[A BÍBLIA DO VBA NO ACCESS]: MACROS E PROGRAMAÇÃO VBA NO ACCESS - CURSO COMPLETO

Páginas: 1164 | Autor: Júlio Battisti | 50% de Desconto e 21 Super Bônus

Você está em: PrincipalArtigosWindows 2003 Server › Capítulo 18 : 02
Quer receber novidades e e-books gratuitos?
›››
« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »
WINDOWS 2003 SERVER - CURSO COMPLETO
Autor: Júlio Battisti


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


Lição 159 - Capítulo 18 - Know-how em: Group Policy Objects – Fundamentação Teórica

Pré-Requisitos: Active Directory e principais objetos.
Metodologia: Apresentar os conceitos teóricos sobre o Group Policy Objects.

Introdução a Group Policy Objects.

Quem já trabalhou na administração de uma rede baseada no Windows sabe o quanto é trabalhoso (e com um custo elevado), manter a configuração de milhares de estações de trabalho rodando diversas versões do Windows. Existem diversas questões/problemas que tem que ser enfrentados:

• Como definir configurações de maneira centralizada, para que seja possível padronizar as configurações das estações de trabalho.

• Como impedir que os usuários possa alterar as configurações do Windows (diversas versões), muitas vezes inclusive causando problemas no Windows, o que faz com que seja necessário um chamado à equipe de suporte, para colocar a estação de trabalho novamente em funcionamento.

• Como aplicar configurações de segurança e bloquear opções que não devam estar disponíveis para os usuários de uma maneira centralizada, sem ter que fazer estas configurações em cada estação de trabalho. Quando houver alterações, eu gostaria de poder faze-las em um único local e ter estas alterações aplicadas em toda a rede ou em partes específicas da rede.

• Com fazer a instalação e distribuição de software de uma maneira centralizada, sem ter que fazer a instalação em cada estação de trabalho da rede.

• Como definir um conjunto de aplicações diferente, para diferentes grupos de usuários, de acordo com as necessidades específicas de cada grupo.

• Como aplicar diferentes configurações aos computadores de diferentes grupos de usuários, de acordo com as necessidades específicas de cada grupo.

A primeira tentativa de “responder” a estas necessidades, recorrentemente levantadas pelos administradores de redes baseadas no Windows foi a introdução das chamadas Polices e do Police Editor, juntamente com o Windows NT 4.0. Com o uso das Polices era possível definir uma série de configurações, as quais eram aplicadas à registry da estação de trabalho do usuário quando ele fizesse o logon no domínio. Por exemplo, era possível utilizar as Polices para impedir que um usuário do Windows 95/98/Me pressionasse a tecla ESC para cancelar a tela de logon e ter acesso ao Windows sem fazer o logon no domínio. Eu digo “uma primeira tentativa”, porque o uso de Polices não passou muito disso, uma tentativa, uma vez que muitas das demandas não foram atendidas por este recurso.

Já com o lançamento do Windows 2000 Server e com a introdução do recurso de GPOs, o administrador tem um recurso realmente poderoso, capaz de atender todas as demandas descritas anteriormente. É importante salientar que as GPOs somente são aplicadas a computadores com o Windows 2000, Windows XP ou Windows Server 2003. Estações de trabalho que ainda estejam com versões mais antigas do Windows, tais como Windows 95, Windows 98, Windows Me ou Windows NT 4.0, terão como único recurso de configuração o uso de Polices e do Police Editor. O recurso de GPOs não é aplicado a estas versões mais antigas.

Então em uma rede, onde você tem estações de trabalho com as novas versões do Windows (2000, XP e 2003) e estações de trabalho com versões mais antigas (95, 98, Me e NT 4.0), você terá que utilizar os dois recursos. Polices para as versões mais antigas do Windows, sempre levando em consideração as limitações deste recurso, em comparação com o uso de GPOs e usar GPOs para as estações de trabalho com versões mais novas do Windows.

As GPOs inclui configurações que são aplicadas a nível de usuário (ou seja, em qualquer estação de trabalho que o usuário faça o logon, as políticas associadas a sua conta de usuário serão aplicadas) e a nível de computador (ou seja, qualquer usuário que faça o logon no computador terá as políticas de computador aplicadas). Por exemplo, se o administrador definiu uma política de usuário para o grupo do usuário jsilva, de tal maneira que o menu Run (Executar) não deva estar disponível para este grupo. Em qualquer estação de trabalho que o jsilva fizer o logon,  o menu Run não estará disponível. Agora imagine que o administrador configurou uma política de computador, para o grupo de computadores da seção de contabilidade, definindo que o menu Run (Executar) não deve estar disponível nestes computadores. Qualquer usuário que faça o logon em um dos computadores da seção de contabilidade, não terá o menu Run sendo exibido, independentemente dos grupos aos quais pertença o usuário, uma vez que a política está sendo aplicada ao computador (independentemente do usuário que esteja utilizando-o).

Mas enfim, o que as GPOs podem fazer:

• Gerenciar centralizadamente, configurações definidas na registry do Windows, com base em templates de administração (Administrative Templates). As GPOs criam arquivos com definições da registry. Estes arquivos são carregados e aplicados na estação de trabalho do usuário, nas partes referentes a configuração de Usuários e configuração de Computador da registry. As configurações de usuário são carregadas na opção HKEY_CURRENT_USER (HKCU), da registry (No Capítulo 21 falarei um pouco mais sobre a Registry do Windows Server 2003). As configurações de computador são carregadas na opção HKEY_LOCAL_MACHINE (HKLM), da registry. A idéia é relativamente simples. Ao invés de ter que configurar estas opções em cada estação de trabalho, o administrador cria elas centralizadamente, usando GPOs. Durante o logon, o Windows aplica as configurações definidas na GPO.

• Atribuição de scripts: Com o uso de GPOs o administrador pode configurar um script para ser executando na inicialização e também no desligamento do Windows. Também podem ser definidos scripts de log on e log off.

• Redireção de pastas: O administrador pode configurar uma GPO para que pastas tais como Meus documentos e Minhas  imagens sejam redirecionadas para uma pasta compartilhada em um servidor. Com isso os dados do usuário passam a estar disponíveis no servidor e poderão ser acessados de qualquer estação de trabalho da rede, na qual o usuário faça o logon. Além disso, com os dados no servidor, é possível criar e implementar uma política de backup centralizada.

• Gerenciamento de software: Com o uso de GPO o administrador pode fazer a instalação de aplicações de uma maneira centralizada. É possível associar uma aplicação com um grupo de usuários. Quando o usuário fizer o logon, o ícone da aplicação já é exibido no menu Iniciar. Quando ele clicar neste ícone a aplicação será instalada a partir de um servidor da rede,cujo caminho foi configurado vai GPO. Também é possível publicar aplicações. Neste caso, ao fazer o logon, o usuário tem que acessar a opção Add/Remove Programs (Adicionar ou remover programas), do Painel de controle e solicitar que a aplicação seja instalada.

• Definir configurações de segurança:.

Para computadores executando o Windows 2000, Windows XP Professional ou Windows Server 2003, existe uma GPO localmente nestes computadores. Esta GPO pode ser utilizada para configurar uma série de opções do ambiente de trabalho do usuário. As configurações definidas na GPO local somente se aplicam ao computador onde as configurações estão sendo definidas. Algumas funcionalidades tais como distribuição de software e redireção de pastas não estão disponíveis na GPO local, somente em GPOs aplicadas no Active Directory, conforme descrito logo a seguir. A GPO local somente deve ser utilizada quando houver necessidade de uma configuração específica em um determinado computador. As configurações que se aplicam a grupos de computadores e usuários devem ser configuradas via GPOs aplicadas no Active Directory, já que isso facilita a configuração e atualização das configurações de uma maneira centralizada.

Nota: A GPO local é gravada, por padrão, na seguinte pasta: %systemroot%\System32\Grouppolicy.

Além da GPO local, podem ser aplicadas GPOs definidas no Active Directory, para aplicação nos computadores que fazem parte do domínio. Pode inclusive acontecer de haver “conflitos” de configurações entre a GPO local e uma ou mais GPOs do domínio. Neste caso existem configurações (que você aprenderá mais adiante), que definem, em caso de conflito, se deve ser aplicada a definição da GPO local ou a definição da GPO do domínio.

Existe uma GPO padrão para o domínio. Configurações feitas nesta GPO serão aplicadas a todos os usuários e computadores do domínio. Configurações gerais, que devam ser aplicadas a todos os objetos do domínio, devem ser definidas nesta GPO.

Outra GPO que existe por padrão é uma GPO associada com a OU Domain Controllers (Controladores de domínio). Esta GPO é aplicado somente aos DCs do domínio. Embora seja possível mover a conta de um DC para outra unidade organizacional, este não é um procedimento recomendado. Ao mover a conta de um DC da unidade organizacional Domain Controllers para outra unidade organizacional, a GPO padrão para os DCs deixará de ser aplicado ao DC que foi movido, pois esta GPO está ligada a unidade organizacional Domain Controllers.

Políticas de usuários e políticas de computador:

As políticas de usuários, isto é, políticas associadas a conta do usuário, são configuradas na opção User Configuration do console de administração de GPOs (o qual você aprenderá a utilizar mais adiante, neste capítulo) e são aplicadas quando o usuário faz o logon. Políticas de computador são configuradas através da opção Computer Configuration (Configurações de Computador) do console de administração das GPOs e são aplicadas quando o computador e inicializado. Existe também um intervalo de atualização, dentro do qual as políticas são reaplicados e quaisquer mudanças que tenham sido feitas pelo administrador, serão aplicadas aos usuários e computadores.

As políticas definidas no Active Directory são aplicadas somente a objetos do tipo usuário e computador. Por questões de desempenho, as políticas não podem ser configuradas para objetos do tipo Grupos. Porém é possível utilizar o mecanismo de permissões de acesso das GPOs, para limitar a aplicação de uma GPO somente a um ou mais grupos de usuários e computadores.

É possível criar objetos do tipo GPO e associa-los a diferentes elementos do Active Directory. Um objeto do tipo GPO pode ser criado e associado com o domínio, com uma unidade organizacional ou com um site. Além da GPO que pode ser criada localmente em cada computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, conforme descrito anteriormente.
As GPOs são aplicadas em uma ordem específica, caso esteja definida mais de uma GPO para o usuário que estiver fazendo o logon ou para o computador que está sendo reinicializado. Por exemplo, quando o usuário faz o logon, são aplicadas a GPO do domínio e mais (se houver), a GPO da unidade organizacional a qual pertence a sua conta e a GPO local da estação de trabalho que ele está utilizando. A ordem de aplicação das GPOs é a seguinte:

• A GPO local.
• GPO definida para o site ao qual pertence o computador.
• GPOs do domínio
• GPOs definidas a nível de unidade organizacional, da OU pai para a OU filho. Por exemplo, se foi criada uma OU “Divisão Sul” e, dentro desta OU as divisões: Finanças, Contabilidade e Vendas e a conta do usuário jsivla está na OU Vendas. Primeiro será aplicada a GPO da OU “Divisão Sul” e depois a GPO da OU Vendas.

Por padrão, as políticas aplicadas por último, tem precedência sobre as políticas aplicadas anteriormente. Por exemplo, a GOP de domínio é aplicada. Em seguida vem a GPO definida na Unidade Organizacional. Se houver um conflito entre a GPO de domínio e a GPO da unidade organizacional, irá prevalecer a configuração definida na GPO da unidade organizacional (aplicada por último). O administrador pode configurar a GPO de domínio (ou outras GPOs em qualquer nível), para que suas configurações não possam ser sobrescritas (substituídas) pelas configurações de GPOs de nível mais baixo, em caso de conflito. Por exemplo, o administrador pode definir na GPO de domínio, que nenhum usuário terá acesso ao menu Run (Executar) e marcar a GPO onde está esta configuração com a opção No override (Não sobrescrever). Com isso, mesmo que exista um GPO em uma unidade organizacional, permitindo o uso do comando Run, esta configuração não será aplicada, uma vez que a GPO do domínio não permite que sejam alteradas suas configurações em caso de conflito. Este mecanismo é uma maneira que o administrador tem, de garantir que determinadas configurações sejam aplicadas em todo o domínio, independentemente das configurações que são efetuadas em nível de unidade organizacional.

Novidades no Windows Server 2003.

O Windows Server 2003 aprimorou o mecanismo de GPOs do Windows 2000 Server e introduziu novas funcionalidades, que facilitam ainda mais o trabalho do administrador.

A seguir apresento uma lista das novidades introduzidas pelo Windows Server 2003, em relação ao recurso de Group Policy Objects:

• Templates de administração (Administrative templates): Foram introduzidas 220 novas opções de configuração via GPO, em relação as configurações existentes. Também foram criados arquivos de help com a descrição completa de todas as configurações disponíveis em cada um dos templates. Na Figura 18.1, é exibido o arquivo de ajuda, no qual estão descritas todas as opções de configuração do template Ineteres.adm, o qual contém as opções de configuração do Internet Explorer. O arquivo de ajuda apresenta uma descrição detalhada de todas as opções de configuração disponíveis.


Figura 18.1 O arquivo de ajuda do template de configuração do Internet Explorer via GPO.

• Novos comandos: O comando gpupate é utilizado para atualizar as polices aplicadas ao computador ou ao usuário logado e substitui o comando command secedit /refreshpolicy, utilizado no Windows 2000 Server. O comando gpresult (disponibilizado no Resource Kit do Windows 2000 Server) foi aprimorado e agora está disponível com o Windows XP Professional, Windows XP edição de 64 bits e em todas as edições do Windows Server 2003.

• Redireção de pastas: Ficou mais fácil fazer a redireção de pastas, usando GPOs. Agora o administrador não precisa mais utilizar variáveis de ambiente tais como %username%, como parte do caminho de redireção. Existe uma nova opção para redirecionar a pasta Meus documentos para o diretório home do usuário (para detalhes sobre o diretório home, consulte o tópico sobre User profile, no Capítulo 9). Esta opção é para uso em ambientes onde o mecanismo de roaming profiles e diretório home já está implementado.

• Instalação de software: Existem novas opções que permitem que sejam habilitada ou desabilitada a disponibilidade de aplicações de 32 bits, em computadores rodando versões de 64 bits do Windows (Windows XP edição de 64 bits ou Windows Server 2003 edição de 64 bits). Também existe uma nova opção para habilitar/desabilitar a publicação de informações sobre as classes OLE de um pacote de software. Mas a novidade que eu achei mais interessante, mais útil para o administrador é a opção para forçar que uma aplicação que foi associada com o usuário, seja automaticamente instalada, antes mesmo de o usuário ter clicado no ícone da aplicação. Ou seja, quando o usuário clicar no ícone da aplicação ele já terá sido instalada e não será necessária a instalação através da rede.

• Resultant Set of Policy (Conjunto resultante de políticas) - RSoP: E de todas as novidades, sem dúvidas, esta é a mais útil. Esta é uma nova ferramenta (que você aprenderá a utilizar na prática), a qual facilita a resolução de problemas relacionados às políticas de segurança. Com esta ferramenta o administrador pode ter uma descrição detalhada do conjunto efetivo de políticas que está sendo aplicado a um usuário e poderá corrigir erros existentes.

• Suporte entre florestas: Com o Windows Server 2003 é possível gerenciar e aplicar políticas para objetos e usuários localizados em florestas remotas, as quais mantenham relações de confiança com a floresta na qual você trabalha. Esta novidade é conseqüência do mecanismo de relação de confiança entre florestas, o qual também é uma novidade do Windows Server 2003. Com este mecanismo também é possível usar a ferramenta RsoP em florestas remotas.

Entendendo como é feito o processamento e aplicação das GPOs.

Este é um item que eu considero de fundamental importância para o administrador. Configurar as GPOs, conforme você verá mais adiante, é relativamente simples, com o uso do console de administração das GPOs.

Porém, mais do que saber configurar as GPOs, o administrador precisa entender exatamente como as GPOs são processadas e aplicadas às estações de trabalho e aos usuários. Com este entendimento, o administrador tem condições de planejar as políticas a serem implementadas e também de resolver problemas relacionados a aplicação das GPOs. Por isso é fundamental que o administrador entenda, exatamente, como é feito o processamento e aplicação das GPOs.

No NT Server 4.0 as configurações de Polices são armazenadas em um arquivo com a extensão .pol, arquivo este que é gravado no compartilhamento NETLOGON do PDC e de todos os BDCs do domínio. Para clientes Windows 9x/Me o arquivo deve ter o nome config.pol e para clientes com o NT 4.0, o arquivo deve ter o nome ntconfig.pol. As configurações definidas neste arquivo são carregadas durante o logon e aplicadas à registry da estação de trabalho do usuário. As configurações de usuário são carregadas na opção HKEY_CURRENT_USER (HKCU), da registry. As configurações de computador são carregadas na opção HKEY_LOCAL_MACHINE (HKLM), da registry.

Já no Windows Server 2003 o processamento das GPOs segue caminhos bem diferentes, os quais serão descritos neste item.

No NT Server 4.0 um único conjunto de políticas é aplicado ao usuário/computador, conjunto este que é definido no arquivo .POL, carregado quando o computador é inicializado e o usuário faz o logon. Já no Windows Server 2003 (e também no Windows 2000 Server), mais de um conjunto de políticas pode ser aplicado ao mesmo usuário/computador. Por exemplo, imagine o usuário jsilva, do domínio abc.com, cuja conta está na OU Vendas, dentro da OU RegiãoSul. Para este usuário, será aplicada a GPO local, mais a GPO do domínio (uma ou mais GPOs que estiverem definidas no domínio abc.com), mais o conjunto de GPOs definidas para a OU RegiãoSul e mais o conjunto de GPOs definidas para a OU Vendas

As configurações das GPOs são armazenadas em uma estrutura de pastas e arquivos dos DCs do domínio. Estas informações são gravadas na pasta SYSVOL e são replicadas para todos os DCs do domínio. Na Figura 18.2 apresento uma visão geral da pasta onde ficam gravadas as informações sobre as GPOs do domínio abc.com (C:\WINDOWS\SYSVOL\sysvol\abc.com\Policies), onde o Windows Server 2003 está instalado na pasta Windows, no drive C:


Figura 18.2 A pasta com informações das GPOs.

Cada pasta representa uma determinada GPO. Ao abrir uma destas pastas, será exibido o seguinte conteúdo:

• Pasta Adm: Contém os arquivos com os templates administrativos.

• Pasta Scripts: Se houver scripts definidos neste template, esta pasta conterá os scripts e arquivos relacionados.

• Pasta MACHINE: Contém as configurações que se aplicam a computadores. Esta pasta contém um arquivo chamado Registry.pol, o qual contém as configurações de registry que serão aplicadas ao computador durante a inicialização (veja os passos de aplicação das polices durante a inicialização do computador, mais adiante). Quando o computador é inicializado, é feito o download do arquivo Registry.pol e são aplicadas as configurçaões definidas neste arquivo. As configurações são aplicadas na opção HKEY_LOCAL_MACHINE, da registry.

• Pasta USER: Contém as configuração que se aplicam a usuários. Esta pasta contém um arquivo chamado Registry.pol, o qual contém as configurações de registry que serão aplicadas ao ao usuário quando este fizer o logon (veja os passos de aplicação das polices durante a inicialização do computador, mais adiante). Quando o computador é inicializado, é feito o download do arquivo Registry.pol e são aplicadas as configurçaões definidas neste arquivo. As configurações são aplicadas na opção HKEY_CURRENT_USER, da registry

• Arquivo GPT.INI: Informações sobre a versão da GPO. Utilizada pelo serviço de replicação.

Abra uma destas pastas, por exemplo a pasta Adm. Serão exibidos os templates administrativos disponíveis, conforme exemplo da Figura 18.3:


Figura 18.3 Templates administrativos.

Em resumo: As informações sobre as GPOs são gravadas em uma estrutura de pastas e arquivos, dentro da pasta SYSVOL. Esta estrutura é replicada para todos os DCs do domínio. As informações gravadas na pasta SYSVOL são os chamados modelos de GPOs, oficialmente conhecidos como Group Policy Template (GPT). O template é que define quais opções de configuração estarão disponíveis. Por exemplo, o template de GPO para usuários define quais opções de usuários poderão ser configuradas via GPO. Quando uma nova GPO é criada, o Windows Server 2003 cria a GPO com base nos templates da pasta Sysvol. A nova GPO que é criada e as configurações nela definidas são armazenadas no Active Directory. Esta GPO é conhecida como GPC – Group Policy Container. Ou seja, uma GPO é criada com base em um modelo (GPT, armazenado na pasta SYSVOL). O modelo define quais opções de configuração estarão disponíveis. Após criada e configurada, a GPO é salva na base de dados do Active Directory, quando é conhecida como GPC – Group Policy Container. Estas definições muitas vezes se confundem. Nos exemplos práticos, quando você aprenderá a criar e a configurar as políticas, usarei sempre o termo genêrico GPO.
Toda GPO é dividida em duas partes também conhecidas como seções:

• Seção do usuário.
• Seção do computador.

Conforme o próprio nome sugere, estas seções contém as configurações específicas aplicadas a usuários ou computadores especificamentes. Quando um computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, pertencente ao domínio é inicializado, o Windows verifica se existem novas GPOs ou alterações nas GPOs existentes e aplica as configurações definidas na seção do computador (independentemente de algum usuário ter feito o logon ou não).  Quando o usuário faz o logon no domínio (em qualquer computador da rede com uma das versões do Windows descritas no início do parágrafo), oWindows verifica se existem GPOs a serem aplicadas a este usuário ou alterações nas GPOs já aplicadas e aplica as configurações definidas na seção de usuário destas GPOs. Estas informações, ficam gravadas no Active Directory. Conforme descrito anteriormente (estou insistindo neste ponto porque ele é muito importante), uma GPO é criada com base nos modelos armazenados na pasta Sysvol (GPT- Group Policy Templates). Uma vez criada e configurada, a GPO é salva no Active Directory (tornando-se uma GPC – Group Policy Container). Quando um usuário faz o logon o Windows Server 2003 verifica no Active Directory se existem GPCs a serem aplicadas para o usuário. Quando um computador é inicializado, o Windows Server 2003 verifica no Active Directory, se existem GPCs a serem aplicadas ao computador. É isso.

Detalhando a ordem de processamento das GPOs.

As GPOs são processadas na seguinte seqüência:

1.         GPO Local: Cada computador com o Windows 2000, Windows XP Professional ou Windows Server 2003, possui uma GPO local, a qual é aplicada em primeiro lugar, antes das demais GPOs que possam estar disponíveis.
2.         GPO associada ao site do qual faz parte o computador que está sendo inicializado. Lembre (Capítulo 5 e 17), que um site é definido por uma ou mais sub-redes. O Windows Server 2003 identifica a qual site pertence um computador, pelas identificação de rede do computador (propriedades do Protocolo TCP/IP, veja Capítulo 2).
3.         GPOs associadas ao domínio: Em seguida são processadas as GPOs associadas ao domínio, conforme a ordem de execução definida pelo administrador. Na parte prática você aprenderá a criar GPOs de domínio e a definir a ordem de aplicação destas GPOs.
4.         GPOs associadas a todas as OUs do caminho. Por exemplo, se um computador pertence a OU Vendas, que está dentro da OU RegiãoSul, primeiro serão aplicadas as GPOs da OU RegiãoSul, para depois serem aplicadas as GPOs associadas a OU Vendas. Quando houver mais de uma GPO associada a mesma OU, as GPOs serão aplicadas na seqüência que foi definida pelo administrador.

Com esta seqüência, as GPOs aplicadas por último tem preferência em relação as que são aplicadas anteriormente. Por exemplo, se na GPO do domínio está que o usuário não deve ter acesso ao comando Start -> Run (Iniciar -> Executar), porém na GPO da OU do usuário este comando está habilitado, valerá a configuração da GPO da OU, ou seja, comando habilitado, uma vez que esta GPO será aplicada por último. O administrador tem meios para fazer com que uma GPO de nível mais alto, como por exemplo a GPO de domínio, não tenha suas configurações sobrescritas por GPOs de nível mais baixo, aplicadas por último, como uma GPO associada a uma unidade organizacional. Para implementar esta configuração, o administrador marca a opção “No Override” (Não sobrescrever), conforme você aprenderá na parte prática.

Algumas excções na ordem de aplicação das GPOs:

• Qualquer GPO que estiver associada a um site, domínio ou unidade organizacional (a única exceção é a GPO local), poderá ser configurada com a opção “No Override”, de tal maneira que suas configurações não possam ser sobrescritas pelas GPOs que serão aplicadas depois. Caso duas GPOs, no mesmo caminho, tenham esta opção marcada, valerá a configuração da GPO que estiver mais acima na hierarquia de objetos. Por exemplo, se uma GPO de domínio está marcada com a opção No Override e uma GPO de uma unidade organizacional também esta marcada com a opção No Override, em caso de conflito nas configurações destas duas GPOs, valerá a configuração da GPO de domínio, que é a que está mais acima na hierarquia de objetos do Active Directory.

Importante: Deve ser observado que a propriedade No Override é uma propriedade da ligação da GPO com o domínio, site ou unidade organizacional. Esta não é uma propriedade da GPO propriamente dita. Uma GPO poderá ser associada em diferentes locais no Active Directory. Por exemplo posso associar uma determinada GPO com o domínio e também com uma ou mais unidades organizacionais do domínio. Em uma das associações posso habilitar a opção No Override, em outras não e assim por diante. Lembre (principalmente para os exames de certificação do MCSE 2003): A propriedade No Override é uma propriedade da ligação (objeto do tipo link) entre uma GPO e um domínio, site ou unidade organizacional e não uma propriedade da GPO propriamente dita.
 
Computadores que não façam parte do domínio, como por exemplo computadores configurados para fazer parte de um Workgroup, irão processar e aplicar apenas a GPO local, uma vez que todas as demais GPOs são carregadas a partir do Active Directory. Como o computador não faz parte do domínio, ele não tem acesso ao Active Directory.

O recurso de loopback.

Existe um recurso avançado das polices, o qual é conhecido como Loopback. Este recurso é especialmente recomendado para computadores que estão conectados à rede da empresa mas com acesso ao público externo, como por exemplo em quiosques de informação ao público, terminais de auto-atendimento e computadores de salas de treinamentos.

O recurso de Loopback permite que você defina uma ordem alternativa para aplicação das GPOs. Lembrando que a ordem padrão é: local, site, domínio e unidade organizacional. O recurso de Loopback pode ser configurado com os valores Not configured (Não configurado), Enabled (Habilitado) ou Disabled (Desabilitado). Se este recurso for habilitado, ele poderá ser configurado com as opções Merge ou Replace, conforme descrito a seguir:

• Loopback configurado com a opção Replace: Com este método, a lista de execução padrão (que define a seqüência de aplicação das GPOs) será substituída pela lista definida no próprio computador.

• Loopback configurado com a opção Merge: Com este método, a lista de execução padrão (que define a seqüência de aplicação das GPOs) será concatenada com lista definida no próprio computador. As GPOs obtidas a partir da lista definida no próprio computador serão aplicadas por último, o que fará com que estas GPOs tenham precedência em relação as GPOs definidas pela lista padrão, obtida a partir do Active Directory.

Ordem de eventos quando o computador é inicializado e o usuário faz o logon:

Neste item descrevo a ordem de eventos que ocorrem quando um comutador é inicializado e quando o usuário faz o logon.. Considerando um computador que pertence ao domínio e possui o Windows 2000, Windows XP Professional ou Windows Server 2003, instalado,

1.         O computador é ligado, o Windows é inicializado e os serviços de rede são carregados.
2.         Uma lista ordenada de objetos do tipo GPO é obtida pela computador. A maneira como esta lista é obtida, depende dos seguintes fatores:
2.1.      O computador deve fazer parte do domínio e obter esta lista a partir das informações do Active Directory. Se o computador não fizer parte do domínio, apenas a GPO local será aplicada.
2.2.      A lista depende de onde está contida a conta do computador, no Active Directory. Por exemplo, a unidade organizacional onde encontra-se a conta, definirá quais GPOs serãa plicadas, as configurações de rede definem a qual site pertence o computador e quais GPOs de site (se houver alguma), serão aplicadas e assim por diante.
2.3.      De a lista de GPOs ter sido alterada desde a última inicialização. Se a lista de GPOs não foi alterada, nenhum processamento será feito.
3.         As configurações relativas a computador serão aplicadas, a partir da lista de GPOs obtidas. As GPOs são aplicadas na ordem descrita anteriormente: local, site, domínio e unidade organizacional.
4.         Se houver um script de inicialiação configurado ele será executado. Pode haver mais de um script de inicialiação configurado. Neste caso eles serão executados na ordem em que foram definidos e de maneira síncrona, ou seja, um script é executado e somente que ele concluir a sua execução, o próximo será executado e assim por diante. Existem também um tempo máximo de execução para cada script, que por padrão é de 600 segundos. Se o script não terminar a sua execução neste tempo, ele será encerrado e o próximo script (se houver) será inicializado.
5.         Após terem sido feitos estes processamentos, a tela de logon é exibida. O usuário pressiona CTRL-ALT-DEL para fazer o logon.
6.         O usuário digita as suas informações de logon e é validado por um dos DCs da rede. Após a validação do usuário, a su profile é carregada.
7.         Uma lista ordenada de objetos do tipo GPO é obtida pela usuário. A maneira como esta lista é obtida, depende dos seguintes fatores:
7.1.      Se o usuário está fazendo o logon no domínio e, portanto, recebendo a lista de GPOs a serem aplicadas a partir do Active Directory.
7.2.      Se o recurso de Loopback está habilitado e, estando habilitado, qual opção está definida (Merge ou Replace).
7.3.      A lista depende de onde está contida a conta do usuário, no Active Directory. Por exemplo, a unidade organizacional onde encontra-se a conta, definirá quais GPOs serão plicadas.
2.3.      De a lista de GPOs ter sido alterada desde a última inicialização. Se a lista de GPOs não foi alterada, nenhum processamento será feito. Este comportamento pode ser alterado.
8.         As configurações relativas ao usuário serão aplicadas, a partir da lista de GPOs obtidas. As GPOs são aplicadas na ordem descrita anteriormente: local, site, domínio e unidade organizacional.
9.         O script de logon definidos nas GPOs serão executados. Estes scripts são executados sem que seja exibida uma tela de execuação dos scripts e de maneira síncrona, ou seja, um após  o outro, conforme descrito para a execução de scripts de inicialização. O script de logon, definido nas propriedades da conta do usuário, no Active Directory, será executado após a execução dos scripts definidos via GPOs. Este script é executado e uma janela do prompt de comando é exibida. Observe que podem ser executados vários scripts de logon, em seqüência, sendo que estes scripts são definidos nas GPOs que se aplicam ao usuário e o último script a ser executado é o script de logon definido nas propriedades da conta do usuário, no Active Directory.
10.       A área de trabalho do usuário é carregada e o Windows está pronto para ser utilizado.
Alguns casos especiais em relação a execução das polices:

• Pode acontecer uma situação em que o usuário está fazendo o logon em um computador que pertence a um domínio do NT Server 4.0, porém fazendo o logon em um domínio baseado no Windows Server 2003 (sendo que existem relações de confiança entre os domínios). Neste caso, para as configurações de computador serão aplicadas as configurações definidas no sistema de Polices do NT 4.0 e para o usuário, será aplicada a parte relativa as configurações de usuário, das GPOs definidas no domínio de origem do usuário. Pode ocorrer o contrário, ou seja, a conta de computador ser de um domínio do Windows Server 2003 e a conta do usuário de um domínio do NT Server 4.0. Neste caso serão aplicadas as configurações de computador, obtidas via GPO e as configurações de polices definidas para o usuário, no domínio de origem da conta.

• Se for um computador com o Windows XP Professional ou Windows Server 2003, porém pertencente a um domínio baseado no NT Server 4.0, somente serão aplicadas as plices do NT Server 4.0, já que em um domínio baseado no NT Server 4.0 não existe o conceito de GPO.

Entendendo como funciona o mecanismo de herança – Policy inheritance

Por padrão, as GPOs são aplicadas a partir do objeto pai (a raiz do domínio), passando pelos objetos filho, até a unidade organizacional onde está a conta do usuário ou do computador. É importante salientar este funcionamento é dentro de um mesmo domínio, não existe uma herança de GPOs entre domínios. Por exemplo, as GPOs aplicadas em um domínio raiz abc.com, não serão herdadas e aplicadas nos domínios filho, tais como vendas.abc.com e rh.abc.com.

Porém dentro do domínio, o funcionamento é o padrão descrito nos itens anteriores. Se você associar uma GPO com um determinado elemento do Active Directory (um domínio ou uma unidade organizacional), as configurações desta GPO também serão aplicadas a todos os objetos contidos nos elementos filho. Por exemplo, se você aplicar uma GPO no domínio, todos os objetos do domínio receberão as configurações desta GPO. Se você aplicar uma GPO a uma unidade organizacional, todos os objetos (inclusive objetos contidos em unidades organizacionais dentro da unidade organizacional que está sendo configurada) contidos nesta unidade organizacional receberão estas configurações. Porém é importante lembrar que, ao associar uma GPO com um objeto filho (por exemplo uma unidade organizacional), as configurações desta GPO irão sobrescrever as configurações do objeto Pai (por exemplo o domínio), pois são executadas por último, a não ser que o mecanismo de No Override tenha sido habilitado na GPO do objeto Pai.

Para entender os conceitos apresentados a seguir, vamos considerar o exemplo de um domínio chamado abc.com, no qual foi criad uma unidade organizacional chamada Sul. Dentro desta unidade organizacional foi criada uma outra unidade organizacional chamada Vendas. Para a discussão que apresentarei a seguir, Sul é referenciada como OU pai (em Inglês é usado o termo Parent) e Vendas é referenciada como OU filho (em Inglês é usado o termo child).

Se nas configurações de GPO da OU pai, houver itens que estão marcados como Não configurados, a OU filho não irá herdar estes itens “não configurados”. Lembrando que a maioria das opções pode ser marcada como Enabled (Habilitada), Disabled (Desabilitada) ou Not deffined (Não definida). As opções que tiverem o valor padrão como desabilitado, também serão definidas como desabilitado na OU filho. As opções que estiverem configuradas na OU pai, habilitadas ou desabilitadas (não confundir com aquelas que tem o valor padrão como desabilitada) e as respectivas opções não estiverem configuradas na OU filho, serão herdadas pela OU filho, com o mesmo valor definido na OU pai (habilitada ou desabilitada). Se uma determinada opção estiver configurada na OU filho, valerá o que está configurado na OU filho, a não ser que a opção No Override tenha sido definida na GPO da OU pai.

Se as configurações definidas na OU pai e as políticas definidas em uma OU filho são compatíveis, isso é, se não houver conflito, a OU filho irá herdar as definições da OU pai e irá aplicá-las normalmente na OU filho.

Se houver configurações definidas na OU pai, as quais são incompatíveis com as configurações definidas na OU filho (por exemplo, uma determinada police está habilitada na GPO da OU pai e desabilitada na police da OU filho), estas configurações não serão herdadas pela OU filho. Será aplicada a configuração definida na OU filho.

Como bloquear a herança (Blocking inheritance):

A herança pode ser bloqueada tanto em níevel de domínio quanto em nível de unidade organizacional. Esta opção é configurada nas propriedades do domínio ou da OU respectivamente, conforme você aprenderá na parte prática, mais adiante.

Forçando a herança (Enforcing inheritance):

Para forçar a herança, ou seja, para fazer com que os objetos filho, obrigatoriamente, tenham que aplicar as configurações definidas no objeto pai, você utiliza a opção No Override, já descrita anteriormente e que será exemplificada na parte prática. Ao marcar esta opção, você fora todos os objetos filho a herdarem as configurações definidas no objeto Pai, mesmo que existam conflitos de configuração e mesmo que a opção Blocking inheritance tenha sido habilitada no objeto filho.

Algumas observações importantes:

• Polices que foram configuradas com a opção No Override serão aplicadas, independentemente das configurações existentes nos objetos filho.

• As opções No Override e Blocking inheritance devem ser utilizadas com cautela, pois o uso muito intensivo destes recursos, torna difícel o trabalho de identificar e resolver problemas de configuração, quando não se está obtendo o resultado desejado.

Exemplos práticos de uso das opções “No Override” e “Block Policy inheritance”.

Neste tópico vou descrever algumas situações práticas, onde o uso das configurações “No Override” e “Block Policy inheritance” se aplica.

Situação 01: Como administrador do domínio abc.com você gostaria de implementar um conjunto de configurações usando GPO. Este conjunto deve ser aplicado a todos os computadores e usuários dos domínios.  Essas configurações não devem ser sobrescritas por GPOs ligadas a objetos filhos, tais como GPOs ligadas a OUs do domínio. Qual a solução para a situação descrita?

Esta é uma situação de solução bastante simples e ao mesmo tempo muito comum. Neste caso, como as configurações devem ser aplicadas a todos os usuários e computadores do domínio, elas devem ser feitas na GPO padrão do domínio, com a qual você aprenderá a trabalhar mais adiante. Para que estas configurações não possam ser sobrescritas por configurações definidas nas GPOs dos objetos filho, você deve marcar a opção No Override, na guia Group Policy (botão Options...) da janela de propriedades do domínio. Este é um exemplo típico (talvez o mais típico que possa ser imaginado) de onde é necessário a utilização da propriedade No Override.

Situação 02: Como administrador do domínio abc.com você gostaria de implementar um conjunto de configurações usando GPO. Este conjunto deve ser aplicado a todos os computadores e usuários dos domínios.  Existe uma única OU do domínio, na qual devem ser aplicadas configurações especiais e não devem ser aplicadas as configurações definidas na GPO padrão do domínio. Nesta OU estão as contas de usuários e computadores do setor de pesquisa, e uma série de configurações especiais de segurança devem ser aplicadas via GPO. Qual a solução para a situação descrita?

Nesta situação o administrador deve configurar a GPO padrão do domínio, com as configurações que serão utilizadas pela maioria dos usuários e computadores, com exceção dos usuários e computadores da OU Pesquisa. Na OU pesquisa, crie e configure uma GPO com as configurações exigidas pelos usuários e computadores desta OU. Marque a opção Block Policy inheritance, na guia Group Policy da janela de propriedades da OU pesquisa. Com esta configuração a OU pesquisa não irá herdar as definições de GPOs aplicadas ao domínio e somente será aplicadas as GPOs definidas na próprio OU Pesquisa, que é exatamente o que deve ser feito para solucionar a questão proposta.

Bem, sobre a teoria inicial de GPOs era isso. Agora você aprenderá uma série de ações práticas sobre GPOs. Após as ações práticas falarei sobre uma outra funcionalidade muito importante das GPOs que é a distribuição de software. Durante os exemplos práticos serão apresentados diversos conceitos relacionados com o tópico que está sendo exemplificado.


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »

Best Sellers de Excel do Julio Battisti

Todos com Vídeo Aulas, E-books e Planilhas de Bônus!

Aprenda com Júlio Battisti:
Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos - Passo a Passo

 Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

 

Autor: Júlio Battisti | Páginas: 540 | Editora: Instituto Alpha

 

[Livro]: Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 952 | Editora: Instituto Alpha

 

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1124 | Editora: Instituto Alpha

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1338 | Editora: Instituto Alpha

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

Todos os livros com dezenas de horas de vídeo aulas de bônus, preço especial (alguns com 50% de desconto). Aproveite. São poucas unidades de cada livro e por tempo limitado.

Dúvidas?

Utilize a área de comentários a seguir.

Me ajude a divulgar este conteúdo gratuito!

Use a área de comentários a seguir, diga o que achou desta lição, o que está achando do curso.
Compartilhe no Facebook, no Google+, Twitter e Pinterest.

Indique para seus amigos. Quanto mais comentários forem feitos, mais lições serão publicadas.

Quer receber novidades e e-books gratuitos?
›››

Novidades e E-books grátis

Fique por dentro das novidades, lançamento de livros, cursos, e-books e vídeo-aulas, e receba ofertas de e-books e vídeo-aulas gratuitas para download.



Institucional

  • Quem somos
  • Garantia de Entrega
  • Formas de Pagamento
  • Contato
  • O Autor
  • Endereço

  • Júlio Battisti Livros e Cursos Ltda
  • CNPJ: 08.916.484/0001-25
  • Rua Vereador Ivo Cláudio Weigel, 537 Universitário
  • Santa Cruz do Sul/RS
  • CEP 96816-208
  • Todos os direitos reservados, Júlio Battisti 2001-2017 ®

    [LIVRO]: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2010 - PASSO-A-PASSO

    APRENDA COM JULIO BATTISTI - 1124 PÁGINAS: CLIQUE AQUI