Implementando e Gerenciando Diretivas de João Medeiros (joao.fatern@gmail.com) 1 / 37
Introdução a diretivas de grupo - GPO Introdução a diretivas de grupo - GPO Introdução a diretivas de grupo Criando uma GPO Políticas Locais e Objetos de Política de Criando uma GPO com o GPMC Editando uma GPO Ordem de aplicação da diretiva de grupo Editando uma GPO com o GPMC Diretivas de grupo centralizam o gerenciamento de configurações de usuários e computadores através da rede Um Objeto de Diretiva de é um objeto do Active Directory usado para configurar as diretivas dos objetos usuário e computadores 2 / 37
Introdução a diretivas de grupo Introdução a diretivas de grupo - GPO Introdução a diretivas de grupo Criando uma GPO Políticas Locais e Objetos de Política de Criando uma GPO com o GPMC Editando uma GPO Ordem de aplicação da diretiva de grupo Editando uma GPO com o GPMC GPOs padrão podem ser modificadas GPOs podem ser criadas e associadas a sites, domínios, OUs As diretivas são propagadas para todos usuários e computadores incluindo as UOs. As GPOs somente podem ser aplicadas em computadores com o Windows Server 2003, Windows 2000 e Windows XP. 3 / 37
Criando uma GPO Introdução a diretivas de grupo - GPO Temos duas maneiras Introdução a diretivas de grupo Criando uma GPO Políticas Locais e Objetos de Política de Criando uma GPO com o GPMC Através do Gerenciador de Diretivas de s (Group Policy Management Console) Através do Active Directory Users and Computers Editando uma GPO Ordem de aplicação da diretiva de grupo Editando uma GPO com o GPMC 4 / 37
Políticas Locais e Objetos de Política de Introdução a diretivas de grupo - GPO Objetos de política de grupos Introdução a diretivas de grupo Criando uma GPO Políticas Locais e Objetos de Política de Criando uma GPO com o GPMC Editando uma GPO Ordem de aplicação da diretiva de grupo Editando uma GPO com o GPMC Usuários de Computadores de Active Directory Serviços e Sites do Active Directory gpedit.msc - foca automaticamente a máquina local para uma máquina remota: gpedit /gpcomputer: nomemaquina 5 / 37
Clique com o botão direito do mouse na UO Venda em Usuários de Computadores de Active Directory Selecione Propriedade e vá na aba Diretiva de Herança de diretiva de bloco : Evita que quaisquer definições de política de um nível superior desçam até esse nível. Clicando em opções: 6 / 37
Não substituir: Outras políticas aplicadas em todos os níveis não podem se sobrepor às configurações desta política, mesmo com a opção Herança de diretiva de bloco ativada. 7 / 37
Clique em Novo e crie uma nova política chamada GPOVendas Em seguida, clique com o botão direito em cima da nova GPO e vá em Propriedades A aba vínculos pode ser usada para indicar quais sites, domínios ou UOs a PGO será aplicada. 8 / 37
Segurança Domain Admins e Enterprise Admins têm permissões de Leitura, Gravação, Criação e Exclusão. Usuário autenticados têm apenas Leitura e Aplicação As permissões Leitura e Escrita são necessárias para alterar uma política Leitura e aplicação são necessárias para ser um destinatário da política 9 / 37
Filtro WMI Nova funcionalidade do WS2003, permite que se escolha quais computadores receberão a política baseados em um filtro 10 / 37
Prioridade Quando várias GPOs estão vinculados a um container, elas serão aplicadas de baixo para cima. Aquela que está no topo será a última a ser aplicada. Se existirem políticas conflitantes, a mais alta será a vencedora. 11 / 37
Vinculando Selecione a política e clique em Adicionar 12 / 37
Criando uma GPO com o GPMC Introdução a diretivas de grupo - GPO Introdução a diretivas de grupo Faça o download e instalação do Group Policy Management Console Crie uma nova GPO Criando uma GPO Políticas Locais e Objetos de Política de Criando uma GPO com o GPMC Veja o filme de demonstração Editando uma GPO Ordem de aplicação da diretiva de grupo Editando uma GPO com o GPMC 13 / 37
Editando uma GPO Categorias de configurações disponíveis para as GPOs Categoria Descrição Software Windows Settings Administrative Templates Settings Centraliza o gerenciamento de instalação de softwares e manutenção; a instalação, atualização e remoção de aplicações podem ser controladas de maneira centralizada. Gerencia a execução de scripts; configurações de segurança, do Internet Explorer e funcionalidades tais como instalação remota de serviços e redirecionamento de pastas. Configura os itens referentes aos registros para configurações de aplicações e desktops de usuários, incluindo acesso aos componentes do sistema operacional, acesso ao painel de controle. 14 / 37
Ordem de aplicação da diretiva de grupo Introdução a diretivas de grupo - GPO Introdução a diretivas de grupo Criando uma GPO Políticas Locais e Objetos de Política de Criando uma GPO com o GPMC Editando uma GPO Ordem de aplicação da diretiva de grupo Editando uma GPO com o GPMC As diretivas são aplicadas na seguinte ordem diretivas locais sites domínios unidades organizacionais UOs dentro de outras UOs Se a diretiva de domínio disser Você deve estar conectado antes de desligar a máquina e a diretiva da UO disser Permita o desligamento antes da conexão, a diretiva da UO será a utilizada. 15 / 37
Editando uma GPO com o GPMC Clique com o botão direito em cima da política e clique em Edit 16 / 37
Editando uma GPO Configurações do computador - são aplicadas às máquinas na inicialização e em intervalos regulares. Configurações do usuário - são aplicadas aos ambientes de trabalho dos usuários no momento da conexão e em intervalos de atualização determinados 17 / 37
Editando uma GPO As políticas não são todas configuradas de maneira uniforme, ao menos no que diz respeito às interfaces. Veja alguns exemplos: Pacotes de softwares - Vá em Configurações de Software/Instalação de software, clique com o botão direito e escolha Novo/Pacote 18 / 37
Editando uma GPO - exemplos Intervalo para troca de senhas 19 / 37
Editando uma GPO - Restrição as associações de s Vá em Configuração do computador / Configurações do Windows / s Restritos Clique com o botão direito na área branca a direita e adicione um grupo Dê um duplo clique no grupo para abrir uma janela e fornecer os nos dos usuários que deverão estar ou ter permissão para estar no grupo 20 / 37
Editando uma GPO - Redirecionamento de pastas Vá em Configuração do usuário / Configurações do Windows / Redirecionamento de pastas Escolha o item a ser redirecionado Clique com o botão direito do mouse no espaço em branco a direita e selecione Propriedades A página de propriedades aparecerá, especifique um local para o item a ser redirecionado 21 / 37
Filtrando a política de grupo com as ACLs Domain Admins e Entreprise Admins têm permissões de Leitura e Escrita nas GPOs Usuários autenticados têm as permissões de Leitura a Aplicação das políticas O grupos de usuários autenticados incluem todos no domínio Para evitar que Domain Admins e Entreprise Admins recebam uma política. devemos marcar a opção Negar Não basta não marcar a opção de aplicar a política 22 / 37
Delegando a adminsitração da política de grupo Crie um grupo chamado Administradores de GPOs Abra o dsa.msc Clique com o botão direito sobre a UO a ser delegada Inclua o grupo criado acima Marque as opções referentes as GPOs 23 / 37
Resumo Para criar uma GPO, você deverá ser membro do grupo de Administradores ou de Administradores de GPOs Para editar uma GPO, um usário deverá: ter privilégios de administrador totais ser um proprietário criador do GPO ter as permissões de leitura e escrita na ACL da GPO 24 / 37
Definições de configuração de Usuário e Computador Tela de configuração de uma PGO: Configuração do computador Configuração do usuário Se um valor nas definições do computador também for especificado nas definições do usuário, as definições do usuário prevalecerão popr padrão Tanto uma quanto outra podem ser usadas para publicar, atribuir, atualizar e, atém mesmo, remover aplicações da área de trabalho de um usuário 25 / 37
Especifique Scripts com a Política de Scripts de conexão e desconexão Scripts executados na inicializaçãoe e desligamento do sistema (Configurações do Windows) Dê um duplo clique no tipo de script, acrescente os scripts à lista usando o botão Adicionar Os scripts ficam localizados em diretórios específicos, clique em mostrar arquivos para abrir o Windows Explorer no respectivo diretório. 26 / 37
Configurações de Segurança Configurações de segurança e modelos administrativos - grande parte da GPO. Senhas com 8 caracteres ou mais, contendo tanto letras quanto números, etc... criam problemas para os usuários Segurança é inversamente proporcional à conveniência Configurações de segurança podem ser encontradas em Configuração do computador / Configurações do Windows / Configurações de segurança Diretivas de contas - Especifica restrições de senha, políticas de bloqueamento e política Kerberos. Diretivas Locais - Configura a auditoria a tribui direitos de usuários e configurações de segurança mistas. Log de eventos - Centraliza as opções de configuração para o log de eventos s restritos - Obriga e controla as associações de grupos para determinados grupos. Serviços do sistema - Padroniza as configurações de serviços e protege contra alterações. Registro - Cria modelos de segurança para as permissões e chave de registro para controlar quem pode alterar quais chaves e para controlar o acesso de leitura para partes do registro. Sistemas de arquivos - Cria modelos para permissões em arquivos e pastas. Diretivas de chaves públicas - Gerencia configurações corporativas usando uma infraestrutura de chave pública. Diretivas de restrições de softwares - Coloca as restrições de qual software será executado em um sistema. 27 / 37
Importando os modelos de segurança Normalmente as políticas locais ficam em /Windows/Security/Templates Para importar um modelo, edite uma GPO e vá em Configurações do Computador / Configurações do Windows / Configurações de segurança Clique com o botão direito em Configurações de segurança e escolha Importar diretiva A política de grupo abre automaticamente a pasta /Windows/Security/Templates 28 / 37
Modelos Administrativos Especificam as entradas de Registro para ajustar os vários aspectos de um ambiente As alterações de usuários nos modelos administrativos ficam armazenadas em HKEY CURRENT USER / Software / Policies Dê um clique em Modelos administrativos e escolha Adicionar ou remover modelos Os modelos mais importantes são: system - expõe as configurações de sistema inetres - contém as configurações do Internet Explorer 29 / 37
Modelos Administrativos A maior parte das definições inclue uma descrição detalhada 30 / 37
Modelos Administrativos - Exemplos Restringindo o Internet Explorer Configuração do Computador / Modelos Administrativos / Componentes do Windows / IE Evitando que usuários instalem ou executem softwares não autorizados Configuração do usuário / Modelos Administrativos / Componentes do Windowsimpedir origem da mídia... Configure servidores de tempo e clientes usando os modelos administrativos Configuração do Computador / Modelos Administrativos / Sistema / Serviço de tempo do Windows Definir a política de senha e bloqueamento de conta Devem sempre ser definidas no nível de domínio, se forem definidas em UOs serã ignoradas Configurações do computador / Configurações do Windows / Configurações de Segurança / Diretivas de conta 31 / 37
Gerenciando as Políticas de Configuração do computador / Modelos Administrativos / Sistema / Diretiva de Configuração do usuário / Modelos Administrativos / Sistema / Diretiva de 32 / 37
Usando o GPMC para gerenciar e analisar GPOs Backup e restauração de GPOs. Importação/Exportação e cópia/colagem de GPOs e filtros WMI. Relatório em HTML Informações de RSOP 33 / 37
Usando o GPMC para analisar as GPOs Verificando o escopo 34 / 37
Usando o GPMC para analisar as GPOs Verificando os detalhes 35 / 37
Usando o GPMC para analisar as GPOs Relatório de alterações em relação ao default 36 / 37
Usando o GPMC para analisar as GPOs Delegações 37 / 37