Partilhar via

Guia de Rede Principal Complementar: Implementação da Política de Grupo

  • Artigo

 

Aplica-se A: Windows Server 2012

Este é um guia complementar do Guia de Rede Principal do Windows Server® 2012, disponível para transferência no formato do Microsoft Office Word no Centro de Transferências da Microsoft (https://go.microsoft.com/fwlink/?LinkId=255199) e em formato HTML na Biblioteca Técnica do Windows Server 2012 (https://technet.microsoft.com/library/hh911995.aspx).

O Guia de Rede Principal do Windows Server 2012 fornece instruções para planear e implementar os componentes principais necessários ao funcionamento integral de uma rede e de um novo domínio do Active Directory numa floresta nova.

Este guia explica como tirar partido da rede principal fornecendo instruções de implementação de Objetos de Política de Grupo (GPOs) utilizando grupos de associação em vez de unidades organizacionais (UOs) que formam a hierarquia de um domínio do Active Directory.

Este guia contém as secções seguintes.

Nota

Este guia está disponível nas localizações seguintes.

Acerca deste guia

Este guia fornece instruções para implementar definições de Política de Grupo para um conjunto de computadores cliente ou utilizadores utilizando grupos de associação em vez da localização da conta na hierarquia da UO de um domínio.

O método descrito neste guia mostra-lhe como criar um grupo de associação único no qual pode adicionar as contas de utilizador ou de computador que receberão uma configuração através da utilização de GPOs. A associação ao grupo, em vez da localização da conta na hierarquia da UO, determina se o computador recebe um dos GPOs associados ao grupo de associação. Além disso, os filtros Windows Management Instrumentation (WMI) são utilizados para assegurar que é aplicada apenas o GPO com as definições correspondentes à versão do Windows em execução no computador.

Existem duas vantagens principais em utilizar este método para implementar GPOs:

  • É completamente independente da estrutura da UO do seu domínio. Para aplicar um GPO a um computador já não significa mover computadores para outra UO ou reestruturar a hierarquia da UO.

  • É muito fácil aplicar ou deixar de aplicar as definições num GPO. Basta remover a conta de utilizador ou de computador do grupo de associação. Isto remove o utilizador ou o computador do âmbito do GPO sem afetar quaisquer outros GPOs que se apliquem ao utilizador ou ao computador.

Este guia foi concebido para administradores de rede e sistema que seguiram as instruções no Guia de Rede Principal do Windows Server 2012 para implementar uma rede principal ou para aqueles que implementaram anteriormente as tecnologias principais incluídas na rede principal, incluindo os Serviços de Domínio do Active Directory (AD DS), DNS (Domain Name Service), protocolo DHCP (Dynamic Host Configuration Protocol), TCP/IP e Windows Internet Name Service (WINS) (opcional).

É recomendado que reveja os guias de estrutura e implementação para cada uma das tecnologias que são utilizadas neste cenário de implementação. Estes guias podem ajudar a determinar se este cenário de implementação fornece os serviços e configuração que necessita para a rede da sua organização.

Requisitos

Aviso

Recomendamos que utilize os métodos documentados neste guia apenas para GPOs que têm de ser implementados na maioria dos computadores na sua organização e apenas quando a hierarquia da UO no seu domínio do Active Directory não corresponde bem às necessidades de implementação destes GPOs. Quando a hierarquia da UO o suportar, implemente um GPO associando-o ao nível mais baixo da UO que contém todas as contas às quais o GPO será aplicado.

Num ambiente empresarial grande com centenas ou milhares de GPOs, a utilização deste método pode resultar em contas de utilizador ou de computador que são feitas membros de um número excessivo de grupos; isto pode causar problemas de conectividade de rede quando forem excedidos os limites de protocolo da rede. Para mais informações sobre os problemas relacionados com a associação a grupos excessiva, consulte os artigos seguintes na Base de Dados de Conhecimento Microsoft:

Seguem-se os requisitos para utilizar a Política de Grupo:

  • Para implementar a Política de Grupo, tem de ter um controlador de domínio do Active Directory a alojar um domínio e computadores associados ao domínio.

  • Para configurar GPOs, criar grupos de associação e atribuir membros aos mesmos, tem de ter sessão iniciada como um membro do grupo Admins do Domínio.

O que este guia não fornece

Este guia não fornece instruções abrangentes para estruturar e implementar uma infraestrutura de Política de Grupo utilizando o AD DS. É recomendado que reveja a documentação do AD DS e da Política de Grupo antes de implementar as tecnologias neste guia. Para obter mais informações, consulte Recursos Adicionais.

Descrição geral da tecnologia de Política de Grupo

A Política de Grupo é uma tecnologia de gestão que fornece aos utilizadores acesso consistente às respetivas aplicações, definições de aplicações, perfis de utilizador itinerantes e dados de utilizador, a partir de qualquer computador gerido, mesmo quando estiver desligado da rede. As definições de Política de Grupo estão contidas em GPOs, associadas a sites, domínios ou UOs num domínio do Active Directory. Em seguida, as definições de GPOs são avaliadas e aplicadas aos computadores e utilizadores especificados. A Política de Grupo é uma das principais razões para implementar os Serviços de Domínio do Active Directory (AD DS), uma vez que permite gerir objetos de utilizador e computador.

A maioria dos administradores associa a implementação de GPOs à hierarquia da UO de um domínio do Active Directory. Pode associar um GPO a uma UO e quaisquer computadores ou utilizadores nessa UO ou um dos respetivos descendentes que recebem e aplicam a política. No entanto, um domínio do Active Directory pode conter apenas uma única hierarquia de UOs e as contas de computador e utilizador só podem ser colocadas numa única UO. Por este motivo, por vezes, quando uma hierarquia da UO é adequada para resolver um problema é inadequada para outro. Por exemplo, muitas organizações estruturam a hierarquia da UO para suportar a administração delegada. As contas de computador e utilizador são colocadas em UOs às quais foi atribuída responsabilidade a uma equipa de TI. Ao conceder permissões administrativas à equipa de TI no contentor da UO, esta pode gerir os computadores e os utilizadores cujas contas estão na UO. Esta mesma hierarquia pode ser ineficaz para implementar as definições de Política de Grupo que afetam os computadores em toda a organização, por exemplo, quando implementar definições de segurança IPsec para cenários de isolamento de servidores e domínios.

Além disso, configurar uma versão do Windows pode requerer que utilize uma definição de política diferente da definição de política utilizada noutra versão do Windows. Por exemplo, as regras IPsec no Windows Server 2012, Windows Server 2008, Windows 8, Windows 7 e Windows Vista são geridas por outra parte do GPO em comparação com as regras de IPsec do Windows Server 2003 e versões anteriores do Windows. Isto significa que poderá ter seis GPOs separados que efetuam todos a mesma função, cada um para o Windows Server 2012, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7 e Windows Vista. O GPO do Windows Server 2003 também se aplica a versões anteriores do Windows.