Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Por padrão, a Política de Grupo é herdada e cumulativa e afeta todos os computadores e usuários em um contêiner do AD (Active Directory) e seus filhos. As configurações de política relacionadas ao computador substituem as configurações de política relacionadas ao usuário.
Os GPO (Objetos de Política de Grupo) são processados na seguinte ordem:
- O GPO local é aplicado.
- GPOs vinculados a sites são aplicados.
- GPOs vinculados a domínios são aplicados.
- Os GPOs vinculados a unidades organizacionais (UOs) são aplicados. Em uma estrutura de UO aninhada, GPOs vinculados às UOs principais são aplicados primeiro, seguidos pelos GPOs vinculados às UOs secundárias.
Dica
A sequência de processamento de GPO é crucial porque cada aplicativo de política subsequente pode substituir as configurações aplicadas por políticas anteriores.
O método de herança padrão é avaliar a Política de Grupo começando com o contêiner pai mais alto do AD. O contêiner do AD mais próximo do computador ou do usuário substitui a Política de Grupo definida em um contêiner do AD de nível superior. A herança é ignorada quando você define a opção imposta para esse link de GPO ou quando a configuração de herança de bloco é aplicada. A Política de Grupo Local é processada antes das políticas baseadas em domínio. As configurações de política de GPOs vinculados a contêineres do AD substituem as configurações de política local.
Você pode vincular mais de um GPO a um contêiner do AD. O link GPO com a ordem mais baixa de precedência na lista de Links de Objeto de Política de Grupo tem precedência por padrão.
Como funciona o processamento da Política de Grupo
A Política de Grupo para configurações do computador é aplicada quando o computador é iniciado. A Política de Grupo é aplicada no logon para usuários. Esse processamento inicial da política também pode ser conhecido como um aplicativo de política de primeiro plano.
O processamento em primeiro plano da Política de Grupo pode ser síncrono ou assíncrono. No modo síncrono, o computador não conclui o início do sistema até que a política do computador seja aplicada com êxito. O processo de logon do usuário não é concluído até que a política de usuário seja aplicada com êxito. No modo assíncrono, se não houver nenhuma alteração de política que exija processamento síncrono, o computador poderá concluir a sequência de início antes que a aplicação da política de computador seja concluída. A área de trabalho também pode estar disponível para o usuário antes que o aplicativo da política de usuário seja concluído quando estiver no modo assíncrono. Em seguida, o sistema aplica periodicamente (atualiza) a Política de Grupo em segundo plano. Durante uma atualização, as configurações de política são aplicadas de forma assíncrona.
Todo o processamento de política deve ser concluído dentro de 60 minutos. Não há nenhum método para modificar esse período de tempo limite.
Após o processamento inicial da Política de Grupo (também conhecida como aplicativo de política de primeiro plano), o sistema aplica periodicamente (atualiza) a Política de Grupo em segundo plano. Durante uma atualização, as configurações de política são aplicadas de forma assíncrona.
Por padrão, uma atualização ocorre a cada 90 minutos. O sistema pode adicionar um tempo aleatório de até 30 minutos ao intervalo de atualização. Você pode alterar esses valores padrão usando uma configuração de Política de Grupo na extensão Modelos Administrativos para Política de Grupo. Definir o valor como zero minutos faz com que a taxa de atualização seja definida como sete segundos. Nem todas as extensões de Política de Grupo são processadas durante uma atualização em segundo plano. Por exemplo, o processamento de redirecionamento de pastas ocorre somente quando um usuário faz logon. Além disso, o processamento da política de instalação de software ocorre somente quando um computador é iniciado e quando um usuário faz logon.
Embora o sistema processe as extensões de script da Política de Grupo durante uma atualização em segundo plano, os scripts individuais são executados somente quando o computador é iniciado e desligado e quando um usuário faz logon e faz logon.
Durante uma atualização de política, por padrão, uma extensão do lado do cliente reaplica as configurações de política somente se detectar uma alteração para um de seus GPOs ou para sua lista de GPOs. Esse comportamento é por motivos de desempenho.
GPOs imposto
Determine se há alguma configuração de política que sempre deve ser imposta para grupos específicos de usuários ou computadores. Crie GPOs que contenham essas configurações de política, vincule-as ao site, domínio ou UO apropriado e designe esses links como imposto. Ao definir essa opção, você impõe as configurações de política de um GPO de nível superior, impedindo que GPOs em contêineres do AD de nível inferior os substituam. Por exemplo, se você definir um GPO específico no nível do domínio e definir a opção imposta, as políticas que o GPO contém se aplicam a todas as OUs nesse domínio. GPOs vinculados às UOs de nível inferior não podem substituir essa Política de Grupo de Domínio imposta. Se vários GPOs estiverem vinculados no mesmo site, domínio ou UO e tiverem a opção imposta definida, o link de GPO mais alto definido para imposto terá precedência.
Bloquear herança
No GPMC (Console de Gerenciamento de Política de Grupo), Bloquear herança de políticas, ou Bloquear herança, refere-se a um recurso que influencia a ordem de processamento da política de grupo. Cada domínio e UO no AD têm um atributo GPOptions , que pode ser configurado para bloquear a herança. Isso impede que as configurações de política aplicadas nos níveis local, site, domínio e UO mais altos afetem computadores ou usuários na UO. No entanto, embora a herança bloqueada impeça que a maioria das configurações se aplique a uma UO, ela não afeta as configurações aplicadas por meio de GPOs com a opção imposta. Imposto é uma propriedade de link e tem precedência sobre a herança de política de bloco, uma propriedade de contêiner.
As configurações de política vinculadas a um domínio normalmente se aplicam a todos os computadores e usuários dentro do domínio, independentemente da unidade organizacional pai à qual pertençam. Usando o GPMC, você pode bloquear a herança em um domínio ou UO para impedir que as configurações normais da Política de Grupo se apliquem. Bloquear a herança no nível do domínio impede que as configurações de GPOs vinculados a um site do AD sejam aplicadas ao domínio, enquanto o bloqueio no nível da Unidade Organizacional (UO) impede que as configurações de GPOs vinculados a sites e domínios afetem essas Unidades Organizacionais (UOs).
Além de bloquear a herança:
- Um GPO em si pode ser totalmente desabilitado
- Um GPO pode ter suas configurações de computador desabilitadas
- Um GPO pode ter suas configurações de usuário desabilitadas
- Um GPO pode ter todas as configurações desabilitadas
Extensões do lado do cliente da preferência de política de grupo
As extensões do lado do cliente de preferência de política de grupo têm métodos próprios de processamento exclusivos. Em um único GPO, você pode configurar um ou mais itens de preferência para que uma extensão específica de Preferência de Política de Grupo seja processada. Por exemplo, um único GPO pode conter várias Preferências de Mapa de Unidade.
Durante o processamento da Política de Grupo, a infraestrutura percorre uma série de extensões. Para cada extensão, são fornecidas informações essenciais, incluindo uma lista de GPOs com alterações detalhadas e GPOs que não são mais aplicáveis ao usuário ou ao computador. A infraestrutura também compartilha detalhes específicos do contexto, como se a conexão de rede é considerada lenta. A extensão de preferência de política de grupo usa informações sobre os GPOs alterados e fora do escopo para processar as configurações.
Extensões do lado do cliente processam itens de preferência sequencialmente, da parte superior até a parte inferior da lista. O resultado do processamento de cada item de preferência depende de sua ação configurada e o direcionamento no nível do item pode impedir a aplicação de um item. A extensão processa cada item até concluir a lista ou parar devido a configurações como Parar de processar itens nessa extensão se ocorrer um erro neste item ou Aplicar uma vez e não reaplicar. Depois que todos os itens de preferência forem processados, o controle retornará ao serviço de Política de Grupo.
Filtragem de política de grupo
Você pode filtrar se um GPO se aplica usando filtros de filtragem de segurança ou WMI (Instrumentação de Gerenciamento do Windows).
A filtragem de segurança permite refinar quais usuários e computadores recebem e aplicar as configurações de política em um GPO. A filtragem de grupo de segurança determina se o GPO se aplica a grupos, usuários ou computadores. A filtragem de grupo de segurança não pode ser usada seletivamente em diferentes configurações de política dentro de um GPO.
O WMI permite que você use uma consulta WMI para filtrar a aplicação da política de grupo. Quando você usa a filtragem WMI, o GPO se aplica a entidades de segurança que atendem às condições da consulta WMI. Cada GPO pode ser vinculado a um filtro WMI; no entanto, o mesmo filtro WMI pode ser vinculado a vários GPOs. Antes de vincular um filtro WMI a um GPO, você deve criar o filtro. O filtro WMI é avaliado no computador de destino durante o processamento da Política de Grupo. O GPO se aplicará somente se o filtro WMI for avaliado como verdadeiro.
Modo de processamento de loopback
O modo de processamento de loopback aplica as configurações de usuário dos Objetos de Política de Grupo atribuídos ao computador, independentemente de quem faz logon. O processamento de loopback mesclará ou substituirá as configurações do usuário dos GPOs atribuídos ao usuário. Essa configuração de política é apropriada em determinados ambientes gerenciados com computadores de uso especial, como salas de aula, quiosques públicos e áreas de recepção.
Por exemplo, você pode habilitar essa configuração de política em um servidor específico para ajustar as configurações do usuário com base no computador que está sendo utilizado. Quando você habilita a configuração de política do modo de processamento em loopback, o sistema aplica as configurações de política do usuário com base na configuração do computador, independentemente de quem fizer login. Isso garante configurações de política de usuário consistentes para todos os usuários no computador, conforme definido pelos GPOs do computador.
Ao habilitar a configuração da política de processamento de loopback em um GPO, você pode definir as configurações de política de usuário com base no computador em que eles entram. Sem o processamento de loopback, os GPOs que aplicam um objeto de computador processarão apenas as configurações do computador. Os GPOs aplicados aos usuários processarão apenas as configurações do usuário. Ao habilitar a configuração da política do modo de processamento de loopback, você deve garantir que as configurações de configuração do computador e de configuração de usuário no GPO estejam habilitadas. Essas configurações de política são aplicadas independentemente de qual usuário faça logon.
Para definir a configuração de política de loopback, use o GPMC para editar o GPO e habilite a configuração de política Configurar modo de processamento de loopback de Política de Grupo do usuário em Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Política de Grupo. Duas opções estão disponíveis:
Modo de mesclagem: nesse modo, a lista de GPOs para o usuário é coletada durante o processo de logon. Em seguida, a lista de GPOs para o computador é coletada. Em seguida, a lista de GPOs para o computador é adicionada ao final dos GPOs para o usuário. Como resultado, os GPOs do computador têm precedência maior do que os GPOs do usuário. Se as configurações de política entrarem em conflito, as configurações de política de usuário nos GPOs do computador serão aplicadas em vez das configurações normais de política do usuário.
Modo de substituição: nesse modo, a lista de GPOs para o usuário não é coletada. Em vez disso, apenas a lista de GPOs baseada no objeto de computador é utilizada. As configurações de Configuração do Usuário dessa lista são aplicadas ao usuário.
Atualização da Política de Grupo
Os principais mecanismos para atualizar a Política de Grupo ocorrem na inicialização e no logon. A Política de Grupo também é atualizada em outros intervalos regularmente. O intervalo de atualização de política afeta a rapidez com que as alterações nos GPOs são aplicadas. Por padrão, clientes e servidores verificam se há alterações nos GPOs a cada 90 minutos usando um deslocamento aleatório de até 30 minutos. As alterações nas configurações de Política de Grupo podem não estar disponíveis imediatamente nas áreas de trabalho dos usuários porque as alterações no GPO devem primeiro ser replicadas para o controlador de domínio apropriado.
Os controladores de domínio verificam se há alterações na política do computador a cada cinco minutos. Essa frequência de sondagem pode ser alterada usando uma dessas configurações de política, intervalo de atualização de política de grupo para computadores, intervalo de atualização de política de grupo para controladores de domínio ou intervalo de atualização de política de grupo para usuários. Reduzir a frequência entre atualizações não é recomendado devido ao potencial aumento no tráfego de rede e a mais carga colocada nos controladores de domínio.
Os componentes de um GPO são armazenados no AD e na pasta SYSVOL dos controladores de domínio. A replicação de um GPO para outros controladores de domínio ocorre por dois mecanismos independentes:
O sistema de replicação interno controla a replicação do AD. Por padrão, a replicação normalmente leva menos de um minuto entre controladores de domínio no mesmo site. Esse processo pode ser mais lento se sua rede for mais lenta que uma LAN.
O DFSR (Distributed File System Replication) controla a replicação da pasta SYSVOL. Nos sites, a replicação ocorre a cada 15 minutos. Se os controladores de domínio estiverem em sites diferentes, o processo de replicação ocorrerá em intervalos definidos com base na topologia e no agendamento do site, o intervalo mais baixo será de 15 minutos.
Iniciar atualização da Política de Grupo
Se necessário, você pode disparar uma atualização de Política de Grupo manualmente das seguintes maneiras:
Em um computador local, digite
gpupdate.exea partir da linha de comando. A execuçãogpupdate.exedispara uma atualização de política para o computador no qual o comando é executado.Use o cmdlet
Invoke-GPUpdatedo PowerShell. Você pode usar esse cmdlet para disparar uma atualização do computador local ou para disparar uma atualização de um computador remoto.Use o GPMC para disparar uma atualização de política de grupo no nível da UO clicando com o botão direito do mouse na UO e selecionando a Atualização de Política de Grupo.
Otimizar o processamento de GPO
Para reduzir o tempo necessário para processar um GPO, considere usar o seguinte.
Quando um GPO contém apenas configurações de computador ou configuração de usuário, desabilite a parte da configuração de política que não se aplica. Com essa otimização, o computador de destino não verifica as partes de um GPO que você desabilitar, o que reduz o tempo de processamento.
Combine GPOs menores para formar um GPO consolidado. Essa otimização reduz o número de GPOs aplicados a um usuário ou computador. Aplicar um número menor de GPOs a um usuário ou computador pode reduzir os tempos de inicialização ou logon e facilitar a solução de problemas na estrutura de políticas.