Como Criar e Vincular um GPO no Active Directory (Passo a Passo). No dinâmico reino da gestão do Active Directory, dominar a arte dos Objetos de Política de Grupo (GPOs) é uma habilidade crucial para qualquer administrador. Este guia passo a passo revela o processo contínuo de criação e vinculação de GPOs, fornecendo um roteiro abrangente para navegar pelas complexidades do Active Directory. Este artigo garante que não apenas compreendamos os fundamentos, mas também ganhemos a confiança para usar GPOs efetivamente em nossa jornada de administração de rede.
Como Criar e Vincular um GPO no Active Directory (Passo a Passo)
Breve Visão Geral dos Objetos de Política de Grupo
Objetos de Diretiva de Grupo (GPOs) são a espinha dorsal da gestão centralizada em ambientes do Windows Active Directory. Essencialmente, GPOs são um conjunto de regras, configurações e ajustes que os administradores definem para governar o comportamento de usuários e computadores dentro de uma rede. Ao implementar GPOs, os administradores aplicam políticas de segurança, regulam as configurações do sistema, implantam software e simplificam vários aspectos da gestão de rede.
Esta ferramenta poderosa não apenas aumenta a eficiência organizacional, mas também garante um ambiente de computação consistente e seguro, permitindo que os administradores exerçam controle e apliquem políticas em uma multiplicidade de dispositivos e usuários.
Ao trabalhar com Objetos de Dire
As GPOs são trabalhados de duas maneiras diferentes: seja em uma máquina local usando o Editor de Política de Grupo Local ou em nosso sistema empresarial usando o Console de Gerenciamento de Política de Grupo (GPMC). Para manter e criar um ambiente resiliente, concentramo-nos no cenário empresarial neste artigo, uma vez que as políticas locais são processadas primeiro (antes das políticas de domínio).
Instalando a Ferramenta RSAT de Política de Grupo
Um dos componentes da clássica Ferramenta de Administração de Servidor Remoto (RSAT) é o Console de Gerenciamento de Política de Grupo. Podemos instalar esta solução baseada em MMC (Console de Gerenciamento da Microsoft) no Windows usando o aplicativo Configurações atuais do Windows.
Mantemos as configurações de Política de Grupo na pasta compartilhada ‘SYSVOL‘ em um controlador de domínio (DC), e, se necessário, replicamos essas configurações para todos os outros DCs no domínio e na floresta. Esse processo descreve a redundância integrada da infraestrutura de Política de Grupo.
Para prosseguir, mostramos como instalar a Console de Gerenciamento de Diretivas de Grupo ferramenta:
- Primeiro, clique no botão Iniciar e busque com a palavra-chave ‘ opcional ‘.
- Clique em ‘ Gerenciar recursos opcionais ‘e no botão ‘ + Adicionar um recurso ‘ no topo.
- Role para baixo, marque a opção ‘ Ferramentas de Gerenciamento de Diretivas de Grupo do RSAT’ e clique em Instalar.
A partir deste ponto, a console de Gerenciamento de Diretivas de Grupo está acessível. Para abrir a Console de Gerenciamento de Diretivas de Grupo (GPMC), siga estes passos:
- Usando a caixa de diálogo Executar:
-
- Pressione o Windows + R para abrir a caixa de diálogo Executar.
- Digite gpmc.msc e pressione Enter.
2. Através do Menu Iniciar:
-
- Clique no botão Iniciar.
- Digite “Console de Gerenciamento de Diretiva de Grupo” na barra de pesquisa.
- Clique no resultado relevante que aparecer.
3. Através do Gerenciador de Servidores (Windows Server):
-
- Se usarmos um Windows Server, abrimos o Gerenciador do Servidor.
- Dentro da janela do Gerenciador do Servidor, clique em “Ferramentas” no canto superior direito.
- Selecione “Gerenciamento de Diretiva de Grupo” na lista.
Agora, vemos o console de Gerenciamento de Diretiva de Grupo. Aqui, apresentamos como configuramos a Diretiva de Grupo e como direcionamos entidades lógicas específicas em nossa organização.
Com o Console de Gerenciamento de Diretiva de Grupo, realizamos várias funções seguintes. Por exemplo, alteramos Objetos de Diretiva de Grupo (GPOs) pré-existentes, geramos novos GPOs, ajustamos as configurações de filtragem de GPOs específicos em nível de grupo e utilizamos a Filtragem WMI para localizar computadores específicos. Na próxima seção, começamos criando um novo GPO.
Criando um Novo Objeto de Diretiva de Grupo
Agora, vamos tentar criar um novo Objeto de Diretiva de Grupo:
- Clique com o botão direito em ‘ Computadores Windows do Domínio ‘ e selecione ‘ Criar um GPO no domínio e vinculá-lo aqui… ‘
2. Vamos chamá-lo de ‘ Limpeza do Menu Iniciar ‘ e clique em OK.
3. Edite o GPO: Clique com o botão direito no GPO vinculado e selecione Editar.
4. Navegue até a Configuração da Política:
-
- No Editor de Gerenciamento de Diretiva de Grupo, navegue por estes menus:
- Configuração do Computador -> Políticas -> Configurações do Windows -> Configurações de Segurança -> Políticas Locais -> Atribuição de Direitos do Usuário.
5. Modificar a Configuração da Diretiva:
-
- Procure a diretiva que desejamos, como o exemplo abaixo:
- Clique duas vezes na diretiva, selecione “Definir estas configurações de diretiva,” e escolha “Ativado.”
6. Salvar e Fechar:
-
- Clique em “OK” para aplicar as alterações.
- Feche o Editor de Gerenciamento de Diretiva de Grupo.
Forçar Atualização ou Aguardar a Aplicação da Política de Grupo
Observe que essa configuração está ativa no ambiente; após a próxima atualização, todos os objetos de computador dentro desse OU a verão. A Política de Grupo é processada por PCs e servidores de domínio por padrão a cada 90 minutos com um deslocamento aleatório de 30 minutos. No entanto, o comando gpresult é uma ferramenta valiosa para testes e solução de problemas.
Usando nosso terminal ou shell preferido, usamos o comando gpupdate para obrigar o computador a atualizar a Política de Grupo no sistema. Esse comando lida com todas as modificações da Política de Grupo para o computador e o usuário logado. Sem solicitar permissão, as alterações que podemos impor usando o interruptor ‘/force‘.
Para verificar, observamos que nosso sistema agora oculta os objetos clicando com o botão direito no Iniciar botão e selecionando o Desligar ou Sair menu.
Impedimos os usuários de reiniciar ou desligar suas máquinas por essa modificação relativamente simples. Esse tipo de configuração possui muitas variáveis e aplicações.
Vinculando um Objeto de Diretiva de Grupo
- Vincule o GPO a uma Unidade Organizacional (OU) ou Domínio:
-
- Navegue até a OU ou domínio de destino onde queremos vincular o GPO.
- Clique com o botão direito na OU ou domínio, selecione “Vincular um GPO Existente,” e escolha “Bloqueio de Segurança do Controlador de Domínio.“
2. Confirmar o Vínculo:
-
- A dialog box appears. Confirm our selection by clicking “Yes.”
3. Verifique o Link:
-
- No GPMC, sob a OU ou domínio de destino, confirme que a GPO “Domain Controller Security Lockdown” agora está listada como vinculada.
4. Forçar Atualização ou Aguardar a Aplicação da Política de Grupo:
-
- Force uma atualização da política de grupo nos controladores de domínio usando gpupdate /force no prompt de comando ou aguarde a aplicação da política durante a próxima atualização.
Agora que as GPOs e os controladores de domínio estão conectados. Nossos DCs lidam com as configurações nessa GPO na próxima vez que verificarem modificações nas Políticas de Grupo. Após criar e elaborar uma coleção de configurações uma vez, vincule ou implante rapidamente em um contêiner dentro do nosso ambiente.
Modificar um Objeto de Diretiva de Grupo Existente
Antecipamos encontrar centenas ou milhares de GPOs em um único domínio em empresas maiores. Lidar com unidades organizacionais filhas, GPOs locais e políticas locais, além da complexidade de herdar GPOs específicas e utilizar o WMI para segmentar sistemas operacionais específicos, é intimidante. Além disso, existem penalidades gerais de desempenho quando os PCs são inicializados e os usuários fazem login devido à quantidade de GPOs em nosso domínio.
Escopo do Objeto de Diretiva de Grupo
A raiz do domínio é onde localizamos a maioria de nossas GPOs. Devido a esse procedimento, cada máquina e objeto de servidor dentro do domínio visualiza e usa essa GPO por padrão. Mais uma vez, existem técnicas para excluir pessoas específicas, máquinas, unidades organizacionais e grupos de segurança.
Esse processo nos permite exibir o grupo de Usuários Autenticados na seção de Filtro de Segurança. Esse filtro efetivamente diz: “Todos“: essa GPO é visível para qualquer conta autenticada com o domínio.
Editar o Objeto de Diretiva de Grupo
Agora, vamos tentar editar uma GPO existente:
- Clique com o botão direito no GPO-alvo e selecione ‘Editar’ para iniciar o processo de modificação.
- Navegue pela estrutura lógica, que inclui as árvores de Configuração do Computador e Configuração do Usuário.
- Para localizar e ajustar as configurações do WSUS dentro da Configuração do Computador, expanda -> Políticas -> Modelos Administrativos -> Componentes do Windows -> Atualização do Windows.
- Identifique a configuração específica que desejamos modificar, como ‘ Configurar Atualizações Automáticas.
- Aprofunde-se nas propriedades da configuração escolhida para acessar e analisar as opções de configuração.
- Realize os ajustes necessários para alinhar a GPO com as modificações de política desejadas.
Este processo é uma configuração mais complexa. Essas são as configurações de como atualizamos as atualizações do Windows em meu domínio. Mas o ponto aqui é que gerenciamos todos os nossos computadores (ou um subconjunto) de forma centralizada.
Esse processo ilustra como os Objetos de Diretiva de Grupo (GPOs) impõem restrições nas configurações do computador. Suponhamos que examinemos as opções avançadas sob Atualização do Windows nesta estação de trabalho. Nesse caso, observamos que a configuração inicial, ‘Receber atualizações para outros produtos da Microsoft quando atualizamos o Windows‘, agora é governada pela Política de Grupo.
Tecnicamente, isso indica que aplicamos algumas Políticas de Grupo a este computador, mas não podemos ajustar essas configurações.
Gerenciando os Objetos de Diretiva de Grupo
Ao criar um novo domínio, nosso Windows Server gera duas GPOs como configuração padrão – a saber, a ‘ Política de Domínio Padrão ‘ e a ‘ Política de Controladores de Domínio Padrão. ‘ Essas GPOs, no mínimo, determinam os parâmetros para políticas de senha de domínio, políticas de bloqueio de conta, políticas Kerberos, opções de segurança fundamentais e várias outras configurações de segurança de rede.
Por décadas, há uma prática de que não devemos modificar essas duas políticas – devemos criar novas GPOs em vez disso. Há várias razões para isso, mas a mais fundamental é que, ao solucionar problemas em nosso domínio, devemos saber que não devemos alterar essas configurações padrão.
Desativar um Objeto de Diretiva de Grupo
Para desativar uma GPO e bloquear seus conjuntos de regras de configuração de afetar computadores futuros, clique com o botão direito na GPO e selecione Desativar Ligação. Esta ação desanexará a ligação e a GPO passará para inativa ou inativa.
Excluir um Objeto de Política de Grupo
Durante as tarefas de limpeza e resolução de problemas, a exclusão de uma GPO é feita clicando com o botão direito dela e selecionando Excluir. Para uma abordagem abrangente e simplificada, navegue até a visão de Objetos de Política de Grupo no árvore e inicie o processo de exclusão.
Obrigado por ler Como Criar e Vincular uma GPO em Active Directory (Passo a Passo). Vamos concluir o artigo.
Como Criar e Vincular uma GPO em Active Directory Conclusão
Na conclusão, dominar a criação e o vínculo de Objetos de Política de Grupo (GPOs) em Active Directory é uma habilidade essencial para os administradores que navegam no complexo campo da gerenciamento de rede. Este guia passo a passo equipou-nos com o conhecimento e a confiança necessários para implementar GPOs sem problemas, oferecendo uma abordagem prática que desmystifica o processo. Enquanto iniciamos nossa jornada na administração de Active Directory, a habilidade de aproveitar GPOs eficazmente não só optimiza as configurações de sistema mas também nos empodere para manter um ambiente de computação seguro em toda a rede.
Source:
https://infrasos.com/how-to-create-and-link-a-gpo-in-active-directory/