FTIN
Formação Técnica em Informática
Sistema Operacional Proprietário Windows
Prof. Walter Travassos
Aula 06
SISTEMA OPERACIONAL PROPRIETÁRIO
WINDOWS
Competências
• GPO – Group Policy Objects (Objetos
de Diretiva de Grupo)
O que já sabemos?
•
•
Backup
WSUS
GPO - Definição
Uma GPO, ou objeto de diretiva de grupo,
é um conjunto de configurações que definem
como um sistema irá parecer e se comportar
para um grupo definido de usuários.
GPO no Windows 2008
O Windows Server 2008 introduz novas
características significantes que permitem
um aumento substancial no processamento
e administração de Políticas de Grupo
quando comparado a seus antecessores.
GPO
Imagine que você gerencia um parque de
máquinas com 1500 PCs e precisa mudar uma
determinada configuração em todas elas.
A princípio você deve pensar que gastará no
mínimo 1 mês para terminar essa tarefa, mas se
você estiver em ambiente Windows Server com
Active Directory, essa tarefa não levará mais que
alguns minutos usando as GPOs.
GPO
A GPO é capaz de mudar configurações,
restringir ações ou até mesmo distribuir
aplicações em seu ambiente de rede. As
vantagens são muitas e podem ser aplicadas em
sites, domínios e / ou unidades organizacionais
(OU).
Se você criou uma OU para cada
departamento da sua empresa, poderá então,
fazer diferentes configurações de GPO para cada
departamento.
GPO
As GPOs são baseadas em templates que
possuem uma lista de opções configuráveis de forma
amigável. A maioria dos itens de uma GPO tem 3
diferentes opções:
Enable: Especifica que aquele item será ativado.
Disable: Especifica que aquele item será
desativado.
Not Configured: Deixa a opção neutra, nem ativa
e nem desativa o item, ou seja, fica como está agora.
Esta é a configuração padrão.
Por exemplo...
Você quer desabilitar o prompt de todos os
desktops da rede. Assim, existe um item chamado
Disable the command prompt, a configuração
default para esse item é Not Configured.
Se você configurar como Enabled, o prompt de
comando será desativado e se você configurar como
Disable, será ativado explicitamente.
Parece confuso o Enable desativar a opção, mas
repare que a opção é “Desabilitar o prompt de
comando”, o Enable neste caso está ativando a
opção de “Desabilitar o prompt de comando”.
Usuários ou Computadores?
As configurações das GPOs podem ser
aplicadas em dois tipos de objetos do Active
Directory: Usuários e Computadores, desde
que estejam em uma OU. Se houver algum
conflito entre as configurações dos
computadores
e
dos
usuários,
as
configurações dos usuários vão prevalecer.
Tipos de GPO
Existem dois tipos de configurações de GPO:
• Software Settings: Nesta categoria um
administrador pode, por exemplo, distribuir
aplicações para usuários finais.
• Windows Settings: Permite ao administrador
customizar as configurações do Windows. Estas
opções são diferentes para usuários e
computadores.
Hierarquia das GPO
Hierarquia das GPO
• Sites: O mais alto nível. Todas as configurações feitas no
site serão aplicadas a todos os domínios que fazem parte
dele.
• Domínios: É o segundo nível. Configurações feitas aqui,
afetarão todos os usuários e grupos dentro do domínio.
• OUs: O que se aplica nas OUs afetarão todos os usuários
dentro dela.
É importante lembrar que as opções são cumulativas
por padrão. Sendo assim, se eu sou um usuário da OU
Engenharia, posso receber configurações que vem do Site,
do Domínio e da minha própria OU.
Assim...
Imagine uma situação onde no Site será
configurada uma GPO para os usuários mudarem
a senha a cada 50 dias. No Domínio uma outra
GPO desativando o prompt de comando. E na OU
Engenharia, outra GPO para especificar o papel
de parede padrão do desktop.
O que acontece quando for realizado um
logon na Engenharia?
!!!
Serão aplicadas as 3 GPOs.
Ainda sobre Herança...
O que aconteceria se no exemplo anterior
fosse configurada uma GPO no Domínio para
mudar a senha a cada 30 dias?
Haveria um conflito de GPOs!
No Site está configurado para mudar a
senha a cada 50 dias. Por isso é importante
entender como ocorrem as heranças de
GPOs.
Ainda sobre Herança...
Por default, quem está mais próximo do
usuário tem preferência na aplicação da GPO
sobre as configurações mais genéricas.
No nosso exemplo, a GPO do Domínio
será aplicada, ou seja, a senha será mudada
em 30 dias!
É possível bloquear a Herança!
Block Policy Inheritance (Bloquear heranças de políticas)
Especifica que as configurações da GPO para um objeto não será
herdada do nível superior. Isso é muito usado quando se tem uma OU
dentro de outra e você quer aplicar uma configuração específica para
aquela OU.
Force Policy Inheritance ( Forçar herança de políticas)
Especifica que você não permitirá que níveis filhos possam
sobrescrever suas configurações de GPO. Por exemplo: Sou
administrador de um site da minha empresa e criei uma política de
senha forte através de GPO com 9 caracteres e não quero que o
Administrador do Domínio e nem o das OUs dos domínios possam
sobrescrever minha política. Neste caso eu crio minha GPO, aplico ao
Site e marco a opção de Force Policy Inheritance.
8 Motivos para Utilizar GPOs
Motivo 01
O gerenciamento das Política de Grupo não é
mais
realizado
no
console
da
ferramenta Usuários e computadores do Active
Directory. O console de Gerenciamento de
Política de Grupo (GPMC), que anteriormente
era carregado como um componente adicional, é
agora totalmente integrado dentro do Windows
Server 2008.
Motivo 02
A aplicação das GPOs nos clientes não
são mais gerenciadas pelo processo
Winlogon. As Políticas de Grupos agora são
executadas como um serviço (gpsvc) que
fornece um ambiente de processamento
mais eficiente e seguro para aplicar
configurações de Políticas de Grupos.
Motivo 03
O comportamento da aplicação de algumas
GPOs são alteradas, caso seja identificado pelo
sistema uma conexão lenta. Até o Windows
Server 2003, o método utilizado para identificar
efetivamente a largura de banda é o protocolo
ICMP (Ping). No Windows Server 2008, as
Política de Grupo agora usam o serviço Network
Location Awareness (NLASvc) para determinar
alterações nas condições de rede que possam
afetar a aplicação de política.
Motivo 04
As Política de Grupo usavam um formato de arquivo
único conhecido como um arquivo ADM. Este arquivo
contém a linguagem usada para descrever as configurações
baseadas em registro que podem ser aplicadas para
clientes de rede usando as GPOs.
O Windows Server 2008 introduz um novo formato
de arquivo
baseado em XML conhecidos como
arquivos ADMX. Este novo formato de arquivo fornece fácil
gerenciamento de padrões Administrativos e fornece a
capacidade de incorporar modificações nos processos de
gerenciamento.
Motivo 05
Os arquivos de padrão ADMX podem ser
armazenado dentro de um repositório
centralizado localizado no compartilhamento
SYSVOL nos Controladores de Domínio. Este
armazenamento central
permite que
administradores acessem o mesmo conjunto de
arquivos ADMX quando estão editando as
configurações de objetos de Política de Grupo e
assegurar um consistente gerenciamento em
todas as partes do domínio.
Motivo 06
Versões anteriores
das Política de
Grupo iniciava Logs de registros do componente
userenv.dll. No Windows Server 2008, um serviço
autônomo é executado no processo de Svchost. As
mensagens de evento relacionadas agora aparecem
no log de sistema como uma fonte de evento de
Microsoft-Windows-GroupPolicy. Também uma
nova Política de Grupo Log Operacionais substitui a
árvore do Userenv.dll, isto fornece mensagens de
evento
melhoradas
relacionadas
ao
processamento de Política de Grupo.
Motivo 07
O Windows Server 2008 e o Windows
Vista suportam o uso de múltiplos objetos de
Política de Grupo locais em um computador único.
Isto fornece maior capacidade para controlar
ambientes dentro de um grupo de trabalho.
Múltiplas configurações de Políticas de Grupo locais
podem ser destinadas a usuários locais individuais
ou aplicadas a usuários locais que são membros dos
grupos internos Administradores locais ou Usuários
locais (Não-administradores).
Motivo 08
O Windows Server 2008 inclui mais de 2600
padrões administrativos de configurações de
Políticas de Grupo, inclusive categorias
relacionadas
à
implementações
de
configurações
de
gerenciamento
de
energia, destinar impressoras baseadas na
localização, bloquear instalação de dispositivo
(como USB, DVD, etc.) e muitos outros!
Criando GPO
Windows 2003 Server
Ferramentas Administrativas – Usuários e
Computadores do Active Directory – Botão
direito no domínio e cria uma OU – adiciona
usuários nela (arrastando) – Botão direito na OU,
escolhe propriedades e vai na aba gpo – Clica em
New, escolhe um nome – Clica em Edit.
http://www.youtube.com/watch?v=KgxhrNjx2QI
Criando GPO
Windows Server 2008
• Instalar a Feature Group Policy
Management.
• Administrative Tools – Group Policy
Management.
• Cria uma OU, clica com o botão direito
nela e escolhe a opção assistente para
modelagem de diretiva de grupo.
Leitura Complementar
GPOs úteis no Windows Server 2008
http://jf.eti.br/coletaneas-de-gpos-uteis-no-windows-server-2008/
Configurando GPOs no Windows Server 2008
http://www.youtube.com/watch?feature=player_embedded&v=gznAGfNAqA0
Comandos para GPO
GPUPDATE /force - Força a
sincronização das políticas para os
usuários
GPUPDATE /sync - Força a sincronização
imediata de todos
ATIVIDADE
1º Descreva o procedimento para criar
uma GPO de Bloqueio de pen drive.
2º Descreva o procedimento para criar
uma GPO de bloqueio de alterações na
área de trabalho e como colocar o papel
de parede padrão para todos os usuários.
ATIVIDADE
3º Mostre o processo para criar uma GPO
de bloqueio do comando Executar (tecla
windows + R) do Windows.
4º Mostre qual o procedimento para
criar uma GPO de bloqueio de um
aplicativo.
ATIVIDADE
É obrigatório colocar a fonte de pesquisa.
Atividades iguais a de outros colegas serão
invalidadas.
Prazo de entrega: até 09/02/2013 até às
23:55h
DÚVIDAS?
Fórum
Chat (terça) – 05/02/2013 - 19h às 20:30h
(no horário de Recife – PE).