GPOS

Utilize a Política de Grupo para definir e implementar configurações específicas de grupos de utilizadores e computadores. Estas configurações são criadas utilizando o Editor de Gestão de Políticas de Grupo e estão contidas num ou mais GPOs (Group Policy Objects) armazenados no Active Directory. Para implementar as definições, o GPO é ligado a um ou mais contentores do Active Directory, como um local, um domínio ou uma OU (Organizational Unit). As definições do GPO são então aplicadas automaticamente aos utilizadores e computadores cujos objectos estejam armazenados nesses contentores do Active Directory. Pode configurar o ambiente de trabalho para os utilizadores uma vez e, em seguida, deixar que a Política de Grupo aplique as definições.

Para obter uma descrição geral da Política de Grupo, consulte a análise da tecnologia da Política de Grupo neste guia. Para obter mais informações sobre a Política de Grupo, consulte o artigo sobre a Política de Grupo do Windows Server em http://go.microsoft.com/fwlink/?linkid=93542. (Esta página poderá estar em Inglês.)

Configurando um script de logon através de GPO no Windows Server 2008

Há alguns benefícios para o uso de GPOs para atribuir scripts:

  • GPOs só funciona com Windows 2000 e acima, o que significa que se os usuários utilizam os clientes mais antigos, como Windows 95/98 ou Windows NT, GPOs não irá trabalhar para eles.
  • Ao utilizar GPOs você pode atribuir mais de um script de logon por usuário, e você pode configurar qual o script é executado primeiro.
  • Ao utilizar GPOs você pode atribuir mais de scripts de logon APENAS, você também pode atribuir scripts de logoff para os usuários e os scripts de inicialização e desligamento, mesmo para o próprio computador.
  • GPOs podem ser vinculados a níveis do site, OUs ou de domínio, o que significa que com um GPO, você pode atribuir um script de logon para muitos usuários, ou mesmo a todos os seus usuários, em vez de ter que manualmente adicionando-a a todos os objetos de usuário no domínio.

É por isso que na maioria dos cenários, usando GPOs é mais útil do que fazê-lo à moda antiga, através ADUC.

Nota: Usando o Windows Server 2008 GPOs para atribuir scripts de logon é basicamente o mesmo como era no Windows 2003, mas tendo algumas pessoas me perguntando sobre isso no Windows Server 2008 provocou a escrita deste artigo.

Criando o script de logon

O script de logon é o arquivo que faz a ação real. Pode ser quase qualquer acção, como notado acima. Então, vamos começar por criar esse script. Ao contrário do “antigo” método de usar ADUC eo perfil guia de propriedades dos usuários de contas, o local padrão para GPO iniciadas scripts de logon é o profundo dentro da pasta SYSVOL especial, que, por padrão, é compartilhada em todos os Domain Controllers em uma floresta do Active Directory, e está localizado na seguinte pasta:

% SystemRoot% \ SYSVOL \ sysvol \ <nome DNS \ Policies \ {GUID} \ User \ Scripts \ Logon

Onde% SystemRoot% é normalmente “C: \ Windows”, <nome DNS é o nome DNS do domínio, semelhante ao “Petri.local”, e {GUID} é uma seqüência hexadecimal que representa o GUID (identificador único) de Objeto de Diretiva de Grupo específica em uso. Essa pasta, que é uma parte da pasta SYSVOL especial, é replicada para todos os controladores de domínio no domínio. Cada GPO tem a sua própria interna do usuário e da máquina subpastas, e sob elas tem, se usado, um Logon, Logoff, Inicialização e Desligamento subpasta onde apropriado.

Nota: O processo real de criação do script está fora do escopo deste artigo, há planty de bons recursos com grandes exemplos na Internet.

  1. Criar o script de logon e dar-lhe o nome apropriado (por exemplo: logon.bat, logon.cmd, logon.vbs, etc) O script pode usar qualquer nome, apenas tenha certeza que você sabe o que esse nome é, e dar-lhe o tipo de extensão de arquivo direito.
  2. Certifique-se que o script é executado e executa a ação necessária quando for executar manualmente (duplo-clique sobre ele).
  3. Copie o script de logon (CTRL + C).

Se você planeja ter mais de um script de logon, e se você deseja atribuir que o / os script (s) a mais de um usuário, você precisa criar os scripts de logon como muitos como você deseja, e depois adicioná-los na direita ordem no GPO direito. Mais sobre isso mais tarde.

O que permissões são necessárias para scripts de logon para executar?

Os scripts de logon e logoff executado com as credenciais do usuário. Recomenda-se que o “Domain Users” do grupo deve ser dada permissão a todos os recursos utilizados por um desses scripts. Por exemplo, se o script de logon ou logoff grava em um arquivo de log, o grupo “Usuários do domínio” deve ser dado acesso leitura / gravação para o arquivo ou a pasta onde o arquivo de log está localizado. A maioria dos usuários têm privilégios limitados no computador local, para scripts de logon e logoff terá os mesmos privilégios limitados.

Como uma nota lateral, scripts de inicialização e desligamento executado com as credenciais do objeto de computador. Recomenda-se que o “Domínio Informática” grupo deve ser dada permissão a todos os recursos utilizados pelos scripts de inicialização ou desligamento. No entanto, vale a pena saber que os scripts de inicialização e desligamento do sistema têm privilégios no computador local. Isto dá scripts de inicialização e desligamento acesso ao sistema de arquivos local e registro.

Atribuindo o script para o usuário ou usuários

Em seguida, precisamos decidir o que usuário deve ter o script de logon. Com esse procedimento (e ao contrário dos usuários do Active Directory e computadores método), você pode vincular como script de logon muitos como você deseja para os seus usuários, e você pode fazê-lo quantas vezes você quiser. No entanto, ele só vai funcionar em computadores que são Windows 2000 e acima, embora na maioria dos casos hoje em dia isso não é um problema.

O título desta seção é uma espécie de induzir em erro, porque quando se usa GPOs, você não atribuir o GPO a um ou mais usuários, mas para uma unidade organizacional (OU), a um site do Active Directory, ou para o domínio todo o Active Directory. Então, você deve agora decidir se deseja que o script se aplique a todos os usuários do domínio, ou apenas para um conjunto específico de usuários localizados dentro de um ou mais UO (Unidade Organizacional) no Active Directory Users and Computers.

Se você optar por aplicar a todos os usuários do domínio, você deve criar um objeto de Diretiva de Grupo (ou GPO) e vinculá-lo a todo o domínio. Se você optar por aplicar o script apenas para um conjunto específico de usuários, você deve colocar todos os usuários em uma OU (Unidade Organizacional) no Active Directory Users and Computers, e vincular o GPO a essa UO.

A fim de atribuir o GPO e editá-lo, vamos usar uma ferramenta chamada Group Policy Management Console , ou GPMC em breve. Esta ferramenta não é instalado por padrão no Windows Server 2003, e também não é instalado por padrão no Windows Server 2008. No Windows Server 2008, o GPMC é considerado como um “recurso”, e você deve instalá-lo antes de poder usá-lo. No entanto, ao contrário do Windows Server 2003, onde você deve baixar e instalar a ferramenta, no Windows Server 2008, o GPMC já faz parte do sistema operacional, basta adicioná-lo. Se o Windows Server 2008 servidor também é um controlador de domínio, o GPMC será instalado automaticamente como parte do processo de DCPROMO. Se não é um DC, você precisa adicioná-lo manualmente. Ver o meu ” Adicionando recursos para o Windows Server 2008 “artigo.

Veja se a pasta Ferramentas Administrativas tem uma ferramenta chamada Group Policy Management Console . Se isso acontecer, continue a ler. Se não, leia ” Adicionando recursos para o Windows Server 2008 “artigo.

  1. Open Group Policy Management Console a partir da pasta Ferramentas Administrativas (ou gpmc.msc de RUN).
  2. Se, como descrito no parágrafo acima, você decidiu aplicar o script a todos os usuários do domínio, expanda a árvore de domínio, localize o nome de domínio. Botão direito do mouse o nome do domínio e selecione Criar e vincular um GPO aqui .
  3. Se, como descrito no parágrafo acima, você decidiu aplicar o script para apenas um conjunto específico de usuários, expandir a árvore de domínio, localize a OU onde os usuários estão localizados. Botão direito do mouse e selecione a UO Criar e vincular um GPO aqui .

Nota: Claro que pode ser possível que um GPO já existe e está ligada ao nível de objeto que você precisa. Nesse caso, você não precisa criar um novo GPO, você pode usar o já existente.

  1. Na janela Novo GPO, dar o novo GPO um nome descritivo, como “Teste Logon Script GPO”. Clique Ok .
  1. Se você não vê-lo já, atualização da visão do GPMC e encontrar o novo GPO que você acabou de criar, quer sob o nome de domínio ou da OU, dependendo da sua escolha anterior.
  2. Quando você clica sobre o novo GPO você pode ser solicitado com uma janela de mensagem. Clique Ok .
  1. Botão direito do mouse o novo GPO e selecione Editar .
  1. Na janela Group Policy Editor de Objetos, expanda Configuração do Usuário> Configurações do Windows> Scripts .
  1. Clique duas vezes em Logon no painel do lado direito.
  2. Na janela Propriedades de Logon, clique em Exibir arquivos .
  1. Uma janela será aberta. O caminho será uma pasta semelhante à seguinte: \ \ domain.com \ SYSVOL \ Petri.local \ Policies \ {E4A62379-8423-4654-8DB6-01FB8F58582D} \ User \ Scripts \ Logon. Cole o script de logon que você copiou na parte anterior deste artigo. Fechar a janela.
  1. De volta à janela Propriedades de Logon, clique em Adicionar .
  1. No Adicionar um script janela, clique em Procurar e você verá o passo script de logon # 11. Faça o que fizer, NÃO navegar manualmente para o arquivo, ele deve estar na frente de seus olhos. Se ele não estiver lá, verifique os passos anteriores para um erro. Clique Ok .
  2. Back in the Propriedades Logon janela, ver se o script de logon é listado, e se for, clique em Ok .
  1. Feche o Group Policy Editor de objeto de janela.
  2. Feche o GPMC janela.

Replicar os DCs

Agora precisamos replicar os DCs no domínio usando tanto Active Directory Sites e Serviços, REPLMON, Repadmin, ou aguarde alguns instantes (dependendo do número de DCs). Como um simples acompanhamento a este artigo, eu sugiro que você use Active Directory Sites e Serviços.

Testando o script de logon

  1. Em um dos computadores que é parte do domínio, logoff a conta de utilizador específico.
  2. Logon e teste.

Se o script de logon não funciona para você, voltar para o básico e veja se ele funciona em todos clicando duas vezes sobre ele. Veja se ela é colocada no caminho certo, e ver se ele foi replicado para os outros DCs. Além disso, verifique as permissões ao tentar executar manualmente o script do caminho certo, mas enquanto estiver conectado como o usuário, e não como um administrador. Se ainda assim não funcionar, use o GPMC Grupo de Política de Recursos de resultados para determinar a GPO foi efectivamente aplicada para o usuário.

1- Para bloquear o Painel de Controle é fácil. Vá em Políticas de Segurança, Configurações de Usuários, Modelos Administrativos, Painel de Controle, e na chave “Desativar Painel de Controle” [Disable Control Panel] coloque como ativado.
2 – Para bloquear a instalação de programas, especificamente pelas GPOs não há, mas se você colocar os usuários no grupo Usuários restritos, eles não conseguirão efetuar a instalação de aplicativos. Uma forma paleativa para redes em que existem usuários com direitos administrativos, mas que não deveriam executar instalações, é restringir pelo item 1 (pela execução de aplicativos), como por exemplo a instalação em geral (INSTALL.EXE, SETUP.EXE, *.MSI) ou específica (INSTALL_MSN_MESSENGER_NT.EXE = MSN para Windows 2000).
3 – Para bloquear alguns tipos de arquivos, use o item 1, como *.MP3, *.WMV, e assim por diante. Veja que você estará barrando a execução e não o download. Para bloquear o download dos arquivos citados, você define nas regras do ISA Server.
Implementar Definições Básicas Utilizando a Política de Grupo

Aplica-se a: Windows 7, Windows Server 2000, Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2, Windows Server 2008, Windows Server 2008 R2, Windows Vista

Padronizar Papel de Parede do Windows via GPO

Visão Geral:Com o advento do Active Directory muitas configurações podem ser aplicadas nos computadores da rede utilizando um recurso chamado GPO. Nesse tutorial iremos ver como padronizar o papel de parede de todos os computadores do nosso ambiente computacional via política de grupo (GPO).

Obs. Os clientes de rede tem que ter no mínimo Windows 2000. Versões anteriores de Windows não serão aplicadas.

1. Abra o GPMC (Gerenciador de Políticas de Grupo) clicando em Iniciar —-> Programas –> Ferramentas Administrativas —> Gerenciamento de Diretivas de Grupo

clip_image002

2. Click com o Botão direito na OU (Unidade Organizacional) que será aplicada a GPO e click em “Criar uma GPO neste domínio e fornecer um link para ele aqui”.

Obs.
Nossa OU de exemplo é chamada teste

clip_image004

Obs. Os objetos, no caso os usuários, terão que fazer parte da OU que aplicaremos a GPO (No nosso exemplo a OU Teste).

3. Informe o nome da GPO e click em OK

clip_image006

4. Expanda a OU ( no nosso exemplo é a teste) e click com o botão direito na GPO e click em Editar

clip_image008

5. Expanda Configuraçã do Usuário –> Modelos Administrativos —-> Área de Trabalho —–> Área de Trabalho e click duplo em Papel de parede da área de trabalho.

clip_image010

6. Click em Habilitado em click em OK

clip_image012

Obs. Esse exemplo foi feito usando o Windows Server 2008


Conclusão:
Com esse tutorial vimos como aplicar um papel de parede padrão para todos os micros da rede via GPO e impedir que os usuários façam alterações.

  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: