Política de Grupo. É um serviço com o qual praticamente todo administrador do Windows está familiarizado. Mas o que é Política de Grupo? Política de Grupo é uma forma comum de aplicar configurações de configuração, instalar software, executar scripts e muito mais em milhares de computadores associados a um domínio do Active Directory (AD).
Amplie a funcionalidade da Política de Grupo e simplifique a administração de políticas de senha refinadas. Defina configurações de dicionário e frase de acesso direcionadas para qualquer nível de GPO, grupo, usuário ou computador com o Specops Password Policy. Experimente grátis!
A política de grupo consiste em muitos serviços e fluxos de trabalho diferentes. A maioria dos administradores provavelmente nem sabe como funciona por baixo dos panos! Neste artigo, pretendemos mudar isso.
Se você está interessado em saber o que é Política de Grupo e como ela funciona, fique ligado porque vamos deixar nenhum detalhe sem explicar!
O que são Objetos de Política de Grupo (GPOs)
GPOs são a essência da Política de Grupo. GPOs são políticas individuais que contêm muitas configurações diferentes para executar em um computador associado a um domínio.
No Windows 10/2019 Server, existem mais de cinco mil configurações abrangendo todos os aspectos relevantes do Windows. Além disso, você pode importar ainda mais para aplicativos específicos: Office, Microsoft Edge, Google Chrome, LAPS-E são apenas alguns exemplos. Você também pode criar os seus próprios.
Pense em uma GPO simplesmente como uma única política; é um manifesto que contém instruções para realizar tarefas como configurar um script de logon, alterar o desktop de um usuário, instalar software e milhares de outras tarefas.
O Active Directory armazena as GPOs no banco de dados do Active Directory que são replicadas entre controladores de domínio (DCs).
As GPOs têm duas “categorias” de configurações; uma para um computador e outra para um usuário. Essas “categorias” definem como as configurações dentro da GPO serão aplicadas ao computador. Por exemplo, se você precisar alterar o plano de fundo de um usuário, isso seria uma configuração de usuário. Se você precisar instalar um software em todo o sistema, isso seria uma configuração de computador.
Depois de criar uma GPO, você a direciona para um conjunto de computadores ou usuários dentro de uma OU. O computador então periodicamente procura novas GPOs e aplica essas configurações (mais sobre isso posteriormente).
O que são Modelos de Diretiva de Grupo
Se uma GPO é o componente principal da Política de Grupo, o Modelo de Diretiva de Grupo (GPT) é o próximo conceito importante. O GPT anda de mãos dadas com a GPO.
O Active Directory armazena GPOs em SYSOL, que é um compartilhamento de arquivos nos DCs para distribuição de arquivos. Os GPTs consistem em configurações de registro, arquivos de segurança, aplicativos, scripts e instaladores, atalhos, arquivos XML, arquivos gráficos, e assim por diante, dependendo do tipo de configurações definidas no GPO correspondente.
Gerenciando a Política de Grupo com o GPMC
A Política de Grupo é controlada via Console de Gerenciamento da Política de Grupo (GPMC). Este console está instalado em todos os controladores de domínio e como parte do Remote Server Administration Toolkit (RSAT). O GPMC se conecta ao controlador de domínio que detém o papel de Emulador de Controlador de Domínio Primário (PDCe) para realizar alterações na Política de Grupo.
No interior do GPMC é onde você pode criar e atribuir Objetos de Política de Grupo (GPOs) para unidades organizacionais (OUs) do Active Directory, Active Directory sites e outros.
Como Funciona a Replicação da Política de Grupo
Como mencionado anteriormente, GPOs e GPTs fazem parte do AD. Como tal, eles são parte do processo típico de replicação do Active Directory.
A specific workflow kicks off when you create/update a new GPO and target it to an Active Directory OU.
- Uma vez que uma GPO é alterada através do GPMC, o GPMC se conecta ao controlador de domínio PDCe.
- O GPMC então cria ou modifica a GPO dentro dos bancos de dados do Active Directory e cria/atualiza o GPT no SYSVOL.
- Uma vez modificado, a replicação do AD assume o controle e replica tanto a GPO quanto o GPT para o restante dos controladores de domínio de acordo com o cronograma de replicação do AD. A replicação geralmente leva até 5 minutos se o seu DC “local” e o PDCe estiverem no mesmo local, ou mais tempo se estiverem em locais diferentes.
Os DCs também replicam os GPTs no SYSVOL uma vez criados com o GPMC, mas o fazem por meio de um mecanismo de replicação separado chamado DFS-R. O cronograma de replicação para o SYSVOL é o mesmo que o cronograma de replicação para o banco de dados do AD. Ambos os componentes de uma GP devem chegar aproximadamente ao mesmo tempo no seu DC local.
Como as GPOs são Aplicadas
Então, o GPMC criou a GPO/GPT e eles foram replicados para todos os DCs em seu ambiente AD. E agora? Agora, cabe ao cliente(s) verificar o DC em busca de políticas novas/alteradas.
Os clientes aderem ao intervalo de atualização definido do Política de Grupo. Este é o intervalo no qual eles verificam rotineiramente as mudanças com seu DC. Por padrão, o intervalo de atualização é definido como 90 minutos, mais um deslocamento aleatório entre 0 e 30 minutos.
Se um DC é alvo de uma política, o intervalo de atualização padrão é de apenas cinco minutos.
Assim que o intervalo de atualização terminar, o serviço Cliente de Política de Grupo no cliente verificará com o DC se há novas políticas ou alterações. Se encontradas, então ele irá baixar essas políticas e começar a executar as instruções no computador cliente.
O serviço Cliente de Política de Grupo pode não aplicar imediatamente as novas configurações. Algumas configurações não podem ser aplicadas imediatamente, como no próximo logon, pastas redirecionadas, após o próximo reinício, etc.
Há políticas de grupo que se aplicam mesmo se não houver mudanças desde a última vez que foram aplicadas. Um bom exemplo são as configurações de segurança, que são reaplicadas na inicialização do computador e a cada 16 horas se o computador não tiver sido reiniciado nesse meio tempo. Isso é importante: se alguém fez alterações em uma configuração de segurança específica, elas serão restauradas na próxima atualização (pense nas portas do firewall abertas no firewall do Windows, ou membros adicionados a/ removidos de Grupos Restritos no computador local).
Outras configurações podem ser configuradas para serem reaplicadas mesmo se o GP não tiver mudado. Você pode controlar o comportamento do Cliente GP para um tipo específico de configuração através do registro, ou, como você já imaginava, através do GP.
Aplicar requisitos de conformidade, bloquear mais de 3 bilhões de senhas comprometidas e ajudar os usuários a criar senhas mais fortes no Active Directory com feedback dinâmico para o usuário final. Entre em contato conosco hoje sobre a Política de Senhas Specops!
Conclusão
Se você já se perguntou, “O que é o Group Policy?”, espero que este tutorial tenha sido capaz de responder a essa pergunta. O Group Policy é um sistema que existe há muito tempo e ainda é usado hoje por milhares de organizações. É uma peça fundamental para muitos que precisam aplicar alterações em seu ambiente de computadores com Windows.
Se você precisar fazer uma alteração em um, dez ou 1.000 computadores associados ao domínio, certifique-se de saber o que é o Group Policy.