Implementar o escopo e a herança do GPO

Concluído

As configurações de política em GPOs definem a configuração. No entanto, você deve especificar os computadores ou usuários aos quais o GPO se aplica antes que as alterações de configuração em um GPO afetem computadores ou usuários em sua organização. Isso é chamado de escopo de um GPO. O escopo de um GPO é a coleção de usuários e computadores que aplicarão as configurações no GPO.

Importante

Você define o escopo de um GPO vinculando-o a uma UO que contém os usuários e computadores de destino.

Escopo de um Objeto de Política de Grupo (GPO)

Você pode usar vários métodos para gerenciar o escopo de GPOs baseados em domínio. O primeiro é o link do GPO. No AD DS, você pode vincular GPOs a:

• Sítios
• Domínios
• OUs

O site, o domínio ou a UO tornam-se o escopo máximo do GPO. As configurações que as definições de política no GPO especificam afetarão todos os computadores e usuários dentro do site, domínio ou UO, incluindo aqueles em UOs filhas. Você pode vincular um GPO a mais de um domínio, UO ou site.

Cuidado

Vincular GPOs a vários sites em uma floresta de vários domínios pode introduzir problemas de desempenho ao aplicar a política e você deve evitar vincular GPOs a vários sites nessa situação. Isso ocorre porque, em uma rede com várias florestas e vários sites, os GPOs são armazenados nos controladores de domínio no domínio onde os GPOs foram criados. A consequência disso é que computadores em outros domínios podem precisar atravessar um link de rede de longa distância (WAN) lento para obter os GPOs.

Você pode restringir ainda mais o escopo do GPO com um dos dois tipos de filtros discutidos na tabela a seguir.

Filtro

Descrição

Segurança

Eles especificam grupos de segurança ou objetos individuais de usuário ou computador relacionados ao escopo de um GPO, mas aos quais o GPO deve ou não se aplicar explicitamente.

WMI

Elas especificam um escopo usando características de um sistema, como uma versão do sistema operacional ou espaço livre em disco.

Use filtros de segurança e filtros WMI para restringir ou especificar o escopo dentro do escopo inicial criado pelo link do GPO. Veja a seguir um exemplo de um filtro WMI que resulta em uma lista de computadores que executam o Windows 10.

select * from Win32_OperatingSystem where Version like "10.%"

Ordem de processamento de GPO

Os GPOs que se aplicam a um usuário, computador ou ambos não se aplicam de uma só vez. Os GPOs são aplicados em uma ordem específica. Configurações conflitantes que processam posteriormente podem substituir as configurações que processam primeiro.

A Política de Grupo segue a seguinte ordem de processamento hierárquico:

1. GPOs locais.
2. GPOs vinculados ao site.
3. GPOs vinculados ao domínio.
4. GPOs vinculados à UO.
5. GPOs vinculados à UO filho.

Importante

No aplicativo de Política de Grupo, a regra padrão é que a última política (a política mais específica) aplicada prevaleça.

Por exemplo, uma política que restringe o acesso ao Painel de Controle aplicado no nível de domínio pode ser revertida por uma política aplicada no nível da UO para os objetos contidos nessa UO específica.

Se você vincular vários GPOs a uma OU, o processamento deles ocorrerá na ordem especificada pelo administrador na guia Objetos de Política de Grupo Vinculados da OU no Console de Gerenciamento de Política de Grupo. Por padrão, o processamento está habilitado para todos os links de GPO. Você pode desabilitar o link GPO de um contêiner para bloquear completamente a aplicação de um GPO para um determinado domínio ou UO. Por exemplo, se você fez uma alteração recente em um GPO e ela está causando problemas de produção, você pode desabilitar o link ou links até que o problema seja resolvido.

Observação

Observe que, se o GPO estiver vinculado a outros contêineres, eles continuarão a processar o GPO se os links estiverem habilitados.

Você também pode desabilitar a configuração do usuário ou do computador de um determinado GPO independentemente do usuário ou do computador. Se uma seção de uma política estiver vazia, a desabilitação da outra seção poderá acelerar ligeiramente o processamento de políticas. Por exemplo, se você tiver uma política que forneça apenas a configuração da área de trabalho do usuário, poderá desabilitar a seção do computador da política.

Herança de GPO

Você pode definir uma configuração de política em mais de um GPO, o que pode resultar em GPOs conflitantes entre si. Nesse caso, a precedência dos GPOs determina qual configuração de política o cliente aplica. Um GPO com precedência mais alta prevalece sobre um GPO com menor precedência. A precedência é determinada numericamente. Cada GPO tem um valor de precedência. Quanto menor o número, maior a precedência. Portanto, um GPO que possui precedência igual a um prevalece sobre todos os outros GPOs.

O comportamento padrão da Política de Grupo é que os GPOs vinculados a um contêiner de nível superior são herdados por contêineres de nível inferior. Quando um computador é iniciado ou um usuário faz login, as Extensões do Cliente de Política de Grupo examinam o local do computador ou do objeto de usuário no AD DS e avaliam os GPOs com escopos que incluem o computador ou o usuário. Em seguida, as extensões do lado do cliente aplicam as configurações de política desses GPOs. As políticas se aplicam sequencialmente, começando com as políticas que vinculam ao site, seguidas por aqueles que vinculam ao domínio, seguidos por aqueles que vinculam às UOs. Essa aplicação sequencial de GPOs cria um efeito chamado herança de políticas. As políticas são herdadas, o que significa que o Conjunto Resultante de Políticas (RSoPs) para um usuário ou computador será o efeito cumulativo das políticas de site, domínio e UO.

Bloquear Herança

Você pode configurar um domínio ou UO para impedir a herança das configurações de política. Isso é conhecido como bloqueio de herança. Para bloquear a herança, clique com o botão direito do mouse ou acesse o menu de contexto do domínio ou da UO na árvore de console do GPMC e selecione Bloquear Herança.

A opção Bloquear Herança é uma propriedade de um contêiner, portanto, ela bloqueia todas as configurações de Política de Grupo de GPOs vinculados a pais na hierarquia de Política de Grupo.

Cuidado

Use a opção Bloquear Herança com moderação porque bloquear a herança dificulta a avaliação da precedência e da herança da Política de Grupo.

Dica

Com a filtragem de grupo de segurança, você pode definir cuidadosamente o escopo de um GPO para que ele se aplique apenas aos usuários e computadores corretos em primeiro lugar, tornando desnecessário usar a opção Bloquear Herança.

Impor um link de GPO

Além disso, você pode definir a imposição de uma vinculação de GPO. Para impor um link de GPO, clique com o botão direito do mouse ou acesse o menu de contexto do link de GPO na árvore do console e selecione Imposto no menu de atalho.

Quando você define um link de GPO como Imposto, o GPO assume o nível mais alto de precedência. As configurações de política nesse GPO prevalecem sobre quaisquer configurações de política conflitantes em outros GPOs.

Importante

Um link imposto se aplica a contêineres filhos mesmo quando esses contêineres estão definidos como Bloquear Herança. A opção Enforced faz com que a política seja aplicada a todos os objetos dentro de seu escopo.

A aplicação é útil quando você precisa configurar um GPO que define uma configuração exigida pelas suas políticas corporativas de segurança e uso de TI. Portanto, você deseja garantir que outros GPOs vinculados aos mesmos níveis ou níveis inferiores não substituam essas configurações. Você pode fazer isso aplicando o link do GPO.

Avaliando a precedência

Para facilitar a avaliação da precedência de GPO, você pode simplesmente selecionar uma UO ou domínio e, em seguida, selecionar a guia Herança de Política de Grupo. Essa guia exibe a precedência resultante de GPOs, contabilizando o link de GPO, a ordem do link, o bloqueio de herança e a imposição do link.

Importante

Esta aba não considera políticas vinculadas a um site, de segurança de GPO ou a filtragem de WMI.