Quando você aplica um Objeto de Política de Grupo (GPO) do Active Directory (AD) em centenas ou até milhares de computadores de destino, é provável que leve algum tempo para que todos os recebam. Como você sabe quando um computador recebe uma nova política ou obtém configurações de política atualizadas? Usando a ferramenta RSOP.
A ferramenta RSOP ou Resultant Set Of Policy, é uma ferramenta integrada do Windows que permite descobrir quais configurações de política estão sendo aplicadas a computadores locais e remotos. Se você está se perguntando quais configurações de GPO estão sendo definidas em seu PC, continue lendo!
Vamos começar.
Pré-requisitos
Este tutorial abordará algumas demonstrações diferentes. Se você deseja acompanhar, certifique-se de ter o seguinte:
- Um domínio do Active Directory – Qualquer versão do AD funcionará. Este tutorial usará um domínio chamado HomeLab.Local.
- A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
- A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
- As portas TCP 445, 135, portas dinâmicas RPC e todas as portas para WMI estão abertas no computador remoto. Você pode criar uma GPO inicial chamada Política de Grupo para Relatório de Portas do Firewall para garantir que todas as portas estejam abertas.
- Direitos de administrador local tanto no PC local quanto no PC remoto.
- A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.
O que é a ferramenta RSOP?
Ao atribuir uma GPO a um computador no Active Directory, esse computador deve entrar em contato com o controlador de domínio e, com base no intervalo de atualização da GPO definido, em breve verá essa GPO e tentará aplicar as configurações definidas pela GPO.
Quando o computador aplica as configurações da GPO, essas configurações de política são então armazenadas no computador no banco de dados do Common Information Management Object Model (CIMOM) usando o Windows Management Instrumentation (WMI). Para inspecionar essas configurações aplicadas, execute a ferramenta RSOP. A ferramenta RSOP gera um relatório sobre as políticas que são aplicadas (ou planejadas) para usuários e computadores no PC.
O RSOP é excelente para solucionar casos em que você tem políticas múltiplas e conflitantes. Usando o RSOP, você pode inspecionar quais GPOs tiveram precedência e anularam outras.
Modes
O RSOP possui dois modos diferentes para ajudar na descoberta de como as GPOs afetam os computadores de destino; modo de registro e modo de planejamento.
- Modo de registro – O uso mais comum do RSOP, usado para gerar um relatório sobre todas as políticas aplicadas para todos os usuários conectados e o próprio computador.
- Modo de planejamento – Um uso menos comum do RSOP que permite simular quais configurações serão aplicadas a um computador se uma ou mais GPOs forem aplicadas a ele. O modo de planejamento funciona para determinar o que acontecerá quando um usuário for movido para um grupo AD diferente, por exemplo.
Inspeção de GPOs Aplicadas Localmente com RSOP
Vamos começar agora com algumas demonstrações práticas do RSOP. Primeiro, vamos abordar como acessar a ferramenta RSOP e que tipo de informações você pode esperar ver.
Em seu PC local com Windows associado ao domínio, abra um prompt de comando ou uma janela do PowerShell como administrador.
Se você não executar um prompt de comando ou PowerShell como administrador, o RSOP não terá acesso às configurações do computador (apenas às configurações do usuário conectado). Ao executar o RSOP, você receberá um erro indicando permissões insuficientes.
Em seguida, execute o comando rsop.msc. Esta ação abrirá o console RSOP MMC snap-in.
Ao abrir o RSOP, ele começará imediatamente a ler todas as políticas aplicadas e gerar um relatório. O RSOP padrão é o modo de registro. Abaixo, você verá os resultados de executar o RSOP em um computador chamado WIN10VM1 conectado como um usuário chamado LabAdmin.
Expanda cada uma das pastas e você verá todas as configurações em todos os GPOs que são aplicados a esse usuário ou computador em particular.
Se você não visualizar uma configuração de GPO esperada para uma GPO criada recentemente, execute o comando gpupdate /force no PC para atualizar manualmente as configurações da política.
Por exemplo, abaixo você verá uma política local chamada HostName.bat atribuída ao logon do usuário no PC. Dentro da política, há um arquivo em lotes chamado HostName.bat em Configuração do Usuário —> Configurações do Windows —> Scripts —> Logon.
Ao executar o RSOP em um computador com a política local configurada, você verá o script de logon aplicado e o nome da política que o aplicou.
Testando Alterações na Política com o Modo de Planejamento do RSOP
Talvez você esteja pronto para implantar uma GPO importante em muitos computadores. Você pode “testar em produção” aplicando-a imediatamente a todos os computadores de uma vez, ou pode usar o modo de planejamento do RSOP.
Usando o modo de planejamento, você pode simular diferentes cenários para saber se aplicaria uma GPO a um computador, como quando:
- O PC de destino possui uma conexão de rede lenta
- Você ativa o processamento de loopback
- O PC de destino possui muitas GPOs aplicadas para testar a precedência de políticas
- A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
- A user or computer is moved between domains, OUs or even AD sites.
- A WMI filter is applied to an OU
O modo de planejamento ajudará você a considerar todas as variáveis condicionais que as GPOs podem apresentar.
Para executar o RSOP no modo de planejamento:
1. Abra um prompt de comando ou console PowerShell elevado e digite mmc. Isso abrirá o Console MMC.
Observe que você não pode simplesmente executar rsop.msc nesta instância. A única maneira de alterar o modo RSOP é ao adicionar um snap-in MMC, como verá.
2. No console MMC, abra o menu Arquivo e clique em Adicionar/Remover Snap-in, como mostrado abaixo.
3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Resultado da Política Definida e clique em Adicionar para mover o snap-in da janela esquerda para a janela direita.
4. Em seguida, clique com o botão direito no snap-in MMC Resultado da Política Definida, como mostrado abaixo, clique em Gerar Dados do RSOP e Próximo para pular a etapa de introdução.
5. Na tela de Seleção de Modo, selecione o modo Planejamento e clique em Próximo para chegar à tela de Seleção de Computador.
6. Em seguida, clique em Procurar em Informações do Usuário para selecionar o usuário que pode ser afetado por uma próxima GPO. Além disso, clique em Contêiner e Procurar em Informações do Computador para selecionar a Unidade Organizacional que conterá um PC ao qual este usuário pode estar fazendo login.
Na captura de tela a seguir, a simulação fornecerá todas as configurações que um usuário chamado HOMELAB\User01 receberia ao fazer login em qualquer computador no OU Desktop VMs.
7. Agora, selecione as opções se desejar simular mais algumas situações:
- Deteção de link lento da Política de Grupo
- Processamento de loopback – Selecionar Substituir ou Combinar substituirá/combinará as configurações de política de usuário e configurações de política de computador em caso de conflito.
- Site – Para simular o site do Active Directory em que o desktop está logado.
Clique em Avançar quando estiver concluído.
8. Se você não planeja aplicar diretamente a GPO ao OU em que o usuário ou computador estará, clique em Procurar para alterar o OU para qualquer um dos objetos. Quando estiver concluído, clique em Avançar.
No sexto passo, você definiu os OUs onde o usuário e o computador de destino estariam localizados. Aqui, você está definindo o OU em que planeja aplicar a GPO.
9. Agora, insira o grupo AD em que você planeja que o usuário esteja clicando em Adicionar. Para este tutorial, o usuário estará no grupo DeniedGPOUsers.
Você verá abaixo que o grupo DeniedGPOUsers está impedido de aplicar esta GPO.
10. Em seguida, para este tutorial, siga as telas para definir os filtros WMI e grupos de computadores. No entanto, se você planeja configurar um filtro WMI no GPO ou está negando/permitindo a aplicação do GPO pelo grupo AD em que a conta de computador está, você pode fazer essas alterações simuladas.
11. Por fim, na tela de resumo, revise todos os detalhes. Deixe a opção de coleta de informações de erro estendidas ativada e clique em Avançar. Ao habilitar a opção de informações de erro estendidas, o snap-in RSOP coleta mais informações de erro ao realizar a consulta. Esta mensagem de erro inclui problemas de rede ou AD que afetam a política quando ela é implementada. Habilitar esta opção pode aumentar significativamente o tempo de processamento da simulação, mas fornecerá informações mais detalhadas caso ocorra um erro.
Depois que o console RSOP for gerado, clique com o botão direito no nó de configuração do computador ou configuração do usuário e clique em propriedades. Em seguida, clique na guia de informações de erro para visualizar quaisquer erros gerados durante a simulação da política.
12. Assim que o RSOP estiver completo, navegue pelas pastas em Configuração do Computador e Configuração do Usuário para verificar as políticas aplicadas.
Você verá duas janelas abaixo; à esquerda, verá o GPO real aplicado (RSOP em modo de registro) e à direita, verá como o RSOP seria se o usuário fosse removido do grupo AD DeniedGPOUsers.
Inspeção Remota de GPOs Aplicadas com RSOP
Para evitar ter que acessar o console local de cada computador, o RSOP também permite que você inspecione configurações remotamente, tanto no modo de registro quanto no modo de planejamento. Nesta demonstração, o tutorial usará o modo de registro.
1. Abra o RSOP seguindo as etapas de 1 a 4 na seção Testando Alterações de Política com o Modo de Planejamento do RSOP acima.
2. Na tela de Seleção de Modo, escolha o modo de registro e clique em Avançar para chegar à tela de Seleção de Computador.
3. Na tela de Seleção de Computador, escolha Outro computador, pois você vai consultar um computador remoto, e clique em Procurar.
4. Na caixa Selecionar computador, insira o nome do PC remoto e clique em Verificar Nomes. Essa ação procurará a conta de computador AD do computador. Se encontrado, ele sublinhará o nome do PC, como mostrado abaixo.
5. Clique em Avançar na tela de Seleção de Computador. Aqui, você poderia selecionar Não exibir configurações de política para o computador selecionado nos resultados…, mas você vai inspecionar as configurações tanto do computador quanto do usuário.
6. Em seguida, escolha o usuário que você gostaria de inspecionar as políticas de usuário aplicadas. Você verá a lista de usuários que fizeram login no computador remoto pelo menos uma vez.
Selecione um usuário da lista e clique em Avançar.
Observe que a opção Usuário atual está desativada. O RSOP não suporta encontrar o usuário que fez login remotamente. Você deve escolher explicitamente um.
7. Desmarque a caixa de seleção Reunir informações estendidas de erro. Clique em Avançar para continuar. O RSOP agora se conectará ao computador remoto e tentará recuperar todas as configurações RSOP tanto para o usuário selecionado quanto para o computador.
8. Clique em Concluir quando terminar.
9. Agora você verá a mesma snap-in MMC exata que viu ao inspecionar as configurações locais. Mas desta vez, as configurações são provenientes de um PC remoto.
Conclusão
A ferramenta RSOP é útil quando você precisa encontrar rapidamente todas as configurações de GPO aplicadas direcionadas a um computador ou usuário. O uso dessa ferramenta permite que você veja as configurações aplicadas; não apenas todas as configurações para GPOs direcionadas a um computador ou usuário específico.
Onde você se vê utilizando o RSOP no futuro?