Mdulo 11: Implementao da Poltica de Grupo Contedo:

Viso geral do mdulo Lio 1: Lio 2: Lio 3: Viso geral da Poltica de Grupo Processamento da Poltica de Grupo Implementao de um repositrio central para modelos administrativos Implementao da Poltica de Grupo eviso e in!orma"es complementares do mdulo

Laboratrio:

Viso geral do mdulo

Manter um ambiente de computao consistente em uma organizao uma tarefa desafiadora. s administradores precisam de um mecanismo para configurar e impor as configura!es e as restri!es de computador e de usu"rio. # Poltica de Grupo pode oferecer essa consist$ncia% permitindo &ue os administradores gerenciem centralmente e apli&uem defini!es de configurao. 'ste mdulo apresenta uma (iso geral da Poltica de Grupo e fornece detal)es como sobre implemente GP s.

Objetivos
#o concluir este mdulo% (oc$ ser" capaz de: * +riar e gerenciar b,etos de Poltica de Grupo.

* -escre(er o processamento da Poltica de Grupo. * Implementar um repositrio central para modelos administrati(os.

Lio 1 : Viso geral da Poltica de Grupo

# Poltica de Grupo l)e permite controlar o ambiente de computao. . importante &ue (oc$ entenda o modo de funcionamento da Poltica de Grupo% para poder aplicar a Poltica de Grupo corretamente. 'sta lio apresenta uma (iso geral da estrutura da Poltica de Grupo e define os usu"rios e grupos. b,etos de Poltica de Grupo /GP s0 locais e baseados em domnio. 'le tambm descre(e os tipos de configura!es dispon(eis para

Objetivos da lio
#o concluir esta lio% (oc$ ser" capaz de: * -escre(er os componentes da Poltica de Grupo. * -escre(er ("rios GP s locais. * -escre(a as op!es de armazenamento para os GP s de domnio. * -escre(er as polticas e as prefer$ncias de GP . * -escre(er os GP s de incio. * -escre(er o processo de delegao do gerenciamento de GP s. * -escre(er o processo de criao e gerenciamento de GP s.

Componentes da Poltica de Grupo

#s configura!es de Poltica de Grupo so defini!es de configurao &ue permitem aos administradores impor configura!es% modificando as configura!es do 1egistro especficas de computador e do usu"rio em computadores baseados em domnio. 2oc$ pode agrupar as configura!es de Poltica de Grupo para criar GP s% &ue depois podero ser aplicados a usu"rios ou computadores.

GPOs
3m GPO um ob,eto &ue contm uma ou mais configura!es de poltica &ue aplicam defini!es de configurao para usu"rios% computadores ou ambos. modelos de GP GP so armazenados no #- -4. s so armazenados no 4542 6% en&uanto os ob,etos cont$ineres de s GP s podem ser gerenciados atra(s do GPM+

/+onsole de Gerenciamento de Poltica de Grupo0. GP s no podem ser (inculados aos cont$ineres de 3su"rios e +omputadores. GP s podem ser (inculados a sites% domnios e unidades organizacionais.

Configuraes da Poltica de Grupo

3ma configurao de Poltica de Grupo o componente mais granular da Poltica de Grupo. 'la define uma alterao de configurao especfica a ser aplicada a um ob,eto /um computador ou um usu"rio% ou ambos0 dentro do #- -4 /4er(ios de -omnio #cti(e -irector70. # Poltica de Grupo tem mil)ares de defini!es configur"(eis. 'ssas configura!es podem afetar praticamente toda a "rea do ambiente de computao. 8em todas as configura!es podem ser se aplicadas a todas as (ers!es anteriores dos sistemas operacionais 9indo:s 4er(er; e 9indo:s;. +ada no(a (erso introduz no(as configura!es e recursos &ue somente so aplic"(eis a essa (erso especfica. 4e um computador ti(er uma configurao de Poltica de Grupo aplicada &ue ele no consiga processar% ele simplesmente a ignorar".

# maioria das configura!es de poltica t$m tr$s estados: * 8o +onfigurado. GP no modificar" a configurao e<istente da definio

especfica do usu"rio ou do computador. * =abilitado. # configurao de poltica ser" aplicada. * -esabilitado. # configurao de poltica especificamente in(ertida.

Por padro% a maioria das configura!es so definidas como 8o +onfigurado.

#bservao: #lgumas configura!es t$m m>ltiplos (alores ou (alores de cadeia de te<to. 'las so normalmente usadas para fornecer detal)es especficos de configurao a aplicati(os ou componentes do sistema operacional. Por e<emplo% uma configurao pode fornecer a 316 da )ome page para o 9indo:s Internet '<plorer; ou para aplicati(os blo&ueados.

s efeitos da alterao de configurao da configurao de poltica. Por e<emplo% se (oc$ )abilitar a configurao de poltica Proibir $cesso ao Painel de %ontrole% os usu"rios no podero abrir o Painel de +ontrole. 4e (oc$ desabilitar a configurao de poltica% os usu"rios podero abrir o Painel de +ontrole. uma ao% permitindo% portanto% a e<ecuo da ao. bser(e o duplo aspecto negati(o dessa configurao de poltica: (oc$ desabilita uma poltica &ue impede

Estrutura das configuraes de Poltica de Grupo

=" duas "reas distintas de configura!es de Poltica de Grupo: * +onfigura!es do usu"rio. 4o configura!es &ue modificam o )i(e =?e7@+urrent@3ser do 1egistro. * +onfigura!es do computador. 4o configura!es &ue modificam o )i(e =?e7@6ocal@Mac)ine do 1egistro.

#s configura!es de usu"rio e computador t$m% cada uma% tr$s "reas de configurao% conforme descrito na tabela a seguir.

&eo
+onfigura!es de soft:are

'escrio
+ont$m as configura!es de soft:are &ue podem ser implantadas para o usu"rio ou o computador. especfico a esse usu"rio. soft:are implantado para um usu"rio soft:are implantado para o computador est"

dispon(el a todos os usu"rios desse computador. +onfigura!es do sistema operacional 9indo:s +ont$m configura!es de script e configura!es de segurana para o usu"rio e o computador e manuteno do Internet '<plorer para a configurao de usu"rio. Modelos administrati(os +ont$m centenas de configura!es &ue modificam o 1egistro para controlar di(ersos aspectos do ambiente do usu"rio e do computador. 8o(os modelos administrati(os podem ser criados pela Microsoft ou por outros fornecedores. 2oc$ pode adicionar esses no(os modelos ao GPM+. Por e<emplo% a Microsoft tem modelos do ffice AB1B &ue esto dispon(eis para do:nload e &ue (oc$ pode adicionar ao GPM+.

Editor de Gerenciamento de Poltica de Grupo

'ditor de Gerenciamento de Poltica de Grupo e<ibe as configura!es indi(iduais de Poltica de Grupo &ue esto dispon(eis em um GP . 'las so e<ibidas em uma )ierar&uia organizada &ue comea com a di(iso entre as configura!es de computador e as configura!es de usu"rio e% depois% e<pandeCse para mostrar o n +onfigurao do +omputador e o n +onfigurao do 3su"rio. Poltica de Grupo so configuradas. 'ditor de Gerenciamento de Poltica de Grupo onde todas as configura!es e prefer$ncias de

Preferncias de Poltica de Grupo

#lm das se!es de Poltica de Grupo mostradas na tabela anterior% um n Prefer$ncias est" presente sob os ns +onfigurao do +omputador e +onfigurao do 3su"rio no 'ditor de Gerenciamento de Poltica de Grupo. #s prefer$ncias fornecem ainda mais recursos para configurar o ambiente e sero abordadas posteriormente neste mdulo.

Poltica de Grupo Local

Dodos os sistemas &ue e<ecutam sistemas operacionais de cliente ou ser(idor Microsoft; 9indo:s ABBB% ou (erso mais recente% tambm t$m GP s locais dispon(eis. #s configura!es de poltica local s se aplicam E m"&uina local% mas (oc$ pode e<port"Clas para outros computadores ou import"Clas deles.

uais so os v!rios GPOs locais"

8os sistemas operacionais 9indo:s anteriores ao 9indo:s 2ista;% )a(ia apenas uma configurao de usu"rio dispon(el na Poltica de Grupo local. 'ssa configurao foi aplicada a todos os usu"rios &ue fizeram logon a partir desse computador local. Isso ainda (erdade% mas o 9indo:s 2ista; e os sistemas operacionais cliente 9indo:s mais no(os e o 9indo:s 4er(er ABBF e sistemas operacionais 9indo:s 4er(er mais atuais t$m um recurso adicional% ou se,a% ("rios GP s locais. 8o 9indo:s F e no 9indo:s 4er(er AB1A% (oc$ agora tambm pode ter configura!es de usu"rio diferentes para usu"rios locais distintos% mas isso s estar" dispon(el para as configura!es dos usu"rios &ue esti(erem na Poltica de Grupo. 8a (erdade% s )" um con,unto de configura!es de computador dispon(el no 9indo:s F e no 9indo:s 4er(er AB1A &ue afeta todos os usu"rios do computador. 9indo:s F e o 9indo:s 4er(er AB1A permitem isso com as tr$s camadas de GP s locais a seguir: * Poltica de Grupo 6ocal /contm as defini!es de configurao do computador0 * Poltica de Grupo de #dministradores e 8o #dministradores

* Poltica de Grupo 6ocal especfica do usu"rio

#bservao: s controladores de domnio so uma e<ceo desse recurso. -e(ido E natureza de sua funo% os controladores de domnio no podem ter GP s locais.

Como as camadas so processadas

#s camadas dos GP s locais so processadas na seguinte ordem: 1. A. G. Poltica de Grupo 6ocal Poltica de Grupo de administradores e no administradores Poltica de Grupo 6ocal especfica do usu"rio

+om e<ceo das categorias #dministrador ou 8o administrador% no poss(el aplicar GP s locais a grupos% mas somente a contas de usu"rios locais indi(iduais. usu"rios de domnio esto su,eitos E Poltica de Grupo local ou Es configura!es de #dministrador ou 8o administrador% conforme apropriado. s

#bservao: s administradores de domnio podem desabilitar o processamento dos GP s locais nos clientes &ue este,am e<ecutando sistemas operacionais cliente 9indo:s e sistemas operacionais 9indo:s 4er(er% )abilitando a configurao de poltica 'esativar Processamento de #b(etos de Polticas de Grupo Locais em um GP de domnio.

#rma$enamento de GPOs de domnio

#s configura!es de Poltica de Grupo so apresentadas como GP s no GPM+% mas% na (erdade% um GP compreende dois componentes: um modelo de Poltica de Grupo e um cont$iner de Poltica de Grupo.

%odelo de Poltica de Grupo

s modelos de Poltica de Grupo so a coleo real de configura!es &ue (oc$ pode alterar. modelo de Poltica de Grupo uma coleo de ar&ui(os armazenados no 4542 6 est" localizado no camin)o 4542 6 de cada controlador de domnio.

H47stem1ootH I4542 6I-omainIPoliciesIGP G3I-% onde GP G3I- o G3I- do cont$iner de Poltica de Grupo. Juando (oc$ cria um GP % um no(o modelo de Poltica de Grupo criado na pasta 4542 6% e um no(o cont$iner de Poltica de Grupo criado no #- -4.

Continer de Poltica de Grupo

cont$iner de Poltica de Grupo um ob,eto do #cti(e -irector7 armazenado no banco de dados do #cti(e -irector7. +ada cont$iner de Poltica de Grupo inclui um atributo G3I- /identificador global e<clusi(o0 &ue identifica o ob,eto no #- -4 de forma e<clusi(a. cont$iner de Poltica de Grupo define os atributos b"sicos do GP % como linKs e n>meros de (erso% mas no contm nen)uma das configura!es. Por padro% &uando ocorre atualizao da Poltica de Grupo% as +4's /e<tens!es do lado do cliente da Poltica de Grupo0 somente aplicaro as configura!es a um GP se o GP ti(er sido atualizado. atualizado pelo seu n>mero

+liente de Poltica de Grupo pode identificar um GP

de (erso. +ada GP feita uma alterao. de Poltica de Grupo. cada GP

tem um n>mero de (erso &ue incrementado toda (ez &ue n>mero de (erso armazenado como um atributo do +liente de Poltica de Grupo sabe o n>mero de (erso de

cont$iner de Poltica de Grupo e em um ar&ui(o de te<to% o GPD.ini% na pasta Modelo &ue foi aplicado anteriormente. 4e% durante a atualizao da Poltica de foi

Grupo% o +liente de Poltica de Grupo descobrir &ue o n>mero de (erso do cont$iner de Poltica de Grupo foi alterado% as +4's sero informadas de &ue o GP atualizado. -urante a edio de uma Poltica de Grupo% a (erso no computador com a funo L4M /opera!es de mestre >nico fle<(eis0 do emulador P-+ /controlador de domnio prim"rio0 a (erso &ue est" sendo editada. Por padro% o GPM+ focalizado no emulador P-+% independentemente do computador usado para e<ecutar a edio. . poss(el alterar o foco do GPM+ para editar uma (erso em um controlador de domnio diferente.

uais so as preferncias de Poltica de Grupo"

#s preferncias de Poltica de Grupo so um recurso no sistema operacional 9indo:s 4er(er AB1A. 'las incluem mais de AB e<tens!es de Poltica de Grupo &ue e<pandem o inter(alo de defini!es configur"(eis em um GP . #s prefer$ncias a,udam reduzir a necessidade de scripts de logon.

#bservao: s sistemas operacionais 9indo:s MP precisam ter as e<tens!es do lado do cliente da Poltica de Grupo instaladas para processar as prefer$ncias de Poltica de Grupo. 'las podem ser bai<adas do site de do:nload da Microsoft.

Caractersticas das preferncias

#s prefer$ncias t$m as seguintes caractersticas: * #s prefer$ncias e<istem para computadores e usu"rios. * -iferentemente das configura!es de Poltica de Grupo% as prefer$ncias no so impostas e os usu"rios podem alterar as configura!es estabelecidas pelas prefer$ncias. * #s prefer$ncias podem ser gerenciadas atra(s da 14#D /Lerramenta de #dministrao de 4er(idor 1emoto0. * #s prefer$ncias podem ser aplicadas apenas uma (ez na inicializao ou no logon ou podem ser atualizadas em inter(alos. * -iferentemente das configura!es de Poltica de Grupo% as prefer$ncias no so remo(idas &uando o GP comportamento. * #s prefer$ncias podem ser facilmente destinadas a certos usu"rios ou computadores por ("rias maneiras% como associao a um grupo de segurana ou (erso do sistema operacional. * #s prefer$ncias no esto dispon(eis para GP s locais. * -iferentemente da Poltica de Grupo% a interface do usu"rio da configurao no desabilitada. no mais aplicado% mas (oc$ pode alterar esse

&sos comuns das preferncias de Poltica de Grupo

'mbora (oc$ possa configurar ("rias configura!es atra(s das prefer$ncias de Poltica de Grupo% alguns usos mais comuns so: * Mapear as unidades de rede para usu"rios * +onfigurar atal)os na "rea de trabal)o para usu"rios ou computadores * -efinir (ari"(eis de ambiente

* Mapear impressoras * -efinir op!es de energia * +onfigurar os menus Iniciar * +onfigurar fontes de dados * +onfigurar as op!es da Internet * #gendar tarefas

O 'ue so GPOs de incio"

s GPOs de incio so modelos &ue a,udam na criao de GP s. #o criar no(os GP s% (oc$ pode optar por usar um GP de incio como a origem. Isso facilita e agiliza a criao de ("rios GP s com a mesma configurao de lin)a de base.

Configuraes disponveis
s GP s de incio s podem conter configura!es do n Modelos #dministrati(os da seo +onfigurao do 3su"rio ou da seo +onfigurao do +omputador. s ns +onfigura!es de 4oft:are e +onfigura!es do 9indo:s da Poltica de Grupo no esto dispon(eis% pois en(ol(em a interao de ser(ios e so mais comple<os e dependentes de domnio.

E(portao de GPOs de incio

2oc$ pode e<portar GP s de incio para um ar&ui(o de gabinete /.cab0 e% em seguida%

carregar esse ar&ui(o em outro ambiente completamente independente do domnioNfloresta de origem. '<portando um GP Por e<emplo% (oc$ pode criar um GP de incio l)e permite en(iar o ar&ui(o .cab a outros administradores &ue podem usar isto ento em outras "reas. &ue defina as configura!es de segurana do de incio para um ar&ui(o .cab e Internet '<plorer. 4e (oc$ &uiser &ue todos os sites e domnios empreguem as mesmas configura!es% (oc$ poder" e<portar o GP distribuClo.

uando usar GPOs de incio

# situao mais comum na &ual um GP de incio seria usado &uando (oc$ dese,a

um grupo de configura!es para um tipo de funo de computador. Por e<emplo% (oc$ tal(ez &ueira &ue todos os laptops corporati(os ten)am as mesmas restri!es de "rea de trabal)o ou &ue todos os ser(idores de ar&ui(os ten)am as mesmas configura!es de Poltica de Grupo de lin)a de base% mas dese,a permitir (aria!es para departamentos diferentes.

GPOs de incio includos

GPM+ inclui um linK para criar uma pasta GP de incio% &ue contm ("rios GP s

de incio predefinidos. 'ssas polticas fornecem configura!es prCconfiguradas% orientadas E segurana% para '+ /+lientes 'nterprise0 e clientes 446L /4pecialized 4ecurit7 O 6imited Lunctionalit70 para configura!es de usu"rio e computador nos sistemas operacionais 9indo:s 2ista e 9indo:s MP com 4er(ice PacK A /4PA0. 2oc$ pode usar essas polticas como pontos de partida ao criar polticas de segurana.

)elegao do gerenciamento de GPOs

s administradores podem delegar algumas tarefas administrati(as de Poltica de Grupo para outros usu"rios. 'sses usu"rios no precisam ser administradores de domnioP eles podem ter recebido direitos especficos para os GP s. Por e<emplo% um usu"rio &ue gerencia uma 3 /unidade organizacional0 especfica poderia receber como tarefa a e<ecuo de an"lise e criao de relatrios% ao passo &ue o grupo de suporte tcnico poderia receber permisso para editar GP s para essa 3 . 3m terceiro grupo de desen(ol(edores poderia receber como tarefa a criao de filtros 9MI /Instrumentao de Gerenciamento do 9indo:s0. #s tarefas de Poltica de Grupo a seguir podem ser delegadas de forma independente: * +riao de GP s% incluindo GP s de Incio * 'dio de GP s * Gerenciamento de linKs de Poltica de Grupo para um site% um domnio ou uma 3 * '<ecuo de an"lise de modelagem de Poltica de Grupo * 6eitura de dados dos resultados da Poltica de Grupo * +riao de filtros 9MI

grupo Propriet"rios +riadores de Poltica de Grupo permite &ue seus membros criem no(os GP s e editem ou e<cluam os GP s criados por eles.

Permisses padro de Poltica de Grupo

Por padro% os usu"rios e grupos a seguir t$m acesso total para gerenciar a Poltica de Grupo: * #dmins. do -omnio * #dministradores de 'mpresa * Propriet"rio +riador

* 4istema 6ocal

grupo 3su"rios #utenticados tem as permiss!es 6eitura e #plicar Poltica de Grupo.

Permisses para criar GPOs

Por padro% somente #dmins. de -omnio% #dministradores de 'mpresa e Propriet"rios +riadores de Poltica de Grupo podem criar no(os GP s. 2oc$ pode usar dois mtodos para conceder esse direito a um grupo ou um usu"rio: * #dicionar o usu"rio ao grupo Propriet"rios +riadores de Poltica de Grupo * +onceder permisso e<plicitamente ao grupo ou ao usu"rio para criar GP s usando o GPM+

Permisses para editar GPOs

Para editar um GP % o usu"rio de(e ter acesso de 6eitura e Gra(ao ao GP . 2oc$ pode conceder essa permisso usando o GPM+.

Gerenciamento de lin*s de GPO

# capacidade de (incular GP s a um cont$iner uma permisso especfica do cont$iner em &uesto. 8o GPM+% (oc$ pode gerenciar essa permisso usando a guia 'elegao no cont$iner. 2oc$ tambm pode deleg"Cla por meio do #ssistente para -elegao de +ontrole em 3su"rios e +omputadores do #cti(e -irector7.

%odelagem e resultados da Poltica de Grupo

2oc$ pode delegar a capacidade de usar as ferramentas de relatrio por meio do GPM+ ou do #ssistente para -elegao de +ontrole em 3su"rios e +omputadores do #cti(e -irector7.

Criao de filtros +%,

2oc$ pode delegar a capacidade de criar e gerenciar filtros 9MI por meio do GPM+

ou do #ssistente para -elegao de +ontrole em 3su"rios e +omputadores do #cti(e -irector7.

)emonstrao- Criao e gerenciamento de GPOs

8esta demonstrao% (oc$ (er" como: * +riar um GP * 'ditar um GP usando o GPM+. com o 'ditor de Gerenciamento da Poltica de Grupo.

* 3sar o 9indo:s Po:er4)ell para criar um GP .

Etapas da demonstrao Criar um GPO usando o GP%C

* 'ntre em L#)*'%1 como $dministrador com a sen)a Pa++,-rd e crie uma poltica denominada Proibir o .indo,s /essenger.

Editar um GPO com o Editor de Gerenciamento de Poltica de Grupo

1. A. 'dite a poltica para proibir o uso do 9indo:s Messenger. 2incule o GP Proibir o 9indo:s Messenger ao domnio.

&sar o +indo.s Po.er/0ell para criar um GPO denominado 1lo'ueio da 2rea de 3rabal0o
* 8o 9indo:s Po:er4)ell% importe o mdulo grouppolic0 e use o cmdlet )e,* GP# da seguinte forma:

New-GPO Name Bloqueio da rea de Trabalho

Lio 2: Processamento da Poltica de Grupo

'ntender como a Poltica de Grupo aplicada fundamental para poder desen(ol(er uma estratgia de Poltica de Grupo. 'sta lio mostra como a Poltica de Grupo associada a ob,etos do #cti(e -irector7% como ela processada e como controlar o aplicati(o de Poltica de Grupo. -epois de (oc$ criar os GP s e definir as configura!es a serem aplicadas% eles de(em ser (inculados a cont$ineres. so aplicados em uma ordem especfica. 'ssa ordem pode determinar &uais configura!es sero aplicadas aos ob,etos. =" duas polticas padro criadas automaticamente. 'ssas polticas so usadas para entregar a sen)a e as configura!es de segurana para o domnio e os controladores de domnio. # aplicao de polticas tambm pode ser controlada pela filtragem de segurana. s GP s

Objetivos da lio
#o concluir esta lio% (oc$ ser" capaz de: * -escre(er um linK de GP . * '<plicar como aplicar GP s a cont$ineres e ob,etos. * -escre(er a ordem de processamento das Polticas de Grupo. * -escre(er os GP s padro. * -escre(er a filtragem de segurana do GP .

Lin*s de GPO

-epois &ue (oc$ criar um GP GP GP

e definir todas as configura!es a serem entregues% a

pr<ima etapa ser" (incular a poltica a um cont$iner do #cti(e -irector7. 3m linK de a cone<o lgica da poltica com um cont$iner. 2oc$ pode (incular um >nico a ("rios cont$ineres usando o GPM+. 2oc$ pode (incular GP s aos seguintes

tipos de cont$ineres: * 4ites * -omnios * 3 s

Juando um GP

(inculado a um cont$iner% por padro% a poltica aplicada a so definidas de

todos os ob,etos no cont$iner e subse&uentemente a todos os cont$ineres fil)o sob esse ob,eto pai. Isso ocorre por&ue as permiss!es padro do GP modo &ue 3su"rios #utenticados ten)am as permiss!es 6eitura e #plicar Poltica de Grupo. 2oc$ pode modificar esse comportamento% gerenciando permiss!es no GP . 2oc$ pode desabilitar os linKs para os cont$ineres% o &ue remo(er" as defini!es de configurao. 2oc$ tambm pode e<cluir linKs. # e<cluso de linKs no e<clui o GP real% somente a cone<o lgica com o cont$iner. s GP s no podem ser (inculados diretamente a usu"rios% grupos ou computadores. #lm disso% eles no podem ser (inculados a cont$ineres de sistema no #- -4% incluindo Quiltin% +omputadores% 3su"rios ou +ontas de 4er(io Gerenciado. s cont$ineres de sistema do #- -4 recebem configura!es de Poltica de Grupo dos GP s (inculados apenas ao n(el de domnio.

#plicao de GPOs

#s defini!es de configurao de computador so aplicadas na inicializao e% em seguida% atualizadas em inter(alos regulares. Jual&uer script de inicializao e<ecutado na inicializao do computador. inter(alo padro a cada RB minutos% mas isso configur"(el. # e<ceo ao inter(alo definido em relao aos controladores de domnio% cu,as configura!es so atualizadas a cada cinco minutos. #s configura!es de usu"rio so aplicadas no logon e atualizadas em inter(alos regulares configur"(eisP o padro tambm RB minutos. Jual&uer script de logon e<ecutado no logon.

#bservao: 2"rias configura!es de usu"rio re&uerem dois logons para &ue o usu"rio perceba o efeito do GP . Isso por&ue os usu"rios &ue fazem logon no mesmo computador usam credenciais armazenadas em cac)e para acelerar os logons. Isso significa &ue% embora as configura!es de poltica este,am sendo entregues ao computador% o usu"rio ," est" conectado e% portanto% as configura!es s entraro em (igor no pr<imo logon. # configurao de redirecionamento de pasta um e<emplo disso.

2oc$ pode alterar o inter(alo de atualizao% definindo uma configurao de Poltica de Grupo. Para configura!es de computador% a configurao de inter(alo de atualizao est" localizada no n +onfigurao do +omputadorIPolticasIModelos #dministrati(osI4istemaIPoltica de Grupo. Para configura!es de usu"rio% o inter(alo de atualizao est" localizado nas configura!es correspondentes em +onfigurao do 3su"rio. 3ma e<ceo ao inter(alo de atualizao em relao Es configura!es de segurana. # seo de configura!es de segurana da Poltica de Grupo ser"

atualizada a cada 1S )oras% independentemente do inter(alo definido para o inter(alo de atualizao. 2oc$ tambm pode atualizar a Poltica de Grupo manualmente. Grupo. utilit"rio de lin)a de

comando Gpupdate atualiza e entrega &ual&uer no(a configurao de Poltica de comando Gpupdate 1!orce atualiza todas as configura!es de Poltica de Grupo. Dambm )" um no(o cmdlet do 9indo:s Po:er4)ell% o Invo2e*Gpupdate% &ue e<ecuta a mesma funo. 3m no(o recurso do 9indo:s 4er(er AB1A a #tualizao 1emota de Polticas. 'sse recurso permite &ue os administradores utilizem o GPM+ para direcionar uma 3 forar a atualizao da Poltica de Grupo em todos os seus computadores e nos usu"rios conectados. Para isso% cli&ue com o boto direito do mouse em &ual&uer 3 e% em seguida% cli&ue em $tuali3ao da Poltica de Grupo. # atualizao ocorrer" em at 1B minutos. e

Ordem de processamento das Polticas de Grupo

s GP s no so aplicados simultaneamente% mas em uma ordem lgica. configurao de poltica conflitante &ue ten)a sido aplicada anteriormente. s GP s so aplicados na seguinte ordem: 1.

s GP s

aplicados posteriormente no processo de aplicao de GP s substituiro &ual&uer

GP s locais. +ada sistema operacional &ue e<ecuta o 9indo:s ABBB ou uma (erso mais recente possi(elmente ," tem uma Poltica de Grupo local configurada.

A. G.

GP s de site. #s polticas (inculadas a sites so processadas em seguida. GP s de domnio. #s polticas (inculadas ao domnio so processadas em seguida. 8ormalmente% )" ("rias polticas no n(el de domnio. 'ssas polticas so processadas em ordem de prefer$ncia.

T.

GP s de 3 . #s polticas (inculadas a 3 s so processadas em seguida. 'ssas polticas cont$m configura!es &ue so e<clusi(as aos ob,etos nessa 3 . Por e<emplo% os usu"rios de 2endas podem ter configura!es necess"rias especiais. 2oc$ pode (incular uma poltica E 3 2endas para entregar essas configura!es.

U.

Polticas de 3 >ltimo.

fil)o. #s polticas (inculadas a 3 s fil)o so processadas por

s ob,etos nos cont$ineres recebem o efeito cumulati(o de todas as polticas em sua ordem de processamento. 8o caso de um conflito entre as configura!es% a >ltima poltica aplicada ter" efeito. Por e<emplo% uma poltica no n(el de domnio pode restringir o acesso Es ferramentas de edio do 1egistro% mas (oc$ pode configurar uma poltica no n(el de 3 poltica no n(el de 3 e (incul"Cla E 3 ID para re(erter essa poltica. +omo a aplicada posteriormente no processo% o acesso Es

ferramentas do 1egistro estaria dispon(el.

#bservao: utros mtodos% como Imposio e Qlo&ueio de =erana% podem alterar o efeito das polticas nos cont$ineres.

4e forem aplicadas ("rias polticas no mesmo n(el% o administrador poder" atribuir um (alor preferencial para controlar a ordem de processamento. # ordem de prefer$ncia padro a ordem em &ue as polticas foram (inculadas. 2oc$ tambm pode desabilitar a configurao de usu"rio ou de computador de um GP especfico. 4e uma seo de uma poltica for con)ecidamente (azia% (oc$ de(er" desabilitar a seo (azia para acelerar o processamento da poltica. Por e<emplo% se (oc$ ti(er uma poltica &ue s entregue configurao da "rea de trabal)o do usu"rio% poder" desabilitar o lado do computador da poltica.

uais so os GPOs padro"

-urante a instalao da funo #- -4% dois GP s padro so criados: Poltica de -omnio Padro e Poltica de +ontroladores de -omnio Padro.

Poltica de )omnio Padro

# Poltica de -omnio Padro (inculada ao domnio e afeta todos os princpios de segurana no domnio. 'la contm as configura!es de poltica de sen)a% as configura!es de blo&ueio de conta e o protocolo ?erberos. +omo pr"tica recomendada% essa poltica no de(e ter outras configura!es definidas. 4e (oc$ precisar definir outras configura!es para aplicar ao domnio inteiro% crie no(as polticas para entregar as configura!es e (incule as polticas ao domnio.

Poltica de Controlador de )omnio Padro

# Poltica de +ontrolador de domnio Padro (inculada E 3I dos controladores de domnio e s de(e afetar os controladores de domnio. 'ssa poltica criada para fornecer configura!es de auditoria e direitos de usu"rio e no de(e ser usada para outras finalidades.

4iltragem de segurana de GPO

Por natureza% um GP

aplicaCse a todos os princpios de segurana no cont$iner e a

todos os cont$ineres fil)o sob o pai. Porm% (oc$ tal(ez &ueira alterar esse comportamento% para &ue determinados GP s se,am aplicados apenas a princpios de segurana especficos. Por e<emplo% (oc$ tal(ez &ueira isentar determinados usu"rios de uma 3 de uma poltica restriti(a de "rea de trabal)o. Isso pode ser feito atra(s da filtragem de segurana. +ada GP tem uma #+6 /6ista de +ontrole de #cesso0 &ue define permiss!es para o

GP . # permisso padro definida para &ue as permiss!es 6eitura e #plicar Poltica de Grupo se,am aplicadas a 3su"rios #utenticados. +om o a,uste das permiss!es na #+6% (oc$ pode controlar &uais princpios de segurana recebero permisso para ter as configura!es de GP aplicadas. =" duas abordagens para (oc$ fazer isso: negar acesso E Poltica de Grupo ou limitar as permiss!es E Poltica de Grupo.

#bservao: grupo 3su"rios #utenticados inclui todas as contas de usu"rio e computador autenticadas no #- -4.

Como negar acesso 5 Poltica de Grupo

4e a maioria dos princpios de segurana no cont$iner precisarem receber as configura!es de poltica% mas alguns no% (oc$ poder" isentar princpios de segurana especficos% negando acesso a eles para a Poltica de Grupo. Por e<emplo% (oc$ pode ter uma Poltica de Grupo &ue de(a ser recebida por todos os usu"rios na 3 2endas% e<ceto o grupo Gerentes de (endas. 2oc$ pode isentar esse grupo /ou e% em seguida% definido a permisso como usu"rio0% adicionandoCo E #+6 do GP 8egar.

Limite de permisses para a Poltica de Grupo

+omo alternati(a% se ti(er criado um GP &ue s de(a ser se aplicado a alguns

princpios de segurana em um cont$iner% (oc$ poder" remo(er o grupo 3su"rios #utenticados da #+6% adicionar os princpios de segurana &ue de(em receber as configura!es de GP e conceder a eles as permiss!es 6eitura e #plicar Poltica de com defini!es de configurao de Grupo. Por e<emplo% (oc$ pode ter um GP

computador &ue s de(am ser aplicadas a laptops. 2oc$ pode remo(er o grupo 3su"rios #utenticados da #+6% adicionar as contas de computador dos laptops e conceder a elas as permiss!es 6eitura e #plicar Poltica de Grupo.

#bservao: +omo pr"tica recomendada% nunca negue acesso ao grupo 3su"rio #utenticado. +aso contr"rio% os princpios de segurana nunca recebero as configura!es de GP .

# #+6 de um GP

acessada no GPM+% selecionando o GP

na pasta

b,eto de

Poltica de Grupo e clicando na guia 'elegao4$vanado.

)iscusso- ,dentificando a aplicao da Poltica de Grupo

Para esta discusso% e<amine a estrutura do #- -4 no elemento gr"fico% leia o cen"rio e responda Es perguntas no slide.

/cenario
# ilustrao a seguir representa uma parte da estrutura do #- -4 da #. -atum +orporation &ue contm a 3 2endas com suas 3 s fil)o e a 3 4er(idores.

GP 1 (inculado ao cont$iner do domnio #datum.

GP

configura op!es

de energia &ue desligam os monitores e os discos aps GB minutos de inati(idade e restringe o acesso Es ferramentas de edio do 1egistro. * GP A tem configura!es para blo&uear as "reas de trabal)o da 3 2endas e configurar impressoras para 3su"rios de 2endas. * * GP G configura op!es de energia para laptops na 3 6aptops de 2endas. 3su"rios de

GP T configura um con,unto diferente de op!es de energia para assegurar &ue os ser(idores nunca entrem no modo de economia de energia.

#lguns usu"rios na 3

2endas t$m direitos administrati(os em seus computadores e

criaram polticas locais para conceder acesso especificamente ao Painel de +ontrole.

Pergunta da discusso
+om base nesse cen"rio% responda Es perguntas a seguir: Pergunta: Juais op!es de energia os ser(idores recebero na 3 4er(idoresV

Pergunta: Juais op!es de energia os laptops recebero na 3 2endasV

6aptops de

Pergunta: Juais op!es de energia todos os outros computadores no domnio receberoV Pergunta: s usu"rios na 3 3su"rios de 2endas &ue criaram polticas locais para conceder acesso ao Painel de +ontrole podero acessar o Painel de +ontroleV Pergunta: 4e (oc$ precisasse conceder acesso ao Painel de +ontrole para alguns usu"rios% como (oc$ faria issoV Pergunta: GP A pode ser se aplicado a outras 3 s de departamentoV

)emonstrao- &tili$ao de ferramentas de diagn6stico de Poltica de Grupo

8esta demonstrao% (oc$ (er" como: * 3sar GP3pdate para atualizar a Poltica de Grupo. * 3sar o cmdlet Gpresult para en(iar a sada dos resultados para um ar&ui(o =DM6. * 3sar o #ssistente para Modelagem de Poltica de Grupo para testar a poltica.

Etapas da demonstrao &sar Gpupdate para atuali$ar a Poltica de Grupo

* 'm 6 8C-+1% use Gpupdate para atualizar os GP s.

&sar o cmdlet Gpresult para enviar a sada dos resultados para um ar'uivo 73%L
1. 3se Gpresult 15 para criar um ar&ui(o =DM6 &ue e<iba as configura!es atuais de GP .

A.

#bra o relatrio =DM6 e e<amine os resultados.

&sar o #ssistente para %odelagem de Poltica de Grupo para testar a poltica

* 3se o #ssistente para Modelagem de Poltica de Grupo para simular uma aplicao de poltica para os usu"rios na 3 Gerentes &ue entram em &ual&uer computador.

Lio 3: Implementao de um repositrio central para modelos administrati os

#s organiza!es maiores podem ter di(ersos GP s com ("rios administradores gerenciandoCos. Juando um administrador edita um GP % os ar&ui(os de modelo so recebidos da estao de trabal)o local. repositrio central fornece uma >nica pasta no 4542 6 &ue contm todos os modelos necess"rios criar e editar GP s. 'sta lio aborda os ar&ui(os &ue comp!em os modelos e discute como criar um local de repositrio central para fornecer consist$ncia nos modelos usados pelos administradores.

Objetivos da lio
#o concluir esta lio% (oc$ ser" capaz de: * -escre(er o repositrio central. * -escre(er os modelos administrati(os. * -escre(er o modo de funcionamento dos modelos administrati(os. * -escre(er as configura!es de poltica gerenciadas e no gerenciadas.

O 'ue 8 o 9eposit6rio Central"

4e a sua organizao ti(er ("rias esta!es de trabal)o de administrao% poss(el &ue ocorram problemas durante a edio de GP s. 4e (oc$ no ti(er um 1epositrio +entral para incluir os ar&ui(os de modelo% a estao de trabal)o da &ual (oc$ est" editando usar" os ar&ui(os .adm< /#-MM0 e .adml /#-M60 armazenados na pasta local Polic7-efinitions. 4e esta!es de trabal)o de administrao diferentes ti(erem sistemas operacionais distintos ou esti(erem em n(eis de ser(ice pacK diferentes% poder" )a(er diferenas nos ar&ui(os #-MM e #-M6. Por e<emplo% os ar&ui(os #-MM e #-M6 armazenados em uma estao de trabal)o &ue este,a e<ecutando o 9indo:s W sem ser(ice pacK instalado podem no ser iguais aos ar&ui(os armazenados em um controlador de domnio &ue este,a e<ecutando o 9indo:s 4er(er AB1A. 1epositrio +entral trata desse problema. 1epositrio +entral fornece um >nico 1epositrio +entral

ponto a partir do &ual as esta!es de trabal)o de administrao podem bai<ar os mesmos ar&ui(os #-MM e #-M6 ao editarem um GP . detectado automaticamente pelos sistemas operacionais 9indo:s a partir da (erso 9indo:s 2ista em diante e pelos sistemas operacionais 9indo:s 4er(er ABBF. -esse modo% a estao de trabal)o local usada pelo administrador para realizar a administrao (erificar" sempre a e<ist$ncia de um 1epositrio +entral antes de carregar os ar&ui(os #-MM e #-M6 locais no 'ditor de b,eto de Poltica de Grupo. Juando a estao de trabal)o local detectar um 1epositrio +entral% ela bai<ar" os ar&ui(os de modelo desse local. #ssim% a e<peri$ncia de administrao ser" consistente em ("rias esta!es de trabal)o. 2oc$ de(e criar e pro(isionar o 1epositrio +entral manualmente. Primeiro crie uma pasta em um controlador de domnio% atribua a ela o nome Polic0'e!initions e armazene a pasta em +:I9indo:sI4542 6Is7s(olIX8ome de -omnioYIPoliciesI. 'ssa

pasta agora ser" seu 1epositrio +entral. 'm seguida% copie todo o conte>do da pasta +:I9indo:sIPolic7-efinitions para o 1epositrio +entral. s ar&ui(os #-M6 nessa pasta tambm esto em uma pasta especfica de idioma /por e<emplo% en*6&0.

O 'ue so modelos administrativos"

3m modelo administrati(o composto de dois tipos de ar&ui(os MM6: * s ar&ui(os #-MM especificam a configurao do 1egistro a ser alterada. ar&ui(os #M-M apresentam neutralidade de idioma. * s ar&ui(os #-M6 geram a interface do usu"rio para definir as configura!es de poltica dos Modelos #dministrati(os no 'ditor de Gerenciamento de Poltica de Grupo. s ar&ui(os #-M6 so especficos a um idioma. s

s ar&ui(os #-MM e #-M6 so armazenados na pasta H47stem1ootHIPolic7-efinitions. 2oc$ tambm pode criar seus prprios modelos administrati(os personalizados no formato MM6. controlam os produtos do Microsoft eo Microsoft. s modelos administrati(os t$m as seguintes caractersticas: * 'les so organizados em subpastas &ue armazenam op!es de configurao para "reas especficas do ambiente% como rede% sistema e componentes do 9indo:s. * #s configura!es na seo +omputador editam o )i(e do 1egistro =?'5@6 +#6@M#+=I8' e as configura!es na seo 3su"rio editam o )i(e do s modelos administrati(os &ue ffice 9ord% o ffice '<cel; ffice /como o

ffice Po:erPoint;0 tambm esto dispon(eis no site de do:nload da

1egistro =?'5@+311'8D@34'1. * #lgumas configura!es e<istem para 3su"rio e +omputador. Por e<emplo% )" uma configurao para impedir &ue o 9indo:s Messenger se,a e<ecutado nos modelos 3su"rio e +omputador. 8o caso de configura!es conflitantes% a configurao +omputador pre(alecer". * #lgumas configura!es s esto dispon(eis para certas (ers!es dos sistemas operacionais 9indo:s% como ("rias no(as configura!es &ue somente podem ser se aplicadas ao 9indo:s W e Es (ers!es mais recentes dos sistemas operacionais. +licar duas (ezes nas configura!es e<ibir" as (ers!es suportadas para essa configurao. Jual&uer configurao &ue no possa ser processada por um sistema operacional 9indo:s mais antigo simplesmente ser" ignorada por esse sistema.

#r'uivos #)%
#ntes do 9indo:s 2ista% os modelos administrati(os tin)am uma e<tenso de ar&ui(o .adm /#-M0. s ar&ui(os #-M eram especficos a um idioma e eram difceis s ar&ui(os #-M so armazenados no 4542 6 como de serem personalizados.

parte do modelo Poltica de Grupo. 4e um ar&ui(os #-M for usado em ("rios GP s% o ar&ui(o ser" armazenado ("rias (ezes. Isso aumenta o taman)o de 4542 6 e% portanto% aumenta o taman)o do tr"fego de replicao do #cti(e -irector7.

Como os modelos administrativos funcionam

s modelos administrati(os t$m configura!es para praticamente todo aspecto do ambiente de computao. +ada configurao no modelo corresponde a uma

configurao do 1egistro &ue controla um aspecto do ambiente de computao. Por e<emplo% &uando (oc$ )abilita a configurao &ue impede o acesso ao Painel de +ontrole% isso altera o (alor na c)a(e do 1egistro &ue controla esse aspecto. n Modelos #dministrati(os organizado conforme mostrado na tabela a seguir.

&eo
+onfigura!es do computador

)s
* * * * * * Painel de +ontrole 1ede Impressoras 4istema +omponentes do 9indo:s Dodas as +onfigura!es

+onfigura!es do usu"rio

* * * * * * * *

Painel de +ontrole Zrea de Drabal)o 1ede Pastas +ompartil)adas Menu Iniciar e barra de tarefas 4istema +omponentes do 9indo:s Dodas as +onfigura!es

# maioria dos ns cont$m ("rias subpastas para organizar ainda mais as

configura!es em agrupamentos lgicos. #t mesmo com essa organizao% localizar a configurao necess"ria pode ser uma tarefa assustadora. Para a,ud"Clo a localizar as configura!es% na pasta Dodas as +onfigura!es% (oc$ pode filtrar a lista inteira de configura!es na seo +omputador ou 3su"rio. #s op!es de filtro a seguir esto dispon(eis: * Gerenciado ou no gerenciado * +onfigurado ou no configurado * +omentado * Por pala(raCc)a(e * Por plataforma

2oc$ tambm pode combinar ("rios critrios. Por e<emplo% (oc$ pode filtrar para localizar todas as configura!es definidas aplic"(eis ao Internet '<plorer 1B% usando a pala(raCc)a(e $ctive7.

Configuraes de poltica gerenciadas e no gerenciadas

=" dois tipos de configura!es de poltica: gerenciadas e no gerenciadas. Dodas as configura!es de poltica nos Modelos #dministrati(os de um GP gerenciadas. so polticas ser(io Poltica de Grupo controla as configura!es de poltica ser(io Poltica de Grupo no

gerenciadas e remo(e uma configurao de poltica &uando ela no esti(er mais dentro do escopo do usu"rio ou do computador. controla as configura!es de poltica no gerenciadas. 'ssas configura!es de poltica

so persistentes. no gerenciadas.

ser(io Poltica de Grupo no remo(a as configura!es de poltica

Configuraes de poltica gerenciadas

3ma configurao de poltica gerenciada tem as seguintes caractersticas: * # interface do usu"rio blo&ueada% de modo &ue um usu"rio no pode alterar a configurao. #s configura!es de poltica gerenciadas resultam na desabilitao da interface do usu"rio apropriada. Por e<emplo% se (oc$ configurar o papel de parede da "rea de trabal)o atra(s de uma configurao de Poltica de Grupo% o usu"rio (er" essas configura!es esmaecidas em sua interface do usu"rio local. * 4o feitas altera!es em "reas restritas do 1egistro% para as &uais somente os administradores t$m acesso. 'ssas c)a(e do 1egistro reser(adas so: o =?6MI4oft:areIPolicies /configura!es de computador0 o =?+3I4oft:areIPolicies /configura!es de usu"rio0 o =?6MI4oft:areIMicrosoftI9indo:sI+urrent 2ersionIPolicies /configura!es de computador0 o =?+3I4oft:areIMicrosoftI9indo:sI+urrent 2ersionIPolicies /configura!es de usu"rio0 * #s altera!es feitas por uma configurao de Poltica de Grupo e o blo&ueio da interface do usu"rio sero liberados se o usu"rio ou o computador ficar fora do escopo do GP . Por e<emplo% se (oc$ e<cluir um GP % as configura!es de poltica gerenciadas &ue tin)am sido aplicadas a um usu"rio sero liberadas. Isso significa &ue% geralmente% a configurao redefinida para seu estado anterior. #lm disso% a interface do usu"rio para a configurao est" )abilitada.

Configuraes de poltica no gerenciadas

Por outro lado% uma configurao de poltica no gerenciada faz uma alterao &ue persistente no 1egistro. 4e o GP no se aplicar mais% a configurao permanecer". Isso geralmente c)amado de tatuagem do 1egistro% ou se,a% &uando feita uma

alterao permanente. Para re(erter o efeito da configurao de poltica% (oc$ de(e implantar uma alterao &ue re(erta a configurao ao estado dese,ado. #lm disso% uma configurao de poltica no gerenciada no blo&ueia a interface do usu"rio para essa configurao. Por padro% o 'ditor de Gerenciamento de Poltica de Grupo oculta configura!es de poltica no gerenciadas para desencora,"Clo de implementar uma configurao difcil de re(erter. 2"rias configura!es dispon(eis nas prefer$ncias de Poltica de Grupo so configura!es no gerenciadas.

La!oratrio: Implementao da Poltica de Grupo

Cen!rio
# #. -atum +orporation uma empresa global de engen)aria e manufatura com sede em 6ondres% Inglaterra. 3m escritrio de ID e um datacenter esto localizados em 6ondres como suporte E localizao em 6ondres e outras localiza!es. 1ecentemente% ela implantou uma infraestrutura do 9indo:s 4er(er AB1A com clientes 9indo:s F. 'm sua funo como membro da e&uipe de suporte de ser(idor% (oc$ a,uda a implantar e configurar no(os ser(idores e ser(ios na infraestrutura e<istente com base nas instru!es recebidos pelos seu gerente de ID. 4eu gerente l)e pediu para criar um repositrio central para os ar&ui(os #-MM a fim de assegurar &ue todos possam editar os GP s criados com os ar&ui(os #-MM personalizados. 2oc$ tambm precisa criar um GP configura!es de GP de incio &ue inclua as &ue aplica configura!es do Internet '<plorer e% portanto% configura um GP

para o departamento de MarKeting e o departamento de ID.

Objetivos
-epois de concluir este laboratrio% (oc$ ser" capaz de: * +onfigurar um 1epositrio +entral.

* +riar GP s.

Configurao do laborat6rio
Dempo pre(isto: TB minutos

M"&uinas (irtuais 8ome de usu"rio 4en)a

ATT1BQC6 8C-+1 ATT1BQC6 8C+61 #-#D3MI#dministrador Pa[[:Brd

,nstrues de configurao do laborat6rio

8este laboratrio% (oc$ usar" o ambiente de m"&uina (irtual dispon(el. #ntes de iniciar o laboratrio% e<ecute as etapas a seguir: 1. 8o computador )ost% cli&ue em Iniciar% aponte para 8erramentas $dministrativas e cli&ue em Gerenciador =7perC2;. A. 8o Gerenciador =7perC2% cli&ue em 2991-:*L#)*'%1 e% no painel #!es% cli&ue em Iniciar. G. 8o painel #!es% cli&ue em %onectar. 'spere at &ue a m"&uina (irtual se,a iniciada. T. 'ntre usando as seguintes credenciais: o o U. 8ome de usu"rio: $'$;6/<$dministrador 4en)a: Pa++,-rd

1epita as etapas A e G para ATT1BQC6 8C+61. 8o entre at receber instru!es para isso.

E(erccio :- Configurao de um 9eposit6rio Central

Cenrio # #. -atum implementou recentemente um modelo personalizado #-MM para configurar um aplicati(o. 3m colega obte(e os ar&ui(os #-MM do fornecedor antes de criar o GP com as defini!es de configurao. #s configura!es foram aplicadas ao aplicati(o como esperado. #ps a implementao% (oc$ obser(ou &ue no consegue modificar as configura!es de aplicati(o no GP de &ual&uer local diferente da estao de trabal)o usada originalmente pelo seu colega. Para resol(er esse problema% seu gerente l)e pediu para criar um 1epositrio +entral para os modelos administrati(os. -epois &ue (oc$ criar o 1epositrio +entral% seu colega copiar" o modelo #-MM do fornecedor da estao de trabal)o para o 1epositrio +entral. #s principais tarefas deste e<erccio so: 1. '<ibir o local dos modelos administrati(os em um GP Grupo0 A. G. T. +riar um repositrio central +opiar modelos administrati(os para o repositrio central 2erifi&ue o local dos modelos administrati(os no GPM+ / b,eto de Poltica de

3arefa :- E(ibir o local dos modelos administrativos em um GPO ;Objeto de Poltica de Grupo<

1. A. G.

'ntre em 6 8C-+1 como $dministrador com a sen)a Pa++,-rd. Inicie o GP/%. 8a pasta b,eto de Poltica de Grupo% abra a Poltica de 'omnio Padro e

e<iba o local dos modelos administrati(os.

3arefa =- Criar um reposit6rio central

1.

#bra o =>plorador de $r?uivos e na(egue at %:<.indo,s<&@&V#L<s0svol< $datumAcom<Policies.

A.

+rie uma pasta denominada Polic0'e!initions &ue ser" usada para o 1epositrio +entral.

3arefa >- Copiar modelos administrativos para o reposit6rio central

* +opie o conte>do da pasta padro Polic0'e!initions% localizada em %:<.indo,s<Polic0'e!initionsB para a no(a pasta Polic7-efinitions% localizada em %:<.indo,s<&@&V#L<s0svol<$datumAcom<Policies.

3arefa ?- @erifi'ue o local dos modelos administrativos no GP%C

* 2erifi&ue se o 'ditor de

b,eto de Poltica de Grupo est" usando os ar&ui(os

#-MM da pasta central Polic0'e!initions% e<ibindo o te<to de informa!es de local da pasta Modelos administrati(os.

esultados: -epois de concluir este e<erccio% (oc$ ter" configurado um 1epositrio +entral.

E(erccio =- Criao de GPOs

Cenrio #ps uma recente reunio do comit$ de polticas de ID% a e&uipe de gerenciamento decidiu &ue a #. -atum usar" uma Poltica de Grupo para restringir o acesso dos usu"rios E p"gina Geral do Internet '<plorer.

4eu gerente l)e pediu para criar um GP

de incio &ue pudesse ser usado para todos

os departamentos com configura!es de restrio padro para o Internet '<plorer. 8esse caso% (oc$ precisa criar os GP s &ue entregaro as configura!es para os membros de todos os departamentos% e<ceto o departamento de ID. #s principais tarefas deste e<erccio so: 1. A. G. +riar um GP de incio padro de restrio do 9indo:s Internet '<plorer de incio de restrio do Internet '<plorer de incio

+onfigurar o GP +riar um GP

de restri!es do Internet '<plorer a partir do GP

1estri!es do Internet '<plorer T. U. Destar o GP para os usu"rios do domnio

3sar a filtragem de segurana para isentar o -epartamento de ID da poltica 1estri!es do Internet '<plorer

S. W.

Deste a aplicao do GP Destar a aplicao do GP

para os usu"rios do departamento de ID para outros usu"rios do domnio

3arefa :- Criar um GPO de incio padro de restrio do +indo.s ,nternet E(plorer

1.

#bra o GP/% e crie um GP =>plorer.

de incio denominado estri"es do Internet

A.

-igite o coment"rio =ste GP# desabilita a pCgina Geral em #p"es da Internet.

3arefa =- Configurar o GPO de incio de restrio do ,nternet E(plorer

* +onfigure o GP

de incio denominado estri"es do Internet =>plorer para p!es da Internet.

desabilitar a p"gina Geral de

$u>lio ao leitor: 4elecione ;odas as %on!igura"es em Modelos #dministrati(os e filtre por uma correspond$ncia e<ata pela pala(rasCc)a(e PCgina Geral.

3arefa >- Criar um GPO de restries do ,nternet E(plorer a partir do GPO de incio 9estries do ,nternet E(plorer

* +rie um no(o GP

denominado estri"es do I= com base no GP

de incio

1estri!es do Internet '<plorer e (inculeCo ao domnio $datumAcom.

3arefa ?- 3estar o GPO para os usu!rios do domnio

1. A. G. T. U.

'ntre em L#)*%L1 como $datum<:rad% com a sen)a Pa++,-rd. #bra o Painel de %ontrole. Dente alterar sua )ome page. #bra #p"es da Internet para (erificar se a guia Geral foi restringida. 4aia de 6 8C+61.

3arefa A- &sar a filtragem de segurana para isentar o )epartamento de ,3 da poltica 9estries do ,nternet E(plorer

1. A.

'm 6 8C-+1% abra o GP/%. +onfigure a filtragem de segurana na poltica 1estri!es do Internet '<plorer para negar acesso ao departamento de ID.

3arefa B- 3este a aplicao do GPO para os usu!rios do departamento de ,3

1. A. G.

'ntre em L#)*%L1 como :rad% com a sen)a Pa++,-rd. #bra o Painel de %ontrole. Dente alterar sua )ome page. 2erifi&ue se a cai<a de di"logo Propriedades da Internet aberta para a guia Geral e se todas as configura!es esto dispon(eis.

T.

4aia de 6 8C+61.

3arefa C- 3estar a aplicao do GPO para outros usu!rios do domnio

1. A. G. T. U.

'ntre em L#)*%L1 como :oris% com a sen)a Pa++,-rd. #bra o Painel de %ontrole. Dente alterar sua )ome page. #bra #p"es da Internet para (erificar se a guia Geral foi restringida. 4aia de 6 8C+61.

esultados: #ps a concluso deste laboratrio% (oc$ ter" criado um GP .

Para se preparar para o pr6(imo m6dulo

Juando (oc$ concluir o laboratrio% re(erta as m"&uinas (irtuais ao estado inicial. Para fazer isso% e<ecute estas etapas:

1. A.

8o computador )ost% inicie o Gerenciador 50per*V. 8a lista /C?uinas Virtuais% cli&ue com o boto direito do mouse em 2991-:* L#)*'%1 e depois cli&ue em everter.

G.

8a cai<a de di"logo everter /C?uina Virtual% cli&ue em everter.

T.

1epita as etapas A e G para 2991-:*L#)*%L1.

"e iso e in#orma$es complementares do mdulo

Perguntas de reviso
Pergunta: Juais so algumas (antagens e des(antagens da utilizao de GP s no n(el de siteV Pergunta: 2oc$ tem ("rios scripts de logon &ue mapeiam as unidades de rede para os usu"rios. 8em todos os usu"rios precisam desses mapeamentos de unidade% portanto% (oc$ de(e assegurar &ue apenas os usu"rios dese,ados recebam os mapeamentos. 2oc$ dese,a abandonar o uso de scripts. Jual a mel)or maneira de mapear unidades de rede sem usar scripts para os usu"rios selecionadosV

4erramentas
8erramenta
GPM+ /+onsole de Gerenciamento de Poltica de Grupo0 'ditor de b,eto de -efine as configura!es nos GP s #cessado com a edio de &ual&uer GP -etermina &uais configura!es esto sendo aplicadas a um usu"rio ou computador Desta o &ue ocorreria se fossem aplicadas configura!es a usu"rios ou computadores% antes de as configura!es serem realmente aplicadas 'ditor de Poltica de Grupo 6ocal -efine as configura!es da Poltica de Grupo &ue somente so aplicadas ao computador local #cessado criando um no(o MM+ /+onsole de Gerenciamento Microsoft0 no computador local e adicionando o 'ditor de de Poltica de Grupo b,eto 8o GPM+ 8o GPM+

6so
+ontrola todos os aspectos da Poltica de Grupo

#nde encontrar
8o Gerenciador do 4er(idor% no menu 8erramentas

Poltica de Grupo 14oP /+on,unto de Polticas 1esultante0 #ssistente para Modelagem de Poltica de Grupo

Pr!tica recomendada
2e,a a seguir as pr"ticas recomendadas: * 8o use as polticas -omnio Padro e +ontroladores de -omnio Padro para outras utiliza!es. 'm (ez disso% crie no(as polticas. * 6imite o uso da filtragem de segurana e de outros mecanismos &ue fazem diagnsticos mais comple<os. * -esabilite a seo 3su"rio ou +omputador das polticas se ela no ti(er nen)uma configurao definida. * 4e (oc$ ti(er ("rias esta!es de trabal)o de administrao% crie um 1epositrio +entral. * #dicione coment"rios aos seus GP s para e<plicar a funo das polticas. * +rie sua estrutura de 3 para dar suporte E aplicao da Poltica de Grupo.

Problemas comuns e dicas de soluo de problemas

Problema comum
3m usu"rio est" obser(ando um comportamento anormal em sua estao de trabal)o.

'ica para a soluo de problemas

Dodos os usu"rios de uma 3 problemas% e a 3

especfica esto tendo

tem ("rios GP s aplicados.