Quatro Boas Praticas Para a Implementação e Administração Das Políticas De Grupo.

Há algum tempo já venho pensando em escrever algo sobre políticas de grupo, justamente por me sentir na obrigação de falar sobre por ter um livro com esse assunto. Com isso, hoje, venho escrever mais sobre algumas boas práticas que adoto e são também recomendas por diversos outros autores, sobre como projetar a estrutura das políticas de grupo em um domínio. 

Embora o gerenciamento das políticas de grupo estejam ligadas claramente em como está projetado o design das unidades organizacionais do domínio, ainda sim, há boas práticas que devem ser implementadas na criação e administração das políticas, que vão desde facilitar a vida do administrador em documentações que poderão ser criadas, como garantir que elas sejam aplicadas, com um menor tempo de processamento possível. 

1.  Desative a parte não usada de uma política. 

https://i1.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-2.png?resize=707%2C341&ssl=1

Console GPMC – Habilitando e Desabilitando as Configurações De Usuário e Computador.

Uma prática recomendada para melhorar o desempenho do processamento das políticas  de grupo é desativar a parte da política que não será usada. Por exemplo, se você tiver um GPO definindo um script de inicialização, ou seja, configurada para ser aplicada nas configurações de computador, desabilite a parte do usuário dessa diretiva, uma vez que ela não será processada. Essa lógica também serve para quando criar uma política voltada aos usuários, desabilitando a parte do computador. Dessa forma, o Windows simplesmente ignora o restante das opções e reduz o tráfego de rede que transmite os GPOs ao redor da rede de replicação.

Não sabe como desabilitar SOMENTE as Configurações de Computador ou de Usuário de uma GPO? Veja nesses dois artigos abaixo, em que ensino como fazer isso, para cada uma delas:

• Desativando Somente As Configurações de Usuário De Uma GPO – Windows Server.

  https://diegogouveia.com.br/2018/05/23/desativando-somente-as-configuracoes-de-usuario-de-uma-gpo-windows-server/ 

• Desativando Somente As Configurações De Computador De Uma GPO – Windows Server.

  https://diegogouveia.com.br/2018/05/22/desativando-somente-as-configuracoes-de-computador-de-uma-gpo-windows-server/

2.  Não edite As Políticas Padrões de Domínio: Default Domain Policy e Default Domain Controllers Policy.

A menos que você queira alterar a política de senha do domínio, ilustrada na figura baixo, é altamente recomendável não modificar os objetos de política do grupo Domínio Padrão ou do Controlador de Domínio Padrão (Default Domain Controllers Policy), pois cometer um erro nessas duas políticas pode realmente atrapalhar o gerenciamento do Active Directory. Se você quiser fazer uma alteração nos seus Controladores de Domínio ou em todo o domínio, considere criar uma nova política de grupo separada no mesmo nível das políticas padrão. Isso permitirá pelo menos que você faça qualquer alteração seletivamente, desabilitando as políticas ofensivas se algo der errado.

https://i2.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-3.png?resize=730%2C178&ssl=1

Default Domain Policy – Políticas de Senha

3. Backup frequentemente.

Ignorado por muitos, é mais que recomendado fazer o backup das políticas de grupo. O motivo é simples: a possibilidade de recuperação das configurações “originais” das GPOs caso aconteça algum problema, por conta de uma mal configuração ou exclusão da mesma. Para isso, você pode ainda usar o recurso de Backup, encontrada ao clicar com o botão direito do mouse em “Objetos de Políticas de Grupo”, no console do GPMC. 

https://i1.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-4.png?resize=695%2C324&ssl=1

Fazer Backup de GPOs – Console GPMC.

Contudo, o ideal é que você use scripts ou outras ferramentas que possibilite a automatização dos backups das GPOs, garantido assim sempre uma cópia de segurança das políticas, para quando precisar.

Você pode usar para essa finalidade o script abaixo, feito no Windows PowerShell, vinculando ele o agendador de tarefas do Windows, definindo assim de quanto em quanto tempo será feito a cópia de segurança das políticas de grupo do domínio.

Script Backup GPOs: https://gallery.technet.microsoft.com/scriptcenter/Backup-All-GPOs-Powershell-bcdb7b5e

4. Nomeie as políticas de acordo com as suas finalidades e, sempre, comente-as.

Uma boa regra é usar NOMES CURTOS para as políticas, mas que sejam claros, permitindo ao administrador antes de acessá-las de fato, já tenha uma ideia do que é e qual a finalidade da mesma. 

Outra boa prática que não é usada, infelizmente, é comentar as políticas de grupo de acordo com as suas finalidades, de forma organizada e clara. (Eu sei que você pode verificar as configurações aplicadas na guia Opções, encontrado no painel de resultado de uma GPO). Contudo, comentários feitos nas políticas não vão apenas te ajudarem na identificação para que serve de fato aquela política, MAS TAMBÉM, aos que entrarão após você sair da empresa.

Para comentar uma GPO, basta clicar com o botão direito do mouse em Editar, selecionando antes a GPO no console do GPMC, e com o botão direito mouse clicar no nome dela, encontrada na parte superior, do Editor de Gerenciamento de Política de Grupo, e acessar a guia Comentário, ilustrada na figura abaixo. 

https://i2.wp.com/diegogouveia.com.br/wp-content/uploads/2019/01/1-5.png?resize=730%2C247&ssl=1

Guia Comentário GPO – Console Editor de Gerenciamento de Política de Grupo.

Gostou das dicas? Me acompanha então no meu site: www.diegogouveia.com.br.