Implementar o escopo e a herança do GPO

  • 7 minutos

As configurações de política nos GPOs definem a configuração. No entanto, você precisa especificar os computadores ou usuários aos quais o GPO se aplica antes que as alterações de configuração em um GPO afetem computadores ou usuários em sua organização. Isso é a criação de escopo de um GPO. O escopo de um GPO é a coleção de usuários e computadores que receberão as configurações no GPO.

Importante

Você cria o escopo de um GPO vinculando-o a uma unidade organizacional que contém os usuários e computadores de destino.

Criar escopo de um GPO

Você pode usar vários métodos para gerenciar o escopo dos GPOs baseados em domínio. O primeiro é a vinculação do GPO. No AD DS, você pode vincular GPOs a:

  • Sites
  • Domínios
  • Unidades organizacionais

O site, o domínio ou a UO se torna o escopo máximo do GPO. As definições que as configurações de política no GPO especificarão afetarão todos os computadores e usuários no site, no domínio ou na unidade organizacional, incluindo aquelas em unidades organizacionais acessórias. Você pode vincular um GPO a mais de um domínio, UO ou site.

Cuidado

A vinculação de GPOs a vários sites em uma floresta com vários domínios pode trazer problemas de desempenho durante a aplicação da política, e você deve evitar vincular GPOs a vários sites nessa situação. Isso ocorre porque, em uma rede com vários sites e várias florestas, os GPOs são armazenados nos controladores de domínio do domínio em que os GPOs foram criados. A consequência disso é que os computadores em outros domínios podem precisar percorrer um link WAN (rede de longa distância) lento para obter os GPOs.

Você pode restringir ainda mais o escopo do GPO com um dos dois tipos de filtros mostrados na tabela a seguir.

Filter

Descrição

Segurança

Especifica grupos de segurança ou objetos de computador ou usuário individuais que se relacionem com um escopo de GPO, mas aos quais o GPO deve ou não ser aplicado explicitamente.

WMI

Especifica um escopo usando as características de um sistema, como uma versão do sistema operacional ou espaço livre em disco.

Captura de tela do Console de Gerenciamento de Política de Grupo. O administrador selecionou um GPO vinculado à unidade organizacional Marketing. O painel de detalhes exibe um filtro WMI chamado Dispositivos Windows 10 e um filtro de segurança definido como grupo Marketing.

Use filtros de segurança e filtros WMI para restringir ou especificar o escopo dentro do escopo inicial que a vinculação ao GPO criou. Veja a seguir um exemplo de filtro WMI que resulta em uma lista de computadores que executam o Windows 10.

select * from Win32_OperatingSystem where Version like "10.%"

Ordem de processamento do GPO

Os GPOs que se aplicam a um usuário, computador ou ambos não são aplicados ao mesmo tempo. Os GPOs se aplicam em uma ordem específica. As configurações conflitantes que forem processadas mais tarde poderão substituir as configurações que forem processadas primeiro.

A Política de Grupo obedece à seguinte ordem de processamento hierárquico:

  1. GPOs locais.
  2. GPOs vinculados ao site.
  3. GPOs vinculados ao domínio.
  4. GPOs vinculados à unidade organizacional.
  5. GPOs vinculados à unidade organizacional acessória.

Importante

Em relação à aplicação da Política de Grupo, a regra padrão é que a última política (a política mais específica) aplicada prevalece.

Por exemplo, uma política que restringe o acesso ao Painel de Controle aplicada no nível do domínio pode ser revertida por uma política aplicada no nível da unidade organizacional aos objetos contidos nessa unidade organizacional específica.

Se você vincular vários GPOs a uma UO, seu processamento ocorrerá na ordem especificada pelo administrador na guia Objetos de Política de Grupo Vinculados no Console de Gerenciamento de Política de Grupo. Por padrão, o processamento está habilitado para todas as vinculações de GPO. Você pode desabilitar a vinculação de GPO de um contêiner para bloquear a aplicação de um GPO totalmente em determinado domínio ou UO. Por exemplo, se você fez uma alteração recente em um GPO e ele está causando problemas na produção, você pode desabilitar as vinculações até que o problema seja resolvido.

Observação

Observe que, se o GPO estiver vinculado a outros contêineres, eles continuarão com o processamento do GPO se as vinculações estiverem habilitadas.

Você também pode desabilitar a configuração do usuário ou do computador de um determinado GPO independentemente do usuário ou do computador. Se uma seção de uma política estiver vazia, a desabilitação da outra seção poderá acelerar um pouco o processamento da política. Por exemplo, se você tiver uma política que só fornece a configuração da área de trabalho do usuário, poderá desabilitar a seção de computador da política.

Herança de GPO

Você pode definir uma configuração de política em mais de um GPO, o que pode resultar em conflito entre os GPOs. Nesse caso, a precedência dos GPOs determina qual configuração de política será aplicada pelo cliente. Um GPO com precedência mais alta prevalece sobre um GPO com precedência mais baixa. A precedência é determinada numericamente. Cada GPO tem um valor de precedência. Quanto menor o número, maior a prioridade. Assim, um GPO com precedência de 1 prevalece sobre todos os outros GPOs.

O comportamento padrão da Política de Grupo é que os GPOs vinculados a um contêiner de nível superior são herdados por contêineres de nível inferior. Quando um computador é iniciado ou um usuário entra, as Extensões de Cliente da Política de Grupo examinam o local do computador ou objeto de usuário no AD DS e avaliam os GPOs com escopos que incluam o computador ou o usuário. Em seguida, as extensões do lado do cliente aplicam as configurações de política desses GPOs. As políticas se aplicam em sequência, começando com as políticas vinculadas ao site, seguidas por aquelas vinculadas ao domínio, seguidas por aquelas vinculadas a UOs. Essa aplicação sequencial de GPOs cria um efeito chamado herança de política. As políticas são herdadas, o que significa que o RSoP (conjunto de políticas resultante) para um usuário ou computador será o efeito cumulativo das políticas de site, domínio e UO.

Bloquear herança

Você pode configurar um domínio ou uma unidade organizacional para evitar a herança de configurações de política. Isso é conhecido como bloqueio de herança. Para bloquear a herança, clique com o botão direito do mouse ou acesse o menu de contexto do domínio ou da unidade organizacional na árvore do console GPMC e selecione Bloquear Herança.

Captura de tela do menu de contexto da unidade organizacional Marketing no Console de Gerenciamento de Política de Grupo. O administrador selecionou Bloquear Herança.

A opção Bloquear Herança é uma propriedade de um contêiner e, portanto, bloqueia todas as configurações de Política de Grupo de GPOs que se vinculam aos pais na hierarquia de Política de Grupo.

Cuidado

Use a opção Bloquear Herança com moderação, pois o bloqueio de herança dificulta a avaliação de precedência e herança das Políticas de Grupo.

Dica

Com a filtragem de grupo de segurança, você pode criar cuidadosamente o escopo de um GPO para que ele se aplique apenas aos usuários e computadores corretos, tornando desnecessário o uso da opção Bloquear Herança.

Além disso, você pode definir a imposição de uma vinculação de GPO. Para impor uma vinculação de GPO, clique com o botão direito do mouse ou acesse o menu de contexto da vinculação do GPO na árvore de console e selecione Imposto no menu de atalho.

Captura de tela do menu de contexto do GPO Configurações da Segurança do Domínio da Contoso no Console de Gerenciamento de Política de Grupo. O administrador selecionou Imposto.

Quando você define uma vinculação de GPO como Imposto, o GPO usa o nível mais alto de precedência. As configurações de política nesse GPO prevalecem sobre as configurações de política conflitantes em outros GPOs.

Importante

Uma vinculação imposta se aplica a contêineres filho mesmo quando esses contêineres estão definidos para Bloquear Herança. A opção Imposto faz com que a política se aplique a todos os objetos dentro de seu escopo.

A imposição é útil quando você precisa configurar um GPO que defina uma configuração obrigatória de acordo com as políticas de uso e segurança do departamento de TI corporativo. Portanto, é ideal fazer com que outros GPOs vinculados a níveis iguais ou inferiores não substituam essas configurações. Faça isso com a imposição da vinculação do GPO.

Avaliação de precedência

Para facilitar a avaliação da precedência do GPO, basta selecionar uma UO ou um domínio e selecionar a guia Herança de Política de Grupo. Essa guia exibe a precedência resultante dos GPOs levando em conta a vinculação de GPO, a ordem de vinculação, o bloqueamento de heranças e a imposição de vinculações.

Captura de tela do Console de Gerenciamento de Política de Grupo. O administrador selecionou a guia Herança de Política de Grupo para a UO Marketing. Quatro políticas são exibidas e duas delas tem a opção Imposto no domínio.

Importante

Essa guia não leva em conta políticas vinculadas a um site, segurança de GPO ou filtragem WMI.