Como usar o Editor de Política de Grupo Local do Windows

Este guia tem como objetivo ajudá-lo a entender como navegar e usar o Editor de Diretiva de Grupo Local do Windows (LGPE) para aprimorar a segurança, o desempenho e a usabilidade do ambiente de trabalho do Windows.

O que é o Editor de Diretiva de Grupo Local?

O Editor de Diretiva de Grupo Local do Windows é um snap-in do Console de Gerenciamento Microsoft (MMC) que permite gerenciar e alterar Objetos de Diretiva de Grupo (GPO) no computador local. As alterações de política refletem mudanças em chaves específicas no Registro do Windows.

Em empresas de médio e grande porte, as configurações da Diretiva de Grupo são gerenciadas por meio de controladores de domínio do Active Directory e são distribuídas para os pontos finais. O LGPE oferece aos usuários avançados e profissionais de TI uma opção de solução de problemas para determinar por que determinadas configurações não estão funcionando conforme o esperado. Além disso, para computadores que não são gerenciados centralmente pelo Active Directory (AD), o LGPE permite que os profissionais de TI façam alterações de configuração nos PCs com Windows.

Como acessar o Editor de Diretiva de Grupo Local

Há vários métodos para abrir o LGPE. O único requisito é que ele não esteja instalado ou suportado na edição Home do Windows 10/11.

Aqui estão os métodos mais comuns para iniciar a ferramenta.

• Em seu teclado, clique no botão Iniciar e na tecla ‘R‘ para abrir a caixa de diálogo ‘Executar’. Digite ‘gpedit.msc‘ e pressione Enter.
  • Você também pode abrir a caixa de pesquisa e digitar ‘gpedit.msc‘.

• Clique no botão Menu Iniciar no Windows, digite ‘local group‘ e selecione ‘Editar política de grupo—Painel de Controle‘ no Menu Iniciar.

• PowerShell – Execute este comando no Terminal do Windows para abrir – ‘Start-Process gpedit.msc‘.
  • Você também pode abrir um prompt de comando e executar gpedit.msc.

• Ferramentas Administrativas – Clique no botão Iniciar, Clique em ‘Todos >‘ no canto superior direito, role para baixo até Ferramentas do Windows, abra e, em seguida, dê um duplo clique em ‘Gerenciamento de Política de Grupo.’
  • Nota Especial – Se você estiver logado em um computador que possui as ferramentas de Administração do Servidor Remoto do Active Directory (RSAT) instaladas, isso abrirá a ferramenta central ‘Gerenciamento de Política de Grupo‘ que gerencia as GPOs em sua empresa, NÃO as políticas locais.

Navegando na interface do usuário do LGPE

O LGPE é dividido em dois painéis:

1. À esquerda estão as duas principais árvores de configuração (Configuração do Computador e Configuração do Usuário).
2. À direita, todas as políticas são exibidas. À medida que você explora uma das árvores, descobrirá todas as várias políticas que podem ser modificadas.

Configuração do computador

A Configuração do Computador contém todas as configurações de políticas que afetam o objeto do computador, independentemente de um usuário estar logado ou não. Alterar essas configurações afetará, por padrão, todos os usuários que fizerem login neste computador. Normalmente, quando o computador inicia e carrega o Windows, essas políticas serão aplicadas.

Configuração do usuário

Na seção de Configuração do Usuário, você encontrará configurações que afetam especificamente os usuários. Essas configurações geralmente são executadas quando um usuário faz login no computador. Se você quiser que um script de logon seja executado quando um usuário fizer login, é aqui que você configurará as alterações de política.

Navegando e modificando configurações de políticas

À medida que você explora todas as várias seções de políticas, eventualmente verá Configurações. Estas são as políticas individuais que você pode visualizar e editar.

Ao clicar em uma das configurações, e o modo de visualização estiver definido como ‘Estendida‘ na parte inferior da janela, você verá os Requisitos e a Descrição da configuração à esquerda.

Acima, cliquei em ‘Remover Propriedades do menu de contexto da Lixeira.’ Os Requisitos mostram que esta configuração só afetará o Windows Server 2003 e o Windows XP ou versões mais novas. Portanto, qualquer versão suportada do cliente e servidor Windows hoje. 🙂 A Descrição mostra o básico do que a configuração afetará.

Como editar políticas usando o Editor de Política de Grupo Local

Para fazer alterações em uma configuração, você pode clicar no link ‘Editar configuração de política‘ no painel Estendido que acabei de mencionar. No entanto, provavelmente é mais fácil apenas clicar duas vezes no nome da configuração.

Todas as informações que você precisa saber para fazer uma alteração informada estão aqui. Para a maioria das configurações, você escolhe ‘Não Configurado‘, ‘Ativado‘ ou ‘Desativado.’ Neste exemplo, se eu clicar em Ativado e clicar em OK, essa alteração ocorrerá imediatamente. Deixe-me mostrar a você.

Como eu não fiz logoff e logon novamente, o link Propriedades ainda estava visível, mas como você pode ver, ele está indisponível.

Entendendo a política de grupo local vs domínio

Acima, mencionei que há diferença entre usar o Editor de Política de Grupo Local para modificar a configuração do computador local e usar o Gerenciamento de Política de Grupo para gerenciar seus Objetos de Política de Grupo (GPOs) empresariais.

Você usará o mesmo tipo de ferramenta para ambos, mas a forma como as políticas são exibidas é diferente. A ferramenta de Gerenciamento de Política de Grupo mostrará sua floresta de AD e domínios e listará toda a estrutura da unidade organizacional do domínio – é assim que elas são aplicadas.

Modelos administrativos de Política de Grupo

Os arquivos de modelo administrativo (arquivos ADML e ADMX) determinam as configurações e políticas exibidas. Os modelos administrativos são lançados e atualizados periodicamente pela Microsoft quando novos recursos são lançados e novas versões do Windows (Atualizações de Recursos) estão geralmente disponíveis.

Os arquivos ADMX armazenam as definições de configuração, e os arquivos ADML ‘en-US’ (ou outros idiomas) contêm as descrições específicas das políticas de idioma. Os modelos administrativos podem ser baixados da Microsoft em várias localizações.

Políticas de segurança comuns

Algumas configurações de segurança úteis e rotineiras podem ser rapidamente definidas usando esta ferramenta. Aqui estão alguns exemplos:

• Políticas de Senha – Navegue até Configuração do Computador -> Configurações do Windows -> Configurações de Segurança -> Políticas de Conta -> Política de Senha.
  • Você encontrará configurações como Idade máxima da senha, Comprimento mínimo da senha e A senha deve atender aos requisitos de complexidade.
• Política de Bloqueio de Conta – Navegue até o mesmo local – você encontrará ‘Política de Bloqueio de Conta’ logo abaixo da pasta Política de Senha.
  • Aqui é onde você encontrará a Duração do bloqueio da conta, o Limite de bloqueio da conta e quanto tempo para Redefinir o contador de bloqueio da conta depois.
• Políticas Locais – Logo abaixo da última pasta, você encontrará Políticas Locais. Abaixo disso, você pode clicar em Atribuição de Direitos do Usuário.
  • Muitas configurações de segurança são encontradas aqui – Permitir logon localmente, Negar logon como um serviço e Adicionar estações de trabalho ao domínio.

Exportando e importando configurações do LGPO

Um pouco escondido no Microsoft Security Compliance Toolkit 1.0, o Utilitário LGPO permite que você exporte suas configurações do Editor de Política de Grupo Local e as importe em outra máquina.

• Baixe o LGPO Utility e execute este comando a partir de uma janela administrativa no Windows Terminal para exportar sua configuração local.

LGPO.exe /b c:\Path\To\Backup\To

Você pode então executar este comando em uma nova máquina para importar a configuração anterior.

LGPO.exe /g c:\Your\New\Path

Obrigado por ler meu post sobre o uso do Editor de Política de Grupo Local. Por favor, deixe um comentário ou pergunta abaixo.