Microsoft MCSA – 70-410 – Política de Grupo pt2

Este post faz parte da série de estudos para o exame 70-410 da certificação Microsoft MCSA do Windows Server 2012 R2.

Hoje continuamos os estudos sobre as Políticas de Grupo e GPOs.

Neste post veremos o planejamento de um estratégia de Política de Grupo.

No próximo post veremos Delegação de GPOs.

Então vamos ao conteúdo…

 

 

Planejando uma Estratégia de Política de Grupo

Através do uso das configurações de Política de Grupo, administradores de sistemas podem controlar vários aspectos diferentes de seus ambientes de rede. Como você verá através deste capítulo, administradores de sistemas podem usar GPOs para definir configurações de usuário e de computadores. O Windows Server 2012 R2 inclui muitas ferramentas administrativas para realizar essas tarefas. Entretanto, é importante ter em mente que, como muitos dos aspectos da utilização do Active Directory, uma estratégia de Política de Grupo bem sucedida envolve planejamento.

Por haver milhares de possíveis configurações de Política de Grupo e muitas maneiras diferentes de implementá-las, você deveria começar determinando as necessidades técnicas e de negócio. Por exemplo, você deveria primeiro agrupar seus usuários conforme suas funções de trabalho. Você pode descobrir, por exemplo, que usuários em escritórios remotos necessitam de opções de configuração de rede particulares. Neste caso, seria melhor implementar configurações de Política de Grupo no nível de site. Em outro caso, você pode descobrir que certos departamentos possuem requisitos diferentes para configurações de cota de disco. Neste caso, faria mais sentido aplicar as GPOs na OU de departamento apropriada dentro do domínio.

A meta geral deveria ser reduzir a complexidade (por exemplo, reduzir o número geral de GPOs e links de GPOs) enquanto se mantém servindo as necessidades dos usuários. Levando em consideração as necessidades dos usuários e as partes da sua organização, você normalmente consegue determinar um método lógico e eficiente para criar e aplicar GPOs. Embora seja raro você se deparar com um método certo ou errado de implementar as configurações de Política de Grupo, você normalmente vai encontrar alguns métodos que são melhores ou piores que outros.

Implementando um conjunto de políticas lógico e consistente, você também estará bem preparado para resolver quaisquer problemas que possam aparecer e/ou se adaptar aos requisitos mutáveis da sua organização. Mais tarde nesta série de posts você aprenderá alguns métodos específicos para determinar configurações de Política de Grupo efetivas antes de aplica-las.

 

Implementando Política de Grupo

Agora que passamos pelo layout e estrutura básica de Políticas de Grupo e como elas funcionam, vamos ver como implementá-las em um ambiente do Active Directory. Nas próximas sessões, vamos começar a criar GPOs. Então aplicaremos essas GPOs a objetos específicos do Active Directory e então veremos como usar modelos administrativos.

 

Criar GPOs

No Windows Server 2000 e Windows Server 2003, você poderia criar GPOs através de diversos locais diferentes. Por exemplo, você poderia usar o Usuários e Computadores do Active Directory para criar seus GPOs junto com outras ferramentas de GPO. No Windows Server 2012 R2, as coisas são mais simples. Você pode criar GPOs para suas OUs em apenas um local: O Console de Gerenciamento de Política de Grupo (GPMC). Você pode escolher entre 3 ferramentas para configurar suas políticas nos seus computadores Windows Server 2012 R2.

 

Ferramenta de Política de Computador Local  Essa ferramenta administrativa fornece acesso rápido as configurações de Política de Grupo que estão disponíveis para o computador local. Essas opções são aplicadas na máquina local e nos usuários que acessarem-na. Você deve ser um membro do grupo local Administradores para acessar e realizar mudanças nessas configurações.

Administradores podem precisar trabalhar em múltiplos objetos de política de grupo local ao mesmo tempo (multiple local group policy objects – MLGPOs). Para fazer isso, você teria que realizar os seguintes passos. (Você não pode configurar MLGPOs em controladores de domínio.)

  1. Abra um console vazio do MMC digitando MMC na pesquisa do menu iniciar ou da tela inicial e pressione Enter.
  2. Clique em arquivo e em Adicionar/Remover Snap-in.
  3. Na lista disponível, selecione Editor de Objeto de Política de Grupo e clique em Adicionar.
  4. Na caixa de diálogo Selecione Objeto de Política de Grupo clique no botão Procurar.
  5. Clique na aba Usuários na caixa de diálogo Procurar por Objeto de Política de Grupo.
  6. Clique no usuário ou grupo para o qual você quer criar ou editar uma política de grupo local e clique em OK.
  7. Clique em Finalizar e depois em OK.
  8. Defina as configurações de múltiplas políticas.

 

Console de Gerenciamento de Política de Grupo  Você deve usar o GPMC para gerenciar a implantação de Política de Grupo. O GPMC fornece  uma solução única para gerenciar todas as tarefas relacionadas a Política de Grupo, e também é recomendada para lidar com tarefas de nível empresarial como tarefas relacionadas a floresta.

O GPMC permite que administradores gerenciem Política de Grupo e GPOs tudo a partir de um console fácil de usar mesmo que a sua solução empresarial abranja vários domínios e sites dentro de uma ou varias florestas ou que seja local em um único site. O GPMC adiciona flexibilidade, gerenciabilidade e funcionalidade. Usando este console, você também pode realizar outras funções, como backup e restauração, importação e cópias.

Auditpol.exe  É um utilitário de linha de comando que funciona com o Windows Vista e o Windows Server 2008 e suas respectivas versões mais novas. Um administrador tem a capacidade de exibir informação sobre politicas e também  realizar algumas funções para manipular politicas de auditoria. A tabela abaixo mostra alguns dos parâmetros disponíveis para o comando auditpol.exe.

microsoft-mcsa-70-410-gpo-table1

 

Você deve ter cuidado quando efetuar configurações de Política de Grupo pois certas opções podem prevenir o uso apropriados dos sistemas na sua rede. Sempre teste configurações de Política de Grupo em um pequeno grupo de usuários antes de implantá-las em toda sua organização. Você provavelmente descobrirá que algumas configurações precisam ser alteradas para funcionarem corretamente.

 

Criar um Objeto de Política de Grupo usando o GPMC

  1. Abra o console do Gerenciamento de Política de Grupo.
  2. Expanda o nó do domínio e o nó da OU América do Norte. Clique com o botão direito na OU Escritório Central e selecione a opção Criar um GPO neste domínio e fornecer um link para ele aqui.
  3. Na caixa de diálogo Novo GPO digite o nome Caixa de Aviso e clique em OK.
  4. O novo GPO estará listado do lado direito da janela do GPMC. Clique com o botão direito e selecione Editar.microsoft-mcsa-70-410-gpo-gpmc
  5. No Editor de Gerenciamento de Política de Grupo navegue pelos seguintes itens: Configurações do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança. Do lado direito dê um duplo clique na regra Logon Interativo: Mensagem de Texto para Usuários tentando fazer logon.
  6. Clique na caixa definir essa política. No campo de texto digite “O uso sem permissão deste computador é proibido” e clique em OK. Feche o GPO e retorne para a tela principal do GPMC.
  7. Clique com o botão direito no container Objetos de Política de Grupo e clique em Novo.
  8. Na caixa de diálogo Novo GPO digite o nome GPO de Teste não Vinculado e clique em OK.
  9. Do lado direito aparecerá a nova GPO. Clique com o botão direito na GPO GPO de Teste não Vinculado e selecione Editar.
  10. Dentro da sessão de Configurações de Usuário clique em Políticas > Modelos Administrativos > Área de Trabalho. No lado direito dê um duplo clique no item Ocultar e Desativar todos os itens na Área de Trabalho e clique em Habilitar. Clique em OK e feche o GPMC.

microsoft-mcsa-70-410-gpo-config1

microsoft-mcsa-70-410-gpo-config2

 

Note que as mudanças de Política de Grupo podem não ter efeito até que aconteça o próximo logon de usuário (algumas configurações podem até exigir que o computador seja reiniciado). Ou seja, usuários atualmente trabalhando no sistema  não verão as mudanças até que façam logoff e depois login novamente. As GPOs são reaplicadas a cada 90 minutos mais um intervalo aleatório de 30 minutos. Em outras palavras, usuários logados terão suas políticas reaplicadas entre 60 a 120 minutos. Nem todas as configurações são reaplicadas (por exemplo, configurações de software e politicas de senha).

 

Vincular GPOs existentes no Active Directory

Criar uma GPO é o primeiro passo na atribuição de politicas de grupo. O segundo passo vincular o GPO em um objeto específico do Active Directory. Como mencionado anteriormente, GPOs podem ser vinculados em sites, domínios e OUs.

No exercício abaixo você passa pelos passos necessários para atribuir uma GPO existente em uma OU dentro do domínio local. Neste exercício você vai vincular a GPO de teste em uma OU. Para completar este exercício você deve ter realizado o exercício anterior.

  1. Abra o Console do Gerenciamento de Política de Grupo.
  2. Expanda os containers da floresta e do domínio e clique com o botão direito na OU África.
  3. Selecione Vincular com GPO existente.
  4. Na caixa de diálogo selecione GPO de Teste não Vinculado e clique em OK.
  5. Feche o Console do Gerenciamento de Política de Grupo.

Note que a ferramenta GPMC oferece muita flexibilidade na atribuição de GPOs. Você pode criar novas GPOs, adicionar múltiplas GPOs, editá-las diretamente, alterar configurações de prioridade, remover links e deletar GPOs tudo a partir desta interface. Em geral, criar novos GPOs usando a ferramenta GPMC é maneira mais fácil e rápida de criar as configurações que você precisa.

Para testar configurações de Política de Grupo, você pode simplesmente criar uma conta usuário dentro da OU África. Então usando outro computador que seja membro do mesmo domínio você pode fazer logon como o usuário recém criado.

 

Gerenciar Política de Grupo

Agora que você implementou GPOs e aplicou-os em sites, domínios e OUs dentro do Active Directory, é hora de ver algumas maneiras de gerenciá-los. Nas próximas sessões veremos como múltiplos GPOs podem interagir entre si e maneira de como você pode fornecer segurança para o gerenciamento de GPO. Usar esses recursos é uma parte importante de trabalhar com o Active Directory, e se você planejar Política de Grupo de forma apropriada, você pode reduzir muito o tempo que o help desk passa resolvendo problemas comuns.

 

Gerenciar GPOs

Um dos benefícios dos GPOs é que são modulares e podem ser aplicados em diferentes objetos e níveis dentro do Active Directory. Isso também pode ser uma das desvantagens de GPOs se não forem gerenciados apropriadamente. Uma função administrativa comum relacionada ao uso de GPOs é encontrar todos os links para cada um destes objetos. Você pode fazer isso quando estiver visualizando a aba Objetos de Política de Grupo Vinculados do site, domínio ou OU dentro do GPMC.

microsoft-mcsa-70-410-gpo-links

 

Além da ação comum de delegar permissões em OUs, você pode configurar permissões relacionadas a modificação de GPOs. A melhor maneira de fazer isso é adicionar usuários no grupo de segurança built-in Proprietários Criadores de Política de Grupo (Group Policy Creator Owners). Os membros deste grupo podem modificar a segurança.

 

Windows Management Instrumentation

Os scripts WMI (Windows Management Instrumentation) são usados para recolher informações ou ajudar GPOs a serem melhor implantadas. A melhor maneira de explicar isso é dando um exemplo. Vamos supor que você quisesse instalar o Microsoft Office 2013 para todos na sua empresa. Você primeiro iria configurar um GPO para instalar o pacote do Office (explicado mais tarde na sessão Implantar Software usando GPO).

Você então pode colocar o script WMI na GPO informando que somente computadores com pelo menos 10GB de espaço em disco realmente instalem o Office. Agora se um computador se um computador possuir 10GB de espaço livre, o GPO do Office seria instalado. Se o computador não possuir 10GB de espaço livre no disco rígido, o GPO não será aplicado. Você pode usar scripts WMI para checar informações de computador como endereços MAC. O WMI é uma ferramenta poderosa pois se você souber escrever scripts as possibilidades são infinitas. O script a seguir é um exemplo de WMI que verifica se existe pelo menos 10GB de espaço livre na partição C:

Select * from Win32_LogicalDisk where FreeSpace > 10737418240 AND Caption = “C:”

 

Filtros de Segurança de uma Política de Grupo

Outro método de definir a segurança no acesso a GPOs é configurar permissões nas próprias GPOs. Você pode fazer isso no GPMC, selecionando a GPO e clicando no botão Avançado dentro da aba Delegação. A caixa de diálogo de permissões de uma GPO é exibida abaixo.

microsoft-mcsa-70-410-gpo-permissions

As seguintes opções de permissões estão disponíveis:

  • Controle Total
  • Leitura
  • Escrita
  • Criar todos os Objetos Filhos
  • Apagar todos os Objetos Filhos
  • Aplicar política de grupo

Destas, a configuração aplicar política de grupo é particularmente importante pois você usa para filtrar o escopo do GPO. Filtragem é o processo no qual grupos de segurança selecionados são incluídos ou excluídos dos efeitos de GPOs. Para especificar que as configurações devem ser aplicados em um GPO, você marca a caixa de seleção Permitir para as configurações Leitura e Aplicar política de grupo. Essas configurações serão aplicadas somente se o grupo de segurança também estiver dentro do site, domínio ou OU ao qual o GPO estiver vinculado. Para desabilitar o acesso ao GPO para um grupo, selecione Negar para ambas as permissões. Por fim, você pode deixar as duas configurações sem nenhuma marcação, nem Permitir nem Negar. Isso é o mesmo de não ter nenhuma configuração definida.

 

Filtrando Política de Grupo usando Grupos de Segurança

  1. Abra a ferramenta administrativa Usuários e Computadores do Active Directory.
  2. Crie uma nova OU chamada Teste de Política Global.
  3. Crie dois novos grupos se segurança global dentro da OU Teste de Política Global com os nomes Política-Ativada e Política-Desativada.
  4. Saia do Usuários e Computadores do Active Directory e abra o GPMC.
  5. Clique com o botão direito na OU Teste de Política Global e selecione Vincular com GPO existente.
  6. Selecione a GPO de Teste não Vinculado e clique em OK.
  7. Expanda a OU Teste de Política Global para que você possa ver o link da GPO de Teste não Vinculado sob a OU.
  8. Clique na aba Delegação clique no botão Avançado.
  9. Clique em Adicionar, digite Política-Ativada e clique em OK.
  10. Adicione também o grupo Política-Desativada da mesma forma.
  11. Selecione o grupo Política-Ativada e marque Permitir nas permissões Leitura e Aplicar política de grupo. Isso assegura que o grupo Política-Ativada será afetado por essa política.
  12. Selecione o grupo Política-Desativada e marque Negar nas permissões Leitura e Aplicar política de grupo. Isso assegura que o grupo Política-Desativada não será afetado por essa política.
  13. Clique em OK. Na mensagem que aparece clique em Sim.
  14. Após terminar feche o GPMC.

 

Por hoje paramos por aqui…

Caso ainda não saiba aqui no blog tem um ebook com dicas para quem está se preparando para certificações Microsoft.

E tem um simulado completo para o exame 70-410.

Caso queira um livro completo (PDF) que contempla todos os objetivos do exame 70-410 acesse esse link.

Para ver todos os posts aqui do site clique no link “Blog” no menu principal na parte superior, você também pode usar a pesquisa aqui do lado direito, ou ainda clicar nas Tags ali para ver os posts por assunto.

 

Qualquer coisa me avise aqui pelos comentários ou lá pelo Facebook ou me mande email.

Sucesso!

Thiago Haise
Microsoft Certified Solutions Associate

 

Para ver todos os materiais disponíveis para serem adquiridos aqui na WiseOne acesse essa página.

Links ->  Fanpage, Grupo, Linkedn


Leave a Reply