Introdução a Group Policy (GPO)

  • Artigo

Por Robson Brandão

Uma das gigantescas tarefas de um administrador de sistemas é gerenciar usuários, grupos e computadores da rede. Imagine você tendo um parque de máquinas com 1500 desktops para gerenciar e precisa mudar uma configuração em todas elas.

A princípio você deve pensar que gastará no mínimo 1 mês para terminar essa tarefa, mas se você estiver em ambiente Windows com Active Directory, essa tarefa não levará mais que alguns minutos através de um recurso chamado Group Policy(GPO).

A Group Policy(GPO), é capaz de mudar configurações, restringir ações ou até mesmo distribuir aplicações em seu ambiente de rede. As vantagens são muitas, e podem ser aplicadas em sites, domínios e organizational units(OUs). Se você criou uma OU para cada departamento da sua empresa, poderá então, fazer diferentes configurações de GPO para cada departamento.

O objetivo deste artigo é descrever os recursos das GPOs, em outros artigos vamos abordar passo-a-passo com se faz essas configurações.

As GPOs são baseadas em templates que possuem uma lista de opções configuráveis de forma amigável. A maioria dos itens de uma GPO tem 3 diferentes opções:

Enable: Especifica que aquele item será ativado.

Disable: Especifica que aquele item será desativado.

**Not Configured:**Deixa a opção neutra, nem ativa e nem desativa o item, ou seja, fica como está agora. Esta é a configuração padrão.

Vejamos um exemplo:

Você quer desabilitar o command prompt de todos os desktops da rede. Para isso existe um item chamado Disable the command prompt, a configuração default para esse item é Not Configured.

Se você configurar como Enabled, o command prompt será desativado e se você configurar como Disable, será ativado explicitamente.

Parece confuso o Enable desativar a opção, mas repare que a opção é “Desabilitar o prompt de comando”, o Enable neste caso está ativando a opção de “Desabilitar o prompt de comando”.

As configurações das GPOs podem ser aplicadas em dois tipos de objetos do Active Directory: Usuários e Computadores, desde que estejam em uma OU. Se houver algum conflito entre as configurações dos computadores e dos usuários, as configurações dos usuários vão prevalecer.

Os tipos de configurações que podem ser feitas estão descritas abaixo:

Software Settings: Nesta categoria, um administrador pode, por exemplo, distribuir aplicações para usuários finais.

Windows Settings: Permite ao administrador customizar as configurações do Windows. Estas opções são diferentes para usuários e computadores.

Por exemplo: Nos computadores, eu posso criar um script para ser executado no Startup e Shutdown. Nos usuários eu crio scripts para rodar no Logon e Logoff. Além disso, nos usuários posso mudar configurações do Internet Explorer, redirecionar pastas, etc.

Administrative Templates: Também são diferentes as opções para computadores e usuários.

Por exemplo: Nos computadores eu posso configurar itens do Sistema e nos usuários, posso configurar o Menu Iniciar e Barra de Tarefas.

Hierarquia das GPOs

Um outro conceito importe é saber a hierarquia das GPOs que podem ser aplicadas em 3 níveis diferentes: Sites, domínios e OUs

Sites: O mais alto nível. Todas as configurações feitas no site serão aplicadas a todos os domínios que fazem parte dele.

Domínios: É o segundo nível. Configurações feitas aqui, afetarão todos os usuários e grupos dentro do domínio.

OUs: O que se aplica nas OUs afetarão todos os usuários dentro dela.

É importante lembrar que as opções são cumulativas por padrão. Sendo assim, se eu sou um usuário da OU Engenharia, posso receber configurações que vem do Site, Domínio e da minha própria OU.

Exemplo:

No Site foi configurado uma GPO para os usuários mudarem a senha a cada 50 dias. No Domínio, foi configurada outra GPO desativando o prompt de Comando e na OU Engenharia, foi configurada outra GPO para especificar o papel de parede padrão do meu desktop.

Quando eu me logar será aplicada as três GPOs.

Heranças de Group Policy

Pegando o exemplo acima, o que aconteceria se fosse configurada uma GPO no Domínio para mudar a senha a cada 30 dias ? Haveria um conflito de GPOs, pois no Site está configurado para mudar a senha a cada 50 dias. Por isso é importante entender como ocorrem as heranças de GPOs.

Por default, quem está mais próximo do usuário tem preferência na aplicação da GPO sobre as configurações mais genéricas. No nosso exemplo, a GPO do Domínio será aplicada.

Entretando, o Administrador do Sistema pode alterar esse comportamento através de duas opções descritas abaixo:

Block Policy Inheritance ( Bloquear heranças de políticas)

Especifica que as configurações da GPO para um objeto não será herdada do nível superior. Isso é muito usado quando se tem uma OU dentro de outra e você quer aplicar uma configuração específica para aquela OU.

Force Policy Inheritance ( Forçar herança de políticas)

Especifica que você não permitirá que níveis filhos possam sobrescrever suas configurações de GPO. Por exemplo: Sou administrador de um site da minha empresa e criei uma política de senha forte através de GPO com 9 caracteres e não quero que o Administrador do Domínio e nem o das OUs dos domínios possam sobrescrever minha política. Neste caso eu crio minha GPO, aplico ao Site e marco a opção de Force Policy Inheritance.

Considerações finais

Esse assunto está longe de estar esgotado. Existe muito para falar sobre Group Policy. Fique de olho no site Technet que em breve falarei um pouco mais do assunto.