o Group Policy Object (GPO) da Microsoft é uma coleção de configurações de Diretiva de grupo que define como será um sistema e como ele se comportará para um grupo definido de usuários.
a Microsoft fornece um snap-in de programa que permite usar o console de gerenciamento de Diretiva de grupo (GPMC). As seleções resultam em um objeto de Diretiva de grupo. O GPO está associado a contêineres do Active Directory selecionados, como sites, domínios ou unidades organizacionais (OU). O GPMC permite criar um GPO que define políticas baseadas em registro, opções de segurança, opções de instalação e manutenção de software, opções de scripts e opções de redirecionamento de pastas.
tipos de GPOs
existem três tipos de GPOs: local, não local e inicial.
- Objetos De Política De Grupo Local. Um objeto de Diretiva de grupo local se refere à coleção de configurações de diretiva de grupo que se aplicam apenas ao computador local e aos usuários que fazem logon nesse computador. Os GPOs locais são usados quando as configurações de política precisam ser aplicadas a um único computador ou usuário do Windows. Os GPOs locais existem por padrão em todos os computadores Windows.
- objetos de Política de grupo não locais. Um objetivo de política de grupo não local é usado quando as configurações de política devem ser aplicadas a um ou mais computadores ou usuários do Windows. Os GPOs não locais se aplicam a computadores ou usuários do Windows quando estão vinculados a objetos do Active Directory, como sites, domínios ou unidades organizacionais.
- Objetos Da Política De Grupo Do Acionador De Partida. Introduzido no Windows Server 2008, os GPOs iniciais são modelos para configurações de Diretiva de grupo. Esses objetos permitem que um administrador crie e tenha um grupo pré-configurado de configurações que representam uma linha de base para qualquer política futura a ser criada.
segurança de dados e objeto de Política de grupo
existem algumas configurações de Política de grupo que podem ajudar a proteger a rede de uma empresa. Por exemplo, por meio da Política de grupo, uma organização pode executar scripts, impedir que os Usuários acessem determinados recursos e executar tarefas simples, como forçar uma página inicial específica a abrir para cada usuário da rede.
algumas dessas medidas de segurança incluem:
- limitando o acesso ao Painel de controle-através do Painel de controle, uma empresa pode controlar todos os aspectos de um computador. Limitar quem tem acesso a um computador permite que as organizações mantenham os dados e outros recursos seguros.
- desabilitando Prompt de comando – uma empresa pode usar comandos de comando para executar comandos que dão acesso de alto nível aos usuários e ignorar outras restrições do sistema. É por isso que é prudente desativar o Prompt de comando para garantir a segurança dos recursos do sistema. Se um usuário tentar abrir uma janela de comando após o Prompt de comando ter sido desativado, o sistema exibirá uma mensagem indicando que algumas configurações estão impedindo isso.Evite instalações de software-se os usuários tiverem permissão para instalar software, eles podem instalar aplicativos indesejados ou malware que podem comprometer o sistema de uma empresa. Como tal, é melhor evitar instalações de software por meio da Política de grupo.
Benefícios de Objetos de Diretiva de Grupo
Existem vários benefícios para a implementação de GPOs, além de segurança, incluindo:
- gestão Mais eficiente — GPOs já no lugar de aplicar um ambiente padronizado para todos os novos usuários e computadores aderir a um domínio da organização, fim do horário de verão no programa de instalação.
- facilidade de administração-os administradores do sistema podem implantar software, patches e outras atualizações via GPO.
- melhor aplicação da Política de Senhas – os GPOs determinam o comprimento da senha, reutilizam regras e estabelecem outros requisitos para que as senhas mantenham a rede de uma empresa segura.
- configurando o redirecionamento de pastas – os GPOs permitem que as empresas garantam que os usuários mantenham arquivos importantes da empresa em um sistema de armazenamento centralizado e monitorado. Por exemplo, uma organização pode redirecionar a pasta Documentos de um usuário, que geralmente é armazenada em uma unidade local, para um local de rede.
limitações dos GPOs
as limitações dos objetos de Política de grupo incluem:
- eles executam sequencialmente-as ações do processo GPOs uma após a outra. Consequentemente, se muitos GPOs tiverem que ser configurados, pode levar muito tempo para que os usuários façam logon.
- a flexibilidade é limitada – os GPOs só podem ser aplicados a usuários ou computadores. Portanto, eles são limitados quando se trata de aplicar configurações com base no contexto.Gatilhos limitados-GPOs só podem ser aplicados na inicialização do computador, quando um usuário faz logon ou em intervalos definidos. Os GPOs não podem reagir a mudanças no ambiente, como desconectar ou reconectar a rede.
- difícil de manter-não há opção de pesquisa ou filtro integrada para encontrar uma configuração específica dentro de um GPO, dificultando a localização ou correção de problemas com as configurações existentes.
- nenhum controle de Versão-as alterações feitas nas configurações do GPO não são auditadas. Portanto, se uma mudança incorreta for feita, é impossível dizer qual foi a mudança ou quem a fez.
ordem de processamento de GPOs
a ordem de processamento das políticas de grupo afeta quais configurações são aplicadas ao computador ou ao usuário final. Esta ordem de processamento é conhecida como LSDOU: local, Local, domínio, unidade de organização. Primeiro, a Política de computador local é processada, seguida por políticas do Active Directory do nível do site para o domínio, depois para a UO (os GPOs em unidades organizacionais aninhadas se aplicam da UO mais próxima da raiz primeiro e continuam a partir daí). Se houver algum conflito, a última política aplicada entrará em vigor.
Exemplos de GPOs
A seguir, são exemplos de Objetos de Diretiva de Grupo:
- UM GPO pode especificar a página inicial é a primeira a ser exibida quando um usuário inicia o Internet Explorer. Quando o usuário faz logon no domínio, esse objeto de diretiva de grupo é recuperado e aplicado à configuração do Internet Explorer do Usuário.
- uma organização pode implantar conexões de impressora de rede compartilhada para usuários de uma UO específica do Active Directory usando a Diretiva de grupo. Portanto, quando um usuário faz login no Windows, uma impressora de rede atribuída aparecerá automaticamente na lista de impressoras disponíveis.
- os administradores podem usar uma política de grupo para ajustar as configurações, como desligar monitores de computador são um determinado período de tempo, escolher programas padrão e impedir que os usuários alterem as opções de conexão com a Internet.
melhores práticas
algumas práticas recomendadas para GPOs incluem:
- crie uma estrutura de unidade organizacional bem projetada no Active Directory para simplificar a aplicação e a solução de problemas da Política de grupo.
- forneça nomes descritivos do GPOs para permitir que os administradores identifiquem rapidamente o que cada GPO faz.
- Adicione comentários a cada GPO explicando por que ele foi criado, Qual é o seu propósito e quais são suas configurações.
- não defina GPOs no nível do domínio porque eles serão aplicados a todos os objetos do computador e do Usuário. Isso pode fazer com que algumas configurações sejam aplicadas a alguns objetos desnecessariamente.
- não use os computadores raiz ou pastas de usuário no Active Directory porque eles não são unidades organizacionais e não podem ter GPOs vinculados a eles. Quando um novo usuário ou objeto de computador aparece nessas pastas, ele deve ser imediatamente para a UO apropriada.
- não desative um GPO. Em vez disso, exclua o link de uma OU em vez de desativar o GPO se você não quiser que ele seja aplicado. Desativar o GPO impedirá que ele seja aplicado inteiramente no domínio. Isso pode ser um problema porque, se essa Política de grupo específica for usada em outra UO, ela não funcionará mais lá.