Breaking News

Group Policy Object: Alterando o modo de aplicação

1/16/2013 08:02:00 PM

As GPO’s são comumente utilizadas para implantar diretivas de segurança e facilitar o modo como recursos e ferramentas são direcionadas aos usuários de uma rede.
O principal benefício é a implantação em larga escala, ou seja, é possível implantar a diretiva para todos os computadores da rede de uma só vez ou apenas para determinado grupo de computadores, mas imagine um cenário onde existem milhares de diretivas, acontece de uma política sobrescrever ou ‘atropelar’ outra, ter políticas repetidas, enfim, como é alterado a ordem de aplicação e o que faz com que a diretiva seja mais ‘forte’ que a outra?
As alterações se resumem em:
  • Alterar ordem dos links
  • Bloquear herança
  • Impor o link de um gpo
  • Desabilitar o link de um gpo
  • Usar filtro de segurança
  • Usar filtro wmi
  • Usar processamento de loopback

Alterar ordem dos links

Os administradores podem alterar a precedência de uma GPO alterando a ordem dos links, o link que tem a ordem superior é o 1, ou seja ele possui a maior precedência em um site, domínio ou unidade organizacional, resumindo, quem estiver linkado de cima para baixo, tem preferencia de aplicação das diretivas.

Bloquear herança

O bloqueio de herança impede que GPOs em domínios ou unidades superiores sejam herdadas por algum contêiner de nível filho, salvo quando uma GPO é imposta.

Impor o link de um GPO

Quando se impõe uma GPO, esta passa a ter precedência sobre qualquer objeto filho, inclusive nas unidades cujo qual a herança foi bloqueada.

Desabilitar o link de um GPO

Um GPO pode ser totalmente desabilitado, desta forma suas diretivas se tornarão inativas para qualquer dispositivo ou usuário.

Usar filtro de segurança

É possível limitar o uso de uma GPO para qualquer computador ou usuário da rede, por padrão o escopo engloba todos da rede, o grupo é chamado de Usuários autenticados, no escopo podemos definir para quem a GPO em questão será direcionada. Os usuários deverão ter acesso de leitura a diretiva, por padrão a diretiva é aplicada.
Para remover um usuário ou dispositivo da rede de uma GPO, existem as opções de delegação, onde é possível adicionar um usuário e remover todas as permissões do mesmo, veremos isso com mais detalhes em outro artigo.

Filtro WMI

Com o filtro WMI (Instrumentação de Gerenciamento do Windows) é possível aplicar as diretivas para apenas um grupo de computadores específicos, característica muito interessante para identificar objetos específicos e aplicar a diretiva para eles em uma mesma unidade organizacional, exemplo: Existe uma unidade que armazena todos os computadores da rede, seu superior solicita que uma nova diretiva de rede seja adicionada com urgência, todavia a diretiva deve ser aplicada apenas para Windows 7, pois para Windows XP pode ocasionar erros no sistema operacional, e agora? Simples, existe filtros WMI que separam a GPO apenas para o S.O que você desejar, independente onde estejam na rede, lembrando de todas os tópicos acima citados que podem alterar a ordem de aplicação.

Processamento loopback

O processamento loopback pode ser usado para garantir que determinadas diretivas sejam aplicadas (ou não) para qualquer usuário que faça logon, independente onde o logon seja realizado. Podemos criar um novo artigo para explicar o correto funcionamento do processamento loopback, mas esse artigo resume sua funcionalidade, confira em: Artigo
Essas foram as maneiras utilizadas para alterar a ordem e a atividade das diretivas de grupo em um ambiente controlado por um domínio, caso tenham algo a acrescentar, por favor, fiquem a vontade para contribuir em comentários.

Nenhum comentário

Postar um comentário

Assinar: Postar comentários ( Atom )
imagem de uma pessoa em frente a tela no notebook com a logo do serviço balcão virtual. Ao lado a frase indicando que o serviço