Exportar (0) Imprimir
Expandir Todos
Expand Minimize

Conjunto de Políticas Resultante (RSoP)

Qual a função do Conjunto de Políticas Resultante?

O Conjunto de Políticas Resultante (RSoP, Resultant Set of Policy) da Política de Grupo reporta as definições de Política de Grupo aplicadas a um utilizador ou computador. Os resultados da Política de Grupo na Consola de Gestão de Políticas de Grupo (GPMC, Group Policy Management Console) pede dados RSoP a um computador alvo e apresenta-os num relatório em formato HTML. A Modelação da Política de Grupo solicita o mesmo tipo de informações, mas os dados reportados são de um serviço que simula o RSoP para uma combinação de computador e utilizador. Esta simulação é executada num controlador de domínio com o Windows Server 2003 e, em seguida, é devolvida ao computador com a GPMC para apresentação. Finalmente, a Consola de Gestão da Microsoft (MMC, Microsoft Management Console) do RSoP fornece uma alternativa para apresentar estas informações, ainda que os resultados da Política de Grupo sejam geralmente o método preferido.

A quem se aplica esta função?

Administradores da Política de Grupo num ambiente de domínio do Active Directory. Além disso, um informático profissional que tenha de planear ou validar a aplicação da Política de Grupo poderá ter interesse no RSoP.

Que funcionalidade existente foi alterada no Windows Server 2003 Service Pack 1?

Utilização de RSoP com Firewall do Windows Activado

Descrição detalhada

No Windows XP Service Pack 2 (SP2), o Firewall do Windows está activado por predefinição. Os pedidos recebidos em portas que não estão abertas (por oposição às respostas a pedidos provenientes do computador) são bloqueados pelo Firewall do Windows. No Windows Server 2003 Service Pack 1 (SP1), o Firewall do Windows não está activado por predefinição.

Se optar por utilizar o Firewall do Windows, deverá ter em consideração o impacto da sua utilização no RSoP na rede.

Para mais informações sobre o Firewall do Windows, consulte "Firewall do Windows", neste documento.

Porque é que esta alteração é importante?

A activação de um firewall, como o Firewall do Windows, fornece uma maior protecção contra muitos ataques baseados na rede. Por exemplo, se o Firewall do Windows estivesse activado, o recente ataque de MSBlaster teria tido um impacto muito menor, independentemente de os utilizadores terem ou não os patches actualizados.

O que funciona de maneira diferente?

Existem duas alterações importantes ao RSoP no Windows Server 2003 SP1.

  • Depois de o Firewall do Windows estar instalado num computador, o acesso remoto aos dados RSoP deixa de funcionar a partir desse computador alvo.
  • Se o Firewall do Windows estiver activado, quando for executada para utilizar os Resultados da Política de Grupo ou a Modelação da Política de Grupo para obter dados RSoP, a GPMC não conseguirá obter estes dados.

Como posso resolver estes problemas?

A tabela seguinte resume as alterações necessárias para suportar na totalidade as tarefas de RSoP remotas ao utilizar o Windows XP SP2 ou o Windows Server 2003 SP1 com o Firewall do Windows activado. Consulte as secções abaixo para obter mais detalhes.

 

Tarefa Computador Alvo Computador Administrativo

Gerar resultados da Política de Grupo

Active a definição de Política de Grupo Firewall do Windows: Permitir excepção de administração remota.

Esta definição de Política de Grupo está localizada em Configuração do Computador\Modelos Administrativos\Rede\Ligações de Rede\Firewall do Windows\[Domínio | Padrão] Perfil\.

GPMC com SP1.

Não é necessária nenhuma acção.

Snap-in RSoP.

Active Firewall do Windows: Definir excepções do programa. Configure a lista de excepções do programa com o caminho completo para Unsecapp.exe, para que as mensagens do WMI possam ser transmitidas. Numa instalação predefinida, Unsecapp.exe está localizado na pasta C:\Windows\System32\Wbem.

Active a política Firewall do Windows: Defina a política de excepções da porta para abrir a Porta 135

Delegar acesso aos resultados da Política de Grupo

Active a definição de Política de Grupo Firewall do Windows: Permitir excepção de administração remota.

Configure as seguintes definições de segurança DCOM:

DCOM: Restrições de acesso de computador...

DCOM: Restrições de lançamento de computador...

Estas definições de política estão localizadas em Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Opções de Segurança.

Não são necessárias alterações

Editar remotamente um objecto de Política de Grupo Local

Active a definição de política Firewall do Windows: Permitir excepção de administração de partilha de ficheiros e impressoras.

Esta definição de política está localizada em Configuração do Computador\Modelos Administrativos\Rede\Ligações de Rede\Firewall do Windows\[Domínio | Padrão] Perfil\.

Não são necessárias alterações.

Administrar RSoP Remoto com GPMC SP1

A versão inicial da GPMC utilizava um mecanismo de chamada de retorno ao aguardar pelos resultados de um pedido de Resultados ou de Modelação da Política de Grupo. O computador administrativo tem de estar receptivo a esta resposta. Se o Firewall do Windows estiver activado, o Windows bloqueia estas respostas. Apesar de a abertura das portas apropriadas possa resolver este problema, a utilização da Consola de Gestão de Política de Grupo (GPMC, Group Policy Management Console) actualizada com o Service Pack 1 remove completamente a utilização do mecanismo de chamada de retorno. É recomendada a instalação da GPMC com o Windows Server 2003 Service Pack 1, porque permite que os Resultados e a Modelação da Política de Grupo continuem a funcionar sem abrir portas no computador administrativo. Para instalar a GPMC com o Windows Server 2003 Service Pack 1, consulte "Group Policy Management Console with Service Pack 1" no Centro de Transferências da Microsoft em http://go.microsoft.com/fwlink/?LinkId=23529.

Para administrar remotamente o RSoP, tem de activar a definição de Política de Grupo Firewall do Windows: Permitir excepção de administração remota nos computadores alvo.

Administrar RSoP Remoto com o snap-in RSoP da MMC

Para administrar remotamente o RSoP utilizando o snap-in RSoP da MMC, o computador alvo tem de estar receptivo nas portas de rede apropriadas para assegurar o serviço aos pedidos de RSoP recebidos. Isto pode ser gerido através da Política de Grupo utilizando as seguintes definições de política:

  • Active a definição de Política de Grupo Firewall do Windows: Definir excepções do programa para permitir Unsecapp.exe. Certifique-se de que introduz o caminho completo para o Unsecapp.exe.
  • Active a definição de Política de Grupo Firewall do Windows: Definir excepções da porta e abra a Porta 135. Clique em Mostrar e introduza 135:TCP:*:Enabled:135.
CautionAtenção
A activação da definição de Política de Grupo Firewall do Windows: Definir excepções da porta também pode permitir a aceitação de dados não pretendidos nesta porta. Certifique-se de que examina na íntegra esta definição de Política de Grupo antes de a activar no ambiente. A activação desta definição de política não é necessária se a definição de Política de Grupo Firewall do Windows: Permitir excepção de administração remota estiver activada no computador administrativo.

Delegar acesso aos resultados da Política de Grupo

Por predefinição, os resultados da Política de Grupo e o snap-in RSoP só podem ser utilizados remotamente quando a pessoa que origina o pedido é administrador local no computador alvo. Desde o Windows Server 2003, está disponível um modelo de delegação que permite que este direito seja delegado para utilizadores que não sejam Administradores no computador alvo. É uma situação comum quando o pessoal da assistência requer o acesso aos computadores sem serem Administradores desses computadores.

No Windows XP Service Pack 2 e Windows Server 2003 Service Pack 1, o modelo de segurança da autenticação DCOM (em que o RSoP se baseia) foi reforçado. Mesmo que a delegação de RSoP tenha sido configurada correctamente, este reforço impede que os utilizadores que não são administradores locais obtenham informações de RSoP de um computador alvo. Note que este problema não afecta a Modelação da Política de Grupo, uma vez que o pedido de dados RSoP simulados é efectuado a um controlador de domínio com o Windows Server 2003 que, por definição, não utiliza o Windows XP.

Pode gerir a lista de utilizadores e grupos associados à autenticação DCOM através da Política de Grupo. Para permitir a utilização continuada do RSoP delegado, os utilizadores a quem pretende conceder este direito têm de ter igualmente acesso através do modelo de autenticação DCOM. Para mais informações sobre as alterações de segurança a DCOM no Windows Server 2003 Service Pack 1, consulte "Melhoramentos de Segurança DCOM", anteriormente neste documento.

Utilize o procedimento seguinte para delegar acesso aos Resultados da Política de Grupo:

Para delegar acesso aos Resultados da Política de Grupo
  1. Active a definição de Política de Grupo Firewall do Windows: Permitir excepção de administração remota nos computadores alvo.

  2. Especifique as seguintes definições de política de segurança DCOM nos computadores alvo. (Estão localizadas em Configuração do Computador\Definições do Windows\Definições de Segurança\Políticas Locais\Opções de Segurança.)

    DCOM: Restrições de acesso de computador na sintaxe da Linguagem de Definição de Descritor de Segurança (SDDL)

    DCOM: Restrições de lançamento de computador na sintaxe da Linguagem de Definição de Descritor de Segurança (SDDL)

  3. Clique com o botão direito do rato no objecto de política de grupo e, em seguida, clique em Propriedades.

  4. Clique em Editar Segurança. Será apresentado Permissões de Acesso.

  5. Clique em Adicionar e, em seguida, é apresentado Seleccionar Utilizadores, Computadores ou Grupos.

  6. Introduza os alvos de delegação pretendidos.

Editar remotamente um objecto de política de grupo local

Para editar remotamente um objecto de Política de Grupo local num computador alvo com o Firewall do Windows activado, tem de activar a seguinte definição de política: Firewall do Windows: Permitir administração de partilha de ficheiros e impressoras.

A definição de política está localizada em Configuração do Computador\Modelos Administrativos\Rede\Ligações de Rede\Firewall do Windows\[Domínio | Padrão] Perfil\.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft