Professional Documents
Culture Documents
Viso geral do mdulo Lio 1: Lio 2: Lio 3: Viso geral da Poltica de Grupo Processamento da Poltica de Grupo Implementao de um repositrio central para modelos administrativos Implementao da Poltica de Grupo eviso e in!orma"es complementares do mdulo
Laboratrio:
Objetivos
#o concluir este mdulo% (oc$ ser" capaz de: * +riar e gerenciar b,etos de Poltica de Grupo.
* -escre(er o processamento da Poltica de Grupo. * Implementar um repositrio central para modelos administrati(os.
Objetivos da lio
#o concluir esta lio% (oc$ ser" capaz de: * -escre(er os componentes da Poltica de Grupo. * -escre(er ("rios GP s locais. * -escre(a as op!es de armazenamento para os GP s de domnio. * -escre(er as polticas e as prefer$ncias de GP . * -escre(er os GP s de incio. * -escre(er o processo de delegao do gerenciamento de GP s. * -escre(er o processo de criao e gerenciamento de GP s.
#s configura!es de Poltica de Grupo so defini!es de configurao &ue permitem aos administradores impor configura!es% modificando as configura!es do 1egistro especficas de computador e do usu"rio em computadores baseados em domnio. 2oc$ pode agrupar as configura!es de Poltica de Grupo para criar GP s% &ue depois podero ser aplicados a usu"rios ou computadores.
GPOs
3m GPO um ob,eto &ue contm uma ou mais configura!es de poltica &ue aplicam defini!es de configurao para usu"rios% computadores ou ambos. modelos de GP GP so armazenados no #- -4. s so armazenados no 4542 6% en&uanto os ob,etos cont$ineres de s GP s podem ser gerenciados atra(s do GPM+
/+onsole de Gerenciamento de Poltica de Grupo0. GP s no podem ser (inculados aos cont$ineres de 3su"rios e +omputadores. GP s podem ser (inculados a sites% domnios e unidades organizacionais.
# maioria das configura!es de poltica t$m tr$s estados: * 8o +onfigurado. GP no modificar" a configurao e<istente da definio
especfica do usu"rio ou do computador. * =abilitado. # configurao de poltica ser" aplicada. * -esabilitado. # configurao de poltica especificamente in(ertida.
#bservao: #lgumas configura!es t$m m>ltiplos (alores ou (alores de cadeia de te<to. 'las so normalmente usadas para fornecer detal)es especficos de configurao a aplicati(os ou componentes do sistema operacional. Por e<emplo% uma configurao pode fornecer a 316 da )ome page para o 9indo:s Internet '<plorer; ou para aplicati(os blo&ueados.
s efeitos da alterao de configurao da configurao de poltica. Por e<emplo% se (oc$ )abilitar a configurao de poltica Proibir $cesso ao Painel de %ontrole% os usu"rios no podero abrir o Painel de +ontrole. 4e (oc$ desabilitar a configurao de poltica% os usu"rios podero abrir o Painel de +ontrole. uma ao% permitindo% portanto% a e<ecuo da ao. bser(e o duplo aspecto negati(o dessa configurao de poltica: (oc$ desabilita uma poltica &ue impede
#s configura!es de usu"rio e computador t$m% cada uma% tr$s "reas de configurao% conforme descrito na tabela a seguir.
&eo
+onfigura!es de soft:are
'escrio
+ont$m as configura!es de soft:are &ue podem ser implantadas para o usu"rio ou o computador. especfico a esse usu"rio. soft:are implantado para um usu"rio soft:are implantado para o computador est"
dispon(el a todos os usu"rios desse computador. +onfigura!es do sistema operacional 9indo:s +ont$m configura!es de script e configura!es de segurana para o usu"rio e o computador e manuteno do Internet '<plorer para a configurao de usu"rio. Modelos administrati(os +ont$m centenas de configura!es &ue modificam o 1egistro para controlar di(ersos aspectos do ambiente do usu"rio e do computador. 8o(os modelos administrati(os podem ser criados pela Microsoft ou por outros fornecedores. 2oc$ pode adicionar esses no(os modelos ao GPM+. Por e<emplo% a Microsoft tem modelos do ffice AB1B &ue esto dispon(eis para do:nload e &ue (oc$ pode adicionar ao GPM+.
8os sistemas operacionais 9indo:s anteriores ao 9indo:s 2ista;% )a(ia apenas uma configurao de usu"rio dispon(el na Poltica de Grupo local. 'ssa configurao foi aplicada a todos os usu"rios &ue fizeram logon a partir desse computador local. Isso ainda (erdade% mas o 9indo:s 2ista; e os sistemas operacionais cliente 9indo:s mais no(os e o 9indo:s 4er(er ABBF e sistemas operacionais 9indo:s 4er(er mais atuais t$m um recurso adicional% ou se,a% ("rios GP s locais. 8o 9indo:s F e no 9indo:s 4er(er AB1A% (oc$ agora tambm pode ter configura!es de usu"rio diferentes para usu"rios locais distintos% mas isso s estar" dispon(el para as configura!es dos usu"rios &ue esti(erem na Poltica de Grupo. 8a (erdade% s )" um con,unto de configura!es de computador dispon(el no 9indo:s F e no 9indo:s 4er(er AB1A &ue afeta todos os usu"rios do computador. 9indo:s F e o 9indo:s 4er(er AB1A permitem isso com as tr$s camadas de GP s locais a seguir: * Poltica de Grupo 6ocal /contm as defini!es de configurao do computador0 * Poltica de Grupo de #dministradores e 8o #dministradores
#bservao: s controladores de domnio so uma e<ceo desse recurso. -e(ido E natureza de sua funo% os controladores de domnio no podem ter GP s locais.
+om e<ceo das categorias #dministrador ou 8o administrador% no poss(el aplicar GP s locais a grupos% mas somente a contas de usu"rios locais indi(iduais. usu"rios de domnio esto su,eitos E Poltica de Grupo local ou Es configura!es de #dministrador ou 8o administrador% conforme apropriado. s
#bservao: s administradores de domnio podem desabilitar o processamento dos GP s locais nos clientes &ue este,am e<ecutando sistemas operacionais cliente 9indo:s e sistemas operacionais 9indo:s 4er(er% )abilitando a configurao de poltica 'esativar Processamento de #b(etos de Polticas de Grupo Locais em um GP de domnio.
#s configura!es de Poltica de Grupo so apresentadas como GP s no GPM+% mas% na (erdade% um GP compreende dois componentes: um modelo de Poltica de Grupo e um cont$iner de Poltica de Grupo.
H47stem1ootH I4542 6I-omainIPoliciesIGP G3I-% onde GP G3I- o G3I- do cont$iner de Poltica de Grupo. Juando (oc$ cria um GP % um no(o modelo de Poltica de Grupo criado na pasta 4542 6% e um no(o cont$iner de Poltica de Grupo criado no #- -4.
tem um n>mero de (erso &ue incrementado toda (ez &ue n>mero de (erso armazenado como um atributo do +liente de Poltica de Grupo sabe o n>mero de (erso de
cont$iner de Poltica de Grupo e em um ar&ui(o de te<to% o GPD.ini% na pasta Modelo &ue foi aplicado anteriormente. 4e% durante a atualizao da Poltica de foi
Grupo% o +liente de Poltica de Grupo descobrir &ue o n>mero de (erso do cont$iner de Poltica de Grupo foi alterado% as +4's sero informadas de &ue o GP atualizado. -urante a edio de uma Poltica de Grupo% a (erso no computador com a funo L4M /opera!es de mestre >nico fle<(eis0 do emulador P-+ /controlador de domnio prim"rio0 a (erso &ue est" sendo editada. Por padro% o GPM+ focalizado no emulador P-+% independentemente do computador usado para e<ecutar a edio. . poss(el alterar o foco do GPM+ para editar uma (erso em um controlador de domnio diferente.
#s preferncias de Poltica de Grupo so um recurso no sistema operacional 9indo:s 4er(er AB1A. 'las incluem mais de AB e<tens!es de Poltica de Grupo &ue e<pandem o inter(alo de defini!es configur"(eis em um GP . #s prefer$ncias a,udam reduzir a necessidade de scripts de logon.
#bservao: s sistemas operacionais 9indo:s MP precisam ter as e<tens!es do lado do cliente da Poltica de Grupo instaladas para processar as prefer$ncias de Poltica de Grupo. 'las podem ser bai<adas do site de do:nload da Microsoft.
* Mapear impressoras * -efinir op!es de energia * +onfigurar os menus Iniciar * +onfigurar fontes de dados * +onfigurar as op!es da Internet * #gendar tarefas
s GPOs de incio so modelos &ue a,udam na criao de GP s. #o criar no(os GP s% (oc$ pode optar por usar um GP de incio como a origem. Isso facilita e agiliza a criao de ("rios GP s com a mesma configurao de lin)a de base.
Configuraes disponveis
s GP s de incio s podem conter configura!es do n Modelos #dministrati(os da seo +onfigurao do 3su"rio ou da seo +onfigurao do +omputador. s ns +onfigura!es de 4oft:are e +onfigura!es do 9indo:s da Poltica de Grupo no esto dispon(eis% pois en(ol(em a interao de ser(ios e so mais comple<os e dependentes de domnio.
carregar esse ar&ui(o em outro ambiente completamente independente do domnioNfloresta de origem. '<portando um GP Por e<emplo% (oc$ pode criar um GP de incio l)e permite en(iar o ar&ui(o .cab a outros administradores &ue podem usar isto ento em outras "reas. &ue defina as configura!es de segurana do de incio para um ar&ui(o .cab e Internet '<plorer. 4e (oc$ &uiser &ue todos os sites e domnios empreguem as mesmas configura!es% (oc$ poder" e<portar o GP distribuClo.
um grupo de configura!es para um tipo de funo de computador. Por e<emplo% (oc$ tal(ez &ueira &ue todos os laptops corporati(os ten)am as mesmas restri!es de "rea de trabal)o ou &ue todos os ser(idores de ar&ui(os ten)am as mesmas configura!es de Poltica de Grupo de lin)a de base% mas dese,a permitir (aria!es para departamentos diferentes.
de incio predefinidos. 'ssas polticas fornecem configura!es prCconfiguradas% orientadas E segurana% para '+ /+lientes 'nterprise0 e clientes 446L /4pecialized 4ecurit7 O 6imited Lunctionalit70 para configura!es de usu"rio e computador nos sistemas operacionais 9indo:s 2ista e 9indo:s MP com 4er(ice PacK A /4PA0. 2oc$ pode usar essas polticas como pontos de partida ao criar polticas de segurana.
s administradores podem delegar algumas tarefas administrati(as de Poltica de Grupo para outros usu"rios. 'sses usu"rios no precisam ser administradores de domnioP eles podem ter recebido direitos especficos para os GP s. Por e<emplo% um usu"rio &ue gerencia uma 3 /unidade organizacional0 especfica poderia receber como tarefa a e<ecuo de an"lise e criao de relatrios% ao passo &ue o grupo de suporte tcnico poderia receber permisso para editar GP s para essa 3 . 3m terceiro grupo de desen(ol(edores poderia receber como tarefa a criao de filtros 9MI /Instrumentao de Gerenciamento do 9indo:s0. #s tarefas de Poltica de Grupo a seguir podem ser delegadas de forma independente: * +riao de GP s% incluindo GP s de Incio * 'dio de GP s * Gerenciamento de linKs de Poltica de Grupo para um site% um domnio ou uma 3 * '<ecuo de an"lise de modelagem de Poltica de Grupo * 6eitura de dados dos resultados da Poltica de Grupo * +riao de filtros 9MI
grupo Propriet"rios +riadores de Poltica de Grupo permite &ue seus membros criem no(os GP s e editem ou e<cluam os GP s criados por eles.
* 4istema 6ocal
&sar o +indo.s Po.er/0ell para criar um GPO denominado 1lo'ueio da 2rea de 3rabal0o
* 8o 9indo:s Po:er4)ell% importe o mdulo grouppolic0 e use o cmdlet )e,* GP# da seguinte forma:
Objetivos da lio
#o concluir esta lio% (oc$ ser" capaz de: * -escre(er um linK de GP . * '<plicar como aplicar GP s a cont$ineres e ob,etos. * -escre(er a ordem de processamento das Polticas de Grupo. * -escre(er os GP s padro. * -escre(er a filtragem de segurana do GP .
Lin*s de GPO
pr<ima etapa ser" (incular a poltica a um cont$iner do #cti(e -irector7. 3m linK de a cone<o lgica da poltica com um cont$iner. 2oc$ pode (incular um >nico a ("rios cont$ineres usando o GPM+. 2oc$ pode (incular GP s aos seguintes
Juando um GP
todos os ob,etos no cont$iner e subse&uentemente a todos os cont$ineres fil)o sob esse ob,eto pai. Isso ocorre por&ue as permiss!es padro do GP modo &ue 3su"rios #utenticados ten)am as permiss!es 6eitura e #plicar Poltica de Grupo. 2oc$ pode modificar esse comportamento% gerenciando permiss!es no GP . 2oc$ pode desabilitar os linKs para os cont$ineres% o &ue remo(er" as defini!es de configurao. 2oc$ tambm pode e<cluir linKs. # e<cluso de linKs no e<clui o GP real% somente a cone<o lgica com o cont$iner. s GP s no podem ser (inculados diretamente a usu"rios% grupos ou computadores. #lm disso% eles no podem ser (inculados a cont$ineres de sistema no #- -4% incluindo Quiltin% +omputadores% 3su"rios ou +ontas de 4er(io Gerenciado. s cont$ineres de sistema do #- -4 recebem configura!es de Poltica de Grupo dos GP s (inculados apenas ao n(el de domnio.
#plicao de GPOs
#s defini!es de configurao de computador so aplicadas na inicializao e% em seguida% atualizadas em inter(alos regulares. Jual&uer script de inicializao e<ecutado na inicializao do computador. inter(alo padro a cada RB minutos% mas isso configur"(el. # e<ceo ao inter(alo definido em relao aos controladores de domnio% cu,as configura!es so atualizadas a cada cinco minutos. #s configura!es de usu"rio so aplicadas no logon e atualizadas em inter(alos regulares configur"(eisP o padro tambm RB minutos. Jual&uer script de logon e<ecutado no logon.
#bservao: 2"rias configura!es de usu"rio re&uerem dois logons para &ue o usu"rio perceba o efeito do GP . Isso por&ue os usu"rios &ue fazem logon no mesmo computador usam credenciais armazenadas em cac)e para acelerar os logons. Isso significa &ue% embora as configura!es de poltica este,am sendo entregues ao computador% o usu"rio ," est" conectado e% portanto% as configura!es s entraro em (igor no pr<imo logon. # configurao de redirecionamento de pasta um e<emplo disso.
2oc$ pode alterar o inter(alo de atualizao% definindo uma configurao de Poltica de Grupo. Para configura!es de computador% a configurao de inter(alo de atualizao est" localizada no n +onfigurao do +omputadorIPolticasIModelos #dministrati(osI4istemaIPoltica de Grupo. Para configura!es de usu"rio% o inter(alo de atualizao est" localizado nas configura!es correspondentes em +onfigurao do 3su"rio. 3ma e<ceo ao inter(alo de atualizao em relao Es configura!es de segurana. # seo de configura!es de segurana da Poltica de Grupo ser"
atualizada a cada 1S )oras% independentemente do inter(alo definido para o inter(alo de atualizao. 2oc$ tambm pode atualizar a Poltica de Grupo manualmente. Grupo. utilit"rio de lin)a de
comando Gpupdate atualiza e entrega &ual&uer no(a configurao de Poltica de comando Gpupdate 1!orce atualiza todas as configura!es de Poltica de Grupo. Dambm )" um no(o cmdlet do 9indo:s Po:er4)ell% o Invo2e*Gpupdate% &ue e<ecuta a mesma funo. 3m no(o recurso do 9indo:s 4er(er AB1A a #tualizao 1emota de Polticas. 'sse recurso permite &ue os administradores utilizem o GPM+ para direcionar uma 3 forar a atualizao da Poltica de Grupo em todos os seus computadores e nos usu"rios conectados. Para isso% cli&ue com o boto direito do mouse em &ual&uer 3 e% em seguida% cli&ue em $tuali3ao da Poltica de Grupo. # atualizao ocorrer" em at 1B minutos. e
s GP s no so aplicados simultaneamente% mas em uma ordem lgica. configurao de poltica conflitante &ue ten)a sido aplicada anteriormente. s GP s so aplicados na seguinte ordem: 1.
s GP s
GP s locais. +ada sistema operacional &ue e<ecuta o 9indo:s ABBB ou uma (erso mais recente possi(elmente ," tem uma Poltica de Grupo local configurada.
A. G.
GP s de site. #s polticas (inculadas a sites so processadas em seguida. GP s de domnio. #s polticas (inculadas ao domnio so processadas em seguida. 8ormalmente% )" ("rias polticas no n(el de domnio. 'ssas polticas so processadas em ordem de prefer$ncia.
T.
GP s de 3 . #s polticas (inculadas a 3 s so processadas em seguida. 'ssas polticas cont$m configura!es &ue so e<clusi(as aos ob,etos nessa 3 . Por e<emplo% os usu"rios de 2endas podem ter configura!es necess"rias especiais. 2oc$ pode (incular uma poltica E 3 2endas para entregar essas configura!es.
U.
Polticas de 3 >ltimo.
s ob,etos nos cont$ineres recebem o efeito cumulati(o de todas as polticas em sua ordem de processamento. 8o caso de um conflito entre as configura!es% a >ltima poltica aplicada ter" efeito. Por e<emplo% uma poltica no n(el de domnio pode restringir o acesso Es ferramentas de edio do 1egistro% mas (oc$ pode configurar uma poltica no n(el de 3 poltica no n(el de 3 e (incul"Cla E 3 ID para re(erter essa poltica. +omo a aplicada posteriormente no processo% o acesso Es
#bservao: utros mtodos% como Imposio e Qlo&ueio de =erana% podem alterar o efeito das polticas nos cont$ineres.
4e forem aplicadas ("rias polticas no mesmo n(el% o administrador poder" atribuir um (alor preferencial para controlar a ordem de processamento. # ordem de prefer$ncia padro a ordem em &ue as polticas foram (inculadas. 2oc$ tambm pode desabilitar a configurao de usu"rio ou de computador de um GP especfico. 4e uma seo de uma poltica for con)ecidamente (azia% (oc$ de(er" desabilitar a seo (azia para acelerar o processamento da poltica. Por e<emplo% se (oc$ ti(er uma poltica &ue s entregue configurao da "rea de trabal)o do usu"rio% poder" desabilitar o lado do computador da poltica.
-urante a instalao da funo #- -4% dois GP s padro so criados: Poltica de -omnio Padro e Poltica de +ontroladores de -omnio Padro.
Por natureza% um GP
todos os cont$ineres fil)o sob o pai. Porm% (oc$ tal(ez &ueira alterar esse comportamento% para &ue determinados GP s se,am aplicados apenas a princpios de segurana especficos. Por e<emplo% (oc$ tal(ez &ueira isentar determinados usu"rios de uma 3 de uma poltica restriti(a de "rea de trabal)o. Isso pode ser feito atra(s da filtragem de segurana. +ada GP tem uma #+6 /6ista de +ontrole de #cesso0 &ue define permiss!es para o
GP . # permisso padro definida para &ue as permiss!es 6eitura e #plicar Poltica de Grupo se,am aplicadas a 3su"rios #utenticados. +om o a,uste das permiss!es na #+6% (oc$ pode controlar &uais princpios de segurana recebero permisso para ter as configura!es de GP aplicadas. =" duas abordagens para (oc$ fazer isso: negar acesso E Poltica de Grupo ou limitar as permiss!es E Poltica de Grupo.
#bservao: grupo 3su"rios #utenticados inclui todas as contas de usu"rio e computador autenticadas no #- -4.
princpios de segurana em um cont$iner% (oc$ poder" remo(er o grupo 3su"rios #utenticados da #+6% adicionar os princpios de segurana &ue de(em receber as configura!es de GP e conceder a eles as permiss!es 6eitura e #plicar Poltica de com defini!es de configurao de Grupo. Por e<emplo% (oc$ pode ter um GP
computador &ue s de(am ser aplicadas a laptops. 2oc$ pode remo(er o grupo 3su"rios #utenticados da #+6% adicionar as contas de computador dos laptops e conceder a elas as permiss!es 6eitura e #plicar Poltica de Grupo.
#bservao: +omo pr"tica recomendada% nunca negue acesso ao grupo 3su"rio #utenticado. +aso contr"rio% os princpios de segurana nunca recebero as configura!es de GP .
# #+6 de um GP
na pasta
b,eto de
Para esta discusso% e<amine a estrutura do #- -4 no elemento gr"fico% leia o cen"rio e responda Es perguntas no slide.
/cenario
# ilustrao a seguir representa uma parte da estrutura do #- -4 da #. -atum +orporation &ue contm a 3 2endas com suas 3 s fil)o e a 3 4er(idores.
GP
configura op!es
de energia &ue desligam os monitores e os discos aps GB minutos de inati(idade e restringe o acesso Es ferramentas de edio do 1egistro. * GP A tem configura!es para blo&uear as "reas de trabal)o da 3 2endas e configurar impressoras para 3su"rios de 2endas. * * GP G configura op!es de energia para laptops na 3 6aptops de 2endas. 3su"rios de
GP T configura um con,unto diferente de op!es de energia para assegurar &ue os ser(idores nunca entrem no modo de economia de energia.
#lguns usu"rios na 3
Pergunta da discusso
+om base nesse cen"rio% responda Es perguntas a seguir: Pergunta: Juais op!es de energia os ser(idores recebero na 3 4er(idoresV
6aptops de
Pergunta: Juais op!es de energia todos os outros computadores no domnio receberoV Pergunta: s usu"rios na 3 3su"rios de 2endas &ue criaram polticas locais para conceder acesso ao Painel de +ontrole podero acessar o Painel de +ontroleV Pergunta: 4e (oc$ precisasse conceder acesso ao Painel de +ontrole para alguns usu"rios% como (oc$ faria issoV Pergunta: GP A pode ser se aplicado a outras 3 s de departamentoV
&sar o cmdlet Gpresult para enviar a sada dos resultados para um ar'uivo 73%L
1. 3se Gpresult 15 para criar um ar&ui(o =DM6 &ue e<iba as configura!es atuais de GP .
A.
Objetivos da lio
#o concluir esta lio% (oc$ ser" capaz de: * -escre(er o repositrio central. * -escre(er os modelos administrati(os. * -escre(er o modo de funcionamento dos modelos administrati(os. * -escre(er as configura!es de poltica gerenciadas e no gerenciadas.
4e a sua organizao ti(er ("rias esta!es de trabal)o de administrao% poss(el &ue ocorram problemas durante a edio de GP s. 4e (oc$ no ti(er um 1epositrio +entral para incluir os ar&ui(os de modelo% a estao de trabal)o da &ual (oc$ est" editando usar" os ar&ui(os .adm< /#-MM0 e .adml /#-M60 armazenados na pasta local Polic7-efinitions. 4e esta!es de trabal)o de administrao diferentes ti(erem sistemas operacionais distintos ou esti(erem em n(eis de ser(ice pacK diferentes% poder" )a(er diferenas nos ar&ui(os #-MM e #-M6. Por e<emplo% os ar&ui(os #-MM e #-M6 armazenados em uma estao de trabal)o &ue este,a e<ecutando o 9indo:s W sem ser(ice pacK instalado podem no ser iguais aos ar&ui(os armazenados em um controlador de domnio &ue este,a e<ecutando o 9indo:s 4er(er AB1A. 1epositrio +entral trata desse problema. 1epositrio +entral fornece um >nico 1epositrio +entral
ponto a partir do &ual as esta!es de trabal)o de administrao podem bai<ar os mesmos ar&ui(os #-MM e #-M6 ao editarem um GP . detectado automaticamente pelos sistemas operacionais 9indo:s a partir da (erso 9indo:s 2ista em diante e pelos sistemas operacionais 9indo:s 4er(er ABBF. -esse modo% a estao de trabal)o local usada pelo administrador para realizar a administrao (erificar" sempre a e<ist$ncia de um 1epositrio +entral antes de carregar os ar&ui(os #-MM e #-M6 locais no 'ditor de b,eto de Poltica de Grupo. Juando a estao de trabal)o local detectar um 1epositrio +entral% ela bai<ar" os ar&ui(os de modelo desse local. #ssim% a e<peri$ncia de administrao ser" consistente em ("rias esta!es de trabal)o. 2oc$ de(e criar e pro(isionar o 1epositrio +entral manualmente. Primeiro crie uma pasta em um controlador de domnio% atribua a ela o nome Polic0'e!initions e armazene a pasta em +:I9indo:sI4542 6Is7s(olIX8ome de -omnioYIPoliciesI. 'ssa
pasta agora ser" seu 1epositrio +entral. 'm seguida% copie todo o conte>do da pasta +:I9indo:sIPolic7-efinitions para o 1epositrio +entral. s ar&ui(os #-M6 nessa pasta tambm esto em uma pasta especfica de idioma /por e<emplo% en*6&0.
3m modelo administrati(o composto de dois tipos de ar&ui(os MM6: * s ar&ui(os #-MM especificam a configurao do 1egistro a ser alterada. ar&ui(os #M-M apresentam neutralidade de idioma. * s ar&ui(os #-M6 geram a interface do usu"rio para definir as configura!es de poltica dos Modelos #dministrati(os no 'ditor de Gerenciamento de Poltica de Grupo. s ar&ui(os #-M6 so especficos a um idioma. s
s ar&ui(os #-MM e #-M6 so armazenados na pasta H47stem1ootHIPolic7-efinitions. 2oc$ tambm pode criar seus prprios modelos administrati(os personalizados no formato MM6. controlam os produtos do Microsoft eo Microsoft. s modelos administrati(os t$m as seguintes caractersticas: * 'les so organizados em subpastas &ue armazenam op!es de configurao para "reas especficas do ambiente% como rede% sistema e componentes do 9indo:s. * #s configura!es na seo +omputador editam o )i(e do 1egistro =?'5@6 +#6@M#+=I8' e as configura!es na seo 3su"rio editam o )i(e do s modelos administrati(os &ue ffice 9ord% o ffice '<cel; ffice /como o
1egistro =?'5@+311'8D@34'1. * #lgumas configura!es e<istem para 3su"rio e +omputador. Por e<emplo% )" uma configurao para impedir &ue o 9indo:s Messenger se,a e<ecutado nos modelos 3su"rio e +omputador. 8o caso de configura!es conflitantes% a configurao +omputador pre(alecer". * #lgumas configura!es s esto dispon(eis para certas (ers!es dos sistemas operacionais 9indo:s% como ("rias no(as configura!es &ue somente podem ser se aplicadas ao 9indo:s W e Es (ers!es mais recentes dos sistemas operacionais. +licar duas (ezes nas configura!es e<ibir" as (ers!es suportadas para essa configurao. Jual&uer configurao &ue no possa ser processada por um sistema operacional 9indo:s mais antigo simplesmente ser" ignorada por esse sistema.
#r'uivos #)%
#ntes do 9indo:s 2ista% os modelos administrati(os tin)am uma e<tenso de ar&ui(o .adm /#-M0. s ar&ui(os #-M eram especficos a um idioma e eram difceis s ar&ui(os #-M so armazenados no 4542 6 como de serem personalizados.
parte do modelo Poltica de Grupo. 4e um ar&ui(os #-M for usado em ("rios GP s% o ar&ui(o ser" armazenado ("rias (ezes. Isso aumenta o taman)o de 4542 6 e% portanto% aumenta o taman)o do tr"fego de replicao do #cti(e -irector7.
s modelos administrati(os t$m configura!es para praticamente todo aspecto do ambiente de computao. +ada configurao no modelo corresponde a uma
configurao do 1egistro &ue controla um aspecto do ambiente de computao. Por e<emplo% &uando (oc$ )abilita a configurao &ue impede o acesso ao Painel de +ontrole% isso altera o (alor na c)a(e do 1egistro &ue controla esse aspecto. n Modelos #dministrati(os organizado conforme mostrado na tabela a seguir.
&eo
+onfigura!es do computador
)s
* * * * * * Painel de +ontrole 1ede Impressoras 4istema +omponentes do 9indo:s Dodas as +onfigura!es
+onfigura!es do usu"rio
* * * * * * * *
Painel de +ontrole Zrea de Drabal)o 1ede Pastas +ompartil)adas Menu Iniciar e barra de tarefas 4istema +omponentes do 9indo:s Dodas as +onfigura!es
configura!es em agrupamentos lgicos. #t mesmo com essa organizao% localizar a configurao necess"ria pode ser uma tarefa assustadora. Para a,ud"Clo a localizar as configura!es% na pasta Dodas as +onfigura!es% (oc$ pode filtrar a lista inteira de configura!es na seo +omputador ou 3su"rio. #s op!es de filtro a seguir esto dispon(eis: * Gerenciado ou no gerenciado * +onfigurado ou no configurado * +omentado * Por pala(raCc)a(e * Por plataforma
2oc$ tambm pode combinar ("rios critrios. Por e<emplo% (oc$ pode filtrar para localizar todas as configura!es definidas aplic"(eis ao Internet '<plorer 1B% usando a pala(raCc)a(e $ctive7.
=" dois tipos de configura!es de poltica: gerenciadas e no gerenciadas. Dodas as configura!es de poltica nos Modelos #dministrati(os de um GP gerenciadas. so polticas ser(io Poltica de Grupo controla as configura!es de poltica ser(io Poltica de Grupo no
gerenciadas e remo(e uma configurao de poltica &uando ela no esti(er mais dentro do escopo do usu"rio ou do computador. controla as configura!es de poltica no gerenciadas. 'ssas configura!es de poltica
so persistentes. no gerenciadas.
alterao permanente. Para re(erter o efeito da configurao de poltica% (oc$ de(e implantar uma alterao &ue re(erta a configurao ao estado dese,ado. #lm disso% uma configurao de poltica no gerenciada no blo&ueia a interface do usu"rio para essa configurao. Por padro% o 'ditor de Gerenciamento de Poltica de Grupo oculta configura!es de poltica no gerenciadas para desencora,"Clo de implementar uma configurao difcil de re(erter. 2"rias configura!es dispon(eis nas prefer$ncias de Poltica de Grupo so configura!es no gerenciadas.
Objetivos
-epois de concluir este laboratrio% (oc$ ser" capaz de: * +onfigurar um 1epositrio +entral.
* +riar GP s.
Configurao do laborat6rio
Dempo pre(isto: TB minutos
1epita as etapas A e G para ATT1BQC6 8C+61. 8o entre at receber instru!es para isso.
Cenrio # #. -atum implementou recentemente um modelo personalizado #-MM para configurar um aplicati(o. 3m colega obte(e os ar&ui(os #-MM do fornecedor antes de criar o GP com as defini!es de configurao. #s configura!es foram aplicadas ao aplicati(o como esperado. #ps a implementao% (oc$ obser(ou &ue no consegue modificar as configura!es de aplicati(o no GP de &ual&uer local diferente da estao de trabal)o usada originalmente pelo seu colega. Para resol(er esse problema% seu gerente l)e pediu para criar um 1epositrio +entral para os modelos administrati(os. -epois &ue (oc$ criar o 1epositrio +entral% seu colega copiar" o modelo #-MM do fornecedor da estao de trabal)o para o 1epositrio +entral. #s principais tarefas deste e<erccio so: 1. '<ibir o local dos modelos administrati(os em um GP Grupo0 A. G. T. +riar um repositrio central +opiar modelos administrati(os para o repositrio central 2erifi&ue o local dos modelos administrati(os no GPM+ / b,eto de Poltica de
3arefa :- E(ibir o local dos modelos administrativos em um GPO ;Objeto de Poltica de Grupo<
1. A. G.
'ntre em 6 8C-+1 como $dministrador com a sen)a Pa++,-rd. Inicie o GP/%. 8a pasta b,eto de Poltica de Grupo% abra a Poltica de 'omnio Padro e
1.
A.
+rie uma pasta denominada Polic0'e!initions &ue ser" usada para o 1epositrio +entral.
* +opie o conte>do da pasta padro Polic0'e!initions% localizada em %:<.indo,s<Polic0'e!initionsB para a no(a pasta Polic7-efinitions% localizada em %:<.indo,s<&@&V#L<s0svol<$datumAcom<Policies.
* 2erifi&ue se o 'ditor de
#-MM da pasta central Polic0'e!initions% e<ibindo o te<to de informa!es de local da pasta Modelos administrati(os.
esultados: -epois de concluir este e<erccio% (oc$ ter" configurado um 1epositrio +entral.
Cenrio #ps uma recente reunio do comit$ de polticas de ID% a e&uipe de gerenciamento decidiu &ue a #. -atum usar" uma Poltica de Grupo para restringir o acesso dos usu"rios E p"gina Geral do Internet '<plorer.
os departamentos com configura!es de restrio padro para o Internet '<plorer. 8esse caso% (oc$ precisa criar os GP s &ue entregaro as configura!es para os membros de todos os departamentos% e<ceto o departamento de ID. #s principais tarefas deste e<erccio so: 1. A. G. +riar um GP de incio padro de restrio do 9indo:s Internet '<plorer de incio de restrio do Internet '<plorer de incio
+onfigurar o GP +riar um GP
3sar a filtragem de segurana para isentar o -epartamento de ID da poltica 1estri!es do Internet '<plorer
S. W.
1.
A.
* +onfigure o GP
$u>lio ao leitor: 4elecione ;odas as %on!igura"es em Modelos #dministrati(os e filtre por uma correspond$ncia e<ata pela pala(rasCc)a(e PCgina Geral.
3arefa >- Criar um GPO de restries do ,nternet E(plorer a partir do GPO de incio 9estries do ,nternet E(plorer
* +rie um no(o GP
de incio
1. A. G. T. U.
'ntre em L#)*%L1 como $datum<:rad% com a sen)a Pa++,-rd. #bra o Painel de %ontrole. Dente alterar sua )ome page. #bra #p"es da Internet para (erificar se a guia Geral foi restringida. 4aia de 6 8C+61.
3arefa A- &sar a filtragem de segurana para isentar o )epartamento de ,3 da poltica 9estries do ,nternet E(plorer
1. A.
'm 6 8C-+1% abra o GP/%. +onfigure a filtragem de segurana na poltica 1estri!es do Internet '<plorer para negar acesso ao departamento de ID.
1. A. G.
'ntre em L#)*%L1 como :rad% com a sen)a Pa++,-rd. #bra o Painel de %ontrole. Dente alterar sua )ome page. 2erifi&ue se a cai<a de di"logo Propriedades da Internet aberta para a guia Geral e se todas as configura!es esto dispon(eis.
T.
4aia de 6 8C+61.
1. A. G. T. U.
'ntre em L#)*%L1 como :oris% com a sen)a Pa++,-rd. #bra o Painel de %ontrole. Dente alterar sua )ome page. #bra #p"es da Internet para (erificar se a guia Geral foi restringida. 4aia de 6 8C+61.
Juando (oc$ concluir o laboratrio% re(erta as m"&uinas (irtuais ao estado inicial. Para fazer isso% e<ecute estas etapas:
1. A.
8o computador )ost% inicie o Gerenciador 50per*V. 8a lista /C?uinas Virtuais% cli&ue com o boto direito do mouse em 2991-:* L#)*'%1 e depois cli&ue em everter.
G.
T.
4erramentas
8erramenta
GPM+ /+onsole de Gerenciamento de Poltica de Grupo0 'ditor de b,eto de -efine as configura!es nos GP s #cessado com a edio de &ual&uer GP -etermina &uais configura!es esto sendo aplicadas a um usu"rio ou computador Desta o &ue ocorreria se fossem aplicadas configura!es a usu"rios ou computadores% antes de as configura!es serem realmente aplicadas 'ditor de Poltica de Grupo 6ocal -efine as configura!es da Poltica de Grupo &ue somente so aplicadas ao computador local #cessado criando um no(o MM+ /+onsole de Gerenciamento Microsoft0 no computador local e adicionando o 'ditor de de Poltica de Grupo b,eto 8o GPM+ 8o GPM+
6so
+ontrola todos os aspectos da Poltica de Grupo
#nde encontrar
8o Gerenciador do 4er(idor% no menu 8erramentas
Poltica de Grupo 14oP /+on,unto de Polticas 1esultante0 #ssistente para Modelagem de Poltica de Grupo
Pr!tica recomendada
2e,a a seguir as pr"ticas recomendadas: * 8o use as polticas -omnio Padro e +ontroladores de -omnio Padro para outras utiliza!es. 'm (ez disso% crie no(as polticas. * 6imite o uso da filtragem de segurana e de outros mecanismos &ue fazem diagnsticos mais comple<os. * -esabilite a seo 3su"rio ou +omputador das polticas se ela no ti(er nen)uma configurao definida. * 4e (oc$ ti(er ("rias esta!es de trabal)o de administrao% crie um 1epositrio +entral. * #dicione coment"rios aos seus GP s para e<plicar a funo das polticas. * +rie sua estrutura de 3 para dar suporte E aplicao da Poltica de Grupo.