FTIN Formação Técnica em Informática Sistema Operacional Proprietário Windows Prof. Walter Travassos Aula 06 SISTEMA OPERACIONAL PROPRIETÁRIO WINDOWS Competências • GPO – Group Policy Objects (Objetos de Diretiva de Grupo) O que já sabemos? • • Backup WSUS GPO - Definição Uma GPO, ou objeto de diretiva de grupo, é um conjunto de configurações que definem como um sistema irá parecer e se comportar para um grupo definido de usuários. GPO no Windows 2008 O Windows Server 2008 introduz novas características significantes que permitem um aumento substancial no processamento e administração de Políticas de Grupo quando comparado a seus antecessores. GPO Imagine que você gerencia um parque de máquinas com 1500 PCs e precisa mudar uma determinada configuração em todas elas. A princípio você deve pensar que gastará no mínimo 1 mês para terminar essa tarefa, mas se você estiver em ambiente Windows Server com Active Directory, essa tarefa não levará mais que alguns minutos usando as GPOs. GPO A GPO é capaz de mudar configurações, restringir ações ou até mesmo distribuir aplicações em seu ambiente de rede. As vantagens são muitas e podem ser aplicadas em sites, domínios e / ou unidades organizacionais (OU). Se você criou uma OU para cada departamento da sua empresa, poderá então, fazer diferentes configurações de GPO para cada departamento. GPO As GPOs são baseadas em templates que possuem uma lista de opções configuráveis de forma amigável. A maioria dos itens de uma GPO tem 3 diferentes opções: Enable: Especifica que aquele item será ativado. Disable: Especifica que aquele item será desativado. Not Configured: Deixa a opção neutra, nem ativa e nem desativa o item, ou seja, fica como está agora. Esta é a configuração padrão. Por exemplo... Você quer desabilitar o prompt de todos os desktops da rede. Assim, existe um item chamado Disable the command prompt, a configuração default para esse item é Not Configured. Se você configurar como Enabled, o prompt de comando será desativado e se você configurar como Disable, será ativado explicitamente. Parece confuso o Enable desativar a opção, mas repare que a opção é “Desabilitar o prompt de comando”, o Enable neste caso está ativando a opção de “Desabilitar o prompt de comando”. Usuários ou Computadores? As configurações das GPOs podem ser aplicadas em dois tipos de objetos do Active Directory: Usuários e Computadores, desde que estejam em uma OU. Se houver algum conflito entre as configurações dos computadores e dos usuários, as configurações dos usuários vão prevalecer. Tipos de GPO Existem dois tipos de configurações de GPO: • Software Settings: Nesta categoria um administrador pode, por exemplo, distribuir aplicações para usuários finais. • Windows Settings: Permite ao administrador customizar as configurações do Windows. Estas opções são diferentes para usuários e computadores. Hierarquia das GPO Hierarquia das GPO • Sites: O mais alto nível. Todas as configurações feitas no site serão aplicadas a todos os domínios que fazem parte dele. • Domínios: É o segundo nível. Configurações feitas aqui, afetarão todos os usuários e grupos dentro do domínio. • OUs: O que se aplica nas OUs afetarão todos os usuários dentro dela. É importante lembrar que as opções são cumulativas por padrão. Sendo assim, se eu sou um usuário da OU Engenharia, posso receber configurações que vem do Site, do Domínio e da minha própria OU. Assim... Imagine uma situação onde no Site será configurada uma GPO para os usuários mudarem a senha a cada 50 dias. No Domínio uma outra GPO desativando o prompt de comando. E na OU Engenharia, outra GPO para especificar o papel de parede padrão do desktop. O que acontece quando for realizado um logon na Engenharia? !!! Serão aplicadas as 3 GPOs. Ainda sobre Herança... O que aconteceria se no exemplo anterior fosse configurada uma GPO no Domínio para mudar a senha a cada 30 dias? Haveria um conflito de GPOs! No Site está configurado para mudar a senha a cada 50 dias. Por isso é importante entender como ocorrem as heranças de GPOs. Ainda sobre Herança... Por default, quem está mais próximo do usuário tem preferência na aplicação da GPO sobre as configurações mais genéricas. No nosso exemplo, a GPO do Domínio será aplicada, ou seja, a senha será mudada em 30 dias! É possível bloquear a Herança! Block Policy Inheritance (Bloquear heranças de políticas) Especifica que as configurações da GPO para um objeto não será herdada do nível superior. Isso é muito usado quando se tem uma OU dentro de outra e você quer aplicar uma configuração específica para aquela OU. Force Policy Inheritance ( Forçar herança de políticas) Especifica que você não permitirá que níveis filhos possam sobrescrever suas configurações de GPO. Por exemplo: Sou administrador de um site da minha empresa e criei uma política de senha forte através de GPO com 9 caracteres e não quero que o Administrador do Domínio e nem o das OUs dos domínios possam sobrescrever minha política. Neste caso eu crio minha GPO, aplico ao Site e marco a opção de Force Policy Inheritance. 8 Motivos para Utilizar GPOs Motivo 01 O gerenciamento das Política de Grupo não é mais realizado no console da ferramenta Usuários e computadores do Active Directory. O console de Gerenciamento de Política de Grupo (GPMC), que anteriormente era carregado como um componente adicional, é agora totalmente integrado dentro do Windows Server 2008. Motivo 02 A aplicação das GPOs nos clientes não são mais gerenciadas pelo processo Winlogon. As Políticas de Grupos agora são executadas como um serviço (gpsvc) que fornece um ambiente de processamento mais eficiente e seguro para aplicar configurações de Políticas de Grupos. Motivo 03 O comportamento da aplicação de algumas GPOs são alteradas, caso seja identificado pelo sistema uma conexão lenta. Até o Windows Server 2003, o método utilizado para identificar efetivamente a largura de banda é o protocolo ICMP (Ping). No Windows Server 2008, as Política de Grupo agora usam o serviço Network Location Awareness (NLASvc) para determinar alterações nas condições de rede que possam afetar a aplicação de política. Motivo 04 As Política de Grupo usavam um formato de arquivo único conhecido como um arquivo ADM. Este arquivo contém a linguagem usada para descrever as configurações baseadas em registro que podem ser aplicadas para clientes de rede usando as GPOs. O Windows Server 2008 introduz um novo formato de arquivo baseado em XML conhecidos como arquivos ADMX. Este novo formato de arquivo fornece fácil gerenciamento de padrões Administrativos e fornece a capacidade de incorporar modificações nos processos de gerenciamento. Motivo 05 Os arquivos de padrão ADMX podem ser armazenado dentro de um repositório centralizado localizado no compartilhamento SYSVOL nos Controladores de Domínio. Este armazenamento central permite que administradores acessem o mesmo conjunto de arquivos ADMX quando estão editando as configurações de objetos de Política de Grupo e assegurar um consistente gerenciamento em todas as partes do domínio. Motivo 06 Versões anteriores das Política de Grupo iniciava Logs de registros do componente userenv.dll. No Windows Server 2008, um serviço autônomo é executado no processo de Svchost. As mensagens de evento relacionadas agora aparecem no log de sistema como uma fonte de evento de Microsoft-Windows-GroupPolicy. Também uma nova Política de Grupo Log Operacionais substitui a árvore do Userenv.dll, isto fornece mensagens de evento melhoradas relacionadas ao processamento de Política de Grupo. Motivo 07 O Windows Server 2008 e o Windows Vista suportam o uso de múltiplos objetos de Política de Grupo locais em um computador único. Isto fornece maior capacidade para controlar ambientes dentro de um grupo de trabalho. Múltiplas configurações de Políticas de Grupo locais podem ser destinadas a usuários locais individuais ou aplicadas a usuários locais que são membros dos grupos internos Administradores locais ou Usuários locais (Não-administradores). Motivo 08 O Windows Server 2008 inclui mais de 2600 padrões administrativos de configurações de Políticas de Grupo, inclusive categorias relacionadas à implementações de configurações de gerenciamento de energia, destinar impressoras baseadas na localização, bloquear instalação de dispositivo (como USB, DVD, etc.) e muitos outros! Criando GPO Windows 2003 Server Ferramentas Administrativas – Usuários e Computadores do Active Directory – Botão direito no domínio e cria uma OU – adiciona usuários nela (arrastando) – Botão direito na OU, escolhe propriedades e vai na aba gpo – Clica em New, escolhe um nome – Clica em Edit. http://www.youtube.com/watch?v=KgxhrNjx2QI Criando GPO Windows Server 2008 • Instalar a Feature Group Policy Management. • Administrative Tools – Group Policy Management. • Cria uma OU, clica com o botão direito nela e escolhe a opção assistente para modelagem de diretiva de grupo. Leitura Complementar GPOs úteis no Windows Server 2008 http://jf.eti.br/coletaneas-de-gpos-uteis-no-windows-server-2008/ Configurando GPOs no Windows Server 2008 http://www.youtube.com/watch?feature=player_embedded&v=gznAGfNAqA0 Comandos para GPO GPUPDATE /force - Força a sincronização das políticas para os usuários GPUPDATE /sync - Força a sincronização imediata de todos ATIVIDADE 1º Descreva o procedimento para criar uma GPO de Bloqueio de pen drive. 2º Descreva o procedimento para criar uma GPO de bloqueio de alterações na área de trabalho e como colocar o papel de parede padrão para todos os usuários. ATIVIDADE 3º Mostre o processo para criar uma GPO de bloqueio do comando Executar (tecla windows + R) do Windows. 4º Mostre qual o procedimento para criar uma GPO de bloqueio de um aplicativo. ATIVIDADE É obrigatório colocar a fonte de pesquisa. Atividades iguais a de outros colegas serão invalidadas. Prazo de entrega: até 09/02/2013 até às 23:55h DÚVIDAS? Fórum Chat (terça) – 05/02/2013 - 19h às 20:30h (no horário de Recife – PE).