• Fale com o Autor
• Indicar Este Site
• Newsletter
• Pesquisa no Site

• Loja de Livros
• Cursos Completos em CD
• Livros do Autor
• Cursos
• Artigos e Tutoriais

 

LOJA DE LIVROS

• Administração e Ne...
• Aplicativos
• AutoCAD
• Banco de Dados
• Carreira e Trabalh...
• Criação de Sites e...
• Cultura e Interess...
• Exames de Certific...
• Excel
• Finanças e Investi...
• Gráficos e CorelDr...
• Hardware e Montage...
• Office 2007
• Programação
• Redes
• Segurança
• Windows e Linux
• Word

VÍDEO-AULAS

• Access
• Excel
• Word
• PowerPoint
• Windows
• Redes e TCP/IP
• Programação
• Concursos Públicos
• Banco de Dados
• Webdesign
• Internet
• CAD
• Vídeo e Áudio
• Programas Gráficos
• Administração e Ne...
• Hardware e Montage...

E-BOOKS/CURSOS

• Access
• Excel
• Word
• PowerPoint
• Windows
• Redes e TCP/IP
• Programação
• Certificações Micr...
• Concursos Públicos
• Banco de Dados
• Webdesign
• Internet
• BrOffice
• Linux
• CAD
• Vìdeo
• Formação Pessoal e...
• Área Gráfica
• Literatura e Outro...
• Administração e Ne...
• Livros de Office 2...

CURSOS ONLINE COM CERTIFICADO

BANCO DE DADOS

• Access Avançado, Macros e VBA
• Access 2007 Avançado, Macros e VBA
• Consultas no Access

CARREIRA

• Como Liderar, Influenciar e Motivar Pessoas
• Gerência Financeira
• Oratória
• Profissionalizante de Informática
• SEO

CRIAÇÃO WEB

• Actionscript 3 Avançado
• Como criar video-aulas
• Como criar um site completo 2
• CSS
• Criação de Sites em 400 Lições
• Criação de Sites dinâmicos sem programação
• Dreamweaver Avançado
• Lógica de Programação
• Loja Virtual com Magento
• Moodle
• PagSeguro
• Profissionalizante de Flash
• Programação para Web
• Temas para Wordpress
• Word 2010
• Word para TCC
• Wordpress

EXCEL/PROJETOS

• Excel 2007 Avançado
• Excel 2010
• Gerência de Projetos
• MS Project 2007
• Programação VBA no Excel

FORMAÇÃO

• Adobe Vídeo
• Design Gráfico
• Dreamweaver
• Flash
• Master Collection CS5
• Web Design
• Wordpress

MANUTENÇÃO

• Hardware: Montagem e Manutenção

PROGRAMAS GRÁFICOS

• After Effects CS5
• Encore DVD CS5
• Corel Draw X4
• Fireworks CS4
• Fireworks CS5
• Flash CS4
• Flash CS5
• Flash Catalyst CS5
• Illustrator CS5
• Photoshop
• Photoshop CS4
• Photoshop CS5 - Completo
• Power Point 2010
• Premiere CS5

REDES E SERVIDORES

• Configuração de Roteadores e Switches - Básico
• IPv6 - Teoria e Prática
• Profissionalizante de Redes
• SQL Server 2005
• Técnico de Cabeamento Estruturado
• Técnico de Redes WAN
• Profissional de Redes Wireless
• Windows Server 2003

SAP

• Profissionalizante de SAP e Logística
• SAP - Básico e funcional

• 

CURSOS
COMPLETOS EM CD

• CD-01

• 

• CD-02

• 

• CD-03

• 

• CD-04

• 

• CD-05

• 

• CD-06

• 

• CD-07

• 

• CD-08

• 

• CD-09

• 

• CD-10

• 

CONTATO

• Indique este site
• Enviar a um amigo
• Contato por e-mail
• (0xx51) 9627-3434

:: PÁGINA DO FABIANO :: MANUAIS E SIMULADOS :: ARTIGOS E TUTORIAIS

 

Você está aqui: Principal » Fabiano » Artigos

 

WINDOWS 2000

Group Policy Objects – GPO (Objetos de Diretiva de Grupo)

 

Autor: Fabiano de Santana

Certificações: MCP – MCSA 2000/2003 – MCSE 2000

 

 

Temos um componente muito importante no Windows 2000 quando falamos em segurança. São as diretivas de segurança, as quais utilizamos para proteger a rede em um ambiente corporativo. Com as diretivas de segurança podemos definir o que um usuário poderá fazer em seu computador e na rede.

 

As diretivas de segurança de domínio são aplicadas a usuários, computadores, Member Servers (Servidores Membros) e Domain Controllers (Controladores de Domínio). Um detalhe importante é que a GPO só pode ser aplicada em computadores que utilizam o Windows 2000, Windows XP ou o Windows 2003. As versões mais antigas do Windows (95, 98, ME e NT) não podem utilizar este recurso.

 

No Windows NT foi introduzido o recurso Police Editor, com o qual era possível definir várias configurações das estações de trabalho centralizadamente. Porém esse recurso era bem limitado. Com a chegada das GPO’s no Windows 2000, a administração do domínio se tornou bem mais fácil. Observe que em um domínio no qual os clientes são Windows 9x e Windows 2000, deveremos utilizar ambos os recursos: Police Editor para configurar os clientes anteriores ao Windows 2000 e a GPO para configurarmos os clientes Windows 2000.

 

As GPO’s possuem configurações que podem ser aplicadas tanto em nível de usuário como em nível de computador:

• Usuário : as GPO’s aplicadas aos usuários serão carregadas em todos os computadores em que o usuário efetuar logon. Essas políticas são aplicadas no momento em que o usuário efetuar logon.
• Computador : as GPO’s aplicadas aos computadores serão aplicadas no computador, independente do usuário que efetuar logon. Essas políticas são aplicadas no momento em que o computador for inicializado.

Por padrão, existem 2 GPO’s que são configuradas automaticamente durante a instalação do Active Directory:

• Default Domain Policy (Diretiva de Domínio Padrão) : as configurações efetuadas nesta GPO serão aplicadas a todos os usuários e computadores do domínio. Portanto, devemos definir nesta GPO, todas as configurações que devem ser aplicadas para todos os usuários e computadores do domínio. Essa GPO está associada com o domínio.

Figura 1 – Default Domain Policy – Diretiva de Domínio Padrão

• Default Domain Controllers Policy (Diretiva de Controladores de Domínio Padrão) : as configurações efetuadas nesta GPO serão aplicadas a todos os Domain Controllers (Controladores de Domínio). Essa GPO está associada com a OU (Unidade Organizacional) Domain Controllers.

Figura 2 – Default Domain Controller Policy – Diretiva de Controladores de Domínio Padrão

 

Existe ainda um mecanismo de permissões de acesso as GPO’s, com o qual podemos definir sobre quais grupos de usuários e computadores a GPO deverá ser aplicada.

 

Podemos também criar uma GPO e associar essa GPO com vários elementos do Active Directory, por exemplo: podemos criar uma GPO e associá-la com diferentes OU’s e com um site.

 

Assim como as contas de usuários e grupos de usuários, as diretivas de segurança também podem ser criadas e aplicadas localmente ou no domínio. Em empresas pequenas que não utilizam o AD, podemos implementar as diretivas de segurança locais em cada computador da rede. Se a empresa for grande e utilizar o AD, podemos implementar as diretivas de segurança de domínio, o que fará com que a administração da rede seja centralizada.

 

Para implementar as diretivas de segurança de domínio, ou GPO, devemos abrir o console Active Directory Users and Computers (Usuários e Computadores do AD). As diretivas de domínio são mais conhecidas como Group Policy Objects – GPO (Objetos de Diretiva de Grupo).

 

Processamento e aplicação das GPO’s

 

Como já dito anteriormente, o Windows NT utiliza o Police Editor para fazer as configurações dos clientes centralizadamente. Essas configurações são armazenadas em um arquivo com a extensão .pol. Seguem abaixo algumas considerações sobre esse arquivo:

• Está armazenado na pasta NETLOGON do PDC (Primary Domain Controller) e de todos os BDC’s (Backup Domain Controllers) de um domínio NT.
• Para que essas configurações possam ser utilizadas em clientes Windows 95, Windows 98 e Windows ME, esse arquivo deve ter o nome config.pol.
• Para que essas configurações possam ser utilizadas em clientes Windows NT Workstation 4.0, esse arquivo deve ter o nome ntconfig.pol.
• As configurações presentes nesse arquivo serão aplicadas ao registro dos computadores todas as vezes que um usuário efetuar logon.

Com o Windows 2000 Server utilizamos as GPO’s, e não mais o Police Editor. Uma das grandes diferenças entre a GPO e o Police Editor é que com a GPO podemos aplicar mais de um conjunto de políticas para um mesmo usuário e computador. Com o Police Editor, apenas um conjunto de políticas é aplicado para os usuários e computadores, políticas estas definidas no arquivo .pol. Ou seja, podemos ter mais de uma GPO aplicada a um usuário ou computador.

 

Seguem abaixo algumas considerações sobre as GPO’s:

• As configurações das GPO’s são armazenadas na pasta SYSVOL dos Domain Controllers (Controladores de Domínio) e são replicadas entre todos os Domain Controllers (Controladores de Domínio) de um domínio.
• Dentro da pasta SYSVOL, temos as seguintes pastas:
• Adm : armazena os modelos administrativos.
• Machine : armazena as configurações que serão aplicadas nos computadores. Essas configurações são armazenadas no arquivo registry.pol. Durante a inicialização do computador, é feito o download desse arquivo e as configurações são aplicadas no registro do computador.
• User : armazena as configurações que serão aplicadas aos usuários quando estes efetuarem logon. Essas configurações são armazenadas no arquivo registry.pol. Durante o logon, é feito o download desse arquivo e as configurações são aplicadas no registro do computador.
• Scripts : armazena os scripts utilizados pelas GPO’s, caso existam.
• Arquivo GPT.INI : contém informações sobre a versão da GPO.
• Todas as informações contidas na pasta SYSVOL são conhecidas como GPT (Group Policy Template). Esses templates definem todas as opções que estarão disponíveis nas GPO’s. Quando criamos uma nova GPO, está é criada com base nos templates da pasta SYSVOL. A nova GPO é então criada e armazenada no Active Directory. Esta GPO é conhecida como GPC (Group Policy Container).

Figura 3 – Estrutura da pasta SYSVOL

 

Ordem de processamento das GPO’s

 

Não é raro em uma empresa que utiliza domínios baseados no Active Directory, várias GPO’s sendo utilizadas. Muitas vezes, essas GPO’s são aplicadas a um mesmo objeto. Nesse caso, as GPO’a possuem uma ordem na qual serão aplicadas. Segue abaixo essa ordem:

• GPO Local : as diretivas de segurança local serão as primeiras a serem processadas.
• GPO associada ao Site : logo após as diretivas de segurança locais serem aplicadas, a GPO associada ao site será aplicada.
• GPO associada ao Domínio : logo após a GPO associada ao Site ser aplicada, serão aplicadas as GPO’s associadas ao domínio. Saiba que podemos ter várias GPO’s associadas a um domínio, e podemos definir a ordem em que as GPO’s associadas ao domínio serão aplicadas.
• GPO associada a OU : logo após todas as GPO’s associadas ao domínio serem aplicadas, serão aplicadas as GPO’s associadas as OU’s. Lembrando que a GPO associada com a OU pai será aplicada por primeiro, e assim por diante.

As GPO’s aplicadas por último terão prioridade sobre as GPO’s aplicadas por primeiro. Ou seja, se na GPO associada ao domínio estiver configurado para que menu Run (Executar) não seja exibido no menu Iniciar, e na GPO associada a OU na qual o usuário está localizado estiver configurado para que menu Run (Executar) seja exibido no menu Iniciar, o resultado será que o menu Run (Executar) será exibido no menu Iniciar. Podemos também fazer com que as configurações da GPO aplicadas ao domínio não sejam substituídas. Veremos como fazer essa configuração mais adiante.

 

Recurso Loopback

 

Como vimos anteriormente, as GPO’s possuem uma ordem na qual são aplicadas. Com o recurso Loopback podemos configurar uma outra ordem de aplicação das GPO’s.

 

Esse recurso pode ser configurado como: Not Configured (Não Configurado), Enable (Habilitado) ou Disabled (Desabilitado). Caso esteja habilitado, poderá ser configurado com as seguintes opções:

• Merge : a ordem de aplicação padrão das GPO’s será substituída pela ordem definida no próprio computador.
• Replace : a ordem de aplicação padrão das GPO’s será concatenada com a ordem definida no próprio computador. A ordem de aplicação das GPO’s definidas no computador será aplicada por último.

Policy Inheritance e No Override

 

Quando configuramos uma diretiva de segurança de domínio (GPO), temos dois recursos importantes:

• Block Policy Inheritance (Bloqueio do Mecanismo de Herança) : esse recurso quebra a herança de GPO’s, ou seja, caso habilitemos essa opção, as GPO’s configuradas a um nível superior não serão herdadas. Por padrão, as GPO’s herdam as configurações de outras GPO’s configuradas em níveis superiores. Lembrem-se da ordem em que as GPO’s são processadas: local, site, domínio e OU. Podemos usar essa opção quando desejamos aplicar uma GPO em todos os objetos de um domínio, com exceção a uma OU. Devemos então marcar a opção Block Policy Inheritance na OU para que as configurações dessa GPO não sejam aplicadas na OU.
• No Override (Não Sobrescrever) : esse recurso faz com que as configurações de uma GPO não sejam sobrescritas por outras GPO’s. Devemos utilizar essa opção quando desejamos que as configurações de uma GPO não sejam substituídas por configurações de outras GPO’s, independente do local em que a GPO esteja sendo aplicada.

Um detalhe importante é que não existe herança de GPO’s entre domínios. Ou seja, as GPO’s existentes no domínio pai dominio1.com, não serão herdadas pelo domínio filho teste.dominio1.com.

 

Console de Administração das GPO’s

 

Apresentamos abaixo 2 formas de obtermos acesso ao console de administração das GPO’s:

 

Exemplo prático – Criar um console personalizado para administração das GPO’s.

• Efetue logon com uma conta de usuário com direitos administrativos;
• Clique em Start (Iniciar), Run (Executar) e digite mmc;
• Clique no menu Console;
• Clique em Add/Remove Snap-in (Adicionar/Remover Snap-in);
• Clique em Add (Adicionar);
• Clique sobre o snap-in Group Policy (Diretiva de Grupo). Será aberta uma janela para que você informe qual GPO deseja abrir. Para o nosso exemplo, selecione a GPO padrão do domínio e clique em Finish (Concluir);
• Clique em Close (Fechar);
• Clique em OK.

Exemplo prático – Visualizar as GPO’s disponíveis em um domínio com o console Active Directory Users and Computers (Usuários e Computadores do AD).

• Efetue logon com uma conta de usuário com direitos administrativos;
• Abra o console Active Directory Users and Computers (Usuários e Computadores do AD);
• Clique com o botão direito sobre o nome do domínio e escolha Properties (Propriedades);
• Clique na aba Group Policy (Diretiva de Grupo). Observe as GPO’s disponíveis, selecione uma delas e clique em Edit (Editar). Observe que o console Group Policy (GPO) será aberto;
• Feche esse console e feche a janela de propriedades do domínio;
• Agora siga os mesmo procedimentos acima para visualizar as GPO’s aplicadas em nível de OU.

Com o comando gpedit.msc abrimos o console da GPO Local.

 

Conclusão

 

Finalizamos aqui o artigo sobre a Group Policy Objects – GPO (Objetos de Diretiva de Grupo).

 

Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através de e-mail: fabianodesantana@terra.com.br.

 

 

© Júlio Battisti, 2001 - 2010. Todos os direitos reservados.
É expressamente proibida a reprodução total ou parcial do conteúdo deste site e dos textos disponíveis, seja através de mídia eletrônica, impressa, ou qualquer outra forma de distribuição. Os infratores serão indiciados e punidos com base na lei nº 9.610 de 19/02/1998. Este tutorial só pode ser publicado no site www.juliobattisti.com.br e no site do Autor do tutorial. Nenhum outro site tem permissão para copiar e publicar este tutorial, mesmo que sejam mantidas todas as referências ao autor e ao site www.juliobattisti.com.br. Não é permitida a publicação deste tutorial em nenhum outro site.