Criar e configurar um GPO baseado em domínio

Concluído

Você gerencia os GPOs usando duas ferramentas principais:

• O Console de Gerenciamento de Política de Grupo
• O Editor de Gerenciamento de Política de Grupo

Você também pode usar cmdlets do Windows PowerShell para gerenciar GPOs e suas configurações, incluindo os descritos na tabela a seguir.

Cmdlet

Descrição

New-GPO

Cria um novo GPO.

New-GPLink

Vincula um GPO a um site, domínio ou UO.

Get-GPInheritance

Obtém informações de herança da Política de Grupo para um domínio ou uma UO específicos.

Set-GPInheritance

Bloqueia ou desbloqueia herança para um domínio ou unidade organizacional específicos.

Get-GPO

Obtém um GPO ou todos os GPOs em um domínio.

O que você pode gerenciar com GPOs?

Há duas categorias principais de configurações de política: configurações do computador, que estão contidas no nó Configuração do Computador e configurações do usuário, que estão contidas no nó Configuração do Usuário:

• O nó Configuração do Computador contém as configurações que se aplicam a computadores, independentemente de quem faz logon neles. As configurações do computador são aplicadas quando o sistema operacional é iniciado, durante as atualizações em segundo plano e, depois, a cada 90 a 120 minutos.
• O nó Configuração do Usuário contém configurações que se aplicam quando um usuário faz logon em um computador, durante as atualizações em segundo plano e, depois, a cada 90 a 120 minutos.

Nos nós Configuração do Computador e Configuração do Usuário estão os nós Políticas e Preferências.

Os nós Políticas em Configuração do Computador e Configuração do Usuário têm uma hierarquia de pastas que contêm configurações de política. Como há milhares de configurações, o escopo deste curso não inclui configurações individuais. No entanto, vale a pena examinar os tipos de configurações que você pode configurar.

Aplicar configurações de segurança

No sistema operacional Windows Server, os GPOs incluem muitas configurações relacionadas à segurança que você pode aplicar a usuários e computadores. Por exemplo, você pode impor configurações à política de senha do domínio e ao Windows Defender Firewall e pode configurar a auditoria e outras configurações de segurança. Você também pode configurar conjuntos completos de atribuições de direitos de usuário.

Gerenciar configurações de desktop e aplicativo

Você pode usar Política de Grupo para oferecer um ambiente de aplicativo e de área de trabalho consistente a todos os usuários da sua organização. Com GPOs, você pode definir cada configuração que afete a representação do ambiente do usuário. Você também pode definir configurações para alguns aplicativos que dão suporte a GPOs.

Implantar software

Com a Política de Grupo, você pode implantar o software para usuários e computadores. Você pode usar a Política de Grupo para implantar todos os softwares disponíveis no formato .msi. Além disso, você pode impor a instalação automática de software ou permitir que os usuários decidam se desejam que o software seja implantado em seus computadores.

Importante

A implantação de grandes pacotes de software com GPOs pode não ser a maneira mais eficiente de distribuir um aplicativo nos computadores da sua organização. Em algumas circunstâncias, pode ser mais eficiente distribuir aplicativos como parte da imagem do computador desktop.

Gerenciar o Redirecionamento de Pasta

Com a opção Redirecionamento de Pasta, é mais fácil fazer backup dos arquivos de dados dos usuários. Ao redirecionar pastas, você também faz com que os usuários tenham acesso aos seus dados independentemente do computador no qual se conectam. Além disso, você pode centralizar os dados de todos os usuários no mesmo lugar, em um servidor de rede, ao mesmo tempo que oferece uma experiência de usuário semelhante à de armazenar essas pastas em seus computadores. Por exemplo, você pode configurar o Redirecionamento de Pasta a fim de redirecionar as pastas Documentos dos usuários para uma pasta compartilhada em um servidor de rede.

Definindo as configurações de rede

Usando a Política de Grupo, você pode definir várias configurações de rede em computadores cliente. Por exemplo, você pode impor configurações a redes sem fio para permitir que os usuários se conectem somente a SSIDs de rede Wi-Fi específicos e com configurações predefinidas de autenticação e criptografia. Você também pode implantar políticas que se aplicam a configurações de rede com fio; algumas funções do Windows Server usam a Política de Grupo para configurar o lado do cliente relativo aos serviços, como o DirectAccess.

Solucionando problemas com a aplicação de GPOs?

A herança, os filtros e as exceções da Política de Grupo são complexos e, muitas vezes, pode ser difícil determinar quais configurações de política serão aplicadas. O RSoP é o efeito direto dos GPOs aplicados a um usuário ou computador, considerando vinculações de GPO, exceções como Imposto e Bloquear Herança, bem como a aplicação de filtros WMI e de segurança.

O RSoP também é uma coleção de ferramentas que você pode usar para avaliar, modelar e solucionar problemas com a aplicação das configurações da Política de Grupo. O RSoP pode consultar um computador local ou remoto e relatar as configurações exatas aplicadas ao computador e aos usuários que tenham feito logon no computador. O RSoP também pode modelar as configurações de política que devam ser aplicadas a um usuário ou computador em vários cenários, incluindo a movimentação do objeto entre UOs ou sites ou a alteração da associação de grupo do objeto. Com esses recursos, o RSoP pode ajudar você a gerenciar e solucionar problemas com políticas conflitantes. As seguintes ferramentas existem para executar a análise de RSoP:

• O Assistente de Resultados de Política de Grupo.
• O Assistente de Modelagem de Política de Grupo.
• GPResult.exe.

Demonstração

O vídeo a seguir demonstra como criar, configurar e aplicar GPOs. As principais etapas do processo são:

1. Abra o console do Gerenciamento de Política de Grupo.
2. Navegue até o contêiner Objetos de Política de Grupo.
3. Crie um GPO.
4. Abra o GPO para editar e modificar algumas configurações de usuário.
5. Vincule o GPO ao domínio Contoso.com.
6. Entre em um computador cliente como administrador e habilite o Gerenciamento Remoto do Log de Eventos e o WMI por meio do firewall.
7. Entre como usuário padrão e examine o efeito do GPO no computador local.
8. Crie um GPO, edite suas configurações e vincule-o a uma UO. Examine as configurações de herança.
9. Altere as configurações de filtragem de segurança para que a política se aplique somente a um grupo e não a Usuários Autenticados.
10. Verifique o efeito da alteração da herança e da filtragem de segurança.

---

Verificar seu conhecimento

1.

No domínio Contoso.com, na UO Marketing, um administrador cria um GPO chamado Redirecionamento de Pasta. O administrador deseja que a política se aplique a todos os usuários na UO Marketing, exceto para os gerentes de Marketing. O que o administrador deve fazer para impedir que o GPO Redirecionamento de Pasta seja aplicado aos gerentes, mas permitir que todos os outros GPOs vinculados à UO Marketing sejam aplicados aos gerentes?

Criar um filtro WMI que identifique os computadores dos gerentes e usar esse filtro para Negar a aplicação do GPO aos gerentes.

Mova as contas de usuário de gerente de marketing para sua própria UO filha em Marketing e implemente Bloquear Herança na UO filha.

Crie um grupo de segurança global chamado Gerentes de Marketing e adicione as contas de usuário de gerentes de marketing ao grupo. Em seguida, configure a filtragem de segurança do GPO para Negar a permissão Aplicar Política a esse grupo.

É necessário responder a todas as perguntas antes de verificar o trabalho.