Pré-Requisitos: Teoria e prática sobre o console RSoP.
Metodologia: Descrição da função do console RSoP.
Técnica: Exemplo práticos, passo-a-passo.

O recurso conhecido como RSoP é uma novidade do Windows Server 2003, uma adição para o recurso de Group Policy em relação ao Windows 2000 Server. O principal objetivo deste recurso é facilitar a identificação do conjunto efetivo (Resultant Set) que está sendo aplicado a um usuário ou grupo, para facilitar a identificação e a conseqüente resolução de problemas. RSoP é um mecanismo de pesquisa que permite que sejam pesquisadas as polices existentes e as que estão para ser implementadas. Uma vez concluída a pesquisa o RSoP fornece os dados no formato de um relatório de fácil interpretação para o administrador (muito mais fácil do que analisar cada GPO individualmente para tentar descobrir o que está errado, como tem que ser feito no Windows 2000 Server). A pesquisa é feita com base nas polices existentes em sites no domínio e nas unidades organizacionais. Este recurso fornece informações detalhadas sobre as configurações das polices, incluindo as configurações de Templates Administrativos, Redireção de Pastas, Manutenção do Internet Explorer, Configurações de Segurança, Scripts e instalação de software via GPO.

Quando você aplica GPOs em diferentes níveis (local, sites, domínios e OUs), podem surgir conflitos entre as configurações dos diferentes níveis e pode ser difícil identificar em qual das GPOs está a configuração a ser alterada. O uso do RSoP é de grande utilidade nestas horas, para que você possa identificar exatamente o conjunto de polices que está sendo aplicado em cada nível e qual a precedência que está sendo utilizada.

Este recurso é utilizado em dois diferentes modos: planning mode (modo de planejamento) e logging mode (modo de log ou gravação de dados). No modo de planejamento, o administrador simula os efeitos da aplicação de um conjunto de polices aos usuários e comutadores. Ou seja, você pode fazer simulações para descobrir se o conjunto d GPOs configurado irá surtir o efeito esperado. Com isso é possível corrigir eventuais incorreções, antes de colocar as polices no ambiente de produção. O modo de log é utilizado para obter um relatório do conjunto de polices (Resultante Set) efetivamente aplicados ao computador e ao usuário logado.

Está disponível um assistente para o RSoP. O assistente irá ajuda-lo a criar uma consulta. O assistente pode ser aberto a partir do console Active Directory Users and Computers ou a partir do console Active Directory Sites and Services. Para criar uma consulta você deve executar o assistente pelo menos uma vez. Uma vez concluído o assistente, os resultados serão exibidos no MMC, com o Snap-in RSoP carregado. A partir deste console você pode salvar e atualizar as consultas. É possível criar mais de uma consulta, simplesmente adicionando múltiplos Snap-ins RSoP, um snap-in RSoP por consulta.

Com o uso do RsoP é possível exibir quais aplicações estão disponíveis (isto é, foram distribuídas via GPO) para um determinado usuário ou computador.

RSoP no modo de planejamento – Planning Mode.

Com o uso do RSoP no modo de planejamento, os administradores podem fazer simulações e verificar o resultado da aplicação de um conjunto de polices, sem ter que efetivamente coloca-las no ambiente de produção. Neste modo o administrador pode configurar os conhecidos cenários “What if?” que, em bom Português significa: O que acontecerá se eu fizer isso? Ou seja, o administrador pode testar diversas combinações e diferentes conjuntos de polices, até obter o resultado desejado. Diga-se de passagem, muito melhor do que testar no ambiente de produção. Pode parecer um exagero, mas tem muito administrador que trabalha mais ou menos assim: sempre apagando incêndios, dizendo que ler manual e o Resource Kit é coisa de quem não tem o que fazer e fazendo testes no ambiente de produção (e as bobagens também).

Algumas situações práticas onde o uso do RSoP no modo de planejamento é especialmente indicado:

• O administrador quer similar os efeitos de um ou mais configurações de polices em um computador, usuário, domínio, unidade organizacional ou site.

• Testar os resultados de um conjunto de polices sobre uma nova conta que foi criada no Active Directory, e que ainda não foi utilizada para fazer o logon.
 
• Testar a precedência da aplicação das polices nas seguintes situações:

-           O usuário e o computador pertencem a diferentes grupos de segurança.
-           O usuário e o computador estão em diferentes unidades organizacionais.
-           O usuário ou o computador estão sendo movidos para uma nova localização

• O administrador quer testar como fica a aplicação das polices para computadores de uma rede conectada a WAN da empresa através de um link de baixa velocidade.
Após ter estudado, planejado e decidido quais as alterações que serão necessárias, o administrador pode executar uma série de simulações usando o RSoP no modo de planejamento, para verificar o que acontecerá para um usuário ou grupo quando eles são movidos para outra localização, ou para outro grupo. A possibilidade de fazer simulações ao invés de ter que implementar as polices na prática para “ver no que dá” é realmente um grande avanço.

Nota: Para que você possa executar o RSoP em modo de planejamento, em um computador remoto, você deve estar logado como um membro do grupo Domain Admins, Enterprise Admins ou deve ter recebido o direito “Generate Resultant Set of Policy”.

RSoP no modo de log – Logging Mode.

O RSoP é utilizado no mode de log para que o administrador possa obter informações sobre as polices atualmente implementadas na rede.

O modo de log é especialmente recomendado nas seguintes situações:

• Você quer descobrir qual o conjunto de polices que está sendo aplicado a um computador ou usuário.

• Você quer descobrir falhas na aplicação das polices ou polices que estão sendo sobrescritas. Por exemplo, o resultado desejado é que o menu Run seja retirado do menu Iniciar de todos os usuários, com exceção dos usuários do grupo Administrators. Porém usuários de outros grupos estão tendo o menu Run exibido no menu Iniciar. Você  pode usar o modo de log para obter informações sobre que polices estão sobrescrevendo a configuração de ocultar o menu Run.

• Obter um relatório sobre como as permissões de segurança atribuídas a grupos de usuários estão aplicadas nas polices.

Nota: Para que você possa executar o RSoP em modo de log, em um computador remoto, você deve estar logado como um membro do grupo Domain Admins, Enterprise Admins ou deve ter recebido o direito “Generate Resultant Set of Policy”.

Da parte teórica era isso. A seguir mostrarei como usar o recurso de RSoP.

Como executar o RSoP em uma conta de usuário ou de computador.

Neste item mostrarei como executar o RSoP em uma conta de usuário ou de computador (os passos são exatamente os mesmos), no modo de log, para obter o conjunto de polices resultante para um usuário ou computador.

Exemplo 01: Para executar o RSoP em uma conta de usuário, no modo de log, siga os passos indicados a seguir:

1.         Faça o logon como Administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers.
3.         Localize a conta de usuário ou de computador para a qual você quer executar o RSoP.
4.         Clique com o botão direito do mouse na conta de usuário (ou de computador) e, no menu de opções que é exibido, selecione a opção All Tasks -> Resultant Set of Policy Logging (Logging)...
5.         Será aberto o assistente de RSoP. Na primeira etapa você deve informar se o assistente deverá ser executado no computador local ou em um outro computador da rede, conforme indicado na Figura 18.62:

Figura 18.62 Informando em qual computador o assistente será executado.

6.         Para o nosso exemplo selecione This computer (Este computador), que significa o computador local. Nesta etapa você também pode definir que sejam exibidas apenas as polices que se aplicam ao usuário (User Configuration). Para isso basta marcar a opção Do not display settings for the selected computer in the results (display user policy settings only).
7.         Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
8.         Na segunda etapa será exibido o nome do usuário no qual você clicou com o botão direito do mouse na etapa 4. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
9.         Nesta etapa você pode marcar a opção Gather extended error information. para obter informações detalhadas ou desmarca-la para obter uma quantidade menor de informações. Certifique-se de que esta opção esteja marcada e clique em Next (Avançar), para que o assistente faça a pesquisa e obtenha o conjunto de polices resultante para o usuário selecionado..
10.       Será exibida a tela final do assistente, informando que o assistente foi concluído com sucesso. Clique em Finish (Concluir) para finalizar o assistente.
11.       O console Resultant Set of Policy será aberto com as configurações que estão sendo aplicadas ao usuário selecionado. Se você navegar pelas opções deste console, verá exatamente qual o conjunto de polices resultante que está sendo aplicado ao usuário. Observe que somente são exibidas neste console, as polices que estão efetivamente configuradas para o usuário. Ou seja, não estão sendo exibidas todas as opções de police, mas somente aquelas para as quais estão definidas configurações, conforme pode ser visto na Figura 18.63, onde é exibido um conjunto reduzido de opções em relação ao conjunto de opções exibido no console Group Policy Editor, quando uma GPO está sendo editada.

Figura 18.63 O console Resultant Set of Policy.

12.       De dentro do console RSoP você pode executar o assistente novamente para fazer as alterações que forem necessárias, ou seja, para executar o assistente com outras opções. No painel da esquerda, bem na parte de cima da árvore é exibida o nome da conta para a qual está sendo exibido o conjunto de polices resultante e o nome do computador no qual o assistente foi executado. Clique nesta opção para seleciona-la. Em seguida execute o comando Action -> Change Query... O assistente será aberto novamente para que você possa executa-lo com as opções desejadas.
13.       Você pode também apenas executar a consulta novamente para que seja obtido um conjunto resultante de polices atualizado. Para executar a consulta novamente clique no nome da conta, na opção bem de cima do painel da esquerda, para seleciona-la. Em seguida utilize o comando Action -> Refresh Query. A consulta será novamente executada, conforme indicado pela janela de progresso da consulta, indicada na Figura 18.64. A consulta será executada e as opções exibidas no console serão as opções atualizadas. Você pode salvar o console e abri-lo novamente sempre que necessário.Quando você abrir o console, você pode usar a opção de executar a consulta novamente para atualizar o conjunto resultante de polices.

Figura 18.64 A consulta sendo executada novamente.

14.       Feche o console Resultant Set of Policy.

A seguir mostrarei um exemplo de como utilizar o RSoP no modo de planejamento.

Neste item mostrarei como executar o RSoP em uma conta de usuário ou de computador (os passos são exatamente os mesmos), no modo de planejamento.

Exemplo 01: Para executar o RSoP em uma conta de usuário, no modo de planejamento, siga os passos indicados a seguir:

1.         Faça o logon como Administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers.
3.         Localize a conta de usuário ou de computador para a qual você quer executar o RSoP.
4.         Clique com o botão direito do mouse na conta de usuário (ou de computador) e, no menu de opções que é exibido, selecione a opção All Tasks -> Resultant Set of Policy Logging (Planning)...
5.         Será aberto o assistente de RSoP. Na primeira etapa você deve informar se o planejamento será feito para o usuário selecionado (no qual você clicou com o botão direito do mouse) ou em um container (Domínio ou unidade organizacional), conforme indicado na Figura 18.65:

Figura 18.65 A primeira etapa do assistente.

6.         Vamos aceitar a configuração padrão de aplicar ao usuário selecionado. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
7.         Na segunda etapa você define se deseja fazer a simulação para aplicação das polices através de um link de WAN, se deseja usar o recurso de Loopback (descrito anteriormente) e se deseja simular a aplicação das polices em associadas com um determinado site. Defina as configurações desejadas e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
8.         Nesta etapa é informada a localização da conta do usuário, usando a notação do protocolo LDAP, conforme indicado na Figura 18.66:

Figura 18.66 A notação LDAP.

9.         Não vamos fazer alterações nesta etapa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
10.       Nesta etapa é exibida uma lista dos grupos aos quais pertence a conta para a qual está sendo executado o assistente. Você pode utilizar os botões Add (Adicionar) e Remove (Remover) para incluir a conta em outros grupos ou remover a conta de um determinado grupo, para no final analisar qual seria o efeito destas alterações. Faça as alterações desejadas e clique em Next (Avançar), para seguir para a próxima etapa do assistente.
11.       Nesta etapa você define se devem ser utilizados todos os filtros WMI ou você pode selecionar apenas os filtros que devem ser utilizados. Não vamos fazer alterações nesta etapa. Clique em Next (Avançar), para seguir para a próxima etapa do assistente.
12.       Será exibida a etapa final do assistente, com um resumo das opções selecionadas. Caso você queira altear alguma opção é só utilizar o botão Back (Voltar). Para iniciar a simulação clique em Next.
13.       A simulação é iniciado e ao ser finalizada, será exibida a tela final do assistente. Clique em Finish (Concluir) para fechar o assistente.
14.       Será aberto o console Resultant Set of Policy com o resultado da simulação, conforme indicado na Figura 18.67:

Figura 18.67 Console com o resultado da simulação.

15.       Feche o console Resultant Set of Policy.

Como exibir um relatório RSoP no formato HTML.

Existe também a opção de gerar um relatório RSoP no formato HTML. Neste item eu apresento os passos necessários para gerar este relatório.

Para gerar um relatório RSoP, no formato HTML, siga os passos indicados a seguir:

1.         Faça o logon como administrador ou com uma conta com permissão de administrador.
2.         Abra a ajuda do Windows Server 2003: Start -> Help and Support (Iniciar -> Ajuda e Suporte).
3.         Na lista de opções do painel da direita, clique na opção Tools (Ferramentas).
4.         No painel da esquerda serão exibidas as categorias de ferramentas disponíveis. Clique na primeira opção: Help and Support Center Tools (Ferramentas da Ajuda e do Centro de Suporte).
5.         Nas opções que são exibidas clique em Advanced System Information (Informações Avançadas do Sistema).
6.         No painel da direita serão exibidas várias opções, conforme indicado na Figura 18.68:

Figura 18.68 Ferramentas disponíveis.

7.         Clique na opção View Group Policy settings applied.
8.         Será exibido um relatório detalhado, sobre o conjunto resultante de polices aplicadas ao computador, conforme exemplo da Figura 18.69:

Figura 18.69 Relatório de polices para o computador SRV-WIN2003.

9.         Use a barra de rolagem vertical para navegar até o final do relatório, onde estará disponível o link: Save a snapshot of the currently displayed information to an .htm file. Clique nesta opção.
10.       Será aberta uma janela para você informar o caminho e o nome do arquivo onde as informações serão salvas. Por padrão será sugerida a pasta Meus documentos com o nome de arquivo MyPolicy.htm. Aceite esta sugestão e clique em OK para salvar o arquivo.
11.       Na Figura 18.70 mostro a página MyPolicy.htm, carregada no Internet Explorer. Esta página tem um link Refresh screen no qual você pode clicar para atualizar a consulta.

Figura 18.70 Relatório de polices no formato HTML.

Sobre o recurso RSoP era isso. Este é um recurso bastante útil, principalmente para o administrador. Quer seja na fase de planejamento, quer seja na resolução de problemas. Ao obter o conjunto resultante de polices aplicadas a um usuário ou computador, o administrador pode identificar polices que estão com configurações diferentes das esperadas. Com base nestas informações, o administrador pode revisar as GPOs aplicadas ao usuário/computador, verificar a questão da precedência na aplicação, questões relacionadas com as opções No Override e Block Policy inheritance, além de aspectos relacionados com as configurações das permissões de acesso a um GPO. Todas estas questões influenciam diretamente o conjunto de polices resultante que, efetivamente, será aplicado a um usuário ou computador.