Qual é a função do Conjunto de Diretivas Resultante?
O RSoP (Conjunto de Diretivas Resultante) da Diretiva de Grupo indica as configurações de Diretiva de Grupo aplicadas a um usuário ou computador. Os Resultados da Diretiva de Grupo no GPMC (Console de Gerenciamento de Diretiva de Grupo) solicita os dados RSoP do computador de destino e os utiliza para criar um relatório no formato HTML. A Modelagem da Diretiva de Grupo solicita o mesmo tipo de informações, mas os dados relatados são provenientes de um serviço que simula o RSoP para uma combinação de computador e usuário. Essa simulação é executada em um controlador de domínio que executa o Windows Server 2003 e, em seguida, é enviada ao computador que executa o GPMC para apresentação. Finalmente, o Console de Gerenciamento Microsoft do RSoP fornece uma alternativa para a exibição dessas informações, embora o Resultados da Diretiva de Grupo seja, em geral, o método preferido.
A quem se aplica esse recurso?
Administradores de Diretiva de Grupo em um ambiente de domínio do Active Directory. Além disso, um profissional de TI que precise planejar ou validar a aplicação da Diretiva de Grupo também poderá utilizar o RSoP.
Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?
Uso do RSoP com o Firewall do Windows habilitado
Descrição detalhada
No Windows XP Service Pack 2 (SP2), o Firewall do Windows está habilitado por padrão. As solicitações recebidas em portas que não estejam abertas — ao contrário de respostas a solicitações originadas no computador — são bloqueadas pelo Firewall do Windows. No Windows Server 2003 Service Pack 1 (SP1), o Firewall do Windows não está habilitado por padrão.
Se você decidir usar o Firewall do Windows, deverá estar ciente do impacto do seu uso no RSoP na rede.
Para obter mais informações sobre o Firewall do Windows, consulte “Firewall do Windows” neste documento.
Por que essa alteração é importante?
Ao habilitar um firewall, como o Firewall do Windows, você proporciona maior proteção contra ataques em rede. Por exemplo, se o Firewall do Windows estivesse habilitado, o recente ataque do MSBlaster teria um impacto muito menor, independentemente de os usuários terem instalado ou não os patches mais atuais.
O que funciona de forma diferente?
Existem duas alterações importantes do RSoP no Windows Server 2003 SP1.
-
Após a instalação do Firewall do Windows em um computador, não será possível acessar remotamente os dados do RSoP a partir do computador de destino.
-
Se o Firewall do Windows estiver habilitado, quando o GPMC for executado para utilizar os Resultados da Diretiva de Grupo ou a Modelagem de Diretiva de Grupo a fim de recuperar dados do RSoP, ele não poderá recuperar tais dados.
Como resolvo esses problemas?
A tabela a seguir resume as alterações necessárias para oferecer suportar total às tarefas de RSoP remotas ao executar o Windows XP SP2 ou Windows Server 2003 SP1 com o Firewall do Windows habilitado. Consulte as seções abaixo para obter mais detalhes.
|
Tarefa
|
Computador de destino
|
Computador administrativo
|
|---|
Gerar resultados da Diretiva de Grupo | Habilite a configuração de Diretiva de Grupo Firewall do Windows: Autorizar exceção de administração remota. Essa configuração está localizada em Configuração do Computador\Modelos Administrativos\Rede\Conexões de Rede\Firewall do Windows\[Domínio | Padrão] Perfil\. | GPMC com SP1. Nenhuma ação exigida. Snap-in RSoP. Habilite a configuração Firewall do Windows: Definir exceções de programa. Configure a lista de exceções do programa usando o caminho completo do Unsecapp.exe de forma que as mensagens WMI possam ser transmitidas. Em uma instalação padrão, Unsecapp.exe está localizado na pasta C:\Windows\System32\Wbem. Habilite a configuração de diretiva Firewall do Windows: Definir diretiva de exceção de porta para abrir a Porta 135. |
Delegar acesso aos resultados da Diretiva de Grupo | Habilite a configuração de diretiva Firewall do Windows: Autorizar exceção de administração remota. Configure as seguintes definições de segurança do DCOM: DCOM: Restrições de Acesso de Computador... DCOM: Restrições de Inicialização de Computador... Essas configurações de diretivas estão localizadas em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança. | Nenhuma alteração necessária |
Editar remotamente um objeto de Diretiva de Grupo Local | Habilite a configuração de diretiva Firewall do Windows: Autorizar exceções de administração no compartilhamento de arquivos e impressoras. Essa configuração de diretiva está localizada em Configuração do Computador\Modelos Administrativos\Rede\Conexões de Rede\Firewall do Windows\[Domínio | Padrão] Perfil\. | Nenhuma alteração necessária |
Administrando o RSoP remoto com o GPMC SP1
A versão inicial do GPMC usava um mecanismo de retorno de chamada ao aguardar os resultados de uma solicitação de Modelagem ou Resultados da Diretiva de Grupo. O computador administrativo deveria estar “escutando” e aguardando essa resposta. Se o Firewall do Windows estiver habilitado, o Windows bloqueará esse tipo de resposta. Embora a abertura das portas adequadas possa resolver esse problema, o uso do GPMC (Console de Gerenciamento de Diretiva de Grupo) atualizado com Service Pack 1 removerá completamente o uso do mecanismo de retorno de chamada. Recomendamos que você instale o GPMC com o Windows Server 2003 Service Pack 1 uma vez que ele permite que a Modelagem e os Resultados da Diretiva de Grupo continuem funcionando sem a abertura das portas no computador administrativo. Para instalar o GPMC com o Windows Server 2003 Service Pack 1, consulte o artigo sobre o Console de Gerenciamento de Diretiva de Grupo com Service Pack 1 na Central de Download da Microsoft em http://go.microsoft.com/fwlink/?LinkId=23529.
Para administrar o RSoP remotamente, você deverá habilitar a configuração de Diretiva de Grupo Firewall do Windows: Autorizar exceção de administração remota nos computadores de destino.
Administrando o RSoP remoto com o snap-in do MMC para RSoP
Para administrar o RSoP remotamente usando o snap-in do MMC para RSoP, o computador de destino deverá escutar nas portas de rede adequadas para garantir que as solicitações RSoP recebidas sejam atendidas. Isso pode ser gerenciado pela Diretiva de Grupo por meio das seguintes configurações de diretiva:
-
Habilite a configuração de Diretiva de Grupo Firewall do Windows: Definir exceções de programa para permitir o uso do Unsecapp.exe. Verifique se você inseriu o caminho completo do Unsecapp.exe.
-
Habilite a configuração de Diretiva de Grupo Firewall do Windows: Definir exceções de porta e abra a Porta 135. Clique em Mostrar e digite 135:TCP:*:Enabled:135.
.gif) Cuidado |
|---|
|
A habilitação da configuração de Diretiva de Grupo Firewall do Windows: Definir exceções de porta também pode permitir que dados indesejados sejam aceitos nesta porta. Certifique-se de examinar a fundo essa configuração de Diretiva de Grupo antes de habilitá-la em seu ambiente.
A habilitação dessa configuração de diretiva não será necessária se a opção Firewall do Windows: Autorizar exceção de administração remota estiver habilitada no computador administrativo. |
Delegando acesso aos Resultados da Diretiva de Grupo
Por padrão, os Resultados da Diretiva de Grupo e o snap-in RSoP podem ser usados remotamente apenas quando o usuário que origina a solicitação é um administrador local no computador de destino. Desde o lançamento do Windows Server 2003, existe um modelo de delegação que permite que esse direito seja delegado a usuários que não sejam Administradores no computador de destino. Esse é um cenário comum quando a equipe de suporte técnico precisa acessar certos computadores sem ter privilégios de Administradores naqueles computadores.
No Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, o modelo de segurança relacionado à autenticação DCOM (da qual o RSoP depende) foi reforçado. Mesmo que a delegação do RSoP tenha sido configurada corretamente, esse reforço impede que usuários que não sejam administradores locais recuperem as informações do RSoP de um computador de destino. Observe que esse problema não afeta a Modelagem da Diretiva de Grupo, uma vez que a solicitação de dados RSoP simulados é feita em um controlador de domínio que executa o Windows Server 2003, o qual, por definição, não executa o Windows XP.
Você poderá gerenciar a lista de usuários e grupos associados à autenticação DCOM por meio da Diretiva de Grupo. Para permitir o uso contínuo do RSoP delegado, os usuários aos quais você deseja conceder esse direito também devem ter acesso ao modelo de autenticação DCOM. Para obter mais informações sobre as alterações de segurança do DCOM no Windows Server 2003 Service Pack 1, consulte “Aprimoramentos de Segurança de DCOM” anteriormente neste documento.
Use o seguinte procedimento para delegar acesso aos Resultados da Diretiva de Grupo:
Para delegar acesso aos Resultados da Diretiva de Grupo
Habilite a configuração de Diretiva de Grupo Firewall do Windows: Autorizar exceção de administração remota nos computadores de destino.
Defina as seguintes configurações da diretiva de segurança do DCOM nos computadores de destino (Elas estão localizadas em Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança).
DCOM: Restrições de Acesso de Computador em sintaxe SDDL (Security Descriptor Definition Language)
DCOM: Restrições de Inicialização de Computador em sintaxe SDDL (Security Descriptor Definition Language)
Clique com o botão direito do mouse no objeto de Diretiva de Grupo e clique em Propriedades.
Clique em Editar Segurança. As Permissões de Acesso são abertas.
Clique em Adicionar e a caixa de diálogo Selecionar Usuários, Computadores ou Grupos será aberta.
Insira os destinos de delegação desejados.
Editando remotamente um objeto de Diretiva de Grupo local
Para editar remotamente um objeto de Diretiva de Grupo local em um computador de destino que tenha o Firewall do Windows habilitado, você precisa habilitar a seguinte configuração de diretiva: Firewall do Windows: Autorizar compartilhamento de arquivos e impressoras.
A configuração de diretiva está localizada em Configuração do Computador\Modelos Administrativos\Rede\Conexões de Rede\Firewall do Windows\[Domínio|Padrão] Perfil\.