Guia complementar da rede principal: implantação de Política de Grupo

  • Artigo

 

Aplicável a: Windows Server 2012

Este é um guia complementar para o Guia de Rede Principal do Windows Server ® 2012, que está disponível para download no formato do Microsoft Office Word no Centro de Download da Microsoft (https://go.microsoft.com/fwlink/?LinkId=255199) e no formato HTML na Windows Server 2012 Biblioteca Técnica (https://technet.microsoft.com/library/hh911995.aspx).

O Guia de Rede Principal do Windows Server 2012 fornece instruções para planejar e implantar os componentes principais necessários para uma rede totalmente operacional e um novo domínio Active Directory em uma nova floresta.

Este guia explica como construir a rede principal, fornecendo instruções para implantar GPOs (Objetos de Política de Grupo) usando grupos de associação em vez de OUs (unidades organizacionais) que compõem a hierarquia de um domínio do Active Directory.

Este guia contém as seções a seguir.

Dica

Este guia está disponível nos locais a seguir.

Sobre este guia

Este guia fornece instruções para implantar as configurações de Política de Grupo a um conjunto de usuários ou computadores cliente usando grupos de associação em vez do local da conta na hierarquia de OU de um domínio.

O método descrito nesse guia mostra como criar um único grupo de associação no qual você pode adicionar as contas de usuários ou computadores que devem receber uma configuração por meio do uso de GPOs. A associação no grupo, em vez de no local da conta na hierarquia de OU, determina se o computador recebe um dos GPOs associados ao grupo de associação. Além disso, os filtros de WMI (Instrumentação de Gerenciamento do Windows) são usados para garantir que somente o GPO com as configurações que correspondem à versão do Windows em execução no computador seja aplicado.

Há dois principais benefícios de usar esse método para implantar GPOs:

  • Ele é totalmente independente da estrutura de OU do domínio. Aplicar um GPO a um computador não significa mais mover computadores para outra OU ou reestruturar sua hierarquia de OU.

  • É muito fácil aplicar ou parar de aplicar as configurações em um GPO. Você simplesmente remove a conta de usuário ou computador do grupo de associação. Isso remove o usuário ou computador do escopo do GPO sem afetar quaisquer outros GPOs que se aplicam ao usuário ou computador.

Esse guia foi criado para administradores de rede e do sistema que tenham seguido as instruções do Guia de Rede Principal do Windows Server 2012 para implantar uma rede principal ou para aqueles que já implantaram as principais tecnologias incluídas na rede principal, incluindo serviços de domínio AD DS (Serviços de Domínio do Active Directory), DNS (Serviço de Nomes de Domínio), protocolo DHCP, TCP/IP e WINS (Serviço de Cadastramento na Internet do Windows) (opcional).

É recomendável que você examine os guias de design e implantação para cada uma das tecnologias que são usadas neste cenário de implantação. Esses guias podem ajudá-lo a determinar se esse cenário de implantação fornece os serviços e configurações necessários para a rede da sua organização.

Requisitos

Aviso

É recomendável que você use os métodos documentados neste guia somente para os GPOs que devem ser implantados para a maioria dos computadores na sua organização e somente quando a hierarquia de OU em seu domínio do Active Directory não corresponde bem às necessidades de implantação desses GPOs. Quando a hierarquia de OU der suporte a ele, implante um GPO vinculando-o ao nível mais baixo de OU que contém todas as contas às quais o GPO será aplicado.

Em um ambiente corporativo de grande porte com centenas ou milhares de GPOs, o uso desse método pode resultar em contas de usuário ou computador que se tornam membros de um número excessivo de grupos. Isso pode resultar em problemas de conectividade de rede quando os limites de protocolo de rede tiverem sido excedidos. Para obter mais informações sobre os problemas relacionados à associação de grupo excessiva, consulte os seguintes artigos da Base de Dados de Conhecimento Microsoft:

A seguir estão os requisitos para usar a Política de Grupo:

  • Para implantar a Política de Grupo, você deve ter um controlador de domínio Active Directory hospedando um domínio e computadores que foram adicionados ao domínio.

  • Para configurar GPOs, crie grupos de associação e atribua membros a eles, você deve estar conectado como um membro do grupo Admins. do Domínio.

O que este guia não contém

Este guia não fornece instruções abrangentes para a criação e implantação de uma infraestrutura de Política de Grupo usando o AD DS. É recomendável que você examine a documentação do AD DS e a Política de Grupo antes de implantar as tecnologias neste guia. Para obter mais informações, consulte Recursos adicionais.

Visão geral da tecnologia de Política de Grupo

Política de Grupo é uma tecnologia de gerenciamento que fornece aos usuários acesso consistente a seus aplicativos, configurações de aplicativos, perfis de usuários móveis e dados do usuário, de qualquer computador gerenciado, mesmo quando eles estiverem desconectados da rede. As configurações da Política de Grupo estão contidas em GPOs, que são vinculadas a sites, domínios ou OUs dentro de um domínio do Active Directory. As configurações nos GPOs são então avaliadas e aplicadas pelos usuários e computadores de destino. A Política de Grupo é uma das principais razões para implantar o AD DS (Serviços de Domínio do Active Directory) porque permite gerenciar objetos de computador e usuário.

A maioria dos administradores associa a implantação de GPO com a hierarquia de OU de um domínio do Active Directory. Você pode vincular um GPO a uma OU e quaisquer computadores ou usuários nessa OU ou um de seus descendentes recebem e aplicam a política. No entanto, um domínio do Active Directory pode conter apenas uma única hierarquia de OUs e contas de computador e usuário podem ser colocadas em apenas uma única OU. Por esse motivo, há ocasiões em que uma hierarquia de OU que é apropriada para resolver um problema é inadequada para outro. Por exemplo, muitas organizações desenvolvem a hierarquia de OU para dar suporte à administração delegada. As contas de usuário e computador são colocadas em OUs para as quais uma equipe de TI tenha recebido a responsabilidade. Ao conceder as permissões administrativas da equipe IT no contêiner de OU, ela pode gerenciar os computadores e usuários cujas contas estão na OU. Essa mesma hierarquia pode ser eficiente para implantar as configurações de Política de Grupo que afetam os computadores em toda a empresa, por exemplo, ao implantar as configurações do protocolo IPsec para cenários de isolamento de servidor e domínio.

Além disso, configurar uma versão do Windows pode exigir que você use uma configuração de política diferente da configuração de política usada em outra versão do Windows. Por exemplo, as regras de IPsec no Windows Server 2012, Windows Server 2008, Windows 8, Windows 7 e Windows Vista são gerenciadas por uma parte do GPO diferente das regras de IPsec para o Windows Server 2003 e versões anteriores do Windows. Isso significa que talvez você tenha seis GPOs separados que realizam a mesma função, uma para Windows Server 2012, Windows Server 2008, Windows Server 2003, Windows 8, Windows 7 e Windows Vista. O GPO do Windows Server 2003 também se aplica a versões anteriores do Windows.