Microsoft Students to Business Infraestrutura de Redes – 2ª Fase
Item Aula GPO Group Policy Object 5ª Aula
GPO – Group Policy Object
As GPOs são regras que permitem alterar configurações, restringir acessos e implantar softwares no Windows A partir dessas regras podemos criar padrões para os recursos do ambiente GPOs auxiliam o processo administrativo evitando configurar manualmente servidores e estações de trabalho e garantindo o nível de segurança desejado A criação e gerenciamento dessa políticas são feitas através do Group Policy Management Console (GPMC)
GPCM
GPO – Group Policy Object Todas as Politicas criadas são armazenadas em Group Policy Objects O escopo de aplicação ocorre linkando as GPOs criadas nos níveis hierárquicos (Site,Domínio,OU). Basta selecionar onde aplicar e mandar linkar uma GPO existente As configurações das políticas podem ser aplicadas a Usuário e a Computador e são definidas pelo console GPME Os status das configurações podem ser Not configured (Padrão) Enabled Disabled Todas as configurações tem uma descrição de seu funcionamento
GPO – Group Policy Object Configurações de computador e usuário. Status das configurações
Hierarquia de GPO As GPOs podem ser aplicadas em 3 níveis Site: nível mais alto. Todas as GPOs aplicadas nesse nível afetarão todos os domínios que fazem parte dele Domínios: Todas as GPOs configuradas nesse nível serão aplicadas a todos os usuários e computadores dentro do domínio OUs: As configurações aplicadas a OU afetam apenas os objetos dentro dela.
Hierarquia de GPO As opções de configurações são cumulativas por padrão. Sendo assim, se eu sou um usuário da OU Managers, posso receber configurações que vem do Site, Domínio e da minha própria OU Exemplo: No Site foi configurado uma GPO para os usuários mudarem a senha a cada 50 dias. No Domínio, foi configurada outra GPO desativando o prompt de Comando e na OU Managers, foi configurada outra GPO para especificar o papel de parede padrão do meu desktop.Quando eu me logar será aplicada as três GPOs
Herança de GPO Utilizando o exemplo anterior, o que aconteceria se fosse configurada uma GPO no Domínio para mudar a senha a cada 30 dias ? Haveria um conflito de GPOs, pois no Site está configurado para mudar a senha a cada 50 dias. Por isso é importante entender como ocorrem as heranças de GPOs. Por default, quem está mais próximo do usuário tem preferência na aplicação da GPO sobre as configurações mais genéricas. No nosso exemplo, a GPO do Domínio será aplicada. Entretando, o Administrador do Sistema pode alterar esse comportamento através de bloqueio de herança e forçar herança
Herança de GPO Bloquear Herança: essa opção pode ser definida nos níveis de domínio e OU e especifica que as configurações da GPO não serão herdadas do nível superior Forçar Herança: essa opção pode ser definida em qualquer GPO e especifica que as configurações dos níveis inferiores não irão sobrescrever
Filtro de segurança Um filtro de segurança é aplicado a cada GPO linkada independente da hierárquia, o grupo de segurança padrão é Usuários Autenticados. Esse filtro define se a GPO vai ser aplicada ou não aos grupos de segurança escolhidos Permite refinar ainda mais o escopo de aplicação da GPO Obtendo informações dos clientes a regra pode ser aplicada a computadores específicos WMI (Windows Management Instrumentation) é um padrão para acesso e compartilhamento de informações de gerenciamento por meio de uma rede Existe outro tipo de filtro que é o Filtro WMI
Hierarquia de GPO Starter GPO – São modelos de GPO. Essas GPOs são criadas para serem usadas como base para novas GPO Ao criar uma nova GPO é possível selecionar um modelo base
Hierarquia de GPO Após criadas e configuradas, as GPOs não são aplicadas de imediato varia de acordo com objeto afetado pela regra Aplicadas na inicialização ou desligamento do computador Configurações de Computador Aplicadas no Logon ou Logoff do usuário Configurações de Usuário As GPOs também são aplicadas a cada 90 a 120 minutos ou pelo comando gpupdate
Hierarquia de GPO Existem duas GPOs padrão após a implantação do AD Essa GPO é associada no nível de domínio e afeta todos os objetos de usuário e computador do domínio. Nela, são definidas políticas de senha, bloqueios e kerberos Default Domain Policy Essa GPO é associada no nível de OU e afeta apenas os objetos da OU Domain Controllers aqui são definidas politicas de auditoria, direitos do usuário e opção de segurança. Default Domain Controller Policy Dica: Em caso de desastre é possível restaurar essas GPOs padrão através do comando dcgpofix.
Hierarquia de GPO Kerberos é um protocolo de autenticação da rede que verifica a identidade do utilizador que está pedindo autenticação, assim como o servidor que fornece a autenticação solicitada, também conhecida como autenticação mútua.
Modelos Administrativos As diretivas dos Modelos Administrativos permitem estender a capacidade de configurações que podem ser feitas através de GPOs: essas diretivas são definidas apenas por alterações no registro do Windows Arquivos ADM para cada GPO e para cada linguagem Antigos modelos administrativos (.ADM)- Versões anteriores à versão Server 2008 Arquivos ADMX especificam alterações no registro Arquivos ADML especifica o idioma da interface de usuário Novo modelos administrativos (.ADMX/ADML): a partir do 2008 ●O identificador (GUI), ●as configurações da GPO ●a descrição fornecida ●informações de data e hora do backup
Modelos Administrativos As duas versões podem coexistir normalmente num ambiente de domínio. Basta adicionar os novos modelos independente do tipo a partir da console do GPME que eles serão diferenciados conforme a imagem ao lado.
Modelos Administrativos – Central Store Para facilitar o controle centralizado dessas diretivas personalizadas para os DCs configura-se a Central Store onde todos os DCs vão carregas os modelos administrativos de um único ponto
Modelos Administrativos – Central Store Configurar uma central store Criar pasta PolicyDefinitions no caminho \\Dominio\Sysvol\domínio\Policies (Substituir domínio pelo nome correto) Copiar os arquivos.ADMX da pasta Windows\PolicyDefinitions para a nova pasta criada. Copiar os arquivos.ADML da pasta Windows\PolicyDefinitions para a pasta de idioma correspondente na nova pasta criada
Backups GPO A partir do contêiner Group Policy Objects é possível fazer backup de todas as GPOs e/ou de GPOs específicas além de gerenciar os backups e restaurá-los. O identificador (GUI) As configurações da GPO A descrição fornecida Informações de data e hora do backup Algumas informações que são salvas num backup de GPO são
Solução de Problemas de GPO RSoP (Result Set of Policy) É um recurso da console de GPOs que permite avaliar, modelar e solucionar problemas de aplicação de GPOs. Com ele é possível validar a aplicação da diretiva levando em consideração os links, as exceções, heranças e filtros aplicados GPResult faz parte do RSoP e é uma ferramenta de linha de comando que permite a verificação da aplicação da GPO nos computadores.
Solução de Problemas de GPO Para mais informações sobre planejamento e implantação de GPO. Acesse:
© 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.