Baixe o app para aproveitar ainda mais
Prévia do material em texto
9 Templates9 Templates de GPO que se você ainda não utiliza, precisa começar agora de GPO que se você ainda não utiliza, precisa começar agora DIOGO MOLINA Guia prático para você implementar as melhores GPO hoje mesmo GPO CONFIGURAÇÃO PROXY DO NAVEGADOR GPO PARA CRIAÇÃO DE CONTAS DE USUÁRIOS OU GRUPOS LOCAIS INTRODUÇÃO GPO PARA MAPEAMENTO DE PASTAS NA REDE GPO PARA CONTROLAR OS SERVIÇOS DO WINDOWS GPO DE AUDITORIA DE ACESSO A PASTAS E ARQUIVOS GPO FORÇAR A RESTRIÇÃO DE MEMBROS DE GRUPOS ADMINISTRATIVOS GPO CRIAÇÃO DE PASTAS GPO CRIAÇÃO DE CÓPIA DE ARQUIVOS PARA OUTRAS MÁQUINAS GPO CRIAÇÃO CONEXÃO VPN CONCLUSÃO ÍNDICE 03 04 09 13 17 21 24 28 31 34 37 1° TEMPLATE 2° TEMPLATE 3° TEMPLATE 4° TEMPLATE 5° TEMPLATE 6° TEMPLATE 7° TEMPLATE 8° TEMPLATE 9° TEMPLATE As GPO são recursos poderosos que temos dentro de um ambiente com Active Directory, e se você quer REALMENTE se destacar no gerenciamento de ambientes com Active Directory, você vai precisar dominar esse recurso. Em outras palavras, ou você aprende como funciona e como gerenciar ambiente com as GPO ou dificilmente vai conseguir se tornar um Administrador de ambientes com Active Directory. E para te ajudar nesse processo, estou te dando aqui nesse material um ATALHO para você seguir. São 9 templates de GPO que você precisa conhecer, que você precisa implementar no seu ambiente. Mas a verdade é que poucos profissionais, até os mais experientes conhece essas GPO que eu vou te mostrar nesse E-BOOK, então aproveite essa OPORTUNIDADE, entende cada um desses templates e implante no seu ambiente HOJE MESMO. Vamos lá? SEJA MUITO BEM VINDO A ESSE MATERIAL ONDE EU VOU TE MOSTRAR 9 TEMPLATES DE GPO INDISPENSÁVEIS PARA QUALQUER AMBIENTE. 03 TemplateTemplate1º1º GPO PARA CRIAÇÃO DE CONTAS DE USUÁRIOS OU GRUPOS LOCAIS É muito comum em ambientes a necessidade de criação de alguns usuários locais ou grupos locais, seja para uma aplicação especifica, seja para uma necessidade específica. Só que por se tratar de uma criação local, no passado havia a necessidade de logar em cada uma das máquinas para fazer a criação desse usuário ou grupo. Agora imagina um cenário onde havia a necessidade de criar essa conta em centenas de máquinas, olha só o esforço manual que haveria. Mas podemos fazer isso de uma forma muito simples utilizando as GPOs. Fazendo com que a GPO faça a criação de um usuário ou grupos locais para quantas máquinas a gente precisar. Para criar essa GPO é só seguir os passos abaixo: Abra a ferramenta GPMC crie a GPO e clique em “Edit”: 05 Na console de edição da GPO, vá até o caminho “Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups”: Clique com o botão direito em “Local Users and Groups” e selecione se você vai criar um usuário local ou um grupo local: 06 Para esse exemplo iremos utilizar “Grupos” Nas propriedades do novo grupo local, na primeira opção devemos definir o campo “Action” como “Create” pois estaremos criando um novo grupo local. Em “Group name” definimos qual será o nome para esse grupo. E já tem também a opção de adicionar os membros para esse novo grupo local: Feita essas configurações, é só clicar em “Ok” e pronto, é só associar essa GPO na OU onde estão as contas de computador que terão esse grupo local criado: 07 08 TemplateTemplate2º2º GPO CONFIGURAÇÃO PROXY DO NAVEGADOR Essa é outra configuração muito comum e muito prática para qualquer ambiente. Hoje praticamente todos os ambientes utilizam uma solução de Proxy para controlar as conexões com a Internet. E essa configuração na grande maioria dos casos ficam definidas no navegador. Então conseguimos através de uma única GPO configurar as opções de Proxy para todos os usuários da Empresa. Para criar a GPO de configuração de Proxy, siga os passos abaixo: Na ferramenta de edição da GPO, vá até o caminho “User Configuration > Preferences > Control Panel Settings > Internet Settings”. Clique com o botão direito em “Internet Settings” e selecione “New” aqui você deverá selecionar a versão do Internet Explorer. 10 Para o nosso cenário, vamos seguir com a configuração para o “Internet Explorer 10” Vá até a aba “Connections”, depois em “LAN settings” e em “Proxy server” selecione o checkbox e insira o endereço do Servidor Proxy e a porta que ele utiliza. 11 Clique em “Ok”, depois “Ok novamente” e pronto sua GPO já está pronto, só vincular para o seu ambiente. 12 TemplateTemplate3º3º GPO PARA MAPEAMENTO DE PASTAS NA REDE Outro recurso extremamente útil fazer via GPO. Qualquer empresa possui um Servidor de Arquivos, e para os usuários acessarem os conteúdos que estão armazenados no Servidor de Arquivos, precisamos mapear esse conteúdo em suas estações de trabalho. E aqui, novamente a GPO faz isso de uma forma muito simples. Para criar a GPO para Mapear pastas da rede, siga os passos abaixo: Na ferramenta de edição de GPO, vá até “User Configuration >Preferences > Windows Settings > Drive Maps”: Clique com o botão direito em “Drive Maps” e selecione “Mapped Drive”: 14 Em “Action” como estamos criando um mapeamento novo, selecionamos a opção de “Create” Em “Location” inserimos o caminho (UNC) onde a pasta está armazenada. Em “Recconnect” selecionamos a opção se queremos que no caso de falha de conexão esse mapeamento possa ser reconectado automaticamente. Em “Labes as” definimos como o nome desse mapeamento irá aparecer para os usuários. Em “Driver Letter” inserimos qual a letra será atribuída para o nosso mapeamento. Em “Hide/Show this drive” selecionamos a opção de “Show this drive” para esse mapeamento ficar visível para os usuários: 15 Clicamos em “OK” e pronto a GPO de mapeamento para essa pasta está pronta, o próximo passo é vincular essa GPO na OU onde estão os usuários que precisam desse mapeamento. 16 Template4ºTemplate4º GPO PARA CONTROLAR OS SERVIÇOS DO WINDOWS Essa GPO é muito utilizada em ambientes que precisam aplicar Hardening, onde o objetivo é eliminar da máquina serviços que ela não precisa executar e mesmo assim os serviços ficam iniciados por padrão. Para esse tipo de cenário, podemos forçar essa configuração via GPO. Imagina por exemplo que sua política de Hardening fala que somente Servidores de Impressão devem ter o serviço de Spooler iniciado, porém por padrão esse serviço é iniciado em todas as máquinas. Conseguimos forçar via GPO que esse serviço seja desabilitado nas máquinas que não são Servidores de Impressão por exemplo. Para configurar a GPO de gerenciamento de Serviços, siga os passos abaixo: Na ferramenta de edição de GPO, vá até “Computer Configuration > Preferences > Control Panel Settings > Services”. 18 Clique com o botão direito e “Services” selecione “New” > “Service” Na opção “Startup” selecione “Disabled” pois queremos desabilitar o serviço de Print Spooler. Na opção “Service name” selecione qual o serviço que você quer desabilitar (você pode utilizar os “...” para localizar o serviço). Como só estamos desabilitando um serviço, não precisamos definir mais nenhuma configuração. 19 Clique em “OK” e pronto configuração está feita. Agora é só vincular a GPO na OU que está as contas de computadores que terão esse serviço desabilitado. 20 Template5ºTemplate5º GPO DE AUDITORIA DE ACESSO A PASTAS E ARQUIVOS É muito comum nos ambientes, os administradores precisarem auditar o que os usuários acessam no File Server, quem deleta os arquivos, quem altera, etc. Aqui podemos utilizar o poder das GPO para configurar a auditoria para esses objetos. Para que o administrador da rede possa identificar quem exclui, editou determinados arquivos por exemplo. Para criar a GPO, na ferramenta de edição vá até “Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy”: A politica de auditoria que devemos habilitar é a “Audit object access” de dois clique nela e selecione o check box “Definethese policy settings” e escolha se você vai auditar somente os acesso que tiveram sucesso ou se vai auditar as falhas de acesso também (por exemplo, um usuário tentando fazer uma ação que ele não tem permissão. 22 Clique em “Ok” e pronto. Só vincular essa GPO na OU onde está a conta de computador do File Server. 23 Template6ºTemplate6º GPO FORÇAR A RESTRIÇÃO DE MEMBROS DE GRUPOS ADMINISTRATIVOS Essa GPO é muito interessante, muito útil, porém pouca gente utiliza, mas eu recomendo sua utilização. Existem grupos administrativos que precisam ser protegidos, que não podemos deixar qualquer usuário fazer parte dele. E para ter esse gerenciamento, temos uma GPO para controlar os membros desses grupos. A partir do momento que informamos na GPO quem serão os membros desse grupo, se alguém adicionar outro membro nesse grupo que não esteja definido na GPO, ele será automaticamente removido. Para configurar essa GPO, siga os passos abaixo: Na ferramenta de edição de GPO, vá até “Computer Configuration > Windows Settings > Security Settings > Restricted Groups”: 25 Clique com o botão direito e selecione “Add Group” Clique em “Browse” e selecione o Grupo (no exemplo escolhi o grupo Domain Admin): Clique em “Ok” Agora devemos adicionar os membros desse grupo e se esse grupo vai pertencer a algum outro grupo. 26 Clique em “Ok”. Pronto a partir de agora, qualquer usuário que for adicionado nesse grupo e não estiver definido na GPO, será automaticamente removido. Uma coisa interessante é que a qualquer momento você pode ir na GPO e adicionar ou remover os membros. 27 TemplateTemplate7º7º GPO CRIAÇÃO DE PASTAS Uma coisa comum que pegamos nos ambientes é aplicações que são instaladas remotamente, mas que precisam de alguma pasta criada previamente. Conseguimos fazer a criação dessas pastas utilizando as GPO. Imagina o cenário onde você precisa instalar um novo agente nas estações de trabalho de todos os funcionários da empresa. E você vai utilizar uma ferramenta de implementação automatizada, para não precisar instalar a aplicação máquina por máquina. Agora imagina que essa aplicação, para ser instalada precisa que uma pasta seja criada em cada máquina antes da instalação. Já pensou ter que ir em máquina por máquina criando essa pasta? Não dá né. Não se preocupe conseguimos fazer isso através das GPO. Para isso siga o processo abaixo: Na ferramenta de edição de GPO, vá até “Computer Configuration > Preferences > Windows Settings > Folders”. 29 Clique com o botão direito em “Folder”, selecione “New” e “Folder”: Em “Action” selecione “Create” Em “Path” selecione onde você quer criar essa pasta, no exemplo estou criando a pasta na unidade C: e a pasta vai se chamar “LAB”. Clique “Ok” e pronto, só vincular essa GPO na OU onde está as contas de computadores que vão ter essa pasta criada. 30 Template8ºTemplate8º GPO CRIAÇÃO DE CÓPIA DE ARQUIVOS PARA OUTRAS MÁQUINAS Essa GPO é interessante, imagina o cenário onde você tem uma aplicação e essa aplicação é instalada em 20 máquinas. E o desenvolvedor fez uma alteração e para essa alteração dar certo, precisa copiar uma nova DLL para as 20 máquinas. Para evitar de ter que logar em cada máquina para copiar a DLL, podemos utilizar a GPO. Só um ponto de atenção, essa GPO não costuma funcionar muito bem para arquivos grandes, por exemplo, ISO. Para criar essa GPO, siga os passos abaixo: Na ferramenta de edição de GPO, vá até “Computer Configuration > Preferences > Windows Settings > Files”. Clique com o botão direito em “Files” selecione “New” e “Files”. 32 Em “Action” selecione a opção “Create”. Em “Source Files” selecione a origem do arquivo a ser copiado. Em “Destination File” selecione onde o arquivo será copiado. Clique “Ok” e pronto. 33 Template9ºTemplate9º GPO CRIAÇÃO CONEXÃO VPN Esse recurso é muito útil, principalmente agora que boa parte das empresas estão com os colaboradores trabalhado remotamente. Podemos também criar as conexões VPN através de GPO. Para não ter que conectar máquina por máquina para fazer as configurações para os colaboradores conectarem na VPN, podemos aplicar isso através de GPO. Para criar essa GPO, siga os passos abaixo: Na ferramenta de edição de GPO, vá até “User Configuration > Preferences > Control Panel Settings > Network Options”. Clique com o botão direito em “Network Options” selecione “New” e “VPN Connections” 35 Em “Action” selecione a opção de “Create” E defina todas as configurações para conexão na VPN e depois clique Ok. Pronto, vincule a GPO na OU que tem as contas de usuários que fazem a conexão por GPO. 36 Chegamos ao fim dos 9 Templates de GPO que eu recomendo que você utilize no seu ambiente. É claro que existem muito, mais muito mais GPOs, mas essas são GPO estratégicas que eu recomendo para qualquer ambiente. Uma coisa interessante quando falamos de GPO é que há necessidade de conhecer toda a estrutura de como funciona as GPO no Active Directory. Não se contente em apenas ser um criador de GPO, não se contente em criar várias e várias GPO, sem entender como funciona todo o fluxo de aplicação, pois isso vai te ajudar e muito um dia que você precisar fazer a resolução de um problema que envolva uma GPO. O grande problema é que a maioria dos profissionais de trabalham com GPO, só sabem criar, não entende a estrutura. E isso envolve um conhecimento mais profundo do próprio Active Directory e até do DNS. A verdade é que se você somente ficar na criação de GPOs, sem conhecer a fundo toda essa estrutura que está por trás, dificilmente você vai conseguir se destacar na área, na sua empresa... ...dificilmente será um profissional reconhecido. Dificilmente quando você entrar em uma sala de reunião, as pessoas vão querer ouvir sua opinião sobre um problema, um projeto. Mas se você tem esse DESEJO de ser um profissional reconhecido, um profissional que todos vão querer ouvir para dar soluções, direcionamento nos projetos, em outras palavras, um profissional desejado pelas empresas, e transformar seu conhecimento em dinheiro no bolso.. 37 CONHEÇA O SUPER PACOTE DE TREINAMENTOS EU TE CONVIDO A CONHECER MEU SUPER PACOTE DE TREINAMENTOS, ONDE VOCÊ VAI APRENDER TUDO SOBRE ACTIVE DIRECTORY (INCLUSIVE GPO), DNS SERVER, VPN E HYPER-V. Se você acha que está pronto para esse próximo passo na sua carreira, clique no botão abaixo e conhece esse SUPER Pacote de Treinamentos. SEU PRÓXIMO PASSO https://diogomolina.com.br/pv7 https://diogomolina.com.br/pv7 https://diogomolina.com.br/pv7 Me acompanhe no Instagram @molina_diogo_ti https://www.instagram.com/molina_diogo_ti/ https://www.instagram.com/molina_diogo_ti/
Compartilhar