[A BÍBLIA DO VBA NO ACCESS]: MACROS E PROGRAMAÇÃO VBA NO ACCESS - CURSO COMPLETO

Páginas: 1164 | Autor: Júlio Battisti | 50% de Desconto e 21 Super Bônus

Você está em: PrincipalArtigosWindows 2003 Server › Capítulo 18 : 03
Quer receber novidades e e-books gratuitos?
›››
« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »
WINDOWS 2003 SERVER - CURSO COMPLETO
Autor: Júlio Battisti


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


Lição 160 - Capítulo 18 - Know-how em: Implementação e Administração de GPOs

Pré-Requisitos: Conceitos básicos de GPO e do Active Directory.
Metodologia: Executar as ações práticas de implementação e administração de GPOs.
Técnica: Exemplos práticos, passo-a-passo.

Neste tópico apresentarei uma série de itens relacionados a implementação, configuração e administração das GPOs. A medida que forem sendo apresentados os exemplos, também apresentarei a teoria associada. Você aprenderá desde como abrir o console para administração das GPOs, como fazer as configurações básicas e passará por tópicos mais avançados, tais como a descrição detalhada de como as informações sobre GPOs são armazenadas no Active Directory e como utilizar o recurso de distribuição de software via GPOs.

O console de administração das GPOs.

Existe um console especialmente criado para a criação, configuração e administração das GPOs. Este console pode ser aberto de várias maneiras. Uma das mais utilizadas é através da janela de propriedades do domínio ou da janela de propriedades de uma OU do domínio. Nestas janelas está disponível uma guia chamada Group Policy, na qual são listadas as GPOs que estão sendo aplicadas. Você também pode criar um console personalizado e adicionar somente o Snap-in para administração das GPOs.

Eu, particularmente, prefiro acessar o console através das propriedades do domínio ou das propriedades de uma OU, pois com este método tenho uma visão geral da hierarquia de objetos do Active Directory e posso, rapidamente, acessar administrar as GPOs de cada objeto. Neste item mostrarei os passos necessários para acessar o console de administração das GPOs, tanto usando o Active Directory Users and Computers, quanto criando um console persnalizado para carregar o Snap-in de administração das GPOs.

Método 01 – Para criar um console personalizado, no qual é carregado o console de administração das GPOs – Group Policy Object Editor, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Execute o comando Start -> Run (Iniciar -> Executar).
3.         No campo Open (Abrir) digite mmc e clique em OK.
4.         Será aberto o MMC sem nenhum Snap-in carregado. Agora vamos adicionar o Snap-in de administração das GPOs - Group Policy Object Editor.
5.         Selecione o comando File -> Add/Remove Snap-in... (Arquivo -> Adicionar/Remover Snap-in...). Será aberta a janela Add/Remove  Snap-in. Clique no botão Add... (Adicionar...)
6.         Será exibida uma janela com a lista de todos os Snap-in disponíveis no servidor. Localize na lista de Snap-ins, a opção Group Policy Object Editor e dê um clique para selecioná-la, conforme indicado na Figura 18.4


Figura 18.4 Selecionando o Snap-in Group Policy Object Editor.

7.         Clique no botão Add...
8.         Selá aberta uma janela onde você define se deseja gerenciar as GPOs do servidor local ou ou de um outro objeto a ser selecionado. Se você aceitar a opção  Local Computer (Computador local), será carregada a GPO local. No nosso exemplo vamos conectar com a GPO padrão do domínio. Clique no botão Browse... (Procurar...). Será exibida a janela Browse for a Group Police Object, com as polices disponíveis no domínio já sendo exibidas. Clique na opção Default Domain Policy, conforme indicado na Figura 18.5 e clique em OK. Você estará de volta a janela para definir a GPO a ser carregada. Clique em Finish (Concluir) para fechá-la.


Figura 18.5 Acessando a GPO padrão do domínio abc.com.

9.         Você esterá de volta à janela com a lista de Snap-ins disponíveis. Clique em Close (Fechar) para fechar esta janela.
10.       Você estará de volta à janela Add/Remove Snap-in (Adicionar/Remover Snap-in), com o Snap-in Group Policy Object Editor já sendo listado. Clique em OK para fechá-la.
11.       O Snap-in Group Policy Object Editor será carregado no MMC e estará disponível para uso, conforme indicado na Figura 18.6:


Figura 18.6 O Snap-in Group Policy Object Editor  já carregado.

Nota: Você pode repetir os passos de 5 a 11 para adicionar outras GPOs ao console que está sendo criado. Por exemplo, se existem cinco diferentes GPOs definidas no domínio e em OUs do domínio, você pode adicionar as cinco GPOs em um único console. Com isso, usando um único console, você pode administrar todas as GPOs do domínio.

12.       Agora vamos salvar este console. Vou salvá-lo na Área de trabalho com o nome de GPO Padrão do Domínio. Selecione o comando File -> Save (Arquivo -> Salvar).
13.       Será aberta a janela Save As (Salvar como). Navegue até a área de trabalho e no campo para o nome do console digite GPO Padrão do Domínio e clique em Save (Salvar).
14.       Pronto, foi criado um console de administração da GPO padrão do domínio.

Agora vou mostrar como acessar, rapidamente, qualquer GPO configurada no domínio ou em uma OU do domínio.

Método 02 – Utilizar o console Active Directory Users and Computers (Usuários e Computadores do Active Directory) para acessar, rapidamente, as GPOs configuradas no domínio:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers: Start -> Administrative Tools -> Active Directory Users and Computers (Iniciar -> Ferramentas administrativas -> Usuários e Computadores do Active Directory).
3.         Para abrir a GPO padrão do domínio, dê um clique no domínio desejado e, no menu de opções que é exibido, clique em Properties. Será exibida a janela de propriedades do domínio.
4.         Clique na guia Group Policy. Será exibida a lista de GPOs definidas para o domínio, conforme indicado na Figura 18.7. Observe que, por padrão, está associada uma única GPO, chamada Default Domain Policy.


Figura 18.7 Lista de GPOs para o domínio abc.com.

5.         Clique na GPO Default Domain Policy para selecioná-la e em seguida clique no botão Edit. Será aberto o console Group Policy Editor com a GPO Default Domain Policy carregada.
6.         Feche este console.
7.         Clique com o botão direito do mouse em uma das unidades organizacionais criadas pelo administrador desejado e, no menu de opções que é exibido, clique em Properties. Será exibida a janela de propriedades do domínio.
8.         Clique na guia Group Policy. Observe que, por padrão, nenhuma GPO é definida a nível de unidade organizacional. Nos próximos exemplos você aprenderá a criar uma nova GPO e a associá-la com uma ou mais OUs.
9.         Feche o console Active Directory Users and Computers.

Agora que você já conhece diferentes maneiras para acessar o cosole de administração de uma determinada GPO, é hora de entender as opções disponíveis e aprender a trabalhar com elas.

Dica: Você pode abrir o console para edição da GPO local usando o console gpedit.msc, o qual já é instalado durante a instalação do Windows Server 2003. Para abrir este console, basta utilizar o comando Start -> Run.Digite gpedit.msc no campo Open e clique em OK.
S= Usando o console de configuração das GPOs.

Neste tópico mostrarei como “navegar” pelas opções disponíveis em um console de administração de uma GPO e como alterar as configurações das opções disponíveis.

Alterando configurações de uma GPO: Para alterar as configurações de uma GPO, o primeiro passo é carregar a GPO a ser alterada no console Group Policy Editor. No item anterior você aprendeu duas diferentes maneiras para carregar uma GPO no console Group Policy Editor.

Exemplo: Para acessar a GPO padrão do domínio e fazer alterações, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra a GPO Default Domain Policy, usando um dos métodos descritos no item anterior.
3.         A interface de administração de uma GPO é muito semelhante a interface de administração de pastas e subpastas do Windows Explorer. Observe que, por padrão, são exibidas duas opções no painel da esquerda, conforme indicado na Figura 18.8:


Figura 18.8 Lista de GPOs para o domínio abc.com.

• Computer Configuration: Contém as opções de configuração que são aplicadas ao computador, durante o processo de inicialização, conforme detalhado anteriormente.

• User Configuration: Contém as opções de configuração que são aplicadas ao usuário, quando este faz o logon, conforme detalhado anteriormente.

Nota: As configurações de computador são aplicadas quando o computador é inicializado, conforme descrito anteriormente. Porém existem algumas configurações de segurança, que são reaplicadas periodicamente, normalmente a cada quinze minutos. Estas opções são reaplicadas, para garantir que os computadores estão com as configurações de segurança corretas e para evitar problemas com segurança.

4.         Na parte de baixo do painel da direita, existem duas guias: Extended e Standard. Por padrão é selecionada a guia Extended. Este é um novo modo de visualização que foi introduzido no Windows XP e que está presente no Windows Server 2003. No modo de visualização Extended, quando você clica em uma determinada opção no painel da direita, é exibido um texto explicativo sobre a opção. Ao clicar na guia Standard será exibido o modo padrão de visualização.
5.         Clique no sinal de + ao lado da opção Computer Configuration, no painel da esquerda. Será exibidos três grupos de polices que podem ser configuradas:

• Software Settings
• Windows Settings
• Administrativ Templates

Nota: Mais adiante apresentarei as diversas opções de polices disponíveis em cada um destes grupos. Clique no sinal de + ao lado da opção User Configuration. Observe que são exibidos os mesmos grupos de polices da opção Computer Configuration, conforme indicado na Figura 18.9:


Figura 18.9 Grupos de Polices disponíveis.

6.         Agora você aprenderá a alterar as configurações de uma police. Aliás, você já parou para pensar porque o nome é GPO – Group Policy Objects. Group Policy significa um grupo de políticas ou um grupo de polices. Isto é em uma GPO estão disponíveis centenas de opções de configuração. Cada opção é uma police, uma política de segurança. As opções que estão disponíveis dependem dos templates (modelos) de polices, chamados de GPT – Group Policy Templates, os quais são gravados na pasta SYSVOL, conforme descrito anteriormente. E Objects, porque todos os componentes do Active Directory são denominados de objetos. Então uam GPO nada mais é do que um objeto do Active Directory, o qual representa um grupo de políticas, um grupo de polices um Group Policy. É isso.
7.         Apenas a título de exemplo, vamos supor que você queira configurar a police que oculta o comando Run do menu iniciar. Nos próximos passos vou mostrar como configurar esta police, apenas para ilustrar como é feita a configuração de uma police.
8.         Esta police está disponível no seguinte caminho: User Configuration -> Administrative Templates -> Start Menu and Taskbar (Configurações de Usuário -> Modelos administrativos -> Menu Iniciar e Barra de tarefas). Para acessar esta opção basta ir navegando no painel da esquerda, da mesma maneira que você navega pelas pastas e subpastas de um volume, usando o Windows Explorer. Por exemplo, clique no sinal de + ao lado da opção User Configuration para exibir os grupos de opções disponíveis. Clique no sinal de + ao lado da opção Administrative Templates para exibir as opções disponíveis. Das opções que são exibidas, clique em Start Menu and Taskbar para selecioná-la. No painel da diretia será exibida a lista de polices que pode ser configurada para esta opção, conforme indicado na Figura 18.


Figura 18.10 Polices disponíveis para a opção Start Menu and Taskbar.

9.         Observe que somente para este item estão disponíveis dezenas de polices que podem ser configuradas. A maioria das polices está com o staus Not configured, que na prática significa: não está sendo aplicada. Para configurar uma police basta dar um clique duplo nela, para abrir a janela com as opções de configuração. Na listagem de polices localize a opção Remove Run menu from Start Menu e clique nesta opção para selecioná-la. Para configurar a police dê um clique duplo nela, para abrir a janela com as opções de configuração.
10.       Será aberta a janela com as propriedades de configuração da police Remove Run menu from Start Menu. Para habilitar esta police e com isto fazer com que o menu Run não seja exibido, marque a opção Enable (ou seja, você está habilitando a política que faz com que o menu Run seja retirado do menu Start – Iniciar), conforme indicado na Figura 18.11:


Figura 18.11 Habilitando a police Remove Run menu from Start Menu.

11.       Clique na guia Explain. Será exibido um texto com uma explicação detalhada sobre a aplicação da police, quais as conseqüências  da sua habilitação e todos os demais detalhes sobre a police que está sendo configurada. Para configura a police clique em OK. Pronto, na próxima vez que os usuários do domínio fizerem o logon (qualquer usuário, uma vez que estou fazendo a configuração na GPO padrão do domínio, a qual será aplicada a todos os usuários do domínio).
12.       A maioria das polices apresenta as opções Not Configured (Não configurado), Enabled (Habilitada) e Disabled (Desabilitada). Porém existem polices que exigem informações adicionais, como o exemplo da police Limit Profile Size, a qual encontra-se no caminho: User Configuration -> Administative Templates -> System -> User Profiles. Ao habilitar esta police, você também deve informar o tamanho máximo que será configurado para a profile dos usuários, bem como outras opções de configurações, conforme indicado na Figura 18.12:
(FIG18-12.jpg">
Figura 18.12 Um exemplo de police que precisa de configurações adicionais.

13.       Como você deve ter observado, configurar as polices é extremamente simples. É uma questão de localizar a police a ser configurada, dar um clique duplo para abrir a janela de propriedades da police e configurá-la. Mas no “localizar a police a ser configurada” é que reside, talvez, a grande dificuldade. Isso porq eu são milhares de opções disponíveis e localizar exatamente o que você está precisando, pode não ser uma tarefa das mais simples. Para ajudá-lo, no próximo item farei uma breve descrição do que você encontra em cada opção. Evidentemente que não farei uma descrição completa de todas as polices disponíveis, até porque isso exigiria algom em torno de umas 2000 páginas adicionais neste capítulo. Com o lançamento do Resource Kit do Windows Server 2003, previsto para outubro próximo, é provável que a Microsoft disponibilize um arquivo de help com a descrição de todas as polices disponíveis. Pelo menos no Windows 2000 Server este arquivo é disponibilizado com o Resource Kit do Windows 2000 Server. Já está disponível para download, uma planilha com a descrição de todas as polices disponíveis na opção Administrative Templates (que é a opção com o maior número de polices). Esta referência está no formato de planilha do Excel e descreve as polices que se aplicam ao Windows 2000, Windows XP Professional e Windows Server 2003. Você pode fazer o Download desta planilha no seguinte endereço:

http://download.microsoft.com/download/a/a/3/aa32239c-3a23-46ef-ba8b-da786e167e5e/PolicySettings.xls

A seguir mais alguns links úteis em relação ao recurso de GPOs no Windows Server 2003:

• http://www.microsoft.com/grouppolicy
• http://www.microsoft.com/windowsserver2003/technologies/management/grouppolicy/default.mspx
• http://www.microsoft.com/windowsserver2003/gpmc/default.mspx
• http://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx
• http://www.microsoft.com/windowsserver2003/techinfo/overview/gpintro.mspx

14.       É importante salientar que quando você está configurando uma GPO não existe o conceito de salvar as alterações que foram efetuadas. Quando você abre a janela de propriedaes de uma police, faz alterações e clica em OK, estas alterações já serão salvas no Active Directory. Não é preciso executar nenhum comando para salvar as alterações, antes de fechar o console de administração da GPO.
15.       Feche o console de administração da GPO

No próximo item farei uma breve descrição das várias opções disponíveis para as configurações de computadores e para as configurações de usuários.

Uma visão geral dos grupos de polices disponíveis.

Neste tópico farei uma descrição das opções disponíveis em uma GPO. É importante salientar que as opções disponíveis são definidas no modelo das GPOs. O modelo é designado como GPT e é a parte que fica gravada na pasta SYSVOL de todos os DCs do volume. Quando uma nova GPO é criada (você aprenderá a criar novas GPOs mais adiante), as opções que estarão disponíveis na nova GPO são definidas a partir do modelo disponível na pasta SYSVOL. O modelo pode ser extendido, ou seja, os desenvolvedores de software podem adicionar opções não existentes ao modelo. A Microsoft ainda não liberou as ferramentas e a documentação a respeito de como extender o modelo de polices. Provavelmente esta documentação esteja disponível com o Resource Kit par o Windows Server 2003.

Descrição das opções de polices disponíveis no grupo Computer Management:

1.         Computer Configuration – Software Settings: Esta opção é utilizada para fazer a distribuição de software via GPO. Mais adiante haverá um tópico completo sobre a distribuição de software via GPO.

2.         Computer Configuration – Windows Settings -> Scripts (Startup/Shutdown): Com este item o administrador pode configurar um ou mais scripts para serem executados durante a inicialização do computador (Startup) e um ou mais scripts para serem executados antes do desligamento do computador (Shutdown).

3.         Computer Configuration –> Security Settings -> Account Polices -> Password Policy: Esta opção contém polices para definição das políticas de senha, tais como tamanho mínimo da senha, tempo máximo de vida da senha e assim por diante. Estas opções foram descritas, em detalhes, no Capítulo 9.

4.         Computer Configuration –> Security Settings -> Account Polices -> Account Lockout Policy: Esta opção contém polices para a definição de políticas de bloqueio de senhas. Por exemplo, você pode definir que se o usuário errar a senha 3 vezes em um período de uma hora, a senha seja bloqueada. Estas opções também foram vistas no Capítulo 9.

5.         Computer Configuration –> Security Settings -> Account Polices -> Kerberos Policy: Contém opções para definição e configuração do protocolo Kerberos. O Kerberos é um protocolo de autenticação utilizado por clientes mais novos, que utiliam o Windows 2000, Windows XP Professional ou Windows Server 2003. Clientes mais antigos (Windows 95, Windows 98, Windows Me e NT 4.0) utilizam o NTLM como protocolo de autenticação. No Capítulo 19 você aprenderá mais sobre autenticação e o protocolo Kerberos.

6.         Computer Configuration –> Security Settings -> Local Policies -> Audit Policy: Nesta opção estão polices para configurações de auditoria do computador. Por exemplo, você pode utilizar a police Audit object access para habilitar a auditoria de acesso a pastas e arquivos e impressoras, conforme descrito no Capítulo 13.

7.         Computer Configuration –> Security Settings -> Local Policies -> User Rights Assignment: Esta opção contém um grande número de polices que são utilizadas para definir os chamados direitos de usuários – User Rights. Direitos de usuários são permissões especiais para executar alguma ação no computaor. Por exemplo, fazer o  logon localmente é um direito especial, acessar o computador através da rede também é um direito especial. Outro exemplo é a permissão para usar o recurso de Take Ownership. Todas as polices para configurações de direitos especiais dos usuários estão contidas nesta opção.

8.         Computer Configuration –> Security Settings -> Local Policies -> Security Options: Esta opção contém inúmeras e importantes polices relacionadas a configurações de segurança. Por exemplo, a police: Do not  display the last user name, pode ser utilizada para fazer com que não seja exibido o nome do último usuário que fez o logon. Existem polices para limitar o uso do disquete e do CD-ROM somente aos usuários logados loclamente, police para tornar obrigatório o use de Smart Card para o logon e assim por diante.

9.         Computer Configuration –> Security Settings -> Event  Log: Esta opção contém polices para configuração dos arquivos de log. Por exemplo, você pode usar a police Maximum security log size para definir o tamanho máximo do arquivo com as entradas do log de segurança. Existem polices para determinar o tamanho do arquivo dos demais logs: Sistema e Aplicativos.

10.       Computer Configuration –> Security Settings -> Restricted Groups: Esta é uma opção muito importante em relação a segurança. Com esta police você pode configurar grupos já existentes para se tornar um grupo restrito. Um grupo restrito tem limitações em relação a quem pode pertencer ao grupo e de quais outros grupos o grupo restrito pode ser membro. Por exemplo, você pode utilizar esta police para definir quais usuários podem fazer parte do grupo Administrators e de quais outros grupos, o grupo Administrators pode ser membro. Uma vez que a police seja aplicada, a lista de usuários que pode pertencer ao grupo Administrators estará restrita a lista de usuários definida na police. Se um novo usuário tiver que ser colocado como membro do grupo Administrators, primeiro ele terá que ser inserido na lista de usuários, na police que controla o grupo Administrators. Esta é uma medida de segurança adicional e, diga-se de passagem, uma excelente medida de segurança.

11.       Computer Configuration –> Security Settings -> System Services: Nesta opção é exibida uma lista de serviços. Você pode configurar um serviço para que seja inicializado automaticamente ou não e uma conta no contexto da qual o serviço será executado. Normalmente estas configurações são feitas em cada servidor, usando o console Services (14). Porém é possível definir estas configurações via polices. Por exemplo, se existe um serviço que você quer garantir que seja automaticamente inicializado em todos os computadores do domínio, você pode configurá-lo via polices. Assim, mesmo que o administrador de um determinado servidor “esqueça” de configurar o serviço para inicializar automaticamente, este será inicializado através das configurações obtidas via polices.

12.       Computer Configuration –> Security Settings -> Registry: Esta opção permite que o administrador configure as permissões de acesso em uma ou mais chaves da registry. Determinadas opções da registry são críticas em termos de segurança e devem ter o acesso restrito. Via polices o administrador pode configurar as permissões em uma ou mais opções da registry. Você deve ter um cuidado especial ao configurar esta opção. Existem programas que dependem da registry para o seu correto funcionamento. Quando um usuário faz o logon e executa um destes programas, o programa fará acesso à registry em nome do usuário, isto é, no contexto da conta de logon do usuário. Se a conta de logon do usuário não tiver o acesso necessário (normalmente leitura) as chaves da registry, utilizadas pelo programa, o programa irá falhar e uma mensagem de erro será exibida.

13.       Computer Configuration –> Security Settings -> File System: Esta opção é muito semelhant a anterior. Com esta opção você pode definir a permissão de pastas e arquivos em todos os computadores nos quais as polices serão aplicadas. Por exemplo, você pode definir as permissões NTFS na pasta system32 ou em qualquer outra pasta do sistema, via polices.

14.       Computer Configuration –> Security Settings -> Wireless Network (IEEE 802.11) Policies: Esta opção permite que sejam definidas configurações aplicadas a dispositivos que se conectam a rede através de uma conexão sem fio (Wireless), baseada no protocolo IEEE 802.11.

15.       Computer Configuration –> Security Settings -> Public Key Policies: Esta opção é útil para redes onde foi implementada uma infra-estrutura de chave pública e de certificados digitais, baseada nas tecnologias da microsoft. Este conjunto de tecnologias é conhecido como PKI – Public Key Infraestructure. Uma opção que é especialmente útil, mesmo que você não tenha implementado uma infra-estrutura de chave pública é a opção Encrypting File System. Nesta opção você define quais contas terão a permissão para descriptografar arquivos que foram criptografados por outros usuários. No Windows 2000 Server esta opção era chamada de Encrypted Data Recovered Agent. Para detalhes sobre a criptografia no Windows Server 2003 e sobre o conceito de agente de recuperação, consulte o Capítulo 10.

16.       Computer Configuration –> Security Settings -> Software Restriction Polices: Esta é uma das novidades do Windows Server 2003. Com esta police é possível criar uma política de restrição no uso de software na empresa. Por exemplo, o administrador pode criar uma lista dos programas que podem rodar nas estações de trabalho do usuário e, com o uso das polices, impedir que sejam utilizados, programas que não estão na lista. Mais adiante você aprenderá, em detalhes sobre este recurso. Também mostrarei um exemplo prático de como criar uma política de restrição de software.

17.       Computer Configuration –> Security Settings -> IP Security Policies on Active Directory (nome do domínio ): Esta opção pode ser utilizada para fazer com que o protocolo IPSec seja utilizado nos computadores nos quais a GPO será aplicada. O protocolo IPSec deve ser utilizado em ambientes altamente seguros, onde toda troca de informações entre os computadores da rede deve ser criptografada. Nos capítulo sobre segurança você aprenderá sobre o protocolo IPSec.

18.       Computer Configuration –> Administrative Templates -> Windows Components -> Netmeeting: Nesta opção está disponível uma única police, a qual pode ser utilizada para desabilitar o recurso de Compartilhamento de Desktop do Netmeeting.

18.       Computer Configuration –> Administrative Templates -> Windows Components -> Internet Explorer: Esta opção contém várias polices relacionadas as configurações do Internet Explorer. Nunca é demais lembrar que são configurações aplicadas ao computadore, ou seja, as polices definidas na opção Computer Configuration serão aplicadas aos computadores, independentemente do usuário que estiver logado. Por exemplo, se você deseja definir uma configuração padrão de Proxy para todos os computadores da rede, você pode utilizar a police Make proxy settings per-machine (rather than per-user). Você também pode utilizar a police Security zones: Do not allow users to add/delete sites, para impedir que os usuários possam adicionar novos sites com sites seguros, nas configurações do Internet Explorer.

19.       Computer Configuration –> Administrative Templates -> Windows Components -> Application Compatibility: Nesta opção você pode definir polices relacionadas com a compatibilidade de aplicações no Windows Server 2003. Por exemplo, você pode habilitar a police Prevent access to 16 bit applications, para impedir que aplicações de 16 bits possam ser executadas.

20.       Computer Configuration –> Administrative Templates -> Windows Components -> Internet Information Services: Nesta opção está disponível uma única police, a qual pode ser habilitada para impedir que os usuários instalem o IIS em seus computadores. Aqui temos um bom exemplo de onde pode ser necessária a utilização da opção Block Policy Inheritance. Vamos supor que você queira impedir que os usuários instalem o IIS em seus computadores. Você poderia habilitar esta police na GPO padrão do domínio. O problema é que também seria impedida a instalação do IIS nos servidores da Intranet, nos quais o IIS tem que estar instalado. Para resolver esta questão, você pode criar uma OU chamada, por exemplo, Servidores da Intranet e mover as contas dos servidores da Intranet para esta OU. Em seguida você pode criar uma GPO associada a OU Servidores da Intranet, na qual você habilita a instalação do IIS. Para garantir que não sejam herdadas configurações da GPO padrão do domínio, você ainda pode marcar a opção Block Policy Inheritance, na GPO associada com a OU Servidores da Intranet.

21.       Computer Configuration –> Administrative Templates -> Windows Components -> Task Scheduler: Contém polices que permitem um controle sobre a criação e execução de tarefas agendadas nos computadores.

22.       Computer Configuration –> Administrative Templates -> Windows Components -> Terminal Services: Contém várias opções com diveras polices em cada opção. Estas polices são utilizadas para configurar diversas opções do Terminal Services (basicamente as opções que você aprendeu a configurar manualmente no Capítulo 17). Por exemplo, você pode definir um número máximo de cores para a área de trabalho quando acessada via Terminal Services, você pode habilitar ou não a reconexão automática, pode restringir que cada usuário somente possa ter uma sessão simultânea no Terminal Services e assim por diante.

23.       Computer Configuration –> Administrative Templates -> Windows Components -> Windows Installer: Esta opção contém polices para configurar o serviço Windows Installer. A partir do Windows 2000 Server, a tecnologia de Windows Installer é recomendada para a instalação e distribuição de software. Os programas que utilizam a tecnologia do Windows Installer são fornecidos no formato de arquivos .msi. O arquivo .msi contém todos os arquivos e informações de configuração necessários à instalação da aplicação. Para executar a distribuição de software via polices, utilizam-se arquivos .msi. Nesta opção você pode configurar a maneira como o Windows Installer é executado nos computadores.

24.       Computer Configuration –> Administrative Templates -> Windows Components -> Windows Messenger: Contém duas polices para configuração do serviço Windows Messenger. Uma das polices é utilizada para permitir ou não a execução deste serviço e  a outra é utilizada para definir se o serviço será ou não inicializado automaticamente.

25.       Computer Configuration –> Administrative Templates -> Windows Components -> Windows Media Digital Rights Management: Cotém uma única police que, se habilitada, impede o acesso via Internet, ao contéudo de mídia digital.

26.       Computer Configuration –> Administrative Templates -> Windows Components -> Windows Media Player: Contém opções para configuração do Windows Media Player no computador do usuário. Por exemplo, você pode habilitar a police Prevent Automatic Updates, para impedir que sejam feitas atualizações automáticas do Windows Media Player, através da Internet.

27.       Computer Configuration –> Administrative Templates -> Windows Components -> Windows Update: Disponibiliza polices que definem como o recurso de atualizaçãoautomática pela Internet (Windows Update) será executado nos computadores dos usuários.

29.       Computer Configuration –> Administrative Templates -> System -> User Profiles: Contém uma série de polices que determinam como será a configuração das profiles de usuários no computador. Com as opções disponíveis o administrador pode definir se a cópia das profiles será mantida em cache ou será excluída quando o usuário fizer o logon, se deverão ser conectadas conexões via links lentos e assim por diante.

30.       Computer Configuration –> Administrative Templates -> System -> Scripts: Contém polices para configuração dos scripts da estação de trabalho. Podem ser definidas configurações para um script de inicialização e um script de desligamento (shutdown). Você pode definir se os scripts devem ser executados de maneira síncrona ou assíncrona. Por exemplo, é possível definir mais de um script para ser executado, tanto na inicialização, quanto no desligamento. Se houver mais de um script a ser executado, você pode definir a ordem e executá-los de maneira síncrona ou assíncrona. De maneira síncrona os scripts são executados um após o outro. Após a execução do primeiro script é iniciada a execução do segundo, ao ser concluído o segundo script é iniciada a execução do terceiro e assim por diante. Já de maneira assíncrona os scripts são executados ao mesmo tempo. Você também pode definir se os scripts devem ser executados de uma maneira “visível” para o usuário ou em segundo plano.

31.       Computer Configuration –> Administrative Templates -> System -> Logon: Contém polices para configurações da maneira como o logon será efetuado no computador. Por exemplo, você pode desabilitar a tela de “bem vindo” no logon, pode configurar um programa para ser executado após o logon e assim por diante.

32.       Computer Configuration –> Administrative Templates -> System -> Disk Quotas: Você pode utilizar as polices desta opção para configurar o recurso de cotas de disco (veja Capítulo 11). Ao habilitar este recurso via polices, ele será habilitado em todos os volumes formatados com NTFS no computador.

33.       Computer Configuration –> Administrative Templates -> System -> Contém uma série de polices para configurar o serviço Netlogon, que é o responsável pela autenticação dos usuários durante o logon.

34.       Computer Configuration –> Administrative Templates -> System -> Group Policy: Esta opção confiugra a maneira como as polices serão aplicadas nos computadores. Por exemplo, as polices são aplicadas durante a inicialização do computador, conforme já descrito anteriormente. Porém algumas configurações das polices, relacionadas com segurança, são atualizadas automaticamente a cada 15 minutos (isto é, são reaplicadas a cada 15 minutos. Caso tenha havido alterações nestas polices, as alterações serão aplicadas aos computadores em, no máximo, 15 minutos). Você pode usar a police Turn off  background refresh of Group Policy, para desabilitar esta atualização automática a cada 15 minutos (embora não seja indicado desabilitar esta opção).

35.       Computer Configuration –> Administrative Templates ->  System -> Remote Assistance: Contém polices que permitem configurar como irá funcionar o recurso de assistência remota, também conhecido como Desktop remoto.

36.       Computer Configuration –> Administrative Templates -> System -> System Restore: Define opções para habilitar ou desabilitar o recurso de restauração do sistema a um ponto definido no tempo. Estas polices somente se aplicam a computadores com o Windows XP Professional ou Windows Server 2003, não estando disponíveis em computadores com o Windows 2000 Professional. Para uma descrição deste recurso, consulte o Capítulo 21 sobre planejamento e recuperação a desastres.

37.       Computer Configuration –> Administrative Templates -> System -> Error Reporting: Disponibiliza polices para configuração do recurso de relatório de erros. Somente se aplica a computadores com o Windows XP (Home ou Professional, mas somente o Windows XP Professional pode ser configurado para fazer parte de um domínio) e com o Windows Server 2003. Com este recurso habilitado, quando ocorrer um erro, será aberta uma janela na qual o usuário poderá descrever o erro e enviar um relatório, via Internet, para a equipe de suporte da Microsoft.

38.       Computer Configuration –> Administrative Templates -> System -> Windows File Protection: O Windows Server 2003 tem um recurso de proteção dos arquivos que são fundamentais para o funcionamento do sistema operacional. Periodicamente é feita uma cópia destes arquivos. Em caso de um destes arquivos ser corrompido, o arquivo original é restaurado a partir da cópia feita automaticamente pelo Windows Server 2003 e o sistema operacional continua funcionando sem problemas. Nesta opção você pode configurar o funcionamento deste recurso. Por exemplo, você pode definir um espaço máximo em disco para a cópia dos arquivos, pode definir a pasta onde será feita a cópia e assim por diante.

39.       Computer Configuration –> Administrative Templates -> System -> Remote Procedure Call: Contém polices para configurar como as chamadas via RPC serão executadas. O recurso de Remote Procedure Call é muito utilizado por programas baseados no protocolo TCP/IP.

40.       Computer Configuration –> Administrative Templates -> System -> Windows Time Service: Contém polices para configuração dos serviços de sincronização de data e hora. Em uma rede baseada no Windows Server 2003 é importante que todos os servidores e estações de trabalho estejam com o relógio e o calendário sincronizados. O Windows Server 2003 é capaz de manter esta sincronização e fazer a atualização periódica da data e hora nas estações de trabalho. Por exemplo, se o usuário entrar e alterar manualmente a data e a hora, em poucos instantes, a data e a hora serão novamente sincronizadas com os servidores.

41.       Computer Configuration –> Administrative Templates -> Network -> DNS Client: Contém polices para definir as configurações do cliente DNS no computador. Por exemplo, a police Primary DNS Suffix pode ser utilizada para definir o sufixo DNS primário e a police DNS Suffix Search List pode ser utilizada para definir a lista de sufixos. Estas configurações também podem ser configuradas manualmente, em cada computador, na guia de propriedades avançadas do protocolo TCP/IP, conforme descrito no Capítulo 16.

42.       Computer Configuration –> Administrative Templates -> Network -> Offline Files: Esta opção contém uma série de polices para configurações do recurso de pastas off-line, no computador do usuário. No Capítulo 11 você aprendeu como configurar o recurso de pastas off-line, sendo que o recurso tem que ser habilitado no compartilhamento no servidor e depois configurado no cliente. As polices desta opção definem as configurações no cliente. Por exemplo, você pode utilizar a police Default cachê size para definir o tamanho para o cache de arquivos off-line.

43.       Computer Configuration –> Administrative Templates -> Network -> Network Connections: Contém polices para definir se o recurso de compartilhamento de Internet (ICS Internet Connectin Sharing) e o recurso de Firewall poderão ser habilitados no computador.

44.       Computer Configuration –> Administrative Templates -> Network -> QoS Packet Scheduler: Contém polices para configurações do recurso de reserva de banda e QoS – Quality of Service. Pode ser utilizado para dar prioridade a determinados computadores da rede, no uso do link de WAN ou outros recursos relacionados a reserva de banda.

45.       Computer Configuration –> Administrative Templates -> Network -> SNMP: Contém polices para definição das comunidades de SNPM que serão utilizadas na rede. O protocolo SNMP – Simple Network Management Protocol é um protocolo de gerenciamento e monitoração da rede. As polices desta opção, permitem a configuração do protocolo SNMP nos computadores da rede.

45.       Computer Configuration –> Administrative Templates -> Printers: Esta opção contém polices para definir configurações das impressoras e do sistema de impressão no computador. Existem polices para habilitar/desabilitar a publicação de impressoras compartilhadas no Active Directory, polices para permitir a impressão através da Internet e assim por diante.

Estas são as opções do grupo Computer Configuration. Lembrando que estas polices são aplicadas ao comutador, independentemente do usuário que estiver logado. A seguir passarei a descrever os grupos de polices da opção User Configuration. As polices da opção User Configuration se aplicam as contas de usuários que estão no container onde a GPO está sendo aplicada e são aplicadas quando o usuário fizer o logon, independentemente do computador que ele estiver utilizando (desde que o computador esteja com uma versão do Windows compatível com o recurso de Group Policy: Windows 2000, Windows XP Professional ou Windows Server 2003).

Descrição das opções de polices disponíveis no grupo User Management:

1.         User Configuration – >Software Settings: Esta opção é utilizada para fazer a distribuição de software via GPO. Ao fazer a distribuição de software via polices, para um determinado usuário, o software será instalado em qualquer computador que o usuário fizer o logon. Por exemplo, se todos os usuários da OU Contabilidade precisam de um determinado programa, o administrador pode usar o recurso de distribuição de software via polices, para garantir que os usuários terão acesso a este programa, independentemente do computador que eles estiverem utilizando. Mais adiante haverá um tópico completo sobre a distribuição de software via GPO.

2.         User Configuration – Windows Settings -> Remote Installation Services: Você pode usar esta opção para configurar as opções do serviço RIS (Remote Installation Services), o qual pode ser utilizado para instalar o Windows 2000 ou o Windows Server 2003 remotamente.

3.         User Configuration – Windows Settings -> Scripts (Logon/Logoff): Com este item o administrador pode configurar um ou mais scripts para serem executados durante o log on do usuário e um ou mais scripts para serem executados antes do o log  off do usuário.

4.         User Configuration –> Windows Settings -> Security Settings -> Public Key Policies: Define configurações de PKI para a conta do usuário. Por exemplo, o administrador pode utilizar a opção Enterprise Trust para informar uma lista de autoridades certificadores confiáveis para a rede da empresa.

5.         User Configuration –> Windows Settings -> Security Settings -> Software Restriction Polices: Esta é uma das novidades do Windows Server 2003. Com esta police é possível criar uma política de restrição no uso de software na empresa. Por exemplo, o administrador pode criar uma lista dos programas que podem ser executados por cada grupo de usuários e, com o uso das polices, impedir que sejam utilizados, programas que não estão na lista. Mais adiante você aprenderá, em detalhes sobre este recurso. Também mostrarei um exemplo prático de como criar uma política de restrição de software.

6.         User Configuration –> Windows Settings -> Folder Redirection: Nesta opção estão polices para que o administrador possa redirecionar algumas pastas base do usuário para servidores da rede. Podem ser redirecionadas as pastas Application Data (Dados de aplicativos), Desktop (Área de trabalho), My Documents (Meus documentos) e Start Menu (Menu Iniciar). Mais adiante você aprenderá a utilizar este recurso. Apresentarei um estudo de caso completo, onde você aprenderá a utilizar o recurso de redirecionamento de pastas.

7.         User Configuration –> Windows Settings -> Internet Explorer Maintenance: Esta opção contém um grande número de polices que são utilizadas para configurações do Internet Explorer. Por exemplo, você pode alterar o título padrão que é exibido na barra de títulos do Internet Explorer (Browser User Interface -> Browser Title), você pode alterar o logotipo animado do Internet Explorer (Browser User Interface -> Custom Logo) e assim por diante.
8.         User Configuration –> Administrative Templates -> Windows Components -> Netmeeting: Nesta opção estão disponíveis vários grupos de polices, as quais permitem uma configuração de diversas opções do Netmeeting. Por exemplo, no grupo Application Sharing estão polices para habilitar/desabilitar o recurso de compartilhamento de aplicações com o Netmeeting, no grupo Audio & Video estão disponíveis opções para habilitar/desabilitar os recursos de áudio e vídeo no Netmeeting e no grupo Options Page estão disponíveis polices para habilitar/desabilitar guias na janela de opções do Netmeeting.

9.         User Configuration –> Administrative Templates -> Windows Components -> Internet Explorer: Esta opção contém dezenas de polices relacionadas as configurações do Internet Explorer. Com o uso das polices deste grupo podem ser habilitados/desabilitados uma série de recursos do Internet Explorer. Os recursos são habilitados/desabilitados a nível de usuário, ou seja, serão aplicados ao usuário, independentemente do computador no qual ele estiver fazendo o logon. Podem ser habilitados/desabilitados diversos comandos dos menus do Internet Explorer, o administrador pode definir quais controles poderão ser executados dentro do Internet Explorer (Média Player, Microsoft Chat, Shockwave Flash e assim por diante). Com as polices desta opção, o administrador tem um controle total sobre as configurações do Internet Explorer, podendo definir estas configurações de uma maneira centralizada e tê-las aplicadas a todos os usuários do domínio ou de uma ou mais unidades organizacionais as quais as polices serão aplicadas.

10.       User Configuration –> Administrative Templates -> Windows Components -> Application Compatibility: Nesta opção existe uma única police, na qual o administrador pode habilitar/desabilitar a police Prevent access to 16 bit applications, para impedir ou permitir que aplicações de 16 bits possam ser executadas pelos usuários.

11.       User Configuration –> Administrative Templates -> Windows Components -> Help and Support Center: Esta opção tem uma única police, a qual define se a opção Did you Know será ou não exibida na Ajuda do Windows Server 2003. Esta opção é montada dinamicamente quando o usuário está conectado à Internet. Ao clicar nesta opção, será carregada a página da Microsoft com novidades sobre o Windows Server 2003 e sobre o tópico que está sendo exibido na Ajuda, no momento.

12.       User Configuration –> Administrative Templates -> Windows Components -> Windows Explorer: Contém um grande número de polices para que o administrador possa definir configurações do Windows Explorer. Por exemplo, você pode remover opções dos menus, tais como remover a opção para mapear e desconectar drives de rede, remover a opção Folder Options (Opções de pasta) do menu Tools (Ferramentas) e assim por diante.

13.       User Configuration –> Administrative Templates -> Windows Components -> Microsoft Management Console: Contém um grande número de polices para que o administrador possa definir configurações do MMC – Microsoft Management Console. Por exemplo, o administrador pode criar uma lista dos Snap-ins que o usuário terá permissão para carregar no MMC.

 

14.       User Configuration –> Administrative Templates -> Windows Components -> Task Scheduler: Contém polices que permitem um controle sobre a criação e execução de tarefas agendadas pelo usuário.

15.       User Configuration –> Administrative Templates -> Windows Components -> Terminal Services: Estas polices são utilizadas para configurar diversas opções do Terminal Services (basicamente as opções que você aprendeu a configurar manualmente no Capítulo 17). Por exemplo, você pode definir um programa a ser executado ao ser estabelecida a conexão via terminal services, definir um tempo máximo para reconexão de uma sessão e assim por diante.

16.       User Configuration –> Administrative Templates -> Windows Components -> Windows Installer: Esta opção contém polices para configurar a maneira como o usuário terá acesso ao serviço Windows Installer. A partir do Windows 2000 Server, a tecnologia de Windows Installer é recomendada para a instalação e distribuição de software. Os programas que utilizam a tecnologia do Windows Installer são fornecidos no formato de arquivos .msi. O arquivo .msi contém todos os arquivos e informações de configuração necessários à instalação da aplicação. Para executar a distribuição de software via polices, utilizam-se arquivos .msi. Nesta opção você pode configurar a maneira como o Windows Installer é executado pelos usuários.

17.       User Configuration –> Administrative Templates -> Windows Components -> Windows Messenger: Contém duas polices para configuração do serviço Windows Messenger. Uma das polices é utilizada para permitir ou não a execução deste serviço e  a outra é utilizada para definir se o serviço será ou não inicializado automaticamente.

18.       User Configuration –> Administrative Templates -> Windows Components -> Windows Update: Contém uma única police que permite que seja habilitado/desabilitado o recurso do Windows Update para o usuário.

19.       User Configuration –> Administrative Templates -> Windows Components -> Windows Media Player: Contém opções para configuração do Windows Media Player.

20.       User Configuration –> Administrative Templates ->Start Menu and Taskbar: Contém um grande número de polices para configuração do menu iniciar e da barra de tarefas que será exibida para o usuário. Por exemplo, estão disponíveis polices para habilitar/desabilitar uma série de comandos, tais como: Run (Executar), Network Connections (Conexões de rede) e assim por diante. Com o uso destas polices o administrador pode definir uma série de configurações para o menu Iniciar que é apresentado para os usuários, isso tudo de uma maneira centralizada.

21.       User Configuration –> Administrative Templates -> Desktop: Contém um grande número de polices para configuração da área de trabalho que será exibida para o usuário. Estão disponíveis polices para habilitar/desabilitar opções na área de trabalho, para definir se as alterações feitas pelo usuário deverão ou não ser salvas quando o usuário faz o log off e assim por diante. Na opção Active Desktop estão disponíveis polices que definem se o recurso de Active Desktop estará ou não disponível para o usuário e como o usuário poderá utilizar este recurso. Na opção Active Directory estão disponíveis polices que definem de que maneira o usuário poderá fazer pesquisas no Active Directory e para habilitar/desabilitar algumas opções de pesquisa no Active Directory.

22.       User Configuration –> Administrative Templates -> Control Panel: Nesta opção estão disponíveis uma série de polices que permitem definir se o usuário poderá ou não acessar o Painel de controle, quais opções estarão disponíveis no painel de controle e assim por diante.

23.       User Configuration –> Administrative Templates -> Control Panel -> Add or Remove Programs: As polices deste grupo são utilizadas para configurar o recurso Add/Remove Programs. As polices deste grupo definem quais funcionalidades deste recurso estarão disponíveis e quais não estarão disponíveis para o usuário.

24.       User Configuration –> Administrative Templates -> Control Panel -> Display: Contém polices para definir configurações das propriedades de vídeo. Por exemplo, você pode utilizar a police Prevent changing wallpaper para impedir que os usuários possam alterar o papel de parede, independentemente do computador no qual seja feito o logon.

25.       User Configuration –> Administrative Templates -> Control Panel -> Printers: Contém uma série de polices com configurações relacionadas ao uso de impressoras pelo usuário.

26.       User Configuration –> Administrative Templates -> Control Panel -> Regional and language Options: Contém uma única police que permite que o administrador defina um idioma padrão, o qual não poderá ser alterado pelos usuários.

27.       User Configuration –> Administrative Templates -> Shared Folders: Esta opção contém duas polices. Uma que define se o usuário poderá ou não publicar pastas compartilhadas no Active Directory e uma outra police que define se o usuário poderá ou não publicar um root do DFS no Active Directory. Para detalhes sobre o DFS consulte o Capítulo 11.

28.       User Configuration –> Administrative Templates -> Network -> Offline Files: Esta opção contém uma série de polices para configurações do recurso de pastas off-line, para o usuário. No Capítulo 11 você aprendeu como configurar o recurso de pastas off-line, sendo que o recurso tem que ser habilitado no compartilhamento no servidor e depois configurado no cliente. As polices desta opção definem as configurações que serão aplicadas para o usuário, em qualquer computador no qual ele faça o logon.

29.       User Configuration –> Administrative Templates -> Network -> Network Connections: Contém polices para definir a qual recursos de configuração de rede o usuário terá acesso. Por exemplo, você pode usar as polices desta opção para impedir que os usuários tenham acesso as configurações do protocolo TCP/IP.

30.       User Configuration –> Administrative Templates -> System -> User Profiles: Contém uma série de polices que determinam como será a configuração da profile do usuário.

31.       User Configuration –> Administrative Templates -> System -> Scripts: Contém polices para configuração dos scripts que serão executados durante o logon/logoff do usuário. Podem ser definidas configurações para um script de log on e um script de log off, você pode definir se os scripts devem ser executados de maneira síncrona ou assíncrona. Por exemplo, é possível definir mais de um script para ser executado, tanto na inicialização, quanto no desligamento. Se houver mais de um script a ser executado (tanto no log on quanto no log off), você pode definir a ordem e executá-los de maneira síncrona ou assíncrona. De maneira síncrona os scripts são executados um após o outro. Após a execução do primeiro script é iniciada a execução do segundo, ao ser concluído o segundo script é iniciada a execução do terceiro e assim por diante. Já de maneira assíncrona os scripts são executados ao mesmo tempo. Você também pode definir se os scripts devem ser executados de uma maneira “visível” para o usuário ou em segundo plano.

32.       User Configuration –> Administrative Templates -> System -> Ctrl+Alt+Del Options: Contém polices para definir quais botões estarão disponíveis na janela que é exibida quando o usuário pressiona a combinação de teclas Ctrl+Alt+Del.

33.       User Configuration –> Administrative Templates -> System -> Logon: Contém polices para configurações da maneira como o logon será efetuado no computador. Por exemplo, você pode configurar um programa para ser executado após o logon.

34.       User Configuration –> Administrative Templates -> System -> Group Policy: Esta opção configura a maneira como as polices serão aplicadas para os usuários.

35.       User Configuration –> Administrative Templates -> System -> Power Management: Contém uma única police, a qual pode ser habilitada para fazer com que seja exigido que o usuário digite a senha para voltar a usar o Windows, quando o computador entra no estado de hibernação ou suspensão.

Bem, após essa breve descrição de cada opção (porém longa descrição devido ao grande número de opções), passarei a mostrar exemplos práticos de utilização do recurso de GPOs.

Criando uma nova GPO e associando-a com uma unidade organizacional:

Neste tópico você aprenderá a criar uma novo GPO, associada a uma unidade organizacional e a configurar as propriedades da GPO e da ligação da GPO associada com a unidade organizacional. Para o exemplo deste item, criarei uma GPO chamada Configurações da seção de vendas, a qual será associada com a Unidade organizacional Vendas, do domínio abc.com, conforme ilustrado na Figura 18.13:


Figura 18.13 A unidade organizacional Vendas, utilizada neste exemplo.

Exemplo: Para criar uma GPO associada a uma unidade organizacional e configura-la, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers.
3.         Localize a unidade organizacional para a qual você quer criar uma nova GPO. Clique com o botão direito do mouse nesta unidade organizacional e, no menu de opções que é exibido, clique na opção Properties (Propriedades).
4.         Será exibida a janela de propriedades da unidade organizacional. Clique na guia Group Policy. Serão exibidas as propriedades da guia Group Policy, conforme indicado na Figura 18.14:


Figura 18.14 A guia Group Policy.

5.         Por padrão, quando uma unidade organizacional é criada, nenhuma GPO é associada com a unidade organizacional. Nesta situação, a unidade organizacional herda as configurações das GPOs definidas no domínio. Para criar uma nova GPO dê um clique no botão New (Novo).
6.         Será criada uma nova GPO com o nome de New Group Policy Object. Neste momento você deve digitar um nome para a GPO que está sendo criada. Digite Configurações da seção de vendas e pressione a tecla TAB (tabulação).
7.         A GPO Configurações da seção de vendas será criada e já é exibida na lista de GPOs associadas a unidade organizacional que está sendo criada. O próximo passo é configurar as polices que serão aplicadas pela GPO Configurações da seção de vendas.
8.         Para configurar as polices que serão aplicadas, basta clicar na GPO Configurações da seção de vendas e depois clicar no botão Edit (Editar). A GPO Configurações da seção de vendas será carregada no console Group Policy Editor. Neste momento você pode configurar as polices que serão aplicadas pela GPO Configurações da seção de vendas. Para uma descrição resumida das opções disponíveis, consulte o item anterior. Após ter feito as configurações desejadas, basta fechar o console Group Policy Editor, não é preciso salvar as alterações, uma vez que estas vão sendo salvas automaticamente, a medida que você define as configurações de cada police.
9.         Ao fechar o console Group Policy Editor você estará de volta à guia Group Policy, da janela de propriedades da unidade organizacional que está sendo configurada. Observe que nesta janela está disponível a opção Block Policy inheritance, comentada na parte teórica. O administrador pode marcar esta opção, para impedir que as configurações definidas nos objetos Pai, sejam propagadas para a unidade organizacional que está sendo configurada. Esta opção não terá efeito, se a opção No Override tiver sido habilitada nas GPOs dos objetos pai.
10.       Para configurar as opções da GPO, clique na GPO Configurações da seção de vendas para seleciona-la. Em seguida clique no botão Options. Será exibida a janela de opções da GPO Configurações da seção de vendas, conforme indicado na Figura 18.15:


Figura 18.15 A janela de opções da GPO.

Nesta janela estão disponíveis as opções descritas a seguir:

• No Override: Esta opção é utilizada  para impedir que a aplicação da GPO seja bloqueada nos objetos filho, através do uso da opção Block Policy inheritance.

• Disabled: Ao marcar esta opção, a GPO deixará de ser aplicada a unidade organizacional.

11.       Defina as configurações desejadas e clique em OK.
12.       Feitas as configurações desejadas é só clicar no botão Close (Fechar). A GPO foi criada, configurada.

Configurando as Propriedades de uma GPO.

Neste tópico você aprenderá a configurar as propriedades de uma GPO. Conforme mostrarei existem uma série de opções que podem ser configurada e que afetam a maneira como a GPO será aplicada.

Exemplo: Para configurar as propriedades de uma GPO, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers.
3.         Localize o container (domínio ou unidade organizacional) onde está a GPO a ser configurada. Clique com o botão direito do mouse neste container e, no menu de opções que é exibido, clique na opção Properties (Propriedades).
4.         Será exibida a janela de propriedades do container. Clique na guia Group Policy. Serão exibidas as opções de configuração da guia Group Policy.
5.         Clique na GPO a ser configurada para seleciona-la e em seguida clique no botão Properties (Propriedades).
6.         Será exibida a janela de propriedades da GPO, com a guia General (Geral) selecionada, conforme indicado na Figura 18.16:


Figura 18.16 A guia de opções gerais das propriedades da GPO.

7.         Nesta guia são exibidas informações gerais sobre a GPO, tais como a data de criação e data da última modificação. Também estão disponíveis as opções para desabilitar toda a árvore de configurações de computador (Disable Computer Configuration settings) e uma opção para desabilitar toda a árvore de configurações de usuário (Disable User Configuration settings). Estas opções são especialmente úteis, em situações onde você está enfrentando problemas com a aplicação das polices. Por exemplo, se você já identificou que o problema é com as polices aplicadas ao computador, pode marcar a opção Disable Computer Configuration settings, para desabilitar estas opções, até que você possa fazer uma análise detalhada e identificar onde estão os problemas.
8.         Defina as configurações desejadas e dê um clique na guia Links. Nesta guia você pode pesquisar em todo o domínio (em um ou mais domínios), para listar onde a GPO está sendo aplicada. Por exemplo, para listar em quais unidades organizacionais a GPO está sendo listada. Esta opção é especialmente útil para a resolução de problemas e conflitos na aplicação das GPOs. Ao clicar no botão Find Now (Localizar agora), será feita uma pesquisa em todo o domínio selecionado no campo Domain. No exemplo da Figura 18.17, foi feita uma pesquisa no domínio abc.com, e como resultado a GPO está sendo aplicada em duas OUs: abc.com/Contabilidade e abc.com/Vendas.


Figura 18.17 A lista de containers onde a GPO está sendo aplicada.

9.         Clique na guia Security. Esta guia é muito semelhante a guia Security, da janela de propriedades de uma pasta ou arquivo, em um volume formatado com NTFS. Ou seja, é uma ACL – Access Control List (Lista de Controle de Acesso). Ou seja, associada a GPO, existe uma lista de controle de acesso. Com esta lista podem ser implementadas muitas soluções práticas, que surgem no dia-a-dia do uso das GPOs. Por exemplo, suponha que o administrador queira que as configurações de uma GPO sejam aplicadas apenas para um determinado grupo de usuários e não para todos os usuários de uma unidade organizacional. Neste caso, basta definir permissões de acesso apenas para o grupo para o qual devem ser aplicadas as configurações da GPO. Outra situação que pode acontecer é a seguinte: Imagine que determinadas restrições devam ser aplicadas para todos os usuários, com exceção de um determinado grupo, como por exemplo o grupo Administradores. Neste caso, basta colocar permissão de acesso negada ao grupo Administradores e permissão de acesso para o grupo Everyone (Todos). Neste caso as configurações serão aplicadas para todos os usuários, com exceção dos usuários do grupo Administradores, o qual teve acesso a GPO negado. Na Figura 18.18 é exibido o exemplo onde foi negada a permissão Apply Group Policy para o grupo Administrators. A permissão Appli Group Policy é necessária para os grupos que deverão ter as configurações aplicadas a seus membros. A permissão Write é necessária para os usuários que devam ter  permissão de alterar a GPO.


Figura 18.18 A lista de permissões para a GPO.

10.       Defina as configurações de segurança desejadas e clique na guia WMI Filter. WMI é uma tecnologia para monitoração e gerenciamento do ambiente de hardware e software dos computadores. É possível criar filtros WMI (como se fossem consultas em um banco de dados), para selecionar apenas computadores que atendam um ou mais critérios. Por exemplo, é possível aplicar um filtro WMO para selecionar apenas os comutadores que tem 128 MB ou mais de memória RAM. Este filtro WMI pode ser salvo e utilizado para definir em quais computadores será aplicado uma GPO. Por exemplo, se você está fazendo uma distribuição do Office XP, usando a distribuição de software via GPO. O administrador pode criar um filtro WMI para selecionar apenas os computadores que atendam as necessidades de hardware do Office XP. Depois o administrador aplica o filtro WMI para que a GPO seja aplicada apenas aos computadores que atendam os requisitos de instalação do Office XP. O administrador usa a guia WMI, para indicar o filtro a ser utilizado.
11.       Defina as configurações desejadas e dê um clique em OK para aplica-las.

Associando, renomeando, editando e excluindo GPOs.

Neste tópico você aprenderá a executar mais algumas operações básicas com uma GPO. Você aprenderá a renomear, editar e a excluir uma GPO.

Editando uma GPO: Para alterar as configurações de uma GPO, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissões para alterar a GPO.
2.         Abra o console Active Directory Users and Computers.
3.         Localize o container (domínio ou unidade organizacional) onde está a GPO a ser alterada. Clique com o botão direito do mouse neste container e, no menu de opções que é exibido, clique na opção Properties (Propriedades).
4.         Será exibida a janela de propriedades do container. Clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao referido container.
5.         Clique na GPO a ser alterada,  para seleciona-la e em seguida clique no botão Edit.
6.         A GPO selecionada será carregada no console Group Policy Editor e você poderá altera-la, usando os procedimentos descritos anteriormente. Basicamente é localizar a opção a ser configurada e dar um clique duplo para abrir a janela de propriedades da opção que está sendo configurado.
7.         Após ter feito as configurações desejadas é só fechar o console Group Policy Editor e pronto.

Excluindo uma GPO: Para excluir uma GPO, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissões para excluir a GPO.
2.         Abra o console Active Directory Users and Computers.
3.         Localize o container (domínio ou unidade organizacional) onde está a GPO a ser alterada. Clique com o botão direito do mouse neste container e, no menu de opções que é exibido, clique na opção Properties (Propriedades).
4.         Será exibida a janela de propriedades do container. Clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao referido container.
5.         Clique na GPO a ser excluída,  para seleciona-la e em seguida clique no botão Delete.
6.         Será exibida a janela Delete, na qual você tem que optar por uma entre duas opções disponíveis, conforme indicado na Figura 18.19 e detalhado logo a seguir:


Figura 18.19 A janela Delete.

• Remove the link from the list: Esta opção vem selecionada por padrão. Ao selecionar esta opção, apenas a ligação (link) entre a GPO e o container que está sendo configurado será excluído. Ou seja, a GPO deixará de ser aplicada ao contêiner que está sendo configurado, porém continuará armazenada n Active Directory e poderá ser aplicada em outros locais no domínio, tais como em outras unidades organizacionais.

• Remove the link and delete the Group Policy Object permanently: Esta opção irá excluir a GPO em definitivo, ou seja não apenas o link com o container que está sendo configurado, mas a própria GPO será excluída do Active Directory e não estará mais disponível para ser utilizada.
7.         Selecione a opção desejada, na janela Delete e clique em OK.

Associando uma GPO já existente com uma unidade organizacional: Para associar uma GPO já existente, com uma unidade organizacional, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissões para associar uma GPO com a OU que será configurada.
2.         Abra o console Active Directory Users and Computers.
3.         Localize o container (domínio ou unidade organizacional) onde está a GPO a ser alterada. Clique com o botão direito do mouse neste container e, no menu de opções que é exibido, clique na opção Properties (Propriedades).
4.         Será exibida a janela de propriedades do container. Clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao referido container.
5.         Clique no botão Add (Adicionar).
6.         Será exibida a janela Add a Group Policy Object Link. Nesta janela estão disponíveis três guias. Na guia Domain/OUs é exibida a lista de GPOs atualmente associadas a unidade organizacional que está sendo configurada. Se você der um clique na guia Sites, serão exibidas todas as GPOs associadas a sites. Clique na guia All e na lista Look in, selecione o domínio onde está a GPO a ser associada com a unidade organizacional que está sendo configurada. No exemplo da Figura 18.20 estão sendo exibidas as GPOs do domínio abc.com:


Figura 18.20 A lista de GPOs disponíveis no domínio abc.com.

7.         Clique na GPO a ser associada com a unidade organizacional para seleciona-la e em seguida clique em OK.
8.         Você estará de volta à guia Group Policy, da janela de propriedades da unidade organizacional. Observe que a GPO selecionada no passo 7 já é exibida na lista de GPOs aplicadas a unidade organizacional.
9.         Clique em OK para fechar a janela de propriedades da unidade organizacional.

Importante: É importante salientar que uma GPO é criada uma única vez e gravada no Active Directory. Conforme discutido anteriormente, o que fica na pasta SYSVOL são os modelos – GPT – Group Policy Templates. Quando a GPO é criada ela torna-se um GPC – Group Policy Container, o qual é gravado no Active Directory. Cada GPO é criada uma única vez e depois pode ser ligada (associada) em vários locais do domínio, como por exemplo em diferentes unidades organizacionais. Quando o administrador altera a GPO, as alterações serão aplicadas em todos os locais onde a GPO foi ligada. Não esqueça destes detalhes, principalmente se você está se preparando para os exames de Certificação do MCSE – 2003.

Renomeando uma GPO: Para renomear uma GPO, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissões para renomear a GPO.
2.         Abra o console Active Directory Users and Computers.
3.         Localize o container (domínio ou unidade organizacional) onde está a GPO a ser alterada. Clique com o botão direito do mouse neste container e, no menu de opções que é exibido, clique na opção Properties (Propriedades).
4.         Será exibida a janela de propriedades do container. Clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao referido container.
5.         Clique com o botão direito do mouse na GPO a ser renomeada e,  no menu de opções que é exibido, clique em Rename. O nome atual será selecionado. Basta digitar o novo nome e clicar em OK. Pronto, a GPO será renomeada.

Definindo a ordem de aplicação das GPOs ligadas ao mesmo objeto:

Você pode ligar mais de uma GPO com o mesmo container. Por exemplo, o administrador pode associar duas, três ou mais GPOs com uma unidade organizacional. Neste caso é importante entender em que ordem as GPOs serão processadas e como alterar esta ordem.

É importante entender a ordem em que as GPOs são aplicadas, quando mais de uma GPO esta ligada a um determinado container. Considere o exemplo da Figura 18.21, onde temos três GPOs  ligadas a uma unidade organizacional: Configurações da seção de vendas, Configurações de Gerentes e Configurações Especiais.


Figura 18.21 Três GPOs ligadas a uma unidade organizacional.

A ordem em que estas GPOs são aplicadas é a ordem inversa da lista. No nosso exemplo, primeiro são aplicadas as configurações da GPO Configurações Especiais, em seguida as configurações da GPO Configurações de Gerentes e por último as configurações da GPO Configurações da seção de vendas. Ser aplicada por último significa que a GPO tem a maior precedência. Explico. Como as configurações da GPO Configurações da seção de vendas são aplicadas por último, elas terão precedência em relação as configurações das demais GPOs, para o caso de conflitos em relação a uma ou mais polices. Por exemplo, se na GPO Configurações Especiais está definido que o comando Run não deve ser exibido, na GPO Configurações de Gerentes não está definida está police e na GPO Configurações da seção de vendas está definido que o comando Run deve ser exibido, prevalecerá a configuração da GPO que foi aplicada por último, ou seja, da GPO Configurações da seção de vendas, na qual está definido que o comando Run deve ser exibido. O resultado prático será que o comando Run será exibido. Observe que estar em primeiro lugar da lista, significa ser aplicada por último, ou seja, ter a maior precedência no caso de conflito com configurações aplicadas anteriormente. Você pode alterar a ordem das GPOs nesta lista, conforme será exemplificado a seguir.

Para alterar a ordem de aplicação das GPOs, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissões para alterar a ordem das GPOs no container a ser configurado.
2.         Abra o console Active Directory Users and Computers.
3.         Localize o container (domínio ou unidade organizacional) onde está a GPO a ser alterada. Clique com o botão direito do mouse neste container e, no menu de opções que é exibido, clique na opção Properties (Propriedades).
4.         Será exibida a janela de propriedades do container. Clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao referido container.
5.         Clique na GPO, cuja posição na lista você deseja alterar  e clique no botão Up para enviar a GPO selecionada uma posição acima na lista ou no botão Down, para enviar a GPO selecionada uma posição abaixo na lista.
6.         Faça as configurações desejadas, para colocar as GPOs na ordem desejada e clique em OK, para fechar a janela de propriedades do container que está sendo configurado.

Desabilitando uma GPO:
Você pode desabilitar uma GPO. Desabilitar significa que o link entre a GPO e o container continua existindo, porém as configurações da GPO não serão aplicadas, a não ser que a GPO volte a ser habilitada.

Para desabilitar uma GPO, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissões para desabilitar a GPO.
2.         Abra o console Active Directory Users and Computers.
3.         Localize o container (domínio ou unidade organizacional) onde está a GPO a ser alterada. Clique com o botão direito do mouse neste container e, no menu de opções que é exibido, clique na opção Properties (Propriedades).
4.         Será exibida a janela de propriedades do container. Clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao referido container.
5.         Clique com o botão direito do mouse na GPO a ser desabilitada e,  no menu de opções que é exibido, clique na opção Disabled.
6.         Será exibida uma janela avisando que ao desabilitar a GPO as configurações por ela aplicadas, serão desfeitas nos computadores dos clientes, conforme indicado na Figura 18.22:


Figura 18.22 Mensagem de aviso ao desabilitar uma GPO.

7.         Clique em Yes para confirmar a desabilitação da GPO.
8.         A GPO continuará sendo exibida na lista de GPOs aplicadas ao container, porém observe que um sinal de certo é exibido na coluna Disabled, indicando que a referida GPO está desabilitada.

Nota: Para habilitar uma GPO que foi desabilitada, basta clicar com o botão direito do mouse na GPO e, no menu de opções que é exibido, clicar na opção Disabled novamente para desmarca-la. Ao desmarcar esta opção, a GPO voltará a estar habilitada e as suas configurações voltarão a ser aplicadas.

Usando polices para a criação de grupos restritos.

Neste item falarei sobre a configuração de grupos restritos, a qual pode ser efetuada via GPOs. Esta é uma importante configuração relacionada a segurança. Com estas configurações, o administrador pode limitar quais os usuários e grupos que podem ser incluídos como membros de um grupo restrito. O administrador também pode definir de quais grupos, o grupo restrito pode ser membro. A seguir farei um exemplo prático, onde mostrarei como configurar o grupo Administrators, para tornar-se um grupo restrito.

Exemplo: Configurar a GPO padrão do domínio, para tornar o grupo Administrators um grupo restrito. Para implementar as configurações propostas, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers.
3.         Clique com o botão direito do mouse no domínio a ser configurado e, no menu de opções que é exibido, clique em Properties.
4.         Na janela de propriedades do domínio, clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao domínio.
5.         Clique na GPO Default Domain Policy, para seleciona-la.
6.         Clique em Edit para carregar a GPO Default Domain Policy no console Group Policy Editor.
7.         Acesse a seguinte opção: Computer configuration -> Windows Settings -> Security Settings -> Restricted Groups, conforme indicado na Figura 18.23:


Figura 18.23 A opção Restricted Groups.

8.         Para definir restrições para um determinado grupo clique com o botão direito do mouse na opção Restricted Groups e, no menu de opções que é exibido clique em Add Group... (Adicionar grupo...).
9.         Será aberta a janela para que você digite o nome do grupo a  ter restrições aplicadas. Digite o nome do grupo, conforme exemplo da Figura 18.24 e clique em OK.


Figura 18.24 Informando o nome do grupo.

10.       Será aberta a janela para definição das restrições a serem aplicadas ao grupo informado no passo anterior. Clique no botão Add... (Adicionar...), ao lado da opção Members of this group (Membros deste grupo).
11.       Será aberta a janela para que você digite o nome de uma conta de usuário ou grupo que poderá fazer parte do grupo informado no passo 9. Informe o nome de um usuário ou grupo que poderá ser colocado como membro do grupo restrito que está sendo configurado e clique em OK.
12.       Repita os passos 10 e 11 para cada usuário ou grupo que você quiser permitir que seja membro do grupo restrito que está sendo configurado. Ao final a sua janela deverá estar com a lista de usuários e grupos com permissão de serem membros do grupo que está sendo configurado, conforme exemplo da Figura 18.25:


Figura 18.25 Lista de quem pode ser membro do grupo restrito.

13.       Agora vamos definir de quais grupos, o grupo Administrators (que é o grupo restrito qu está sendo configurado), poderá ser membro. Clique no botão Add... (Adicionar...), ao lado da opção This group is a member of: (Este grupo é membro de:).
14.       Será aberta a janela para que você digite o nome de uma conta de um dos grupos aos quais poderá pertencer o grupo restrito que está sendo configurado. Informe o nome de um grupo e clique em OK.
15.       Repita os passos 13 e 14 para cada grupo do qual você deseja que o grupo restrito que está sendo configurado, possa ser incluído como membro. Ao final a sua janela deverá estar com a lista de grupos aos quais pode pertencer o grupo restrito que está sendo configurado, conforme exemplo da Figura 18.26:


Figura 18.26 Lista dos grupos aos quais pode pertencer o grupo restrito.

16.       Clique em OK para fechar a janela de configurações do grupo restrito.
17.       Você estará de volta ao Group Policy Editor. Observe que o grupo que acaba de ser configurado como grupo restrito, já é exibido no painel da direita. Você poderá excluí-lo, isto é, fazer com que ele deixe de ser um grupo restrito, a qualquer momento. Para isso basta clicar com o botão direito do mouse no grupo restrito e, no menu de opções que é exibido clicar em Delete (Excluir). Será exibida uma mensagem pedindo confirmação. Clique em Yes (Sim). Excluir, não significa que o grupo será excluído, significa apenas que ele deixará de ser um grupo restrito, ou seja, qualquer usuário poderá ser incluído como membro do grupo e o grupo poderá ser membro de qualquer outro grupo. Você também pode alterar as configurações de um grupo restrito sempre que necessário. Para isso basta dar um clique duplo no grupo restrito, que será aberta a janela de configurações do grupo, na qual você poderá definir quais usuários e grupos podem ser incluídos como membros do grupo restrito e de quais grupos o grupo restrito poderá ser membro, conforme explicado anteriormente.
18.       Feche o console Group Policy Editor.
19.       Você estará de volta a guia Group Policy, da janela de propriedades do domínio. Clique em OK para fecha-la.

Definindo permissões de acesso em chaves da registry:

É possível usar GPOs para definir permissões em chaves da registry dos computadores da rede. Estas configurações são feitas usando a seguinte opção: Computer Configuration –> Security Settings -> Registry

Esta opção permite que o administrador configure as permissões de acesso em uma ou mais chaves da registry. Cada chave da registry tem uma ACL – Access Control List (Lista de controle de acessos). Esta ACL é muito semelhante a que é utilizada para definir permissões NTFS em pastas e arquivos de um volume formatado com NTFS. Em resumo, é possível definir quais usuários tem acesso a uma determinada chave da Registry e qual o nível de acesso: somente leitura, leitura e escrita e assim por diante.

Determinadas opções da registry são críticas em termos de segurança e devem ter o acesso restrito. Via polices o administrador pode configurar as permissões em uma ou mais opções da registry. Você deve ter um cuidado especial ao configurar esta opção. Existem programas que dependem da registry para o seu correto funcionamento. Quando um usuário faz o logon e executa um destes programas, o programa fará acesso à registry em nome do usuário, isto é, no contexto da conta de logon do usuário. Se a conta de logon do usuário não tiver o acesso necessário (normalmente leitura) as chaves da registry utilizadas pelo programa, o programa irá falhar e uma mensagem de erro será exibida.

Nota: No Capítulo 22 apresentarei mais detalhes sobre a Registry do sistema.

Exemplo: Neste exemplo usarei a GPO padrão do domínio (Default Domain Policy), para definir permissões em uma chave da registry. Com isso estas permissões serão definidas em todos os computadores do domínio, ou melhor, serão definidas na respectiva chave da registry de todos os computadores do domínio.

Para definir permissões em uma chave da Registry, usando o recurso de polices, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers.
3.         Clique com o botão direito do mouse no domínio a ser configurado e, no menu de opções que é exibido, clique em Properties (Propriedades).
4.         Na janela de propriedades do domínio, clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao domínio.
5.         Clique na GPO Default Domain Policy, para seleciona-la.
6.         Clique em Edit para carregar a GPO Default Domain Policy no console Group Policy Editor.
7.         Acesse a seguinte opção: Computer configuration -> Windows Settings -> Security Settings -> Registry, conforme indicado na Figura 18.27:


Figura 18.27 A opção Registry.

8.         Para definir permissões em uma chave da Registry clique com o botão direito do mouse na opção Registry e, no menu de opções que é exibido clique em Add Key... (Adicionar Chave...). Será exibida a janela Select Registry Key  (Selecionar chave da Registry). Nesta janela são apresentadas as opções indicadas na Figura 18.28. Nesta janela você pode navegar até a chave a ser configurada. Para isso basta clicar no sinal de + ao lado das opções para exibir o conteúdo de cada uma e seguir navegando, até localizar a chave desejada.


Figura 18.28 A janela para selecionar a chave da Registry a ser configurada.

9.         Localize a chave a ser configurada, clique para marca-la e clique em OK.
10.       Será exibida a janela Database Security for [Nome da chave]. Nesta janela são exibidas as permissões atuais para a chave selecionada. Nesta janela você pode definir quais usuários e grupos devem ter acesso à chave selecionada e qual o nível de acesso de cada usuário/grupo. As configurações são idênticas as utilizadas para definir permissões NTFS em pastas e arquivos. Na Figura 18.29 é exibida a janela com as permissões de acesso definidas para a chave selecionada:


Figura 18.29 Permissões de acesso para a chave selecionada.

11.       Defina as permissões desejadas e clique em OK para fechar a janela de permissões.
12.       Se a chave selecionada contiver outras chaves e opções dentro dela, será exibida uma janela indicada na Figura 18.30:


Figura 18.30 Definindo como serão propagadas as permissões.

12.       Nesta janela estão disponíveis as seguintes opções:

• Propagate inheritable permissions to all subkeys: Esta opção é selecionada por padrão. Se for utilizada esta opção, as permissões definidas na chave selecionada e que possam ser herdadas pelas subchaves, serão aplicadas a todas as subchaves, isto é, chaves contidas dentro da chave que está sendo configurada. As permissões que tenham sido explicitamente definidas nas subchaves serão mantidas.

• Replace existing permissions on all subkeys with inheritable permissions: Esta opção faz com que as permissões definidas na chave selecionada e que possam ser herdadas pelas subchaves, serão aplicadas a todas as subchaves, isto é, chaves contidas dentro da chave que está sendo configurada. As permissões que tenham sido explicitamente definidas nas subchaves serão excluídas.

• Do not allow permissions on this key to be replaced: Se esta opção for marcada, as duas opções anteriores serão desabilitadas. Esta opção faz com que as permissões definidas via polices não possam ser alteradas manualmente.
13.       Selecione a opção desejada e clique em OK. Pronto, a chave configurada já será exibida no painel do lado direito. Você pode alterar as configurações desta chave dando um clique duplo na chave. Será aberta novamente a janela da Figura 18.30. Para alterar as permissões, marque a opção Configure this item e em seguida clique no botão Edit Security... (Editar Segurança). Será aberta a janela para que você altere as permissões de acesso. Uma vez definidas as permissões de acesso via polices, estas permissões serão aplicadas, a respectiva chave, na registry de todos os comutadores do domínio (pois estamos configurando a GPO padrão do domínio), na próxima vez em que a GPO for processada. Você pode excluir as definições de permissão para uma chave. Para isso basta clicar com o botão direito na chave e, no menu de opções que é exibido, clicar em Delete (Excluir). Será exibida uma mensagem pedindo confirmação. Clique em Yes e pronto, a chave será excluída. Excluir a chave significa que não serão mais definidas permissões para esta chave, via polices, não significa que a chave será excluída na registry dos computadores.
14.       Feche o console Group Policy Editor.
15.       Você estará de volta a guia Group Policy, da janela de propriedades do domínio. Clique em OK para fecha-la.

Definindo permissões de acesso em pastas de um volume.

O administrador também pode utilizar as polices para configurar um conjunto de permissões NTFS que serão aplicadas a uma ou mais pastas nos computadores dos usuários. Por exemplo, vamos supor que todas as estações de trabalho da rede estejam com o Windows 2000 Professional ou Windows XP Professional e que a pasta padrão de instalação é C:\Windows. O administrador pode utilizar as polices para configurar as permissões da pasta C:\Windows em todas as estações de trabalho da rede.

Aqui você pode começar a combinar os recursos disponíveis. Por exemplo, vamos supor que ao invés de definir as configurações em todos os computadores da rede, você queira definir estas configurações apenas em determinados computadores. Uma opção é criar uma unidade organizacional para conter as contas dos computadores a serem configurados pelas polices. Em seguida é só criar e configurar uma police associada a esta unidade organizacional.

Agora vamos imaginar esta mesma situação, porém com alguns detalhes diferentes. Imagine que, por algum motivo, todas as contas de computadores devam ficar no container padrão Computers. O que o você pode fazer para aplicar uma police apenas a um determinado grupo de computadores? Você tem duas opções:

• Criar um grupo no Active Directory e adicionar ao grupo, as contas de todos os computadores a serem configurados pela police (esta é uma das novidades do Windows Server 2003, ou seja, a possibilidade de incluir contas de computadores como membros de um grupo). O próximo passo é configurar as permissões para a GPO, de tal maneira que esta somente seja aplicada ao grupo criado anteriormente.

• Outra opção é criar um filtro WMI, definindo critérios de tal maneira que somente sejam filtrados os computadores nos quais deve ser aplicada a police. Em seguida, informa-se o filtro WMI na janela de propriedades da GPO, conforme descrito anteriormente.

Muito bem, a seguir mostrarei como utilizar uma GPO, para configurar as permissões NTFS em uma ou mais pastas nos computadores da rede.

Para definir as permissões NTFS em uma ou mais pastas dos computadores do domínio, usando a GPO Default Domain Policy, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers.
3.         Clique com o botão direito do mouse no domínio a ser configurado e, no menu de opções que é exibido, clique em Properties (Propriedades).
4.         Na janela de propriedades do domínio, clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao domínio.
5.         Clique na GPO Default Domain Policy, para seleciona-la. Lembre-se que ao configurar a GPO Default Domain Policy, as configurações nela definidas serão aplicadas em todo o domínio. Se você quiser aplicar configurações apenas em uma determinada OU, crie uma GPO associada com a respectiva OU.
6.         Clique em Edit para carregar a GPO Default Domain Policy no console Group Policy Editor.
7.         Acesse a seguinte opção: Computer configuration -> Windows Settings -> Security Settings -> File System.
8.         Clique com o botão direito do mouse na opção File System. No menu de opções que é exibido clique em Add File... (Adicionar Arquivo...).
9.         Será aberta uma janela para que você selecione um arquivo ou pasta, para o qual serão definidas as permissões NTFS. Selecione o arquivo ou pastas desejado e clique em OK.
10.       Será aberta a janela de permissões NTFS, com a qual você aprendeu a trabalhar no Capítulo 11. Defina as permissões NTFS desejadas, conforme exemplo da Figura 18.31, onde defini permissões somente para o grupo Administrators.


Figura 18.31 Definindo permissões NTFS via polices.

12.       Clique em OK.
13.       Será aberta uma janela onde você tem que definir se as permissões herdadas devem ser propagadas para todas as subpastas e arquivos ou se as permissões herdadas a partir da pastas pai deverão substituir as permissões atualmente existentes ou se você deseja que as configurações não possam ser alteradas de maneira alguma, nem manualmente, nem pelo mecanismo de herança (no caso de permissões herdadas de uma pasta pai), conforme indicado na Figura 18.32:


Figura 18.32 Definindo como as permissões serão aplicadas.

14.       Defina as opções desejadas e clique em OK. . Pronto, a definição de permissões NTFS já será exibida no painel do lado direito. Você pode alterar as configurações da definição de permissões,  dando um clique duplo nela. Será aberta novamente a janela da Figura 18.32. Para alterar as permissões, marque a opção Configure this file or folder item e em seguida clique no botão Edit Security... (Editar Segurança). Será aberta a janela para que você altere as permissões NTFS. Uma vez definidas as permissões NTFS,  via polices, estas permissões serão aplicadas, a respectiva pasta ou arquivo, de todos os comutadores do domínio (pois estamos configurando a GPO padrão do domínio), na próxima vez em que a GPO for processada.
15.       Você pode excluir as definições de permissões. Para isso basta clicar com o botão direito na definição a ser excluída e, no menu de opções que é exibido, clicar em Delete (Excluir). Será exibida uma mensagem pedindo confirmação. Clique em Yes e pronto, a definição será excluída. Excluir a chave significa que não serão mais definidas via polices, permissões NTFS na pasta ou arquivo associado a definição, não significa que a pasta ou arquivo será excluído nos computadores dos usuários.
16.       Feche o console Group Policy Editor.
17.       Você estará de volta a guia Group Policy, da janela de propriedades do domínio. Clique em OK para fecha-la.

Criando uma lista de Snap-ins permitidos – lista branca.

Para criar uma lista de restrições, existem duas abordagens diferentes. Uma é conhecida como lista branca. Em uma lista branca, tudo é proibido, menos o que estiver na lista. Por exemplo, se você cria uma lista branca, para restrição de acesso a sites da Internet, todos os sites estão automaticamente proibidos, com exceção dos sites que estiverem na lista branca. Outra abordagem é a da lista negra. Em uma lista negra, tudo é permitido, menos o que estiver na lista. Por exemplo, se você cria uma lista negra, para restrição de acesso a sites da Internet, todos os sites estão automaticamente permitidos, com exceção dos sites que estiverem na lista negra. Em resumo, a lista branca contém a lista de itens permitidos, todos os demais estão proibidos. A lista negra contém a lista dos itens proibidos, todos os demais estão permitidos.

Ao usar as polices para restringir quais Snap-ins os usuários poderão carregar no MMC, o administrador cria uma lista branca. Ou seja, os Snap-ins que estiverem na lista serão permitidos, todos os demais estarão, automaticamente, proibidos. Esta police é utilizada para impedir que os usuários possam carregar determinados Snap-ins. É uma medida adicional de segurança. Vamos a um exemplo prático de configuração desta police.

Para definir a lista dos Snap-ins permitidos, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers.
3.         Clique com o botão direito do mouse no domínio a ser configurado e, no menu de opções que é exibido, clique em Properties (Propriedades).
4.         Na janela de propriedades do domínio, clique na guia Group Policy. Será exibida a lista de GPOs aplicadas ao domínio.
5.         Clique na GPO Default Domain Policy, para seleciona-la. Lembre-se que ao configurar a GPO Default Domain Policy, as configurações nela definidas serão aplicadas em todo o domínio. Se você quiser aplicar configurações apenas em uma determinada OU, crie uma GPO associada com a respectiva OU.
6.         Clique em Edit para carregar a GPO Default Domain Policy no console Group Policy Editor.
7.         Acesse a seguinte opção: User configuration -> Administrative Templates -> Windows Componentes -> Microsoft Management Console.
8.         No painel da direita serão exibidas duas polices e mais o grupo Restricted/Permitted snap-ins. As opções deste grupo são utilizadas para habilitar/desabilitar cada Snap-in individualmente. Para definir a lista de Snap-ins permitidos. O processo de criar uma lista branca envolve duas etapas:

• Habilitar a policy Restrict user to explicity permitted list of snpa-ins: Ao habilitar esta police, todos os snap-ins serão proibidos.

• Habilitar os Snap-ins que serão permitidos: O próximo passo é “explicitamente”, definir quais Snap-ins serão permitidos, ou seja, quais farão parte da lista branca. Isso é feito através das opções do grupo Restricted/Permitted snap-ins.

9.         Então vamos fazer estas configurações e criar a nossa lista branca.
10.       Dê um clique duplo na opção Restrict user to explicity permitted list of snpa-ins. A janela de propriedades desta configuração será aberta. Marque a opção Enabled para habilitar esta police, conforme indicado na Figura 18.33:


Figura 18.33 Habilitando a opção Restrict user to explicity permitted list of snpa-ins.

11.       Feito isso todos os Snap-ins estão proibidos (quando a GPO for aplicada). Agora vamos definir quais Snap-ins serão permitidos (lista branca).
12.       Clique na opção Restricted/Permitted snap-ins. No painel da direita será exibida a lista dos diversos Snap-ins que podem ser habilitados. Dê um clique duplo no Snap-in a ser habilitado. Será aberta a janela para habilitar o Snap-in. Marque a opção Enabled e clique em OK. Repita a operação para os demais Snap-ins que deverão ser permitidos.
13.       Pronto, você acabou de criar uma lista branca, na qual somente estão permitidos os Snap-ins explicitamente habilitados via polices, ou seja, os Snap-ins que fazem parte da lista branca.

Muito bem, a seguir falarei sobre uma das principais utilidades do uso de GPOs: distribuição de software via GPO.


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »

Best Sellers de Excel do Julio Battisti

Todos com Vídeo Aulas, E-books e Planilhas de Bônus!

Aprenda com Júlio Battisti:
Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos - Passo a Passo

 Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

 

Autor: Júlio Battisti | Páginas: 540 | Editora: Instituto Alpha

 

[Livro]: Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 952 | Editora: Instituto Alpha

 

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1124 | Editora: Instituto Alpha

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1338 | Editora: Instituto Alpha

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

Todos os livros com dezenas de horas de vídeo aulas de bônus, preço especial (alguns com 50% de desconto). Aproveite. São poucas unidades de cada livro e por tempo limitado.

Dúvidas?

Utilize a área de comentários a seguir.

Me ajude a divulgar este conteúdo gratuito!

Use a área de comentários a seguir, diga o que achou desta lição, o que está achando do curso.
Compartilhe no Facebook, no Google+, Twitter e Pinterest.

Indique para seus amigos. Quanto mais comentários forem feitos, mais lições serão publicadas.

Quer receber novidades e e-books gratuitos?
›››

Novidades e E-books grátis

Fique por dentro das novidades, lançamento de livros, cursos, e-books e vídeo-aulas, e receba ofertas de e-books e vídeo-aulas gratuitas para download.



Institucional

  • Quem somos
  • Garantia de Entrega
  • Formas de Pagamento
  • Contato
  • O Autor
  • Endereço

  • Júlio Battisti Livros e Cursos Ltda
  • CNPJ: 08.916.484/0001-25
  • Rua Vereador Ivo Cláudio Weigel, 537 Universitário
  • Santa Cruz do Sul/RS
  • CEP 96816-208
  • Todos os direitos reservados, Júlio Battisti 2001-2017 ®

    [LIVRO]: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2010 - PASSO-A-PASSO

    APRENDA COM JULIO BATTISTI - 1124 PÁGINAS: CLIQUE AQUI