Administração do Windows
Controle expandido com as Preferências de Diretiva de Grupo
Derek Melber
Visão geral:
- Compatibilidade de sistema operacional para Preferências de Diretiva de Grupo
- Diretivas versus preferências em diferentes áreas de gerenciamento
- Definindo preferências com o GPME
- Administrando Preferências de Diretiva de Grupo
Conteúdo
Compatibilidade com GPP
Diretivas e Preferências
Estrutura e configurações de GPP
Configurações avançadas
Administrando GPPs
Preferências de Diretiva de Grupo para o Resgate
Resumindo
Entre as novas tecnologias que o Windows Server 2008 e o Windows Vista trouxeram, uma das mais interessantes é a GPP (Preferência de Diretiva de Grupo), agora expandindo imensamente o que os administradores podem fazer com a Diretiva de Grupo. As Preferências de Diretiva de Grupo fornecem mais de 3 mil configurações em 22 áreas diferentes em um GPO (Objeto de Diretiva de Grupo) e incluem configuração de mapeamentos de impressora e unidade, além de controle de associação de grupo local. E o mais interessante é que você não precisa instalar uma nova infra-estrutura, pois a tecnologia funciona com o seu ambiente de Diretiva de Grupo e infra-estrutura do Active Directory existentes. Você precisa apenas instalar uma ferramenta administrativa e DLL cliente para fazer com que isso funcione. Neste artigo, apresentarei em detalhes as Preferências de Diretiva de Grupo, a fim de demonstrar sua utilidade e o quanto é fácil instalá-las e administrá-las.
Compatibilidade com GPP
As GPPs podem ser administradas apenas no ambiente do Active Directory que contém, pelo menos, um servidor Windows Server 2008 ou desktop do Windows Vista, pois esses são os únicos que podem oferecer suporte ao novo GPMC (Console de Gerenciamento de Diretiva de Grupo). O GPMC é necessário para administrar e oferecer suporte às configurações de GPP; além disso, ele inicia o novo GPME (Editor de Gerenciamento da Diretiva de Grupo) que exibe as GPPs que podem ser administradas.
No entanto, a situação é muito diferente no que diz respeito à aplicação de configurações associadas a GPPs; para isso, também é oferecido suporte aos sistemas operacionais anteriores ao Windows Server 2008 e ao Windows Vista. Especificamente, as GPPs oferecem suporte ao Windows Server 2003 SP1 e ao Windows XP Professional SP2, bem como a todos os sistemas operacionais posteriores a esses. A Figura 1 resume quais sistemas operacionais podem administrar GPPs e quais podem aplicar GPPs.
| Figura 1 Suporte a sistema operacional |
| Sistema operacional | Podem aplicar Preferências de Diretiva de Grupo | Podem gerenciar Preferências de Diretiva de Grupo através do GPME |
| Windows 2000 | Sem suporte | Sem suporte |
| Windows XP (x86 e x64) | Suporte com instalação de CSE e SP2 | Sem suporte |
| Windows Vista (x86 e x64) | Suporte com instalação de CSE e SP1 | Suporte com SP1 e RSAT instalados |
| Windows Server 2003 (x86 e x64) | Suporte com instalação de CSE e SP1 | Sem suporte |
| Windows Server 2008 (x86 e x64) | Integrado | Integrado |
Preferências e diretivas
Os termos “diretivas” e “preferências” são importantes para entender os novos recursos de Diretiva de Grupo. As definições de diretivas e preferências têm como base algumas das principais áreas de gerenciamento de Diretiva de Grupo, incluindo imposição, flexibilidade, comportamento de Registro, direcionamento e interface do usuário. Essa lista não é completa, mas essas são as áreas que tendem a ser mais importantes para administradores.
Vejamos os principais benefícios que as preferências fornecem nessas áreas. A Figura 2 tem mais informações sobre as diferenças entre diretivas e preferências.
| Figura 2 Preferências e diretivas de Diretiva de Grupo* |
| Áreas de gerenciamento | Preferências de Diretiva de Grupo | Configurações de Diretiva de Grupo |
| Imposição | As preferências não são impostas. A interface do usuário não está desabilitada. As preferências podem ser atualizadas ou aplicadas apenas uma vez. | As configurações são impostas. A interface do usuário está desabilitada. As configurações são atualizadas. |
| Flexibilidade | Crie facilmente itens de preferência para configurações de Registro, arquivos e assim por diante. Importe configurações individuais de Registro ou ramificações selecionadas do Registro inteiro de um computador local ou remoto. | O acréscimo de configurações de diretiva requer suporte a aplicativos e criação de modelos administrativos. Não é possível criar configurações de diretiva para gerenciar arquivos, pastas e assim por diante. |
| Diretiva local | Não disponível na Diretiva de Grupo local. | Disponível na Diretiva de Grupo local. |
| Reconhecimento | Compatível com aplicativos que não reconhecem a Diretiva de Grupo. | Requer aplicativos que reconheçam a Diretiva de Grupo |
| Local e comportamento do Registro | As configurações originais são substituídas. A remoção do item de preferência não restaura a configuração original. | As configurações originais são alteradas. São armazenadas nas ramificações da Diretiva do Registro. A remoção da configuração de diretiva restaura as configurações originais. |
| Direcionamento e filtragem | O direcionamento é granular, com uma interface do usuário para cada tipo de item de direcionamento. Oferece suporte ao direcionamento no nível de item de preferência individual. | A filtragem é baseada no WMI (Instrumentação de Gerenciamento do Windows) e requer a gravação de consultas de WMI. Oferece suporte à filtragem no nível de GPO. |
| Interface do usuário | Fornece uma interface familiar e fácil de usar para definir a maioria das configurações. | Fornece uma interface do usuário alternativa para a maioria das configurações de diretiva. |
| *Tabela cortesia de "Visão geral das Preferências de Diretiva de Grupo", de Jerry Honeycutt |
Imposição As GPPs não são impostas, portanto, podem ser feitas configurações iniciais, mas o usuário final está no controle.
Flexibilidade As GPPs permitem que você adicione qualquer valor de Registro, arquivo ou pasta ao GPO para gerenciamento. Além disso, como as GPPs são baseadas em XML, elas podem ser copiadas e coladas em outros GPOs com eficiência.
Comportamento do Registro Todas as entradas do Registro podem ser controladas quando o computador ou usuário de destino não está mais no escopo de gerenciamento do GPO em que o valor de Registro está configurado. Os valores de Registro podem ser removidos ou mantidos no lugar após o GPO não afetar mais o objeto de destino.
Direcionamento Cada configuração de GPP fornece mais de 25 filtros diferentes de direcionamento para controlar se a configuração afeta ou não o objeto de destino. Entre os exemplos de filtros estão intervalo de endereços IP, associação do grupo de segurança e correspondência de valor de Registro.
Interface do usuário A interface do usuário para GPP é drasticamente mais fácil e acessível do que outras configurações no GPO. Na maioria dos casos, a “interface de configuração real” é duplicada no GPO, tornando a configuração mais fácil e familiar.
Estrutura e configurações de GPP
Quando um GPO é aberto no GPME, diretivas e preferências são claramente separadas, como mostra a Figura 3, facilitando a visualização de quais configurações estarão na nova área de GPP. É importante observar isso, pois as preferências se comportam diferentemente das diretivas. Quando você expande os nós Preferências em Configuração do Computador (veja a Figura 4) ou Configuração do Usuário (veja a Figura 5), você localiza as várias configurações divididas em duas categorias, Configurações do Painel de Controle e Configurações do Windows.
Figura 3 O GPME separa as diretivas das preferências
.gif)
Figura 4 Preferências de configuração do computador
.gif)
Figura 5 Preferências de configuração do usuário
Configurações avançadas
Você pode controlar GPPs mais granularmente do que outras configurações em um GPO, usando as opções disponíveis na guia Comum para cada preferência. A guia Comum inclui caixas de seleção para cinco configurações diferentes, uma opção para configurar direcionamento e uma caixa de texto para descrever a preferência de GPO para fins de documentação e solução de problemas.
Interrompa o processamento de itens nessa extensão se ocorrer um erro O comportamento padrão do processamento de Diretiva de Grupo é que todas as configurações serão processadas, mesmo se várias configurações com o mesmo CSE (Extensões do lado cliente) e uma dessas configurações falhar. Se você quiser que o processamento das configurações em um único CSE seja interrompido após a falha de uma das configurações desse CSE, habilite essa opção. Essa configuração tem apenas o escopo do GPO atual.
Execute no contexto de segurança do usuário conectado (opção de diretiva de usuário) Quando as configurações da Diretiva de Grupo (da mesma forma que diretivas e preferências) se aplicarem, elas serão aplicadas usando a conta do Sistema local. Como a conta do Sistema local tem acesso apenas às variáveis de ambiente do sistema e aos recursos locais, obviamente o contexto do usuário não está disponível. Para que variáveis de ambiente do usuário e recursos de rede sejam acessados, essa opção pode ser habilitada para processar Preferências de Diretiva de Grupo usando a conta do usuário conectado.
Remova esse item quando ele não for mais aplicado As configurações de GPP não são excluídas do Registro quando o GPO é removido do usuário ou computador, nem são excluídas quando o usuário ou computador sai do escopo de gerenciamento do GPO. Para que as configurações de preferências sejam removidas quando o GPO não se aplicar mais ao objeto do computador ou usuário, essa opção poderá ser habilitada (embora deva ser observado que essa opção não está disponível para algumas extensões, como aquelas para o Internet Explorer).
Aplique uma vez e não reaplique A Diretiva de Grupo tem um intervalo de atualização padrão, que é de aproximadamente a cada 90 minutos. Essa atualização é implementada de modo que novas configurações possam ser aplicadas e as configurações antigas reaplicadas, sem a necessidade de o computador ser reiniciado ou o usuário efetuar logon novamente. Se a configuração de GPP que você estiver configurando precisar ser aplicada uma vez ao computador e nunca ser atualizada, você poderá habilitar essa configuração. Esse é um excelente mecanismo para estabelecer uma matriz inicial de configurações que a GPP poderá afetar, embora ainda permitindo que o usuário crie um ambiente personalizado ao alterar as configurações após o logon e elas não serem substituídas.
Se as configurações se encaixarem na Configuração do Usuário, a GPP aplicará essas configurações uma vez a cada computador quando o usuário fizer logon. Se as configurações se encaixarem na Configuração do Computador, a GPP aplicará a configuração uma vez por computador. No entanto, observe que isso é uma aplicação de apenas uma vez dessas configurações. Para atualizar ou reaplicar essas configurações, antes você deverá desmarcar essa opção.
Direcionamento de nível de item Por padrão, todos os usuários e computadores que se encaixarem no escopo de gerenciamento do GPO receberão as configurações no GPO. Para que essas configurações se apliquem a apenas um subconjunto dos usuários e computadores padrão, o direcionamento poderá ser usado. Mais de 25 itens de direcionamento diferentes estão disponíveis; eles podem ser usados isoladamente ou em conjunto com outros itens. A Figura 6 mostra a lista completa de opções de direcionamento no nível de item.
Figura 6 O direcionamento no nível de item é usado para controlar dinamicamente configurações de GPP em objetos de computador e usuário
Descrição A caixa de texto Descrição permite que você documente as configurações, as opções e os itens de direcionamento para cada configuração de GPP. Esse é o texto que será visto quando a configuração de preferência específica for selecionada no GPME, sem precisar editar a própria configuração de GPP, como mostra a Figura 7.
Administrando GPPs
A administração de GPPs é a mesma que a de outras configurações de GPO. O único problema, como observado anteriormente, é que elas devem ser administradas de um computador executando Windows Server 2008 ou o Windows Vista SP1.
.gif)
Figura 8 A caixa de diálogo Propriedades de Nova Unidade é aberta quando você cria uma nova configuração de diretiva para o Mapeamento de unidades
Suponha que você queira configurar um mapeamento de unidade na parte Configuração do Usuário do GPO. A configuração de preferência para isso está localizada em Configuração do Usuário | Preferências | Configurações do Windows | Mapas de Unidade. Clicando com o botão direito do mouse na configuração Mapas de Unidade, é possível selecionar Novo – Unidade Mapeada, que criará uma nova diretiva, como mostra a Figura 8. Aqui você insere as informações para mapear a unidade, como Local, um rótulo para a unidade localmente e uma Letra de Unidade.
Nesse ponto, você tem a opção de ter o mapeamento de unidade aplicado a cada usuário que se encaixe no escopo de gerenciamento do GPO ou pode limitar os usuários que recebem a configuração configurando o direcionamento no nível de item. Você deve configurar o direcionamento no nível de item que controla quais usuários recebem o mapeamento de unidade com base na associação do grupo de segurança, e executar uma verificação rápida para ver se eles têm um arquivo de programa específico (.exe) localizado no computador. Você realiza essa segunda verificação porque a pasta compartilhada que você está mapeando contém arquivos que são úteis apenas quando acessados com esse arquivo de programa.
Para fazer essas configurações de direcionamento no nível de item, clique na guia Comum da caixa de diálogo Propriedades da Nova Unidade. Em seguida, clique na caixa de seleção ao lado do direcionamento no nível de item e, então, no botão Direcionamento. Isso abre a caixa de diálogo Editor de Destino. Clique na lista suspensa Opções do Item e clique no Grupo de Segurança. Em seguida, clique em Procurar, que permitirá que você configure o grupo correto, HR Users (Usuários de RH) no exemplo (veja a Figura 9).
Agora você desejará configurar o caminho para o arquivo .exe. Selecione Correspondência de Arquivo da lista suspensa Tipo de correspondência para adicionar os critérios. Em seguida, digite o caminho do arquivo, C:\Program Files\ACME\HRBenefits.exe, para esse exemplo. (Observação: Impressoras e Mapas de Unidade aderem à atualização da diretiva de GPO em primeiro plano. Para obter mais informações sobre a atualização de política em primeiro e segundo planos, consulte o artigo sobre GPP, Processamento de Diretiva de Grupo.)
Depois disso, na próxima vez que um usuário fizer logoff e logon novamente, a unidade mapeada será exibida, desde que o usuário seja um membro do grupo de segurança de RH e tenha o arquivo HRBenefits.exe em seu computador. Se esses critérios não forem atendidos, a letra da unidade não será exibida.
Figura 9 As opções de direcionamento no nível de item podem ser combinadas
Preferências de Diretiva de Grupo para o Resgate
A seguir, é apresentada uma pequena lista de alguns dos problemas que solucionei usando GPPs:
- Corrigir a associação do grupo de Administradores local em cada desktop para incluir Admins de Domínio e a conta de Administrador local, mas não excluir os membros existentes do grupo.
- Garantir que o usuário atual do desktop não tenha sua conta de usuário localizada no grupo de Administradores local.
- Controlar opções de energia em cada computador desktop para grandes economias com eletricidade.
- Atualizar a área de configuração de serviço em cada servidor executando um serviço específico, a fim de que o modo de inicialização de serviço seja sempre Automático.
- Mapear impressoras dinamicamente de modo que usuários de laptop que visitem a filial 1 do escritório recebam as impressoras apropriadas. Da mesma forma, quando visitarem a filial 2 do escritório, recebam as impressoras corretas para esse local.
Resumindo
As Preferências de Diretiva de Grupo são fáceis de administrar e implantar. Como a tecnologia é compatível com o Windows Server 2003 SP1 e o Windows XP SP2, praticamente todas as empresas podem aproveitar as novas configurações e o poder que oferecem. Isso reduz o custo de implementação e permite que os administradores controlem os desktops de que precisam para realizar seu trabalho com eficiência.
Combinar um design de implantação de Diretiva de Grupo com direcionamento no nível de item fornece aos administradores a capacidade de criar configurações de servidor e desktop dinâmicas. Com mais de 25 critérios de direcionamento no nível de item disponíveis, praticamente cada configuração pode ser controlada para que sejam aplicada apenas quando apropriado. Você localizará mais informações sobre a Diretiva de Grupo no Kit de recursos da Diretiva de Grupo e também no site da Diretiva de Grupo do Windows Server.
Derek Melber é consultor independente, instrutor e autor. Derek ensina a tecnologia Microsoft, com foco no Active Directory, na Diretiva de Grupo, na segurança e no gerenciamento de desktops. Ele contribui regularmente para publicações impressas e online e escreveu mais de dez livros sobre tecnologia, como o The Microsoft Windows Group Policy Resource Kit (Kit de recursos da Diretiva de Grupo do Microsoft Windows; Microsoft Press, 2008). Você pode contatá-lo pelo email derekm@braincore.net.