Introdução a Group Policy (GPO)

Uma das gigantescas tarefas de um administrador de sistemas é gerenciar usuários, grupos e computadores da rede. Imagine você tendo um parque de máquinas com 1500 desktops para gerenciar e precisa mudar uma configuração em todas elas.

A princípio você deve pensar que gastará no mínimo 1 mês para terminar essa tarefa, mas se você estiver em ambiente Windows com Active Directory, essa tarefa não levará mais que alguns minutos através de um recurso chamado Group Policy(GPO).

A Group Policy(GPO), é capaz de mudar configurações, restringir ações ou até mesmo distribuir aplicações em seu ambiente de rede. As vantagens são muitas, e podem ser aplicadas em sites, domínios e organizational units(OUs). Se você criou uma OU para cada departamento da sua empresa, poderá então, fazer diferentes configurações de GPO para cada departamento.

O objetivo deste artigo é descrever os recursos das GPOs, em outros artigos vamos abordar passo-a-passo com se faz essas configurações.

As GPOs são baseadas em templates que possuem uma lista de opções configuráveis de forma amigável. A maioria dos itens de uma GPO tem 3 diferentes opções:

Enable: Especifica que aquele item será ativado.

Disable: Especifica que aquele item será desativado.

Not Configured:Deixa a opção neutra, nem ativa e nem desativa o item, ou seja, fica como está agora. Esta é a configuração padrão.

Vejamos um exemplo:

Você quer desabilitar o command prompt de todos os desktops da rede. Para isso existe um item chamado Disable the command prompt, a configuração default para esse item é Not Configured.

Se você configurar como Enabled, o command prompt será desativado e se você configurar como Disable, será ativado explicitamente.

Parece confuso o Enable desativar a opção, mas repare que a opção é “Desabilitar o prompt de comando”, o Enable neste caso está ativando a opção de “Desabilitar o prompt de comando”.

As configurações das GPOs podem ser aplicadas em dois tipos de objetos do Active Directory: Usuários e Computadores, desde que estejam em uma OU. Se houver algum conflito entre as configurações dos computadores e dos usuários, as configurações dos usuários vão prevalecer.

Os tipos de configurações que podem ser feitas estão descritas abaixo:

Software Settings: Nesta categoria, um administrador pode, por exemplo, distribuir aplicações para usuários finais.

Windows Settings: Permite ao administrador customizar as configurações do Windows. Estas opções são diferentes para usuários e computadores.

Por exemplo: Nos computadores, eu posso criar um script para ser executado no Startup e Shutdown. Nos usuários eu crio scripts para rodar no Logon e Logoff. Além disso, nos usuários posso mudar configurações do Internet Explorer, redirecionar pastas, etc.

Administrative Templates: Também são diferentes as opções para computadores e usuários.

Por exemplo: Nos computadores eu posso configurar itens do Sistema e nos usuários, posso configurar o Menu Iniciar e Barra de Tarefas.

Hierarquia das GPOs

Um outro conceito importe é saber a hierarquia das GPOs que podem ser aplicadas em 3 níveis diferentes: Sites, domínios e OUs

Sites: O mais alto nível. Todas as configurações feitas no site serão aplicadas a todos os domínios que fazem parte dele.

Domínios: É o segundo nível. Configurações feitas aqui, afetarão todos os usuários e grupos dentro do domínio.

OUs: O que se aplica nas OUs afetarão todos os usuários dentro dela.

É importante lembrar que as opções são cumulativas por padrão. Sendo assim, se eu sou um usuário da OU Engenharia, posso receber configurações que vem do Site, Domínio e da minha própria OU.

Exemplo:

No Site foi configurado uma GPO para os usuários mudarem a senha a cada 50 dias. No Domínio, foi configurada outra GPO desativando o prompt de Comando e na OU Engenharia, foi configurada outra GPO para especificar o papel de parede padrão do meu desktop.

Quando eu me logar será aplicada as três GPOs.

Heranças de Group Policy

Pegando o exemplo acima, o que aconteceria se fosse configurada uma GPO no Domínio para mudar a senha a cada 30 dias ? Haveria um conflito de GPOs, pois no Site está configurado para mudar a senha a cada 50 dias. Por isso é importante entender como ocorrem as heranças de GPOs.

Por default, quem está mais próximo do usuário tem preferência na aplicação da GPO sobre as configurações mais genéricas. No nosso exemplo, a GPO do Domínio será aplicada.

Entretando, o Administrador do Sistema pode alterar esse comportamento através de duas opções descritas abaixo:

Block Policy Inheritance ( Bloquear heranças de políticas)

Especifica que as configurações da GPO para um objeto não será herdada do nível superior. Isso é muito usado quando se tem uma OU dentro de outra e você quer aplicar uma configuração específica para aquela OU.

Force Policy Inheritance ( Forçar herança de políticas)

Especifica que você não permitirá que níveis filhos possam sobrescrever suas configurações de GPO. Por exemplo: Sou administrador de um site da minha empresa e criei uma política de senha forte através de GPO com 9 caracteres e não quero que o Administrador do Domínio e nem o das OUs dos domínios possam sobrescrever minha política. Neste caso eu crio minha GPO, aplico ao Site e marco a opção de Force Policy Inheritance.