Microsoft MCSA – 70-410 – Política de Grupo pt3

Este post faz parte da série de estudos para o exame 70-410 da certificação Microsoft MCSA do Windows Server 2012 R2.

Hoje continuamos os estudos sobre as Políticas de Grupo e GPOs.

Neste post veremos Delegação de GPOs.

No próximo post iniciaremos com a Implantação de software via GPO.

Então vamos ao conteúdo…

 

Delegar o Controle Administrativo de GPOs

Até agora, vimos como usar Política de Grupo para gerenciar configurações de usuário e de computador. O que não fizemos ainda é determinar quem pode modificar GPOs. É importante estabelecer a segurança apropriada nas próprias GPOs por dois motivos:

  • Se as configurações de segurança não forem definidas apropriadamente, usuários e administradores podem facilmente sobrescrevê-las. Isso acaba com o propósito de possuir GPOs em primeiro lugar.
  • Ter muitos administradores de sistema criando e modificando GPOs pode se tornar extremamente difícil de gerenciar. Quando problemas aparecem, a natureza hierárquica da herança de GPO pode tornar difícil localizar o problema.

Felizmente, através do uso da delegação, determinar permissões de segurança em GPOs é uma tarefa fácil. Logo abaixo vamos ver os passos necessários para atribuir as permissões necessárias para uma conta de usuário. Especificamente, este processo envolve delegar a habilidade de gerenciar links de GPOs em um objeto do AD (como uma OU).

 

Delegando o Controle Administrativo de Política de Grupo

  1. Abra a ferramenta Usuários e Computadores do Active Directory.
  2. Expanda o domínio local e crie um usuário chamado Admin Política dentro da OU Teste Política (se não existir essa OU crie-a).
  3. Saia da ferramenta Usuários e Computadores do Active Directory e abra o GPMC (Console de Gerenciamento de Política de Grupo).
  4. Clique na OU Teste Política e clique na aba Delegação.
  5. Clique no botão Adicionar. Digite Admin Política e clique no botão Checar nomes.
  6. A caixa de dialogo Adicionar Usuário ou Grupo aparece. Na lista de permissões marque os itens editar configurações, excluir e modificar segurança. Clique em OK.microsoft-mcsa-70-410-gpo-delegation-window
  7. Agora você deve estar olhando para a tela de delegação da OU Teste Política. Clique no botão Avançado no canto inferior direito.
  8. Selecione a conta Admin Política e marque o item Permitir Controle Total. Este usuário agora possui controle total sobre essa OU, OUs filhas e as suas respectivas GPOs. Clique em OK.
    Se você só quiser dar direitos individuais para este usuário, então na janela de propriedades clique no botão Avançado e clique na aba Permissões Efetivas. Aqui você pode escolher um usuário e configurar apenas os direitos que você quer que ele possua.
  9. Quando terminar feche o GPMC.

 

Entendendo Delegação

Embora já tenhamos discutido delegação em tópicos anteriores, é importante discuti-la novamente no contexto de OUs, Política de Grupo e Active Directory.

Após configurada, a delegação administrativa do Active Directory permite que um administrador delegue tarefas (geralmente relacionadas a administração) para contas de usuário e grupos específicos. Isso significa que se você não gerenciar tudo, as contas de usuário (ou grupos) que você escolher irão poder gerenciar suas porções da árvore.

É importante estar ciente dos benefícios da Delegação do Active Directory (Delegação do AD). A Delegação do AD irá te ajudar a gerenciar a atribuilçao de controle administrativo sobre objetos no Active Directory, como usuários, grupos, computadores, impressoras, domínios e sites. A Delegação do AD é usada para criar mais administradores, o que em essência economiza tempo.

Por exemplo, vamos dizer que você possui uma empresa com um departamento de TI pequeno e situado num local central. O local central conecta três outros sites remotos menores. Estes sites não possuem uma pessoa de TI exclusivamente dedicada, mas o gerente da equipe (por exemplo) em cada um dos sites remotos poderia ser tornar um administrador para sua porção da árvore.  Se esse gerente administrar as contas de usuário da sua equipe no site remoto, isso reduz a carga sobre o administrador de sistema no que se refere aos trabalhos administrativos triviais como desbloquear contas de usuário ou trocar senhas, e portanto reduz custos.

 

Controlar Herança e Filtro de Política de Grupo

Controlar a herança é uma função importante quando você está gerenciando GPOs. Antes neste tópico, você aprendeu que, por padrão, configurações de GPO fluem de objetos do AD de nível mais alto para os objetos do AD de nível mais baixo. Por exemplo, o conjunto efetivo de configurações de Política de Grupo para um usuário, pode ser baseado em GPOs atribuídos no nível de site, no nível de domínio e na hierarquia de OUs. Em geral, este é o comportamento que você deseja.

Entretanto em alguns casos, você pode querer bloquear a herança de Política de Grupo. Você pode fazer isso facilmente selecionando o objeto no qual o GPO foi vinculado. Clique com o botão direito no objeto e selecione Bloquear Herança no menu. Ativando essa opção, você está efetivamente especificando que este objeto inicia com um estado vazio, ou seja, nenhuma outra configuração de Política de Grupo irá ser aplicada aos conteúdos deste site, domínio ou OU.microsoft-mcsa-70-410-gpo-block-inheritance

Administradores de sistema podem também forçar a herança. Selecionando a opção Impor, eles podem impedir que outros administradores de sistema realizem mudanças nas politicas padrão. Você pode ativar a Imposição de Herança clicando com o botão direito no GPO e selecionando o item Impor no menu de contexto.microsoft-mcsa-70-410-gpo-enforce

 

Atribuindo Políticas de Script

Administradores de sistemas podem querer realizar diversas mudanças e implementar certas configurações que seriam aplicadas enquanto o computador está iniciando ou o usuário está fazendo logon. Talvez a operação mais comum que scripts de logon fazem é mapear unidades de rede. Embora usuários possam mapear unidades de rede manualmente, fornecer essa funcionalidade através de scripts de logon assegura que os mapeamentos se manterão consistentes e que os usuários somente precisam lembrar as letras de unidades para os seus recursos.

Politicas de Scripts são opções específicas que são parte das configurações de Política de Grupo para usuários e computadores. Essas configurações direcionam o sistema operacional aos arquivos específicos que devem ser processados durante os processos de inicialização/desligamento ou logon/logoff. Você pode criar os scripts usando a linguagem Windows Script Host (WSH) ou com comandos de arquivos em lote. O WSH permite que desenvolvedores e administradores de sistemas criem scripts fácil e rapidamente através do VBScript (Visual Basic Scripting Edition) ou do JScript (implementação do Java da Microsoft). Adicionalmente, o WSH pode ser expandido  para acomodar outras linguagens de script comuns.

Para configurar as opções de politicas de scripts você simplesmente edita as configurações de um GPO. Existem duas áreas principais para configurar as politicas de scripts:

Scripts de inicialização/desligamento.    Essas configurações estão localizadas dentro de Configurações do Computador > Configurações do Windows > Scripts (inicialização/desligamento).

Scripts de logon/logoff.    Essas configurações estão localizadas dentro de Configurações de Usuário > Configurações do Windows > Scripts (logon/logoff).microsoft-mcsa-70-410-script-list

Para atribuir scripts simplesmente dê um duplo clique na configuração. Por exemplo, se você clicar na configuração de Inicialização, a caixa de diálogo de  propriedades de inicialização será exibida. Para adicionar o nome de arquivo de um script, clique no botão Adicionar. Quando fizer isso, o sistema pedirá o nome do arquivo de script (como unidaderede.bat).microsoft-mcsa-70-410-script-startup

Note que você pode mudar a ordem em que os scripts são executados usando as flechas para cima e para baixo. O botão mostrar arquivos abre a pasta de diretório em que você deve armazenar os arquivos. Para assegurar que os arquivos são replicados para todos os controladores de domínio, você deve colocar os arquivos dentro do compartilhamento SYSVOL.

 

Entendendo a Política Loopback

Podem existir situações quando as configurações do usuário de uma GPO deveriam ser aplicadas em um computador baseado no seu local ao invés de ser pelo usuário. Geralmente o processamento do usuário de Política de Grupo dita que as GPOs sejam aplicadas em ordem durante a inicialização do computador baseado nos computadores localizados em suas unidades organizacionais. GPOs de usuário, por outro lado, são aplicados em ordem durante o logon, não importando em qual computador estejam.

Em alguns casos, essa ordem de processamento pode não ser apropriada. Um bom exemplo é uma máquina de quiosque. Você não iria querer que aplicações que foram atribuídas ou publicadas para um usuário sejam instaladas quando o usuário fizer logon em uma máquina de quiosque. A Política Loopback fornece duas maneiras de recuperar a lista de GPOs para qualquer usuário quando estão usando um computador específico em uma OU.

Modo Mesclar           As GPOs para o computador são adicionadas no final das GPOs para o usuário. Nesse caso as GPOs de computador tem precedência maior do que as GPOs de usuário.

Modo Substituir       Neste modo, as GPOs de usuário não são usadas. Somente as GPOs de computador são aplicadas.

 

Gerenciar Configuração de Rede

Politicas de Grupo também são úteis na configuração de rede. Embora administradores possam definir as configurações de rede no nível de protocolo usando muitos métodos diferentes, como o DHCP (Dynamic Host Configuration Protocol), a Política de Grupo permite-os definir quais funções e operações estarão disponíveis aos usuários e computadores. As configurações podem ser acessadas por dois caminhos:

Opções de Rede de Computador
Configurações do Computador  > Modelos Administrativos > Rede > Conexões de Rede.

Opções de Rede de Usuário
Configurações de Usuário  > Modelos Administrativos > Rede.

 

Aqui estão alguns exemplos dos tipos de configurações disponíveis:

  • Permitir ou negar a modificação das configurações de rede.
    Em muitos ambientes, alteração imprópria das configurações de rede e de protocolos é uma causa comum de ligações para o help desk.
  • Permitir ou negar a criação de conexões RAS (Serviço de Acesso Remoto).microsoft-mcsa-70-410-gpo-network-config
    Este opção é útil, especialmente em ambientes de rede maiores, pois o uso de modens e outros dispositivos WAN pode representar uma ameaça de segurança para a rede.
  • A capacidade de configurar opções de arquivos e pastas offline.
    Isso é especialmente útil para manter os arquivos atualizados de usuários em trânsito e normalmente é configurada em laptops.

Cada configuração inclui instruções detalhadas na área de descrição da janela do editor de GPO. Usando essas opções de configurações, administradores de sistema podem manter consistência em usuários e computadores e evitar muitas das chamadas de problemas mais comuns.

 

Emissão Automática de Certificados de Usuário e Computador na Política de Grupo

Você também pode usar Política de Grupo para emitir certificados de usuário e computador automaticamente, tornando todo o processo de certificados transparente para os usuários finais. Antes de continuar, você deve entender o que são certificados e porque são uma parte importante da segurança da sua rede.

Pense em um certificado digital como uma maleta para uma chave pública. Um certificado contém a chave pública e um conjunto de atributos, incluindo o nome do dono da chave e endereço de email.

Estes atributos especificam algo sobre o dono: sua identidade, o que pode fazer com o certificado, e assim por diante. Os atributos e a chave pública são colocados juntos pois o certificado é digitalmente assinado pela entidade que o emite. Qualquer um que quiser verificar os conteúdos do certificado pode verificar a assinatura do emissor.

Certificados são uma parte do que os experts de segurança chamam de Infraestrutura de chave pública (public-key infrastructure – PKI). Uma PKI possui diversos componentes que você pode misturar e combinar para chegar nos resultados desejados. A implementação da PKI da Microsoft oferece os seguintes recursos:

Autoridades de Certificação      CAs emitem certificados, revogam certificados emitidos e publicam certificados para os seus clientes. Grandes CAs como a Thawte e VeriSign fazem isso para milhões de usuários. Se você quiser, também pode configurar sua própria CA para cada departamento ou grupo de trabalho da sua organização. Cada CA é responsável por escolher quais atributos irá incluir em um certificado e qual mecanismo irá usar para verificar esses atributos antes de emitir o certificado.

Divulgadores de Certificado      Eles tornam os certificados disponíveis publicamente, dentro ou fora de uma organização. Isso possibilita disponibilidade abrangente do material crítico necessário para suportar toda a PKI.

Aplicações cientes da PKI          Permitem que você e seus usuários façam coisas úteis com certificados como criptografar um email ou conexões de rede. Idealmente, o usuário não deveria ter que saber o que a aplicação está fazendo – tudo deveria funcionar transparente e automaticamente. Os melhores exemplos de aplicações que trabalham com PKI são navegadores da Internet como o Internet Explorer e aplicações de email como o Microsoft Outlook.

Modelos de Certificados Estes agem como carimbos. Especificando um modelo específico como o modelo que você quer usar para um certificado recém emitido, você está na verdade dizendo para a CA quais atributos opcionais adicionar ao certificado além de implicitamente dizer como preencher alguns dos atributos obrigatórios. Modelos simplificam muito o processo de emissão de certificados pois te livram de ter que lembrar o nome de todos os atributos que você pode querer colocar em um certificado.

 

Mais sobre PKI

Quando discutimos sobre certificados, também é importante mencionar a PKI e sua definição. O exame não cobre PKI a fundo, mas é recomendável pesquisar um pouco mais sobre esse assunto pois é uma tecnologia importante e não deve ser negligenciado. PKI é um conceito simples com muitas artes móveis. Quando destrinchado em sua essência, PKI não é nada mais do que um servidor e estações de trabalho utilizando um serviço de software para adicionar segurança na sua infraestrutura. Quando você usa PKI, você está adicionando uma camada de proteção. A política de configurações de auto emissão determina se usuários e computadores recebem os certificados apropriados automaticamente quando necessário. Por padrão, essa política esta habilitada se um servidor de certificados está disponível, mas você pode fazer mudanças nas configurações como podemos ver abaixo.

 

Configurar Emissão Automática de Certificado na Política de Grupo

  1. Abra o console de Gerenciamento de Política de Grupo.
  2. Clique com o botão direito na OU América do Norte que criamos em posts anteriores (se não existir mais crie uma OU para testes).
  3. Clique em Criar um GPO neste domínio e vincular aqui, informe o nome TestCA. Clique em OK.
  4. Clique com o botão direito no GPO TestCA e clique em Editar.
  5. Navegue pelas pastas Configurações do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de chave pública.
  6. Dê um duplo clique no item Cliente Serviços Certificado – Registro Autom. No painel da direita.microsoft-mcsa-70-410-gpo-certificate
  7. De uma olhada nas opções de configuração na janela de propriedades, por enquanto não mude nada. Clique em OK para fechar.

 

Redirecionar Pastas

Outro conjunto de configurações de Política de Grupo que irá aprender são as configurações de redirecionamento de pastas, a Política de Grupo fornece os meios para redirecionar as pastas Documentos, Área de Trabalho (Desktop) e Menu Iniciar, assim como dados em cache de aplicações, para locais na rede. Redirecionamento de pastas é particularmente útil pelas seguintes razões:

  • Quando estão usando perfis móveis de usuário, a pasta Documentos do usuário é copiada para a máquina local cada vez que é feito logon. Isso necessita de tempo e grande consumo de largura de banda da rede se a pasta for grande. Se você redirecionar a pasta Documentos, ela fica no local redirecionado, e o usuário abre e salva arquivos diretamente deste local.
  • Os documentos estão sempre visíveis não importe onde o usuário faça logon.
  • Os dados no local compartilhado podem fazer parte de backups durante o ciclo normal de backups sem a intervenção do usuário.
  • Os dados podem ser redirecionados para um disco mais robusto administrado do lado do servidor que é menos sujeito à erros de usuários e defeitos físicos.

Quando você decidir redirecionar pastas, você tem duas opções: básico e avançado.

  • Redirecionamento Básico redireciona as pastas de todo mundo para o mesmo local (mas cada usuário recebe sua pasta individual dentro deste local).
  • Redirecionamento Avançado redireciona as pastas para locais diferentes baseado nos grupos que o usuário é membro. Por exemplo, você poderia configurar o grupo Engenheiros para redirecionar suas pastas para //Engenharia1/Documentos/ e o grupo Marketing para //Marketing1/Documentos/. Novamente os usuários ainda recebem pastas individuais dentro do local redirecionado.

 

Configurar Redirecionamento de Pastas em Política de Grupo

  1. Abra a ferramenta GPMC.
  2. Expanda a OU América do Norte e edite o GPO TestCA.
  3. Navegue pelas pastas Configuração do Usuário > Políticas > Configurações do Windows > Redirecionamento de Pastas > Documentos.
  4. Clique com o botão direito no item Documentos e clique em Propriedades.
  5. Na aba Destino selecione a opção Básico.
  6. No campo Caminho da Raiz informe um caminho de rede qualquer.microsoft-mcsa-70-410-gpo-folder-redir
  7. Clique na aba Configurações. Todas as opções são auto explicáveis e devem ser deixadas como estão. Clique em OK quando terminar.

 

Fatos sobre Redirecionamento de Pastas

Tente não misturar os conceitos de Redirecionamento de Pastas e pastas offline, especialmente em um mundo com um número sempre crescente de usuários móveis. Redirecionamento de Pastas e pastas offline são recursos diferentes.

O Redirecionamento de Pastas do Windows Server 2012 R2 funciona da seguinte maneira: O sistema usa um ponteiro que move as pastas que você quiser para um local que você especificar. Os usuários não veem nada disso – é transparente para eles. Um problema com o redirecionamento de pastas é que não funciona para usuários móveis (usuários que estarão offline e não terão acesso aos arquivos que podem precisar).

Pastas offline, entretanto, são cópias de pastas que eram locais para você. Os arquivos agora estão disponíveis localmente no sistema que você tem com você. Eles também estão localizados no servidor onde são armazenados. Da próxima vez que você fizer logon na rede, os arquivos são sincronizados para que ambos possuam os dados mais novos. Isso é um recurso perfeito para usuários móveis, sendo que redirecionamento de pastas não traz nenhum beneficio para os usuários móveis.

 

Gerenciar GPOs com os Cmdlets de Política de Grupo do Windows PowerShell

Como mencionado anteriormente, o Windows PowerShell é um shell de linha de comando e uma linguagem de script. O Windows PowerShell também pode ajudar um administrador a automatizar muitas das mesmas tarefas que você realiza através do GMPC.

O Windows Server 2012 R2 te ajuda e realizar muitas das tarefas de Política de Grupo fornecendo mais de 25 cmdlets. Cada um deles é uma ferramenta simples de linha de comando com uma única função.

Os Cmdlets de Política de Grupo do Windows PowerShell podem te ajudar a realizar algumas das seguintes tarefas para objetos de política de grupo baseados em domínio.

  • Manter, criar, remover, fazer backup e importar GPOs.
  • Criar, atualizar e remover links de GPOs em containers do Active Directory.
  • Configurar permissões em OUs e domínios do Active Directory e marcações de herança.
  • Definir configurações de registro de Política de Grupo.]
  • Criar e editar GPOs de Início.

O requisito para os cmdlets de Política de Grupo do Windows PowerShell é o Windows Server 2012 R2 em um controlador de domínio ou servidor membro que possua o GPMC instalado. O Windows 7 e mais novos também possuem a habilidade de usar os cmdlets de Política de Grupo do Windows PowerShell se possuírem o RSAT (Remote Server Administration Tools) instalado. O RSAT inclui o GPMC e seus cmdlets. O PowerShell também é um requisito.

 

 

Por hoje paramos por aqui…

Caso ainda não saiba aqui no blog tem um ebook com dicas para quem está se preparando para certificações Microsoft.

E tem um simulado completo para o exame 70-410.

Caso queira um livro completo (PDF) que contempla todos os objetivos do exame 70-410 acesse esse link.

Para ver todos os posts aqui do site clique no link “Blog” no menu principal na parte superior, você também pode usar a pesquisa aqui do lado direito, ou ainda clicar nas Tags ali para ver os posts por assunto.

 

Qualquer coisa me avise aqui pelos comentários ou lá pelo Facebook ou me mande email.

Sucesso!

Thiago Haise
Microsoft Certified Solutions Associate

 

Para ver todos os materiais disponíveis para serem adquiridos aqui na WiseOne acesse essa página.

Links ->  Fanpage, Grupo, Linkedn


4 Comments

  1. Andre Dos Santos Nascimento

    –O pessol tem usado muito o http://www.certbest.com que tem muitos simulados em Portugues e Ingles com explica;áo de resposta para as questóes e grava a evolucao do seu estudo. Ta bem interessante, As empresas de Dump estao ficando loucas com esse site!

  2. bem legal o site, a tradução não é 100% mas de umas 3 questões que olhei estava bem decente. acho que vou usar esse site para fazer vídeos e/ou webinários com o pessoal para o exame 70-411 já que eu já tenho pronto pro 70-410. o melhor são os comentários do pessoal nas questões. boa dica!

  3. Andre Dos Santos Nascimento

    me chama no skype sobre o http://www.certbest.com meu skype é certbest
    tenho uma proposta pra vc

  4. opa já adicionei, aguardando aceite

Leave a Reply