Partilhar via


Visão geral da Diretiva de Grupo do Office System 2010

 

Aplica-se a: Office 2010

Tópico modificado em: 2015-03-09

A Política de Grupo habilita os administradores a aplicar configurações ou definições de política aos usuários e computadores de um ambiente de diretório Active Directory. Os administradores que planejam o uso da Política de Grupo para gerenciar aplicativos do O Microsoft Office 2010 podem rever este artigo para obter uma rápida visão geral dos conceitos de Política de Grupo. As respostas às perguntas frequentes sobre a Política de Grupo e o Office 2010 estão disponíveis em Perguntas Frequentes: Política de Grupo (Office 2010).

Neste artigo:

  • Política de Grupo local e baseada no Active Directory

  • Processamento de Política de Grupo

  • Alterando como a Política de Grupo processa GPOs

  • Modelos administrativos

  • Políticas verdadeiras vs. preferências do usuário

  • Ferramentas de gerenciamento de Política de Grupo

  • Ferramenta de Personalização do Office e Política de Grupo

Política de Grupo local e baseada no Active Directory

A Política de Grupo é uma infraestrutura usada para fornecer e aplicar uma ou mais configurações desejadas ou configurações de política a um conjunto de usuários e computadores de destino em um ambiente de serviço de diretório do Active Directory. A infraestrutura de Política de Grupo consiste em um mecanismo de Política de Grupo e em várias extensões individuais. Essas extensões são usadas para definir configurações de Política de Grupo, seja modificando o Registro por meio da extensão de Modelos Administrativos, seja definindo configurações de Política de Grupo para configurações de segurança, instalação de software, redirecionamento de pasta, Manutenção do Internet Explorer, configurações de rede sem fio e outras áreas.

Cada instalação de Política de Grupo consiste em duas extensões:

  • Uma extensão de servidor do snap-in do Console de Gerenciamento Microsoft (MMC) para o Editor de Objeto de Política de Grupo, usada para definir as configurações de política aplicadas aos computadores cliente.

  • Uma extensão de cliente chamada pelo mecanismo da Política de Grupo para aplicar as configurações de política.

As configurações de Política de Grupo ficam contidas em objetos de Política de Grupo (GPOs), que são vinculados a contêineres selecionados no Active Directory, como sites, domínios ou unidades organizacionais. Quando um GPO é criado, ele é armazenado no domínio. Quando o GPO é vinculado a um contêiner do Active Directory, como uma unidade organizacional, o vínculo é um componente desse contêiner do Active Directory, não um componente do GPO. As configurações dentro de GPOs são avaliadas pelos alvos afetados por meio da natureza hierárquica do Active Directory. Por exemplo, é possível criar um GPO chamado Configurações do Office 2010 que contenha somente configurações para aplicativos do Office 2010. Você poderá então aplicar esse GPO a um site específico, para que os usuários contidos nesse site recebam as configurações do Office 2010 especificadas no GPO Configurações do Office 2010.

Cada computador tem um GPO local que é sempre processado, independentemente de o computador ser membro de um domínio ou ser um computador autônomo. O GPO local não pode ser bloqueado pelos GPOs baseados em domínio. Entretanto, as configurações de GPOs de domínio sempre têm precedência porque são processadas depois do GPO local.

Observação

O Windows Vista, o Windows Server 2008 e o Windows 7 dão suporte ao gerenciamento de GPOs em vários locais em computadores autônomos. Para obter mais informações, consulte o guia passo a passo para gerenciar objetos de política de grupo em vários locais (https://go.microsoft.com/fwlink/?linkid=182215&clcid=0x416).

Embora seja possível configurar GPOs locais em computadores individuais, os benefícios máximos da Política de Grupo são obtidos em uma rede baseada no Windows Server 2008 ou no Windows Server 2003 que tenha o Active Directory instalado.

Processamento de Política de Grupo

A Política de Grupo de computadores é aplicada na inicialização do computador. A Política de Grupo de usuários é aplicada quando os usuários fazem logon. Além do processamento inicial da Política de Grupo na inicialização e no logon, a Política de Grupo é aplicada subsequentemente em segundo plano de forma periódica. Durante a atualização em segundo plano, uma extensão do cliente reaplicará as configurações de política apenas se detectar uma alteração no servidor em qualquer um de seus GPOs ou em sua lista de GPOs. Para instalação de software e redirecionamento de pasta, o processamento de Política de Grupo ocorre somente durante a inicialização do computador ou durante o logon do usuário.

As configurações de Política de Grupo são processadas na seguinte ordem:

  • GPO Local   Cada computador tem um GPO armazenado localmente. Esse GPO é processado para a Política de Grupo de computadores e de usuários.

  • Site   Os GPOs vinculados ao site ao qual o computador pertence são processados em seguida. O processamento é concluído na ordem especificada pelo administrador, na guia Objetos de Política de Grupo Vinculados do site no GPMC (Console de Gerenciamento de Política de Grupo). O GPO que tem a ordem dos links mais baixa é processado por último e tem a precedência mais alta. Para obter informações sobre como usar o GPMC, consulte Ferramentas de gerenciamento de Política de Grupo, mais adiante neste artigo.

  • Domínio   Vários GPOs vinculados a um domínio são processados na ordem especificada pelo administrador, na guia Objetos de Política de Grupo Vinculados do domínio no GPMC. O GPO que tem a ordem dos links mais baixa é processado por último e tem a precedência mais alta.

  • Unidades organizacionais   Os GPOs vinculados à unidade organizacional mais alta na hierarquia do Active Directory são processados primeiro. Em seguida, são processados os GPOs vinculados à unidade organizacional filho e assim por diante. Os GPOs vinculados à unidade organizacional que contém o usuário ou o computador são processados por último.

A ordem de processamento está sujeita às seguintes condições:

  • Filtro WMI (Instrumentação de Gerenciamento do Windows) ou de segurança aplicado a GPOs.

  • Qualquer GPO baseado em domínio (exceto GPO local) pode ser imposto usando a opção Impor. Assim, suas configurações de política não poderão ser substituídas. Como um GPO Imposto é processado por último, nenhuma outra configuração pode substituir as configurações desse GPO. Se houver mais de um GPO Imposto, a mesma configuração de cada GPO poderá ser definida como um valor diferente. Nesse caso, a ordem dos links dos GPOs determina qual GPO contém as configurações finais.

  • Em qualquer domínio ou unidade organizacional, a herança de Política de Grupo pode ser seletivamente designada como Bloquear Herança. Contudo, como os GPOs Impostos sempre são aplicados e não podem ser bloqueados, o bloqueio da herança não impede a aplicação das configurações de política dos GPOs Impostos.

Herança de política

As configurações de política em vigor para um determinado usuário e computador são o resultado da combinação de GPOs aplicados a um site, domínio ou unidade organizacional. Quando vários GPOs são aplicados a usuários e computadores nesses contêineres do Active Directory, as configurações dos GPOs são agregadas. Por padrão, as configurações implantadas em GPOs vinculados a contêineres de nível superior (contêineres pai) no Active Directory são herdadas pelos contêineres filho e combinadas com configurações implantadas nos GPOs vinculados aos contêineres filho. Se vários GPOs tentarem definir uma configuração de política que tenha valores conflitantes, o GPO com a precedência mais alta definirá a configuração. Os GPOs processados por último têm precedência sobre os GPOs processados primeiro.

Processamento síncrono e assíncrono

Os processos síncronos podem ser descritos como uma série de processos em que a execução de um processo deve ser concluída antes que a próxima comece. Os processos assíncronos podem ser executados em threads diferentes ao mesmo tempo, já que seu resultado não depende de outros processos. Os administradores podem usar uma configuração de política para cada GPO para alterar o comportamento padrão do processamento de síncrono para assíncrono.

No processamento síncrono, existe um limite de tempo de 60 minutos para que todas as Políticas de Grupo concluam o processamento no computador cliente. As extensões de cliente que não tiverem terminado o processamento depois de 60 minutos serão indicadas para parar. Nesse caso, as configurações de política associadas podem não ser totalmente aplicadas.

Recurso Otimização de Logon Rápido

Por padrão, o recurso Otimização de Logon Rápido é definido para membros do domínio e do grupo de trabalho. O resultado é a aplicação assíncrona da política quando o computador é inicializado e o usuário faz logon. Essa aplicação de política é semelhante à atualização em segundo plano. Ela pode reduzir o tempo gasto para a caixa de diálogo de logon ser exibida e a área de trabalho ficar disponível para o usuário.

Os administradores podem desabilitar o recurso Otimização de Logon Rápido usando a configuração de política Sempre esperar pela rede ao iniciar o computador e fazer logon, que pode ser acessada pelo nó Configuração do Computador\Modelos Administrativos\Sistema\Logon do Editor de Objeto de Política de Grupo.

Algumas extensões de Política de Grupo não são processadas quando a velocidade de conexão fica abaixo dos limites especificados. O valor padrão do que a Política de Grupo considera um vínculo lento é qualquer taxa inferior a 500 Kilobits por segundo (Kbps).

Intervalo de atualização da Política de Grupo

Por padrão, a Política de Grupo é processada a cada 90 minutos, com um atraso aleatório de até 30 minutos, para um intervalo máximo de atualização total de até 120 minutos.

Para configurações de segurança, depois que você tiver editado as políticas das configurações de segurança, as configurações de política serão atualizadas nos computadores da unidade organizacional à qual o GPO está vinculado:

  • Quando um computador é reiniciado.

  • A cada 90 minutos em uma estação de trabalho ou servidor e a cada cinco minutos em um controlador de domínio.

  • Por padrão, as configurações de política de segurança viabilizadas pela Política de Grupo também são aplicadas a cada 16 horas (960 minutos), mesmo se um GPO não tiver sido alterado.

Disparando uma atualização de Política de Grupo

As alterações feitas no GPO devem ser primeiramente replicadas no controlador de domínio apropriado. Portanto, as alterações nas configurações de Política de Grupo podem não ser disponibilizadas de imediato nos desktops dos usuários. Em alguns cenários, como na aplicação das configurações de política de segurança, pode ser preciso aplicar as configurações de política imediatamente.

Os administradores podem disparar a atualização de política manualmente de um computador local sem esperar pela atualização automática em segundo plano. Para isso, os administradores podem digitar gpupdate na linha de comando para atualizar as configurações de política do usuário ou do computador. Não é possível usar o GPMC para disparar uma atualização de política.

O comando gpupdate dispara uma atualização de política em segundo plano no computador local em que o comando é executado. O comando gpupdate é usado em ambientes do Windows Server 2003 e do Windows XP.

A aplicação da Política de Grupo não pode ser enviada a clientes sob demanda a partir do servidor.

Alterando como a Política de Grupo processa GPOs

O principal método para especificar os usuários e computadores que receberão as configurações de um GPO é vincular o GPO a sites, domínios e unidades organizacionais.

Você pode alterar a ordem padrão na qual os GPOs são processados usando qualquer um dos seguintes métodos:

  • Alterar a ordem dos links.

  • Bloquear herança.

  • Impor o link de um GPO.

  • Desabilitar o link de um GPO.

  • Usar filtro de segurança.

  • Usar filtro WMI (Instrumentação de Gerenciamento do Windows).

  • Usar processamento de loopback.

Cada um desses métodos é descrito nas subseções a seguir.

A ordem dos links de GPO em um site, domínio ou unidade organizacional controla quando os links são aplicados. Os administradores podem alterar a precedência de um link alterando a ordem dos links, ou seja, movendo cada link para cima ou para baixo na lista até o local apropriado. O link que tenha a ordem superior (1 é a ordem superior) tem maior precedência em um site, domínio ou unidade organizacional.

Bloquear herança

A aplicação de herança de bloqueio a um domínio ou unidade organizacional impede que GPOs vinculados a sites, domínios ou unidades organizacionais superiores sejam automaticamente herdados pelo contêiner do Active Directory de nível filho.

Você pode especificar que as configurações em um link de GPO têm precedência sobre as configurações de qualquer objeto filho configurando esse link como Imposto. Os links de GPOs impostos não podem ser bloqueados do contêiner pai. Se os GPOs contiverem configurações conflitantes e nenhuma imposição de um contêiner de nível superior, as configurações dos links de GPO no contêiner pai de nível superior serão substituídas nos GPOs vinculados a unidades organizacionais filho. Ao usar a imposição, o link de GPO pai sempre terá precedência. Por padrão, os links de GPO não são impostos.

Para bloquear completamente como os usuários aplicam um GPO a um site, domínio ou unidade organizacional, desabilite o link de GPO para esse domínio, site ou unidade organizacional. O GPO não será desabilitado. Se o GPO estiver vinculado a outros sites, domínios ou unidades organizacionais, eles continuarão a processar o GPO se os links estiverem habilitados.

Usar filtro de segurança

É possível usar filtro de segurança para determinar que somente princípios de segurança específicos em um contêiner onde o GPO está vinculado se aplicam ao GPO. Os administradores podem usar o filtro de segurança para restringir o escopo de um GPO, de forma que o GPO seja aplicado apenas a um único grupo, usuário ou computador. O filtro de segurança não pode ser usado seletivamente em diferentes configurações de um GPO.

O GPO só se aplicará a um usuário ou computador se esse usuário ou computador tiver as permissões Ler e Aplicar Política de Grupo no GPO, explícita ou efetivamente por meio da associação de grupo. Por padrão, todos os GPOs têm as opções Ler e Aplicar Política de Grupo definidas como Permitido para o grupo Usuários Autenticados, que inclui usuários e computadores. É assim que todos os usuários autenticados recebem as configurações de um novo GPO quando o GPO é aplicado a um site, domínio ou unidade organizacional.

Por padrão, os Administradores de Domínio, os Administradores de Empresa e o sistema local têm permissões de controle total, sem a ACE (entrada de controle de acesso) Aplicar Política de Grupo. Os administradores também são membros do grupo Usuários Autenticados. Isso significa que, por padrão, eles recebem as configurações do GPO. Essas permissões podem ser alteradas para limitar o escopo a um determinado conjunto de usuários, grupos ou computadores do site, domínio ou unidade organizacional.

O GPMC gerencia essas permissões como uma única unidade e exibe o filtro de segurança do GPO na guia Escopo do GPO. No GPMC, grupos, usuários e computadores podem ser adicionados ou removidos como filtros de segurança para cada GPO.

Usar o filtro de Instrumentação de Gerenciamento do Windows

Você pode usar o filtro WMI (Instrumentação de Gerenciamento do Windows) para filtrar a aplicação de um GPO anexando uma consulta WQL (Linguagem de Consulta WMI) a um GPO. As consultas podem ser usadas para consultar vários itens da WMI. Se a consulta retornar um valor verdadeiro para todos os itens consultados, o GPO será aplicado ao usuário ou computador de destino.

Um GPO é vinculado a um filtro WMI e aplicado ao computador de destino, e o filtro é avaliado no computador de destino. Se o filtro WMI for avaliado como falso, o GPO não será aplicado (exceto se o computador cliente estiver executando o Windows 2000. Nesse caso, o filtro será ignorado e o GPO sempre será aplicado). Se o filtro WMI for avaliado como verdadeiro, o GPO será aplicado.

O filtro WMI é um objeto separado do GPO no diretório e deve ser vinculado a um GPO para ser aplicado. O filtro WMI e o GPO ao qual ele está vinculado devem estar no mesmo domínio. Os filtros WMI são armazenados apenas em domínios. Cada GPO pode ter somente um filtro WMI. O mesmo filtro WMI pode ser vinculado a vários GPOs.

Observação

A WMI é a implementação da Microsoft da iniciativa Web-Based Enterprise Management do setor, que estabelece padrões de infraestrutura de gerenciamento e permite combinar informações de vários sistemas de gerenciamento de hardware e software. A WMI expõe dados de configuração de hardware, como CPU, memória, espaço em disco e fabricante, além de dados de configuração de software do Registro, de drivers, do sistema de arquivos, do Active Directory, do serviço Windows Installer, de configuração de rede e de dados de aplicativo. Os dados de um computador de destino podem ser usados para fins administrativos, como o filtro WMI de GPOs.

Usar processamento de loopback

Você pode usar este recurso para garantir que um conjunto consistente de configurações de política seja aplicado a qualquer usuário que faça logon em determinado computador, independentemente do local do usuário no Active Directory.

O processamento de loopback é uma configuração avançada de Política de Grupo, útil para computadores em alguns ambientes estritamente gerenciados, como servidores, quiosques, laboratórios, salas de aula e áreas de recepção. A configuração de loopback faz com que as configurações de política Configuração do Usuário dos GPOs atribuídos ao computador sejam aplicadas a cada usuário que fizer logon nesse computador, no lugar das configurações do usuário (no modo Substituir) ou em conjunto com as configurações (no modo Mesclar) em Configuração do Usuário.

Para definir o processamento de loopback, você pode usar a configuração de política Modo de processamento de loopback de Política de Grupo de usuários, acessada em Configuração do Computador\Modelos Administrativos\Sistema\Política de Grupo no Editor de Objeto de Política de Grupo.

Para usar o recurso de processamento de loopback, a conta de usuário e a conta do computador devem estar em um domínio que execute o Windows 2003 ou uma versão mais recente do Windows. O processamento de loopback não funciona para computadores que tenham ingressado em um grupo de trabalho.

Modelos administrativos

A extensão de Modelos Administrativos de Política de Grupo consiste em um snap-in do servidor MMC usado para definir as configurações de política e em uma extensão do lado do cliente, que define as chaves do Registro em computadores de destino. A política de Modelos Administrativos também é conhecida como política baseada no Registro ou política do Registro.

Arquivos de Modelo Administrativo

Os arquivos de Modelo Administrativo são arquivos Unicode que consistem em uma hierarquia de categorias e subcategorias para definir como as opções são exibidas por meio do Editor de Objeto de Política de Grupo e do GPMC. Eles também indicam os locais do Registro que são afetados pelas configurações de política, que incluem os valores padrão (não configurados), habilitados ou desabilitados da configuração de política. Os modelos estão disponíveis em três versões de arquivo: .adm, .admx e .adml. Os arquivos .adm podem ser usados em computadores que estejam executando qualquer sistema operacional Windows. Os arquivos .admx e .adml podem ser usados em computadores que estejam executando pelo menos o Windows Vista ou o Windows Server 2008. Os arquivos .adml são as versões de arquivos .admx específicas a um idioma.

A funcionalidade dos arquivos de modelo administrativo é limitada. O objetivo dos arquivos de modelo .adm, .admx ou .adml é habilitar uma interface do usuário para definir configurações de política. Os arquivos de Modelo Administrativo não contêm configurações de política. As configurações de política estão contidas nos arquivos Registry.pol, localizados na pasta Sysvol nos controladores de domínio.

O snap-in de servidor dos Modelos Administrativos tem um nó Modelos Administrativos que aparece no Editor de Objeto de Política de Grupo abaixo dos nós Configuração do Computador e Configuração do Usuário. As configurações em Configuração do Computador manipulam as configurações do Registro do computador. As configurações em Configuração do Usuário manipulam as configurações do Registro dos usuários. Ainda que algumas configurações de política exijam elementos simples de interface do usuário, como caixas de texto para entrada de valores, a maioria das configurações de política contém apenas as seguintes opções:

  • Habilitado   A política é imposta. Algumas configurações de política fornecem opções adicionais que definem o comportamento quando a política é ativada.

  • Desabilitado   Impõe o comportamento oposto ao estado Habilitado à maioria das configurações de política. Por exemplo, se Habilitado impõe o estado de um recurso para Desativado, Desabilitado impõe o estado do recurso para Ativado.

  • Não configurado   A política não é imposta. Este é o estado padrão para a maioria das configurações.

Os arquivos de Modelo Administrativo são armazenados nos locais do computador local, como mostrado na tabela a seguir.

Tipo de arquivo Pasta

.adm

%systemroot%\Inf

.admx

%systemroot%\PolicyDefinitions

.adml

%systemroot%\PolicyDefinitions\<pasta específica de um idioma, por exemplo, en-us>

Você também pode armazenar e usar arquivos .admx e .adml de um repositório central nas pastas do controlador de domínio, como mostrado a seguir.

Tipo de arquivo Pasta

.admx

%systemroot%\sysvol\domain\policies\PolicyDefinitions

.adml

%systemroot%\sysvol\domain\policies\PolicyDefinitions\<pasta específica de um idioma, por exemplo, en-us>

Para obter mais informações sobre como armazenar e usar os modelos de um repositório central, consulte sobre política de grupo e sysvol no guia de planejamento e implantação de política de grupo (https://go.microsoft.com/fwlink/?linkid=182208\&clcid=0x416).

Arquivos de Modelo Administrativo para o Office 2010

Arquivos de Modelo Administrativo especificamente para o Office 2010 estão disponíveis para download separadamente. Eles permitem:

  • Controlar pontos de entrada na Internet a partir de aplicativos do Office 2010.

  • Gerenciar a segurança nos aplicativos do Office 2010.

  • Ocultar as configurações e opções desnecessárias que possam distrair os usuários na realização de seus trabalhos ou resultar em chamadas de suporte desnecessárias;

  • Criar uma configuração padrão altamente gerenciada nos computadores dos usuários.

Para baixar modelos administrativos do Office 2010, consulte os arquivos de modelos administrativos do Office 2010 (ADM, ADMX, ADML) e a Ferramenta de Personalização do Office (https://go.microsoft.com/fwlink/?linkid=189316\&clcid=0x416).

Os Modelos Administrativos do Office 2010 são como mostrados na tabela a seguir.

Aplicativo Arquivos de Modelo Administrativo

Microsoft Access 2010

access14.admx, access14.adml, access14.adm

Microsoft Excel 2010

excel14.admx, excel14.adml, excel14.adm

Microsoft InfoPath 2010

inf14.admx, inf14.adml, inf14.adm

O Microsoft Office 2010

office14.admx, office14.adml, office14.adm

Microsoft OneNote 2010

onent14.admx, onent14.adml, onent14.adm

Microsoft Outlook 2010

outlk14.admx, outlk14.adml, outlk14.adm

Microsoft PowerPoint 2010

ppt14.admx, ppt14.adml, ppt14.adm

Microsoft Project 2010

proj14.admx, proj14.adml, proj14.adm

Microsoft Publisher 2010

pub14.admx, pub14.adml, pub14.adm

Microsoft SharePoint Designer 2010

spd14.admx, spd14.adml, spd14.adm

Microsoft SharePoint Workspace 2010

spw14.admx, spw14.adml, spw14.adm

Microsoft Visio 2010

visio14.admx, visio14.adml, visio14.adm

Microsoft Word 2010

word14.admx, word14.adml, word14.adm

Políticas verdadeiras vs. preferências do usuário

As configurações de Política de Grupo que os administradores podem gerenciar totalmente são chamadas de políticas verdadeiras. As configurações que os usuários podem definir (mas que podem refletir o estado padrão do sistema operacional no momento da instalação) são conhecidas como preferências. Tanto as políticas verdadeiras quanto as preferências contêm informações que modificam o Registro nos computadores dos usuários.

Políticas verdadeiras

Os valores do Registro das políticas verdadeiras são armazenados sob chaves do Registro aprovadas para a Política de Grupo. Os usuários não podem alterar nem desabilitar essas configurações.

Para configurações de políticas do computador:

  • HKEY_LOCAL_MACHINE\Software\Policies (o local de preferência)

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies

Para configurações de políticas de usuário:

  • HKEY_CURRENT_USER\Software\Policies (o local de preferência)

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Para o Office 2010, as políticas verdadeiras são armazenadas nos locais de Registro a seguir.

Para configurações de política de computador:

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Office\14.0

Para configurações de política de usuário:

  • HKEY_CURRENT_USER\Software\Policies\ Microsoft\Office\14.0

Preferências

As preferências são definidas pelos usuários ou pelo sistema operacional no momento da instalação. Os valores do Registro que armazenam as preferências estão localizados fora das chaves de Política de Grupo aprovadas. Os usuários podem alterar suas preferências.

Se você definir configurações de preferência usando um GPO, ele não terá restrições à SACL (lista de controle de acesso do sistema). Portanto, é possível que os usuários possam alterar esses valores no Registro. Quando o GPO sai do escopo (se o GPO não estiver vinculado, estiver desabilitado ou tiver sido excluído), esses valores não são removidos do Registro.

Para exibir as preferências no Editor de Objeto de Política de Grupo, clique no nó Modelos Administrativos, clique em Exibir, clique em Filtragem e desmarque a caixa de seleção Só mostrar configurações de política que podem ser 100% gerenciadas.

Ferramentas de gerenciamento de Política de Grupo

Os administradores usam as seguintes ferramentas para administrar a Política de Grupo:

  • Console de Gerenciamento de Política de Grupo   Usado para gerenciar a maioria das tarefas de gerenciamento de Política de Grupo.

  • Editor de Objeto de Política de Grupo   Usado para definir configurações de política em GPOs.

Console de Gerenciamento de Política de Grupo

O GPMC (Console de Gerenciamento de Política de Grupo) simplifica o gerenciamento de Política de Grupo, pois fornece uma única ferramenta para gerenciar os principais aspectos da Política de Grupo, como escopo, delegação, filtragem e manipulação de herança de GPOs. O GPMC também pode ser usado para fazer backup (exportar), restaurar, importar e copiar GPOs. Os administradores podem usar o GPMC para prever como os GPOs afetarão a rede e para determinar como os GPOs alteraram as configurações de um computador ou usuário. O GPMC é a ferramenta preferencial para o gerenciamento da maioria das tarefas de Política de Grupo em um ambiente de domínio.

O GPMC fornece uma exibição de GPOs, sites, domínios e unidades organizacionais em uma empresa e pode ser usado para gerenciar domínios do Windows Server 2003 ou do Windows 2000. Os administradores usam o GPMC para executar todas as tarefas de gerenciamento de Política de Grupo, exceto para a definição de configurações de políticas individuais nos objetos de Política de Grupo. Isso é executado com o Editor de Objeto de Política de Grupo, que pode ser aberto dentro do GPMC.

Os administradores usam o GPMC para criar um GPO sem configurações iniciais. Um administrador também pode criar um GPO e vinculá-lo a um contêiner do Active Directory ao mesmo tempo. Para definir configurações individuais em um GPO, o administrador edita o GPO usando o Editor de Objeto de Política de Grupo do GPMC. O Editor de Objeto de Política de Grupo é exibido com o GPO carregado.

Um administrador pode usar o GPMC para vincular GPOs a sites, domínios ou unidades organizacionais no Active Directory. Os administradores devem vincular GPOs para aplicar as configurações aos usuários e computadores nos contêineres do Active Directory.

O GPMC inclui os seguintes recursos do Conjunto de Políticas Resultante (RSoP) fornecidos pelo Windows:

  • Modelagem da Política de Grupo   Simula as configurações de política que serão aplicadas sob circunstâncias especificadas pelo administrador. Os administradores podem usar a Modelagem da Política de Grupo para simular os dados RSoP que seriam aplicados a uma configuração existente ou podem analisar os efeitos das alterações simuladas e hipotéticas no ambiente de diretório.

  • Resultados da Política de Grupo   Representa os dados da política real aplicados a um computador ou usuário. Os dados são obtidos por meio de consulta ao computador de destino e de recuperação dos dados RSoP que foram aplicados a esse computador. O recurso Resultados da Política de Grupo é fornecido pelo sistema operacional cliente e requer o Windows XP, o Windows Server 2003 ou versões mais recentes do sistema operacional.

Editor de Objeto de Política de Grupo

O Editor de Objeto de Política de Grupo é um snap-in MMC usado para definir configurações de política em GPOs. O Editor de Objeto de Política de Grupo está contido no gpedit.dll e é instalado com os sistemas operacionais Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 e Windows 7.

Para definir configurações de Política de Grupo para um computador local que não seja membro de um domínio, use o Editor de Objeto de Política de Grupo para gerenciar um GPO local (ou vários GPOs em computadores que estejam executando o Windows Vista, o Windows 7 ou o Windows Server 2008). Para definir configurações de Política de Grupo em um ambiente de domínio, o GPMC (que invoca o Editor de Objeto de Política de Grupo) é a ferramenta preferencial para tarefas de gerenciamento de Política de Grupo.

O Editor de Objeto de Política de Grupo fornece aos administradores uma estrutura de árvore hierárquica para a definição de configurações de Política de Grupo em GPOs e consiste nestes dois nós principais:

  • Configuração do Usuário   Contém configurações aplicadas a usuários quando eles fazem logon e atualização periódica em segundo plano.

  • Configurações do Computador   Contém configurações aplicadas a computadores na inicialização e na atualização periódica em segundo plano.

Esses dois nós principais são adicionalmente divididos em pastas que contêm os diferentes tipos de configurações de política que podem ser definidos. Essas pastas incluem o seguinte:

  • Configurações de Software   Contém configurações de instalação de software.

  • Configurações do Windows   Contém configurações de Segurança e configurações de política de Scripts.

  • Modelos Administrativos   Contém configurações de política baseadas no Registro

Requisitos do sistema para o GPMC e para o Editor de Objeto de Política de Grupo

O Editor de Objeto de Política de Grupo faz parte do GPMC e é invocado quando um GPO é editado. É possível executar o GPMC no Windows XP, no Windows Server 2003, no Windows Vista, no Windows 7 e no Windows Server 2008. Os requisitos variam de acordo com o sistema operacional Windows da seguinte forma:

Para obter mais informações sobre como usar o GPMC e o Editor de Objeto de Política de Grupo, consulte Impor configurações usando a Política de Grupo no Office 2010.

Ferramenta de Personalização do Office e Política de Grupo

Os administradores podem usar a OCT (Ferramenta de Personalização do Office) ou a Política de Grupo para personalizar configurações do usuário para aplicativos do Office 2010:

  • OCT (Ferramenta de Personalização do Office)   Usada para criar um arquivo de personalização de instalação (arquivo .msp). Os adminstradores podem usar a OCT para personalizar recursos e definir configurações do usuário. Os usuários podem modificar a maioria das configurações após a instalação porque a OCT define configurações em partes publicamente disponíveis do Registro, como em HKEY_CURRENT_USER/Software/Microsoft/Office/14.0. Esta ferramenta geralmente é usada em organizações que não gerenciam configurações de área de trabalho centralmente. Para obter mais informações, consulte Office Customization Tool in Office 2010.

  • Política de Grupo   Usada para definir as configurações de política do Office 2010 contidas em Modelos Administrativos. O sistema operacional impõe essas configurações de política. Em um ambiente do Active Directory, os administradores podem aplicar configurações de política a grupos de usuários e computadores em um site, domínio ou unidade organizacional à qual um objeto de Política de Grupo esteja vinculado. As configurações de políticas verdadeiras são gravadas nas chaves do Registro aprovadas da política. Essas configurações têm restrições SACL, que impedem sua alteração por usuários que não sejam administradores. Os administradores podem usar a Política de Grupo para criar configurações de área de trabalho altamente gerenciadas. Também podem criar configurações levemente gerenciadas para atender aos requisitos de negócios e de segurança da organização. Para obter mais informações sobre a OCT, consulte Office Customization Tool in Office 2010.