Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A Diretiva de Grupo permite o gerenciamento de configurações e definições de usuários e computadores em computadores que executam os sistemas operacionais Windows Server e Windows Client. Além de usar a Diretiva de Grupo para definir configurações para grupos de usuários e computadores cliente, você também pode usar a Diretiva de Grupo para ajudar a gerenciar computadores servidores, definindo muitas configurações operacionais e de segurança específicas do servidor.
O que é uma Política de Grupo
A política de grupo pode representar as configurações de diretiva localmente no sistema de arquivos ou nos Serviços de Domínio Ative Directory (AD DS). Quando usadas com o Ative Directory (AD), as configurações de Diretiva de Grupo estão contidas em um GPO (Objeto de Diretiva de Grupo). Um GPO é uma coleção virtual de configurações de diretiva, permissões de segurança e escopo de gerenciamento (SOM) que você pode aplicar a usuários e computadores no AD. Um GPO consiste em dois componentes principais: o contêiner de Diretiva de Grupo e o modelo de Diretiva de Grupo. O contêiner de Diretiva de Grupo é armazenado na partição de domínio do Ative Directory, enquanto o modelo de Diretiva de Grupo está localizado na pasta SYSVOL em cada controlador de domínio (DC).
Esses componentes são replicados entre os DCs através do processo de replicação do Active Directory (AD) e do serviço de replicação de arquivos (FRS) ou da replicação do sistema de arquivos distribuído (DFSR).
Os GPOs incluem configurações para definições do computador e do utilizador. As configurações do computador aplicam-se a todo o sistema e gerenciam configurações como gerenciamento de energia e regras de firewall. As configurações do usuário afetam apenas o usuário atual, com opções como as configurações do Internet Explorer e o Redirecionamento de Pasta. Os GPOs podem ser vinculados a vários níveis dentro da hierarquia do AD, como sites, domínios e unidades organizacionais (UOs), que definem seu escopo de aplicação.
As configurações de diretiva são aplicadas na inicialização do computador e na entrada do usuário. O serviço de Diretiva de Grupo determina os GPOs aplicáveis consultando o AD com base na associação de site, domínio e UO. A Client-side extension (CSE) applies the specific settings dictated by the GPOs, managing tasks like registry updates and security configurations. As definições de política são aplicadas aos computadores quando iniciam sessão e aos utilizadores quando iniciam sessão. Quando um computador é iniciado, o serviço de Diretiva de Grupo verifica o AD para determinar quais GPOs estão vinculados e são aplicáveis ao objeto de computador, incluindo:
O site em que o computador reside.
O domínio no qual o computador é membro.
A unidade organizacional principal à qual o computador pertence diretamente, assim como todas as outras unidades organizacionais hierarquicamente superiores à unidade organizacional principal.
As preferências de Diretiva de Grupo oferecem recursos de gerenciamento semelhantes aos das Diretivas de Grupo padrão e são gerenciadas da mesma maneira. Os administradores podem criar e gerenciar GPOs usando o Editor de Diretiva de Grupo Local (gpedit.msc) para configurações locais ou o Editor de Objeto de Diretiva de Grupo em um snap-in MMC relacionado ao AD para configurações de todo o domínio. Cada GPO tem um identificador global exclusivo (GUID) e segue a estrutura hierárquica do AD para avaliação de políticas. Uma compreensão completa de como criar, modificar e vincular GPOs no AD é essencial para um gerenciamento de políticas eficaz. Os GPOs são armazenados no AD e na pasta SYSVOL em cada DC, facilitando a administração centralizada e a imposição de políticas.
Client-side extensions
Um CSE de Diretiva de Grupo é um componente isolado responsável pelo processamento de configurações de diretiva específicas fornecidas pela infraestrutura de Diretiva de Grupo. Cada CSE gerencia e armazena seus dados de política em seu próprio formato específico, independente da infraestrutura de Diretiva de Grupo, que não interpreta nem gerencia os detalhes desses dados. A função principal da Política de Grupo é fornecer definições a um computador, onde cada CSE aplica a sua parte das definições de política de vários Objetos de Política de Grupo.
Imagine a infraestrutura da Diretiva de Grupo como um sistema de biblioteca. O sistema de bibliotecas gere e entrega livros (ou dados) a vários ramos (os computadores). A biblioteca não precisa entender o conteúdo de cada livro; ela simplesmente garante que o livro correto chegue à filial certa. Nessa analogia, o serviço de Diretiva de Grupo é como o sistema de biblioteca, entregando livros sem conhecer seu conteúdo. As várias configurações de política são como diferentes gêneros ou coleções de livros. O CSE de Diretiva de Grupo representa um bibliotecário em cada filial, que sabe como gerir as suas coleções específicas. Assim como cada bibliotecário está equipado para gerenciar sua coleção, cada CSE lê suas informações específicas de configuração de política e executa ações com base no que encontra nessas configurações.
Como funciona a Diretiva de Grupo
Para computadores, a Diretiva de Grupo é aplicada quando o computador é iniciado. Para os utilizadores, a Política de Grupo é aplicada no início de sessão. Esse processamento inicial da política também pode ser referido como um aplicativo de política de primeiro plano.
O aplicativo em primeiro plano da Diretiva de Grupo pode ser síncrono ou assíncrono. No modo síncrono, o computador não conclui o início do sistema até que a diretiva do computador seja aplicada com êxito. O processo de entrada do usuário não será concluído até que a política de usuário seja aplicada com êxito. No modo assíncrono, se não houver alterações de diretiva que exijam processamento síncrono, o computador poderá concluir a sequência de início antes que a aplicação da diretiva do computador seja concluída. O shell pode estar disponível para o usuário antes que a aplicação da política de usuário seja concluída. Em seguida, o sistema aplica periodicamente (atualiza) a Diretiva de Grupo em segundo plano. Durante uma atualização, as configurações de diretiva são aplicadas de forma assíncrona.
Para saber mais sobre como as Diretivas de Grupo funcionam, consulte Processamento de Diretiva de Grupo.
O que é uma UO
Uma UO é o contêiner AD de nível mais baixo ao qual você pode atribuir configurações de Diretiva de Grupo. Normalmente, você atribui a maioria dos GPOs no nível da UO, portanto, certifique-se de que sua estrutura de UO ofereça suporte à sua estratégia de gerenciamento de cliente baseada em Diretiva de Grupo. Você também pode aplicar algumas configurações de Diretiva de Grupo no nível do domínio, especialmente diretivas de senha. Poucas configurações de política são aplicadas no nível do site. Uma estrutura de OU bem projetada que reflecte a estrutura administrativa da sua organização e aproveita a herança de GPO simplifica a implementação da Política de Grupo. Por exemplo, uma estrutura de UO bem projetada pode impedir a duplicação de determinados GPOs para que você possa aplicá-los a diferentes partes da organização. Se possível, crie UOs para delegar autoridade administrativa e ajudar a implementar a Diretiva de Grupo.
O design de UO requer equilibrar os requisitos para delegar direitos administrativos independentemente das necessidades da Diretiva de Grupo e a necessidade de delimitar o escopo da aplicação da Diretiva de Grupo. Você pode criar UOs dentro de um domínio e delegar o controle administrativo de UOs específicas a usuários ou grupos específicos. Usando uma estrutura na qual as UOs contêm objetos homogêneos, como objetos de usuário ou de computador, mas não ambos, você pode desabilitar facilmente as seções de um GPO que não se aplicam a um tipo específico de objeto. Essa abordagem ao design da UO reduz a complexidade e melhora a velocidade com que a Diretiva de Grupo é aplicada. Os GPOs vinculados às camadas superiores da estrutura da UO são herdados por padrão para UOs na camada inferior, reduzindo a necessidade de duplicar GPOs ou vincular um GPO a vários contêineres.
Related content
- Processamento da Política de Grupo
- Cópia de segurança, restauração, migração e cópia de Objetos de Diretiva de Grupo (GPOs)
- Modelagem de Diretiva de Grupo e Resultados da Diretiva de Grupo
- Console de Gerenciamento de Política de Grupo (GPMC)
- Configurações de Política de Grupo Usadas na Autenticação do Windows