Quem trabalha ou já trabalhou com a administração de redes sabe o quanto é complicado gerenciar estações de trabalho. Imagine uma empresa que possua 5000 estações de trabalho:
- Como é que você vai gerenciar essas 5000 estações de trabalho?
- Como garantir que todas as estações de trabalho possuem as mesmas configurações?
- Como definir que somente usuários autorizados poderão realizar tarefas administrativas nas estações de trabalho?
- Como aplicar configurações de segurança em todas as estações de trabalho?
- Como instalar e remover o mesmo software nas 5000 estações de trabalho?
- E assim por diante...
A primeira tentativa da Microsoft em atender essa necessidade chamava-se Police Editor, lançado juntamente com o Windows NT. Esse recurso permitia que os administradores aplicassem uma série de configurações nas estações de trabalho, logo após os usuários efetuarem o logon no domínio. Essas configurações eram aplicadas no registro das estações de trabalho. Porém, era um recurso bem simples e possuía muitas limitações.
Já com o surgimento do Windows 2000, a coisa mudou completamente. No Windows 2000 foi introduzido o recurso de GPO, ou Diretiva de Grupo. Esse sim foi o recurso que atendeu a todas as necessidades de mercado citadas anteriormente.
As Diretivas de Grupo são compostas por vários componentes do ambiente de área de trabalho do usuário que o administrador do sistema pode gerenciar, como por exemplo, os programas que estarão disponíveis para usuários, os programas que aparecerão na área de trabalho dos usuários, os atalhos do menu Iniciar, e assim por diante. Para criar uma configuração de área de trabalho específica referente a um grupo específico de usuários, devemos utilizar o Editor de Objeto de Diretiva de Grupo.
Funciona basicamente assim: uma Diretiva de Grupo é composta por uma série de configurações. Essa Diretiva pode estar associada com uma série de objetos do Active Directory, como por exemplo, sites, domínio ou unidades organizacionais.
As Diretivas de Grupo podem ser aplicadas tanto para usuários quanto para computadores clientes, servidores membros, controladores de domínio. Por padrão, temos uma GPO padrão do domínio, a qual é aplicada para todos os computadores e usuários do domínio.
No Active Directory existe também uma unidade organizacional específica para os controladores de domínio. Nessa unidade organizacional também existe, por padrão, uma GPO que é utilizada para gerenciamento dos controladores do domínio.
Os nomes das GPOs citadas acima são:
- Default Domain Policy.
- Default Domain Controllers Policy.
Nota: Se você mover um controlador de domínio para fora da unidade organizacional de controladores de domínio, a diretiva de controladores de domínio padrão não será mais aplicada. Se você precisa manter um controlador de domínio em outra unidade organizacional, vincule a diretiva de controladores de domínio padrão a essa unidade organizacional.
Outro detalhe importante é que cada Diretiva de Grupo possui duas sessões: Configuração do Usuário e Configuração do Computador. A sessão Configuração do Usuário possui configurações que afetam contas de usuário, e a sessão Configuração do Computador possui configurações que afetam as contas de computador. Por exemplo, se o administrador criou uma diretiva de grupo com configurações na sessão Configurações do Usuário, que se aplica para o usuário Rodolfo, essas configurações serão aplicadas para o usuário Rodolfo todas as vezes que ele fizer o logon no domínio, independente da estação de trabalho que ele utilizar. Agora imagine que o administrador criou uma outra diretiva de grupo com configurações na sessão Configurações do Computador, as quais são aplicadas para o grupo de computadores Vendas. Isso significa que essas configurações serão aplicadas em todos os computadores do grupo Vendas, independente do usuário que efetuar logon.
Conforme já pudemos observar, podemos fazer uma série de tarefas interessantes, como por exemplo:
- Gerenciar centralizadamente configurações definidas no registro do Windows: As Diretivas de Grupo criam arquivos que possuem as configurações do Registro do Windows. Estes arquivos são carregados e aplicados nas estações de trabalho dos usuários, na parte da máquina local ou de usuário do banco de dados do Registro. As configurações de perfil de usuário específicas a um usuário que faz logon em uma determinada estação de trabalho ou servidor são gravadas no Registro em HKEY_CURRENT_USER (HKCU) e as configurações específicas do computador são gravadas em HKEY_LOCAL_MACHINE (HKLM).
- Atribuir scripts: através das GPOs você podem também distribuir scripts para serem executados no logon, inicialização, logoff e desligamento dos computadores.
- Fazer o redirecionamento de pastas: é possível também configurar as GPOs de tal forma que algumas pastas, como por exemplo, Meus Documentos e Minhas Imagens, sejam redirecionadas automaticamente para uma pasta compartilhada em um servidor. Com isso, os dados dos usuários estarão disponíveis no servidor e poderão ser acessados a partir de qualquer estação de trabalho da rede, na qual o usuário faça o logon. Outra vantagem da utilização do redirecionamento de pastas é que você pode criar uma política de backup centralizada.
- Fazer o gerenciamento centralizado de aplicativos: outro recurso muito interessante das GPOs é a distribuição de softwares. Você pode fazer a distribuição dos softwares de forma automática nas estações de trabalho. Podemos utilizar os métodos Associar e Publicar. Com o método Associar, será exibido o ícone da aplicação no menu Iniciar da estação de trabalho. Basta o usuário clicar no ícone para que a aplicação seja instalada. Com o método Publicar, o usuário deverá instalar a aplicação através do Adicionar ou remover programas, no Painel de Controle.
- Aplicar configurações de segurança: é possível também definir políticas de senha e políticas de bloqueio de conta. Por exemplo, você pode definir que a senha das contas de usuário devem ser trocadas a cada 30 dias e que o tamanho da senha deve ser de 9 caracteres no mínimo. É possível ainda definir que se o usuário errar sua senha por 3 vezes em um período de 30 minutos, sua conta será bloqueada. Tudo isso de forma centralizada.
Os computadores que executam sistema operacional Windows 2000, Windows XP, Windows Server 2003, Windows Vista e superior, possuem as GPOs locais, ou Diretivas Locais. Essa diretiva também possui uma série de opções interessantes que podem ser aplicadas nas estações de trabalho. As configurações definidas nessa diretiva são aplicadas apenas no computador onde ela for configurada. Algumas configurações não estão disponíveis nas diretivas locais, como por exemplo, redirecionamento de pastas e distribuição de software.
Em ambientes que possuem o Active Directory, dificilmente você vai utilizar essas diretivas locais, já que as diretivas de domínio possuem bem mais opções e são gerenciadas centralizadamente.
Podem ocorrer conflitos entre configurações da GPO local e da GPO de domínio? Sim, podem ocorrer conflitos. Podem ocorrer casos onde mais de uma GPO de domínio está sendo aplicada para um usuário ou computador.
Nenhum comentário:
Postar um comentário