• Artigo

Administração do Windows

Seu guia para a solução de problemas de Diretiva de Grupo

Derek Melber

 

Visão geral:

  • Problemas comuns de GPO
  • Regras de Diretiva de Grupo
  • Solucionando problemas de GPO
  • Ferramentas de solução de problemas

O Microsoft Active Directory tornou-se um componente crítico de muitas infra-estruturas de TI. Um dos recursos mais importantes do Active Directory é a Diretiva de Grupo, que permite aos administradores centralizar o gerenciamento de controladores de domínio, servidores membro e áreas de trabalho.

Embora a Diretiva de Grupo ofereça nitidamente muitos benefícios, ela apresenta uma pequena falha: pode ser complexa de se criar e implementar em uma empresa de grande porte, e ainda mais problemática para solucionar problemas quando alguma coisa sai errada. Neste artigo investigarei como a Diretiva de Grupo é estruturada e mostrarei como solucionar os problemas respectivos. No final, você terá toda a munição de que necessita para atacar quase qualquer problema relacionado à Diretiva de Grupo.

Configurações problemáticas

Há muitas partes móveis na Diretiva de Grupo, especialmente em relação ao modo como ela faz interface com o design e a implementação gerais do Active Directory ®. Ao solucionar problemas de acesso e de rede de vários tipos, você deve incluir sempre o Active Directory e as noções básicas da implementação da Diretiva de Grupo em sua busca por uma solução. Para iniciar o processo de solução de problemas, vamos dar uma olhada nas configurações de Diretiva de Grupo que podem ser definidas incorretamente e, então, passaremos aos problemas mais complexos que podem fazer com que a Diretiva de Grupo funcione incorretamente.

As configurações de Diretiva de Grupo são exibidas pelos administradores do Active Directory usando arquivos administrativos de modelo (arquivos ADM ou ADMX) e o Editor de objeto de diretiva de grupo, ou GPEdit (iniciado pela execução do gpedit.msc). Com o GPEdit, o administrador cria arquivos de objeto de diretiva de grupo, ou GPOs. Os GPOs são configurados para serem aplicados (ou não) a computadores e usuários na estrutura do Active Directory. Existem várias regras que os GPOs devem seguir para funcionar corretamente. Vejamos essas regras agora:

O GPO deve ser anexado Quando um novo GPO é criado, ele não pode ser anexado a nenhum nó no Active Directory. Embora o GPO possa ser editado e modificado, ele não afetará nenhum objeto até ser anexado a um nó. Para garantir que o GPO é anexado corretamente, você pode exibir a janela de informações no GPMC (Console de gerenciamento de Diretiva de grupo), mostrado na Figura 1.

Figura 1 Os links do GPO são mostrados com clareza

Figura 1** Os links do GPO são mostrados com clareza **(Clique na imagem para aumentar a exibição)

O GPO deve apontar o objeto correto Como você sabe, a Diretiva de Grupo deve apontar para objetos corretos no Active Directory. No entanto, isso às vezes passa despercebido no meio de um exercício de solução de problemas. Há duas categorias principais no GPO: computador e usuário. Ao configurar um GPO, certifique-se de observar se ele se destina a um computador ou a um objeto de usuário. Então você poderá verificar se os tipos corretos de objeto são colocados na UO (unidade organizacional) onde o GPO está anexado.

Os GPOs não são aplicados a grupos Embora você talvez desejasse que assim fosse, um GPO não pode ser aplicado a um objeto do grupo de segurança do Active Directory. Os dois únicos objetos que uma configuração GPO pode definir são computadores e usuários. Os GPOs não configuram objetos pela associação de grupo. Por exemplo, se houver um GPO anexado à UO Finance, como mostrado na Figura 2, os únicos objetos afetados pela configuração serão Derek e Frank. As configurações no GPO não afetarão os membros do grupo de Marketing, independentemente de quem tiver associação nesse grupo.

Figura 2 UO Finance e os objetos dentro dela

Figura 2** UO Finance e os objetos dentro dela **(Clique na imagem para aumentar a exibição)

O objeto de destino deve estar no caminho do GPO Quando você notar que uma configuração de GPO não está afetando um objeto como deveria, existirá uma configuração mais importante: o objeto deve estar no SOM (Escopo de Gerenciamento) do GPO. Isso significa que o objeto deve estar localizado abaixo do nó onde o GPO está anexado (até um nó filho será suficiente). Por exemplo, nenhum dos objetos na UO Marketing será afetado por um GPO que esteja anexado à UO Finance, como mostra a Figura 3. O SOM de um GPO é do nó onde ele está anexado, abaixo na estrutura do Active Directory.

Figura 3 Quando as UOs encontram-se no mesmo nível, os GPOs aplicam-se apenas à UO onde ele estiver anexado

Figura 3** Quando as UOs encontram-se no mesmo nível, os GPOs aplicam-se apenas à UO onde ele estiver anexado **(Clique na imagem para aumentar a exibição)

O GPO precisa ser habilitado Quando o GPO é criado, ele não é configurado para fazer nenhuma modificação em objetos de destino. Entretanto, ele é habilitado para as partes de computador e de usuário. Se alguma dessas partes for desabilitada, poderá ser difícil rastreá-la. Portanto, quando estiver solucionando problemas em um GPO que não será aplicado, convém verificar se alguma parte do GPO ou todo o GPO está desabilitado. Isso pode ser feito olhando-se em Objetos de Diretiva de Grupo | Diretiva de Conta, no GMPC, e verificando-se o status do GPO.

Algumas configurações precisam de reinicialização Quando uma configuração do GPO não estiver funcionando corretamente, pode ser devido ao processamento inerente de GPOs. Quando a atualização periódica de segundo plano é disparada, ela só é capaz de processar algumas configurações do GPO, mas não todas. Assim, embora você possa ter criado uma configuração, talvez ela ainda não tenha tido efeito. Há algumas configurações categorizadas como Diretivas de Primeiro Plano, e elas só são aplicadas quando o computador é reiniciado ou quando o usuário faz logoff e faz login em seguida. Exemplos de configurações que se comportam dessa forma incluem instalação de software, redirecionamento de pastas e aplicação de script.

Aplicações síncronas e assíncronas de configurações

Em um GPO você pode configurar o modo como ocorre a aplicação da diretiva, na inicialização e no logon. As alterações que você puder fazer darão acesso imediato à área de trabalho enquanto as diretivas ainda estiverem sendo aplicadas, ou garantirão que todas as diretivas sejam aplicadas antes que o usuário tenha acesso à área de trabalho. A Figura 4 mostra como se comporta cada sistema operacional, por padrão. Se desejar alterar esse comportamento, modifique a configuração de diretiva a seguir:

Computer Configuration | Administrative Templates | 
System | Logon | Always wait for the network at computer startup and logon

Figure 4 Processamento padrão no cliente

Sistema operacional Inicialização Logon Atualização de diretiva
Windows 2000 Em sincronia Em sincronia Sem sincronia
Windows XP Professional Sem sincronia Sem sincronia Sem sincronia
Windows Server 2003 Em sincronia Em sincronia Sem sincronia

A maioria dos administradores prefere a aplicação síncrona de diretiva, para garantir que todas as diretivas sejam aplicadas antes que o usuário possa acessar a área de trabalho. Isso assegura que todas as definições de segurança e configuração sejam aplicadas antes que qualquer trabalho possa ser realizado pelo usuário. Esse não é o estado padrão no Windows® XP Professional, que foi otimizado para propiciar velocidade de logon aprimorada.

Alterando a herança padrão

Existem quatro métodos diferentes que podem ser usados para alterar a herança padrão de processamento do GPO. Essas opções são eficientes e devem ser usadas de maneira comedida, pois podem causar alterações significativas ao comportamento do processamento de Diretiva de Grupo. Além disso, a solução de problemas dessas opções pode ser muito difícil de se executar. As opções para alteração de herança padrão incluem as quatro definições e configurações a seguir:

  • Bloquear herança de diretiva
  • Aplicação de GPO
  • Filtragem de GPO da ACL (lista de controle de acesso
  • Filtros WMI (Instrumentação de Gerenciamento do Windows)

Como essas configurações devem ser usadas de forma comedida, deve ser fácil documentar quando elas estiverem sendo usadas. Para saber se essas opções estão em uso, procure no GPMC. O bloqueio de herança é executado no nó do domínio ou da UO no GPMC. A aplicação de GPO, a filtragem da ACL e a filtragem WMI são definidas em cada GPO.

Você também pode executar o comando Gpresult no computador de destino para ter uma idéia quanto a alguma dessas configurações estar proibindo as diretivas de serem aplicadas ou não. Para ter uma visão mais aprofundada do conjunto resultante de diretivas que estão sendo aplicadas, adicione a opção /v ao comando Gpresult, que fornecerá a saída detalhada.

Problemas do modelo ADM

Quando você tenta definir configurações em um GPO na seção Modelos Administrativos, você trabalha com modelos ADM. Além dos modelos ADM fornecidos com o sistema operacional, você pode personalizar o seu próprio para uso em um GPO. O código no modelo ADM cria as pastas e diretivas no Editor de Diretiva de Grupo, do nó Modelos Administrativos. Entretanto, se o modelo ADM estiver corrompido, ausente ou configurado incorretamente, é bem possível que você não veja algumas ou todas as configurações no editor. Eis alguns outros problemas em relação aos quais você deve se resguardar quando usar os modelos ADM:

Modelos ADM ausentes Quando você edita um GPO e descobre que existem configurações no modelo ADM que não são exibidas no editor, é preciso importar o modelo ADM para o GPO. Para isso, basta clicar com o botão direito do mouse no nó Modelos Administrativos, no editor, e selecionar Adicionar ou remover modelos.

Preferências ausentes Há dois tipos de configurações que podem ser criadas em um GPO personalizado: preferências e diretivas. Diretivas são as configurações padrão da Microsoft incluídas todas em uma das quatro subchaves no Registro, cada uma delas terminando com o texto "Policies". Preferências são modificações no “estilo antigo” ao Registro; essas modificações não se incluem em uma das quatro subchaves, e são difíceis de se reverter depois de configuradas. Por padrão, essas preferências não são exibidas no editor. Você precisa habilitá-las para que apareçam; para isso, vá até o menu Exibir, na barra de ferramentas. Nesse menu, selecione Filtragem, marque a caixa de seleção "Só mostrar configurações de diretiva que podem ser 100% gerenciadas". Isso exibirá imediatamente as preferências configuradas em seus modelos ADM personalizados que foram importados.

Ferramentas úteis

Existem várias ferramentas disponíveis para ajudá-lo a rastrear seus problemas de Diretiva de Grupo. Algumas são internas do sistema operacional e outras podem ser baixadas e instaladas. Em seguida discutirei as ferramentas adequadas para que você possa escolher a ferramenta correta para a sua tarefa.

Dcgpofix Pode acontecer de você ter um problema com um dos dois GPOs padrão: Diretiva de Domínio Padrão e Diretiva Padrão de Controladores de Domínio. Se um ou os dois GPOs ficar corrompido, altamente fora da configuração onde você não possa corrigi-lo, ou algum outro problema desconhecido, use a ferramenta dcgpofix para revertê-los ao estado padrão. Essa ferramenta está incluída no Windows Server® 2003. Você não deve executá-la em um controlador de domínio do Windows 2000; em vez disso, use a ferramenta Recreatedefpol. E lembre-se: ao usar essa ferramenta, você perderá todas as configurações personalizadas.

Recreatedefpol Essa ferramenta é semelhante ao Dcgpofix, mas em servidores do Windows 2000. Ela pode retornar dois GPOs padrão ao respectivo estado de recém-instalado. Essa ferramenta só deve ser usada em uma situação de recuperação de desastres e não na manutenção de rotina de GPOs. Você pode baixar esta ferramenta.

Visualizar eventos O comando Visualizar eventos tem uma profusão de informações relacionadas à Diretiva de Grupo. Infelizmente, ele requer que você examine todos os arquivos de log diferentes para localizar entradas da Diretiva de Grupo. Lá você encontrará entradas relacionadas à aplicação da diretiva, replicação de diretiva e atualização de diretiva, todas úteis quando se procura rastrear um problema. Nem sempre há muitas informações sobre erros específicos de Diretiva de Grupo nos logs de eventos, mas lembre-se de que você pode sempre procurar no TechNet se encontrar erros que não puder identificar.

Gpresult Essa ferramenta só pode ser executada localmente no computador de destino, mas ela fornece informações sobre o RSoP (Conjunto de Diretivas Resultante), GPOs bloqueados, permissões em GPOs etc. Usar o comando com a opção /v mostrará uma boa dose de informações sobre os GPOs que estão afetando o computador e sobre contas de usuário associadas à sessão de logon atual.

Gpupdate Se estiver implementando novas configurações do GPO ou tentando garantir que todo o processamento do GPO ocorreu, use a ferramenta Gpupdate. Trata-se de uma ferramenta de linha de comando que vem com o sistema operacional (Windows XP e posteriores). Quando você a executa, ela dispara uma atualização em segundo plano que aplica todas as configurações do GPO que aderirem a esse tipo de atualização. Se você adicionar a opção /force, ela aplicará novamente todas as configurações do GPO, mesmo que não tenha havido nenhuma alteração a ele desde a última atualização. Executar esse comando antes de executar o comando Gpresult é um método muito eficiente para rastrear problemas de GPO.

Gpotool Como os GPOs são replicados do controlador de domínio onde ocorrem inicialmente as alterações do GPO para todos os demais controladores de domínio, existe uma chance de ocorrer falha ou não convergência eficiente da replicação. O resultado disso é a inconsistência ou falha das alterações a serem aplicadas corretamente aos computadores de destino. Ferramentas como Gpresult e RSOP podem ajudar a determinar que GPOs foram aplicados; mas essa ferramenta, a Gpotool, pode ajudá-lo a determinar se os GPOs em cada controlador de domínio estão consistentes. A ferramenta faz parte do Windows Server 2003 Resource Kit, disponível em go.microsoft.com/fwlink/?LinkId=77613.

Replmon Quando solucionar problemas de replicação de GPO de um controlador de domínio para outro, é importante saber que ferramentas você pode usar para ajudá-lo a fazer a replicação funcionar. Como existem duas partes de um GPO que devem ser replicadas, existem duas partes que precisam ser abordadas: A primeira, que vem a ser o conteúdo de SYSVOL em cada controlador de domínio, é controlada pelo FRS (Serviço de Duplicação de Arquivos) Não há realmente muito que se possa fazer para controlar essa replicação, exceto desabilitar e habilitar o serviço para ajudá-lo a disparar um intervalo de replicação. A outra parte do GPO, armazenada no Active Directory, é controlada pela replicação do Active Directory. Essa replicação pode ser controlada entre controladores de domínio no mesmo site do Active Directory, por meio do Sites e Serviços do Active Directory. Contudo, quando você precisar disparar uma replicação entre controladores de domínio em sites diferentes do Active Directory, precisará usar uma ferramenta como a Replmon. A Replmon pode forçar a replicação do banco de dados do Active Directory em fronteiras do site, ao passo que o Sites e Serviços do Active Directory não pode. Portanto, quando você tiver uma divergência de informações da Diretiva de Grupo, informações essas que são armazenadas no Active Directory, use a ferramenta Replmon para disparar um processo de replicação e obter essas informações convergidas em cada controlador de domínio. A ferramenta Replmon faz parte do Resource Kit e das ferramentas de suporte do Windows XP. Você pode baixá-la em go.microsoft.com/fwlink/?LinkId=77614.

RSOP Assim como a ferramenta de linha de comando Gpresult, a RSOP oferece uma interface gráfica para análise das configurações que foram aplicadas por todos os GPOs. O RSOP.MSC é uma ferramenta interna do Windows XP Professional e do Windows Server 2003. A ferramenta oferece um resultado de todas as configurações de diretiva aplicadas em um formato semelhante ao do Editor de Objeto de Diretiva de Grupo, como mostrado na Figura 5.

Figura 5 Ferramenta Conjunto de Diretivas Resultante

Figura 5** Ferramenta Conjunto de Diretivas Resultante **

Conclusão

A solução de problemas de Diretiva de Grupo não é a tarefa mais fácil que você já tentou realizar. Na verdade, como mostra este artigo, a Diretiva de Grupo pode ser bem complexa. Quando você a aborda para solucionar problemas, é necessário compreender a arquitetura básica e o processamento geral típico de Diretiva de Grupo. Você também precisa entender como um GPO é atualizado, replicado, processado e aplicado. Se você tem um bom entendimento de todos esses conceitos, solucionar qualquer problema específico de Diretiva de Grupo é muito mais fácil. Seguindo as diretrizes deste artigo e usando suas ferramentas de maneira adequada, você estará pronto para enfrentar os problemas de Diretiva de Grupo que encontrar.

Derek Melber é diretor de educação, certificação e conformidade da DesktopStandard, uma subsidiária de propriedade integral da Microsoft. Derek foi co-autor do livro Microsoft Windows Group Policy Guide (Microsoft Press, 2005). Ele também escreveu uma série de livros sobre auditoria de segurança no Windows (www.theiia.org). Entre em contato com Derek em derekm@desktopstandard.com.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..