Prévia do material em texto
Sistemas Operacionais em Redes Diretivas de Grupo - GPO Windows Server 2008 Agenda • Introdução ao GPO do Windows Server 2008. • Criação de GPO. • Exercícios. Introdução a GPO • O GPO pertence ao Active Directory (AD), e permite criar restrições de acesso aos usuários e aos computadores. Projetando uma Estrutura de OU Unidade Organizacional O que é Diretiva de Grupo? • Gerenciar usuários e computadores • Garantir Regras e Normas de TI • Simplificar tarefas administrativas • Implementar configurações de segurança Quando a Diretiva de Grupo é aplicada? • Startup (LIGA) e Shutdown (Desliga) • Logon e logoff • Intervalos Definidos (Padrão 90 minutos) Laboratório Usuários e computadores do Active Directory • Vamos visualizar os usuários e computadores do Active Directory. • Clique em Iniciar > Ferramentas Administrativas > Usuários e computadores do Active Directory. Domínio • Dentro do Active Directory podemos visualizar nosso domínio Etecredes.com; • No domínio temos os containers, e podemos criar nossos usuários, adicionar computadores na rede, etc. Nova Unidade Organizacional - OU • Vamos criar uma nova Unidade Organizacional. • Clique com o botão direito no domínio > Novo > Unidade Organizacional > Digite “Biblioteca” para nossa nova “OU”. • Dentro de biblioteca vamos criar um novo usuário. • O nome do novo usuário será “alunob”. Novo Usuário • Após adicionar o novo usuário faça “logon” em um computador cliente da rede para testarmos. Configurações do Cliente Windows XP • Após acessarmos o Windows XP, realize os seguintes testes: – Verifique se o usuário tem acesso ao prompt de comando. – Execute um comando comum “Dir”, por exemplo, este comando irá listar o que temos dentro do diretório corrente. – Abra “Meu Computador”, que apresentar os drivers C:, D: etc. • Após as verificações faça “logoff”. Configurações de GPO • Clique no botão Iniciar > Ferramentas Administrativas > Gerenciamento de Diretiva de Grupo. • Escolha a Unidade Organizacional “Biblioteca” > Clique com o botão direito > Criar um GPO neste domínio. GPO - Biblioteca • Após criarmos a GPO a mesma aparecerá na pasta Biblioteca. GPO - Biblioteca • Clique com o botão direito na GPO – Biblioteca > Editar. • Temos duas abas: Configuração do Computador e Configuração do Usuário. – Podemos realizar configurações para computadores em nossa rede e configurações de usuários. GPO - Biblioteca • Vamos editar as configurações dos usuários, ou seja, onde o usuário for essa política o acompanhara. • Clique no sinal de mais “+” ao lado de “Configuração do Usuário” > “Modelos Administrativos: [...]” > “Sistema”. GPO - Biblioteca • Dê um duplo clique na opção “Impedir acesso ao prompt de comando” clique na opção “Habilitado”. • Na opção desativar o processamento do script de prompt de comando deixe com a opção “Não”, pois não vamos bloquear os scripts que irá rodar. GPO - Biblioteca • Após a configuração clique em “Aplicar” e depois “OK”. GPO - Biblioteca • A próxima configuração esta na pasta “Área de Trabalho”, clique nesta opção. • Escolha o item “Ocultar e desativar todos os itens na área de trabalho” > Habilite essa política. • Clique em Aplicar > OK. GPO - Biblioteca • A próxima opção de configuração é “Componentes do Windows” > “Windows Explorer” > “Impedir o acesso a unidades de Meu Computador”. • Habilite essa opção. GPO - Biblioteca • Nas “Propriedades de Impedir o acesso a unidades de Meu Computador” na opção “Selecionar uma das seguintes combinações” escolha “Restringir apenas unidades A, B, C e D”. • Para não impedirmos que o usuário enxergue a unidade compartilhada. GPO - Biblioteca • Vamos também escolher a opção “Oculta estas unidades especificas em Meu computador” para que o usuário não veja as unidades. • Clique em Aplicar e OK. Verificação das configurações do GPO - Biblioteca • Após configurarmos as políticas de grupo, acesse com o usuário “alunob”, o nosso cliente Windows XP, para verificarmos as configurações realizadas. – Verifique se existe algum ícone na área de trabalho “Lixeira, por exemplo”. – Abra o prompt de comando, e verifique se o mesmo permitirá que executemos algum comando. GPUPDATE Gpupdate é uma ferramenta de linha de comando que atualiza as configurações de Diretiva de Grupo locais e configurações de Diretiva de Grupo armazenadas no Active Directory, incluindo as configurações de segurança. Por padrão, as configurações de segurança são atualizadas a cada 90 minutos em uma estação de trabalho ou um servidor, e a cada 5 minutos em um Controlador de Domínio. Você pode executar gpupdate para testar uma configuração de Diretiva de Grupo ou aplicá-la diretamente. GPUPDATE Exemplos: C:\gpupdate C:\gpupdate /target:computer C:\gpupdate /force /wait:100 C:\gpupdate /boot /Target:{Computador | Usuário} Especifica a atualização somente de usuários ou computadores para suas configurações de diretiva. Por padrão, a diretiva de usuário e computador é atualizada. /Force Replica todas as configurações de diretiva. Por padrão, somente as configurações de diretiva que foram modificadas são replicadas. /Wait:{Valor} Defina o número de segundos a aguardar o processamento da diretiva. O padrão é 600 segundos. O valor ' 0 ' indica que não há espera. O valor ' -1 ' indica uma espera indefinidamente. /Logoff Faz logoff depois de atualizar a configuração de definições de Diretiva de Grupos. /Boot Faz com que o computador seja reiniciado depois da atualização das configurações de Diretiva do Grupo. /Sync Faz como que a próxima configuração de definição de diretiva seja aplicada de forma síncrona. GPRESULT • Como você pode aplicar níveis sobrepostos das configurações de diretivas a qualquer computador ou usuário, a Diretiva de Grupo gera um relatório da aplicação das diretivas no logon. Gpresult exibe o relatório da aplicação da diretiva no computador para o usuário especificado no logon. • O comando gpresult exibe as configurações de Diretiva de Grupo e o Conjunto de Diretivas Resultante (RSoP) para um usuário ou um computador. Você pode utilizar gpresult para verificar se as configurações de GPO estão em vigor e localizar problemas no aplicativo. GPRESULT • Exemplos: • C:\gpresult /s srvmain /u maindom/hiropln /p p@ssW23 /user targetusername /scope USER C:\gpresult /s srvmain /u maindom/hiropln /p p@ssW23 /user targetusername /v >policy.txt C:\gpresult /s srvmain /u maindom/hiropln /p p@ssW23 • /s Computador Especifica o nome ou o endereço IP de um computador remoto. Por padrão, é o computador local. • /u Domínio/Usuário O comando funciona com as permissões da conta de usuário específicas de Usuário ou Domínio/Usuário. O padrão é utilizar as permissões de usuário que foram autenticadas no computador e que executam o comando. • /p Senha Especifica a senha da conta de usuário que é especificada no parâmetro /u. • /usuário TargetUserName Especifica o nome de usuário de quem são exibidos os dados RSoP. • /scope {usuário|computador} Exibe as configurações de diretiva de usuário ou computador. Os valores válidos para o parâmetro /scope são usuário ou computador. Se não for incluído o parâmetro /scope, o gpresult exibe usuário e computador. • /v Especifica que a saída exibirá informações detalhadas da diretiva. • /? Exibe a ajuda na janela de comandos. Referências Bibliográficas Bibliografia Básica TANENBAUM, Andrew; Sistemas Operacionais – Projeto e Implementação (2ª edição); FERREIRA, Rubem – LINUX – Guia do Administrador do sistema; editora brasport (em Português); (2006); Bibliografia Complementar HOLME, Dan & THOMAS, Orin; Administração e Manutenção do Ambiente Microsoft Windows Server 2003.