Group Policy Object (Objeto De Política De Grupo)

O Group Policy Object (Objeto de Política de Grupo) é uma novidade muito interessante e bastante útil no Windows 2000 e Windows Server 2003 e através dele podemos esquematizar planos de segurança, liberando ou restringindo acesso a recursos em estações de trabalho Windows 2000 e XP Professional participantes de um domínio com Active Directory.

08/10/03h

O Group Policy Object (Objeto de Política de Grupo) é uma novidade muito interessante e bastante útil no Windows 2000 e Windows Server 2003 e através dele podemos esquematizar planos de segurança, liberando ou restringindo acesso a recursos em estações de trabalho Windows 2000 e XP Professional participantes de um domínio com Active Directory.

Vamos considerar que queremos restringir acessos a alguns recursos de sistema em um domínio, sendo assim teremos um controlador de domínio primário (DC) com Windows 2000 Server ou Advanced Server e lembrando que as configurações aplicadas no domínio serão também ativadas nos controladores de domínio de backup (caso existam) pois esses mantêm sincronia constante com o controlador primário.

Quando tais configurações são aplicadas para os usuários no domínio, as estações de trabalho vão carregar os devidos valores de configuração na chave HKEY_USER do registro: sendo assim, nada será alterado permanentemente no registro da estação de trabalho (Windows 2000 / XP Professional). O Administrador pode aplicar configurações diferentes para cada usuário ou para cada grupo de usuários, sendo assim cada grupo de usuários usará uma GPO definida para sua OU = Organization Unit (Unidade Organizacional).

Esse tutorial baseia-se na aplicação de políticas em várias contas de usuários através de uma OU.

Siga abaixo os passos para a sua implementação:

Na primeira tela acima vemos o caminho usado para acessar o console de gerenciamento de recursos de domínio – Active Directory Users and Computers (Usuários e Computadores do Active Directory). Na segunda, já dentro do console, do lado esquerdo vemos as divisões do domínio (ou seja, as OUS existentes) e do lado direito estamos vendo todas as contas de usuários existentes dentro da OU selecionada.

OU (Organization Unit) – Unidade Organizacional é uma subdivisão de um domínio: como estamos vendo acima, as pastas existentes no domínio acomodam contas de usuário (OU Users), computadores (OU Computers), controladores de domínio (OU Domain Controllers), etc. Também podemos adicionar novas unidades organizacionais em um domínio, essa é uma forma de administrar de maneira mais precisa os itens existentes no domínio pelo Active Directory.

Ao entrar no console de administração dos recursos do domínio, para criar e editar a GPO, clica-se em cima do nome raiz do domínio com o botão direito do mouse, em seguida no comando propriedades, logo será exibida uma tela igual a da figura abaixo:

Clique no botão New para criar uma nova GPO e após salvá-la com um nome dado por você, clique no botão Edit. Em seguida será exibido o console de configuração da GPO:

Na figura acima vemos a tela do console Group Policy aberta: é nessa tela - especificamente nos parâmetros de usuário (User Configuration) - é que iremos editar o que os usuários do domínio poderão e não acessar. No exemplo abaixo iremos estabelecer algumas restrições para acesso ao painel de controle da estação de trabalho:

Na tela acima eu cliquei com o botão direito do mouse e habilitei a opção “Disabled Control Panel”. Desta maneira, quando os usuários fizerem logon no domínio, a política será carregada em suas estações de trabalho para que os usuários não tenham acesso a fazer configurações de hardware, instalação de programas, configurações regionais, etc. Podemos optar por desabilitar algumas opções do Painel de Controle ao invés de todos os recursos nele existente: observe na imagem acima que à esquerda temos outras opções como Add Remove Programs, Printers, Regional Options e Display. Analise cada um deles para que você veja as outras opções que lhe são oferecidas.

Agora vamos configurar políticas a fim de determinar o acesso a rede e internet dos usuários, no exemplo abaixo:

...