Política de Grupo. É um serviço com o qual praticamente todo administrador do Windows está familiarizado. Mas o que é a Política de Grupo? A Política de Grupo é uma maneira comum de aplicar configurações, instalar software, executar scripts e muito mais em milhares de computadores associados ao domínio do Active Directory (AD).
Estenda a funcionalidade da Política de Grupo e simplifique o gerenciamento de políticas de senha detalhadas. Alcance qualquer nível de GPO, grupo, usuário ou computador com configurações de dicionário e frase secreta com o Specops Password Policy. Experimente Gratuitamente!
A Política de Grupo é composta por muitos serviços e fluxos de trabalho diferentes. A maioria dos administradores provavelmente nem sabe como ela funciona nos bastidores! Neste artigo, pretendemos mudar isso.
Se você está interessado em saber o que é a Política de Grupo e como ela funciona, fique ligado, porque vamos explorar cada detalhe!
O que são Objetos de Política de Grupo (GPOs)
Os GPOs são o cerne da Política de Grupo. Eles são políticas individuais que contêm muitas configurações diferentes a serem realizadas em um computador associado ao domínio.
No Windows 10/2019 Server, existem mais de cinco mil configurações que abrangem todos os aspectos relevantes do Windows. Além disso, você pode importar ainda mais configurações para aplicativos específicos: Office, Microsoft Edge, Google Chrome, LAPS-E são apenas alguns exemplos. Você também pode criar as suas próprias.
Pense em uma GPO como uma única política; é um manifesto que contém instruções para realizar tarefas como configurar um script de logon, alterar a área de trabalho de um usuário, instalar software e milhares de outras tarefas.
O Active Directory armazena as GPOs no banco de dados do Active Directory, que são replicadas entre os controladores de domínio (DCs).
As GPOs possuem duas “categorias” de configurações: uma para o computador e outra para o usuário. Essas “categorias” definem como as configurações dentro da GPO serão aplicadas ao computador. Por exemplo, se você precisa alterar o plano de fundo de um usuário, isso seria uma configuração de usuário. Se você precisa instalar um software de forma geral no sistema, isso seria uma configuração de computador.
Depois de criar uma GPO, você pode direcioná-la para um conjunto de computadores ou usuários dentro de uma Unidade Organizacional (OU). O computador, então, procura periodicamente por novas GPOs e aplica essas configurações (mais informações sobre isso posteriormente).
O que são Modelos de Política de Grupo
Se uma GPO é o componente principal da Política de Grupo, o Modelo de Política de Grupo (GPT) é o próximo conceito importante. O GPT está intimamente ligado à GPO.
O Active Directory armazena GPOs em SYSOL, que é um compartilhamento de arquivos nos DCs para distribuir arquivos. As GPTs consistem em configurações de registro, arquivos de segurança, aplicativos, scripts e instaladores, atalhos, arquivos XML, arquivos gráficos, e assim por diante, dependendo do tipo de configurações que você define na GPO correspondente.
Gerenciando a Política de Grupo com o GPMC
A Política de Grupo é controlada por meio do Console de Gerenciamento de Política de Grupo (GPMC). Este console é instalado em todos os controladores de domínio e como parte do Kit de Ferramentas de Administração do Servidor Remoto (RSAT). O GPMC se conecta ao controlador de domínio que possui a função de Emulador de Controlador de Domínio Primário (PDCe) para fazer alterações na Política de Grupo.
Dentro do GPMC é onde você pode criar e atribuir Objetos de Política de Grupo (GPOs) a unidades organizacionais (OUs) do Active Directory, Active Directory sites, e muito mais.
Como Funciona a Replicação da Política de Grupo
Como mencionado anteriormente, GPOs e GPTs fazem parte do AD. Como tal, eles fazem parte do processo de replicação típico do Active Directory.
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- Uma vez que uma GPO é alterada através do GPMC, o GPMC se conecta ao controlador de domínio PDCe.
- O GPMC então cria ou modifica a GPO dentro dos bancos de dados do Active Directory e cria/atualiza o GPT em SYSVOL.
- Uma vez modificada, a replicação do AD assume e replica tanto a GPO quanto o GPT para o restante dos controladores de domínio de acordo com o cronograma de replicação do AD. A replicação geralmente leva até 5 minutos se o seu controlador de domínio “local” e o PDCe estiverem no mesmo local, ou mais tempo se estiverem em locais diferentes.
Os controladores de domínio também replicam os GPTs em SYSVOL uma vez criados com o GPMC, mas o fazem através de um mecanismo de replicação separado chamado DFS-R. O cronograma de replicação para SYSVOL é o mesmo que o cronograma de replicação para o banco de dados do AD. Ambos os componentes de uma GP devem chegar aproximadamente ao mesmo tempo no seu controlador de domínio local.
Como as GPOs são aplicadas
Então o GPMC criou a GPO/GPT e eles foram replicados para todos os controladores de domínio no seu ambiente AD. E agora? Agora, os clientes precisam buscar a política. Neste ponto, cabe ao cliente verificar o DC em busca de políticas novas/alteradas.
Clientes aderem ao intervalo de atualização de Política de Grupo definido intervalo de atualização de Política de Grupo. Este é o intervalo em que eles verificam rotineiramente as alterações com seu DC. Por padrão, o intervalo de atualização é definido para 90 minutos, mais um deslocamento aleatório entre 0 e 30 minutos.
Se uma DC for direcionada com uma política, o intervalo de atualização padrão é apenas de cinco minutos.
Uma vez que o intervalo de atualização expira, o serviço Cliente de Política de Grupo no cliente verificará com a DC por novas ou alteradas políticas. Se encontradas, ele as baixará e começará a executar as instruções no computador cliente.
O serviço Cliente de Política de Grupo pode não aplicar imediatamente novas configurações. Algumas configurações não podem ser aplicadas imediatamente, como no próximo logon, pastas redirecionadas, após a próxima reinicialização, etc.
Existem GPs que se aplicam mesmo se não houver alterações desde a última vez que foram aplicados. Um bom exemplo são as configurações de segurança, que são reaplicadas na inicialização do computador e a cada 16 horas se o computador não tiver sido reiniciado nesse ínterim. Isso é importante: se alguém fez alterações em uma configuração de segurança específica, elas serão restauradas na próxima atualização (pense em portas de firewall abertas no firewall do Windows ou membros adicionados a/removidos de Grupos Restritos no computador local).
Outras configurações podem ser configuradas para serem reaplicadas mesmo se o GP não tiver mudado. Você pode controlar o comportamento do Cliente GP para um tipo específico de configuração através do registro, ou, como você imaginou, através do GP.
Aplicar requisitos de conformidade, bloquear mais de 3 bilhões de senhas comprometidas e ajudar os usuários a criar senhas mais fortes no Active Directory com feedback dinâmico para o usuário final. Entre em contato conosco hoje sobre a Política de Senhas da Specops!
Conclusão
Se você já se perguntou, “O que é o Group Policy?”, espero que este tutorial tenha sido capaz de responder a essa pergunta. O Group Policy é um sistema que existe há muito tempo e ainda é utilizado hoje por milhares de organizações. É um elemento essencial para muitos que precisam aplicar alterações em seu ambiente de computadores Windows.
Se você precisa fazer uma alteração em um, dez ou 1.000 computadores associados ao domínio, certifique-se de saber o que é o Group Policy.