Quando você aplica uma Política de Grupo de Objeto (GPO) do Active Directory (AD) em centenas ou até milhares de computadores de destino, é provável que leve um tempo para que todos eles a recebam. Como saber quando um computador recebe uma nova política ou recupera configurações de política atualizadas? Usando a ferramenta RSOP.
A ferramenta RSOP ou Resultant Set Of Policy, é uma ferramenta nativa do Windows que permite descobrir quais configurações de política são aplicadas em computadores locais e remotos. Se você está se perguntando quais configurações de GPO estão sendo definidas em seu PC, continue lendo!
Vamos começar.
Pré-requisitos
Este tutorial irá passar por algumas demonstrações diferentes. Se você quiser acompanhar, certifique-se de ter o seguinte:
- Um domínio do Active Directory – Qualquer versão do AD funcionará. Este tutorial usará um domínio chamado HomeLab.Local.
- A domain-joined Windows PC with at least one GPO applied to it to test local GPOs. This tutorial will use a PC called Win10VM1.
- A second domain-joined Windows PC if you want to run RSOP remotely. This tutorial will use a PC called Win10VM3.
- portas TCP 445, 135, portas dinâmicas RPC e todas as portas para WMI estão abertas no computador remoto. Você pode criar uma GPO inicial chamada Group Policy Reporting Firewall Ports para garantir que todas as portas estejam abertas.
- Direitos de administrador local tanto no PC local quanto no PC remoto.
- A GPO with an AD group configured with deny permissions. DeniedGPOUsers AD group with no users added to it and deny permissions will be used in this tutorial.
O que é a ferramenta RSOP?
Ao atribuir uma GPO a um computador no Active Directory, esse computador deve se conectar ao controlador de domínio e, com base no intervalo de atualização da GPO definido, em breve verá essa GPO e tentará aplicar as configurações que a GPO define.
Quando o computador aplica as configurações da GPO, essas configurações de política são armazenadas no computador no banco de dados do Common Information Management Object Model (CIMOM) usando o Windows Management Instrumentation (WMI). Para inspecionar essas configurações aplicadas, execute a ferramenta RSOP. A ferramenta RSOP gera um relatório sobre as políticas que são aplicadas (ou planejadas) para usuários e computadores no PC.
O RSOP é ótimo para solucionar problemas em casos em que você tem várias políticas conflitantes. Usando o RSOP, você pode verificar quais GPOs tiveram precedência e sobrepujaram outras.
Modos
O RSOP possui dois modos diferentes para ajudá-lo a descobrir como as GPOs afetam os computadores de destino: modo de registro e modo de planejamento.
- Modo de registro – O uso mais comum do RSOP, que gera um relatório sobre todas as políticas aplicadas para todos os usuários conectados e o próprio computador.
- Modo de planejamento – Um uso menos comum do RSOP que permite simular quais configurações serão aplicadas a um computador se uma ou mais GPOs forem aplicadas a ele. O modo de planejamento funciona para determinar o que acontecerá quando um usuário for movido para um grupo AD diferente, por exemplo.
Inspecionando GPOs aplicadas localmente com o RSOP
Vamos começar agora com algumas demonstrações práticas do RSOP. Primeiro, vamos abordar como acessar a ferramenta RSOP e que tipo de informações você pode esperar ver.
Em seu PC local com Windows associado ao domínio, abra um prompt de comando ou uma janela do PowerShell como administrador.
Se você não executar um prompt de comando ou PowerShell como administrador, o RSOP não terá acesso às configurações do computador (apenas configurações do usuário conectado). Ao executar o RSOP, você receberá um erro indicando permissões insuficientes.
Em seguida, execute o comando rsop.msc. Esta ação abrirá o MMC snap-in do RSOP.
Ao abrir o RSOP, ele começará imediatamente a ler todas as políticas aplicadas e a gerar um relatório. O RSOP padrão é o modo de registro. Abaixo, você verá os resultados da execução do RSOP em um computador chamado WIN10VM1 conectado como um usuário chamado LabAdmin.
Expanda cada uma das pastas e você verá todas as configurações em todos os GPOs aplicados a esse usuário ou computador em particular.
Se você não visualizar uma configuração de GPO esperada para uma GPO recentemente criada, execute o comando gpupdate /force no PC para atualizar manualmente as configurações da política.
Por exemplo, abaixo você verá uma política local chamada HostName.bat atribuída ao login do usuário no PC. Dentro da política há um arquivo em lotes chamado HostName.bat em Configuração do Usuário —> Configurações do Windows —> Scripts —> Logon.
Executando o RSOP em um computador que possui política local configurada, você verá o script de logon aplicado e o nome da política que o aplicou.
Testando Alterações de Política com o Modo de Planejamento do RSOP
Talvez você esteja pronto para implementar uma GPO importante em muitos computadores. Você poderia “testar na produção” aplicando-a imediatamente a todos os computadores de uma vez, ou poderia usar o modo de planejamento do RSOP.
Usando o modo de planejamento, você pode simular diferentes cenários se aplicaria uma GPO a um computador, como quando:
- O PC de destino tem uma conexão de rede lenta
- Você habilita o processamento de loopback
- O PC de destino tem muitas GPOs aplicadas a ele para testar precedência de política
- A user logs onto the target PC or the computer account is in different AD groups and an AD group is denied permission to the GPO.
- A user or computer is moved between domains, OUs or even AD sites.
- A WMI filter is applied to an OU
O modo de planejamento ajudará você a considerar todas as variáveis condicionais que as GPOs podem apresentar.
Para executar o RSOP no modo de planejamento:
1. Abra um prompt de comando ou console elevado do PowerShell e digite mmc. Isso abrirá o console MMC.
Observe que você não pode simplesmente executar rsop.msc nesta instância. A única maneira de alterar o modo RSOP é ao adicionar um snap-in MMC, como será mostrado.
2. No console MMC, abra o menu Arquivo e clique em Adicionar/Remover Snap-in, como mostrado abaixo.
3. Na caixa de diálogo Adicionar ou Remover Snap-ins, selecione Conjunto de Políticas Resultantes e clique em Adicionar para mover o snap-in da janela esquerda para a janela direita.
4. Em seguida, clique com o botão direito no snap-in MMC Conjunto de Políticas Resultantes, como mostrado abaixo, clique em Gerar Dados do RSOP e Próximo para pular a etapa de introdução.
5. Na tela de Seleção de Modo, selecione o modo Planejamento e clique em Próximo para chegar à tela de Seleção de Computador.
6. Em seguida, clique em Procurar em Informações do Usuário para selecionar o usuário que pode ser afetado por uma próxima GPO. Além disso, clique em Contêiner e Procurar em Informações do Computador para selecionar a Unidade Organizacional que conterá um PC que esse usuário pode estar fazendo login.
Na captura de tela a seguir, a simulação fornecerá todas as configurações que um usuário chamado HOMELAB\User01 receberia ao fazer login em qualquer computador na OU Desktop VMs.
7. Agora, selecione as opções se desejar simular mais algumas situações:
- Detecção de link lento da Política de Grupo
- Processamento de loopback – Selecionar Substituir ou Mesclar irá substituir/combinar as configurações de política do usuário e as configurações de política do computador em caso de conflito.
- Local – Para simular o site do AD em que o desktop está sendo acessado.
Clique em Avançar quando estiver completo.
8. Se você não planeja aplicar diretamente a GPO na OU em que o usuário ou computador estará, clique em Procurar para alterar a OU para qualquer objeto. Quando terminar, clique em Avançar.
No sexto passo, você definiu as OUs onde o usuário e o computador alvo seriam localizados. Aqui, você está definindo a OU na qual planeja aplicar a GPO.
9. Agora, insira o grupo AD no qual planeja que o usuário esteja clicando em Adicionar. Para este tutorial, o usuário estará no grupo DeniedGPOUsers.
Você verá abaixo que o grupo DeniedGPOUsers está negado de aplicar esta GPO.
10. Em seguida, para este tutorial, avance pelas telas para definir filtros WMI e grupos de computadores. No entanto, se planeja configurar um filtro WMI no GPO ou estiver negando/permitindo a aplicação do GPO pelo grupo AD em que a conta de computador está, você pode fazer essas alterações simuladas.
11. Por fim, na tela de resumo, revise todos os detalhes. Deixe a opção de Coletar informações de erro estendidas habilitada e clique em Avançar. Ao habilitar a opção de informações de erro estendidas, o snap-in RSOP coleta mais informações de erro quando realiza a consulta. Esta mensagem de erro inclui problemas de rede ou AD que afetam a política quando ela é implementada. Habilitar esta opção pode aumentar significativamente o tempo para processar a simulação, mas fornecerá informações mais detalhadas caso ocorra um erro.
Depois que o console RSOP for gerado, clique com o botão direito no nó de configuração do computador ou do usuário e clique em Propriedades. Em seguida, clique na guia Informações de erro para visualizar quaisquer erros que forem gerados durante a simulação da política.
12. Uma vez que o RSOP estiver completo, navegue pelas pastas em Configuração do Computador e Configuração do Usuário para verificar as políticas aplicadas.
Você verá duas janelas abaixo; à esquerda, verá o GPO real aplicado (RSOP no modo de registro) e à direita, verá como o RSOP ficaria se o usuário fosse removido do grupo AD DeniedGPOUsers.
Inspeção de GPOs aplicados remotamente com RSOP
Para evitar a necessidade de acessar a console local de cada computador, o RSOP também permite que você inspecione configurações remotamente, tanto no modo de registro quanto no modo de planejamento. Nesta demonstração, o tutorial usará o modo de registro.
1. Abra o RSOP seguindo as etapas de 1 a 4 na seção Testando Alterações de Política com o Modo de Planejamento do RSOP acima.
2. Na tela de Seleção de Modo, escolha o modo de registro e clique em Avançar para chegar à tela de Seleção de Computador.
3. Na tela de Seleção de Computador, escolha Outro computador, pois você vai consultar um computador remoto, e clique em Procurar.
4. Na caixa Selecionar computador, insira o nome do PC remoto e clique em Verificar Nomes. Essa ação procurará a conta de computador AD do computador. Se encontrado, sublinhará o nome do PC, como mostrado abaixo.
5. Clique em Avançar na tela de Seleção de Computador. Aqui, você poderia selecionar Não exibir configurações de política para o computador selecionado nos resultados…, mas você vai inspecionar as configurações tanto do computador quanto do usuário.
6. Em seguida, escolha o usuário que você gostaria de inspecionar as políticas aplicadas. Você verá a lista de usuários que fizeram login no computador remoto pelo menos uma vez.
Selecione um usuário da lista e clique em Avançar.
Observe que a opção Usuário Atual está desativada. O RSOP não suporta encontrar o usuário que fez login remotamente. Você deve escolher explicitamente um.
7. Desmarque a caixa de seleção Reunir informações de erro estendidas. Clique em Avançar para continuar. O RSOP agora se conectará ao computador remoto e tentará recuperar todas as configurações do RSOP tanto para o usuário selecionado quanto para o computador.
8. Clique em Concluir quando terminar.
9. Você verá agora a mesma snap-in MMC exata que viu ao inspecionar as configurações locais. Mas desta vez, as configurações vieram de um PC remoto.
Conclusão
A ferramenta RSOP é útil quando você precisa encontrar rapidamente todas as configurações de GPO aplicadas direcionadas a um computador ou usuário. O uso desta ferramenta permite que você veja as configurações aplicadas; não apenas todas as configurações para GPOs direcionados a um computador ou usuário específico.
Onde você se vê usando o RSOP no futuro?