Uma introdução básica sobre Group Policy.
Diretiva de Grupo – ou se preferir: Group Policy – é uma ferramenta fantástica para administrar computadores e usuários em uma infraestrutura gerenciada pelo Active Directory, mas apesar de sua importância para a segurança de uma rede e o ganho de produtividade que ela pode dar para o departamento de TI de uma empresa, ainda há muitos administradores que não sabem para que ela serve e como usá-la. É para ajudar a esclarecer mais o que são elas e para que servem, que trago abaixo alguns conceitos importantes sobre políticas de grupos.
O que são objetos de diretiva de grupo (GPOs)?
É uma implementação da Microsoft de uma metodologia de gerenciamento de computadores e usuários de maneira centralizada, em um ambiente do Active Directory. Os Objetos de Diretiva de Grupo (GPOs) são as coleções de várias configurações de aplicativo e Registro que foram definidas por um administrador para impor um comportamento específico para um objeto de usuário ou computador.
O conceito foi introduzido inicialmente no Windows NT 4.0, quando um administrador era capaz de usar o Policy Enforcement para forçar uma estação de trabalho a estar em conformidade com comportamentos específicos definidos por ele. Geralmente isso se limitava a restringir os direitos locais de um usuário para impedir que o usuário alterasse coisas como a interface do usuário ou aplicativos instalados localmente. Inicialmente, era uma maneira desajeitada de fazer as coisas, mas preparou o cenário para a introdução dos Objetos de Diretiva de Grupo no Windows 2000 com o advento do Active Directory (AD), no qual conhecemos bastante nos dias de hoje.
No Windows 2000, os administradores tinham a capacidade de configurar facilmente centenas de configurações comuns na área de publicação de aplicativos para configurações de segurança nas configurações do Internet Explorer. Isso foi feito por meio de um editor fornecido que utilizou arquivos ADM que continham definições para os objetos do usuário e do computador a serem interpretados. A desvantagem desses arquivos ADM era que o formato era um pouco confuso e dificultava que os administradores criassem seus próprios arquivos ADM para modificar aplicativos personalizados ou modificar aplicativos para os quais a Microsoft ainda não havia lançado arquivos ADM. Essa situação não mudou muito com o lançamento do Windows 2003, mas introduziu uma nova ferramenta chamada console de gerenciamento de diretiva de grupo.
Essa ferramenta permitiu que os administradores visualizassem e gerenciassem Objetos de Política de Grupo com mais facilidade, além de fazer backup e até mesmo transportá-los de um domínio para outro. Não foi até o lançamento do Vista que a Microsoft mudou fundamentalmente a maneira como as configurações do GPO eram armazenadas. Com o Vista veio o novo formato de arquivos ADMX. O ADMX é baseado em XML ou Extensible Markup Language.
Por que os administradores devem usar objetos de diretiva de grupo?
Tomemos, por exemplo, a implementação de um novo servidor proxy da Web em um ambiente. Antigamente, você iria de computador em computador, efetuando login com um usuário e definindo a configuração de Proxy no Internet Explorer ou, se fosse adepto de scripts, poderia escrever um script personalizado que modificaria as configurações de Proxy e definiria para executar no script de logon do usuário. Já com o recurso de Group Policy (GPO), você pode efetuar esse procedimento sem ter que se levantar da cadeira, apenas criando uma política (GPO) e vinculando-a a uma unidade organizacional que contenha os objetos que receberão a alteração do novo servidor proxy, sem fazer mais que alguns cliques.
(Veja que, em cenários que contém várias estações, já seria algo complicadíssimo ter que fazer o procedimento manualmente, podendo esquecer de algumas estações).
Como você pode ver GPOs devem ser usados em situações em que um administrador deseja enviar uma configuração ou configuração para vários sistemas de uma única vez, ainda podendo ter a flexibilidade de limitar quais sistemas ou usuários receberão as configurações.
Os GPOs também são também extremamente úteis para impor as regras de um ambiente. Por exemplo, se uma empresa alterou sua política para exigir que os computadores fossem bloqueados após um período de inatividade, essa configuração poderia ser facilmente configurada por meio do GPO. Embora muitas empresas possam configurar uma configuração como essa ao implantar um sistema, a vantagem de fazer isso pelo GPO é que ninguém pode “esquecer” de fazer a configuração. Assim que um computador ingressar no domínio, ele herdará os GPOs no nível do domínio e automaticamente ajustará o sistema às suas regras.
Conhecendo o Console da Administração do Group Policy…
Como citado anteriormente, GPOs são projetados como uma maneira de modificar globalmente configurações de usuários e computadores por meio de uma interface central controlável e gerenciável, conhecido como console de Gerenciamento de Política de Grupo, ilustrada na figura abaixo.
Console Gerenciamento de Política de Grupo (GPMC)
É através dele que podemos criar as políticas (Group Policy) para os usuários e computadores do domínio e fazer as configurações desejadas por meio do Editor de Gerenciamento de Política de Grupo, ilustrado na figura abaixo, assim definindo as configurações voltadas aos usuários e computadores do domínio. Com isso, a medida que os computadores forem sendo ligados e os usuários acessando as estações, receberão as políticas.
**Console Editor de Gerenciamento de Política de Grupo.
**
Além da criação e modificações de Group Policy, o console de Gerenciamento de Políticas de Grupo também permite você fazer outras tarefas associadas as políticas, como:
Backup e Restauração de GPOs: Deve ser usado sempre que um GPO for modificado. Dessa forma, se o GPO causar problemas indesejados, um administrador poderá restaurar a versão anterior do GPO para retornar os sistemas à configuração anterior.
Não sabe como fazer o backup das politicas de um domínio? No link abaixo eu ensino como fazer isso:
[https://diegogouveia.com.br/2017/10/06/windows-server-backup-gpos/
](https://diegogouveia.com.br/2017/10/06/windows-server-backup-gpos/)
Atualizar políticas (GPOs) que estão dentro de uma unidade organizacional do domínio: Assim, não tem a necessidade de ir em cada uma das estações (encontradas nessa unidade organizacional) e dar aquele velho gpupdate /force no prompt de comando, para a política ser repassada para a estação ou usuário.
Não sabe como atualizar as políticas de uma OU? No link abaixo eu ensino como fazer isso:
[https://diegogouveia.com.br/2017/12/01/atualizando-gpos-de-estacoes-usuarios-que-estao-em-uma-ou-windows-server
Além de outras tarefas relacionados ao Group Policy….
Bom, esse é apenas uma introdução sobre políticas de grupo. Em outro artigo, eu mostro mais sobre o quão poderoso é esse recurso.