limpar a área de trabalho quando os usuários fizerem
logoff e desligarem os computadores. Você pode remover conexões que você adicionou
com scripts de logon ou inicialização para que o computador seja deixado no mesmo estado
de quando o usuário o iniciou.
Execute scripts pré-existentes já configurados para gerenciar ambientes de usuário até
você ter configurado outras configurações de Diretiva de Grupo para substituir as
tarefas que estes scripts executam.
Nota: você pode atribuir scripts de logon individualmente para as contas de usuário na caixa
de diálogo Propriedades para cada conta de usuário. Entretanto, a Diretiva de Grupo é o
método preferido de executar scripts porque você pode gerenciar estes scripts centralmente,
junto com scripts de logoff, desligamento e inicialização.
O Windows Server 2003 executa múltiplos scripts de cima para baixo como listado na guia
Script da caixa de diálogo Propriedades de Script. Se existir um conflito entre scripts
diferentes, o último script processado prevalece. O Windows Server 2003 processa e
executa os scripts determinados na Diretiva de Grupo na seguinte ordem:
-240-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Logon Properties
Scripts
Name Parameters
Development.vbs Up
Up
Information Services.vbs Down
Add
Add the
the script
script to
to Add...
the
the appropriate GPO
appropriate GPO
Edit...
Remove
Implementar um script significa usar Diretivas de Grupos para adicionar um script para a
configuração apropriada no GPT. Isto determina qual script executar durante a inicialização,
desligamento, logon ou logoff.
-241-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Para copiar um script para dentro do GPT apropriado, execute os seguintes passos:
1. Localize o script no seu HD usando o Windows Explorer.
2. Abra a GPO apropriada na Diretiva de Grupo, expanda Configuração do Computador
(para os scripts de inicialização e desligamento) ou o Configuração de Usuário (para os
scripts de logon e logoff), expanda Configurações de Windows, e então clique em
Scripts.
3. Clique duas vezes no tipo de script apropriado (Inicialização, Desligamento, Logon ou
Logoff), e então clique em Mostrar Arquivos.
4. Copie o arquivo de script do Windows Explorer para a janela que aparece, e então feche
a janela.
Objetivos
Depois de completar este laboratório, você será capaz de determinar scripts para os usuários
e os computadores usando as Diretivas de Grupos.
Pré-requisitos
Configuração do Laboratório
Cenário
Todos os usuários de Vendas na sua organização precisam executar scripts para configurar
seus ambientes de área de trabalho no logon e executar tarefas de limpeza no logoff. Alguns
usuários devem executar scripts adicionais para configurar seus computadores para usar
softwares apropriados. Você precisa determinar a seguinte Diretiva de Grupo de script para
os usuários na OU (Unidade Organizacional) Sales e suas OUs filhas:
Todos os usuários na OU Sales e nos OUs filhas devem executar o script de Vendas
logon.vbs no logon.
-242-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Todos os usuários na OU Sales e nos OUs filhas devem executar o script de Vendas
logoff.vbs no logoff.
Todos os usuários na OU Retail devem executar o script Retail Logon.vbs e o script
Retail Config.vbs no logon.
Objetivo
Neste exercício, você criará um GPO para a OU Sales e um segundo GPO para a OU Retail.
Você configurará estas configurações nos dois GPOs para executar os scripts exigidos.
Cenário
Agora que os GPOs exigidos foram configurados, você precisa confirmar que as
configurações de Diretivas de Grupos sejam aplicadas como o esperado.
Objetivo
Faça logon usando uma conta de usuário na OU Sales para verificar se os scripts certos
foram executados. Faça logon como um usuário na OU Retail para verificar se os scripts
certos foram executados.
-245-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Tarefas Passos Detalhados
1. Faça logon como um usuário de Sales a. Faça logon como Salesuser com a
para verificar se o script Sales Logon é senha ‘senha’.
executado.
O script de Logon Sales foi executado? Por que?
3. Faça logon como um usuário de Retail a. Faça logon como Retailuser com a
para verificar se Sales Logon, Retail Logon senha ‘senha’.
e Retail Config foram executados.
O Windows Server 2003 permite a você redirecionar pastas, que são parte do perfil de
usuário, do HD local do usuário para uma localização central em um servidor.
Redirecionando estas pastas, você pode assegurar que os dados dos usuários estejam
localizados em um ponto central e que os dados do usuário estejam disponíveis para eles
independentemente dos computadores nos quais eles fazem logon. É mais fácil gerenciar e
fazer backup de dados centralizados. As pastas que você pode redirecionar são Meus
Documentos, Dados de Aplicativos, Desktop e Menu Iniciar. O Windows Server 2003 cria
automaticamente estas pastas e as torna parte do perfil de usuário para cada conta.
Quando você redireciona pastas, você altera a localização de armazenamento das pastas do
HD local no computador do usuário para uma pasta compartilhada em um servidor de
arquivos da rede. Depois de você redirecionar uma pasta para um servidor de arquivos, ela
ainda aparece para o usuário como se estivesse armazenada no HD local. Você pode
redirecionar quatro pastas que são parte do perfil de usuário: Meus Documentos, Dados de
Aplicativos, Desktop e Menu Iniciar.
-246-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
A seguinte tabela descreve as vantagens do redirecionamento de pastas:
Os dados na pasta estão disponíveis para o usuário sem levar em consideração o
computador cliente no qual ele fez logon.
Os dados na pasta são armazenados centralmente, assim os arquivos que eles contém são
mais fáceis de gerenciar e fazer backup.
O tráfego de rede é reduzido. Quando o usuário tem perfil de usuário ambulante e as
pastas não são redirecionadas, as alterações dos dados nas pastas são copiados entre o
computador local e o servidor cada vez que o usuário faz logon e logoff. O tráfego de
rede é gerado somente quando um usuário acessa um arquivo.
Os arquivos na pasta redirecionada, diferente dos arquivos que são parte de um perfil
ambulante, não são copiados e salvos no computador onde o usuário faz logon. Isto
significa que quando um usuário faz logon em um computador cliente, nenhum espaço
de armazenamento é usado para armazenar estes arquivos, e os dados que podem ser
confidenciais não permanecem em um computador cliente.
Dependendo das necessidades do usuário e de sua rede, você pode redirecionar todas ou
algumas das pastas que podem ser redirecionadas. A seguinte tabela descreve o que cada
pasta contém e fornece razões específicas para o redirecionamento de pastas.
OK Cancel Apply
Para armazenar as pastas Meus Documentos, Dados de Aplicativos, Desktop e Menu Iniciar
em um servidor, use a extensão Redirecionamento de Pastas na Diretiva de Grupo.
-248-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
3. Clique com o botão direito no nome da pasta que você quer redirecionar, clique em
Propriedades, e então forneça a localização e o caminho para a localização.
Opções Descrição
Configuração Nenhuma diretiva administrativa especificada. Selecionada por
padrão.
Básico. Redirecione todas as pastas na mesma localização.
Avançado. Especifica as localizações para vários grupos de segurança.
Esta opção permite a você redirecionar as pastas dos usuários para os
quais esta GPO se aplica e para especificar localizações diferentes,
dependendo do grupo.
Localização da Esta opção aparece quando você seleciona Básico. Esta opção
pasta destino redireciona todas as pastas para a mesma localização e permite a você
especificar um caminho UNC (Universal Naming convention) para a
nova localização. Você pode usar a seguinte sintaxe para criar pastas
alvo chamadas depois de um nome de logon de usuário:
\\server_name\share_name\%username%
Membros do Esta opção aparece quando você seleciona Avançado. Esta opção
Grupo de especifica as localizações de vários grupos de segurança. Os grupos de
Segurança segurança e o caminho para as pastas redirecionadas aparecem aqui.
Como as opções anteriores, você pode usar
\\server_name\share_name\%username% para criar pastas chamadas
depois de um nome de logon de usuário.
Configuração Efeitos
Concede ao usuário direitos exclusivos Habilitada por padrão, esta configuração
sobre a pasta. assegura que somente o usuário e o sistema
têm direitos para a pasta. Os
administradores não têm acesso para a
pasta.
Se a caixa de verificação estiver limpa, a
nova localização da pasta reterá os direitos
da localização anterior.
Mover o conteúdo da pasta para a nova Habilitada por padrão, esta configuração
localização. move o conteúdo da pasta para a nova
localização na próxima vez que a Diretiva
de Grupo for aplicada.
Se esta caixa de verificação estiver limpa, a
pasta será redirecionada, mas o conteúdo
-249-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
permanecerá na localização anterior.
Diretiva de Remoção. Por padrão, quando uma Diretiva de Grupo
de redirecionamento de pasta é removida, a
pasta permanece na localização
redirecionada.
Você também pode escolher retornar as
pastas redirecionadas para o local da
localização do perfil de usuário quando a
Diretiva de Grupo for removida.
Cenário
Depois de completar este laboratório, você será capaz de implementar o redirecionamento
de pastas usando Diretiva de Grupo.
Pré-requisitos
Antes de trabalhar neste laboratório, você deve ter conhecimento de Diretiva de Grupo.
Configuração do laboratório
Para completar este laboratório, você precisará do seguinte:
Um computador executando o Windows Server 2003 Advanced Server que é
configurado como um controlador de domínio.
Cenário
A Northwind Traders tem uma diretiva de que somente os dados nos servidores serão
copiados (backup). Por preocupação com a tolerância a falhas, você não quer que o conteúdo
da pasta Meus Documentos seja armazenado localmente. Você quer redirecionar a pasta para
o diretório raiz do usuário no servidor porque nos servidores é executado um backup todas as
tardes.
Objetivo
Neste exercício, você redirecionará a pasta Meus Documentos para uma nova localização na
rede usando a Diretiva de Grupo.
-250-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
1. continua... c.Feche a caixa de diálogo Meus
Documentos Propriedades, e então
abra a pasta Meus Documentos.
d. Crie um arquivo de texto na pasta
Meus Documentos.
e. Feche Meus Documentos, e então
faça Logoff.
2. Redirecione a pasta Meus Documentos a. Faça Logon como administrador com
para um usuário na OU Sales. Use as a senha ‘senha’.
seguintes configurações para redirecionar a b. Na raiz do drive X (onde X é a sua
pasta. partição de trabalho do Windows
• Configuração: Básica – Redireciona Server 2003 ), crie uma pasta
a pasta de todos para a mesma chamada Redirect, e então
localização. compartilhe-a com as permissões
• Local: padrão.
\\computer\redirect\%username% c. Abra o Usuários e Computadores do
(onde computer é o nome do seu Active Directory a partir do menu
computador). Ferramentas Administrativas.
• Diretiva Removida: Redireciona a d. Na árvore de console, expanda seu
pasta de volta para a localização do domínio, clique com o botão direito
perfil de usuário local quando a em Sales, e então clique em
Diretiva de Grupo é removida. Propriedades.
e. Na guia Diretiva de Grupo, crie uma
nova GPO chamada Folder Redirect
Policy, e então clique em Editar.
f. Sobre Configuração de Usuário,
expanda Configurações do Windows,
expanda Redirecionamento de Pastas,
clique com o botão direito em Meus
Documentos, e então clique em
Propriedades.
g. Na lista Configurações, clique em
Básica – Redirecionar as pastas de
todos para a mesma localização.
h. Sobre Localização da Pasta Destino,
digite \\computer\redirect\%username%
(onde computer é o nome do seu
computador), e então clique na guia
Configurações.
Registre as configurações padrões para o redirecionamento da pasta no espaço abaixo.
Para importar um modelo de segurança para dentro de uma GPO, execute as seguintes tarefas:
1. Identifique um modelo de segurança do Windows Server 2003 existente que contenha a
configuração de segurança exigida, ou crie um novo modelo de segurança.
2. Importe o modelo de segurança para dentro de uma GPO:
a. Expanda Configuração do Computador, expanda Configurações do Windows, e então
expanda Configurações de Segurança.
-253-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
b. Clique com o botão direito em Configurações de Segurança, e então clique em
Importar Diretivas.
c. Selecione o modelo de segurança que você quer importar e então clique em OK.
3. Analise as configurações de segurança para cada computador para determinar se as
configurações de segurança atuais devem ser modificadas para satisfazer as solicitações da
sua organização.
Objetivos
Pré-requisitos
Antes de trabalhar neste laboratório, você deve ter conhecimento sobre Diretivas de Grupo.
Configuração de Laboratório
-254-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Um computador executando o Windows Server 2003 Server configurado como um
controlador de domínio.
Cenário
Você é o administrador de um domínio na organização Northwind Traders, e é solicitado a
implementar as seguintes configurações de segurança nos seus controladores de domínios:
As senhas devem ter pelo menos seis caracteres.
Uma caixa de diálogo deve aparecer durante o processo de logon, informando aos
usuários que o acesso não autorizado não é permitido.
Os administradores do domínio devem ter somente a conta de Administrador como
membro.
O Telnet, que está configurado para iniciar manualmente, deve estar desabilitado.
Objetivo
Neste exercício, você criará um novo GPO, que será vinculado à OU dos controladores de
domínio e chamado de Configuração de Diretivas de Segurança Adicionais, para implementar
as configurações de segurança exigidas.
-257-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
6. continua... c. Se necessário, altere sua senha de
volta para ‘senha’.
d. Adicione a conta de usuário
Convidado ao grupo Administradores
do Domínio.
e. Force uma atualização da Diretiva de
Grupo abrindo um prompt de
comando, digitando
secedit/refreshpolicy machine_policy
/enforce e então pressione ENTER.
A conta de usuário Convidado ainda é listada como um membro do grupo Administradores
do Domínio? Por que?
Você pode encontrar problemas quando usar Diretiva de Grupo para gerenciar o ambiente do
usuário. Aqui estão alguns dos problemas mais comuns que você pode encontrar, junto com
as estratégias sugeridas para resolvê-los:
Configurações do registro usando os Modelos Administrativos não são aplicadas. O
possível problema pode ser que as configurações dos modelos administrativo não são
aplicadas para o usuário ou computador afetado pela Diretiva de Grupo. Outro possível
problema pode ser que a replicação do Active Directory ainda não tenha sido completada
no controlador de domínio. Execute Gpresult.exe no modo Verbose no computador cliente
para confirmar que as configurações da Diretiva de Grupo do modelo Administrativo não
estão aplicadas.
Se o texto “The user (or computer) received “Registry” settings from these GPOs.”
não aparecer, nenhuma configuração do modelo administrativo foi aplicada. Se o texto
não aparecer, verifique se a conta de usuário ou computador tem pelo menos
permissão de Leitura e de Aplicar Diretivas de Grupo em todas as GPOs que devem
ser processadas.
Verifique, também, as GPOs relacionadas para ver se as caixas de Configuração de
Usuário ou Configuração do Computador estão desabilitadas.
Finalmente, verifique se o modo de processamento Loopback está habilitado.
Os scripts não executam.
-258-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Confirme se as extensões do lado do cliente dos Scripts de Diretivas de Grupo estão
executando. Execute Gpresult.exe no modo Verbose, e examine a saída sob as
configurações User received Scripts a partir destes cabeçalhos do GPO. Se o texto não
aparecer na saída, verifique as permissões nas GPOs relacionadas e verifique as
questões de herança.
Se o texto aparecer na saída, mas certos scripts não forem executados, assegure-se de
que o SYSVOL está sendo replicado para todos os controladores do domínio.
Práticas Recomendadas
-259-
Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Revisão
1. Você não quer que os usuários sejam capazes de abrir o Painel de Controle e obter acesso
ao Vídeo ou qualquer das outras aplicações. O que você faz?
2. Sua rede não precisa mais da configuração de modelo administrativo de usuário que você
configurou. O que você faz para alterar o registro de volta para as configurações
anteriores?
-260-