O gerenciamento através de Group Policy
permite ao administrador de um domínio
Windows Server 2003 ou Windows 2000 Server
definir de forma centralizada configurações
para todos os servidores e desktops membros
do domínio. As políticas definidas
em uma Group Policy podem ser aplicadas a
um dado SITE, DOMAIN ou OU (Organization Unit)
e são suportadas por máquinas
executando Windows Server 2003, Windows 2000
Professional, Windows 2000 Server e Windows
XP Professional.
O uso de Group Policy permite ao administrador
automatizar a tarefa de manter os computadores
do domínio padronizados sob as normas
definidas pela empresa ou instituição,
administrar de maneira centralizada todos
os computadores através de uma única
console, implementar políticas de segurança
de forma rápida e eficiente, implementar
de forma fácil padrões de utilização
para grupos de usuários e simplificar
tarefas administrativas, tais como updates
e instalações de aplicações.
Utilizando Group Policy o administrador pode
definir configurações específicas
para grupos de usuários e computadores
criando Group Policy Objects (GPO’s).
Estes GPO’s são criados pela
ferramenta gpedit.msc (Group Policy Object
Editor) e agem sobre objetos do Active Directory,
tais como sites, domínios e unidades
organizacionais.
Figura: Exemplo de como proibir o acesso ao
Painel de Controle a todos os usuários
membros de uma OU
A seguir temos as principais áreas
de atuação de uma Group Policy
na configuração de um computador
cliente:
- Alteração do registry da máquina:
através de GP’s podemos alterar
diretamente configurações do
registry da máquina destino como, por
exemplo, definir o papel de parede do computador,
desabilitar o acesso a certas opções
do start menu, impedir a modificação
de parâmetros da rede, impedir o acesso
ao CD-rom ou ao floppy, etc.
- Segurança e restrição
ao uso de software não autorizado:
podemos criar políticas que impedem
a execução, por parte dos usuários
ou computadores alvo da política, de
programas não autorizados.
- Configurações do Internet
Explorer: através de Group Policy podemos
definir todas as configurações
do IE, tais como zonas de segurança,
configurações de privacidade
(cookies), e todos os seus parâmetros,
permitindo ou não que sejam alterados
pelo usuário.
- Distribuição e instalação
de pacotes de software: podemos definir pacotes
de software, obrigatórios ou opcionais,
que sejam instalados automaticamente, como
por exemplo, atualizações de
antivírus, utilitários, updates
do sistema operacional, etc.
- Criação de scripts: através
de políticas de grupos podemos criar
scripts de startup e shutdown (ou seja, são
executados quando ligamos e desligamos o computador)
e scripts de logon e logoff (ou seja, são
executados quando um usuário entra
ou sai da máquina).
- Criação de profiles remotos
e redirecionamento de pastas: através
de políticas de grupo podemos fazer
com que os profiles dos usuários sejam
gravados remotamente em um servidor na rede
ao invés de localmente. Além
disso, podemos também definir que a
pasta “Meus Documentos”, por exemplo,
seja gravada num servidor, de forma transparente
para o usuário, facilitando, assim,
operações de backup destes arquivos.
Para criar uma política de grupo e
automaticamente aplicá-la a uma OU
(organization unit) devemos clicar com o botão
direito do mouse na OU desejada, clicar em
propriedades e clicar na barra “Group
Policy”. A console gpedit.msc será
executada e será possível editar
as políticas para esta OU. É
importante lembrar que o método preferencial
para criação de políticas
de grupo atualmente não este e sim
através da GPMC (Group Policy Management
Console, ou gpmc.msi), que pode ser baixado
a partir do site da Microsoft (http://www.microsoft.com/downloads/details.aspx?FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en).
A GPMC unifica em um só ponto a criação
e edição de group policies,
permite fazer backup e restore de GPO’s
e gera relatórios com a Resultant Set
of Policy (RSoP) de uma determinada máquina
ou usuário, facilitando a tarefa do
administrador para identificar rapidamente
que políticas estão efetivamente
aplicadas na máquina em questão.
Ao usar Group Policy em diversos níveis
deve-se ter em mente a hierarquia e a herança
destas políticas. As definições
podem ser aplicadas a um site, a um domínio,
a uma unidade organizacional e localmente
em um computador. A ordem de aplicação
é sempre primeiro a política
local da máquina, depois a de site,
em seguida de domínio e por último
a de OU. Como cada política aplicada
sobrescreve a anterior, a prioridade é
inversa à ordem de aplicação,
sendo, portanto a política aplicada
a uma unidade organizacional a mais prioritária.
Os administradores de sistemas Windows têm
à sua disposição hoje
aproximadamente 1600 settings de políticas
de grupo, aplicáveis a computadores
e usuários, permitindo que praticamente
todas as configurações dos computadores
membros de um domínio sejam administradas
por alguns cliques de mouse a partir de uma
única estação, diminuindo
a necessidade de deslocamento de equipes de
suporte e diminuindo drasticamente o custo
de configuração, updates e instalação
de software.