08 Gerenciar Ambientes de Usußrio

Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário
Módulo 8: Usando a Diretiva de Grupo para Gerenciar

Ambientes de Usuário
Visão geral
Introdução ao Gerenciamento de Ambientes de Usuário

Introdução aos Modelos Administrativos
Usando Modelos Administrativos na Diretiva de Grupo
Determinando Scripts com Diretivas de Grupo
Usando Diretiva de Grupo para Redirecionar Pastas
Usando Diretiva de Grupo para Assegurar o Ambiente de Usuário
Resolvendo Problemas do Gerenciamento do Ambiente do Usuário
Práticas Recomendadas
A Diretiva de grupo no Microsoft Windows Server 2003 permite a uma organização reduzir
o Custo Total de Propriedade (TCO – Total Cost of Ownership) permitindo aos
administradores melhorar e controlar a área de trabalho do usuário. Eles podem fazer isto
criando um ambiente de área de trabalho gerenciado que é feito de acordo com o nível de
experiência e responsabilidades do trabalho do usuário. O TCO é o custo que está envolvido
na administração das redes de computadores pessoais distribuídas.
O Microsoft Windows Server 2003 Server inclui muitas configurações de diretivas de

grupos que fornecem aos administradores um grande controle sobre as configurações do
computador. A diretiva de grupo permite aos administradores especificar as configurações
para gerenciar o ambiente da área de trabalho para grupos de computadores e usuários. A
Diretiva de grupo é flexível e inclui configurações baseadas no registro, segurança,
instalação de software, script, inicialização e desligamento do computador, logon e logoff
do usuário e redirecionamento de pastas.
No final deste módulo,você será capaz de:

Identificar como a Diretiva de Grupo simplifica o gerenciamento do ambiente de
usuário.
Identificar o propósito e o processo de aplicar Modelos Administrativos.
Usar Modelos Administrativos na Diretiva de Grupo para determinar diretivas baseadas
no registro e configurar ambientes do computador e do usuário.
Atribuir Scripts, tais como inicialização, desligamento, logon e logoff com Diretiva de
Grupo para controlar os ambientes de usuários.
Usar a Diretiva de Grupo para redirecionar pastas para uma localização central da rede.
Usar a Diretiva de grupo para aplicar Diretivas de segurança para dar segurança ao
ambiente do usuário.
Resolver problemas de gerenciamento dos ambientes de usuário usando a Diretiva de
Grupo.
Aplicar as Práticas Recomendadas para usar a Diretiva de Grupo para gerenciar os
ambientes do usuário.
-224-
Introdução ao Gerenciamento dos Ambientes de Usuário
Control What Users Can Do in Their Environments

Use Group Policy Settings to Control User Environments
Apply Group Policy to a Container to Immediately Define a
User Environment for a New User or Computer
Registry
HKEY_LOCAL_MACHINE My
My
HKEY_CURRENT_USER Documents
Documents
Administrative Script Redirecting Security
Templates Settings Settings User Folders Settings Manage User Environments
Configure and Centrally Manage User Environments
z Enforce standard configurations
z Limit user access to portions of the operating system
z Ensure that users always have their data
z Restrict the use of Windows 2000 tools and components
z Populate user desktops
z Secure the user environment
Gerenciar o ambiente do usuário significa controlar o que os usuários podem fazer quando
conectados à rede. Você faz isto controlando sua área de trabalho, conexões de rede, e
interfaces do usuário. Você controla o ambiente do usuário para assegurar que ele tem o que
precisa para executar seus trabalhos, mas não tem a capacidade de corromper ou configurar
incorretamente seus ambientes.
Os tipos de configurações de Diretivas de grupo que você geralmente usa para gerenciar o
ambiente do usuário são as configurações dos modelos administrativos, configurações de
scripts, redirecionamento de pastas, e configurações de segurança. Você configura isto na
Diretiva de Grupo nas extensões Modelos Administrativos e Scripts.
Se você usou a Diretiva de grupo para configurar o ambiente do usuário em um recipiente
do serviço de diretório do Active Directory, tal como uma unidade organizacional (UO),
qualquer computador ou usuário que você adicionar àquela UO terá as Diretivas de Grupo
aplicadas automaticamente.
Para gerenciar e configurar centralmente o ambiente do usuário, você pode executar as

seguintes tarefas:
Forçar as configurações padrões. As configurações da Diretiva de Grupo fornecem um
caminho eficiente para forçar padrões, tais como scripts de logon e configurações de
senha. Por exemplo, você pode evitar que os usuários façam alterações nas suas áreas de
trabalho que podem tornar seu ambiente de usuário mais complexo do que o necessário.
Limitar o acesso do usuário às partes selecionadas do sistema operacional. Você pode
evitar que os usuários abram o Painel de Controle ou desliguem seus computadores.
Evitando que o usuário acesse as opções de configuração e os componentes importantes
do sistema operacional, você reduz a possibilidade dos usuários corromperem seus
sistemas, e assim, o número de chamadas ao suporte técnico.
Assegurar que os usuários sempre tenham suas áreas de trabalho e dados pessoais.
Gerenciando as configurações de área de trabalho do usuário com as diretivas baseadas
no registro, você assegura que os usuários tenham os mesmos ambientes mesmo se eles
efetuarem logon em um computador diferente. Você pode controlar como o Windows
Server 2003 gerencia os perfis de usuário, o que inclui como os dados pessoais do
-225-
usuário se tornam disponíveis. Redirecionando as pastas do usuário do HD local do
usuário para uma localização central em um servidor, você pode assegurar que os dados
do usuário estejam disponíveis para ele mesmo que ele efetue logon em outro
computador.
Restrinja o uso das ferramentas e componentes no Windows Server 2003 . Estas
ferramentas e componentes incluem o Microsoft Internet Explorer, Windows Explorer, e
o Microsoft Management Console (MMC). Você pode assegurar que os usuários nunca
vejam estas ferramentas a menos que eles precisem realmente delas.
Preencha a área de trabalho do usuário. Você pode assegurar que os usuários tenham
seus arquivos, conexões de rede e atalhos exigidos.
Dê segurança ao ambiente do usuário. Através do uso da Diretiva de Grupo no Active
Directory, os administradores podem aplicar centralmente as configurações de segurança
exigidas para proteger o ambiente do usuário. No Windows Server 2003 , você pode
usar a extensão Configurações de Segurança (Configurações de Segurança)o na Diretiva
de Grupo para definir as configurações de segurança para as Diretivas de segurança
local e de domínio.
Introdução ao Modelo Administrativo
Quais São os Modelos Administrativos?

Como os Computadores Aplicam as Configurações do Modelo Administrativo
Para configurar e gerenciar eficientemente os ambientes do usuário, assegure que os

usuários podem obter acesso somente aos recursos necessários para eles executarem os seus
trabalhos. Você pode usar os Modelos Administrativos para simplificar os ambientes do
usuário e evitar que os usuários corrompam seus ambientes ou gastem tempo em aplicações,
Softwares ou arquivos desnecessários.
Usando as extensões dos Modelos Administrativos na Diretiva de Grupo, você pode
configurar os ambientes para múltiplos usuários e computadores de uma vez, e então contar
com o Windows Server 2003 para implementar e aplicar continuamente estas
configurações.
O Que São os Modelos Administrativos?
Os Modelos Administrativos são uma coleção de configurações de Diretivas de Grupo que

modificam as configurações do registro. Você usa os Modelos Administrativos na Diretiva
de Grupo para fazer configurações do usuário e computador baseadas no registro que
controlam o ambiente de trabalho do usuário. Isto inclui controlar a área de trabalho do
usuário, as opções de interface, componentes do sistema operacional, e os valores padrão
para as configurações dos aplicativos.
As configurações do modelo administrativo modificam os valores dos seguintes locais do
registro:
• HKEY_LOCAL_MACHINE (HKLM).
Quando um computador inicia, as configurações da Diretiva de Grupo contidas dentro
da parte da Configuração do Computador dos objetos da Diretiva de Grupo (GPOs) que
-226-
se aplicam ao computador são escritas para a chave SOFTWARE/Policies ou para a
chave \SOFTWARE\Microsoft\Windows\CurrentVersion\Policies.
• HKEY_CURRENT_USER (HKCU).
Quando um usuário efetua logon em um computador, as configurações da Diretiva de
Grupo contidas dentro da parte de configuração do usuário dos GPOs que se aplicam ao
usuário são escritas para a chave SOFTWARE\Policies ou para a chave
\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies.
O Windows Server 2003 aplica ambas as configurações de Diretiva de Grupo e quaisquer

configurações de registro padrão para os usuários e computadores. Se existirem conflitos, as
configurações de Diretiva de Grupo prevalecem. Se o GPO contiver as configurações que
afetam o usuário ou a conta de computador sem serem aplicadas (por exemplo, se ela for
removida ou se a conta for movida para uma localização que não é afetada pela GPO), as
configurações são removidas do registro na próxima vez que a Diretiva de Grupo for
atualizada, e as configurações do registro padrão local aplicadas.
Como os Computadores Aplicam as Configurações do Modelo

Administrativo
Registry.pol Files Contain the Template Settings and Values

Registry
Registry GPO List
.pol
.pol
Registry
Registry 1 Registry
Registry
Sysvol
Sysvol Registry
Registry
.pol
HKCU
HKCU .pol
.pol .pol
.pol
.pol
HKLM
HKLM 4 2 GPT
GPT
Client computer starts, retrieves a list of GPOs that apply, and user logs on
Client computer connects to SYSVOL and locates the Registry.pol files
Client computer writes to the registry subtrees (HKLM and HKCU)
Logon dialog box (for computer) or the desktop (for user) appears
As configurações do modelo administrativo e os valores para as configurações que o

Windows Server 2003 aplica são armazenadas em um arquivo Registry.pol no modelo de
Diretiva de Grupo (GPT) nos controladores de domínio. Existem dois arquivos: um para as
configurações do computador e um para as configurações do usuário.
Nota: O caminho para o arquivo Registry.Pol é

systemroot\SYSVOL\sysvol\domain_name\Policies\GPO_GUID_identifier\machine ou
\user.
O processo que um computador executando o Windows Server 2003 usa para aplicar as
configurações do modelo administrativo durante o processo de inicialização é o seguinte:
-227-
1. Quando um computador cliente inicia, ele retorna a lista das GPOs que contém as
configurações do computador e determina a ordem na qual aplicá-las.
2. O computador cliente se conecta à pasta SYSVOL no controlador de domínio, e então
localiza o arquivo Registry.pol na pasta Machine no GPT para cada GPO que contém as
configurações do modelo administrativo que se aplicam ao computador.
3. O computador cliente escreve as configurações do registro e seus valores no arquivo
Registry.pol na sub-árvore do registro apropriada. O computador continua inicializando
o sistema operacional e força as configurações do registro.
4. Quando as configurações do registro são forçadas, a caixa de diálogo logon aparece.
O seguinte processo é repetido durante o processo de logon do usuário:

1. Depois do usuário ter iniciado o processo de logon, o computador cliente retorna a lista
de GPOs que contém as configurações do usuário, e determina e ordem na qual elas se
aplicam.
2. O computador cliente se conecta à pasta SYSVOL no controlador de domínio
autenticado, e então localiza os arquivos Registry.pol na pasta User no GPT para cada
GPO que contém as configurações dos modelos administrativos que se aplicam ao
usuário.
3. O computador cliente escreve as configurações do registro e seus valores no arquivo
Registry.pol para a sub-árvore do registro apropriada. O computador continua o
processo de logon e força as configurações do registro.
4. Quando as configurações do registro forem forçadas, a área de trabalho é exibida.
As configurações na seção Diretiva de Grupo do registro se aplicam mesmo quando

existirem conflitos com as configurações do registro padrão local.
Usando Modelos Administrativos na Diretiva de Grupo
Tipos de Configuração do Modelo Administrativo

Configurações para Travar a Área de Trabalho
Configurações para Travar o Acesso do Usuário aos Recursos de Rede.
Configurações para Travar o Acesso do Usuário às Aplicações e Ferramentas
Administrativas
A Configuração do Modo de Processamento Loopback na Diretiva de Grupo.
Implementando Modelos Administrativos
Configurações de modelo administrativo são configurações de Diretiva de Grupo baseadas

no registro que você pode usar para comandar as configurações do registro que controlam o
comportamento e a aparência da área de trabalho, incluindo os componentes do sistema
operacional e as aplicações. Existem configurações de modelos administrativos disponíveis
para as contas de computador e de usuário.
Você pode controlar o ambiente de usuário fazendo configurações administrativas
específicas para travar o ambiente do usuário. Você somente deve travar a área de trabalho
dos usuários que executam tarefas definidas e específicas, por exemplo, os usuários que
executam telemarketing, entradas de dados ou estão em treinamento.
-228-
Tipos de Configurações de Modelos Administrativos
As configurações do modelo administrativo são organizadas dentro de sete tipos, as quais

existem para as configurações do computador e do usuário. As configurações do
computador estão mais focalizadas no gerenciamento do Windows Server 2003 , enquanto
que as configurações do usuário são mais focalizadas em controlar como os usuários podem
afetar seu ambiente de área de trabalho.
A seguinte tabela fornece os tipos de configurações na extensão Modelos Administrativos.
Tipo de Controla Disponível para

Configuração
Componentes As partes do Windows Server 2003 e suas ferramentas Computadores e
do Windows e componentes para os quais os usuários podem obter usuários
acesso. Isto inclui controlar o acesso de usuários ao
MMC.
Sistema Procedimentos de Logon e Logoff. Com as Computadores e
configurações do sistema, você pode gerenciar a usuários
Diretiva de Grupo e os intervalos de atualização, cotas
de discos habilitadas, e implementar processamento de
loopback.
Rede As propriedades das conexões de rede e conexões Computadores e
discadas, que incluem acesso à rede compartilhada. usuários
Impressoras As configurações da impressora que podem forçar a Computadores
impressora a ser publicada automaticamente no Active
Directory e podem desabilitar impressão baseada na
Web.
Menu Iniciar & Quais recursos os usuários podem acessar a partir do Usuários
Barra de Tarefas menu Iniciar. Por exemplo, removendo o comando
Executar, os usuários não poderão executar aplicações
para as quais não existam ícones ou atalhos. Você
também pode tornar o menu Iniciar somente leitura e
desabilitar e capacidade do usuário de fazer alterações.
Área de O Active Desktop. Você pode controlar a capacidade do Usuários
Trabalho usuário de obter acesso à rede e à Internet ocultando os
ícones de área de trabalho apropriados e controlando o
que eles podem fazer com sua pasta Meus Documentos.
Painel de Muitas aplicações no Painel de Controle. Isto inclui Usuários
Controle restringir o uso do Adicionar/Remover Programas,
Vídeo e Impressoras.
-229-
Nota: o Windows Server 2003 fornece a você a capacidade de adicionar novos modelos
aos Modelos Administrativos (Modelos Administrativos) na Diretiva de Grupo se os
modelos pré-configurados não fornecerem as configurações que você precisa.
Configurando o Travamento da Área de Trabalho
Existem muitas configurações de Diretivas de Grupo que você pode usar para personalizar o
ambiente de área de trabalho do usuário. Dar segurança à área de trabalho envolve
configurar um computador para que ele possa executar somente um número limitado de
funções que os usuários não podem modificar. Por exemplo, um computador em um
quiosque de informações públicas pode ser configurado para executar somente um Web
browser.
A seguinte tabela descreve as configurações de Diretivas de Grupo comuns a configurar o
travamento da área de trabalho do usuário, e exemplos dos possíveis efeitos destas
configurações.
Localização e configuração da Diretivas Ação

de Grupo
Oculta todos os ícones na área de trabalho Oculta todos os itens da área de trabalho,
(Configuração do Usuário\Modelos incluindo menus, pastas, e atalhos. Isto
Administrativos\Área de Trabalho) fornece aos usuários uma interface de
usuário simplificada.
Não salva as configurações na saída Desabilita e capacidade de salvar qualquer

(Configuração do usuário\ Modelos configuração feita durante a sessão de
Administrativos\Área de Trabalho) logon. As configurações originais são
restauradas a cada vez que os usuários
fizerem logoff e logon novamente.
Oculta drives específicos em Meu Remove os ícones representando os drives
Computador (Configuração do Usuário\ selecionados do Meu Computador,
Modelos Administrativos\ Componentes do Windows Explorer e Meu Computador
Windows\ Windows Explorer) Places. A letra do drive não aparece na
caixa de diálogo Abrir de nenhuma
aplicação. Ocultando os drives, você ajuda a
limitar os usuários a executar somente as
aplicações que estão no menu Iniciar.
Remove o comando Executar do menu Remove o comando Executar do menu
Iniciar (Configuração do Usuário\ Modelos Iniciar. Entretanto, os usuários podem ainda
Administrativos\ Áreas de Trabalho) acessar este comando através do
Gerenciador de Tarefas.
Proíbe os usuários de executarem a opção Previne os usuários de alterar as
Vídeo no Painel de Controle (Configuração configurações do vídeo, como o papel de
do Usuário\ Modelos Administrativos\ parede, protetor de tela, ou temas de cores.
Painel de Controle\ Vídeo) Esta configuração também reduz os
problemas que podem aparecer quando os
usuários alteram as configurações da sua
-230-
área de trabalho.
Desabilita e remove links para o Windows Remove o comando Windows Update do
Update (Configuração do Usuário\ Modelos menu Configurações . Entretanto, este
Administrativos\ Áreas de Trabalho) comando ainda estará disponível no Internet
Explorer. Remover este comando ajuda a
evitar que os usuários apliquem
atualizações não autorizadas ou alterar seu
sistema operacional.
Desabilitar as alterações para a barra de Remove o comando Menu Iniciar & Barra
tarefa e as configurações do menu Iniciar de Tarefas no menu Configurações. Isto
(Configuração do Usuário\ Modelos ajuda a evitar que os usuários cancelem
Administrativos\ Menu Iniciar& Barra de qualquer alteração que você fez no menu
Tarefa) Iniciar.
Desabilitar/Remover a comando Desligar Evita que os usuários desliguem e reiniciem
(Configuração do Usuário\ Modelos o Windows Server 2003 . Isto é útil nos
Administrativos\ Áreas de Trabalho) computadores que precisam executar
continuamente, como um computador em
uma biblioteca pública.
Configurações para Bloquear o Acesso do Usuário aos Recursos de Rede
Você pode restringir os recursos de rede para os quais os usuários possam obter acesso. A
seguinte tabela fornece tipos de Diretivas de Grupo que contêm configurações para travar o
acesso aos recursos de rede, e exemplo dos possíveis efeitos destas configurações.
Configuração e localização da Diretiva de Ação

Grupo
Oculta o ícone Meus Locais de Rede na área Remove Meus Locais de Rede da área de
de trabalho (Configuração do Usuário\ trabalho e desabilita o suporte para os
Modelos Administrativos\ Áreas de nomes de arquivos UNC. Usando scripts de
Trabalho). logon para mapear os drives de rede, você
pode controlar os recursos de rede para os
quais os usuários têm acesso.
Remove os comandos Mapear Unidade de Remove as opções Mapear Unidade de
Rede e Desconectar Unidade de Rede rede e Desconectar Unidade de Rede a
(Configuração do Usuário\ Modelos partir do Windows Explorer. Esta
Administrativos\ Componentes do configuração também remove o assistente
Windows\ Windows Explorer) Adicionar Locais de Rede a partir de Meus
Locais de Rede. Entretanto, os usuários
ainda podem se conectar aos computadores
usando o comando Executar no menu
Iniciar.
Opção Menu Ferramentas: Desabilita as Remove o comando Opções da Internet a
Opções da Internet... (Configuração do partir do Internet Explorer. Isto evita que os
Usuário\ Modelos Administrativos\ Internet usuários modifiquem suas configurações do
Explorer\ Menus dos Navegadores) Internet Explorer.
-231-
Você também pode desabilitar páginas
individuais usando as configurações de
Diretivas de Grupo localizadas sobre
Configuração do Usuário\ Modelos
Administrativos\ Componentes do
Windows\ Internet Explorer\ Painel de
Controle da Internet.
Configurando o Bloqueio do Acesso do Usuário para as Ferramentas

Administrativas e Aplicações
A seguinte tabela fornece os tipos de configurações que são possíveis para travar o acesso
do usuário às ferramentas administrativas e aplicações, e exemplos dos possíveis efeitos
destas configurações.
Configuração e localização da Diretiva de Ação

Grupo
Remove o menu Pesquisar do menu Iniciar Remove o menu Pesquisar do menu Iniciar.
(Configuração do Usuário\ Modelos Entretanto, o menu Pesquisar ainda
Administrativos\ Menu Iniciar\ Barra de aparecerá no Windows Explorer e no
Tarefas) Internet Explorer. Remover o comando
Pesquisar ajuda a evitar que os usuários
façam pesquisas de grande largura de banda
através da rede.
Remove o menu Executar do menu Iniciar Remove o comando Executar do menu
(Configuração de Usuário\ Modelos Iniciar. Isto torna mais difícil para o usuário
Administrativos\ Menu Iniciar\ Barra de executar aplicações não autorizadas.
Tarefas)
Desabilita o Gerenciador de tarefas Evita que o usuário inicie aplicações usando
(Configuração de Usuário\ Modelos o Gerenciador de Tarefas.
Administrativos\ Sistema\ Logon/Logoff)
Executar somente as aplicações permitidas Evita que os usuários executem outras
do Windows (Configuração de Usuário\ aplicações a não ser aquelas que você
Modelos Administrativos\ Sistema) especificou nas configurações da Diretiva
de grupo. Esta restrição se aplica somente
às aplicações que são iniciadas através do
Windows Explorer.
Remove o menu Documentos do menu Remove o comando Documentos do menu
Iniciar (Configuração de Usuário\ Modelos Iniciar.
Administrativos\ Menu Iniciar\ Barra de
Tarefas)
Desabilitar alterações para a Barra de Remove o comando Menu Iniciar & Barra
Tarefas e configurações do menu Iniciar de Tarefas do menu Configurações. Isto
(Configuração de Usuário\ Modelos ajuda a evitar que os usuários cancelem
Administrativos\ Menu Iniciar\ Barra de qualquer alteração que você fez no menu
Tarefas) Iniciar.
-232-
Ocultar grupos de programas comuns no Remove os grupos de programas comuns do
menu Iniciar (Configuração de Usuário\ menu Iniciar. Isto significa que os usuários
Modelos Administrativos\ Menu Iniciar\ recebem somente os itens do menu Iniciar
Barra de Tarefas) especificados no seu perfil de usuário.
A Configuração do Modo de Processamento de Loopback na Diretiva de
Grupo
O modo de processamento de Loopback é uma configuração de Diretiva de Grupo que força

as configurações da Configuração de Usuário nas GPOs que se aplicam ao computador, em
vez de forçar as configurações da Configuração de Usuário nas GPOs que se aplicam ao
objeto do usuário.
A Diretiva de Grupo é normalmente aplicada a um usuário ou computador baseado em onde
o objeto do usuário ou objeto do computador está localizado no Active Directory. Por
exemplo, o usuário cujo objeto estiver localizado na OU Sales poderá efetuar logon em um
computador. O objeto de computador está localizado na OU Servers. As configurações da
Diretiva de Grupo que são aplicadas aos usuários são baseadas em quaisquer GPOs que são
vinculadas à OU Sales, e as GPOs vinculadas a qualquer recipiente pai. As configurações
que são aplicadas ao computador são baseadas em qualquer GPO que está vinculada à OU
Servers, e GPOs vinculadas a qualquer recipiente pai. Entretanto, este comportamento
padrão pode não ser apropriado para certos computadores, como os servidores ou
computadores que são dedicados a uma certa tarefa. Por exemplo, as aplicações que são
atribuídas a um usuário não devem estar disponíveis automaticamente em um servidor.
Existem dois modos possíveis para o processamento de loopback:
Modo Substituição (Replace Mode): Processa somente as GPOs que se aplicam ao
computador.
Modo Intercalação (Merge Mode): Processa primeiro as GPOs que se aplicam ao objeto
do usuário, e então as GPOS que se aplicam ao objeto do computador. Se houver
conflitos de configuração, as configurações do objeto do computador na GPO serão
forçadas, porque aquelas configurações de GPO são aplicadas por último.
Para habilitar o modo de processamento de loopback, execute os seguintes passos:

1. Abra Diretiva de Grupo, expanda Configuração do Computador, expanda Modelos
Administrativos, expanda Sistema, e então clique em Diretivas de Grupo.
2. Clique duas vezes em Modo de processamento de loopback da diretiva de grupo de
Usuário.
3. Clique em Ativado se ele já não estiver selecionado, e então na lista Modo, clique em
Substituir ou Intercalar
Implementando Modelos Administrativos
Hide My Network Places icon on desktop Properties

Contains
Contains information
information about
about
Policy Explain
Ignores
Ignores the
the setting
setting what
what this policy
this policy can
can do
do
(default)
(default) Hide My Network Places icon on desktop
Or
Or
Not Configured
Applies
Applies the
the setting
setting Enabled
Disabled
Or
Or -233-
Prevents
Prevents the
the setting
setting
Implemente as configurações do modelo administrativo através das configurações na

extensão Modelos Administrativos na Diretiva de Grupo. Na maioria das vezes, você
configura isto selecionando um dos três estados para a configuração. Você seleciona o
estado na guia Diretiva da caixa de diálogo Propriedades para as configurações da Diretiva
de Grupo.
A lista abaixo fornece as descrições dos três estados:

Não Configurado. O Windows Server 2003 ignora as configurações e não faz nenhuma
alteração no computador. Este estado não especifica um valor alterado no registro.
Ativado. O Windows Server 2003 aplica as configurações e adiciona as alterações ao
arquivo Registry.pol apropriado.
Desativado. O Windows Server 2003 evita que as configurações sejam aplicadas e
adiciona as alterações no arquivo Registry.pol apropriado.
Além de selecionar um estado para uma configuração, você pode precisar fornecer
informações adicionais, como o modo para o processamento de Loopback, ou o tamanho
para uma cota de disco.
Os estados Habilitado e Desabilitado podem criar conflitos nas GPOs. Isto ocorre, por
exemplo, quando uma configuração é habilitada em uma GPO e a mesma configuração é
desabilitada em outra GPO – mas ambas GPOs se aplicam aos mesmos usuários ou
computadores. A menos que a herança da Diretiva de Grupo seja modificada, a última
configuração aplicada prevalecerá.
Para obter acesso à guia Diretiva para uma configuração de modelo administrativo,execute
os seguintes passos:
1. Clique com o botão direito no site, domínio ou OU apropriada e então clique em
Propriedades.
2. Na guia Diretiva de Grupo, crie ou selecione uma GPO existente, e então clique em
Edit.
3. Em Diretiva de Grupo, expanda Configurações do Computador ou Configurações do
Usuário, e então expanda Ferramentas Administrativas até você localizar as
configurações que quer modificar, por exemplo, Configuração do Usuário\Modelos
Administrativos\Área de Trabalho.
4. No painel de detalhes da Diretiva de Grupo, clique duas vezes na configuração de
Diretiva de Grupo que você quer modificar.
Nota: Quando você criar um GPO que contiver somente configurações para os usuários ou
computadores, você pode desabilitar o outro tipo de configuração (usuário ou computador)
para agilizar o processamento das configurações de Diretiva de Grupo. Você pode
desabilitar as configurações na guia Geral da caixa de diálogo Propriedades para a GPO.
-234-
Laboratório A: Usando Modelos Administrativos para Determinar

Diretivas de Grupos Baseadas no Registro
Objetivos
Depois de completar este laboratório, você será capaz de configurar, aplicar, e testar
Diretivas de Grupos baseadas no registro usando os Modelos Administrativos.
Pré-requisitos
Antes de trabalhar neste laboratório, você deve ter experiência em:

Trabalhar com o Computadores de Usuários do Active Directory.
Gerenciar cotas de disco e tarefas agendadas.
Configuração do Laboratório
Para completar este laboratório, você precisará do seguinte:

Um computador executando o Windows Server 2003 Server configurado como um
controlador de domínio.
Uma estrutura de OU. Para criar as OUs e usuários exigidos, execute o arquivo de script
Sales.vbs a partir da pasta LabFiles.
Exercício 1: Implementando uma Diretiva de Modelos Administrativos

para os Computadores
Cenário
Você precisa determinar configurações de Diretivas de Grupos adicionais para um
controlador de domínio no seu domínio. As configurações de Diretiva de grupo que você
precisa aplicar precisam satisfazer as seguintes exigências de gerenciamento:
As cotas de disco devem estar habilitadas para todos os volumes para que o uso do
espaço em disco possa ser facilmente observado.
O limite das cotas de disco não deve ser forçado. Nenhum limite será forçado até você
poder determinar a média de utilização de disco para o servidor e instalar capacidade
adicional de disco, se for necessário.
Os usuários não devem ser capazes de executar o assistente Nova Tarefa para que o
servidor de aplicações não seja impactado.
Objetivo
Criar uma GPO (Objeto de Diretiva de Grupo) vinculada a uma OU do controlador de
domínio, e configurar a GPO para satisfazer as solicitações do cenário. Depois da GPO ser
configurada, reinicie seu computador para assegurar que as configurações de Diretiva de
Grupo sejam aplicadas.
-235-
Tarefas Passos Detalhados

1. Crie uma novo GPO vinculada à OU a. Faça Logon como Administrador com uma
do controlador de domínio. Nomeie a senha de ‘senha’ .
nova GPO de Admin Templates Policy. b. Abra o Computadores de Usuários do Active
Directory a partir do menu Ferramentas
Administrativas.
c. Na árvore de console, expanda seu domínio,
clique com o botão direito em Controladores
de Domínio, e então clique em Propriedades.
d. Na guia Diretiva de Grupo, clique em New,
digite Admin Template Policy a então
pressione ENTER.
2. Edite as configurações do modelo a. Selecione a nova Diretiva de Grupo, e então
administrativo para a nova GPO para: clique em Editar.
b. Na árvore de console da Diretiva de Grupo,
• Habilitar as cotas de disco. sobre Configuração do Computador, expanda
• Evitar que o limite das cotas de Modelos Administrativos.
disco seja forçado. c. Na árvore de console, expanda Sistema, clique
• Evitar que os usuários executem o em Cotas de Disco, e então no painel de
assistente Nova Tarefa. detalhes, clique duas vezes em Habilitar Cotas
de Disco.
d. Na caixa de diálogo Propriedades de Habilitar
cotas de disco, na guia Diretiva, clique em
Ativada, e então clique em OK.
e. No painel de detalhes, clique duas vezes em
Forçar o limite de cotas de disco.
f. Na caixa Propriedades de Forçar o Limite de
Cotas, clique em Desativada, e então clique
em OK.
g. Na árvore de console, expanda Componentes
do Windows, clique em Agendador de
Tarefas, e então no painel de detalhes, clique
duas vezes em Desabilitar a Criação de Nova
Tarefa.
h. Na caixa de diálogo Desabilitar a criação de
Nova Tarefa, na guia Diretiva, clique em
Ativada, e então clique em OK.
i. Feche Diretiva de Grupo, e então clique em
Fechar para fechar a caixa de diálogo
Propriedades de Controladores de Domínio.
j. Deixe Usuários e Computadores do Active
Directory aberta.
-236-
Exercício 2: Implementando uma Diretiva de Modelos Administrativos

para os Usuários
Cenário
Os usuários do telemarketing são geralmente trabalhadores temporários que recebem
pedidos por telefone e inserem os dados do cliente dentro de um banco de dados usando o
software instalado nos computadores pré-configurados. Você precisa implementar
configurações de Diretiva de Grupo que forcem as seguintes restrições para os usuários do
telemarketing.
Evitar que os usuários mapeiem drives de rede.
Evitar que os usuários usem Meus Locais de Rede para navegar pela rede da corporação.
Evitar que os usuários façam alterações nas configurações em Barra de Tarefas & Menu
Iniciar.
Evita que os usuários acessem o ícone Windows Update. O departamento de serviços de
informação deve instalar todos os softwares atualizados para os computadores da
corporação.
Habilitar os usuários a executar o assistente New Task para agendar um ferramenta
embutida para executar tarefas de manutenção no banco de dados.
Objetivo
Criar uma GPO vinculada à OU do Telemarketing, e configurar a GPO com as
configurações de Diretiva de Grupo que satisfazem as restrições descritas no cenário.
Tarefas Passo Detalhados

1. Crie um GPO para a OU Telemarketing. a. Na árvore de console, expanda seu
Nomeie esta nova GPO de Telemarketing domínio, clique com o botão direito em
Policy. Telemarketing, e então clique em
Propriedades.
b. Na guia Diretiva de Grupo, clique em
Novo, digite Telemarketing Policy e
então pressione ENTER.
2. Edite as configurações do modelo a. Com Telemarketing Policy selecionado
administrativo para a GPO Telemarketing clique em Editar.
Policy para evitar que os usuários mapeiem b. Na árvore de console, sobre
drives de rede. Configuração de Usuário, expanda
Modelos Administrativos.
c. Na árvore de console, expanda
Componentes do Windows, clique em
Windows Explorer, e então no painel de
detalhes, clique duas vezes em Remover
Mapear Unidade de Rede e Desconectar
Unidade de Rede.
d. Na caixa de diálogo Propriedades de
Remover Mapear Unidade de Rede e
Desconectar Unidade de Rede, na guia
-237-
Diretiva, clique em Ativada, e então
clique em OK.
3. Edite as configurações do modelo a. Usando as seguintes informações,
administrativo restantes da GPO configure as restrições exigidas
Telemarketing: restantes:
• Evitar que os usuários usem Meus • Oculte o ícone Meus Locais de Rede
Locais de Rede para navegar na rede da na Diretiva Área de Trabalho, que
corporação. está localizada nas pasta Área de
• Evitar que os usuários façam alterações Trabalho.
nas configurações da Barra de Tarefas e • Desabilite as alterações para as
Menu Iniciar. configurações do menu Barra de
• Evitar que os usuários acessem Tarefas & Menu Iniciar, que está
Windows Update. localizada na pasta Menu Iniciar &
• Habilitar os usuários a executarem o Barra de Tarefas.
assistente Nova Tarefa. • Desabilite e Remova links para a
Diretiva do Windows Update, que
está localizada na pasta Menu Iniciar
& Barra de Tarefas.
• Desabilite a Diretiva Criação de
Nova Tarefa, que está localizada na
pasta Componentes do Windows\
Agendador de Tarefas.
b. Feche todas as janelas abertas, e então
reinicie seu computador.
Exercício 3: Verificando Diretivas de Modelos Administrativos
Cenário
Agora que as GPOs exigidas estão no lugar e configuradas, você precisa confirmar que as
configurações de Diretiva de Grupo sejam aplicadas como esperado.
Objetivo
Faça logon como administrador para verificar quais configurações de Diretivas de Grupo
estão em efeito no computador. Então faça logon como um usuário do Telemarketing para
verificar quais configurações de Diretiva de conta estão em efeito para os membros da OU
Telemarketing.

1. Verifique se as configurações de a. Faça Logon como administrador
Diretivas de contas contidas no Modelo de com a senha ‘senha’.
GPO Admin estão sendo aplicadas b. Na área de trabalho, clique duas
apropriadamente. vezes em Meu Computador, clique
com o botão direito no ícone do
drive X (onde X é a sua partição de
trabalho Windows Server 2003 ), e
-238-
então clique em Propriedades.
c. Clique na guia Cota.
As cotas de disco estão habilitadas? Por que?
Os limites da cota de disco estão forçados? Por que?
1. (continua...) d. Clique em Cancelar para fechar a

caixa de diálogo Disco Local(X:).
e. Na janela Meu Computador, clique
duas vezes em Painel de Controle.
f. No Painel de Controle, clique duas
vezes em Tarefas Agendadas.
Você é capaz de executar o assistente Adicionar Tarefa?
Todas as configurações de Diretiva de Grupo foram aplicadas no Modelo de Diretiva de

GPO Admin?
1. continua... g. Feche todas as janelas abertas e

então faça logoff.
2. Faça logon como TMUser e verifique se a. Faça Logon como TMUsers com a
as configurações de Diretiva de Grupo senha ‘senha’.
contidas na GPO Telemarketing estão sendo
aplicadas apropriadamente.
As seguintes configurações contidas na Diretiva de GPO Telemarketing são forçadas? Por
que?
O ícone Meus Locais de Rede não aparece na área de trabalho.
Incapaz de mapear um drive de rede.
Incapaz de modificar as configurações da Barra de Tarefas & Menu Iniciar.
O ícone Windows Update não aparece no menu Iniciar.
Capaz de agendar uma nova tarefa usando o assistente Adicionar uma Nova Tarefa
2. continua... b. Feche todas as janelas abertas e

então faça Logoff.
Atribuindo Scripts com Diretiva de Grupo
• Quais São as Configurações do Script de Diretivas de Grupo

• O Processo de Aplicar Configurações de Script com Diretiva de Grupo
• Atribuindo Configurações de Script de Diretiva de Grupo
Você pode usar as configurações de script de Diretiva de Grupo para automatizar a

execução dos scripts. Existem configurações de scripts sob Configuração do Computador e
Configuração do Usuário. Você pode usar a Diretiva de Grupo para executar scripts quando
um computador iniciar e desligar, e quando um usuário efetuar logon e logoff. Como com
todas as configurações de Diretiva de Grupo, você configura uma única vez, e o Windows
Server 2003 a implementa e a força por toda a sua rede.
-239-
O que são as Configurações de Script de Diretiva de Grupo?
Startup/Shutdown
Startup/Shutdown
Computer
Computer
Scripts
Scripts
Computer
Computer Configuration
Configuration
Startup/Shutdown
Startup/Shutdown
User
User User
User Configuration
Configuration
Logon/Logoff
Logon/Logoff Logon/Logoff
Logon/Logoff
As configurações de script de Diretiva de Grupo permitem a você configurar scripts para

executar automaticamente na inicialização e desligamento, e quando os usuários efetuarem
logon e logoff. Você pode especificar qualquer script que execute no Windows Server 2003
, incluindo arquivos de lote, programas executáveis, e scripts suportados pelo Windows
Script Host.
Para ajudar a você a gerenciar e configurar os ambientes de usuário, você pode:

Executar scripts que executam tarefas que você não possa configurar através das outras
configurações de Diretiva de Grupo. Por exemplo, você pode preencher os ambientes de
usuário com as conexões de rede, conexões de impressão, atalhos para aplicações e
documentos corporativos.
Você também pode usar scripts para limpar a área de trabalho quando os usuários fizerem
logoff e desligarem os computadores. Você pode remover conexões que você adicionou
com scripts de logon ou inicialização para que o computador seja deixado no mesmo estado
de quando o usuário o iniciou.
Execute scripts pré-existentes já configurados para gerenciar ambientes de usuário até
você ter configurado outras configurações de Diretiva de Grupo para substituir as
tarefas que estes scripts executam.
Nota: você pode atribuir scripts de logon individualmente para as contas de usuário na caixa
de diálogo Propriedades para cada conta de usuário. Entretanto, a Diretiva de Grupo é o
método preferido de executar scripts porque você pode gerenciar estes scripts centralmente,
junto com scripts de logoff, desligamento e inicialização.
O Processo de Aplicar Configurações de Script com Diretiva de Grupo
O Windows Server 2003 executa múltiplos scripts de cima para baixo como listado na guia
Script da caixa de diálogo Propriedades de Script. Se existir um conflito entre scripts
diferentes, o último script processado prevalece. O Windows Server 2003 processa e
executa os scripts determinados na Diretiva de Grupo na seguinte ordem:
-240-
1. Quando um usuário inicia um computador e faz logon, ocorre o seguinte:

a. Os scripts de inicialização são ocultos e executados de maneira síncrona por padrão.
Quando scripts são executados no modo síncrono, cada script deve completar ou
terminar antes do próximo iniciar.
b. Os scripts de logon são ocultos e executados assincronamente por padrão.
Quando os scripts executam assincronamente, um script pode ser executado mesmo
que um script anterior esteja sendo executado. Múltiplos scripts podem ser
executados ao mesmo tempo.
Os scripts de logon de usuário não aplicados via diretiva de grupo são executados
após os scripts aplicados via diretiva de grupo.
2. Quando um usuário efetua logoff e desliga um computador, ocorre o seguinte:

a. Executam scripts de logoff.
b. Executam scripts de Desligamento.
Nota: O valor de tempo de espera padrão para o processamento de scripts é 10 minutos. Se

um script exigir mais que dez minutos para ser processado, você deve ajustar o valor do
tempo de espera configurando Configuração do Computador\ Modelos Administrativos\
System\ Logon Maximum wait for Group Policy Scripts. Esta configuração afeta todos os
scripts que são executados, e não só os scripts de logon.
Determinando Configurações de Diretivas de Grupos de Script
Logon Properties
Scripts
Logon Scripts for Log On Script

[AUCKLAND.contoso.msft]
Name Parameters
Development.vbs Up
Up
Information Services.vbs Down
Add
Add the
the script
script to
to Add...
the
the appropriate GPO
appropriate GPO
Edit...
Remove
To view the script files stores in this Group Policy Object,

press the button below.
Copy
Copy the
the script
script to
to Show Files...
the
the appropriate
appropriate GPTGPT
OK Cancel Apply
Implementar um script significa usar Diretivas de Grupos para adicionar um script para a
configuração apropriada no GPT. Isto determina qual script executar durante a inicialização,
desligamento, logon ou logoff.
-241-
Para copiar um script para dentro do GPT apropriado, execute os seguintes passos:
1. Localize o script no seu HD usando o Windows Explorer.
2. Abra a GPO apropriada na Diretiva de Grupo, expanda Configuração do Computador
(para os scripts de inicialização e desligamento) ou o Configuração de Usuário (para os
scripts de logon e logoff), expanda Configurações de Windows, e então clique em
Scripts.
3. Clique duas vezes no tipo de script apropriado (Inicialização, Desligamento, Logon ou
Logoff), e então clique em Mostrar Arquivos.
4. Copie o arquivo de script do Windows Explorer para a janela que aparece, e então feche
a janela.
Para adicionar um script para um GPO, execute os seguintes passos:

1. Na caixa de diálogo Propriedades para o tipo de script, clique em Adicionar, clique em
Procurar, selecione um script, e então clique em Abrir.
2. Adicione qualquer parâmetro de script necessário, e então clique em OK.
Laboratório B: Usando as Diretivas de Grupos para Atribuir Scripts para

Usuários e Computadores
Objetivos
Depois de completar este laboratório, você será capaz de determinar scripts para os usuários
e os computadores usando as Diretivas de Grupos.
Pré-requisitos
Antes de trabalhar neste laboratório, você deve conhecer o console Computadores de

Usuários do Active Directory.
Configuração do Laboratório

controlador de Domínio.
Exercício 1: Usando Diretivas de Grupos para Atribuir Scripts
Cenário
Todos os usuários de Vendas na sua organização precisam executar scripts para configurar
seus ambientes de área de trabalho no logon e executar tarefas de limpeza no logoff. Alguns
usuários devem executar scripts adicionais para configurar seus computadores para usar
softwares apropriados. Você precisa determinar a seguinte Diretiva de Grupo de script para
os usuários na OU (Unidade Organizacional) Sales e suas OUs filhas:
Todos os usuários na OU Sales e nos OUs filhas devem executar o script de Vendas
logon.vbs no logon.
-242-
Todos os usuários na OU Sales e nos OUs filhas devem executar o script de Vendas
logoff.vbs no logoff.
Todos os usuários na OU Retail devem executar o script Retail Logon.vbs e o script
Retail Config.vbs no logon.
Objetivo
Neste exercício, você criará um GPO para a OU Sales e um segundo GPO para a OU Retail.
Você configurará estas configurações nos dois GPOs para executar os scripts exigidos.

1. Crie um GPO vinculado à OU Sales. a. Faça logon como administrador com
Chame esta GPO de Sales Script Policy. a senha ‘senha’.
b. Abra o Computadores de Usuários
do Active Directory do menu
Ferramentas Administrativas.
c. Na árvore de console, expanda seu
domínio, clique com o botão direito
em Sales, e então clique em
Propriedades.
d. Na guia Diretiva de Grupo, clique
em Novo, digite Sales Script Policy
e então pressione ENTER.
2. Copie o script de logon Sales da pasta a. Com Sales Script Policy
LabFiles\Script para a pasta Logon na selecionado, clique em Editar.
pastas Sales Script Policy GPT. b. Na árvore de console, sob
Configuração de Usuário, expanda
Configurações do Windows, e então
clique em Scripts (Logon/Logoff).
c. No painel de detalhes, clique duas
vezes em Logon, e então na caixa
Propriedades de Logon, clique em
Mostrar Arquivos.
Uma janela aparece mostrando o
conteúdo da pasta Logon na GPT
(Diretiva de Grupo Template) para
este GPO. Antes de você poder
determinar um script com esta GPO,
você deve copiar o arquivo de script
para esta pasta.
d. Abra a pasta LabFiles\Scripts
e. Copie o arquivo de script Sales
Logon a partir da pasta Scripts para
a pasta Logon.
f. Minimize a pasta Scripts, e então
feche a pasta Logon.
g. Deixe a caixa de diálogo
-243-
Propriedades de Logon aberta.
3. Adicione o script Sales logon à lista de a. Na caixa de diálogo Logon
scripts de logon para o GPO Sales Script Propriedades, clique em Adicionar.
Policy. b. Na caixa de diálogo Adicionar um
Script, clique em Procurar, clique no
script Sales Logon, clique em Abrir,
e então clique em OK.
c. Clique em OK para fechar a caixa de
diálogo Propriedades de Logon.
d. Deixe a Diretiva de Grupo aberta.
4. Copie o script Sales Logoff de a. No painel de detalhes, clique duas
Labfiles\Scripts para a pasta Logoff na vezes em Logoff, então na caixa de
pasta Sales Script Policy GPT. diálogo Propriedades Logoff
Propriedades, clique em Mostrar
Arquivos.
b. Restaure a janela de scripts e copie o
script Sales Logoff para a pasta
Logoff.
c. Minimize a janela Scripts, e então
feche a janela Logoff.
d. Deixe a caixa de diálogo
Propriedades de Logoff aberta.
5. Adicione o script Sales Logoff à lista de a. Na caixa de diálogo Proprieades de
scripts de logoff para a GPO Sales Script Logoff, clique em Adicionar.
Policy. b. Na caixa de diálogo Adicionar um
script sales Logoff, clique em Abrir,
c. Clique em OK para fechar a caixa de
diálogo Propriedades de Logoff, e
então feche a Diretiva de Grupo.
d. Clique em Fechar para fechar a
caixa de diálogo Sales Propriedades.
e. Deixe o console Usuários e
Computadores do Active Directory
aberta.
6. Crie um GPO vinculado à OU Retail. a. No painel de controle, expanda
Chame esta GPO de Retail Script Policy. Sales, clique com o botão direito em
Retail, e então clique em
Propriedades.
b. Na guia Diretiva de Grupo, clique
em Novo, digite Retail Script Policy
e então pressione ENTER.
7. Copie os scripts Retail Logon e Retail a. Com o Retail Script Policy
Config a partir de Labfiles\Scripts para a selecionado, clique em Editar.
pasta Logon na pasta Retail Script Policy b. Na árvore de console, sob
-244-
GPT. Configuração de Usuário, expanda
Configurações do Windows, e então
clique em Scripts (Logon/Logoff).
vezes em Logon, e então na caixa de
diálogo Propriedades de Logon ,
clique em Mostrar Arquivos.
d. Restaure a janela Scripts e copie os
scripts Retail Logon e Retail Config
da pasta Scripts para a pasta Logon.
e. Feche as janelas de Scripts e a janela
Logon.
8. Adicione os scripts Retail Logon e o a. Na caixa de diálogo Logon
Retail Config para a lista de Logon Scripts Propriedades, clique em Adicionar.
para a GPO Retail Script Policy. b. Na caixa de diálogo Adicionar um
script Retail logon, clique em Abrir,
c. Na caixa de diálogo Propriedades de
Logon, clique em Adicionar
d. Na caixa de diálogo Adicionar um
script Retail Config, clique em
Abrir, e então clique em OK.
e. Clique em OK para fechar a caixa de
diálogo Propriedades de Logon
Propriedades, e então feche a
Diretiva de Grupo.
f. Feche a caixa de diálogo
Propriedades de Retail, feche o
Usuários e Computadores do Active
Directory, e então faça logoff.
Exercício 2: Verificando as Tarefas do Script
Cenário
Agora que os GPOs exigidos foram configurados, você precisa confirmar que as
configurações de Diretivas de Grupos sejam aplicadas como o esperado.
Objetivo
Faça logon usando uma conta de usuário na OU Sales para verificar se os scripts certos
foram executados. Faça logon como um usuário na OU Retail para verificar se os scripts
certos foram executados.
-245-
1. Faça logon como um usuário de Sales a. Faça logon como Salesuser com a
para verificar se o script Sales Logon é senha ‘senha’.
executado.
O script de Logon Sales foi executado? Por que?
2. Faça log off para verificar se o script a. Efetue Log off.

Sales Log off foi executado.
O script Sales Logoff foi executado?
3. Faça logon como um usuário de Retail a. Faça logon como Retailuser com a
para verificar se Sales Logon, Retail Logon senha ‘senha’.
e Retail Config foram executados.
Quais scripts de logon foram executados e por que?
4. Faça log off para verificar se o script a. Faça Log off.

Sales Log off foi executado.
O script Sales Logoff foi executado?
Usando Diretivas de Grupo para Redirecionar Pastas
• O que é Redirecionamento de Pasta?

• Selecionando as Pastas a Redirecionar
• Redirecionando Pastas para um Servidor
O Windows Server 2003 permite a você redirecionar pastas, que são parte do perfil de
usuário, do HD local do usuário para uma localização central em um servidor.
Redirecionando estas pastas, você pode assegurar que os dados dos usuários estejam
localizados em um ponto central e que os dados do usuário estejam disponíveis para eles
independentemente dos computadores nos quais eles fazem logon. É mais fácil gerenciar e
fazer backup de dados centralizados. As pastas que você pode redirecionar são Meus
Documentos, Dados de Aplicativos, Desktop e Menu Iniciar. O Windows Server 2003 cria
automaticamente estas pastas e as torna parte do perfil de usuário para cada conta.
O Que é Redirecionamento de Pastas?
Quando você redireciona pastas, você altera a localização de armazenamento das pastas do
HD local no computador do usuário para uma pasta compartilhada em um servidor de
arquivos da rede. Depois de você redirecionar uma pasta para um servidor de arquivos, ela
ainda aparece para o usuário como se estivesse armazenada no HD local. Você pode
redirecionar quatro pastas que são parte do perfil de usuário: Meus Documentos, Dados de
Aplicativos, Desktop e Menu Iniciar.
-246-
A seguinte tabela descreve as vantagens do redirecionamento de pastas:
Os dados na pasta estão disponíveis para o usuário sem levar em consideração o
computador cliente no qual ele fez logon.
Os dados na pasta são armazenados centralmente, assim os arquivos que eles contém são
mais fáceis de gerenciar e fazer backup.
O tráfego de rede é reduzido. Quando o usuário tem perfil de usuário ambulante e as
pastas não são redirecionadas, as alterações dos dados nas pastas são copiados entre o
computador local e o servidor cada vez que o usuário faz logon e logoff. O tráfego de
rede é gerado somente quando um usuário acessa um arquivo.
Os arquivos na pasta redirecionada, diferente dos arquivos que são parte de um perfil
ambulante, não são copiados e salvos no computador onde o usuário faz logon. Isto
significa que quando um usuário faz logon em um computador cliente, nenhum espaço
de armazenamento é usado para armazenar estes arquivos, e os dados que podem ser
confidenciais não permanecem em um computador cliente.
Selecionando as Pastas para Redirecionar
Dependendo das necessidades do usuário e de sua rede, você pode redirecionar todas ou
algumas das pastas que podem ser redirecionadas. A seguinte tabela descreve o que cada
pasta contém e fornece razões específicas para o redirecionamento de pastas.
Pasta Contém Redirecione para um

servidor para que
Meus Documentos A localização padrão onde Os usuários podem acessar
os usuários armazenam seus dados de qualquer
dados de trabalho. Esta é a computador, estes dados
localização padrão para os podem ser copiados e
comandos Abrir e Salvar gerenciados centralmente, e
Como no menu Arquivo. O a quantidade de dados salvos
Windows Server 2003 no perfil de usuário é
coloca um ícone de atalho reduzido.
Meus Documentos na área
de trabalho. Ele também Sempre redirecione a pasta
inclui a pasta Minhas Meus Documentos, porque
Figuras, onde os usuários ela é importante para que os
podem salvar gráficos. usuários sejam sempre
capazes de obter acesso aos
seus dados.
Menu Iniciar As pastas e atalhos no menu Os menus Iniciar dos
Iniciar. usuários sejam
padronizados. Redirecione
múltiplas pastas do Menu
Iniciar do usuário para a
mesma localização de rede e
então determine somente a
permissão de Leitura do
-247-
sistema de arquivos NTFS
para que os usuários não
possam alterar seu conteúdo
do menu Iniciar.
Desktop A pasta que contém todos os As áreas de trabalho dos
arquivos, e atalhos que um usuários sejam
usuário coloca na sua área padronizadas. Use a mesma
de trabalho. estratégia que você usou
para o menu Iniciar.
Dados de Aplicativos Os dados específicos de As aplicações usem os
usuário armazenados pelas mesmos dados específicos
aplicações, como arquivos de usuário, sem levar em
de configuração e consideração o computador
dicionários pessoais para no qual o usuário fez logon.
verificação de ortografia.
Redirecionando as Pastas para um Servidor

Desktop Properties
Target Settings Desktop Properties
When Redirecting
Target Settings User Folders:
You can specify the location
Desktop Properties
of the Desktop folder
Target Settings
You can specify the location of the Desktop folder
Setting: No administrative policy specified
You can specify the location of the Desktop folder
etting:
The Group Policy Object Swill have Basic – Redirect
no effect on the everyone’s folder to the dame loc
location of this folder.
etting:
This folder will be redirected toSthe Advanced
specified location. ecify locations for various user grou
– SpAn
example
OK target path is: \\server\share\%username%.
Cancel Apply
This folder will be redirected to different locations based on the
security group membership of the users.
An example target path is \\server\share\%username%
Use
Use the
the Target folder location
%username%
%username% Security Group Membership
\\london\desktops\%username%
variable
variable Group Path
Browse
CONTOSO\acct \\london\acct\%username%
CONTOSO\sales \\london\sales\%username%
OK Cancel Apply
Add Edit Remove
OK Cancel Apply
Para armazenar as pastas Meus Documentos, Dados de Aplicativos, Desktop e Menu Iniciar
em um servidor, use a extensão Redirecionamento de Pastas na Diretiva de Grupo.
Pata redirecionar uma pasta, execute os seguintes passos:

1. Crie uma nova GPO ou selecione uma GPO existente, e então clique em Editar.
2. Expanda Configuração de Usuário, expanda Configurações do Windows, e então
expanda Redirecionamento de Pastas.
-248-
3. Clique com o botão direito no nome da pasta que você quer redirecionar, clique em
Propriedades, e então forneça a localização e o caminho para a localização.
As opções na guia Destino são descritas na seguinte tabela.
Opções Descrição
Configuração Nenhuma diretiva administrativa especificada. Selecionada por
padrão.
Básico. Redirecione todas as pastas na mesma localização.
Avançado. Especifica as localizações para vários grupos de segurança.
Esta opção permite a você redirecionar as pastas dos usuários para os
quais esta GPO se aplica e para especificar localizações diferentes,
dependendo do grupo.
Localização da Esta opção aparece quando você seleciona Básico. Esta opção
pasta destino redireciona todas as pastas para a mesma localização e permite a você
especificar um caminho UNC (Universal Naming convention) para a
nova localização. Você pode usar a seguinte sintaxe para criar pastas
alvo chamadas depois de um nome de logon de usuário:
\\server_name\share_name\%username%
Membros do Esta opção aparece quando você seleciona Avançado. Esta opção
Grupo de especifica as localizações de vários grupos de segurança. Os grupos de
Segurança segurança e o caminho para as pastas redirecionadas aparecem aqui.
Como as opções anteriores, você pode usar
\\server_name\share_name\%username% para criar pastas chamadas
depois de um nome de logon de usuário.
As opções na guia Configurações controlam o comportamento do redirecionamento de

pastas. Você deve estar ciente dos padrões para estas configurações, como eles têm
implicações para o espaço em disco e segurança do servidor. Estas configurações para o
redirecionamento são explicadas na seguinte tabela:
Configuração Efeitos
Concede ao usuário direitos exclusivos Habilitada por padrão, esta configuração
sobre a pasta. assegura que somente o usuário e o sistema
têm direitos para a pasta. Os
administradores não têm acesso para a
pasta.
Se a caixa de verificação estiver limpa, a
nova localização da pasta reterá os direitos
da localização anterior.
Mover o conteúdo da pasta para a nova Habilitada por padrão, esta configuração
localização. move o conteúdo da pasta para a nova
localização na próxima vez que a Diretiva
de Grupo for aplicada.
Se esta caixa de verificação estiver limpa, a
pasta será redirecionada, mas o conteúdo
-249-
permanecerá na localização anterior.
Diretiva de Remoção. Por padrão, quando uma Diretiva de Grupo
de redirecionamento de pasta é removida, a
pasta permanece na localização
redirecionada.
Você também pode escolher retornar as
pastas redirecionadas para o local da
localização do perfil de usuário quando a
Diretiva de Grupo for removida.
Laboratório C: Implementando Diretiva de Redirecionamento de Pasta
Cenário
Depois de completar este laboratório, você será capaz de implementar o redirecionamento
de pastas usando Diretiva de Grupo.
Pré-requisitos
Antes de trabalhar neste laboratório, você deve ter conhecimento de Diretiva de Grupo.
Configuração do laboratório
Um computador executando o Windows Server 2003 Advanced Server que é
configurado como um controlador de domínio.
Exercício 1: Implementando Diretivas de Redirecionamento de Pastas
Cenário
A Northwind Traders tem uma diretiva de que somente os dados nos servidores serão
copiados (backup). Por preocupação com a tolerância a falhas, você não quer que o conteúdo
da pasta Meus Documentos seja armazenado localmente. Você quer redirecionar a pasta para
o diretório raiz do usuário no servidor porque nos servidores é executado um backup todas as
tardes.
Objetivo
Neste exercício, você redirecionará a pasta Meus Documentos para uma nova localização na
rede usando a Diretiva de Grupo.

1. Confirme a localização atual da pasta a. Faça Logon como Salesuser com a
Meus Documentos para a conta Salesuser e senha ‘senha’.
crie um arquivo de texto na pasta Meus b. Abra a caixa de diálogo
Documentos. Propriedades de Meus Documentos.
Qual é a localização atual de Meus Documentos?
O usuário pode alterar esta localização?
-250-
1. continua... c.Feche a caixa de diálogo Meus
Documentos Propriedades, e então
abra a pasta Meus Documentos.
d. Crie um arquivo de texto na pasta
Meus Documentos.
e. Feche Meus Documentos, e então
faça Logoff.
2. Redirecione a pasta Meus Documentos a. Faça Logon como administrador com
para um usuário na OU Sales. Use as a senha ‘senha’.
seguintes configurações para redirecionar a b. Na raiz do drive X (onde X é a sua
pasta. partição de trabalho do Windows
• Configuração: Básica – Redireciona Server 2003 ), crie uma pasta
a pasta de todos para a mesma chamada Redirect, e então
localização. compartilhe-a com as permissões
• Local: padrão.
\\computer\redirect\%username% c. Abra o Usuários e Computadores do
(onde computer é o nome do seu Active Directory a partir do menu
computador). Ferramentas Administrativas.
• Diretiva Removida: Redireciona a d. Na árvore de console, expanda seu
pasta de volta para a localização do domínio, clique com o botão direito
perfil de usuário local quando a em Sales, e então clique em
Diretiva de Grupo é removida. Propriedades.
e. Na guia Diretiva de Grupo, crie uma
nova GPO chamada Folder Redirect
Policy, e então clique em Editar.
f. Sobre Configuração de Usuário,
expanda Configurações do Windows,
expanda Redirecionamento de Pastas,
clique com o botão direito em Meus
Documentos, e então clique em
Propriedades.
g. Na lista Configurações, clique em
Básica – Redirecionar as pastas de
todos para a mesma localização.
h. Sobre Localização da Pasta Destino,
digite \\computer\redirect\%username%
(onde computer é o nome do seu
computador), e então clique na guia
Configurações.
Registre as configurações padrões para o redirecionamento da pasta no espaço abaixo.
2. continua... i. Clique em Redirecionar a pasta de

volta para a localização do perfil de
usuario local quando a diretiva é
removida, e então clique em OK.
j. Feche todas as janelas abertas, e
-251-
3. Verifique se a Diretiva de grupo de a. Faça Logon como salesuser com a
redirecionamento de pastas está sendo senha ‘senha’.
aplicada apropriadamente. b. Abra a caixa de diálogo Propriedades
em Meus Documentos.
Qual é a localização atual de Meus Documentos?
O usuário pode alterar a localização em Meus Documentos?
Quais permissões são configuradas em Meus Documentos? Por que?
3. continua... c. Feche a caixa de diálogo Propriedade

de Meus Documentos, e então abra
Meus Documentos.
A pasta Meus Documentos contém o arquivo de texto que você criou anteriormente? Por
que?
3. continua... d. Feche Meus Documentos, e então

faça log off.
4. Remova a GPO de Diretiva de a. Faça logon como administrador com
redirecionamento de pastas. a senha ‘senha’.
b. Abra o Usuarios e Computadores do
Active Directory a partir do menu
em Sales, e então clique em
Propriedades.
d. Na guia Diretiva de Grupo, selecione
Folder Redirect Policy GPO, e então
clique em Excluir.
e. Na caixa de diálogo Excluir, clique
em Remover o link e excluir o objeto
da diretiva de grupo
permanentemente, e então clique em
OK.
f. NA caixa de diálogo Excluir Objeto
de Diretiva de Grupo, clique em Sim,
e então clique em Fechar para fechar
a caixa Propriedades de Sales .
g. Feche todas as janelas abertas, e
então efetue logoff.
5. Teste o resultado da exclusão da GPO de a. Faça logon como Salesuser com a
redirecionamento de pastas. senha ‘senha’.
b. Clique com o botão direito em Meus
Documentos, e então clique em
-252-
Propriedades.
Qual é a localização da pastas Meus Documentos? Este é o comportamento padrão quando
a Diretiva de Grupo de redirecionamento de pastas é excluída?
5. continua... c. Feche todas as janelas abertas, e

Usando Diretivas de Grupo para Dar Segurança ao Ambiente do Usuário
A Diretiva de Grupo também inclui configurações de segurança para assegurar que o

ambiente do usuário esteja seguro contra acesso não autorizado e definir uma prevenção e
resposta da organização contra infrações de segurança. A Diretiva de Grupo permite a você
padronizar as configurações de segurança aplicando o mesmo modelo de segurança em
múltiplos computadores de uma vez. Os modelos de segurança são grupos de configurações
de segurança que podem ser importadas para dentro de GPOs ou usadas para análises.
Configurando Diretivas de Contas

Quando você configurar Diretivas de contas no Active Directory, tenha em mente que o
Windows Server 2003 permite somente uma Diretiva de conta de domínio, que é a Diretiva
de conta aplicada ao domínio raiz na árvore de domínio. A Diretiva de conta de domínio se
torna a Diretiva de conta padrão de qualquer servidor ou estação de trabalho baseada no
Windows Server 2003 que é membro do domínio. A única exceção desta regra é quando
outra Diretiva de conta é definida para uma unidade organizacional. As configurações de
Diretivas de contas para a unidade organizacional afetam a Diretiva local em qualquer
computador contido na unidade organizacional. Isto significa que as Diretivas de contas
configuradas em nível de domínio sempre se aplicam quando é feito logon usando uma conta
que existe no domínio. As configurações de Diretivas locais se aplicam somente quando é
feito logon usando uma conta que é local para o computador no qual você está efetuando
logon.
Aplicando Diretivas de Segurança

Para aplicar Diretivas de segurança em um computador local ou em um recipiente Active
Directory, você importa um ou mais modelos de segurança, que contêm configurações para
todas as áreas de segurança, dentro de Configurações de Segurança (Configurações de
Segurança) na Diretiva de Grupo. Importar um modelo de segurança para dentro de uma
Diretiva de grupo assegura que todos o membros do recipiente recebam automaticamente o
modelo de segurança quando a Diretiva de Conta se propagar. Quando você aplica um modelo
para configurações de segurança existentes, as configurações no modelo são consolidadas
dentro do banco de dados de configurações de segurança do computador.
Para importar um modelo de segurança para dentro de uma GPO, execute as seguintes tarefas:
1. Identifique um modelo de segurança do Windows Server 2003 existente que contenha a
configuração de segurança exigida, ou crie um novo modelo de segurança.
2. Importe o modelo de segurança para dentro de uma GPO:
a. Expanda Configuração do Computador, expanda Configurações do Windows, e então
expanda Configurações de Segurança.
-253-
b. Clique com o botão direito em Configurações de Segurança, e então clique em
Importar Diretivas.
c. Selecione o modelo de segurança que você quer importar e então clique em OK.
3. Analise as configurações de segurança para cada computador para determinar se as
configurações de segurança atuais devem ser modificadas para satisfazer as solicitações da
sua organização.
Observação: Antes de desenvolver um modelo de segurança para grandes grupos de

computador, é importante analisar os resultados da aplicação de uma configuração para
assegurar que não existam efeitos adversos nos aplicativos, na conectividade, ou na
segurança. Uma análise bem feita também pode ajudá-lo a identificar brechas de segurança na
configuração padrão. O snap-in Análise e Configuração de Segurança permite a você criar e
revisar cenários hipotéticos e fazer ajustes na configuração.
Um método alternativo de aplicar diretivas de segurança é configurá-las individualmente para

cada computador. Você pode editar as configurações de segurança em um GPO para qualquer
site, domínio ou OU.
Para configurar a segurança, execute as seguintes tarefas:

1. Expanda Configuração do Computador, expanda Configurações do Windows, e então
expanda Configurações de Segurança.
2. No painel de detalhes Diretiva, clique duas vezes na configuração de segurança que você
quer configurar .
3. Na guia Diretiva, configure a segurança selecionando um dos três estados: Ativado,
Desativado ou Não Configurado.
Observação: As configurações de segurança, diferente das outras configurações de Diretivas

de Grupo, são persistentes. As configurações de segurança permanecem no registro mesmo
quando o GPO que contém as configurações de segurança são removidas.
Laboratório D: Implementando Configurações de Segurança Usando

Diretivas de Grupo
Objetivos
Depois de completar este laboratório, você será capaz de implementar configurações de

segurança usando Diretiva de Grupo.
Pré-requisitos
Antes de trabalhar neste laboratório, você deve ter conhecimento sobre Diretivas de Grupo.
Configuração de Laboratório
-254-
controlador de domínio.
Exercício 1: Implementando Diretiva de Segurança
Cenário
Você é o administrador de um domínio na organização Northwind Traders, e é solicitado a
implementar as seguintes configurações de segurança nos seus controladores de domínios:
As senhas devem ter pelo menos seis caracteres.
Uma caixa de diálogo deve aparecer durante o processo de logon, informando aos
usuários que o acesso não autorizado não é permitido.
Os administradores do domínio devem ter somente a conta de Administrador como
membro.
O Telnet, que está configurado para iniciar manualmente, deve estar desabilitado.
Objetivo
Neste exercício, você criará um novo GPO, que será vinculado à OU dos controladores de
domínio e chamado de Configuração de Diretivas de Segurança Adicionais, para implementar
as configurações de segurança exigidas.

1. Crie uma nova GPO vinculada à OU dos a. Faça logon como administrador com
controladores de domínio. Nomeie esta nova a senha ‘senha’.
GPO de Configuração de Diretivas de b. Abra o Usuários e Computadores
Segurança Adicionais. do Active Directory a partir do
menu Ferramentas Administrativas.
em Controladores de Domínio, e
então clique em Propriedades.
d. Na guia Diretiva de Grupo, clique
em Novo, digite Configuração de
Diretivas de Segurança Adicionais e
então pressione ENTER.
2. Modifique o GPO Configuração de a. Com o GPO Configuração de
Diretivas de Segurança Adicionais para Diretivas de Segurança Adicionais
implementar a seguinte configuração de selecionado, clique em Editar.
segurança: b. Sobre Configuração do Computador,
• As senhas devem ter pelo menos seis expanda Configurações do Windows,
caracteres. expanda Configurações de
Segurança, expanda Diretivas de
Segurança, e então clique em
Diretiva de Senhas.
vezes em Comprimento Mínimo da
Senha.
-255-
d. Na caixa de diálogo Configuração de
Diretiva de Segurança, clique em
Definir esta configuração de diretiva,
altere o valor para o tamanho mínimo
da senha para 6, e então clique em
OK.
3. Modifique o GPO Configuração de a. Na árvore de console, expanda
Diretivas de Segurança Adicionais para Propriedades de Local e então clique
implementar a seguinte configuração: em Opções de Segurança.
• Exiba uma caixa de diálogo no logon que b. No painel de detalhes, clique duas
informe aos usuários que o acesso não vezes em Título de Mensagem para
autorizado não é permitido. usuários tentando efetuar logon.
c. Na caixa de diálogo Configurações
da Diretiva de Segurança, clique em
digite Somente Acesso Autorizado
então clique em OK.
d. No painel de detalhes, clique duas
vezes em Título de Mensagem para
usuários tentando efetuar logon.
e. Na caixa de diálogo Configurações
da Diretiva de Segurança, clique em
digite Advertência e então clique em
OK.
4. Modifique o GPO Configuração de a. Na árvore de console, clique em
Diretivas de Segurança Adicionais para Grupos Restritos.
implementar a seguinte configuração de b. Clique com o botão direito em
segurança: Grupos Restritos e então clique em
• O grupo Administradores do Domínio Adicionar Grupo.
deve ter somente a conta de c. Na caixa de diálogo Adicionar
administrador como membro. Grupo, clique em Procurar, digite
Administradores do Domínio, clique
em OK e então clique em OK de
novo para fechar a caixa de diálogo
Adicionar Grupo.
d. No painel de detalhes, clique duas
vezes em Domínio\Administradores
do Domínio.
e. Na caixa de diálogo Configurar
Membros para o
Domínio\Administradores do
Domínio, clique em Adicionar para
o direito de Membros deste grupo.
f. Na caixa de diálogo Adicionar
Membro, clique em Procurar, digite
-256-
Administrador , clique em OK, e
então clique em OK de novo para
fechar a caixa de diálogo Adicionar
Membro.
g. Clique em OK para fechar a caixa de
diálogo Configurar Membro para
Domínio\Administradores do
Domínio.
5. Modifique o GPO Configuração de a. Na árvore de console, clique em
Diretivas de Segurança Adicionais para Serviços do Sistema.
implementar a seguinte configuração de b. No painel de detalhes, clique duas
segurança: vezes em Telnet.
• O serviço Telnet deve estar desabilitado. c. Na caixa de diálogo Configuração
de Diretiva de Segurança, clique em
Definir esta diretiva de segurança.
Note que o editor de segurança

Security for Telnet aparece. Os
serviços de sistema precisam estar
adequadamente seguros, assim esta
caixa de diálogo aparece para
qualquer serviço na lista.
d. Selecione Todos, e então clique em

Remover.
e. Clique em Adicionar, digite
Administradores do Domínio e
f. Selecione a caixa de verificação
Permitir próximo a Controle Total,
g. Na caixa de diálogo Configuração
de Diretiva de Segurança, assegure
que Desativado está selecionado, e
h. Feche todas as janelas abertas e
então reinicie o computador.
6. Verifique se as modificações do GPO a. Faça logon como administrador com
Configuração de Diretivas de Segurança a senha ‘senha’.
Adicionais estão sendo aplicadas
corretamente.
A mensagem de aviso apareceu quando você tentou fazer logon?
6. continua... b. Altere sua senha a partir de para 123.
A configuração de Diretiva de Grupo de tamanho de senha mínimo de seis caracteres evita
que você altere sua senha para uma que contenha somente três caracteres? Por que?
-257-
6. continua... c. Se necessário, altere sua senha de
volta para ‘senha’.
d. Adicione a conta de usuário
Convidado ao grupo Administradores
do Domínio.
e. Force uma atualização da Diretiva de
Grupo abrindo um prompt de
comando, digitando
secedit/refreshpolicy machine_policy
/enforce e então pressione ENTER.
A conta de usuário Convidado ainda é listada como um membro do grupo Administradores
do Domínio? Por que?
6. continua... f. Abra Serviços a partir do menu

Qual é o valor na coluna Tipo de Inicialização para o serviço Telnet?
6. continua... g. Feche todas as janelas abertas.

7. Execute o arquivo batch delpol.cmd na a. Abra a pasta LabFiles.
pasta Labfiles. Este arquivo Batch remove b. Clique duas vezes em Delpol.cmd
todos os GPOs criados nos laboratórios neste para remover todas as GPOs criadas
módulo. durante os laboratórios neste módulo.
c. Reinicie o seu computador.
Resolvendo Problemas de Gerenciamento do Ambiente de Usuário
Você pode encontrar problemas quando usar Diretiva de Grupo para gerenciar o ambiente do
usuário. Aqui estão alguns dos problemas mais comuns que você pode encontrar, junto com
as estratégias sugeridas para resolvê-los:
Configurações do registro usando os Modelos Administrativos não são aplicadas. O
possível problema pode ser que as configurações dos modelos administrativo não são
aplicadas para o usuário ou computador afetado pela Diretiva de Grupo. Outro possível
problema pode ser que a replicação do Active Directory ainda não tenha sido completada
no controlador de domínio. Execute Gpresult.exe no modo Verbose no computador cliente
para confirmar que as configurações da Diretiva de Grupo do modelo Administrativo não
estão aplicadas.
Se o texto “The user (or computer) received “Registry” settings from these GPOs.”
não aparecer, nenhuma configuração do modelo administrativo foi aplicada. Se o texto
não aparecer, verifique se a conta de usuário ou computador tem pelo menos
permissão de Leitura e de Aplicar Diretivas de Grupo em todas as GPOs que devem
ser processadas.
Verifique, também, as GPOs relacionadas para ver se as caixas de Configuração de
Usuário ou Configuração do Computador estão desabilitadas.
Finalmente, verifique se o modo de processamento Loopback está habilitado.
Os scripts não executam.
-258-
Confirme se as extensões do lado do cliente dos Scripts de Diretivas de Grupo estão
executando. Execute Gpresult.exe no modo Verbose, e examine a saída sob as
configurações User received Scripts a partir destes cabeçalhos do GPO. Se o texto não
aparecer na saída, verifique as permissões nas GPOs relacionadas e verifique as
questões de herança.
Se o texto aparecer na saída, mas certos scripts não forem executados, assegure-se de
que o SYSVOL está sendo replicado para todos os controladores do domínio.
As pastas não estão sendo replicadas.

Se você estiver usando as pastas redirecionadas e elas não estão sendo redirecionadas,
verifique as DACLs (listas de controle de acesso discricionário) nos
compartilhamentos onde as pastas estão sendo redirecionadas. Assegure que o usuário
tenha permissões suficientes.
Se o volume que contém as pastas redirecionadas tem cotas de disco habilitados,
verifique se o usuário não excedeu sua cota limite.
Se a pasta na rede compartilhada já existir antes de você implementar o
redirecionamento, assegure-se de que o DACL para a pasta permita ao usuário
Controle Total.
Práticas Recomendadas
A seguinte lista fornece as práticas recomendadas de gerenciamento do ambiente do usuário:

Crie um número mínimo de GPOs contendo as configurações de modelo administrativo.
Pode ser difícil gerenciar o ambiente do usuário apropriadamente se você criar muitos
GPOS contendo estas configurações.
Coloque todos as computadores para os quais você quer aplicar o modo de processamento
de loopback na sua própria OU. Não deve haver muitas contas de usuário nesta OU. Então
você pode criar e vincular um GPO para configurar o ambiente de usuário nestes
computadores.
Sempre teste os efeitos das configurações dos modelos administrativos. Crie um ambiente
de teste que é paralelo ao seu ambiente de produção. Dê aos usuários selecionados uma
conta de usuário adicional que resida em uma OU de teste e deixe-os executar suas tarefas
normais para assegurar que não existam problemas. Se você vai bloquear a área de
trabalho do usuário, assegure que você configurou as configurações corretamente para
que não interrompa o trabalho do usuário.
Certifique-se que os scripts sejam executados na ordem escolhida para que você consiga
os resultados adequados. O Windows Server 2003 processa as configurações de Diretiva
de Grupo em uma ordem particular. Este processo determina a ordem na qual os scripts
sejam executados e os efeitos que eles têm em computadores e usuários.
Sempre redirecione as pastas Meus Documentos para os usuários poderem acessar seus
dados pessoais a partir de qualquer computador. Isto reduz o tempo de logon e logoff para
os usuários ambulantes, porque os arquivos na pasta Meus Documentos são copiados
somente entre o computador cliente e o servidor quando os usuários obtêm acesso aos
arquivos. Redirecionar Meus Documentos permite a você efetuar backup dos dados do
usuário centralmente.
-259-
Revisão
• Introdução ao Gerenciamento de Ambientes de Usuário

• Introdução aos Modelos Administrativos
• Usando Modelos Administrativos na Diretiva de Grupo
• Determinando Scripts com Diretivas de Grupo
• Usando Diretiva de Grupo para Redirecionar Pastas
• Usando Diretiva de Grupo para Assegurar o Ambiente de Usuário
• Resolvendo Problemas do Gerenciamento do Ambiente do Usuário
• Práticas Recomendadas
1. Você não quer que os usuários sejam capazes de abrir o Painel de Controle e obter acesso
ao Vídeo ou qualquer das outras aplicações. O que você faz?
2. Sua rede não precisa mais da configuração de modelo administrativo de usuário que você
configurou. O que você faz para alterar o registro de volta para as configurações
anteriores?
3. Os empregados do departamento de pesquisa precisam de um atalho na sua área de

trabalho para uma aplicação especial de terceiros que reside em um servidor de rede. Não
existem configurações de diretivas de grupo que possam fornecer este atalho. Existe uma
OU para o departamento de pesquisa. O que você pode fazer?
4. Os empregados no departamento de produção fazem logon em computadores clientes

diferentes. Todos os usuários precisam ter seus dados de trabalho disponíveis para eles
toda hora. O que você precisa fazer?
5. Você precisa configurar as configurações de segurança para seis servidores de domínio

que estão na mesma OU. Qual é o método mais simples para fazer isto?
-260-

08 Gerenciar Ambientes de Usußrio

Enviado por

Dados do documento

Descrição original:

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

08 Gerenciar Ambientes de Usußrio

Enviado por

Direitos autorais:

Formatos disponíveis

Módulo 8: Usando Diretiva de Grupo para Gerenciar Ambientes de Usuário

Módulo 8: Usando a Diretiva de Grupo para Gerenciar

 Introdução ao Gerenciamento de Ambientes de Usuário

O Microsoft Windows Server 2003 Server inclui muitas configurações de diretivas de

No final deste módulo,você será capaz de:

 Control What Users Can Do in Their Environments

z Limit user access to portions of the operating system

z Ensure that users always have their data

z Restrict the use of Windows 2000 tools and components

z Populate user desktops

z Secure the user environment

Para gerenciar e configurar centralmente o ambiente do usuário, você pode executar as

Introdução ao Modelo Administrativo

 Quais São os Modelos Administrativos?

Para configurar e gerenciar eficientemente os ambientes do usuário, assegure que os

O Que São os Modelos Administrativos?

Os Modelos Administrativos são uma coleção de configurações de Diretivas de Grupo que

O Windows Server 2003 aplica ambas as configurações de Diretiva de Grupo e quaisquer

Como os Computadores Aplicam as Configurações do Modelo

Registry.pol Files Contain the Template Settings and Values

Client computer connects to SYSVOL and locates the Registry.pol files

Client computer writes to the registry subtrees (HKLM and HKCU)

As configurações do modelo administrativo e os valores para as configurações que o

Nota: O caminho para o arquivo Registry.Pol é

O seguinte processo é repetido durante o processo de logon do usuário:

As configurações na seção Diretiva de Grupo do registro se aplicam mesmo quando

Usando Modelos Administrativos na Diretiva de Grupo

 Tipos de Configuração do Modelo Administrativo

Configurações de modelo administrativo são configurações de Diretiva de Grupo baseadas

Tipos de Configurações de Modelos Administrativos

As configurações do modelo administrativo são organizadas dentro de sete tipos, as quais

A seguinte tabela fornece os tipos de configurações na extensão Modelos Administrativos.

Tipo de Controla Disponível para

Configurando o Travamento da Área de Trabalho

Localização e configuração da Diretivas Ação

Não salva as configurações na saída Desabilita e capacidade de salvar qualquer

Configurações para Bloquear o Acesso do Usuário aos Recursos de Rede

Configuração e localização da Diretiva de Ação

Configurando o Bloqueio do Acesso do Usuário para as Ferramentas

Configuração e localização da Diretiva de Ação

O modo de processamento de Loopback é uma configuração de Diretiva de Grupo que força

Para habilitar o modo de processamento de loopback, execute os seguintes passos:

Implementando Modelos Administrativos

Hide My Network Places icon on desktop Properties

Implemente as configurações do modelo administrativo através das configurações na

A lista abaixo fornece as descrições dos três estados:

Laboratório A: Usando Modelos Administrativos para Determinar

Antes de trabalhar neste laboratório, você deve ter experiência em:

Para completar este laboratório, você precisará do seguinte:

Exercício 1: Implementando uma Diretiva de Modelos Administrativos

Tarefas Passos Detalhados

Exercício 2: Implementando uma Diretiva de Modelos Administrativos

Tarefas Passo Detalhados

Exercício 3: Verificando Diretivas de Modelos Administrativos

Tarefas Passos Detalhados

Os limites da cota de disco estão forçados? Por que?

1. (continua...) d. Clique em Cancelar para fechar a

Todas as configurações de Diretiva de Grupo foram aplicadas no Modelo de Diretiva de

1. continua... g. Feche todas as janelas abertas e

2. continua... b. Feche todas as janelas abertas e

Atribuindo Scripts com Diretiva de Grupo

• Quais São as Configurações do Script de Diretivas de Grupo

Você pode usar as configurações de script de Diretiva de Grupo para automatizar a

Introdução ao Gerenciamento de Ambientes de Usuário

Control What Users Can Do in Their Environments

Quais São os Modelos Administrativos?

Tipos de Configuração do Modelo Administrativo

As pastas não estão sendo replicadas.