• Artigo

Windows Vista

Diretiva de grupo mais poderosa no Windows Vista

Jeremy Moskowitz

 

Visão geral:

  • A infra-estrutura da Diretiva de grupo
  • Reconhecimento aperfeiçoado de rede
  • Recursos adicionais da Diretiva de grupo

O Windows Vista apresenta uma atualização substancial à infra-estrutura da Diretiva de grupo. Entretanto, conforme organizações no mundo todo implantarem o Windows Vista, muitos administradores não perceberão muita diferença no modo de trabalho, devido a todas as alterações nas funções da Diretiva de grupo

acontecem no escopo. No entanto, os administradores descobrirão que a Diretiva de grupo do Windows Vista™ é muito mais poderosa que as versões anteriores.

Antes do Windows Vista, o processamento da Diretiva de grupo ocorria em um processo chamado winlogon. O winlogon tinha muita responsabilidade, entre as quais permitir que os usuários efetuassem logon em seus desktops e executar as inúmeras tarefas da diretiva. Agora, a Diretiva de grupo funciona como seu próprio serviço do Windows®. Além disso, ela passou a contar com proteção avançada, ou seja, não é possível interrompê-la. NLFem o administrador detém propriedade das permissões sobre a Diretiva de grupo a fim de desligá-la. Essas alterações melhoram a confiabilidade global do mecanismo da Diretiva de grupo.

Isso é só o começo. Vejamos com mais detalhes algumas das alterações principais feitas à nova Diretiva de grupo.

Reconhecimento aperfeiçoado de rede

Antes do Windows Vista, o mecanismo da Diretiva de grupo tentava descobrir se o acesso ocorria a partir de um link lento ou rápido, para então usar esse reconhecimento com o objetivo de ajudar a definir quais configurações da diretiva seriam aplicáveis. Por um link lento, a Diretiva de grupo não poderia enviar todas as configurações ao sistema do usuário, pois o download seria um tanto demorado. Esse recurso não foi removido da nova Diretiva de grupo. A novidade é que agora a largura de banda da rede passou a ser calculada.

Essa determinação de velocidade era feita pelo envio de pacotes ping do protocolo ICMP (Internet Control Message Protocol) aos Controladores de domínio. Esse método apresentava muitos problemas no uso cotidiano. Primeiro, muitos administradores desligam o ICMP em seus roteadores. Segundo, quando a conexão era feita em links de alta latência (como satélites), os cálculos não eram confiáveis. Nessas situações, o mecanismo da Diretiva de grupo não contava com um modo garantido de determinar se o link era realmente rápido.

Além disso, o mecanismo não tinha como saber se a máquina estava sendo restaurada do modo de hibernação ou de espera, tampouco como identificar se o usuário entrava de repente no sistema após ter ficado fora da rede durante seis meses. Com uma máquina que executa o Windows XP ou o Windows 2000, o usuário pode acessar a rede, verificar emails e desconectar-se (tudo sem atualizar a Diretiva de grupo). Se necessário, a maioria dos administradores prefere atualizar a diretiva em um sistema que está sendo restaurado do modo de hibernação ou de espera, ou em uma máquina que está sendo conectada após um longo período de ausência.

A Diretiva de grupo atualizada do Windows Vista é eficiente o bastante para obter informações sobre a conectividade da rede em tempo real. A principal alteração no mecanismo da diretiva é o uso do manipulador do NLA (Reconhecimento de locais de rede) 2.0 no Windows Vista. O serviço NLA simplesmente alerta o mecanismo sempre que um Controlador de domínio está disponível. Assim, em caso afirmativo, a Diretiva de grupo é atualizada, se necessário.

Vários GPOs locais

Antes do Windows Vista, havia suporte para um único GPO (Objeto de diretiva de grupo) local. Se você digitasse GPEDIT.MSC em um prompt de comando e fizesse algumas alterações nas configurações, afetaria cada usuário e administrador que utilizasse a máquina. Isso geralmente causava problemas se, por exemplo, você quisesse remover o comando Executar do menu Iniciar para os usuários comuns, mas preferisse deixá-lo disponível para os administradores.

O novo recurso Vários GPOs locais resolve o problema usando camadas de GPOs. Esse recurso provavelmente será bastante utilizado nos sistemas não incluídos em um domínio do Active Directory. Entretanto, ele também poderá ser útil para usuários corporativos.

O novo recurso Vários GPOs locais, que se baseia em camadas, pode tornar-se um pouco complicado (consulte a Figura 1). Ainda existe um GPO local padrão, que se aplica ao contexto do sistema do computador local e afeta todos os usuários do sistema. Esse GPO define tanto as configurações do computador quanto as do usuário.

Figura 1 Diretiva de grupo local total de usuários

Figura 1** Diretiva de grupo local total de usuários **

A segunda camada afeta os integrantes do grupo de Administradores do sistema local ou o grupo dos Não-administradores do sistema local. Por definição, uma conta de usuário não pode estar em ambos os grupos. A camada identifica se o usuário é um administrador do sistema local ou um usuário regular e aplica o GPO adequado (para Administradores ou Não-administradores). A terceira camada afeta uma conta de usuário do sistema local com um nome específico.

Portanto, esses são os três GPOs locais que podem afetar qualquer usuário que operar a máquina. Por exemplo, você pode usar as três camadas para fornecer configurações para todos os usuários de uma determinada máquina, mais configurações que afetem somente os Não-administradores da máquina e configurações que afetem um único usuário dessa máquina.

Obviamente, se o sistema estiver vinculado a um domínio do Active Directory®, os objetos da Diretiva de grupo do Active Directory terão precedência sobre as diretivas locais. Também é importante observar que os Administradores de domínio podem optar por desligar o processamento de todos os GPOs locais do Windows Vista.

Mensagens de erro e solução de problemas

O Windows Vista tem um sistema totalmente novo de Log de eventos. O mecanismo da Diretiva de grupo aproveita ao máximo esse novo sistema do Windows Eventing 6.0 (mais conhecido como Log de eventos) e divide os eventos em dois logs específicos. O log de Sistema familiar (agora identificado como log Administrativo) contém os problemas da Diretiva de grupo. Se ocorrer um erro com o mecanismo da Diretiva de grupo, o problema aparecerá no log do Sistema, relacionado como proveniente do serviço da Diretiva de grupo (não como um processo de Userenv).

Um novo log de Aplicativos e serviços (ou log Operacional) é específico para a Diretiva de grupo e armazena os eventos operacionais. Isso basicamente substitui o complicado arquivo de solução de problemas userenv.log, pois cada etapa do mecanismo de Diretiva de grupo é relacionada aqui, facilitando a leitura.

ADM e ADMX

Desde o tempo do Windows NT® 4.o, os arquivos ADM fornecem os modelos das definições básicas das possibilidades da Diretiva de grupo. Os arquivos ADM não controlam tudo na diretiva, mas são responsáveis por todos os itens localizados em Configuração do usuário | Modelos administrativos e também em Configuração do computador | Modelos administrativos.

No que diz respeito à funcionalidade, os arquivos ADM apresentam algumas falhas. Nas versões do Windows anteriores ao Windows Vista, sempre que o usuário criava um novo GPO, copiava alguns desses arquivos ADM para cada pasta do GPO (localizada em SYSVOL) até um volume de aproximadamente 5MB por GPO. Com vários GPOs, existem vários arquivos de modelo de sistema duplicados arquivados em SYSVOL, o que, por sua vez, cria várias réplicas de cada um desses volumes de 5MB.

Além disso, os arquivos ADM não são de idioma neutro. Um arquivo ADM é desenvolvido em um idioma e cada um que utiliza o arquivo deve adaptar-se ao idioma escolhido.

A Diretiva de grupo no Windows Vista resolve essas questões com a introdução de um novo formato baseado em XML para arquivos de definição da diretiva, chamado ADMX. Os próprios arquivos ADMX são de idioma neutro. Entretanto, devem ser acompanhados por um arquivo ADML de idioma específico. A inclusão de idiomas é fácil. Basta adicionar mais ADML para acompanhar um arquivo ADMX.

O formato ADMX oferece suporte a um armazenamento central. Isso elimina toda e qualquer duplicação de informações e facilita a atualização de um arquivo ADMX. Imagine que um arquivo ADMX é atualizado, talvez proveniente de um service pack - tudo o que você precisa é arrastar o arquivo atualizado para o armazenamento central e pronto. Todos os administradores da Diretiva de grupo no domínio, que estiverem usando estações de trabalho com o Windows Vista, terão acesso ao arquivo ADMX atualizado. Antes, era necessário certificar-se de que a máquina de cada administrador tinha a cópia correta do arquivo ADM atualizado, o que, na melhor das hipóteses, era um desafio.

O administrador de domínios precisa criar o armazenamento central no SYSVOL manualmente, uma vez para cada domínio do Active Directory. Quando o armazenamento central for criado, todos os administradores que utilizam o Windows Vista em suas máquinas para criar e gerenciar os GPOs utilizarão o armazenamento central automaticamente. Observe que esse é um recurso específico do Windows Vista e a máquina que executa o Windows Vista, vinculada a um domínio do Active Directory, é quem verifica a presença de um armazenamento central. Não é necessário esperar a próxima versão do Windows Server® , codinome "Longhorn", nem converter as máquinas dos usuários ao Windows Vista. Isso ocorre independentemente de o domínio basear-se no Windows Server Longhorn, no Windows Server 2003 ou no Windows 2000. Para aproveitar as vantagens do armazenamento central, basta criá-lo e usar máquinas com o Windows Vista para criar ou gerenciar GPOs.

Como mencionado anteriormente, os arquivos ADMX e ADML são baseados em XML. O principal benefício do XML é o uso de uma linguagem padrão do setor. No entanto, vale ressaltar que não há um editor gráfico ADMX (nem a Microsoft planeja lançar nenhum aplicativo do gênero). Também não existe uma ferramenta de conversão de ADM em ADMX para nenhum modelo ADM personalizado que o usuário eventualmente tenha.

O Windows Vista vem com cerca de 130 arquivos ADMX que substituem os 6 a 8 arquivos ADM que acompanhavam versões anteriores do Windows. Esses arquivos ficam no diretório \Windows\PolicyDefinitions, conforme mostrado na Figura 2. Observe que os arquivos ADML são armazenados em subdiretórios específicos do idioma, como o diretório en-US para inglês dos Estados Unidos.

Figura 2 Arquivos ADMX no diretório \Windows\PolicyDefinitions

Figura 2** Arquivos ADMX no diretório \Windows\PolicyDefinitions **(Clique na imagem para aumentar a exibição)

Console de gerenciamento de Diretiva de grupo

O Console de gerenciamento de Diretiva de grupo, ou GPMC, estava disponível como um download para Windows XP e Windows Server 2003. Como um Console de gerenciamento programável da Microsoft , o GPMC oferecia uma única ferramenta administrativa para gerenciar a Diretiva de grupo.

O GPMC agora está integrado ao Windows Vista. Desse modo, sempre que você estiver pronto para criar ou editar GPOs, terá fácil acesso à melhor ferramenta para o trabalho. Basta digitar GPMC.MSC no prompt de comando do menu Iniciar do Windows Vista | Pesquisar e estará pronto para começar.

Novidades de controle

O Windows Vista oferece cerca de 800 novas configurações de diretiva à tabela, existentes em várias categorias, muitas das quais você já conhece e utiliza. Entretanto, o Windows Vista também apresenta algumas novas categorias excelentes, que simplesmente não existiam ou que não tinham controle algum da Diretiva de grupo.

As áreas aprimoradas na Diretiva de grupo incluem a diretiva de rede Com e Sem fio, Firewall e Ipsec do Windows, Gerenciamento de impressão, Shell de desktop, Assistência remota e Tablet PC. Observe que as diretivas Com e Sem fio atualizadas podem exigir uma atualização do esquema no âmbito da floresta (para obter mais informações, visite microsoft.com/technet/itsolutions/network/wifi/vista_ad_ext.mspx).

As novas áreas na Diretiva de grupo do Windows Vista incluem Gerenciamento de dispositivos de armazenamento removível, Gerenciamento de energia, Controle de contas de usuários, Relatórios de erros do Windows, Proteção de acesso à rede e Windows Defender.

Para controlar as áreas que afetam especificamente as máquinas com Windows Vista, você deve usar uma máquina com Windows Vista (ou com o Windows Server "Longhorn") ao criar ou editar os GPOs. Isso porque os sistemas operacionais anteriores não reconhecem as novas configurações específicas do Windows Vista.

Como uma exploração de qualquer uma dessas áreas daria para ocupar um artigo inteiro, não há espaço aqui para explicarmos os detalhes de cada uma delas. Entretanto, os recursos de gerenciamento de dispositivos de armazenamento removível e de Gerenciamento de energia (vistos na Figura 3) são especialmente dignos de nota. Creio que tais recursos serão verdadeiras bênçãos para administradores em qualquer lugar. Em resumo, essas áreas proporcionam um controle granular eficiente quanto a quais dispositivos poderão ser conectados ao Windows Vista e que tipo de configurações de energia serão usadas por laptops, desktops e monitores para economizar os recursos financeiros das empresas.

Figura 3 Aplicar gerenciamento de energia por meio da diretiva de grupo

Figura 3** Aplicar gerenciamento de energia por meio da diretiva de grupo **(Clique na imagem para aumentar a exibição)

Com as configurações adicionais de Gerenciamento de energia do Windows Vista, o administrador pode desligar ou colocar um monitor de vídeo no modo "dormir", que consome pouca energia. Estudos publicados no site do programa Energy Star da Environmental Protection Agency mostram que o controle do uso de energia dos monitores pode resultar em economias de US$ 10 a US$ 30 por monitor ao ano. Essas economias podem atingir cifras bastante significativas em empresas com centenas ou milhares de monitores.

Quanto ao Gerenciamento de armazenamento removível , imagine esta situação: um administrador quer que os alunos possam usar suas unidades flash USB para acessar os trabalhos do final de semestre, lição de casa ou outros documentos em qualquer estação de trabalho nos quiosques do campus. No entanto, em virtude da possibilidade de uso indevido, bem como de riscos à segurança, os alunos não devem ter acesso de gravação às unidades USB nessas estações de trabalho - a menos, é claro, que seja uma unidade USB aprovada pela escola. Esse tipo de granularidade de gerenciamento de dispositivos é possível com o uso das configurações da Diretiva de grupo do Windows Vista.

Conclusão

Como você pode ver, as melhorias do Windows Vista em termos de gerenciamento foram feitas no escopo do sistema. Os administradores verão que a Diretiva de grupo do Windows Vista oferece gerenciamento de configuração eficiente e flexível, com significativo aumento de opções configuráveis e novos recursos para aumentar a segurança do sistema (e potencialmente reduzir os custos).

Novidades da Diretiva de grupo

Os recursos descritos neste artigo são, mais ou menos, o que você verá ao receber o Windows Vista. Entretanto, a equipe da Diretiva de grupo já está pensando nas próximas novidades. É provável que mais recursos da Diretiva de grupo estejam disponíveis até o lançamento do Windows Server "Longhorn". Embora esses recursos não estejam disponíveis na distribuição inicial do Windows Vista, é provável que sejam disponibilizados para o Windows Vista através de um service pack ou de outro mecanismo de complemento. Portanto, apesar de os futuros recursos estarem sujeitos a alterações, há três áreas principais de aperfeiçoamentos cobertas para o futuro. Deixamos claro que nenhum desses recursos deve exigir a execução do Windows Server "Longhorn".

Comentários Um recurso solicitado com freqüência é a capacidade de adicionar comentários sobre o que cada GPO faz ou o que uma configuração específica da Diretiva de grupo deve fazer. Neste momento, a única maneira de fazer comentários é manter um registro dos GPOs e das configurações, por exemplo, em uma planilha e inserir os comentários ali. A capacidade de inserir comentários será uma inclusão bem-vinda.

Modelos Às vezes um administrador quer oferecer a outros administradores um ponto de partida para criação de seus próprios GPOs. Os modelos da Diretiva de grupo fornecem essa capacidade. Com base em um modelo, o administrador poderá criar seu próprio GPO personalizado. A Microsoft provavelmente adicionará cenários comuns ao conjunto de modelos inicial, oferecendo orientações específicas sobre como controlar diferentes tipos de máquina. (Para obter mais informações sobre o tema, visite o site Documentação e arquivos de cenários comuns.)

Pesquisas e filtros Com a enorme quantidade de configurações da diretiva, às vezes é difícil encontrar a configuração específica de que você precisa. Felizmente, os próximos recursos de pesquisa facilitarão a busca dentro de títulos, textos explicativos e comentários das configurações da diretiva. Você também poderá ver rapidamente quais configurações da diretiva estão habilitadas ou desabilitadas em um GPO, o que facilita e agiliza a execução de alterações a um GPO com comportamento inadequado.

Para enviar solicitações de outros recursos para a Diretiva de grupo, visite o Portal de feedback do Windows Server em windowsserverfeedback.com.

Jeremy Moskowitz, MCSE e MVP em Diretiva de grupo, administra o GPanswers.com, um fórum comunitário sobre Diretiva de grupo. Ele também ministra um curso de treinamento intensivo de dois dias sobre Diretiva de grupo. Seu livro mais recente é Group Policy, Profiles and IntelliMirror, 3ª edição (Sybex, 2005). Entre em contato com Jeremy no endereço www.GPanswers.com. Agradecemos a Mark Lawrence, da equipe de Diretiva de grupo da Microsoft, pela ajuda com este artigo,

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..