• Artigo

Diretiva de Grupo

Informações detalhadas sobre o Gerenciamento Avançado de Diretiva de Grupo

Derek Melber

 

Visão geral:

  • Arquitetura e instalação do AGPM
  • Edição offline de GPOs
  • Gerenciamento de alterações com o AGPM
  • Recuperação de desastre

Recentemente, a Microsoft adquiriu a DesktopStandard, uma empresa que criou um produto que permite o gerenciamento completo de Objetos de Diretiva de Grupo. Na minha opinião, toda empresa que usa o Active Directory deveria executar essa ferramenta – o Gerenciamento Avançado de Diretiva de Grupo (AGPM).

O AGPM fornece edição offline de GPOs (Objetos de Diretiva de Grupo), gerenciamento de alterações, fluxo de trabalho de diretivas de atualização, delegação, e muito mais. Neste artigo, vou me aprofundar no funcionamento interno da ferramenta, fornecendo uma visão detalhada desse produto incrível e extremamente útil.

Vou dar primeiro algumas informações básicas. O AGPM era conhecido inicialmente como GPOVault. Depois de adquirir a DesktopStandard, a Microsoft o renomeou como AGPM e o adicionou ao Microsoft® Desktop Optimization Pack (MDOP). Atualmente, você só pode obter o MDOP se as suas licenças de desktop do Windows Vista® estiverem cobertas pelo Microsoft Software Assurance.

Baseado na minha experiência com as ferramentas incluídas, creio que o MDOP é, de longe, uma das ofertas mais impressionantes da Microsoft nos últimos tempos. O MDOP vem com cinco ferramentas diferentes (cada uma delas impressionante individualmente) que, juntas, criam um conjunto dos mais valiosos e notáveis. Para obter mais informações sobre o MDOP, consulte o site windowsvista.com/optimizeddesktop.

Arquitetura e instalação do AGPM

A instalação do AGPM foi projetada para ser reduzida e fácil. Ela consiste em um componente de servidor e um componente (administrativo) cliente. O componente de servidor deve ser instalado em um servidor membro no domínio; ele não altera o Active Directory®, o esquema ou qualquer outro serviço de diretório. O AGPM pode ser instalado em um controlador de domínio se a situação assim exigir.

A instalação do servidor instalará um serviço que requer uma conta de serviço baseada em domínio, a partir da qual o AGPM acessa Objetos de Diretiva de Grupo de produção ao vivo em nome do usuário. A instalação também requer que haja um Administrador do AGPM, que controlará todas as configurações dentro do AGPM, como delegação e gerenciamento inicial de GPOs.

O cliente deve ser instalado em um computador com o Windows Vista, no qual já ocorram funções administrativas normais, muito provavelmente no desktop dos administradores da rede e do Active Directory. Agora o cliente precisa apontar as configurações do AGPM para o servidor AGPM a fim de que a conexão com o arquivo morto seja feita. O cliente AGPM usa a interface do Console de Gerenciamento de Diretiva de Grupo (GPMC) e é exibido como o nó Controle de Alteração, conforme mostra a Figura 1.

Figura 1 O AGPM é totalmente integrado ao GPMC para facilitar o uso

Figura 1** O AGPM é totalmente integrado ao GPMC para facilitar o uso **(Clique na imagem para aumentar a exibição)

Os arquivos que o cliente AGPM acessará estão armazenados em um formato de arquivo básico no servidor AGPM. Esse é o método mais simples para armazenar esses arquivos e facilita o backup do arquivo morto do AGPM inteiro. A maioria das funções do AGPM usa as APIs internas do GPMC que, mais uma vez, contribuem para a integração e o uso ininterrupto do produto. O AGPM não usa um banco de dados; ele armazena os GPOs em uma única pasta e um manifesto controla a correlação de todos os GPOs com o GPO pai dentro do arquivo. Isso garante que todos os GPOs tenham um GUID exclusivo, mas, quando colocado em produção, o GUID correto é associado ao GPO na implantação.

Edição offline do AGPM

O recurso mais básico do AGPM é a capacidade de fazer a edição de GPOs offline, longe do ambiente de produção. Já é um problema conhecido o fato de que a edição dos GPOs com o uso do GPMC padrão pode resultar em configurações errôneas que são imediatamente enviadas por push para o ambiente de produção, podendo causar resultados desastrosos.

O APGM lida com a edição de GPOs offline "controlando" os GPOs. Um GPO controlado, como mostra a Figura 2, é aquele que pode ser editado offline sem provocar nenhuma intrusão no ambiente de produção.

Figura 2 Os GPOs são armazenados no arquivo morto do AGPM e podem ser editados offline

Figura 2** Os GPOs são armazenados no arquivo morto do AGPM e podem ser editados offline **(Clique na imagem para aumentar a exibição)

Controlar um GPO é muito simples. Os GPOs não controlados, como mostra a Figura 3, listam todos os GPOs que ainda não foram associados ao arquivo morto do AGPM. O clique com o botão direito do mouse em qualquer um desses GPOs abre um menu, que inclui Controle. A seleção da opção de menu Controle copiará o GPO do local de produção (o compartilhamento do volume do sistema, ou SYSVOL, no controlador de domínio) e o colocará no arquivo morto do AGPM. Vários GPOs podem ser controlados; basta manter pressionada a tecla Shift ou Control ao selecionar os GPOs para obter a lista correta de GPOs que você deseja controlar e depois clicar com o botão direito do mouse para acessar a opção de menu Controle. Também é possível editar GPOs controlados usando o Editor de Objeto de Diretiva de Grupo (GPOE). Essa é apenas outra forma pela qual o AGPM foi totalmente integrado ao GPMC.

Figura 3 Os GPOs não controlados são colocados no arquivo morto por meio da seleção da opção de menu Controle

Figura 3** Os GPOs não controlados são colocados no arquivo morto por meio da seleção da opção de menu Controle **(Clique na imagem para aumentar a exibição)

Delegação da administração do AGPM

Vejamos como o AGPM controla a delegação examinando primeiro como se delega a administração de GPOs com o uso do GPMC. Dentro do GPMC, existem cinco tarefas de delegação diferentes que podem ser concedidas a um usuário: Criar GPO, Vincular GPO, Editar GPO, Gerenciar GPO e Ler GPO.

Todas essas delegações são concluídas dentro da interface do GPMC. Elas são controladas pelos usuários e grupos listados nas guias Delegação associadas aos diferentes nós dentro do GPMC. As delegações que nos interessam são aquelas que permitem a criação de novos GPOs, bem como a edição e o gerenciamento de GPOs existentes.

A criação de GPOs dentro do GPMC é controlada pela guia Delegação associada ao nó Objetos de Diretiva de Grupo, como mostra a Figura 4. Uma vez instalado o AGPM, você poderá remover todos os usuários e grupos da lista de quem tem acesso para criar GPOs. (Não há necessidade de remover sistema, computadores ou grupos de computadores da guia Delegação para criar GPOs.) A criação de GPOs passará a ser controlada pela conta de serviço que controla o serviço AGPM. A essa conta será concedida a delegação para criar GPOs em nome de todos os usuários e grupos aos quais foram concedidas as delegações Criar GPOs e Implantar de dentro do AGPM.

Figura 4 A criação de GPOs é controlada pela lista de contas na guia Delegação do nó Objetos de Diretiva de Grupo no GPMC

Figura 4** A criação de GPOs é controlada pela lista de contas na guia Delegação do nó Objetos de Diretiva de Grupo no GPMC **(Clique na imagem para aumentar a exibição)

Essa nova capacidade de criar GPOs permite a separação de tarefas e protege a rede de produção. O ideal seria que os GPOs fossem criados, configurados e verificados antes de serem implantados do ambiente do AGPM para a produção. Raramente haverá qualquer configuração errônea enviada por push como ocorre atualmente sem o AGPM.

Para a delegação relacionada à edição ou ao gerenciamento de GPOs, a história é semelhante. Dentro do GPMC, essas delegações são configuradas na guia Delegação associada a cada GPO, como mostra a Figura 5.

Figura 5 A edição e o gerenciamento de GPOs estão associados a cada GPO individualmente

Figura 5** A edição e o gerenciamento de GPOs estão associados a cada GPO individualmente **(Clique na imagem para aumentar a exibição)

Uma vez instalado o AGPM, essas delegações precisam ser removidas de cada GPO listado no nó Objetos de Diretiva de Grupo. Isso restringirá a edição de GPOs externos ao AGPM pelos administradores. Basicamente, isso canaliza toda a administração de GPOs para o AGPM, onde tarefas como edição offline, gerenciamento de alterações e recuperação de desastre são possíveis.

A remoção de usuários e grupos da edição de GPOs externos ao AGPM é um processo manual. A instalação e configuração do AGPM não remove nenhum usuário ou grupo da edição de GPOs no ambiente de produção. Como a conta de serviço que controla o serviço AGPM estará realizando as ações em nome dos usuários que modificam GPOs de produção do AGPM, não é necessário que haja nenhum usuário ou grupo de usuários listado na guia Delegação de cada GPO. (Computador e grupos de computadores não devem ser removidos dessas guias de delegação.)

Depois que todas as delegações para a edição de um GPO dentro do GPMC forem removidas, todos os administradores terão negada a capacidade de editar um GPO a partir do GPMC, como mostra a Figura 6.

Figura 6 Os administradores não poderão editar GPOs a partir do GPMC depois que a delegação para essa ação lhes for negada

Figura 6** Os administradores não poderão editar GPOs a partir do GPMC depois que a delegação para essa ação lhes for negada **(Clique na imagem para aumentar a exibição)

Para finalizar a configuração, todos os administradores que precisem editar GPOs devem ser adicionados às ACLs (Listas de Controle de Acesso) dentro do AGPM. Se for necessário que um administrador possa editar todos os GPOs que estão no arquivo morto, a conta de usuário dele deverá ser adicionada a um grupo ao qual tenham sido concedidos recursos de edição no nível de domínio dentro do AGPM, como mostra a Figura 7. Caso um administrador fique limitado à edição de alguns GPOs dentro do arquivo morto do AGPM, essa configuração deverá ocorrer em cada GPO (consulte a Figura 8).

Figura 7 A guia Delegação de Domínio permite configurar a edição de todos os GPOs no arquivo morto

Figura 7** A guia Delegação de Domínio permite configurar a edição de todos os GPOs no arquivo morto **(Clique na imagem para aumentar a exibição)

Figura 8 A edição de GPOs individuais precisa ser configurada na ACL deste GPO

Figura 8** A edição de GPOs individuais precisa ser configurada na ACL deste GPO **(Clique na imagem para aumentar a exibição)

Gerenciamento de alterações do AGPM em GPOs

Um dos incríveis benefícios do AGPM é a capacidade de rastrear todas as alterações feitas em GPOs dentro do arquivo morto. Como se trata de um processo automatizado, ele não precisa ser definido, configurado ou gerenciado. O rastreamento de todas as alterações ocorre em segundo plano quando os GPOs são gerenciados através da interface do Cliente AGPM.

Esse é um aprimoramento significativo no modo como o GPMC padrão controla o gerenciamento de GPOs. Dentro do GPMC padrão, não há recursos automatizados (ou até internos) para rastrear alterações em GPOs. Essa tem sido a principal reclamação da maioria dos administradores de Diretiva de Grupo ao longo dos anos. Agora, o problema foi eliminado.

O recurso de gerenciamento de alterações do AGPM rastreia todas as modificações essenciais que poderiam ocorrer em um GPO. Junto com as alterações feitas no GPO, o sistema de gerenciamento de alterações também ajudará em uma situação de rastreamento de administração geral ou de auditoria. Esse sistema irá monitorar, rastrear e documentar as seguintes especificações por edição e alteração de GPO: data e hora em que o GPO foi modificado, usuário que fez a alteração, configurações originais do GPO e modificações nas configurações do GPO.

Como o rastreamento de todas as alterações é ininterrupto, é importante saber quais ações disparam o rastreamento automatizado. Dentro da interface do Cliente AGPM, você pode clicar com o botão direito do mouse em um GPO na guia Controlado e depois selecionar a opção de menu Fazer Check-out, como mostra a Figura 9.

Figura 9 Fazer check-out de um GPO acionará o processo automatizado para rastrear alterações

Figura 9** Fazer check-out de um GPO acionará o processo automatizado para rastrear alterações **(Clique na imagem para aumentar a exibição)

Esse procedimento deve ser seguido para editar o GPO, que abordarei na próxima seção. Mesmo se for feito check-out de um GPO e, imediatamente depois, check-in sem qualquer alteração, um arquivo será criado por essa ação. Como os GPOs são parte integrante da empresa, a ferramenta rastreia até a possibilidade de uma alteração ocorrer.

O procedimento de Check-out é forçado dentro do AGPM porque deve haver um mecanismo que rastreie alterações de GPO no administrador específico que fez a alteração. Dois administradores não podem fazer check-out do mesmo GPO ao mesmo tempo. Se um administrador fizer check-out do GPO e depois não conseguir devolvê-lo fazendo check-in, será acionado um mecanismo interno que permite que o administrador do AGPM faça o check-in.

Edição de GPOs do AGPM

É possível acessar o arquivo morto do AGPM desde que o cliente AGPM esteja instalado. Uma vez concedida a delegação para edição ou Controle Total dentro da ferramenta AGPM, você poderá editar GPOs armazenados. Depois de feito o check-out de um GPO, ele poderá ser editado se você clicar com o botão direito do mouse no GPO e selecionar a opção de menu Editar. (Observação: se você puder editar apenas alguns dos GPOs dentro do arquivo morto do AGPM, só lhe serão concedidos os recursos delegados sobre alguns dos GPOs, e não para todos os GPOs dentro do arquivo morto.)

Com a aquisição da DesktopStandard, a Microsoft também adquiriu o PolicyMaker, agora renomeado como Preferências de Diretiva de Grupo. Esse conjunto de recursos de Diretiva de Grupo está incluído no GPMC que acompanhará o Windows Server® 2008. As Preferências de Diretiva de Grupo permitem que o administrador configure aplicativos ou componentes do Windows que normalmente não são podem ser configurados via Diretiva de Grupo e que a aplique a certos usuários ou computadores baseados em um conjunto avançado de regras de direcionamento. As Preferências de Diretiva de Grupo estão totalmente integradas ao GPMC e ao AGPM no Windows Server 2008.

Implantação de GPOs do AGPM

O AGPM foi projetado visando eficiência e fluxo de trabalho. Como o gerenciamento de GPOs agora é mais estável e controlado com o uso do AGPM, faz sentido ter administradores com capacidade apenas para editar um GPO, mas não implantá-lo na produção. Dentro do AGPM, isso é controlado sem problemas com a interface, as caixas de diálogo e os mecanismos de trabalho. Por exemplo, se um administrador com direitos somente de edição tentar implantar um GPO, o sistema o bloqueará. Será exibida então ao administrador uma caixa de diálogo para comunicação com um administrador que tenha a permissão Implantar delegada. Esse recurso do fluxo de trabalho enviará um email para os destinatários Para: e CC: e colocará o GPO em um estado exclusivo, que pode ser encontrado na guia Pendente na interface do AGPM. Aqui, o GPO é sinalizado como "Implantação Pendente", o que dá aos administradores uma rápida visão do status de cada GPO que tenha tido ações executadas nele.

Para implantar um GPO pendente, um administrador do AGPM que tenha a delegação de implantação pode simplesmente clicar com o botão direito do mouse no GPO e selecionar a opção de menu Aprovar. Caso o GPO precise ser implantado e esteja listado na guia Controlado (e não na guia Pendente), basta que o mesmo administrador clique com o botão direito do mouse no GPO e selecione Implantar. Como essa permissão delegada já foi concedida, o GPO será implantado imediatamente na produção.

Comparações e relatório de configurações de GPOs do AGPM

A interface do GPMC tem uma caixa de diálogo Configurações eficiente, que pode ser acessada por uma guia de mesmo nome. Essa caixa de diálogo Configurações fornece uma visão completa de todas as configurações definidas no GPO, ajudando você a saber quais das quase 3.000 configurações de diretiva de grupo foram definidas.

Como o AGPM fornece um arquivo morto dos GPOs modificados, a guia Configurações no GPMC não permitirá que você veja as configurações definidas nos GPOs editados. Em vez disso, a interface do AGPM fornece uma solução alternativa para esse recurso, e muito mais.

Para ver as configurações em qualquer GPO, vale a pena primeiro exibir a lista histórica de todas as alterações. Para isso, clique duas vezes em qualquer GPO dentro da guia Controlado no AGPM. A partir dessa interface, é possível clicar com o botão direito do mouse em qualquer versão de GPO e selecionar o Relatório de Configurações. Isso criará um relatório de todas as configurações definidas nessa versão do GPO. O relatório é um arquivo HTML amigável, apesar de poder ser criado também no formato XML.

Embora isso seja útil, mais prática ainda é a capacidade de comparar duas versões do mesmo GPO. Com esse recurso, você pode ver o que mudou de uma versão para outra ou comparar duas versões completamente diferentes do mesmo GPO. (Isso também é muito útil no caso de um GPO cuja implantação está pendente, pois permite visualizar as diferenças entre o GPO pendente e o GPO de produção.) Para ver esse relatório, realce dois GPOs diferentes no histórico e clique com o botão direito do mouse em um deles.

A codificação de cores no relatório de diferenças é muito útil, principalmente quando se quer verificar o que mudou em um GPO pendente antes de implantá-lo. As configurações realçadas em vermelho foram excluídas do GPO de produção e não estão mais disponíveis no GPO pendente. As configurações em azul foram alteradas, enquanto as em verde representam novas alterações no GPO pendente, mas não no GPO de produção.

Esse recurso do AGPM pode poupar muitas horas de comparações manuais trabalhosas de configurações de GPOs. Também é uma forma perfeita de documentar os GPOs ao longo do tempo – cada versão pode ser relatada e impressa.

Recuperação de desastre de GPOs do AGPM

Uma única alteração em um GPO pode criar confusão para um ou mais computadores na rede. Com o GPMC padrão, esse tipo de configuração errônea pode ser corrigida, desde que tenham sido tomadas medidas manuais apropriadas para fazer backups do GPO tanto antes como depois de as alterações serem feitas no GPO de produção. Caso não tenha sido feito nenhum backup, a recuperação desse desastre não será tão simples como se pensa.

O AGPM resolve isso facilmente. Como há backups completos de todos os GPOs no histórico de GPOs, basta abrir o histórico do GPO e selecionar qual versão de GPO você deseja reimplantar.

Com o AGPM, seu gerenciamento de Diretiva de Grupo passa a ser ininterrupto. Durante anos, os administradores queriam poder controlar e gerenciar GPOs offline – o AGPM oferece esse recurso com graça e elegância. Ele também fornece uma solução de gerenciamento de alterações bem robusta, que não só rastreia as principais áreas de um GPO alterado, como fornece recuperação de desastre e comparações de GPO com facilidade. O modelo de delegação incorporado ao AGPM permite canalizar todos os administradores para o AGPM referente a todas as edições em GPOs, o que proporciona backups automatizados de alterações de GPOs e remove qualquer contratempo no GPO de produção. Esse serviço tem tantos recursos que é impossível abordar tudo aqui, mas o manual do AGMP fornece uma boa dose de informações sobre modelos, recuperação de nós/links, configuração de SMTP, e muito mais.

Derek Melber é consultor independente, instrutor e autor. Derek ensina e divulga a tecnologia Microsoft, com foco no Active Directory, na Diretiva de Grupo, na segurança e no gerenciamento de desktops. Ele contribui regularmente para publicações impressas e online e escreveu mais de dez livros sobre tecnologia, como o Microsoft Windows Group Policy Guide (Guia da Diretiva de Grupo do Microsoft Windows; Microsoft Press, 2005). Você pode contatá-lo pelo email derekm@braincore.net.

© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..