Microsoft.com
Bem-vindo Entrar
Recursos para Profissionais de TI
Clique para classificar e enviar comentários
TechNet
TechNet Library
Artigos Técnicos
Windows
Windows Server
 Implementando cenários comuns de ge...
Implementando cenários comuns de gerenciamento de área de trabalho com o Console de Gerenciamento de Diretiva de Grupo
Publicado em: 5 de março de 2004

Este informe oficial descreve seis cenários de uso da Diretiva de Grupo para gerenciar ambientes de área de trabalho dos usuários e é complementar a um conjunto de cenários de GPO (objetos de diretiva de grupo) pré-configurados, disponíveis para download nesta página. Esses cenários de GPO devem ser usados como pontos de partida para o desenvolvimento de configurações adaptadas ao seu ambiente. Eles ilustram todos os recursos que podem ser gerenciados com a Diretiva de Grupo. Este informe oficial inclui a abordagem do Windows Server 2003 e do GPMC (Console de Gerenciamento de Diretiva de Grupo).

Nesta página

Introdução
Compreendendo e usando os cenários
Implantando os cenários
Configurando recursos específicos
Alternando os cenários
Estendendo os cenários
Apêndice A: Configurações de diretiva de cenário de GPO
Apêndice B: Executando CommonScenarios.msi

Introdução

Visão geral da Diretiva de Grupo

As tecnologias de gerenciamento IntelliMirror® fornecem gerenciamento de configurações e de alterações das definições de usuário e de computador, baseado no Active Directory, em computadores que estejam executando um membro das famílias de sistemas operacionais Microsoft® Windows® Server 2003 ou Microsoft Windows® 2000 ou o sistema operacional Microsoft® Windows® XP Professional. A Diretiva de Grupo fornece a infra-estrutura para o IntelliMirror, permitindo que você especifique as configurações para diretiva baseada no Registro, segurança, instalação de software, scripts, redirecionamento de pastas, serviços de instalação remota e manutenção do Internet Explorer.

As configurações de Diretiva de Grupo que você cria estão contidas em um GPO. Vinculando um GPO a recipientes selecionados – sites, domínios e UOs (unidades organizacionais) – do serviço do Active Directory, você pode aplicar essas configurações aos usuários e computadores desses recipientes do Active Directory. A herança e a precedência de Diretiva de Grupo determinam onde e como vincular os GPOs. Por padrão, as opções definidas em GPOs vinculados aos níveis mais altos de recipientes do Active Directory – sites, domínios e UOs – são herdadas por todos os recipientes dos níveis mais baixos, embora não ocorra herança entre domínios. Como os GPOs de nível mais baixo são aplicados por último, eles substituem os GPOs de nível mais alto e podem fornecer às UOs de nível mais baixo um conjunto diferente de configurações de Diretiva de Grupo.

Para gerenciar GPOs, deve ser usado o GPMC ou suas interfaces de script. O GPMC é uma ferramenta nova lançada no Windows Server 2003. É importante mencionar, porém, que o GPMC é uma ferramenta muito eficaz para o gerenciamento de Diretiva de Grupo em domínios do Windows 2000 e, com exceção de alguns poucos recursos novos, não requer que o Windows Server 2003 esteja sendo executado no ambiente.

Presume-se que o leitor deste informe oficial conheça os princípios básicos de Diretiva de Grupo.

Sobre os cenários comuns de área de trabalho

A Diretiva de Grupo é uma tecnologia rica e flexível que permite gerenciar com eficiência um grande número de contas de computador e de usuário através de um modelo centralizado, o "um-para-muitos". Essa flexibilidade traz o potencial de complexidade. Por exemplo, a Diretiva de Grupo no Windows Server 2003 expõe quase 1.000 configurações que podem ser definidas. A princípio, pode parecer uma tarefa assustadora – como o administrador avalia a importância relativa dessas configurações e quais recursos habilitados pela Diretiva de Grupo podem ser considerados quando uma solução é implantada?

Este informe oficial sobre Cenários Comuns da Área de Trabalho fornece um conjunto estruturado, testado e consistente de GPOs e a documentação a eles associada, com o objetivo de diminuir os obstáculos para aqueles que estão avaliando a Diretiva de Grupo.

Os cenários descritos neste informe oficial são um bom ponto de partida para avaliar e compreender a Diretiva de Grupo. Implementando esses cenários em um ambiente de teste, você deve ser capaz de:

  • Compreender rapidamente o escopo da Diretiva de Grupo e considerar como usar um grande número de configurações.

  • Listar algumas das soluções importantes habilitadas pela Diretiva de Grupo.

  • Familiarizar-se com algumas das novas funcionalidades apresentadas com o GPMC, principalmente backup/importação de GPOs e relatórios de Diretiva de Grupo.

  • Chegar a conclusões sobre como implementar a Diretiva de Grupo em seu ambiente de produção.

    Observação: existem diferenças significativas na abordagem deste informe oficial em relação às versões publicadas anteriormente. Essas diferenças refletem principalmente os novos recursos disponíveis no GPMC e são descritas detalhadamente mais adiante neste documento.

Como usar os cenários comuns de área de trabalho

Os GPOs fornecidos com este informe oficial foram criados com o recurso Backup do GPMC. Essa nova ferramenta oferece um ponto único de entrada para o gerenciamento de Diretiva de Grupo no ambiente e pode gerenciar domínios do Windows 2000 e do Windows Server 2003. O GPMC pode ser baixado do site da Microsoft (http://go.microsoft.com/fwlink/?linkid=12946). Como primeira etapa da implementação dos cenários comuns, você pode importar esses GPOs para o seu ambiente. Os detalhes de cada cenário estão descritos neste documento e documentados em uma planilha, bem como em relatórios baseados em HTML gerados com o uso do recurso Group Policy Reports (Relatórios de Diretiva de Grupo) do GPMC para cada um dos GPOs.

Em muitos casos, um cenário pode fornecer uma configuração de computador/usuário próxima à desejada para o seu ambiente de produção, não precisando de alterações significativas. Em outros casos, pode ser necessário modificar substancialmente os GPOs fornecidos para garantir um alinhamento com os seus objetivos comerciais.

Os GPOs podem ser implementados e validados em um ambiente de teste, modificados (quando necessário) para mapear suas necessidades específicas e, após os testes apropriados, copiados ou importados para um ambiente de produção.

O simples ato de importar os GPOs de cenário para o seu domínio não tem impacto imediato em computadores ou usuários. Para afetar as contas de destino, os GPOs devem ser vinculados a um escopo de gerenciamento (SOM) adequado – um site, um domínio ou uma UO que você queira gerenciar usando esses GPOs. Isso significa que o leitor cujos recursos de teste são limitados pode optar pela importação dos GPOs para um ambiente de produção e, antes de aplicá-los a um conjunto de contas de computador ou de usuário, pode vinculá-los a um SOM que tenha um número de contas mais limitado, criando efetivamente um programa piloto controlado. Uma vez concluído o programa piloto e testadas as alterações necessárias, os GPOs podem ser vinculados a SOMs mais amplos. Essa abordagem é mais eficaz quando o direcionamento para computadores e usuários é feito através de UOs. A maior parte deste informe oficial considera que esse seja o mecanismo de direcionamento utilizado (exceto quando indicado o contrário).

Visão geral dos cenários

A lista a seguir inclui os cenários e alguns exemplos típicos.

Gerenciado em menor escala

Use este cenário para usuários avançados ou desenvolvedores que possuem controle considerável sobre o computador. Ele também pode ser usado em uma empresa na qual áreas de trabalho fortemente gerenciadas não sejam aceitas por usuários ou o gerenciamento de áreas de trabalho seja altamente delegado. Em conjunto com os outros cenários, o Gerenciado em menor escala proporciona maior segurança e eleva a consistência da experiência do usuário, o que pode ser benéfico mesmo nos casos em que uma área de trabalho fortemente gerenciada não seja adequada.

Características do cenário Gerenciado em menor escala:

  • É o menos gerenciado de todos os cenários.

  • Permite que os usuários personalizem a maioria das configurações que os afetam, mas impede que façam alterações prejudiciais ao sistema.

  • Inclui configurações que reduzem os custos de suporte técnico e o tempo de inatividade do usuário.

  • Oferece suporte à livre utilização, ou seja, os usuários podem usar qualquer computador para acessar todos os seus recursos, aplicativos e dados como se estivessem em seu próprio computador. Isso também simplifica os cenários de backup de arquivos, pois os arquivos dos usuários ficam armazenados em servidores de arquivos designados.

  • Normalmente, possui um conjunto central de aplicativos que está sempre disponível e é atribuído ao usuário ou ao computador. Os usuários também podem optar por instalar aplicativos que foram publicados para eles.

Móvel

O cenário Móvel é relevante para computadores móveis/laptop e seus usuários. Ele atende principalmente ao usuário desconectado que precisa trabalhar offline, sincronizando de vez em quando com a rede corporativa.

Características do cenário Móvel:

  • Pode ser usado por usuários que passam a maior parte do tempo fora do escritório, que fazem logon usando conexões discadas de baixa velocidade, mas que às vezes também fazem logon usando conexões de rede de alta velocidade.

  • Também pode ser usado por usuários que ficam fora do escritório apenas de vez em quando e que fazem logon usando conexões de acesso remoto ou de rede remota.

  • Permite que os usuários tenham acesso contínuo aos dados e às configurações, esteja o computador conectado à rede ou não.

  • Oferece suporte parcial à livre utilização (o suporte à livre utilização total é opcional) para facilitar o backup centralizado dos dados e permitir que os usuários acessem dados e configurações importantes em computadores adicionais.

  • Permite que os usuários se desconectem da rede sem precisar fazer logoff ou desligar.

Multi-Usuário

Use este cenário no computador de uma biblioteca ou um laboratório universitários, no qual os usuários podem salvar algumas personalizações, como preferências do papel de parede e do esquema de cores da área de trabalho, mas não podem alterar as configurações de hardware ou de conexão.

Características do cenário Multi-Usuário:

  • Permite a personalização básica do ambiente da área de trabalho. Os usuários podem salvar configurações da área de trabalho, mas não podem personalizar configurações de rede, de hardware e do sistema.

  • Oferece suporte à livre utilização. Os usuários podem fazer logon em qualquer computador e obter seus dados e suas configurações. Nenhum estado é mantido em cache no computador quando eles saem.

  • Os usuários têm acesso para gravação restrito ao computador local e só podem gravar dados em seus respectivos perfis de usuário e em pastas redirecionadas.

  • Possui um conjunto de aplicativos que estão sempre disponíveis (atribuídos), bem como aplicativos que podem ser instalados e removidos conforme necessário (publicados).

  • É altamente seguro.

Estação de Aplicativos

O cenário Estação de Aplicativos é usado quando são necessárias configurações altamente restritas com apenas alguns aplicativos. Use-o em aplicações verticais como marketing, atendimento ao cliente e processamento de reclamações e empréstimos.

Características do cenário Estação de Aplicativos:

  • Permite o mínimo de personalização pelo usuário.

  • Permite que os usuários acessem um número pequeno de aplicativos relacionados ao desempenho de suas funções.

  • Não permite que os usuários adicionem ou removam aplicativos.

  • Oferece suporte à livre utilização.

  • Fornece uma área de trabalho simplificada e o menu Iniciar.

  • Os usuários têm acesso para gravação restrito ao computador local e só podem gravar dados em seus respectivos perfis de usuário e em pastas redirecionadas.

  • É altamente seguro.

Estação de Tarefas

Use o cenário Estação de Tarefas quando precisar que o computador seja dedicado à execução de uma única aplicação, como um terminal de entrada de pedidos ou uma central de atendimento.

O cenário Estação de Tarefas é semelhante ao cenário Estação de Aplicativos, com estas diferenças:

  • Possui somente um aplicativo instalado, que é iniciado automaticamente quando o usuário faz logon.

  • Não existe área de trabalho ou menu Iniciar.

Quiosque

Use este cenário em uma área pública, como um aeroporto, onde os passageiros entram e verificam as informações de vôo. Como o computador normalmente fica desprotegido, ele precisa ser altamente seguro.

Características do cenário Quiosque:

  • É uma estação de trabalho pública.

  • Executa somente um aplicativo.

  • Usa somente uma conta de usuário e faz logon automaticamente. O sistema é redefinido automaticamente para um estado padrão no início de cada sessão.

  • Sua execução é autônoma.

  • É altamente seguro.

  • É simples de operar, sem procedimento de logon.

  • Não permite que os usuários façam alterações nas configurações padrão do usuário ou do sistema.

  • Não salva dados no disco.

  • Está sempre ativado (o usuário não pode fazer logoff ou desligar o computador).

A estação de trabalho que utiliza o cenário Quiosque é semelhante à Estação de Tarefas, porém os usuários são anônimos porque todos compartilham uma única conta de usuário que faz logon automaticamente na inicialização do computador. Isso é conseguido por meio da modificação da máquina Quiosque da maneira descrita posteriormente neste documento. Os usuários não podem personalizar o ambiente e os estados dos usuários não são preservados.

Embora geralmente as sessões de usuário sejam anônimas, um usuário pode fazer logon em uma conta específica de aplicativo, como um aplicativo baseado na Web, através do Internet Explorer (considerando-se que o Internet Explorer seja o "aplicativo de quiosque" aberto na inicialização).

O aplicativo dedicado pode ser um aplicativo de linha de negócio (LOB), um aplicativo hospedado no Internet Explorer ou outro aplicativo, como um disponível no Microsoft Office. O aplicativo padrão não deve ser o Windows Explorer ou qualquer outro aplicativo do tipo shell. O acesso ao computador permitido pelo Windows Explorer vai além do recomendado para um computador Quiosque. Certifique-se de que o prompt de comando está desabilitado e de que o Windows Explorer não pode ser acessado a partir de um aplicativo usado com esse propósito.

Os aplicativos usados em cenários de quiosque devem ser verificados cuidadosamente para evitar a existência de "portas dos fundos" que permitam que os usuários enganem as diretivas do sistema. Por exemplo, eles não devem permitir que o acesso de usuários a aplicativos que acessam o sistema de arquivos. O ideal é que sejam usados somente aplicativos que estejam de acordo com a especificação de aplicativos do Windows 2000, que sejam certificados para o Windows e que verifiquem as configurações da Diretiva de Grupo antes de permitir o acesso de usuários a recursos proibidos. Para obter mais informações, consulte “The Application Specification for Windows 2000” (“A especificação de aplicativos do Windows 2000”) no site da Microsoft (http://go.microsoft.com/fwlink/?linkid=1636), em inglês. Como os aplicativos mais antigos provavelmente não reconhecerão a Diretiva de Grupo, tente desabilitar os recursos que permitem que os usuários ignorem a diretiva administrativa.

As entradas Run e RunOnce do Registro são desabilitadas no cenário Quiosque através de configurações de diretiva associadas.

Importante: os aplicativos que usam a entrada RunOnce para concluir uma instalação ou atualização irão falhar quando a configuração de Diretiva de Grupo Não processar a lista de itens para execução única estiver habilitada.

Consulte a tabela "Comparação de cenários" no Apêndice A para obter uma comparação dos recursos dos cenários.

Compreendendo e usando os cenários

Os cenários são implementados através do uso de GPOs fornecidos no pacote .MSI com este informe oficial. Vinculando combinações apropriadas de GPOs a UOs referentes a configurações de computador e de usuário, você pode implementar cada um dos cenários em seu ambiente. Esta seção descreve as características gerais dos GPOs e como eles podem ser vinculados a UOs.

Como os cenários são criados

GPOs separados para configurações de diretiva de computador e de usuário

A maioria dos cenários está associada diretamente a dois GPOs, um para configuração do computador e outro para configuração do usuário. Por exemplo, o cenário Gerenciado em menor escala está diretamente associado ao GPO Gerenciado em menor escala (Máquina) para configuração de computador e ao GPO Gerenciado em menor escala (Usuário) para configuração de usuário. Essa abordagem simplifica a solução de problemas, torna a aplicação de GPOs um pouco mais intuitiva e é uma prática recomendada de Diretiva de Grupo.

"GPOs de base" para configurações comuns

Muitos dos cenários compartilham um número considerável de configurações de diretiva e valores associados. Esta versão do informe oficial sobre Cenários Comuns apresenta o conceito de "GPO de base", que é mais relevante em um ambiente de produção do mundo real do que os GPOs monolíticos fornecidos com as versões anteriores.

Os GPOS de base (dois de cada para Gerenciado em menor escala e Altamente gerenciado) contêm configurações de Diretiva de Grupo comuns a outros cenários "filho" (consulte a próxima seção). Os GPOs desses cenários filho estendem esses GPOs de base habilitando, desabilitando ou alterando os valores de um número relativamente pequeno de configurações adequadas a seus requisitos específicos.

Relações cenário/GPO

Para implementar qualquer um dos cenários, os GPOs devem estar vinculados a recipientes SOM (escopo de gerenciamento) - um site, um domínio ou uma UO. A maioria dos GPOs fornecidos com o informe oficial foram criados para serem vinculados a UOs, em vez de sites ou domínios.

Observação: os GPOs fornecidos devem ser usados para agrupar configurações de diretiva comuns e suas relações são tecnicamente independentes de qualquer hierarquia de UOs que você possa implementar. Para cenários que requerem mais de um GPO, você pode vincular GPOs separados em uma cadeia de UOs (herança de Diretiva de Grupo) ou vincular vários GPOs a uma única UO (precedência de Diretiva de Grupo). Essas opções são abordadas detalhadamente mais adiante neste informe oficial.

A lista a seguir ilustra as relações entre os GPOs.

GPOs de diretiva de máquina

      Gerenciado em menor escala

            Móvel – Nenhuma diferença do GPO Gerenciado em menor escala, portanto não existe nenhum GPO de máquina para Móvel

      Altamente gerenciado

            Estação de Aplicativos - Nenhuma diferença do GPO Altamente gerenciado, portanto não existe nenhum GPO de máquina para Estação de Aplicativos

            Multi-Usuário – GPO fornecido

            Estação de Aplicativos – GPO fornecido

            Quiosque – GPO fornecido

GPOs de diretiva de usuário

      Gerenciado em menor escala

            Móvel – GPO fornecido

      Altamente gerenciado

            Estação de Aplicativos - GPO fornecido

            Multi-Usuário – GPO fornecido

            Estação de Aplicativos – GPO fornecido

            Quiosque – GPO fornecido

Por exemplo, o cenário Estação de Aplicativos compartilha muitas das suas configurações de Diretiva de Grupo com os GPOs Altamente gerenciado, da seguinte forma:

  • Na diretiva de máquina do cenário Estação de Aplicativos, as configurações são idênticas em todos os aspectos à configuração do cenário Altamente gerenciado e, por isso, não existe um GPO específico de Estação de Aplicativos para configurações de diretiva de máquina. Para implementar configurações de máquina apropriadas para o cenário Estação de Aplicativos, basta garantir que o GPO Altamente gerenciado (Máquina) esteja vinculado a um SOM que contenha as máquinas de destino.

  • Por comparação, existem algumas diferenças entre Altamente gerenciado e Estação de Aplicativos quanto a configurações de diretiva de usuário. Por esse motivo, é fornecido um GPO para as configurações de diretiva de usuário no cenário Estação de Aplicativos, que contém diferenças em relação ao GPO Altamente gerenciado de usuário. Para implementar as configurações de usuário do cenário Estação de Aplicativos, é necessário que os GPOs Altamente gerenciado (Usuário) e Estação de Aplicativos (Usuário) estejam vinculados – diretamente ou não – a um SOM que contenha os usuários de destino. Isso pode ser conseguido através de precedência ou herança de Diretiva de Grupo quando os GPOs estiverem vinculados ao mesmo recipiente.

A maioria dos cenários é implementada através de dois GPOs, um para configuração do computador e outro para configuração do usuário. O cenário Estação de Aplicativos é uma exceção: utiliza somente a configuração do usuário. Além disso, a maioria está associada aos cenários de base, Gerenciado em menor escala e Altamente gerenciado, através de precedência e/ou herança de Diretiva de Grupo. Considerando-se essas questões, os GPOs listados na Tabela 1 são efetivos para cada cenário.

Tabela 1.    GPOs de cenário

Nome do cenário

Nome do GPO de base

Nome do GPO específico do cenário

Gerenciado em menor escala

 

 

        Computador

Gerenciado em menor escala (Máquina)

N/A (nenhuma alteração da base)

        Usuário

Gerenciado em menor escala (Usuário)

N/A (nenhuma alteração da base)

Móvel

 

 

        Computador

Gerenciado em menor escala (Máquina)

N/A (nenhuma alteração da base)

        Usuário

Gerenciado em menor escala (Usuário)

Móvel (Usuário)

Estação de Aplicativos

 

 

        Computador

Altamente gerenciado (Máquina)

N/A (nenhuma alteração da base)

        Usuário

Altamente gerenciado (Usuário)

Estação de Aplicativos (Usuário)

Multi-Usuário

 

 

        Computador

Altamente gerenciado (Máquina)

Multi-Usuário (Máquina)

        Usuário

Altamente gerenciado (Usuário)

Multi-Usuário (Usuário)

Estação de Aplicativos

 

 

        Computador

Altamente gerenciado (Máquina)

Estação de Aplicativos (Máquina)

        Usuário

Altamente gerenciado (Usuário)

Estação de Aplicativos (Usuário)

Quiosque

 

 

        Computador

Altamente gerenciado (Máquina)

Quiosque (Máquina)

        Usuário

Altamente gerenciado (Usuário)

Quiosque (Usuário)

Objetivo dos GPOs Altamente gerenciado

O cenário Altamente gerenciado é virtual. Seu objetivo é fornecer um conjunto de configurações comuns a outros cenários (especificamente os cenários Multi-Usuário, Estação de Aplicativos, Estação de Aplicativos e Quiosque). Por isso, os GPOs Altamente gerenciado não foram criados (nem testados) para operar em seu próprio contexto. Em vez disso, os outros cenários são habilitados, garantindo que os GPOs Altamente gerenciado afetem as contas através de herança ou precedência de Diretiva de Grupo. Em resumo, nenhuma conta de computador ou de usuário deve existir em UOs criadas especificamente para um cenário Altamente gerenciado.

Criando um ambiente de teste

Nas versões anteriores deste informe oficial, era necessário um número considerável de scripts para criar e configurar os GPOs fornecidos com o informe oficial. Com o advento do GPMC (e, especificamente, a sua funcionalidade Importar), esses scripts não são mais necessários. O backup dos GPOs é fornecido com este informe oficial, permitindo que você os importe diretamente para o seu ambiente.

Para ajudar na criação desse ambiente, um script incluído com o GPMC (o CreateEnvirommentFromXML.wsf) é usado para criar uma hierarquia de UOs, criar GPOs e vincular os GPOs às UOs corretamente. Um script chamado CreateCommonScenarios.cmd é fornecido com este informe oficial para chamar esse script com os parâmetros apropriados.

Depois de executar o script com êxito, você terá UOs e GPOs vinculados configurados como aqueles mostrados na Figura 1.

Cc668483.csws0301(pt-br,TechNet.10).gif

Figura 1.    Captura de tela de GPOs de cenário do GPMC

Vinculando GPOs a UOs para criar cenários

Há duas abordagens amplas disponíveis para criar cenários em seu ambiente usando os GPOs. Para ilustrar essas opções, é utilizado o cenário Estação de Aplicativos, que é uma extensão do cenário Altamente gerenciado (muitas das configurações do Estação de Aplicativos são definidas pelos GPOs Altamente gerenciado).

Vinculando GPOs a uma hierarquia de UOs (herança de Diretiva de Grupo)

Com esta opção, crie uma hierarquia de UOs em que as UOs Estação de Aplicativos (uma de cada para as contas de Computador e de Usuário) são filhas das UOs Altamente gerenciado. A Figura 2 ilustra como os GPOs seriam vinculados.

Figure 2.    Linking Scenario GPOs Using Inheritance

Figura 2.    Vinculando GPOs de cenário usando herança

Observe que, como a diretiva de máquina do cenário Estação de Aplicativos não difere da diretiva do cenário Altamente gerenciado, não existe nenhum GPO Estação de Aplicativos (Máquina). Tecnicamente, não é necessário colocar os computadores Estação de Aplicativos afetados na UO Estação de Aplicativos porque eles poderiam residir na UO Altamente gerenciado e ser afetados pelas mesmas configurações. No entanto, para diferenciar e acomodar facilmente o potencial para futuras diferenças entre os GPOs Altamente gerenciado e Estação de Aplicativos (na máquina), talvez fosse interessante reter a UO Estação de Aplicativos. Depois que os GPOs apropriados forem vinculados a essas UOs, as contas de computador e de usuário seriam movidas para as UOs Estação de Aplicativos apropriadas.

Vinculando GPOs diretamente a UOs (precedência de Diretiva de Grupo)

Nesta abordagem, você só cria duas UOs (uma de cada para as contas de Computador e de Usuário). Para cada uma, os GPOs Altamente gerenciado e Estação de Aplicativos são vinculados diretamente à UO. Esse procedimento está ilustrado na Figura 3.

Figure 3.    Linking Scenario GPOs Using Precedence

Figura 3.    Vinculando GPOs de cenário usando precedência

Após a vinculação dos GPOs, é importante garantir que os GPOs Estação de Aplicativos tenham prioridade sobre os GPOs Altamente gerenciado. O GPMC fornece uma interface simples e intuitiva para impor essa precedência. Isso é conseguido por meio da seleção de um recipiente (como uma UO) na árvore do GMPC e do uso da guia Objetos de Diretiva de Grupo Conectados no painel direito para ajustar a ordenação dos GPOs vinculados a esse recipiente.

Depois de criar os vínculos de UOs e GPOs, mova as contas de computador e de usuário para as UOs Estação de Aplicativos apropriadas.

Diferenças em relação a versões anteriores dos cenários comuns

Uma versão anterior deste informe oficial concentrou-se em domínios do Windows 2000. Desde então, vários aprimoramentos da Diretiva de Grupo foram disponibilizados, especialmente o GPMC. As áreas a seguir diferem entre os cenários comuns do Windows 2000 e do Windows Server 2003.

GPOs de base

Conforme descrito anteriormente, os GPOs de base (Gerenciado em menor escala e Altamente gerenciado) são um conceito novo nesta versão do informe oficial.

Implantação de GPO baseada no GPMC

O GPMC fornece diversos recursos – Backup, Importar, Copiar, etc. – que simplificam consideravelmente o gerenciamento de GPOs. Este informe oficial aproveita todas as vantagens desses novos recursos, fornecendo cópias de backup de GPOs que podem ser facilmente importadas para o seu ambiente de teste.

Script de criação de ambientes (CreateCommonScenarios.cmd)

O GPMC inclui uma série de scripts de exemplos que ilustram a automação de operações comuns de Diretiva de Grupo. Um desses scripts é o CreateEnvironmentFromXML.wsf, que usa um arquivo XML para recriar um ambiente (geralmente UOs, GPOs e vínculos de GPO) em seu domínio. A fim de facilitar o uso do script para automatizar amplamente a criação do ambiente, foi incluído neste informe oficial um arquivo XML (CommonScenarios.xml).

Um arquivo de comando – CreateCommonScenarios.cmd – é fornecido com este informe oficial para agilizar a instalação de um ambiente de exemplo.

É importante observar que, embora seja necessário executar o script em um computador com o Windows XP ou o Windows Server 2003, o domínio no qual ele cria o ambiente de exemplo pode ser do Windows 2000 ou do Windows Server 2003.

Documentação de Group Policy Reports

O GPMC fornece uma nova maneira de reportar o conteúdo de GPOs – os Group Policy Reports (Relatórios de Diretiva de Grupo). São relatórios HTML que documentam todos os aspectos de cada GPO. Os relatórios de cada um dos GPOs são fornecidos com o CommonScenarios.msi, como uma ferramenta de documentação. Quando você fizer alterações nos GPOs, o GPMC poderá ajudá-lo a documentá-las usando os Group Policy Reports.

Novas configurações de Diretiva de Grupo

O Windows Server 2003 fornece várias configurações novas não só para esse sistema operacional como também para o Windows XP Professional. Muitas dessas configurações são usadas nos GPOs de cenário atualizados.

Planilha consolidada de configurações de Diretiva de Grupo

As versões do Windows 2000 e do Windows XP dos cenários instalaram uma planilha para cada cenário. Essa versão revisada inclui uma planilha consolidada – CommonScenarios.xls – e cada cenário é listado em uma coluna separada. Com o uso da filtragem de colunas do Microsoft Excel, essa pode ser uma maneira útil de comparar rapidamente as configurações do GPO.

Implantando os cenários

Esta seção descreve as etapas necessárias para implementar os cenários. Como pré-requisito, pressupõe-se que você tenha criado um domínio do Active Directory totalmente operacional e que tenha validado a integridade e a operação da infra-estrutura de DNS subjacente. A Diretiva de Grupo depende de um ambiente do Active Directory bem configurado e confiável.

Estas são as etapas necessárias para implementar os cenários:

  1. Execute o pacote CommonScenarios.msi para copiar os GPOs, os scripts e a documentação associada (como este informe oficial) para a sua estação de trabalho administrativa.

  2. Crie um ambiente de UO apropriado.

  3. Utilize o GPMC para importar os GPOs do cenário para o seu ambiente.

  4. Vincule os GPOs às UOs.

    Há duas opções para executar as etapas 2 - 4:

    1. Crie automaticamente uma hierarquia de UOs, os GPOs e os vínculos de GPO usando um script fornecido com este informe oficial (CreateCommonScenarios.cmd).

    2. Implemente manualmente cada etapa (criar UOs, importar GPOs, etc.). Essa abordagem é mais flexível, embora sua implementação seja mais demorada.

Concluídas essas etapas e independentemente da abordagem usada (script ou manual), você executará as seguintes etapas para concluir a configuração e o teste dos cenários:

  • Configure os recursos específicos do cenário (consulte a seção "Configurando recursos específicos").

  • Crie contas de computador e de usuário para serem usadas nos cenários.

  • Teste os cenários.

Considerações sobre teste e ambiente de produção

Antes de instalar os cenários no ambiente (descrito na próxima seção), você deve compreender as opções disponíveis para teste. Há duas maneiras principais de incorporar os GPOs no ambiente para teste: vinculando os GPOs às UOs de teste no domínio de produção ou usando um domínio de teste separado (na mesma floresta ou em outra diferente).

Usando UOs de teste em seu ambiente de produção

Quando um domínio de teste separado (a abordagem preferida) não for viável, os GPOs de cenário podem ser importados para um ambiente de produção e vinculados a UOs criadas nesse domínio especificamente com a finalidade de teste. Essas UOs devem ser bem segmentadas a partir daquelas usadas com objetivos de produção regular. A vantagem dessa abordagem é que você não precisa criar infra-estrutura para dar suporte a um domínio separado (controladores de domínio, rede, etc.). A desvantagem é que a configuração incorreta de contas, GPOs ou vínculos de GPO pode afetar diretamente o ambiente de produção.

Usando um domínio de teste separado

Com esta abordagem, você usa um domínio que é separado do domínio do seu ambiente de produção (com ou sem relações de confiança entre os ambientes de teste e de produção). Isso pode permitir que você execute um teste mais realista, modelando o domínio de teste do seu domínio existente para poder testar as configurações e as outras interações do domínio todo, conforme necessário. Uma vantagem significativa do uso desta abordagem é que o impacto dos erros através de GPOs vinculados ou filtrados inadequadamente é consideravelmente menor do que o que se evidencia em um ambiente de produção. A principal desvantagem desta abordagem é que você precisa configurar controladores de domínio e outra infra-estrutura de suporte (rede, DNS, etc.) que implemente o domínio de teste. Se possível, use esta abordagem.

Considerações entre florestas e entre domínios

Os dois domínios usados para fins de teste e de produção podem ou não estar na mesma floresta. Além disso, se eles estiverem em florestas separadas, pode ou não existir uma relação de confiança entre as florestas, porque essa relação só pode ser estabelecida entre florestas do Windows Server 2003.

Quando existe uma relação de confiança entre os domínios (por exemplo, quando os domínios de teste e de produção estão na mesma floresta e existem relações de confiança transitivas padrão), um administrador que tenha os direitos apropriados em cada domínio pode usar o GPMC para copiar GPOs entre os domínios. Isso pode ser tão simples quanto arrastar e soltar GPOs entre os domínios usando a interface gráfica de usuário do GPMC. Observe que, se os GPOs do ambiente de teste incluírem objetos de segurança (por exemplo, nomes de grupos) ou caminhos UNC (por exemplo, ao especificar os parâmetros de Redirecionamento de Pastas), as tabelas de migração o ajudarão a lidar com as alterações que você pode precisar fazer nos limites do domínio. O Migration Table Editor (Editor de Tabela de Migração) – parte do GPMC – fornece uma interface simples para editar tabelas de migração. Para obter mais informações, consulte o informe oficial “Migrating GPOs Across Domains with GPMC” (“Migrando GPOs entre domínios com o GPMC”) no site da Microsoft (http://go.microsoft.com/fwlink/?linkid=14321).

Quando não há uma relação de confiança, estas são as opções disponíveis:

  • Crie a sua própria estrutura de UOs e use a função Importar do GPMC para criar novos GPOs no ambiente de produção. O backup do qual você importa os GPOs pode ser aquele fornecido com este informe oficial ou, se você já tiver adequado os GPOs às suas necessidades, um conjunto de backup que você tenha criado.

  • Use o script CreateEnvironmentFromXML.wsf, um script de exemplo instalado com o GPMC (consulte a Ajuda do GPMC para obter mais informações), para criar o ambiente de UO padrão em seu domínio de produção e, se necessário, renomeie as UOs e os GPOs para que reflitam melhor as convenções de nomenclatura/estrutura do ambiente de produção.

  • Use o recurso do Windows XP, Nomes de Usuário e Senhas Armazenados, para armazenar as credenciais de um usuário em um domínio não confiável.

Recomendação para o ambiente de teste

Quando houver recursos adequados disponíveis (controladores de domínio, infra-estrutura de rede, etc.), é altamente recomendável que os GPOs sejam importados para um domínio de teste. A utilização de um domínio separado proporciona um ambiente relativamente seguro no qual os GPOs podem ser avaliados, além de permitir mais flexibilidade com relação ao teste das configurações de Diretiva de Grupo do domínio todo.

Instalando scripts e GPOs de cenários comuns

Este informe oficial fornece uma série de backups de scripts e GPOs que constituem a base da implantação dos cenários comuns. O arquivo CommonScenarios.msi instala esses componentes (inclusive o próprio informe oficial) na pasta "%programfiles%\Microsoft\Group Policy Common Scenarios" e cria opções no menu Iniciar para alguns desses componentes (por exemplo, um link para o informe oficial e sua planilha associada). Após a execução desse pacote, a estrutura de diretórios a seguir é criada:

%programfiles%\Microsoft\Group Policy Common Scenarios

    \Documentation (planilha e informe oficial sobre Cenários Comuns)

    \GPO-Backups (backups dos GPOs de cenário, originados no GPMC)

    \GPO-Reports (relatórios de cada GPO no formato HTML, originados no GPMC)

    \Environment (representação XML da estrutura de UOs de exemplo para os cenários)

    \Scripts (scripts usados para criar o ambiente de exemplo)

Pressupõe-se que o GPMC já esteja instalado no computador onde esse diretório será criado (os scripts fornecidos incluem chamadas para interfaces de script do GPMC). O GPMC requer o Windows XP Professional ou o Windows Server 2003. Consulte a documentação do GPMC para obter mais detalhes sobre os requisitos. O diretório no qual os arquivos de cenários comuns serão instalados daqui por diante será chamado de <installdir> (geralmente %programfiles%\Microsoft\Group Policy Common Scenarios).

Além da instalação dos arquivos, o menu Group Policy Common Scenarios (Cenários Comuns de Diretiva de Grupo) é criado no menu Iniciar/Programas do usuário. Esse menu permite acessar o informe oficial, a planilha, um atalho para o diretório Group Policy Reports e uma linha de comando configurada para iniciar no diretório %programfiles%\Microsoft\Group Policy Common Scenarios\Scripts.

Depois de executar o instalador, você deve importar para o seu domínio os GPOs associados aos cenários. Para isso, há duas opções: um método rápido para criar um ambiente geral de teste de cenários comuns (uma estrutura de UOs de exemplo, GPOs e vínculos de GPO) e um processo mais manual no qual a criação de UOs, GPOs e vínculos de GPO são etapas separadas.

Opção de implantação 1: Instalação rápida usando CreateCommonScenarios.cmd

Há um script para ajudar na instalação de uma estrutura de UOs representativa, GPOs e vínculos de GPO no ambiente. Esse script chama-se CreateCommonScenarios.cmd e está instalado no diretório <installdir>\Scripts. Ele chama um script de exemplo instalado pelo GPMC, o CreateEnvironmentFromXML.wsf, que está instalado no diretório %programfiles%\GPMC\Scripts.

O script CreateCommonScenarios.cmd inicia as seguintes tarefas:

  • Cria uma hierarquia de UOs de exemplo, representando locais para contas de computador e de usuário

  • Cria os GPOs de cenário, incluindo as permissões padrão

  • Vincula os GPOs de cenário às UOs apropriadas

Executando o script CreateCommonScenarios.cmd

Para executar o script, proceda da seguinte forma:

  1. Clique em Iniciar, depois em Programas e em Group Policy Common Scenarios e, em seguida, clique em Common Scenarios Scripts Command Prompt (Prompt de Comando de Scripts de Cenários Comuns).

  2. No prompt de comando, digite CreateCommonScenarios e pressione Enter.

Resultados da execução do script

Executando o script em seu domínio, você cria um ambiente de teste auto-suficiente com as UOs apropriadas e os GPOs vinculados a essas UOs. Observe que talvez seja necessário criar ou editar os GPOs vinculados no nível de domínio, especialmente se as configurações de diretiva de conta forem modificadas, mas esse procedimento é específico do seu domínio e está fora do escopo dos GPOs de cenário. Para evitar um possível conflito com o ambiente existente, nenhuma configuração de diretiva no nível de domínio é implementada através dos cenários.

Modificando o comportamento do script CreateCommonScenarios.cmd

O script CreateCommonScenarios.cmd é um wrapper do script CreateEnvironmentFromXML.wsf, que é instalado com o GPMC. Em alguns casos, pode ser necessário alterar o comportamento padrão desse script. Por exemplo, para modificar o controlador de domínio no qual o script é executado. Todos os parâmetros passados diretamente para o script CreateCommonScenarios.cmd são passados para o script CreateEnvironmentFromXML.wsf. Para obter mais informações sobre os parâmetros com suporte do script CreateEnvironmentFromXML.wsf, consulte a Ajuda do GPMC.

Opção de implantação 2: Etapas da implantação manual usando a GUI do GPMC

Este método é mais demorado, mas permite maior controle sobre o design da UO e os links de GPO.

Crie um ambiente de teste de UO apropriado

Você precisa criar UOs para os usuários e os computadores que deseja gerenciar em seu domínio. Caso seu ambiente exija uma estrutura de UOs mais complexa do que aquela descrita neste documento, consulte o capítulo "Designing the Active Directory Logical Structure" (Criando a estrutura lógica do Active Directory) do manual Designing and Deploying Directory and Security Services (Criando e Implantando Serviços de Segurança e de Diretório), no Kit de implantação do Windows Server 2003. Para obter mais informações, consulte o site da Microsoft (http://go.microsoft.com/fwlink/?linkid=18341).

Use o GPMC para importar GPOs

Os GPOs fornecidos com este informe oficial também podem ser importados manualmente para o seu ambiente, com o uso de um script de exemplo do GPMC, da seguinte forma:

cscript %programfiles%\gpmc\scripts\ImportAllGPOs.wsf <installdir>\GPO-Backups

Observação

“Cscript” não poderá ser omitido se você tiver configurado anteriormente o cscript como o ambiente de script padrão da sua máquina. Mais especificamente, se você tiver executado anteriormente:

cscript //hh:cscript

isso definirá cscript como o ambiente padrão e, nesse caso, o seguinte comando funcionará:

%programfiles%\gpmc\scripts\ImportAllGPOs.wsf <installdir>\GPO-Backups

O script ImportAllGPOs.wsf resultará na criação de todos os GPOs fornecidos no diretório <installdir>GPO-Backups em seu ambiente e na importação das respectivas configurações. Concluída esta etapa, será necessário vincular os GPOs às UOs que foram criadas.

O mesmo resultado pode ser conseguido através do snap-in do MMC do GMPC. Para isso, proceda da seguinte forma:

  1. Crie GPOs vazios (sem configurações de diretiva) no ambiente clicando com o botão direito do mouse no nó Objeto de Diretiva de Grupo e selecionando Novo no menu de contexto. Crie um GPO para cada um dos GPOs de Cenários Comuns usando os nomes relacionados na seção "Como os cenários são criados" deste informe oficial.

  2. No GPMC, clique com o botão direito do mouse em cada GPO e clique em Import (Importar). Vá para o diretório <installdir>\GPO-Backups e importe as configurações de diretiva do GPO de backup apropriado.

Vincule GPOs a UOs

Para aplicar as configurações de um GPO aos usuários e computadores de um domínio, site ou UO, é necessário adicionar um vínculo a esse GPO. Você pode adicionar um ou mais vínculos de GPO a cada domínio, site ou UO usando o GPMC. Lembre-se de que a criação e a vinculação de GPOs é um privilégio importante que deve ser delegado apenas a administradores confiáveis que conheçam a Diretiva de Grupo.

Para vincular um GPO existente

  1. No GPMC, clique com o botão direito do mouse em um domínio ou uma UO e, em seguida, clique em Link an Existing GPO here (Vincular um GPO Existente aqui).

  2. Na caixa de diálogo Select GPO (Selecionar o GPO), clique no GPO que deseja vincular e, em seguida, clique em OK. O GPO será exibido no painel esquerdo, abaixo do domínio ou da UO a que está vinculado.

Para vincular vários GPOs simultaneamente a um objeto do Active Directory, mantenha pressionada a tecla CTRL ao selecionar os GPOs.

Configuração de pós-instalação

Uma vez criado o ambiente em que deseja hospedar os GPOs de cenário (seja automaticamente usando o script CreateCommonScenarios.cmd ou manualmente), é necessário que você execute várias etapas adicionais para finalizar a configuração de certos aspectos do seu ambiente. Esta seção descreve cada uma dessas etapas.

Configure recursos do cenário

A configuração de Perfis de Usuários Móveis e Pastas Redirecionadas requer a inserção de caminhos UNC específicos para o seu ambiente (nos objetos de usuário do Active Directory e nos GPOs apropriados, respectivamente). Consulte a seção "Configurando recursos específicos" para obter mais detalhes.

Crie contas de computador e de usuário

Usando o snap-in Usuários e Computadores do Active Directory, crie um número de contas de usuário suficiente para testar cada um dos cenários.

É importante observar que qualquer cenário é implementado através da combinação de contas de usuário e de computador, cada uma das quais deve ser afetada pelos GPOs associados ao mesmo cenário. Por exemplo, para conseguir o cenário Estação de Aplicativos, um usuário na UO CommonScenarios/Users/Estação de Aplicativos pode fazer logon em um computador na UO CommonScenarios/Computer/Estação de Aplicativos. Qualquer "correspondência cruzada" de cenários de usuário e de computador não será testada e poderá causar resultados imprevisíveis.

Migrando os cenários para um ambiente de produção

Depois de testar e potencialmente personalizar o ambiente de Cenário Comum, talvez você deseje migrar para um ambiente de produção. Estas abordagens podem ser usadas:

  • Criação manual em ambiente de produção. Com esta abordagem, você cria cada uma das UOs a partir do GPMC ou de Usuários e Computadores do Active Directory. Os GPOs são copiados (se houver uma relação de confiança entre os ambientes de origem e de destino) ou criados/importados (quando forem usados backups de GPOs baseados em arquivos). Em seguida, vincule os GPOs às UOs e mova os usuários/computadores para as UOs, conforme apropriado.

  • Uso dos scripts CreateXMLFromEnvironment e CreateEnvironmentFromXML. O script CreateXMLFromEnvironment, incluído no GPMC como um script de exemplo, permite que o administrador crie um arquivo XML que representa todos os objetos relacionados à diretiva (UOs, GPOs e vínculos de GPO). Como opção, você pode especificar uma UO inicial em vez do domínio inteiro. O script cria uma representação da UO e dos GPOs a ela vinculados no arquivo XML especificado. Esse arquivo pode ser usado pelo script CreateEnvironmentFromXML para criar no ambiente de destino uma estrutura de UOs espelhada e os GPOs e links associados. Planejados com cuidado, esses dois scripts podem ajudar a criar uma estrutura inicial no ambiente de produção.

Para obter mais informações sobre como gerenciar GPOs nos domínios, consulte o informe oficial “Migrating GPOs Across Domains with GPMC” ("Migrando GPOs entre domínios com o GPMC”) no site da Microsoft (http://go.microsoft.com/fwlink/?linkid=14321).

Removendo os cenários do ambiente

Remover os cenários do ambiente é uma tarefa relativamente simples. Para isso, execute estas etapas:

  • Mova para UOs alternativas as contas de computador e de usuário que você pretende reter, conforme necessário. Reconfigure de acordo os objetos de usuário para modificar os caminhos de Perfil de Usuário Móvel.

  • Confirme se cada GPO de cenário está vinculado aos SOMs esperados, usando a guia Scope (Escopo) no GPMC. Esta etapa é importante para garantir que não exista nenhum vínculo entre domínios ou outros vínculos inesperados.

  • Exclua cada GPO de cenário.

  • Confirme se as UOs de cenário estão vazias e use o recurso Usuários e Computadores do Active Directory para removê-las.

  • Se você tiver adicionado o GPO de domínio, valide, desvincule e exclua esse GPO da forma apropriada.

Se você utilizou o script CreateCommonScenarios.cmd para criar o ambiente de exemplo, o script de exemplo CreateEnvironmentFromXML.wft foi chamado implicitamente. Esse script possui uma opção /undo que remove o ambiente descrito pelo arquivo XML passado como um argumento. Consulte a Ajuda online do GPMC para obter mais detalhes sobre esse script.

Além dessas questões, consulte a seção "Alternando os cenários" para conhecer outros fatores que também podem ser relevantes na remoção de cenários (por exemplo, "tatuando" o Registro com configurações de segurança).

Configurando recursos específicos

Esta seção descreve os diversos recursos configurados nos GPOs de cenários comuns.

Perfis de Usuários Móveis

O perfil de usuário é um grupo de configurações e arquivos que definem o ambiente do usuário. Ele inclui itens de programa, cores de tela, conexões de rede, tamanhos e posições das janelas, etc. Os RUPs (Perfis de Usuários Móveis) permitem o armazenamento de perfis de usuários com base no servidor, o que significa que os usuários podem se movimentar entre os computadores e ver um ambiente idêntico. O RUP é baixado para o usuário quando ele faz logon e, por padrão, é armazenado no servidor quando o usuário faz logoff. Esse recurso é um componente do conceito de "livre utilização", ou seja, a capacidade de os usuários se movimentarem entre os computadores e ainda assim manterem um ambiente idêntico.

Cenários nos quais os perfis de usuários móveis são usados

Devido à ordem em que ocorrem o logon, a criação/carregamento do perfil e a aplicação dos GPOs, não é possível especificar o local de um perfil de usuário usando a Diretiva de Grupo. Por esse motivo, a especificação do local do perfil do usuário é uma etapa distinta e separada da aplicação de GPOs. Assim sendo, para garantir que o usuário seja configurado corretamente, é importante movê-lo para a UO apropriada e, além disso, configurar o objeto de usuário conforme descrito a seguir.

Os cenários comuns aproveitam os perfis de usuários móveis da seguinte forma:

  • Usado: Gerenciado em menor escala, Altamente gerenciado, Multi-Usuário, Estação de Aplicativos e Estação de Aplicativos

  • Usado como opção: Móvel

  • Não usado: Quiosque

Etapas da configuração de Perfis de Usuários Móveis

Nesta ilustração, este documento considera que um servidor chamado ServidorComum esteja disponível para armazenar os perfis de usuários. As etapas a seguir são necessárias para criar um compartilhamento para os perfis de usuários e configurar as contas de usuários corretamente.

  1. No computador ServidorComum, crie uma pasta chamada perfis .

  2. Compartilhe essa pasta como perfis$ .

  3. Defina as permissões do compartilhamento como Controle Total para o grupo Todos (a segurança será imposta pelas permissões de NTFS quando as pastas de perfil de usuário forem criadas).

  4. Certifique-se de que o armazenamento em cache está desabilitado para essa pasta (use o cache somente para as pastas nas quais não são armazenados perfis).

  5. Para cada conta para a qual são necessários perfis de usuários móveis, defina o caminho do perfil no objeto de usuário como \\ServidorComum\perfis$\%nome do usuário% (o snap-in do MMC de Usuários e Computadores do Active Directory é a maneira mais comum de editar esse parâmetro). Quando o perfil do usuário for criado, a variável de ambiente %nome do usuário% será determinada para o nome do usuário.

Observações sobre perfis de usuários móveis

Uma prática recomendada é permitir que as contas específicas dos usuários (na pasta Perfis) sejam criadas automaticamente no momento em que o perfil do usuário for estabelecido. Esse procedimento garante que o conjunto apropriado de permissões de NTFS e a propriedade sejam definidos nessa pasta.

Importante: os perfis de usuários móveis possuem um mecanismo de cache próprio que pode interferir na sincronização de Arquivos Off-line e levar a um comportamento inesperado e à perda de dados. Portanto, verifique se o cache está desabilitado para os compartilhamentos nos quais os perfis são armazenados.

Pastas Redirecionadas

O Redirecionamento de Pastas permite que o conteúdo de uma pasta do perfil do usuário seja redirecionado para um local na rede. Por exemplo, é possível mover Meus Documentos, que geralmente faz parte do perfil do usuário e está armazenado em cache na unidade local, para uma pasta no diretório base do usuário na rede. A habilitação desse recurso é útil porque as pastas Meus Documentos e Dados de Aplicativos costumam conter grandes quantidades de dados. A habilitação do recurso Redirecionamento de Pastas ajuda a diminuir o tempo de logon e logoff porque o conteúdo das pastas redirecionadas não é copiado juntamente com o restante do perfil do usuário.

Na maioria dos casos, ao usar o Redirecionamento de Pastas, você o combinará com Arquivos Off-line para que os usuários possam acessar cópias em cache das pastas redirecionadas quando estiverem desconectados da rede. De fato, com o Windows XP, todas as pastas redirecionadas também são armazenadas em cache localmente, por padrão (esse não é o caso do Windows 2000).

Se houver muitos usuários que usam um único computador, considere a possibilidade de habilitar a configuração de Diretiva de Grupo Ao fazer logoff, exclua a cópia local dos arquivos off-line do usuário para evitar que o disco rígido local fique cheio de arquivos em cache de vários usuários. Essa configuração está localizada em Configuração do Computador\Modelos Administrativos\Rede\Arquivos Off-line.

Cuidado

Essa configuração de diretiva deve ser usada com cautela. Se um usuário que esteve trabalhando offline não tiver sincronizado suas alterações, elas serão perdidas no logoff quando os arquivos offline forem excluídos.

Quando você implementa o Redirecionamento de Pastas, as pastas de destino são criadas automaticamente e a segurança dessas pastas é configurada também automaticamente. É possível alterar a segurança das pastas redirecionadas marcando ou desmarcando a opção Conceder ao usuário direitos exclusivos a nome_da_pasta , localizada neste caminho: Configuração do Usuário\Configurações do Windows\Redirecionamento de Pastas\nome_da_pasta - guia Configurações.

Por exemplo, se você redirecionar a pasta Meus Documentos para \\ServidorComum\Docs\%Nome do usuário%, não crie uma pasta Nome do Usuário com antecedência. Se a pasta existir com antecedência e o usuário atual não for o proprietário da pasta e de seu conteúdo, ocorrerá falha no processo de redirecionamento. Por outro lado, se a pasta não existir antes do redirecionamento de pastas, ela será criada e o usuário se tornará o proprietário dessa pasta. Se você usar a opção Criar uma pasta para cada usuário no caminho raiz na caixa suspensa Local da Pasta de Destino, o Redirecionamento de Pastas anexará automaticamente o %nome do usuário% ao caminho raiz especificado.

Importante: se houver necessidade de criar a pasta com antecedência, verifique se o usuário é o proprietário da pasta e de seu conteúdo. Para alterar a propriedade de um arquivo ou de uma pasta, use o Windows Explorer ou o utilitário Subinacl.exe, que está disponível no CD complementar do Microsoft Windows Server 2003 Resource Kit. Para obter mais informações, consulte o site da Microsoft (http://go.microsoft.com/fwlink/?linkid=18341).

Observação: quando as configurações de Redirecionamento de Pastas da Diretiva de Grupo saem fora do escopo, por padrão o redirecionamento é mantido. A guia Configurações possui uma opção que permite redirecionar as pastas para o computador local; contudo, evite usá-la. A configuração padrão é mais segura porque nenhum dado é movido quando uma diretiva de Redirecionamento de Pastas sai fora do escopo. Qualquer diretiva de Redirecionamento de Pastas nova redirecionará corretamente.

Cenários nos quais o Redirecionamento de Pastas é usado

Os cenários comuns aproveitam o Redirecionamento de Pastas da seguinte forma:

  • Redirecionamento de Meus Documentos e Dados de Aplicativos: Gerenciado em menor escala, Altamente gerenciado, Móvel, Multi-Usuário, Estação de Aplicativos e Estação de Aplicativos

  • Nenhum: Quiosque

Etapas da configuração de Pastas Redirecionadas

Como um nome de servidor é especificado quando as pastas redirecionadas são configuradas, os GPOs fornecidos com esse CommonScenarios.msi não especificam as propriedades de Redirecionamento de Pastas. Para implementar completamente os cenários no ambiente, você deve executar as etapas a seguir.

  1. No computador ServidorComum, crie uma pasta chamada redirecionada .

  2. Compartilhe essa pasta como redirecionada $ (o nome completo de compartilhamento será \\ServidorComum\redirecionada$).

  3. Defina as permissões do compartilhamento de redirecionada$ como Controle Total para o grupo Todos (a segurança será imposta pelas permissões de NTFS quando as pastas de perfil de usuário forem criadas).

  4. Para os GPOs Gerenciado em menor escala (Usuário) e Altamente gerenciado (Usuário), proceda da seguinte forma:

    1. No GPMC, clique com o botão direito do mouse no GPO e, em seguida, clique em Edit (Editar).

    2. No Editor de Objeto de Diretiva de Grupo, vá para Configuração do Usuário/Configurações do Windows/Redirecionamento de Pastas.

    3. Clique com o botão direito do mouse no nó Meus Documentos e, em seguida, clique em Propriedades.

    4. Na caixa de diálogo Propriedades, altere a lista Configuração para Básico - Redireciona as pastas de todos os usuários para o mesmo local.

    5. Deixe a lista Local da Pasta de Destino definida como Criar uma pasta para cada usuário no caminho raiz.

    6. Defina o campo Caminho Raiz como \\ServidorComum\redirecionada$ e clique em OK. O Redirecionamento de Pastas anexará automaticamente o %nome do usuário% ao caminho especificado.

    7. Clique com o botão direito do mouse no nó Área de Trabalho e, em seguida, clique em Propriedades.

    8. Na caixa de diálogo Propriedades, altere a caixa suspensa Configuração para Básico - Redireciona as pastas de todos os usuários para o mesmo local.

    9. Deixe a lista Local da Pasta de Destino definida como Criar uma pasta para cada usuário no caminho raiz.

    10. Defina o campo Caminho Raiz como \\ServidorComum\redirecionada$ e clique em OK. O Redirecionamento de Pastas anexará automaticamente o %nome do usuário% ao caminho especificado.

    11. Feche o GPO.

Observações sobre pastas redirecionadas

As etapas anteriores garantem que todos os cenários – exceto o Quiosque – implementem pastas redirecionadas. Como o cenário Quiosque é um filho do cenário Altamente gerenciado, é necessário desabilitar a configuração Redirecionamento de Pastas especificada no GPO Altamente gerenciado (Usuário). Isso é conseguido – através dos GPOs de Quiosque fornecidos – por meio do redirecionamento das pastas apropriadas de volta para a localização do perfil de usuário local. Basicamente, é o mesmo que desabilitar o Redirecionamento de Pastas.

Configuração do Internet Explorer

Há dois tipos de configurações de Diretiva de Grupo do Internet Explorer: as configurações padrão do Registro do Windows e um conjunto de configurações e arquivos do Registro usados para configurar o Internet Explorer. As configurações padrão estão localizadas no Editor de Objeto de Diretiva de Grupo em Modelos Administrativos\Componentes do Windows\Internet Explorer, enquanto as definições de configuração encontram-se em Configuração do Usuário\Configurações do Windows\Manutenção do Internet Explorer.

As configurações de Manutenção do Internet Explorer podem ser definidas de dois modos: modo de diretiva ou modo de preferência. O modo de diretiva é imposto e redefine automaticamente quaisquer configurações que os usuários possam alterar (se tiverem as permissões apropriadas) quando a Diretiva de Grupo é aplicada.

Observação: como todas as configurações de Diretiva de Grupo baseadas no Registro, as configurações do modo de diretiva de Manutenção do Internet Explorer são reaplicadas somente quando o GPO é alterado. Ao contrário da maioria das configurações de Diretiva de Grupo baseadas no Registro, a definição de uma configuração de Manutenção do Internet Explorer não impede que o usuário altere essa configuração.

O modo de preferência define os valores padrão iniciais que o usuário pode alterar, sujeitos a outras configurações de Diretiva de Grupo que afetam o usuário. As configurações de preferência só serão aplicadas novamente quando forem alteradas pelo administrador. Para alterar essas preferências, os usuários devem ter acesso às Opções da Internet no menu Ferramentas. Você permite que os usuários tenham acesso definindo as configurações do Editor de Objeto de Diretiva de Grupo em Configuração do Computador (ou Usuário)\Modelos Administrativos\Componentes do Windows\Internet Explorer.

Não é possível usar os modos de diretiva e de preferência juntos em um único GPO. Se precisar de ambos os modos, use dois GPOs separados. Os cenários incluídos são configurados com o modo de diretiva. Portanto, talvez seja necessário criar um GPO adicional usando o modo de preferência para o seu ambiente.

Configuração do cenário Quiosque

O cenário Quiosque usa uma única conta que é membro do grupo Usuários do Domínio (todas as contas novas de um domínio são adicionadas a esse grupo), sem privilégios especiais. Para permitir a utilização dessa conta sem intervenção do usuário, o recurso Logon Automático é usado. Na inicialização, o sistema operacional faz logon automaticamente usando a conta e a senha especificadas na chave do Registro.

Configuração da conta de usuário de Quiosque

A conta usada pelo cenário Quiosque deve ser configurada da seguinte forma:

  • A senha nunca expira

  • O usuário não pode alterar a senha

Para configurar a conta para logon automático, a ferramenta TweakUI (parte dos PowerToys do Windows XP) pode ser usada para especificar o nome do usuário e a senha. Para obter mais informações sobre os PowerToys, consultehttp://microsoft.com/windowsxp/pro/downloads/powertoys.asp.

Especificando o aplicativo Quiosque

Os GPOs fornecidos especificam o Internet Explorer como o aplicativo de inicialização automática para os cenários Estação de Aplicativos e Quiosque. Isso é guiado pela habilitação da configuração de Diretiva de Grupo \Configuração do Usuário\Modelos Administrativos\Sistema\Interface do Usuário Personalizada. O valor usado para essa diretiva (para ambos os cenários) é:

%programfiles%\internet explorer\iexplore.exe –k

O resultado é a inicialização automática do Internet Explorer (no modo de tela inteira devido à opção –k) quando um usuário faz logon. De fato, a diretiva é usada para substituir o Windows Explorer como o shell. Atualizando a configuração de Diretiva de Grupo Interface de Usuário Personalizada, você pode determinar que o aplicativo seja iniciado nos cenários Estação de Aplicativos e Quiosque em seu próprio ambiente.

Redefinindo as configurações de Quiosque para um estado padrão

Em alguns casos, você pode querer redefinir o ambiente de Quiosque para um estado conhecido. Embora os usuários de Quiosque sejam impedidos de fazer a maioria das alterações em um computador baseado em Quiosque, algumas configurações específicas do aplicativo não podem ser gerenciadas facilmente com o uso de configurações de Diretiva de Grupo. Por exemplo, se um usuário redimensionar a janela do Internet Explorer, ela será iniciada com esse tamanho para todos os usuários subseqüentes.

Você pode usar um perfil de usuário obrigatório para redefinir as configurações do Quiosque. Para isso, proceda da seguinte forma:

  1. Faça logon na conta do usuário e defina as configurações apropriadas.

  2. Faça logoff da conta do usuário e, em seguida, faça logon como Administrador.

  3. Copie o perfil para um diretório local ou de rede e renomeie a raiz do perfil como OldName.man.

  4. Modifique o objeto de usuário e especifique esse diretório como o caminho do perfil.

Após esse procedimento, se um usuário de Quiosque fizer logon, as configurações do computador refletirão aquelas definidas no perfil obrigatório.

Manutenção do disco

Os aplicativos usados em um computador baseado em Quiosque podem gravar dados na unidade de disco. Para evitar que ela fique cheia, defina uma cota de disco que deixe pelo menos 100 megabytes (MB) livres no disco do sistema.

Convém usar uma cota de disco em conjunto com um script agendado que remova arquivos temporários mais antigos todas as noites. Se o aplicativo de Quiosque criar muitos arquivos temporários, talvez o script precise executar também a desfragmentação de disco para manter o desempenho do sistema.

Desabilitando o recurso de logoff para os usuários de Quiosque

Os usuários de Quiosque não podem fazer logoff da conta de Quiosque pressionando Ctrl+Alt+Del ou usando o menu Iniciar. Quando o computador é iniciado, ele faz logon automaticamente na conta de Quiosque.

Importante: no cenário de Quiosque, os usuários são impedidos de fazer logoff. Mas nos GPOs de Quiosque fornecidos com este informe oficial, o recurso de logoff é habilitado porque facilita o teste. Por isso, antes de implantar o cenário, você precisa desabilitar o recurso de logoff.

Uma desvantagem de desabilitar o recurso de logoff é que o administrador não pode fazer logon facilmente no computador. O administrador não pode reiniciar o computador a partir do console porque as opções de desligar e reiniciar estão desabilitadas para o usuário de Quiosque. Para resolver isso, você pode usar uma destas soluções:

Solução 1

  1. Reinicie o computador da seguinte forma:

    • Execute uma reinicialização remota usando shutdown.exe.

      • Execute uma redefinição por meio do hardware ou desligue o computador (esta solução não é recomendada porque pode causar perda de dados ou problema no sistema).

  2. Quando o computador for reiniciado, mantenha pressionada a tecla Shift para ignorar o recurso de logon automático e acessar a caixa de diálogo de logon padrão.

Solução 2

Nesta opção, o recurso de logon permanece habilitado. O administrador faz logoff na conta de Quiosque e mantém pressionada a tecla Shift para ignorar o recurso de logon automático. A desvantagem deste método é que o usuário pode executar a primeira parte dessa operação. Embora ele não consiga fazer logon, a caixa de diálogo de logon continuaria exibida, impedindo o uso do computador de Quiosque até que ele seja reiniciado.

Alternando os cenários

Entrar em um cenário é relativamente simples: mova as contas de computador e de usuário apropriadas para as UOs às quais os GPOs de cenário apropriados foram vinculados. Por exemplo, se um usuário for experimentar o cenário Multi-Usuário, a conta desse usuário deve existir em uma UO à qual o GPO Multi-Usuário (Usuário) tenha sido vinculado e deve fazer logon em um computador em uma UO à qual o GPO Multi-Usuário (Computador) tenha sido vinculado.

Em geral, a movimentação entre cenários é apenas uma questão de mover os computadores e os usuários para as UOs apropriadas. No entanto, talvez seja necessário algum trabalho adicional para concluir a transição entre os cenários relacionados a configurações de segurança e a Perfis de Usuários Móveis.

Observe que a movimentação de usuários entre as UOs requer um logon para garantir que isso seja refletido e que os GPOs apropriados sejam aplicados. Da mesma maneira, a movimentação de um computador para uma UO diferente requer que o computador seja reiniciado para que a nova UO seja reconhecida.

Configurações de segurança

Várias configurações de segurança "tatuam" o Registro, ou seja, uma vez aplicadas através de um GPO, elas permanecem ativas mesmo quando o GPO é movido para fora do escopo do computador ou usuário de destino (desvinculando o GPO, movendo a conta de uma UO afetada ou desabilitando o GPO). Por isso, a simples mudança de uma conta de computador ou de usuário para uma UO associada a um cenário diferente resultará na manutenção de algumas configurações do cenário original. Isso fica evidente principalmente quando é feita a transição para um cenário com menos configurações de segurança do que o original.

Esse problema pode ser tratado de várias maneiras:

  • Certifique-se de que os GPOs associados ao novo cenário desabilitam/habilitam explicitamente as configurações de segurança que foram definidas nos GPOs associados ao cenário original. Por exemplo, se uma configuração de segurança for definida em um GPO do cenário original, o GPO do novo cenário deverá definir essa configuração de segurança mesmo que ela não seja diretamente relevante para o novo cenário. Embora isso produza uma aplicação mais determinista dessas configurações (o resultado eventual da configuração de segurança independe da configuração no cenário original), isso faz com que todos os GPOs precisem incluir o subconjunto de todas as configurações de segurança possíveis, o que pode ser inconveniente para gerenciar e controlar.

  • Mova temporariamente as contas do computador e do usuário para uma UO "limpa" que defina explicitamente todas as configurações de segurança para um estado padrão. Uma vez implementadas essas configurações (permitindo que a Diretiva de Grupo seja atualizada depois de pelo menos 120 minutos ou com o uso do comando gpupdate), as contas são movidas para as UOs apropriadas do novo cenário. Uma desvantagem desta abordagem é o potencial de atraso para garantir que as configurações de diretiva temporárias sejam aplicadas às contas de computador e de usuário. Além disso, é necessário que a conta do usuário seja usada para fazer logon pelo menos uma vez, para garantir que os GPOs "limpos" associados às configurações de segurança baseadas no usuário sejam aplicados.

  • Como administrador da máquina de destino, remova manualmente as configurações de segurança que não se aplicam mais. Certamente esta abordagem é a mais trabalhosa, requer bastante conhecimento de como cada configuração de segurança é implementada e geralmente não é uma opção com um número significativo de computadores.

Perfis de Usuários Móveis

O atributo Perfil de Usuário Móvel de um usuário (o local do perfil móvel, se definido) é armazenado no objeto de conta de usuário no Active Directory. Por causa da ordem de aplicação dos perfis em relação à aplicação da Diretiva de Grupo, esse parâmetro não pode ser definido através da Diretiva de Grupo. Assim, se um usuário se movimentar entre cenários nos quais o uso de Perfis de Usuários Móveis se altera (por exemplo, quando o cenário inicial utiliza o Perfil de Usuário Móvel mas o cenário de destino não utiliza), é necessário atualizar o objeto de usuário para refletir essa alteração.

Estendendo os cenários

Você pode usar os GPOs de cenários comuns como ponto de partida para seus próprios cenários personalizados. Para obter mais informações sobre os recursos da Diretiva de Grupo, consulte o manual Designing a Managed Environment (Criando um Ambiente Gerenciado) no Kit de implantação do Windows Server 2003. Para obter mais informações, consulte o site da Microsoft (http://go.microsoft.com/fwlink/?linkid=18341).

Distribuição de software através da Diretiva de Grupo

Os cenários não implementam qualquer forma de distribuição de software, embora esse seja um recurso da Diretiva de Grupo. Criando pacotes .MSI e associando-os a GPOs de destino, é possível gerenciar aplicativos com o uso da Diretiva de Grupo, incluindo o suporte para implantação inicial, transformações e instalações "autocorrigíveis" (detecção e reparo automático de componentes ausentes como DLLs). A Diretiva de Grupo permite que você instale automaticamente e mantenha a instalação do software em computadores de destino ou disponibilize o software para instalação pelo usuário.

Diretivas de restrição de software

As diretivas de restrição de software, que são novas no Windows XP e no Windows Server 2003, fornecem um mecanismo orientado por diretiva que permite identificar os programas que estão sendo executados nos computadores do domínio e controlar a capacidade de execução. Com as diretivas de restrição de software, é possível:

  • Controlar os programas que são executados no sistema. Por exemplo, aplicar uma regra que não permita que certos tipos de arquivo sejam executados no diretório de anexos do programa de email se houver a possibilidade de os usuários receberem vírus por email.

  • Executar somente scripts assinados digitalmente.

  • Permitir que os usuários executem somente determinados arquivos em computadores multiusuário. Por exemplo, se vários usuários estiverem usando um único computador, você poderá configurar diretivas de restrição de software e uma Lista de Controle de Acesso para que eles não consigam fazer alterações no computador.

  • Decidir quem pode adicionar editores confiáveis a um computador.

  • Controlar se as diretivas de restrição de software afetam todos os usuários ou apenas alguns usuários que utilizam um computador.

  • Impedir que qualquer arquivo seja executado em um computador local. Por exemplo, se você tomar conhecimento de um vírus conhecido, poderá desautorizar um hash desse vírus para que os computadores do seu domínio não consigam executar esse programa.

Criando UOs padrão para novas contas de máquina e de usuário

Por padrão, todas as novas contas de computador ou de usuário são criadas nos recipientes Computador ou Usuário, respectivamente. Como esses recipientes não são UOs, não é possível vincular os GPOs a eles. Porém, usando duas ferramentas novas fornecidas com o Windows Server 2003, é possível especificar que todas as contas novas serão criadas em UOs específicas. Para isso, primeiro crie UOs para as novas contas de usuário e computador e, em seguida, execute o Redirusr.exe (para contas de usuário) e/ou Redircmp.exe (para contas de computador) uma vez para cada domínio. A partir deste ponto, todas as novas contas de usuário e de computador serão colocadas nas UOs de destino. Essas ferramentas estão incluídas no CD do Windows Server 2003. Você pode executar qualquer uma delas, ou ambas.

Para obter mais detalhes, consulte o artigo 324949, “Redirecting the Users and Computers Containers in Windows Server 2003 Domains” ("Redirecionando os recipientes de usuários e computadores em domínios do Windows Server 2003"), na Base de Conhecimento da Microsoft (http://support.microsoft.com/default.aspx?scid=kb;en-us;324949).

Apêndice A: Configurações de diretiva de cenário de GPO

As configurações de Diretiva de Grupo de cada cenário (GPOs para configurações de diretiva de computador e de usuário) são documentadas na planilha fornecida, CommonScenarios.xls. O recurso de filtragem de colunas do Excel permite que você navegue facilmente pelas configurações associadas a cada cenário.

Além disso, os relatórios de GPO baseados em HTML são fornecidos no diretório <installdir>\GPO-Reports. Há um relatório para cada GPO fornecido com o CommonScenarios.msi, além de várias informações sobre cada GPO.

Tabela de comparação de cenários

A Tabela 2 lista as características dos recursos de cada cenário.

Tabela 2.    Recursos dos cenários

 

Gerenciado em menor escala

Móvel

Multi-Usuário

Estação de Aplicativos

Estação de Aplicativos

Quiosque

Número de usuários

Vários

1

Vários

Vários

Vários

1 (anônimo)

Tipo de perfil de usuário

Móvel

Móvel

Móvel

Móvel

Móvel

Local

Persistência do perfil no logoff

Em cache

Em cache

Removido no logoff

Em cache

Removido no logoff

N/A

Redirecionamento de Pastas

Meus Documentos e AppData

Meus Documentos e AppData

Meus Documentos e AppData

Meus Documentos e AppData

Meus Documentos e AppData

Não

O usuário pode personalizar

Quase todas as configurações

Algumas ou a maioria das configurações

Algumas configurações

Poucas configurações

Nenhuma

Nenhuma

Barra de tarefas e menu Iniciar

Sim

Sim

Sim

Sim

Não

Não

Aplicativos atribuídos

Vários

Vários

Vários

Poucos

1 (geralmente atribuído pelo computador)

1 (atribuído pelo computador)

Aplicativos publicados

Sim

Sim

Sim

Não

Não

Não

Contexto de segurança

Usuário ou usuário avançado

Usuário ou usuário avançado

Usuário

Usuário

Usuário

Usuário

Baseado no modelo de segurança

Estação de trabalho segura

Estação de trabalho segura

Estação de trabalho altamente segura

Estação de trabalho altamente segura

Estação de trabalho altamente segura

Estação de trabalho altamente segura

Observações:

  • Os cenários baseiam-se nos modelos de segurança listados. Todavia, em cada cenário, os modelos foram modificados.

  • Por questão de compatibilidade, estas modificações importantes são feitas:

  • A assinatura digital obrigatória do tráfego SMB é desabilitada.

    • A criptografia obrigatória de comunicações do canal seguro é desabilitada.

    • O nível de autenticação do LAN Manager não é especificado.

Permissões necessárias para o redirecionamento de pastas

Ao configurar o redirecionamento de pastas, é recomendável que você crie o compartilhamento de raiz somente no servidor e deixe o sistema criar as pastas para cada usuário. Para um melhor resultado, defina as permissões de compartilhamento como Controle Total para os grupos de segurança que você está redirecionando e defina as permissões NTFS como Controle Total nesta pasta, nas subpastas e nos arquivos.

Se for necessário criar pastas para os usuários, verifique se você definiu as permissões corretas. As tabelas 3, 4 e 5 a seguir mostram as permissões padrão e mínimas necessárias para o redirecionamento de pastas.

Tabela 3.    Permissões NTFS necessárias para a pasta raiz

Conta de usuário

Padrões de redirecionamento de pastas

Permissões mínimas necessárias

Criador/proprietário

Controle Total, esta pasta, subpastas e arquivos

Controle Total, esta pasta, subpastas e arquivos

Administrador local

Controle Total, esta pasta, subpastas e arquivos

Controle Total, esta pasta, subpastas e arquivos

Todos

Controle Total, esta pasta, subpastas e arquivos

Listar Pasta/Ler Dados, Criar Arquivos/Gravar Dados, Criar Pastas/Acrescentar Dados - Somente Esta Pasta

Sistema local

Controle Total, esta pasta, subpastas e arquivos

Controle Total, esta pasta, subpastas e arquivos

Tabela 4.    Permissões de nível de compartilhamento (SMB) necessárias para a pasta raiz

Conta de usuário

Padrões de redirecionamento de pastas

Permissões mínimas necessárias

Todos

Controle Total

Todos - sem permissões

Use o grupo de segurança correspondente aos usuários que precisarão inserir dados no compartilhamento.

Tabela 5.    Permissões NTFS necessárias para cada pasta redirecionada do usuário

Conta de usuário

Padrões de redirecionamento de pastas

Permissões mínimas necessárias

%Nome do usuário%

Controle Total, proprietário da pasta

Controle Total, proprietário da pasta

Sistema local

Controle Total

Controle Total

Todos

Desviar Pasta, Ler Atributos, Ler Atributos Estendidos e Ler Permissões

Todos - sem permissões

Apêndice B: Executando CommonScenarios.msi

Neste informe oficial estão incluídos vários arquivos de suporte: planilhas, backups de GPOs e relatórios de Diretiva de Grupo baseados em HTML. Esses arquivos são instalados pelo pacote de instalação CommonScenarios.msi.

Quando você instala esse pacote, os arquivos listados na Tabela 6 são copiados para o diretório %programfiles%\Microsoft\CommonScenarios e um novo menu – Group Policy Common Scenarios – é criado em Iniciar/Programas.

Tabela 6.    Arquivos instalados pelo pacote CommonScenarios.msi

Diretório

Nome do arquivo

Descrição

\Documentation

CommonScenariosWS2003.doc

Este informe oficial.

\Documentation

CommonScenariosWS2003.xls

Planilha listando cada configuração especificada para todos os cenários.

\Environment

CommonScenarios.xml

Arquivo representando o ambiente de exemplo para cenários comuns e para uso do script CreateEnvironmentFromXML.

\GPO-Backups

[GUID]

Um subdiretório para cada GPO incluído nos cenários comuns.

\GPO-Reports

[Nome do GPO].htm

Relatório baseado em HTML para cada GPO (gerado a partir do GPMC).

\Scripts

CreateCommonScenarios.cmd

Arquivo de comando para instalar uma estrutura de UO de exemplo, criar os GPOs de cenários comuns e vincular GPOs.

Download

Cenários Comuns de uso de Diretivas de Grupos Usando GPMC


© 2012 Microsoft. Todos os direitos reservados. Termos de Uso | Marcas Comerciais | Declaração de Privacidade
Page view tracker