Group Policy Management

Group Policy é uma tecnologia de gerenciamento do Active Directory para Windows que fornece um gerenciamento centralizado das configurações de configuração. Embora não seja a única solução de gerenciamento disponível – PowerShell Desired State Configuration (DSC) e Mobile Device Management (MDM) também pode ser usada – Group Policy é a tecnologia recomendada para dispositivos clientes com domínio conjunto porque fornece um controle mais granular do que outras soluções.

Group Policy Management Console

Group Policy settings are configured in Group Policy objects (GPOs). Você pode vincular GPOs a domínios, sites e unidades organizacionais (OUs). Para ainda mais controle, as GPOs podem ser aplicadas de acordo com os resultados dos filtros WMI (Windows Management Instrumentation), embora os filtros WMI devam ser usados com parcimônia porque eles podem aumentar significativamente o tempo de processamento da política.

O Group Policy Management Console (GPMC) é uma ferramenta de administração do Windows integrada que permite aos administradores gerenciar a Política de Grupo em uma floresta do Active Directory e obter dados para a solução de problemas da Política de Grupo. Você pode encontrar o Console de Gerenciamento de Política de Grupo no menu Ferramentas do Microsoft Windows Server Manager. Não é uma prática recomendada usar controladores de domínio para tarefas diárias de gerenciamento, portanto, você deve instalar as Ferramentas de Administração do Servidor Remoto (RSAT) para sua versão do Windows.

Instalando o Console de Gerenciamento de Políticas de Grupo

Se você estiver usando o Windows 10 versão 1809 ou posterior, você pode instalar o GPMC usando o aplicativo Configurações:

1. Abra o aplicativo Configurações pressionando WIN+I.
2. Clique em Aplicativos em Configurações do Windows.
3. Clique em Gerenciar recursos opcionais.
4. Clique + Adicionar um recurso.
5. Clique em RSAT: Group Policy Management Tools e depois clique em Install.

Figure 1. Instalando o Console de Gerenciamento de Políticas de Grupo usando a interface do aplicativo de configuração

Se você estiver usando uma versão antiga do Windows, você precisará baixar a versão correta do RSAT do site da Microsoft.

Para conveniência, você pode querer instalar também o Server Manager. Mas se optar por não o fazer, pode adicionar o GPMC a uma Consola de Gestão Microsoft (MMC) e guardar a consola.

Usando o Console de Gerenciamento de Políticas de Grupo

Cada domínio AD tem duas GPOs padrão:

• Política de Domínio Padrão, que está ligada ao domínio
• Política de Controladores de Domínio Padrão, que está ligada à OU do controlador de domínio

Pode ver todas as GPOs em um domínio clicando no container Objetos de Política de Grupo no painel esquerdo do GPMC.

Figure 2. Interface do Group Policy Management Console

Criar um novo objeto de política de grupo

Não altere nem a Default Domain Controllers Policy nem a Default Domain Policy. A melhor maneira de adicionar suas próprias configurações é criar uma nova GPO. Há duas maneiras de criar uma nova GPO:

• Clique direito no domínio, site ou OU ao qual você deseja vincular a nova GPO e selecione Criar uma GPO neste domínio, e Vincule-a aqui… Quando você salvar a nova GPO, ela será vinculada e ativada imediatamente.
• Clique direito no container Objetos de política de grupo e selecione Novo no menu. Você precisará vincular manualmente a nova GPO clicando com o botão direito do mouse em um domínio, site ou OU e selecionando Vincular uma GPO Existente. Você pode fazer isso a qualquer momento.

Independentemente de como você cria uma nova GPO, na caixa de diálogo Nova GPO você deve dar um nome à GPO, e você pode escolher baseá-la em uma GPO existente. Consulte a próxima seção para obter informações sobre as outras opções.

Editar um objeto de política de grupo

Para editar uma GPO, clique com o botão direito do mouse sobre ela no GPMC e selecione Editar no menu. O Active Directory Group Policy Management Editor será aberto em uma janela separada.

Figure 3. Interface do Group Policy Management Editor

GPOs estão divididos em configurações do computador e do usuário. As configurações do computador são aplicadas quando o Windows inicia, e as configurações do usuário são aplicadas quando um usuário faz o login. O processamento em segundo plano da Política de grupo aplica as configurações periodicamente se uma alteração for detectada em uma GPO.

Políticas vs Preferências

As configurações do usuário e do computador são divididas em Políticas e Preferências:

• As políticas não tatuam o registro – quando uma configuração em uma GPO é alterada ou a GPO cai fora do escopo, a configuração da política é removida e o valor original é usado em seu lugar. As configurações da política sempre substituem as configurações de um aplicativo e ficarão em cinza para que os usuários não possam modificá-las.
• Preferências tatuar o registro por padrão, mas este comportamento é configurável para cada configuração de preferência. As preferências sobrescrevem as configurações de um aplicativo, mas sempre permitem que os usuários alterem os itens de configuração. Muitos dos itens configuráveis nas Preferências de Políticas de Grupo são aqueles que podem ter sido previamente configurados usando um script de login, como mapeamentos de drives e configuração de impressoras.

Você pode expandir as Políticas ou Preferências para configurar suas configurações. Essas configurações serão então aplicadas aos objetos do computador e do usuário que se enquadram no escopo da GPO. Por exemplo, se você vincular sua nova GPO à OU do controlador de domínio, as configurações serão aplicadas a objetos de computador e de usuário localizados nessa OU e em qualquer OU infantil. Você pode usar a configuração de herança de bloco em um site, domínio ou OU para impedir que as GPOs que estão vinculadas a objetos pai sejam aplicadas a objetos filhos. Você também pode definir o flag Enforced em GPOs individuais, que substitui a configuração Block Inheritance e quaisquer itens de configuração em GPOs que tenham maior precedência.

GPO Precedence

Multiple GPOs podem ser ligados a domínios, sites e OUs. Quando você clicar em um desses objetos no GPMC, uma lista de GPOs ligados aparecerá à direita na guia Linked Group Policy Objects (Objetos de política de grupo ligados). Se houver mais de uma GPO vinculada, as GPOs com um número de ordem de link maior terão prioridade sobre as configurações configuradas em GPOs com um número menor.

Você pode alterar o número de ordem do link clicando em uma GPO e usando as setas à esquerda para movê-la para cima ou para baixo. A guia Herança de política de grupo mostrará todas as GPOs aplicadas, incluindo aquelas herdadas dos objetos pai.

Figure 4. Informações sobre todas as GPOs aplicadas em GPMC

Advanced Group Policy Management

Advanced Group Policy Management (AGPM) está disponível como parte do Microsoft Desktop Optimization Pack (MDOP) para clientes de Software Assurance. Ao contrário do GPMC, o AGPM é uma aplicação cliente/servidor onde o componente servidor armazena GPOs offline, incluindo um histórico para cada GPO. GPOs gerenciados pelo AGPM são chamados de GPOs controlados porque eles são gerenciados pelo serviço AGPM e os administradores podem verificá-los dentro e fora, assim como você pode verificar arquivos ou códigos dentro e fora do GitHub ou um sistema de gerenciamento de documentos.

AGPM fornece maior controle sobre os GPOs do que é possível com o GPMC. Além de fornecer controle de versão, ele permite que você atribua funções como Revisor, Editor e Aprovador aos administradores da Política de Grupo, o que ajuda você a implementar um controle rígido de mudanças durante todo o ciclo de vida da GPO. A auditoria AGPM também dá uma maior visão das mudanças de Políticas de Grupo.

consultor de TI e especialista em tecnologias de gerenciamento e segurança. Russell tem mais de 15 anos de experiência em TI, escreveu um livro sobre segurança do Windows e foi co-autor de um texto para a série de cursos acadêmicos oficiais da Microsoft (MOAC).