Microsoft MCSA – 70-410 – Política de Grupo pt5
Posted by wiseadm on nov 18, 2015 in 70-410 | 0 commentsEste post faz parte da série de estudos para o exame 70-410 da certificação Microsoft MCSA do Windows Server 2012 R2.
Hoje veremos a Implantação de software via GPO.
No próximo post veremos mais configurações de Implantação de software via GPO.
Então vamos ao conteúdo…
Implementação da Implantação de Software
Até agora, você se tornou familiarizado com os itens relacionados com implantação e gerenciamento de software no nível teórico. Agora é hora de vermos os passos necessários para implantar software usando os recursos do Active Directory e o GPMC. Nas sessões a seguir, veremos os passos necessários para um ponto de compartilhamento de distribuição de aplicação (application distribution share point), para publicar e atribuir aplicações, para atualizar aplicações previamente instaladas, para verificar a instalação de aplicações e para instalar sistemas operacionais Windows.
Preparar para a Implantação de Software
Antes de poder instalar aplicações em computadores clientes, você deve assegurar que os arquivos necessários estão disponíveis para os usuários finais. Em muitos ambientes de rede, administradores de sistemas criam compartilhamentos em servidores de arquivos que incluem os arquivos de instalação para muitas aplicações. Dependendo das permissões de segurança, usuários finais ou administradores podem então se conectar a esses compartilhamentos a partir de um computador cliente e instalar o software necessário. A organização eficiente destes compartilhamentos pode salvar o help desk de ter que carregar uma biblioteca de DVDs e permite instalar as aplicações facilmente em muitos computadores de uma só vez.
No exercício abaixo passamos pelo processo de criar um ponto de compartilhamento de distribuição de software. Neste exercício você irá se preparar para a implantação de software criando um diretório compartilhado e colocando certos arquivos neste diretório. Para completar os passos neste exercício você deve ter acesso aos arquivos de instalação (DVD ou pela rede) do Microsoft Office 2010 ou 2013 e possuir 2GB de espaço em disco. No exercício eu uso o Office 2013 mas se quiser pode simular os passos com outro instalador qualquer.
Criar um Compartilhamento de Implantação de Software
- Usando o Windows Explorer, crie uma pasta chamada Software para compartilhar as aplicações. Assegure que o volume em que você criar esta pasta possua pelo menos 2GB de espaço livre.
- Crie uma pasta chamada Office 2013 dentro da pasta Software.
- Copia todos os arquivos de instalação do Office 2013 para dentro desta pasta.
- Compartilhe a pasta Software e defina a permissão de acesso para Todos.
Após ter criado o compartilhamento de implantação de software, é hora de publicar e atribuir as aplicações. Esse tópico será visto a seguir.
Políticas de Restrição de Software
Um dos maiores problemas que nós enfrentamos como gerentes de TI é os usuários baixando e instalando software. Muitos pacotes de software não causam problemas e são completamente seguros. Infelizmente, muitos pacote de software possuem vírus e podem causar problemas. É aqui que as políticas de restrição de software podem ajudar. As políticas de restrição de software podem ajudar a identificar software e controlar sua capacidade de ser executado no computador local, unidade organizacional, domínio ou site.
As políticas de restrição de software permitem que administradores regulem software desconhecido ou não confiável. As políticas de restrição de software permitem que você proteja seus computadores de software não desejado identificando e também especificando quais pacotes de software possuem permissão para serem instalados.
Durante a configuração de políticas de restrição de software, um administrador pode definir o nível de segurança padrão como Irrestrito (software é permitido) ou Não-Permitido (software não possui permissão para executar) em um GPO. Administradores podem criar exceções a esse nível padrão de segurança. Eles podem criar regras de políticas de restrição de software para software específicos.
Para criar uma política de software usando o Console de Gerenciamento de Política de Grupo, crie um novo GPO. No GPO, expanda as Configurações do Windows dentro de Configurações do Computador ou de Configurações de Usuário, expanda Segurança, clique com o botão direito em Políticas de Restrição de Software e clique em Nova Política de Restrição de Software. Defina a política para o nível de segurança que você desejar.
Usando o Applocker
O Applocker é um recurso no Windows 7, Windows 8, Windows 8.1 , Windows 10 e Windows Server 2012 e Windows Server 2012 R2. É o substituto das políticas de restrição de software. O Applocker permite configurar uma lista de aplicações Negadas e Permitidas. As aplicações configuradas na lista Negadas não serão executadas no sistema, enquanto as aplicações na lista Permitidas serão executadas normalmente.
Os novos recursos e extensões do Applocker ajudam a diminuir a sobrecarga administrativa e ajudam os administradores a controlar como os usuários podem acessar e usar arquivos como por exemplo arquivos EXE, scripts, arquivos do Windows Installer (MSI e MSP) e DLLs.
Detecção de Link Lento de Política de Grupo
Durante a configuração de GPOs a maioria de nós assume que a conexão entre os servidores e clientes será rápida. No mundo de hoje é pouco provável encontrar conexões lentas entre locais, mas elas ainda existem. Algumas vezes a velocidade das conexões pode gerar problemas na implantação de GPOs, especialmente nas que instalam software.
Uma configuração tanto dentro da sessão Configurações do Computador quanto das Configurações de Usuário de um GPO chamada Detecção de Link Lento de Política de Grupo define uma conexão lenta para os propósitos de aplicar e atualizar GPOs. Se a taxa de transferência a partir do controlador de domínio que fornece o GPO para o computador for mais lenta do que você especificar nesta configuração, a conexão é considerada como lenta. Se uma conexão for considerada lenta, a resposta do sistema irá variar dependendo da política. Por exemplo, se um GPO vai implantar software e a conexão é considerada lenta, o software pode não ser instalado no computador cliente. Se você configurar essa opção como 0, todas as conexões são consideradas rápidas.
Publicar e Atribuir Aplicações
Como mencionado antes, administradores de sistemas podem tornar pacotes de software disponíveis aos usuários usando as operações de atribuição ou publicação. Ambas as operações permitem que administradores de sistemas usem o poder do Active Directory e, mais especificamente, dos GPOs para determinar quais aplicações estão disponíveis aos usuários. Adicionalmente, OUs podem fornecer a organização que pode ajudar a agrupar os usuários com base em suas funções de trabalho e requisitos de software.
O processo geral envolve a criação de um GPO que inclui configurações de implantação de software para usuários e computadores e então vincular esse GPO em objetos do Active Directory.
No exercício abaixo passamos pelos passos necessários para publicar e atribuir aplicações. Neste exercício, você irá criar aplicações e atribuí-las em objetos específicos do Active Directory por meio de GPO. Para completar os passos nesse exercício você deve ter completado o exercício anterior.
Publicar e Atribuir Aplicações através de Política de Grupo
- Abra a ferramenta Usuários e Computadores do Active Directory.
- Expanda o domínio e crie uma nova OU de nível superior chamada Software.
- Dentro da OU Software crie um usuário chamado Jane User com um nome de login de juser (escolha o valor padrão para as outras opções).
- Feche o console do Usuários e Computadores do Active Directory e abra o console do Gerenciamento de Política de Grupo.
- Clique com o botão direito na OU Software e escolha Criar um GPO nesse domínio e vincular aqui.
- Defina o nome Implantação de Software para o GPO.
- Clique com o botão direito nesse GPO e selecione editar.
- Navegue pelas pastas Configuração do Computador – Políticas – Configurações de Software.
- Clique com o botão direito no item Instalação de Software e selecione Novo – Pacote.
- Navegue até a pasta compartilhada que você criou anteriormente.
- Abra a pasta Office 2013 e selecione o arquivo MSI apropriado dependendo da versão do Office 2013 que você possuir. No nosso exemplo selecionamos o arquivo OFFICEMUI.MSI. Clique em Abrir.
- Na caixa de diálogo Implantar Software escolha Avançado. (Note que a opção publicar está desabilitada pois aplicações não podem ser publicadas para computadores) Clique em OK para voltar para a caixa de diálogo Implantar Software.
- Para examinar as opções de implantação deste pacote, clique na aba Implantação. Aceite as configurações padrão clicando em OK.
- Dentro do Editor do Gerenciamento de Política de Grupo, expanda o item Configuração do Usuário – Configurações de Software.
- Clique com o botão direito no item Instalação de Software e selecione Novo – Pacote.
- Navegue até a pasta compartilhada que você criou anteriormente.
- Abra a pasta Office 2013 e selecione o arquivo MSI apropriado. Clique em Abrir.
- Para a opção do método de implantação selecione Publicado e clique em OK.
- Feche o GPMC.
O processo geral envolvido na implantação de software usando o Active Directory é bem simples. Porém, você não deve deixar a interface gráfica de usuário intuitiva te enganar – existe muito poder por debaixo dos panos nesses recursos de implantação de software! Após você atribuir e publicar aplicações de forma apropriada, é hora de ver os efeitos do seu trabalho.
Aplicar Atualizações de Software
Os passos descritos na sessão anterior somente funcionam quando você está instalando uma nova aplicação. Porém, empresas de software frequentemente lançam atualizações que você precisa instalar sobre as aplicações existentes. Essas atualizações geralmente consistem em correções de falhas ou outras alterações que são necessárias para manter o software atualizado. Você pode aplicar atualizações de software no Active Directory usando a aba Atualização das propriedades do pacote de software no editor do gerenciamento de política de grupo.
No próximo exercício, você irá aplicar uma atualização de software em um aplicativo existente. Você deve adicionar o pacote de atualização no GPO do mesmo jeito que adicionou o pacote adicional no exercício anterior.
Aplicando as Atualizações de Software
- Abra o console do gerenciamento de política de grupo.
- Clique na OU Software, clique com o botão direito no GPO Implantação de Software e clique em editar.
- Navegue pelos itens Configuração do Computador – Políticas – Configurações de Software – Instalação de Software.
- Clique com o botão direito no pacote de software e clique em propriedades.
- Clique na aba Atualizações e clique no botão Adicionar.
- Deixe a opção Objeto De Política De Grupo Atual marcado ou clique no botão Procurar para selecionar outro GPO que você quer que a atualização se aplique. Consulte a documentação da sua aplicação para ver se você deve marcar a opção Desinstalar pacote existente e instalar o pacote de atualização ou a opção Atualizar o pacote sobre o existente.
- Clique em cancelar para fechar a caixa de diálogo.
- Clique em cancelar e saia do GPMC.
Você deve entender que nem todas as atualizações fazem sentido em todas as situações. Por exemplo, se os arquivos da versão nova forem incompatíveis com os da versão atual, então os usuários da versão atual podem não querer realizar a atualização sem antes tomar medidas para garantir que eles continuem acessando seus arquivos. Além disso, usuários podem ter alguma opção quanto a versão que desejam quando isso não afeta o suporte na rede.
Independente da razão para permitir essa flexibilidade, você deve estar atento para o fato que existem 2 tipos básicos de atualização disponíveis para os administradores disponibilizarem aos seus usuários.
Atualização Mandatória Força todos que possuem uma versão existente do programa a atualizar conforme o GPO. Usuários que por qualquer motivo nunca tenham instalado o programa terão a opção de instalar somente a versão mais nova, atualizada do programa.
Atualização Não-Mandatória Permite que os usuários escolham se querem ou não realizar a atualização. Esse tipo de atualização também permite que os usuários que não possuem a aplicação instalada possam escolher a versão que desejam instalar.
Verificar Instalação de Software
Para assegurar que as configurações de instalação de software que você definiu no GPO foram aplicadas, você pode fazer logon no domínio com um computador Windows Vista, Windows 7, 8 ou superior que esteja dentro da OU em que as configurações de software se apliquem. Quando você fizer o login, você irá notar duas mudanças. Primeiro a aplicação está instalada no computador (se não estava instalada anteriormente). Para acessar a aplicação, um usuário precisa clicar em um dos ícones dentro do grupo Programas no menu Iniciar. Também note que as aplicações estarão disponíveis para qualquer usuário que fizer logon no computador. Segundo, as configurações se aplicam a qualquer computador que estejam dentro da OU e para quaisquer usuários que façam logon nesses computadores.
Se você publicar uma aplicação para os usuários, a mudança pode não ser tão evidente, mas é igualmente útil. Quando você logar em um computador Windows Vista, Windows 7, 8 ou superior que seja membro do domínio e quando você usar uma conta de usuário da OU onde você publicou a aplicação, você poderá instalar qualquer uma das aplicações publicadas automaticamente. Em um computador Windows 7, 8 ou superior, você pode fazer isso acessando o item Programas no Painel de Controle. Clicando em Adicionar novos programas, você acessa uma tela com os programas disponíveis para instalação. Clicando no botão Adicionar você iniciará a instalação da aplicação publicada.
Configurar Atualizações Automáticas na Política de Grupo
Até agora você viu as vantagens de implantar aplicações de software em uma política de grupo. As políticas de grupo também oferecem uma maneira de instalar atualizações de sistema operacional pela rede para máquinas com o Windows XP, Windows Server 2003 e suas respectivas versões mais novas usando o Windows Update junto com o WSUS (Windows Server Update Service). Como você pode lembrar o WSUS é uma ferramenta de gerenciamento de patches (correções) que ajuda a instalar atualizações nos sistemas na sua rede de uma forma controlada.
O Windows Update está disponível através do site da Microsoft e é usado para prover os arquivos mais atualizados para os sistemas operacionais Windows. Exemplos de atualizações incluem correções de segurança, atualizações críticas, arquivos de ajuda atualizados e drivers atualizados. Você pode acessar o Windows Update clicando no ícone do Windows Update na bandeja do sistema ou dentro do Painel de Controle.
O WSUS é usado para aproveitar os recursos do Windows Update dentro de um ambiente corporativo através do download da atualizações do Windows para um servidor da empresa, que por sua vez fornece as atualizações para os clientes internos. Isso permite que os administradores testem e tenham controle total sobre quais atualizações são implantadas dentro do ambiente corporativo.
Dentro de uma rede empresarial que usa o Active Directory, você tipicamente iria ver as atualizações automáticas configuradas através de Política de Grupo. As políticas de grupo são usadas para gerenciar configurações gerais e de segurança via Active Directory. A Política de Grupo também é usada para especificar qual servidor um cliente irá usar para as atualizações automáticas.
Se o cliente WSUS fosse parte de uma rede empresarial que usa o Active Directory, você iria configurar o cliente via Política de Grupo.
Por hoje paramos por aqui…
Caso ainda não saiba aqui no blog tem um ebook com dicas para quem está se preparando para certificações Microsoft.
E tem um simulado completo para o exame 70-410.
Caso queira um livro completo (PDF) que contempla todos os objetivos do exame 70-410 acesse esse link.
Para ver todos os posts aqui do site clique no link “Blog” no menu principal na parte superior, você também pode usar a pesquisa aqui do lado direito, ou ainda clicar nas Tags ali para ver os posts por assunto.
Qualquer coisa me avise aqui pelos comentários ou lá pelo Facebook ou me mande email.
Sucesso!
Thiago Haise
Microsoft Certified Solutions Associate
Para ver todos os materiais disponíveis para serem adquiridos aqui na WiseOne acesse essa página.
Links -> Fanpage, Grupo, Linkedn