Console de Gerenciando de Diretiva de Grupo (GPMC)

Por Josué Vidal

Está ferramenta ajuda administradores a trabalhar com diretiva de grupo de uma forma, simplificada e unificada. A final com a diretiva de grupo você pode definir que a família Windows 2003 aplique continuamente as configurações de diretiva de grupo que você definiu.

O console de Gerenciamento de Diretiva de Grupo (Group Policy Management) é um conjunto de interfaces programáveis para gerenciamento de diretiva de grupo, assim com um snap-in do MMC criado nas interfaces programáveis. Juntos, os componentes do Group Policy Management consolidam o gerenciamento da diretiva de grupo em toda empresa.

O Console de Gerenciamento de Diretiva de Grupo combina a funcionalidade de vários componentes em uma única interface do usuário. A interface do usuário é estruturada para corresponder a maneira como você usa e gerencia a diretiva de grupo. Ela incorpora a funcionalidade relativa à diretiva de grupo das ferramentas a seguir em um único snap-in do MMC:

  • Active Directory User and Computers

  • Active Directory Sites and Services

  • Resultant set os Policy (RSoP)

O Gerenciamento de Diretiva de Grupo também fornece os recursos estendidos a seguir, que estavam disponíveis em ferramentas de diretiva de grupo anteriores. Com o Gerenciamento de Diretiva de Grupo, você pode:

  • Fazer backup de GPOs e restaurá-las

  • Copiar e importar GPOs

  • Usar filtros WMI (Windows Management Instrumentation).

  • Relatar dados de GPO e RSoP.

  • Pesquisar GPOs.

Antes de haver o Gerenciamento de Diretiva de Grupo, você gerenciava a diretiva de grupo usando diversa ferramentas baseadas no Windows, como Active Directory User and Computers, Active Directory Sites and Services e Resultant set os Policy (RSoP). O Gerenciamento de Diretiva de Grupo consolida o gerenciamento de todas as tarefas principais da diretiva de grupo em uma única ferramenta. Devido ao gerenciamento consolidado, a funcionalidade da diretiva de grupo não é mais necessária nessas outras ferramentas.

Após instalar o Gerenciamento de Diretiva de Grupo, você continua a usar as ferramentas do Active Directory para suas finalidades de gerenciamento de diretório, como a criação de objetos de usuário, computador e grupo. No entanto, você pode usar o Gerenciamento de Grupo para executar todas as tarefas relacionas a diretiva de grupo. A funcionalidade da diretiva de grupo deixa de estar disponível por meio das ferramentas do Active Directory quando o Gerenciamento de Diretivas de Grupo (GPMC) é instalado.

O Gerenciamento de Diretivas de Grupo não substitui o Editor de Objeto de Diretiva de Grupo. Você ainda deve editar GPOs usando o Editor de Objeto de Diretiva de Grupo. O Gerenciamento de Diretivas de grupo integra a funcionalidade de edição fornecendo acesso direto ao Editor de Objeto de Diretiva de Grupo.

Como criar uma GPO?

Use os procedimentos a seguir para criar uma nova GPO ou vincular uma GPO existente usando Active Directory Users and Computers (Usuários de Computadores do Active Directory), e para criar uma GPO em um site, domínio, ou unidade organizacional.

Procedimento

  1. Clique em Iniciar, aponte para ferramentas administrativas e clique em Group Policy Management (Gerenciamento de Diretiva de Grupo).

  2. Em Group Policy Management, na árvore de console, expanda a floresta que contém o domínio em que você deseja criar uma nova GPO, expanda Domains e expanda o domínio.

  3. Clique com o botão direito do mouse em Group Policy Objects (Objetos de Diretivas de Grupo) e clique em New (Novo).

  4. Na caixa de diálogo New GPO (Novo GPO), digite um nome para o novo objeto de diretiva de grupo e clique em OK.

Cc668491.DiretivadeGrupo01(pt-br,TechNet.10).jpg

Todas as GPOs são armazenadas em um recipiente no Active Directory chamado Group Policy Objects. Quando uma GPO é usada por um site, domínio ou unidade organizacional, a GPO é vinculada ao recipiente Group Policy Objects. Assim, você pode administrar centralmente e implantar os GPOs para muitos domínios ou unidades organizacionais.

Use os procedimentos a seguir para criar e vincular GPOs, vincular GPOs existentes, desvincular uma GPO, excluir em vinculo de GPO, excluir em GPO e desativar uma GPO.

Procedimento para criar e vincular uma GPO

  1. Em Group Policy Management, na árvore de console,expanda a floresta que contém o domínio em que você deseja criar uma nova GPO, expanda Domains e execute um destes procedimentos.

    • Para criar uma GPO e vinculá-lo a um domínio, clique com o botão direito do mouse no domínio e clique em Create and Link a GPO Here (Crie e vincule um GPO).

    • Para criar uma GPO e vinculá-lo a uma unidade organizacional, expanda o domínio que contém a unidade organizacional, clique com o botão direito do mouse na unidade organizacional e clique em Create and Link a GPO here.

  2. Na caixa de dialogo New GPO , digite um nome para o novo objeto de diretiva de grupo e clique em OK.

Procedimento para vincular uma GPO existente.

  1. Em Group Policy Management, na árvore de console, expanda a floresta que contém o domínio em que você deseja vincular uma GPO existente, expanda Domains (Domínios) e expanda o domínio.

  2. Clique com o botão direito do mouse no domínio, site ou unidade organizacional e clique em Link na Existing GPO (vincule um GPO existente).

  3. Na caixa de dialogo Select GPO (Selecione o GPO), clique no GPO que você deseja vincular e clique em OK.

Procedimento para desvincular uma GPO.

  1. Em Group Policy Management, na arvore de console, expanda a floresta que contém o domínio do qual você deseja desvincular uma GPO existente, expanda Domains e expanda o domínio.

  2. Clique com o botão direito do mouse em uma GPO vinculado e desmarque a opção Link Enabled (Vinculo Ativo).

Procedimento para excluir um vinculo de GPO.

  1. Em Group Policy Management, na árvore de console, expanda a floresta que contém o domínio e que você deseja excluir um vinculo de GO existente, expanda Domains e expanda o domínio.

  2. Clique com o botão direito do mouse em uma GPO vinculado e clique em Excluir.
    Isso exclui apenas o vinculo do GPO, e não o GPO.

  3. Na caixa de mensagem, clique em OK.

Procedimento para excluir uma GPO.

  1. Em Group Policy Management, na árvore de console,expanda a floresta que contém o domínio em que você deseja excluir uma GPO, expanda Domains, expanda o domínio e expanda Group Policy Objects.

  2. Clique com o botão direito do mouse na GPO que você deseja excluir e clique em Excluir.
    Isso não exclui o vinculo para a GPO de outros domínios.

  3. Na caixa de mensagem, clique em OK.

Procedimento para desativar uma GPO.

  1. Em Group Policy Management, na árvore de console,expanda a floresta que contém o domínio em que você deseja desativar em GPO, expanda Domains, expanda o domínio e expanda Group Policy Objects.

  2. Clique na GPO que você deseja desativar.

  3. No painel de detalhes, na guia Details, na caixa GPO Status (Status do GPO), clique em uma das seguintes opções:

    • All settings disabled ( Todas as Configurações Desativadas)

    • Computer configuration Settings disabled ( Configurações do Computador Desativadas)

    • Use configuration settings disabled ( Configurações do Usuário Desativadas).

Cc668491.DiretivadeGrupo02(pt-br,TechNet.10).jpg

Entendendo herança no Active Directory

A ordem em que o Windows Server 2003 aplica as GPOs depende do recipiente do Active Directory ao quais as GPOs estão vinculadas. Os GPOs são aplicados primeiro ao site , depois aos domínios ,e em seguida,às unidades organizacionais nos domínios.

As GPOs são cumulativas, o que significa que são herdados. A herança da diretiva de grupo é a ordem em que o Windows Server 2003 aplica as GPOs. Em última análise, a ordem em que as GPOs são aplicadas e a maneira como são herdados determinam as configurações que afetam usuários e computadores, Se houver várias GPOs definidos com o mesmo valor, por padrão a GPO aplicada por ultimo é a que prevalece.

Também pode haver várias GPOs vinculados aos mesmos recipientes. Por exemplo, pode haver três GPOs vinculados a um único domínio. Como a ordem em que as GPOs são aplicadas pode afetar as configurações de diretiva de grupo resultantes, também há uma ordem, ou prioridade de configurações de diretiva de grupo, de GPOs para cada recipiente.

Combinações complexas de GPO podem criar conflitos, que podem exigir que você modifique o comportamento de herança padrão.

Quando configurações de diretiva de grupo são definidas para a unidade organizacional pai e as unidades organizacionais filho, as configurações de todas as unidades organizacionais são aplicadas. Se as configurações forem incompatíveis, a unidade organizacional filho mantém sua própria configuração de diretiva de grupo. Por exemplo, uma configuração de diretiva de grupo para a unidade organizacional que foi aplicada por ultimo ao computador ou usuário substitui a configuração de diretiva de grupo conflitante para um recipiente que está mais elevado na hierarquia do Active Directory.

Se a ordem de herança padrão não atender às necessidades de sua organização, você poderá modificar as regras de herança para GPOs específicos. O Windows Server 2003 fornece as duas opções a seguir para alterar a ordem de herança padrão.

  • Enforced - No Override (Não Substituir)
    Está opção Enforced é definida individualmente em cada vinculo de GPO.
    Use está opção para impedir que recipientes filho substituam um GPO com configuração de prioridade mais alta. Esta opção é útil para aplicar GPOs que representam regras comerciais em toda a organização.
    Você pode definir essa opção em um ou mais GPOs, conforme a necessidade. Quando mais de uma GPO é definida com Enforced, a GPO e definido como Enforced que prevalece é o que estiver mais elevado na hierarquia do Active Directory.

  • Block Policy Inheritance (Bloquear Herança de Diretiva).
    Está opção Block Policy Inheritance é definida em cada recipiente.
    Use está opção para forçar um recipiente filho a bloquear a herança de todos os recipientes pai. Está opção é útil quando uma unidade organizacioanal exige configurações de diretiva de grupo exclusivas. Caso haja conflitos, a opção Enforced sempre prevalece sobre a opção Block Policy Inheritance.

Procedimento para ativar o Block Policy Inheritance
Para ativar Block Policy Inheritance

  1. No Group Policy Management , na árvore de console, expanda a floresta em que você deseja bloquear a herança e execute um dos seguintes procedimentos:

    • Para bloquear a herança dos vínculos de GPO para uma unidade organizacional, expanda Domains e clique com o botão direito do mouse no domínio.

    • Para bloquear a herança dos vínculos de GPO para uma unidade organizacional e clique nela com o botão direito do mouse.

  2. Clique em Block Inheritance.

Procedimento para ativar o Enforced
Para ativar Enforced

  1. No Group Policy Management, na árvore de console, expanda a floresta com o vinculo para qual você deseja configurar a aplicação e execute um dos seguintes procedimentos:

    • Para configurar a aplicação de um vínculo de GPO a um domínio, expanda Domains e expanda o domínio que contem o vínculo de GPO.

    • Para configurar a aplicação de um vínculo de GPO a uma unidade organizacional, expanda Domains, expanda a unidade organizacional, que pode incluir qualquer unidade organizacional pai ou filho que contenha o vínculo de GPO.

    • Para configurar a aplicação para um vínculo de GPO a um site, expanda Sites e expanda o site que contém o vínculo de GPO.

  2. Clique com o botão direito do mouse no vínculo de GPO e clique em Enforced para ativar ou desativar a aplicação.

Cc668491.DiretivadeGrupo03(pt-br,TechNet.10).jpg

Cc668491.DiretivadeGrupo04(pt-br,TechNet.10).jpg

Entendendo Filtro de GPO

Você pode filtrar a implantação de uma GPO configurando permissões no vínculo de GPO para determinar o acesso da permissão de leitura ou negação na GPO. Para que as configurações de diretiva de grupo sejam aplicadas a uma conta de usuário ou computador, a conta deve ser pelo menos permissão de leitura para uma GPO. As permissões padrão para uma nova GPO têm as seguintes entradas de controle de acesso (ACEs, access control entries):

  • Usuários Autenticados - permitir leitura e permitir aplicação da diretiva de grupo.

  • Admins. do Domínio, Administração de Empresa e SYSTEM - Permitir leitura, permitir gravação, permitir criação de todos os objetos filho, permitir exclusão de todos os objetos filhos.

Você pode usar os seguintes métodos de filtragem:

  • Explicitly Deny (Negar Explicitamente)
    Este método é usado ao se negar à diretiva de grupo. Por exemplo, você pode negar permissões explicitamente ao grupo de segurança de administradores, o que impede os administradores na unidade organizacional de receber as configurações de GPO.

  • Remove Authenticated Users (Remover Usuários Autenticados)
    Você pode omitir os administradores da unidade organizacional do grupo de segurança, o que significa que eles não tem permissões explicita para o GPO.

  • WMI Filtering (Filtragem de WMI, Windows Management Instrumentation).

Procedimento para configurar filtro de GPO.

Para filtrar o escopo de um GPO usando grupos de segurança:

  1. No Group Policy Management, na árvore de console, expanda a floresta e o domínio com a GPO, expanda Group Polivy Objects e clique no GPO.

  2. No painel de detalhes, na guia Scope (Escope), Clique em Add (Adcionar)

  3. Na caixa de dialogo Selecione Usuários,Computador ou Grupo, na caixa Digite o Nome do Objeto a Ser Selecionado, digite o nome do objeto de segurança e clique em OK.

  4. Na guia Delegation (Delegação), clique em Advanced (Avançado).

  5. Na caixa de diálogo Security Settings, defina as seguintes configurações de segurança avançada.

    • Para o objeto de segurança, defina a permissão Aplicar Diretiva de Grupo como Negar.

Entendendo Relatório de Diretiva de Grupo

Um administrador de sistema pode fazer centenas de alterações em uma GPO. Para verificar que alterações foram feitas em uma GPO sem ter que abrir a GPO e expandir todas as pastas, você pode gerar um relatório em HTML (Hypertext Markup Language), listando os itens da GPO que foram configurados.

A guia Settings do painel de detalhes de um Gpo, ou vínculo de GPO, no Gerenciamento de Diretivas de Grupo, Exibe um relatório em HTML que apresenta todas as configurações definidas no GPO. Qualquer usuário com accesso de leitura a GPO poderá gerar esse relatório ou salva-los como HTML ou XML (Extensible Markup Language).

Procedimento para utilizar Relatórios de Diretiva de Grupo.

Para usar o Relatório de Diretiva de grupo:

  • No Group Policy Management, na árvore do console,clique no GPO que desejar analisar com um relatório.
    Você deverá expandir a floresta, o domínio e o nome de domínio para localizar o GPO para o qual deseja gerar um relatório.

  • No painel de detalhes, clique na guia Settings (Configurações).

Entendendo Modelagem de Diretiva de Grupo

O Windows Server 2003 permite que você simule a implantação de uma GPO aplicado a usuários e computadores, antes de realmente aplicar a GPO.

A simulação cria um relatório que considera a unidade organizacional do usuário, a unidade organizacional do computador e qualquer participação em grupos ou filtragem de WMI. Também leva em conta quaisquer problemas ou conflitos de herança de diretiva de grupo.

Se você quiser usar a modelagem de diretiva de grupo, deverá haver um controlador de domínio do Windows Server 2003 na floresta. Isso ocorre porque a simulação é efetuada por um serviço que somente está presente nos controladores de domínio do Windows Server 2003.

Para efetuar uma consulta de Modelagem de Diretiva de Grupo, o usuário utiliza o Assistente de Modelagem de Diretiva de Grupo. Depois que o usuário concluir o Assistente de Modelagem de Diretiva de Grupo, será exibido um novo nó na árvore do console do Group Policy Management, em Group Policy Modeling ( Modelagem de diretiva de Grupo), para exibir os resultados. A guia Contents (Índice) do painel de detalhes de Modelagem da diretiva de grupo exibe um resumo de todas as consultas de Modelagem de diretiva de grupo efetuadas pelo usuário.

Para cada consulta, o Group Policy Management exibe os seguintes dados:

  • Name - O nome fornecido pelo usuário para os resultados da modelagem.

  • User - Objeto de usuário( ou a unidade organizacional em que se encontra o objeto de usuário) no qual a consulta de modelagem se baseou.

  • Computer - objeto de computador( ou unidade organizacional em que se encontra o objeto de computador) no qual a consulta de modelagem se baseou.

  • Last Refresh Date - O horário da última atualização da consulta de modelagem.

Para cada consulta, o painel de detalhes do nó contém as três guias a seguir:

  • Summary - Contém um relatório em HTML com informações resumidas, incluindo a lista dos GPOs, participação em grupo de segurança e filtros WMI.

  • Settings - Contém um relatório HTML comas configurações de diretivas que foram aplicadas nessa simulação.

  • Query - Lista os parâmetros que foram usados para gerar a consulta.

Procedimento para utilizar modelagem de diretiva de grupo:

Para usar a Modelagem de diretiva de grupo:

  1. Em Group Policy Management, na árvore do console, clique duas vezes na floresta em que você deseja criar um consulta de Modelagem de diretiva de grupo, clique com o botão direito do mouse sobre Group Policy Modeling e, em seguida, clique em Group Policy Modeling Wizard (Assistente para Modelagem de diretiva de grupo).

  2. No assistente de Modelagem de diretiva de grupo, clique em Avançar e digite as seguintes informações:

    • Se quiser modelar qual será o efeito de um novo GPO em um usuário ou computador, digite o nome do recipiente do usuário ou computador.

    • Se quiser modelar qual será o efeito de uma nova GPO numa determinada conta de usuário ou computador que será migrada para outra unidade organizacional, digite o nome do usuário ou computador. O assistente então solicitará o destino desse usuário ou computador.

  3. Ao terminar, clique em Concluir.

Entendendo Resultados de Diretiva de Grupo

Os dados apresentados nos Resultados de diretiva de grupo são iguais aos da Modelagem de diretiva de grupo. Contudo, ao contrário dos dados da Modelagem de diretiva de grupo, esses dados não constituem uma simulação. São os dados RSoP (Resultant Set of Policy ou Conjunto de Diretivas Resultante) verdadeiros obtidos do computador de destino. Por padrão, esse acesso é concedido a todos os usuários do Microsoft Windows XP, mas não no Windows Server 2003.

Ao contrario da Modelagem de diretiva de grupo, os dados dos Resultados da diretiva de grupo são obtidos do cliente e não são simulados no controlador de dominós. Tecnicamente, um controlador de domínio do Windows Server 2003 não precisa estar na floresta se você quiser ter acesso aos Resultados de diretiva de grupo. Contudo, o cliente deverá estar executando o Windows XP ou o Windows Server 2003. Não é possível obter dados dos Resultados de Diretiva de Grupo de um cliente que estiver executando o Windows 2000.

Por padrão, somente usuários com privilégios de administrador no computador de destino poderão acessar remotamente os dados dos Resultados de diretiva de grupo, Para reunis esses dados, o usuário que estiver fazendo a consulta deverá ter acesso para exibir remotamente o log de eventos.

Cada consulta dos Resultados de diretiva de grupo é representada por um nó sob recipiente de Resultados de Diretiva de Grupo, na arvora de console do Group Policy Management, em Group Policy Results. O painel de detalhes de cada nó contém as três guias a seguir:

  • Summary: Contém um relatório em HTML com informações resumidas, incluindo alista dos GPOs, participação em grupo de segurança e filtros WMI.

  • Settings: Contém um relatório HTML com as configurações de diretivas que foram aplicadas.

  • Policy Events: (Eventos de Diretiva) Exibe todos os eventos relacionados com diretivas do computador de destino.

Procedimento para utilizar resultados de diretiva de grupo:

  1. Em Group Policy Management, na árvore de console, clique duas vezes na floresta em que você deseja criar uma consulta de Resultados de diretiva de grupo, clique com o botão direito do mouse sobre Group Policy Results e em seguida, clique em Group Policy Results Wizard.

  2. No assistente de Resultados de diretiva de grupo, clique em Avançar e digite as informações apropriadas.

  3. Ápos completar o assistente, clique em Concluir.

Entendendo Ferramentas de Linha de Comando

GPUPDATE - É uma ferramenta de linha de comando que atualiza as configurações locais de diretiva de grupo e as configurações de diretiva de grupo armazenadas no Active Directory, incluindo as configurações de segurança. Por Padrão, as configurações de segurança são atualizadas a cada 90 minutos, em uma estação de trabalho ou em um servidor, e a cada cinco minutos em um controlador de domínio. Você pode executar o gpupdate para testar ou forçar uma configuração de Diretiva de Grupo.

Os exemplos apresentados a seguir mostram a utilização do comando gpupdate:

  • C:\gpupdate

  • C:\gpupdate /target:computer

  • C:\gpupdate /force /wait:100

  • C:\gpupdate /boot

O gpupdate possui os seguintes parâmetros:

  • /Target:{computer|User} - Especifica que serão atualizadas configurações de diretivas somente de usuário ou de computador.

  • /Force - Replica todas as configurações de diretivas

  • /Wait:{Valor} - Define o número de segundos de espera até que o processamento de diretiva seja concluído. O Valor padrão é de 600 segundos.

  • /Logoff - Causa um logoff após a atualização das configurações de diretiva de grupo.

  • /Boot - Faz com que o computador seja reinicializado após a atualização da diretiva de grupo.

  • /Sync - Faz com que as próximas configurações de diretivas em primeiro plano sejam aplicadas de maneira sincronizada.

GPRESULT - É uma ferramenta de linha de comando que exibe o conjunto resultante de diretivas (RSoP, Resultant Set of Policy) aplicadas ao computador do usuário especificado no logon. Você pode usar o gpesult para ver que configurações de diretiva estão em efeito e para resolver problemas.

Os exemplos apresentados a seguir mostram a utilização do comando gpresult:

  • C:\gpresult /user targetusername /scope computer

  • C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /scope USER

  • C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23 /user targetusername /z>policy.txt

  • C:\gpresult /s srvmain /u maindom\hiropln /p p@ssW23

O gpresult possui os seguintes parâmetros:

  • /s computador - especifica o nome ou o endereço IP de um computador remoto.

  • /u Domínio\Usuário - Executa o comando com as permissões de conta do usuário que forem especificadas por Usuário ou Domínio\Usuário.

  • /p Senha - Especifica a senha da conta de usuário especificada no parâmetro /u.

  • /user NomeDoUsuárioDestino - Especifica o nome de usuário cujos dados do RsoP deverão ser exibidos.

  • /scope {user|computer} - Exibe as configurações de diretivas de usuário ou computador.

  • /v - Especifica que a saída exibirá informações detalhadas sobre diretivas.

  • /z - Especifica que a saída exibirá todas as informações disponíveis sobre a diretiva de grupo.

  • /? - Exibe ajuda na janela do prompt de comando.

Links Relacionados:

https://www.microsoft.com/windowsserver2003/gpmc/gpmcintro.mspx

https://www.microsoft.com/windowsserver2003/gpmc/default.mspx

Download:

https://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en

Abraços!!!
Vidal