Visão geral da Diretiva de Grupo (Office System 2007)
Atualizado: março de 2007
Aplica-se a: Office Resource Kit
Tópico modificado em: 2015-03-09
Diretiva de Grupo é uma infraestrutura que os administradores podem usar para implementar configurações específicas de computação para usuários e computadores. As configurações de diretiva também podem ser aplicadas a servidores membros e controladores de domínio dentro do escopo de uma floresta do Active Directory. Os administradores usam a Diretiva de Grupo para definir as configurações uma vez e depois contam com o sistema operacional para impor esse estado.
As configurações de Diretiva de Grupo ficam em objetos de Diretiva de Grupo (GPOs), que estão vinculados a contêineres selecionados de serviço de diretório do Active Directory — sites, domínios ou unidades organizacionais (OUs). As configurações dos GPOs são avaliadas pelos destinos afetados usando a natureza hierárquica do Active Directory.
A infraestrutura da Diretiva de Grupo consiste em um mecanismo de Diretiva de Grupo e diversas extensões individuais. Essas extensões são usadas para definir as configurações da Diretiva de Grupo, seja modificando o Registro através da extensão dos Modelos Administrativos, seja definindo as configurações da Diretiva de Grupo para configurações de segurança, instalação de software, redirecionamento de pasta, Manutenção do Internet Explorer, configurações de rede sem fio e outras áreas.
Cada extensão de Diretiva de Grupo consiste em duas extensões:
Uma extensão de servidor do snap-in do Console de Gerenciamento Microsoft (MMC) para o Editor de Objeto de Diretiva de Grupo, usada para definir as configurações de diretiva aplicadas aos computadores cliente.
Uma extensão de cliente chamada pelo mecanismo da Diretiva de Grupo para aplicar as configurações de diretiva.
As configurações de diretiva do sistema do Microsoft Office 2007 estão contidas nos arquivos de Modelo Administrativo (.adm). Para obter mais informações, consulte a seção Extensão de Modelos Administrativos.
As seções a seguir apresentam uma visão geral dos conceitos de Diretiva de Grupo. Para obter informações mais detalhadas, consulte Conjunto de Diretivas de Grupo (em inglês) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x416) (em inglês) no site do Microsoft TechNet.
Neste tópico
Diretiva de Grupo local e baseada no Active Directory
Processamento de Diretiva de Grupo
Aplicativo da Diretiva de Grupo
Direcionando o aplicativo de objetos da Diretiva de Grupo
Extensão de Modelos Administrativos
Preferências do usuário e diretivas verdadeiras
Ferramentas de gerenciamento de Diretiva de Grupo
Ferramenta de Personalização do Office e Diretiva de Grupo
Diretiva de Grupo local e baseada no Active Directory
Cada computador tem um GPO local que é sempre processado, seja ele um computador que faça parte de um domínio ou um computador autônomo. O GPO local não pode ser bloqueado pelos GPOs de domínio. Entretanto, as configurações dos GPOs de domínio sempre têm prioridade, desde que sejam processadas depois do GPO local.
Embora você possa configurar os objetos de Diretiva de Grupo locais em computadores individuais, os benefícios máximos da Diretiva de Grupo são concretizados em uma rede baseada em Windows 2000 ou Windows Server 2003 com o Active Directory instalado.
Os administradores podem implementar as configurações de Diretiva de Grupo em uma parte ampla ou restrita de sua organização, conforme necessário. Para isso, eles vinculam GPOs a sites, domínios e OUs. Os links de GPO afetam usuários e computadores conforme descrito a seguir:
GPOs vinculados a um site são aplicados a todos os usuários e computadores do site.
GPOs vinculados a um domínio são aplicados diretamente a todos os usuários e computadores do domínio e, por herança, a todos os usuários e computadores em OUs filho. A Diretiva de Grupo não é herdada entre domínios.
GPOs vinculados a uma OU são aplicados diretamente a todos os usuários e computadores da OU e, por herança, a todos os usuários e computadores das OUs filho.
Ao se criar um GPO, ele é armazenado no domínio. Quando o GPO é vinculado a um contêiner do Active Directory, como uma OU, o link se torna um componente desse contêiner do Active Directory, e não um componente do GPO.
Os administradores devem ter privilégios de criação de GPO para criar GPOs. Por padrão, somente administradores de domínio, da empresa e membros do grupo de proprietários criadores de Diretiva de Grupo podem criar objetos de Diretiva de Grupo. Você deve ter permissões de edição para o GPO que deseja editar.
Para obter informações mais detalhadas sobre a infraestrutura da Diretiva de Grupo, consulte Conjunto de Diretivas de Grupo (em inglês) (https://go.microsoft.com/fwlink/?linkid=80200\&clcid=0x416) (em inglês) no site do Microsoft TechNet.
Os sistemas operacionais Windows Vista e Windows Server® 2008 apresentam uma nova funcionalidade de gerenciamento de GPOs locais que permitem aos administradores de computadores autônomos a capacidade de aplicar vários objetos de Diretiva de Grupo a usuários de computadores autônomos.
Vários GPOs locais: alterações no Windows Vista e Windows Server 2008
O Windows Vista e o Windows Server 2008 oferecem suporte ao gerenciamento de vários GPOs locais em computadores autônomos. Esse recurso é útil para gerenciar ambientes que envolvem computação compartilhada em um único computador, como bibliotecas ou laboratórios de informática. É possível atribuir vários GPOs locais a usuários locais ou grupos internos.
Em um ambiente de grupo de trabalho, cada computador mantém suas próprias configurações de diretiva. Esse recurso funciona com Diretiva de Grupo baseada em domínio ou pode ser desabilitado por meio de uma configuração de Diretiva de Grupo.
Os administradores podem usar vários GPOs locais para:
Aplicar diferentes níveis de Diretiva de Grupo local a usuários locais em um computador autônomo. Esse recurso é ideal para ambientes de computação compartilhada em que o gerenciamento baseado em domínio não está disponível.
Gerenciar Diretiva de Grupo com base em grupos de administradores e não-administradores. Por exemplo, se os administradores quiserem configurar computadores em um laboratório de informática para estabelecer um ambiente seguro, eles poderão criar configurações de diretiva altamente gerenciadas para grupos de Usuários, e levemente gerenciadas para contas internas de Administradores. Com isso, os administradores locais não precisam desabilitar nem remover explicitamente as configurações de Diretiva de Grupo que interferem em sua capacidade de gerenciar a estação de trabalho antes de realizarem tarefas administrativas. Os administradores do Windows Vista também podem desativar as configurações locais de Diretiva de Grupo sem habilitar expressamente a Diretiva de Grupo baseada no domínio.
Os administradores de domínio podem desabilitar o processamento de objetos de Diretiva de Grupo locais em clientes que executam o Windows Vista, habilitando a configuração de diretiva Desativar processamento de objetos de Diretiva de Grupo Local em um objeto de Diretiva de Grupo de domínio. Essa configuração é acessada em Configuração do Computador\Modelos Administrativos\Sistema\Diretiva de Grupo.
O Windows Vista dispõe de três camadas de objetos locais de Diretiva de Grupo: Diretiva de Grupo local, Diretiva de Grupo de Administradores e Não-administradores e Diretiva de Grupo local específica do usuário. Essas camadas de objetos de Diretiva de Grupo locais são processadas de acordo com a seguinte ordem:
Diretiva de Grupo Local
Diretiva de Grupo de Administradores e Não-administradores
Diretiva de Grupo local específica do usuário
Para obter informações detalhadas sobre como usar o recurso de vários GPOs locais no Windows Vista, consulte o Guia Passo a Passo de gerenciamento de vários objetos de Diretiva de Grupo locais (em inglês) no site do Microsoft TechNet.
Processamento de Diretiva de Grupo
O GPO local é processado primeiro, e a unidade organizacional à qual o computador ou usuário pertence (que é membro direto do GPO) é processada por último. As configurações de Diretiva de Grupo são processadas na seguinte ordem:
GPO local. Cada computador tem um objeto de Diretiva de Grupo que é armazenado localmente. Esse GPO é processado tanto para a diretiva de Grupo de computador quanto de usuário.
Site. GPOs vinculados ao site ao qual o computador pertence são os próximos a serem processados. O processamento é feito na ordem especificada pelo administrador, na guia Objetos de Diretiva de Grupo Vinculados para o site no Console de Gerenciamento de Diretiva de Grupo (GPMC). O GPO com a ordem de links mais baixa é processado por último e tem a prioridade mais alta. Para obter informações sobre o Console de Gerenciamento de Diretiva de Grupo, consulte a seção Ferramentas de gerenciamento de Diretiva de Grupo.
Domínio. Vários GPOs vinculados ao domínio são processados na ordem especificada pelo administrador, na guia Objetos de Diretiva de Grupo Vinculados para o domínio no Console de Gerenciamento de Diretiva de Grupo. O GPO com a ordem de links mais baixa é processado por último e tem a prioridade mais alta.
Unidades organizacionais. GPOs vinculados à unidade organizacional mais elevada da hierarquia do Active Directory são processados primeiro e, em seguida, os GPOs vinculados à unidade organizacional filho, e assim por diante. GPOs vinculados à unidade organizacional que contém o usuário ou o computador são processados por último.
A ordem de processamento está sujeita às seguintes condições:
Filtro WMI (Instrumentação de Gerenciamento do Windows) ou de segurança aplicado a GPOs.
Qualquer GPO baseado em domínio (exceto GPO local) pode ser imposto usando a opção Impor, assim suas configurações de diretiva não podem ser substituídas. Como o GPO imposto é processado por último, nenhuma outra configuração consegue substituir as configurações desse GPO. Se houver mais de um GPO imposto, a mesma configuração de cada GPO poderá ser definida como um valor diferente. Nesse caso, a ordem dos links dos GPOs determina qual GPO contém as configurações finais.
Em qualquer domínio ou unidade organizacional, a herança de Diretiva de Grupo pode ser seletivamente designada como Bloquear Herança. Contudo, como os GPOs impostos sempre são aplicados e não podem ser bloqueados, o bloqueio da herança não impede a aplicação das configurações de diretiva dos GPOs impostos.
Herança de diretiva
As configurações de diretiva ativas para determinado usuário e computador são o resultado da combinação de GPOs aplicados em um site, um domínio ou uma OU. Quando vários GPOs são aplicados a usuários e computadores nos contêineres do Active Directory, as configurações dos GPOs são agregadas. Por padrão, as configurações implantadas em GPOs vinculados a contêineres de nível mais elevado (contêineres pai) no Active Directory são herdadas pelos contêineres filho e associadas às configurações implantadas nos GPOs vinculados aos contêineres filho. Se vários GPOs tentarem definir uma configuração de diretiva com valores conflitantes, o GPO com a prioridade mais alta definirá a configuração. Os GPOs processados por último têm precedência sobre os GPOs processados primeiro.
Aplicativo da Diretiva de Grupo
A Diretiva de Grupo de computadores é aplicada quando o computador é inicializado. A Diretiva de Grupo de usuários é aplicada quando os usuários fazem logon. Além do processamento inicial da Diretiva de Grupo na inicialização e no logon, a Diretiva de Grupo é aplicada posteriormente em plano de fundo em intervalos regulares. Durante a atualização em plano de fundo, uma extensão de cliente reaplicará as configurações de diretiva apenas se detectar uma alteração no servidor em qualquer um de seus GPOs ou em sua lista de GPOs.
Para a instalação de software e o redirecionamento de pasta, o processamento da Diretiva de Grupo ocorre apenas durante a inicialização do computador e o logon do usuário.
Processamento síncrono e assíncrono
Os processos síncronos podem ser descritos como uma série de processos em que um processo deve terminar a execução antes que o próximo comece. Os processos assíncronos podem ser executados em threads diferentes simultaneamente, já que seu resultado não depende de outros processos. Os administradores podem usar uma configuração de diretiva para cada GPO para alterar o comportamento padrão do processamento de síncrono para assíncrono.
No processamento síncrono, existe um limite de tempo de 60 minutos para que todas as Diretivas de Grupo concluam o processamento no computador cliente. As extensões de cliente que não tiverem terminado o processamento depois de 60 minutos serão indicadas para parar. Nesse caso, as configurações de diretiva associadas podem não ser totalmente aplicadas.
Recurso Otimização de Logon Rápido
O recurso Otimização de Logon Rápido é definido por padrão para membros do domínio e do grupo de trabalho. O resultado é a aplicação assíncrona da diretiva quando o computador é inicializado e quando o usuário faz logon. Essa aplicação de diretiva é semelhante à atualização em plano de fundo. Ela pode reduzir o tempo gasto para a caixa de diálogo de logon ser exibida e a área de trabalho ficar disponível para o usuário.
Observação: |
---|
A Otimização de Logon não está habilitada e as diretivas são processadas de forma síncrona quando o usuário faz logon pela primeira vez, quando o usuário tem um perfil móvel, quando o usuário tem um HomeDir e quando ele tem um script de logon especificado no objeto User. O Redirecionamento de Pasta e a Instalação do software da Diretiva de Grupo exigem a aplicação assíncrona da diretiva. Nessas condições, a inicialização do computador ainda pode ser assíncrona; entretanto, como o logon é síncrono, ele não apresenta otimização. Os computadores cliente que executam os sistemas operacionais Windows XP Professional, Windows XP 64-bit Edition (Itanium) e Windows Server 2003 suportam a otimização de logon rápido em qualquer ambiente de domínio. Para os servidores, o processamento de inicialização e logon sempre funciona como se essa configuração de diretiva estivesse habilitada. |
Os administradores podem desabilitar o recurso Otimização de Logon Rápido pela configuração de diretiva Sempre esperar pela rede ao iniciar o computador e fazer logon, que pode ser acessada pelo nó Configuração do Computador\Modelos Administrativos\Sistema\Logon do Editor de Objeto de Diretiva de Grupo. Quando essa configuração de diretiva está habilitada, os logons são feitos do mesmo modo que nos clientes Windows 2000. Sendo assim, o Windows XP aguarda pela inicialização total da rede antes de conectar os usuários. A Diretiva de Grupo é aplicada de forma síncrona no primeiro plano.
Processamento lento de links
Algumas extensões de Diretiva de Grupo não são processadas quando a velocidade de conexão fica abaixo dos limites especificados. O valor padrão do que a Diretiva de Grupo considera um vínculo lento é qualquer taxa inferior a 500 Kilobits por segundo (Kbps).
As configurações padrão para processamento da Diretiva de Grupo em links lentos estão definidas a seguir.
Configuração | Padrão |
---|---|
Configurações de segurança |
ATIVADO (não pode ser desativado) |
Segurança de IP |
ATIVADO |
EFS |
ATIVADO |
Diretivas de restrição de software |
ATIVADO |
Sem fio |
ATIVADO |
Modelos administrativos |
ATIVADO (não pode ser desativado) |
Instalação de software |
DESATIVADO |
Scripts |
DESATIVADO |
Redirecionamento de pasta |
DESATIVADO |
Manutenção do IE |
ATIVADO |
Os administradores podem usar a configuração de diretiva para substituir a configuração padrão. Para especificar as configurações de detecção de vínculo lento de diretiva de grupo em computadores, use a configuração de diretiva Detecção de vínculo lento de diretiva de grupo no nó Configuração do Computador\Modelos Administrativos\Sistema\Diretiva de Grupo do Editor de Objeto de Diretiva de Grupo.
Para definir esta opção para usuários, use a configuração de diretiva Detecção de vínculo lento de diretiva de grupo em Configuração do Usuário\Modelos Administrativos\Sistema\Diretiva de Grupo.
Para obter mais informações sobre como gerenciar a Diretiva de Grupo em links lentos, consulte Especificando Diretiva de Grupo para detecção de vínculo lento (em inglês) (https://go.microsoft.com/fwlink/?linkid=80435\&clcid=0x416) (em inglês) no site do Microsoft TechNet.
Intervalo de atualização da Diretiva de Grupo
Por padrão, a Diretiva de Grupo é processada a cada 90 minutos, com um atraso aleatório de até 30 minutos — somando um intervalo de atualização máximo total de 120 minutos.
Para configurações de segurança, depois que você tiver editado as configurações de diretiva de segurança, as configurações de diretiva serão atualizadas nos computadores da unidade organizacional à qual o objeto de Diretiva de Grupo está vinculado:
Quando um computador é reiniciado.
A cada 90 minutos em uma estação de trabalho ou servidor e a cada cinco minutos em um controlador de domínio.
Por padrão, as configurações de diretiva de segurança viabilizadas pela Diretiva de Grupo também são aplicadas a cada 16 horas (960 minutos), mesmo se um GPO não tiver sido alterado.
Disparando uma atualização de Diretiva de Grupo
As alterações feitas no objeto de Diretiva de Grupo devem ser primeiramente replicadas ao controlador de domínio apropriado; portanto, as alterações nas configurações da Diretiva de Grupo podem não se tornar disponíveis de imediato nos desktops dos usuários. Em alguns cenários, como na aplicação das configurações de diretiva de segurança, pode ser preciso aplicar as configurações de diretiva imediatamente.
Os administradores podem disparar a atualização de diretiva manualmente de um computador local sem esperar pela atualização automática em plano de fundo. Para isso, os administradores podem digitar gpupdate na linha de comando para atualizar as configurações de diretiva do usuário ou do computador. Não é possível usar o GPMC para disparar uma atualização de diretiva.
O comando gpupdate dispara a atualização de diretiva em plano de fundo no computador local em que o comando é executado. O comando gpupdate é usado em ambientes Windows Server 2003 e Windows XP.
A aplicação da Diretiva de Grupo não pode ser enviada a clientes sob demanda a partir do servidor.
Para obter mais informações sobre como usar o gpupdate, consulte Atualizar configurações de Diretiva de Grupo com GPUpdate.exe (em inglês) (https://go.microsoft.com/fwlink/?linkid=80461\&clcid=0x416) (em inglês) no site do Microsoft TechNet.
Direcionando o aplicativo de objetos da Diretiva de Grupo
O método principal para especificar quais usuários e computadores receberão as configurações de um GPO é o link do GPO a sites, domínios e unidades organizacionais.
É possível alterar a ordem padrão na qual os GPOs são processados alterando a ordem dos links, bloqueando a herança da diretiva, impondo um link de GPO (anteriormente conhecido como sem substituição) e desabilitando um link de GPO.
Os administradores podem usar o filtro de segurança e WMI para modificar o conjunto de usuários e computadores ao qual um GPO será aplicado.
Os administradores também podem usar o recurso de processamento de loopback para garantir que o mesmo conjunto de configurações de diretiva seja aplicado a qualquer usuário que faça logon em determinado computador.
Alterando a ordem de processamento de GPO
Os administradores podem usar um dos métodos a seguir para alterar a ordem na qual os GPOs são processados:
Alterar a ordem dos links. A ordem dos links de GPO em um site, um domínio ou uma OU controla a quando os links serão aplicados. Os administradores podem alterar a prioridade de um link mudando a ordem dos links, movendo cada link para cima ou para baixo na lista até o local apropriado. O link com a ordem mais elevada (1 é a ordem mais alta) tem maior prioridade em um site, domínio ou unidade organizacional.
Bloquear herança. Usando o bloqueio de herança em um domínio ou OU, você impede que GPOs vinculados a sites, domínios ou unidades organizacionais mais elevados sejam automaticamente herdados pelo contêiner filho do Active Directory. Por padrão, os contêineres filho herdam todos os GPOs do pai. Entretanto, algumas vezes é útil bloquear a herança.
Impor o link de um GPO. Os administradores podem especificar que as configurações do link de um GPO têm prioridade sobre as configurações de qualquer objeto filho, definindo esse link como Imposto. Os links de GPO impostos não podem ser bloqueados do contêiner pai. Se os GPOs tiverem configurações conflitantes e nenhuma imposição de um contêiner de nível mais elevado, as configurações dos links de GPO no contêiner pai de nível mais alto serão substituídas pelas configurações dos GPOs vinculados a unidades organizacionais filho. Com a imposição, o link de GPO pai sempre terá prioridade. Por padrão, os links de GPO não são impostos.
Desabilitar o link de um GPO. Por padrão, o processamento está habilitado para todos os links de GPO. É possível bloquear totalmente a aplicação de um GPO em um site, domínio ou unidade organizacional, desabilitando o link de GPO desse domínio, site ou unidade organizacional. Isso não desabilita o GPO. Se o GPO estiver vinculado a outros sites, domínios ou unidades organizacionais, eles continuarão a processar o GPO se os links estiverem habilitados.
Filtro de segurança
Esse método é usado para especificar que somente determinadas entidades de segurança em um contêiner onde o GPO está vinculado aplicam-se ao GPO. Os administradores podem usar o filtro de segurança para restringir o escopo de um GPO, de forma que o GPO seja aplicado apenas a um único grupo, usuário ou computador. Não é possível usar o filtro de segurança seletivamente em diferentes configurações de um GPO.
O GPO aplica-se a um usuário ou computador apenas se eles tiverem as permissões Ler e Aplicar Diretiva de Grupo (AGP) no GPO, explícita ou efetivamente por meio da associação de grupo. Por padrão, todos os GPOs têm as opções Ler e AGP definidas como Permitido para o grupo Usuários Autenticados, que inclui usuários e computadores. Desse modo, todos os usuários autenticados recebem as configurações de um novo GPO quando o GPO é aplicado a uma unidade organizacional, um domínio ou um site.
Por padrão, Admins do Domínio, Admins da Empresa e o sistema local têm permissões de controle total, sem a entrada de controle de acesso (ACE) Aplicar Diretiva de Grupo. Os administradores também são membros do grupo Usuários Autenticados. Isso quer dizer que, por padrão, eles recebem as configurações do GPO. É possível alterar essas permissões para limitar o escopo a determinado conjunto de usuários, grupos ou computadores da unidade organizacional, domínio ou site.
O Console de Gerenciamento de Diretiva de Grupo (GPMC) gerencia essas permissões como uma única unidade e exibe o filtro de segurança para o GPO na guia Escopo do GPO. No GPMC, grupos, usuários e computadores podem ser adicionados ou removidos como filtros de segurança para cada GPO. Para obter informações sobre o GPMC, consulte a seção Ferramentas de gerenciamento de Diretiva de Grupo.
Filtro WMI
Instrumentação de Gerenciamento do Windows (WMI) é a implementação da Microsoft da iniciativa do setor de Web-Based Enterprise Management que estabelece padrões de infraestrutura de gerenciamento e oferece um modo de agrupar informações de vários sistemas de gerenciamento de hardware e software. O WMI expõe dados de configuração de hardware como CPU, memória, espaço no disco e fabricante, além de dados de configuração de software do Registro, drivers, sistema de arquivos, Active Directory, serviço Windows Installer, configuração de rede e dados de aplicativo. Os dados sobre um computador de destino podem ser usados para fins administrativos, como o filtro WMI de GPOs.
O filtro WMI é usado para filtrar a aplicação de um GPO, anexando uma WQL (consulta de linguagem) WMI em um GPO. As consultas podem ser usadas para examinar a WMI por vários itens. Se a consulta retornar um valor verdadeiro para todos os itens consultados, o GPO será aplicado ao usuário ou computador de destino.
Um GPO é vinculado a um filtro WMI e aplicado ao computador de destino e o filtro é avaliado no computador de destino. Se a avaliação do filtro WMI retornar um valor de falso, o GPO não será aplicado (exceto se o computador cliente estiver executando o Windows 2000, pois, nesse caso, o filtro é ignorado e o GPO é sempre aplicado). Se a avaliação do filtro WMI retornar um valor verdadeiro, o GPO será aplicado.
O filtro WMI é um objeto separado do GPO no diretório e deve ser vinculado a um GPO para ser aplicado. Tanto o filtro WMI quanto o GPO ao qual ele está vinculado devem estar no mesmo domínio. Os filtros WMI são armazenados apenas em domínios. Cada GPO pode ter somente um filtro WMI. O mesmo filtro WMI pode ser vinculado a vários GPOs.
Processamento de loopback
Processamento de loopback é uma configuração avançada de Diretiva de Grupo útil para computadores em ambientes estritamente gerenciados, como servidores, quiosques, laboratórios, salas de aula e recepções. A definição do loopback faz com que as configurações de diretiva de Configuração do Usuário dos GPOs atribuídos ao computador sejam aplicadas a cada usuário que fizer logon nesse computador, no lugar das configurações (no modo Substituir) ou em conjunto com as configurações (no modo Mesclar) do usuário em Configuração do Usuário. Os administradores podem usar esse recurso para garantir que um conjunto consistente de configurações de diretiva seja aplicado a todos os usuários que fizerem logon em determinado computador, independentemente do local do usuário no Active Directory.
Para definir o processamento de loopback, os administradores podem usar a configuração de diretiva Modo de processamento de loopback de Diretiva de Grupo de usuários, acessada em Configuração do Computador\Modelos Administrativos\Sistema\Diretiva de Grupo no Editor de Objeto de Diretiva de Grupo.
Para usar o recurso de processamento de loopback, tanto a conta do usuário quanto a conta do computador devem ser de um domínio do Windows 2000 ou posterior. O loopback não funciona em computadores associados a um grupo de trabalho.
Para obter mais informações sobre como direcionar a aplicação de GPOs, consulte Controlando o escopo de objetos de Diretiva de Grupo usando o GPMC (em inglês) (https://go.microsoft.com/fwlink/?linkid=80462\&clcid=0x416) (em inglês) no site do Microsoft TechNet.
Extensão de Modelos Administrativos
A extensão de Modelos Administrativos da Diretiva de Grupo consiste em um snap-in de servidor MMC usado para definir as configurações de diretiva e uma extensão de cliente, que define as chaves do Registro em computadores de destino. A diretiva dos Modelos Administrativos também é conhecida como diretiva com base no Registro ou diretiva do Registro.
As configurações de diretiva do Microsoft Office 2007 estão em arquivos de Modelo Administrativo, que podem ser baixados em Modelos Administrativos (ADM) do sistema Office 2007 (https://go.microsoft.com/fwlink/?linkid=78161\&clcid=0x416) no Centro de Download da Microsoft.
Arquivos de Modelo Administrativo
Os arquivos de Modelo Administrativo (.adm) são arquivos Unicode constituídos de uma hierarquia de categorias e subcategorias que definem como as opções são exibidas por meio do Editor de Objeto de Diretiva de Grupo e do GPMC. Eles também indicam os locais do Registro onde as alterações deverão ser efetuadas caso seja feita uma seleção, especificam as opções ou restrições (em valores) associadas à seleção e, em alguns casos, se uma seleção for ativada, indicam um valor padrão a ser usado.
A funcionalidade dos arquivos .adm é limitada. A finalidade dos arquivos .adm é habilitar a interface do usuário para definir as configurações de diretiva. Os arquivos .adm não têm configurações de diretiva, elas estão contidas nos arquivos registry.pol localizados na pasta Sysvol dos controladores de domínio.
O snap-in de servidor dos Modelos Administrativos tem um nó Modelos Administrativos que aparece no Editor de Objeto de Diretiva de Grupo abaixo dos nós Configuração do Computador e Configuração do Usuário. As configurações em Configuração do Computador manipulam as configurações do Registro do computador. As configurações em Configuração do Usuário manipulam as configurações do Registro dos usuários. Ainda que algumas configurações de diretiva exijam elementos simples de interface do usuário, como caixas de texto para entrada de valores, a maioria das configurações de diretiva contém apenas as seguintes opções:
Habilitado: a diretiva é imposta. Algumas configurações de diretiva fornecem opções adicionais que definem o comportamento quando a diretiva é ativada.
Desabilitado: impõe o comportamento oposto como o estado Habilitado para a maioria das configurações de diretiva. Por exemplo, se Habilitado força o estado de um recurso para Desativado, Desabilitado força o estado de um recurso para Ativado.
Não configurado: a diretiva não é imposta. O padrão não é definido para a maioria das configurações.
Arquivos de Modelo Administrativo para o sistema Office 2007
Os seguintes arquivos de Modelo Administrativo estão disponíveis no 2007 Office system:
office12.adm: componentes compartilhados do Office
access12.adm: Microsoft Office Access 2007
cpao12.adm: Calendar Printing Assistant for Microsoft Office Outlook 2007
excel12.adm: Microsoft Office Excel 2007
groove12.adm: Microsoft Office Groove 2007
ic12.adm: Microsoft Office InterConnect 2007
inf12.adm: Microsoft Office InfoPath 2007
onent12.adm: Microsoft Office OneNote 2007
outlk12.adm: Microsoft Office Outlook 2007
ppt12.adm: Microsoft Office PowerPoint 2007
proj12.adm: Microsoft Office Project 2007
pub12.adm: Microsoft Office Publisher 2007
spd12.adm: Microsoft Office SharePoint Designer 2007
visio12.adm: Microsoft Office Visio 2007
word12.adm: Microsoft Office Word 2007
Os administradores podem usar as configurações de diretiva do 2007 Office system para tarefas como:
Gerenciamento de configurações de segurança para os aplicativos do 2007 Office system
Impedimento de conexões à Internet a partir dos aplicativos do 2007 Office system
Ocultação ou desabilitação das configurações da interface do usuário do 2007 Office system que podem ser confusas ou desnecessárias para a realização do trabalho dos usuários
Criação de configurações padrão altamente gerenciadas ou menos restritivas de computadores dos usuários
Definição de opções padrão Salvar Arquivo para os aplicativos do 2007 Office system visando se preparar para a migração de versões anteriores do Office
Por exemplo, os administradores podem usar a Diretiva de Grupo para desabilitar, habilitar ou definir grande parte das configurações que controlam a interface do usuário do Office, como:
Comandos de menu
Teclas de atalho
Configurações de opções de caixa de diálogo
O grande número de configurações de Diretiva de Grupo disponível no 2007 Office system proporciona um alto grau de flexibilidade. Os administradores podem criar configurações altamente restritivas ou levemente gerenciadas, dependendo dos requisitos comerciais específicos e dos objetivos de segurança das organizações.
Para baixar os arquivos de Modelo Administrativo do 2007 Office system, consulte Modelos Administrativos (ADM) do sistema Office 2007 no Centro de Download da Microsoft.
Também é possível baixar o arquivo de Modelo Administrativo (ADM) dos conversores de formato XML Aberto do sistema Microsoft Office 2007 no Centro de Download da Microsoft. Os administradores podem usar este modelo para modificar o comportamento padrão dos conversores de formato XML Aberto do Microsoft Office Word, Excel e PowerPoint 2007.
Os administradores podem modificar os arquivos de Modelo Administrativo do Microsoft Office 2003 e Microsoft Office XP para definir as opções padrão Salvar Arquivo Como a fim de incluir os formatos Open XML dos programas 2007 Office system. Para obter mais informações, consulte o artigo 932127 da Base de Dados de Conhecimento sobre como modificar um arquivo de diretiva existente do Office (arquivo ADM) para o Office 2003 e o Office XP para definir o formato de arquivo padrão Salvar Como a fim de incluir novos formatos de arquivo XML Aberto dos programas Microsoft Office 2007 no site da Base de Dados de Conhecimento da Microsoft.
Para obter mais informações sobre Modelos Administrativos, consulte a Referência técnica da extensão de modelos administrativos (em inglês) (https://go.microsoft.com/fwlink/?linkid=56088\&clcid=0x416) (em inglês).
O Windows Vista e o Windows Server 2008 apresentam um novo formato baseado em XML para arquivos de Modelo Administrativo, conforme discutido na próxima seção.
Arquivos de Modelo Administrativo: alterações no Windows Vista e Windows Server 2008
Lançado pela primeira vez no Windows NT 4.0, os arquivos de Modelo Administrativo usavam um formato de arquivo exclusivo conhecido como arquivos .adm. Nos sistemas operacionais Windows Vista e Windows Server 2008, esses arquivos foram substituídos pelos arquivos ADMX, que usam um formato de arquivo baseado em XML para exibir as configurações de diretiva com base no Registro. Esses novos arquivos de Modelo Administrativo facilitam o gerenciamento das configurações de diretiva com base no Registro no Windows Vista e Windows Server 2008. As configurações de diretiva dos arquivos ADM e ADMX do Office 2007 ainda são as mesmas.
Os novos arquivos ADMX e ADML substituem os arquivos .adm anteriores e são divididos em arquivos de recurso com neutralidade de idioma (ADMX) e específicos de um idioma (ADML). Com esses novos tipos de arquivos, as ferramentas da Diretiva de Grupo podem ajustar a interface do usuário de acordo com o idioma configurado pelo administrador.
O Editor de Objeto de Diretiva de Grupo e o Console de Gerenciamento de Diretiva de Grupo continuam reconhecendo os arquivos .adm anteriores que você possa ter no ambiente atual. Os arquivos .adm personalizados (ou os arquivos .adm que não foram fornecidos por padrão pelo sistema operacional) em um GPO são usados pelo Editor de Objeto de Diretiva de Grupo e pelo Console de Gerenciamento de Diretiva de Grupo. As ferramentas não reconhecem os arquivos .adm anteriores que foram incluídos por padrão no sistema operacional, como o System.adm e o Inetres.adm.
Os administradores podem gerenciar as configurações de Diretiva de Grupo que afetam os sistemas operacionais Windows Vista e anteriores a partir de uma estação de trabalho que executa o Windows Vista. Há suporte para os arquivos ADMX somente no sistema operacional Windows Vista. Não surtirá nenhum efeito se você copiar os arquivos ADMX para um sistema operacional anterior.
Observação: |
---|
Os administradores podem converter os arquivos ADM para o formato ADMX usando a ferramenta Migrador ADMX. Essa ferramenta tem um editor ADMX com uma interface gráfica do usuário para a criação e edição de modelos administrativos. Para obter mais informações, consulte Migrador ADMX (https://go.microsoft.com/fwlink/?linkid=77409&clcid=0x416). |
Armazenamento de arquivos ADMX e ADML no Windows Vista
O armazenamento central é uma pasta criada na pasta Sysvol de um controlador de domínio do Active Directory. Essa pasta oferece um local de armazenamento único e centralizado para os arquivos ADMX e ADML do domínio. Os administradores podem criar um armazenamento central em um controlador de domínio que executa o Windows Server 2003 R2, o Windows Server 2003 SP1 ou o Windows 2000 Server. A criação do armazenamento central não exige o Windows Server 2008.
Para obter mais informações sobre como administrar os arquivos ADMX no Vista, consulte Guia Passo a Passo de Gerenciamento de Arquivos ADMX da Diretiva de Grupo (em inglês), Requisitos para edição de objetos de Diretiva de Grupo usando arquivos ADMX (em inglês) e Cenário 2: editando GPOs baseados em domínio com arquivos ADMX (em inglês) no site do Microsoft TechNet.
Preferências do usuário e diretivas verdadeiras
As configurações de Diretiva de Grupo que os administradores podem gerenciar totalmente são chamadas de diretivas verdadeiras. As configurações que os usuários definem ou que refletem o estado padrão do sistema operacional no momento da instalação são chamadas de preferências. Tanto as diretivas verdadeiras quanto as preferências contêm informações que modificam o Registro nos computadores dos usuários. Há distinções importantes entre diretivas verdadeiras e preferências. As configurações de diretiva verdadeira têm prioridade sobre as de preferência.
Os valores do Registro para as diretivas verdadeiras são armazenados sob chaves do Registro aprovadas da Diretiva de Grupo. Os usuários não podem alterar nem desabilitar estas configurações:
Para configurações de diretivas do computador:
HKEY_LOCAL_MACHINE\Software\Policies (o local de preferência)
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies
Para configurações de diretivas de usuário:
HKEY_CURRENT_USER\Software\Policies (o local de preferência)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
As preferências são definidas pelos usuários ou pelo sistema operacional no momento da instalação. Os valores do Registro que armazenam as preferências estão localizados fora das chaves de Diretiva de Grupo aprovadas mostradas na tabela anterior. Os usuários podem alterar suas preferências.
Os administradores podem gravar um arquivo .adm que define os valores do Registro fora das árvores do Registro aprovadas da Diretiva de Grupo. Nesse caso, esse método apenas garante que uma chave ou um valor do Registro seja definido de maneira específica. Com essa abordagem, o administrador define as configurações de preferência, em vez das configurações de diretiva verdadeira, e marca o Registro com essas configurações. Isso quer dizer que as configurações permanecem no Registro, mesmo que a configuração de preferência seja desabilitada ou excluída.
Se você definir as configurações de preferência usando um GPO dessa maneira, os GPOs que você criar não terão restrições de ACL (lista de controle de acesso). Portanto, os usuários devem conseguir alterar esses valores no Registro. Quando o GPO fica fora do escopo (se o GPO for desvinculado, desabilitado ou excluído), esses valores não são removidos do Registro.
Em comparação, as configurações de diretiva do Registro verdadeiras têm restrições ACL para impedir que os usuários alterem as configurações. Os valores de diretiva são removidos quando o GPO que os define fica fora do escopo. Por esse motivo, as diretivas verdadeiras são consideradas configurações de diretiva que podem ser totalmente gerenciadas. Por padrão, o Editor de Objeto de Diretiva de Grupo mostra apenas as configurações de diretiva que podem ser totalmente gerenciadas.
Para exibir as preferências no Editor de Objeto de Diretiva de Grupo, clique no nó Modelos Administrativos, em Exibir, Filtragem e desmarque Só mostrar configurações de diretiva que podem ser 100% gerenciadas.
As configurações de diretiva verdadeira têm prioridade sobre as preferências; entretanto, elas não substituem nem modificam as chaves do Registro usadas pelas preferências. Se uma configuração de diretiva implantada entrar em conflito com uma configuração de preferência, a configuração de diretiva terá prioridade sobre a preferência. Se tanto a diretiva quanto a preferência estiverem presentes, a preferência será restaurada com sucesso se a diretiva for removida ou desabilitada. As configurações de preferência permanecem no Registro até que sejam revertidas por uma configuração de diretiva contraditória ou pela edição do Registro.
A tabela a seguir resume os efeitos das configurações de diretiva e preferências.
Política de Grupo presente | Preferência presente | Comportamento resultante |
---|---|---|
Não |
Não |
Padrão |
Não |
Sim |
A configuração de preferência define o comportamento. |
Sim |
Não |
A configuração de diretiva define o comportamento. |
Sim |
Sim |
A configuração de diretiva define o comportamento. A configuração de preferência é ignorada. |
Para o Office System 2007, todas as configurações de diretiva específicas do usuário são armazenadas na subchave HKEY_CURRENT_USER\Software\Policies\Microsoft\Office\12.0. As diretivas específicas do computador são armazenadas na subchave HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\12.0. Por padrão, as duas subchaves de diretiva estão bloqueadas para evitar que os usuários as modifiquem.
Ferramentas de gerenciamento de Diretiva de Grupo
Os administradores usam as seguintes ferramentas para administrar a Diretiva de Grupo: snap-ins do Console de Gerenciamento de Diretiva de Grupo (GPMC) e do Console de Gerenciamento Microsoft (MMC) para o Editor de Objeto de Diretiva de Grupo. Os administradores usam o Console de Gerenciamento de Diretiva de Grupo para gerenciar a maioria das tarefas de gerenciamento de Diretiva de Grupo. O Editor de Objeto de Diretiva de Grupo é usado para definir as configurações de diretiva nos objetos de Diretiva de Grupo.
Console de Gerenciamento de Diretiva de Grupo
O GPMC simplifica o gerenciamento da Diretiva de Grupo, pois fornece uma única ferramenta para gerenciar os principais aspectos da Diretiva de Grupo, como escopo, delegação, filtro e manipulação de herança de GPOs. O GPMC também pode ser usado para fazer backup (exportar), restaurar, importar e copiar GPOs. Os administradores podem usar o GPMC para prever como os GPOs vão afetar a rede e determinar como os GPOs alteraram as configurações em um computador ou usuário. O GPMC é a ferramenta preferida para gerenciamento da maioria das tarefas da Diretiva de Grupo em um ambiente de domínio.
O GPMC apresenta uma visão dos GPOs, sites, domínios e OUs de toda a empresa e pode ser usado para gerenciar domínios do Windows Server 2003 ou Windows 2000. Os administradores usam o GPMC para realizar todas as tarefas de gerenciamento de Diretiva de Grupo, com exceção da definição individual das configurações de diretiva em objetos de Diretiva de Grupo, que é feita com o Editor de Objeto de Diretiva de Grupo. O GPMC chama o Editor de Objeto de Diretiva de Grupo, e você pode usar essa ferramenta a partir do GPMC.
Os administradores usam o GPMC para criar um GPO sem configurações iniciais. Um administrador também pode criar um GPO e vinculá-lo a um contêiner do Active Directory ao mesmo tempo. Para definir as configurações individuais dentro de um GPO, o administrador edita o GPO pelo GPMC. O Editor de Objeto de Diretiva de Grupo é exibido já com o GPO carregado.
Um administrador pode usar o GPMC para vincular GPOs a sites, domínios ou OUs no Active Directory. Os administradores devem vincular GPOs para aplicar as configurações aos usuários e computadores nos contêineres do Active Directory.
O GPMC inclui os seguintes recursos do Conjunto de Diretivas Resultante (RSoP) fornecidos pelo Windows:
Modelagem da Diretiva de Grupo. Faz uma simulação de quais configurações de diretiva serão aplicadas sob circunstâncias especificadas pelo administrador. Os administradores podem usar a Modelagem da Diretiva de Grupo para simular os dados do RSoP que seriam aplicados em uma configuração existente ou podem analisar os efeitos das supostas alterações simuladas no ambiente de diretório. A Modelagem da Diretiva de Grupo exige no mínimo um controlador de domínio executando o Windows Server 2003, pois essa simulação é realizada por um serviço executado em um controlador de domínio que executa o Windows Server 2003. Para obter mais informações, consulte Modelagem da Diretiva de Grupo (em inglês) (https://go.microsoft.com/fwlink/?linkid=82672\&clcid=0x416) (em inglês) no site do Microsoft TechNet.
Resultados de Diretiva de Grupo. Representam os dados reais de diretiva aplicados a um computador e usuário. Os dados são obtidos por meio da consulta ao computador de destino e da recuperação dos dados do RSoP que foram aplicados ao computador. O recurso Resultados de Diretiva de Grupo é fornecido pelo sistema operacional cliente e exige o Windows XP, o Windows Server 2003 ou versões posteriores do sistema operacional. Para obter mais informações, consulte Resultados de Diretiva de Grupo (em inglês) (https://go.microsoft.com/fwlink/?linkid=82673\&clcid=0x416) (em inglês) no site do Microsoft TechNet.
O GPMC foi originalmente disponibilizado como um componente de download separado para Microsoft Windows Server 2003 e Windows XP. Para baixar o GPMC, consulte Download do Console de Gerenciamento de Diretiva de Grupo (GPMC) (https://go.microsoft.com/fwlink/?linkid=58541\&clcid=0x416) no site do Centro de Download da Microsoft.
No Windows Vista e Windows Server 2008, o GPMC está integrado diretamente ao sistema operacional e é a ferramenta padrão para o gerenciamento de tarefas de Diretiva de Grupo com o Editor de Objeto de Diretiva de Grupo.
Para obter mais informações sobre o GPMC, consulte o Guia Passo a Passo de Uso do Console de Gerenciamento de Diretiva de Grupo (em inglês) (https://go.microsoft.com/fwlink/?linkid=75196\&clcid=0x416) (em inglês) no site do Microsoft TechNet.
Editor de Objeto de Diretiva de Grupo
O Editor de Objeto de Diretiva de Grupo é um snap-in do MMC usado para definir configurações de diretiva em objetos de Diretiva de Grupo. O Editor de Objeto de Diretiva de Grupo está em gpedit.dll e é instalado com os sistemas operacionais Windows 2000, Windows XP, Windows Server 2003, Windows Vista e Windows Server 2008.
Em computadores que executam o Windows 2000, o Windows XP com o Pacote de Ferramentas Administrativas do Windows Server 2003 instalado e o Windows Server 2003, você pode acessar o Editor de Objeto de Diretiva de Grupo a partir dos snap-ins Usuários e Computadores do Active Directory e Serviços e Sites do Active Directory.
Para definir as configurações de Diretiva de Grupo em um computador local que não seja membro de um domínio, use o Editor de Objeto de Diretiva de Grupo para gerenciar um GPO local (ou vários GPOs em computadores que executam o Windows Vista ou Windows Server 2008). Para definir as configurações de Diretiva de Grupo em um ambiente de domínio, o GPMC, que chama o Editor de Objeto de Diretiva de Grupo, é a ferramenta preferida para as tarefas de gerenciamento de Diretiva de Grupo.
O Editor de Objeto de Diretiva de Grupo oferece aos administradores uma estrutura de árvore hierárquica para definir as configurações de Diretiva de Grupo nos GPOs. Esses GPOs poderão, em seguida, ser vinculados a sites, domínios e OUs que contêm os objetos de computador ou usuário.
O Editor de Objeto de Diretiva de Grupo consiste em dois nós principais: Configuração do Usuário, que contém as configurações a serem aplicadas aos usuários no logon e na atualização periódica em plano de fundo, e Configuração do Computador, que contém as configurações a serem aplicadas aos computadores na inicialização e na atualização periódica em plano de fundo. Os nós principais são divididos em pastas com tipos diferentes de configurações de diretiva que podem ser definidas. Essas pastas incluem:
Configurações de software, que contêm as configurações de instalação de software
Configurações do Windows, que contêm as Configurações de Segurança e as configurações de diretiva de Scripts
Modelos Administrativos, que contêm as configurações de diretiva com base no Registro
Para obter mais informações sobre o Editor de Objeto de Diretiva de Grupo, consulte Diretiva de Grupo (pré-GPMC) (em inglês) (https://go.microsoft.com/fwlink/?linkid=72742\&clcid=0x416) (em inglês) no site do Windows Server 2003 do Microsoft TechNet.
Ferramenta de Personalização do Office e Diretiva de Grupo
Os administradores podem usar duas ferramentas para personalizar configurações de usuário em aplicativos do 2007 Office system: Ferramenta de Personalização do Office (OCT) e Diretiva de Grupo. Embora as duas definam configurações de usuário, há distinções importantes.
A Ferramenta de Personalização do Office é usada para criar um arquivo de personalização de Instalação (arquivo MSP). Os administradores podem usar a OCT para personalizar recursos e definir configurações de usuário. Os usuários podem modificar a maioria das configurações depois da instalação. Isso porque a OCT define as configurações em partes publicamente acessíveis do Registro, como HKEY_CURRENT_USER/Software/Microsoft/Office/12.0. Essa ferramenta é geralmente usada em organizações que não gerenciam configurações de área de trabalho centralmente. Para obter mais informações, consulte Ferramenta de Personalização do Office no 2007 Office system.
A Diretiva de Grupo é usada para definir as configurações de diretiva do 2007 Office system contidas nos Modelos Administrativos, e o sistema operacional impõe essas configurações de diretiva. Em um ambiente do Active Directory, os administradores podem aplicar as configurações de diretiva a grupos de usuários e computadores de um site, domínio ou unidade organizacional à qual o objeto de Diretiva de Grupo está vinculado. As configurações de diretiva de grupo são gravadas nas chaves do Registro aprovadas para a diretiva e essas configurações têm restrições ACL que impedem usuários não-administradores de alterá-las. Os administradores podem usar a Diretiva de Grupo para criar configurações de área de trabalho altamente gerenciadas. Eles também podem criar configurações levemente gerenciadas para atender a requisitos comerciais e de segurança de suas organizações.
Baixar este manual
Este tópico está incluído no seguinte manual baixável para facilitar a leitura e a impressão:
Consulte a lista completa de manuais disponíveis na seção de informações sobre o Office Resource Kit.
Consulte também
Conceitos
Impor configurações usando a Diretiva de Grupo no Office System 2007
Desabilitar teclas de atalho e itens de interface do usuário
Planejando a segurança no sistema 2007 Office
Planejar a definição de configurações de segurança no Outlook 2007
Usando Diretiva de Grupo para definir opções padrão de salvamento de arquivos