Processamento de Políticas de Grupo

2025-06-16
Aplica-se a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Por padrão, a Diretiva de Grupo é herdada e cumulativa e afeta todos os computadores e usuários em um contêiner do Ative Directory (AD) e seus filhos. As configurações de diretiva relacionadas ao computador substituem as configurações de diretiva relacionadas ao usuário.

Os Objetos de Política de Grupo (GPO) são processados na seguinte ordem:

O GPO local é aplicado.
Os GPOs vinculados a sites são aplicados.
GPOs vinculados a domínios são aplicados.
GPOs vinculados a unidades organizacionais (OUs) são aplicados. Numa estrutura de UO aninhada, os GPOs ligados às UOs principais são aplicados primeiro, seguidos pelos GPOs ligados às UOs subordinadas.

Sugestão

A sequência de processamento de GPO é crucial porque cada aplicação subsequente de políticas pode substituir as configurações aplicadas por políticas anteriores.

O método padrão de herança é avaliar a Diretiva de Grupo começando pelo contêiner de nível mais alto no AD. O contêiner do AD mais próximo do computador ou usuário substitui a Diretiva de Grupo definida em um contêiner do AD de nível superior. A herança é ignorada quando defines a opção imposta para essa ligação de GPO ou quando a configuração de bloqueio de herança é aplicada. A Diretiva de Grupo Local é processada antes das diretivas baseadas em domínio. As configurações de política de GPOs associados a contentores do AD substituem as configurações de diretivas locais.

Você pode vincular mais de um GPO a um contêiner do AD. Na lista de Links de Objetos de Diretiva de Grupo, o link de GPO com a ordem de ligação mais baixa tem precedência por padrão.

Como funciona o processamento da Política de Grupo

A Diretiva de Grupo para configurações do computador é aplicada quando o computador é iniciado. A Diretiva de Grupo é aplicada no logon para os usuários. Esse processamento inicial da política também pode ser referido como um aplicativo de política de primeiro plano.

O processamento em primeiro plano da Diretiva de Grupo pode ser síncrono ou assíncrono. No modo síncrono, o computador não conclui o início do sistema até que a diretiva do computador seja aplicada com êxito. O processo de logon do usuário não é concluído até que a política de usuário seja aplicada com êxito. No modo assíncrono, se não houver alterações de diretiva que exijam processamento síncrono, o computador poderá concluir a sequência de início antes que a aplicação da diretiva do computador seja concluída. A área de trabalho também pode estar disponível para o usuário antes que a aplicação da política de usuário seja concluída quando estiver no modo assíncrono. Em seguida, o sistema aplica periodicamente (atualiza) a Diretiva de Grupo em segundo plano. Durante uma atualização, as configurações de diretiva são aplicadas de forma assíncrona.

Todo o processamento da política deve ser concluído dentro de 60 minutos. Não há nenhum método para modificar esse período de tempo limite.

Após o processamento inicial da Diretiva de Grupo (também conhecido como aplicativo de diretiva de primeiro plano), o sistema aplica periodicamente (atualiza) a Diretiva de Grupo em segundo plano. Durante uma atualização, as configurações de diretiva são aplicadas de forma assíncrona.

Por padrão, uma atualização ocorre a cada 90 minutos. O sistema pode adicionar um tempo aleatório de até 30 minutos ao intervalo de atualização. Você pode alterar esses valores padrão usando uma configuração de Diretiva de Grupo na extensão Modelos Administrativos para Diretiva de Grupo. Definir o valor como zero minutos faz com que a taxa de atualização seja definida como sete segundos. Nem todas as extensões de Diretiva de Grupo são processadas durante uma atualização em segundo plano. Por exemplo, o processamento de redirecionamento de pasta ocorre somente quando um usuário faz logon. Além disso, o processamento da diretiva de instalação de software ocorre somente quando um computador é iniciado e quando um usuário faz logon.

Embora o sistema processe as extensões de script para a Diretiva de Grupo durante uma atualização em segundo plano, os scripts individuais são executados somente quando o computador é iniciado e desligado e quando um usuário faz logon e logoff.

Durante uma atualização de política, por padrão, uma extensão do lado do cliente reaplica as configurações de diretiva somente se detetar uma alteração em um de seus GPOs ou em sua lista de GPOs. Esse comportamento é por motivos de desempenho.

GPOs impostos

Determine se há alguma configuração de diretiva que sempre deve ser imposta para grupos específicos de usuários ou computadores. Crie GPOs que contenham essas configurações de política, vincule-os ao site, domínio ou UO apropriado e designe esses links como impostos. Ao definir essa opção, você impõe as configurações de diretiva de um GPO de nível superior, impedindo que GPOs em contêineres AD de nível inferior os substituam. Por exemplo, se você definir um GPO específico no nível do domínio e definir a opção imposta, as políticas que o GPO contém se aplicarão a todas as UOs desse domínio. Os GPOs vinculados às UOs de nível inferior não podem substituir essa Diretiva de Grupo de domínio imposta. Se vários GPOs estiverem vinculados no mesmo site, domínio ou Unidade Organizacional (OU) e tiverem a opção forçada definida, o link de GPO mais prioritário definido como forçado terá precedência.

Bloquear herança

No GPMC (Consola de Gestão da Política de Grupo), Bloquear Herança de Políticas, ou Bloquear Herança, refere-se a uma funcionalidade que afeta a sequência de processamento das Políticas de Grupo. Cada domínio e UO no AD tem um atributo GPOptions , que pode ser configurado para bloquear herança. Isso impede que as configurações de diretiva aplicadas nos níveis local, site, domínio e UO superior afetem computadores ou usuários dentro da UO. No entanto, embora a herança bloqueada impeça que a maioria das configurações seja aplicada a uma UO, ela não afeta as configurações aplicadas por meio de GPOs com a opção imposta. Enforced é uma propriedade de link e tem precedência sobre a herança de política de bloco, uma propriedade de contêiner.

As configurações de política vinculadas a um domínio normalmente aplicam-se a todos os computadores e utilizadores dentro do domínio, independentemente da OU pai. Usando o GPMC, você pode bloquear a herança em um domínio ou UO para impedir que as configurações normais de Diretiva de Grupo sejam aplicadas. O bloqueio da herança no nível do domínio impede que as configurações de GPOs vinculados a um site do AD sejam aplicadas ao domínio, enquanto o bloqueio no nível da UO impede que as configurações de GPOs vinculados a sites e domínios afetem essas UOs.

Além de bloquear a herança:

Um GPO em si pode ser totalmente desativado
Um GPO pode ter suas configurações de computador desabilitadas
Um GPO pode ter suas configurações de usuário desabilitadas
Um GPO pode ter todas as suas configurações desabilitadas

Extensões do lado do cliente da Preferência de Política de Grupo

As extensões do lado do cliente de Preferência de Política de Grupo têm seus próprios métodos de processamento exclusivos. Dentro de um único GPO, pode-se configurar um ou mais itens de preferência que uma extensão de Preferência de Diretiva de Grupo específica irá processar. Por exemplo, um único GPO pode conter vários itens de Preferência de Mapa de Unidade .

Durante o processamento das Políticas de Grupo, a infraestrutura passa por uma série de extensões. Para cada extensão, ele fornece informações essenciais, incluindo uma lista de GPOs com alterações e aquelas que já não são aplicáveis ao utilizador ou computador. A infraestrutura também compartilha detalhes específicos do contexto, como se a conexão de rede é considerada lenta. A extensão de Preferência de Diretiva de Grupo usa informações sobre os GPOs alterados e fora do escopo para processar suas configurações.

As extensões do lado do cliente processam itens de preferência sequencialmente, de cima para baixo da lista. O resultado do processamento de cada item de preferência depende de sua ação configurada, e a segmentação no nível do item pode impedir a aplicação de um item. A extensão processa cada item até completar a lista ou parar devido a definições de configuração como Parar processamento de itens nesta extensão se ocorrer um erro neste item ou Aplicar uma vez e não reaplicar. Depois que todos os itens de preferência forem processados, o controle retornará ao serviço de Diretiva de Grupo.

Filtragem de Política de Grupo

Você pode filtrar se o GPO se aplica usando a filtragem de segurança ou filtros de Instrumentação de Gerenciamento do Windows (WMI).

A filtragem de segurança permite refinar quais utilizadores e computadores recebem e aplicam as configurações de diretiva num GPO. A filtragem de grupos de segurança determina se o GPO se aplica a grupos, usuários ou computadores. A filtragem de grupo de segurança não pode ser usada seletivamente em diferentes configurações de diretiva dentro de um GPO.

O WMI permite que você use uma consulta WMI para filtrar a aplicação da diretiva de grupo. Quando você usa a filtragem WMI, o GPO se aplica a entidades de segurança que atendem às condições da consulta WMI. Cada GPO pode ser vinculado a um filtro WMI; no entanto, o mesmo filtro WMI pode ser vinculado a vários GPOs. Antes de vincular um filtro WMI a um GPO, você deve criar o filtro. O filtro WMI é avaliado no computador de destino durante o processamento da Diretiva de Grupo. O GPO se aplica somente se o filtro WMI for avaliado como true.

Modo de processamento de loopback

O modo de processamento de loopback aplica as definições de configuração dos Objetos de Política de Grupo atribuídos ao computador, independentemente de quem inicia sessão. O processamento de loopback irá fundir ou substituir as definições do utilizador provenientes dos GPOs atribuídos a ele. Essa configuração de política é apropriada em determinados ambientes gerenciados de perto com computadores de uso especial, como salas de aula, quiosques públicos e áreas de receção.

Por exemplo, você pode habilitar essa configuração de política em um servidor específico para ajustar as configurações do usuário com base no computador que está sendo utilizado. Quando se habilita a configuração de diretiva do modo de processamento de loopback, o sistema aplica as configurações de diretiva do utilizador com base na configuração do computador, independentemente de quem inicie sessão. Isso garante configurações de diretiva de usuário consistentes para todos os usuários no computador, conforme definido pelos GPOs do computador.

Ao ativar a política de processamento de loopback num GPO, pode configurar as definições de política do utilizador com base no computador em que o utilizador inicia sessão. Sem processamento de loopback, os GPOs que aplicam um objeto de computador processarão apenas as definições de configuração do computador. Os GPOs aplicados aos usuários processarão apenas as definições de configuração do usuário. Ao ativar a definição da política do modo de processamento de loopback, deve assegurar-se de que as configurações de Configuração do Computador e Configuração do Utilizador no GPO estejam ativadas. Essas configurações de política são aplicadas independentemente do usuário que faz logon.

Você pode configurar a definição de política de loopback usando o GPMC para editar o GPO e habilitar a política Configurar modo de processamento de loopback da Política de Grupo do usuário em Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Política de Grupo. Estão disponíveis duas opções:

Modo de mesclagem: neste modo, a lista de GPOs (Objetos de Política de Grupo) para o utilizador é reunida durante o processo de logon. Em seguida, a lista de GPOs para o computador é recolhida. Em seguida, a lista de GPOs para o computador é adicionada ao final dos GPOs para o usuário. Como resultado, os GPOs do computador têm precedência maior do que os GPOs do usuário. Se as configurações de diretiva entrarem em conflito, as configurações de diretiva do usuário nos GPOs do computador serão aplicadas em vez das configurações de diretiva normais do usuário.
Modo de substituição: neste modo, a lista de GPOs para o usuário não é coletada. Em vez disso, apenas a lista de GPOs com base no objeto de computador é usada. As definições de Configuração do Usuário desta lista são aplicadas ao usuário.

Atualização da Política de Grupo

Os principais mecanismos para atualizar a Diretiva de Grupo estão na inicialização e no logon. A Diretiva de Grupo também é atualizada em outros intervalos regularmente. O intervalo de atualização da política afeta a rapidez com que as alterações nos GPOs são aplicadas. Por padrão, clientes e servidores verificam se há alterações em GPOs a cada 90 minutos usando um deslocamento aleatório de até 30 minutos. As alterações nas configurações de Diretiva de Grupo podem não estar imediatamente disponíveis nas áreas de trabalho dos usuários porque as alterações no GPO devem primeiro ser replicadas para o controlador de domínio apropriado.

Os controladores de domínio verificam se há alterações na diretiva do computador a cada cinco minutos. Essa frequência de sondagem pode ser alterada usando uma dessas configurações de diretiva, Intervalo de Atualização da Diretiva de Grupo para Computadores, Intervalo de Atualização da Diretiva de Grupo para Controladores de Domínio ou Intervalo de Atualização da Diretiva de Grupo para Usuários. Encurtar a frequência entre as atualizações não é recomendado devido ao potencial aumento no tráfego de rede e mais carga colocada nos controladores de domínio.

Os componentes de um GPO são armazenados no AD e na pasta SYSVOL dos controladores de domínio. A replicação de um GPO para outros controladores de domínio ocorre por dois mecanismos independentes:

O sistema de replicação integrado controla a replicação do AD. Por padrão, a replicação normalmente leva menos de um minuto entre controladores de domínio dentro do mesmo site. Este processo pode ser mais lento se a sua rede for mais lenta do que uma LAN.
DFSR (Distributed File System Replication) controla a replicação da pasta SYSVOL. Nos locais, a replicação ocorre a cada 15 minutos. Se os controladores de domínio estiverem em locais diferentes, o processo de replicação ocorrerá em intervalos definidos com base na topologia e programação do site, o intervalo mais baixo será de 15 minutos.

Acionar a atualização da Diretiva de Grupo

Se necessário, você pode acionar uma atualização de Diretiva de Grupo manualmente das seguintes maneiras:

A partir de um computador local, introduza gpupdate.exe a partir da linha de comando. A execução gpupdate.exe dispara uma atualização de diretiva para o computador no qual o comando é executado.
Utilize o Invoke-GPUpdate cmdlet do PowerShell. Você pode usar esse cmdlet para disparar uma atualização do computador local ou para disparar uma atualização de um computador remoto.
Use o GPMC para disparar uma atualização de diretiva de grupo no nível da UO clicando com o botão direito do mouse na UO e selecionando Atualização de Diretiva de Grupo.

Otimize o processamento de GPO

Para reduzir o tempo necessário para processar um GPO, considere usar o seguinte.

Quando um GPO contiver apenas definições de configuração do computador ou do usuário, desative a parte da configuração de política que não se aplica. Com essa otimização, o computador de destino não verifica as partes de um GPO que você desabilita, o que reduz o tempo de processamento.
Combine GPOs menores para formar um GPO consolidado. Essa otimização reduz o número de GPOs aplicados a um usuário ou computador. A aplicação de menos Objetos de Política de Grupo (GPOs) a um utilizador ou computador pode reduzir os tempos de arranque ou de início de sessão e facilitar a resolução de problemas na estrutura das políticas.