As GPO’s são comumente utilizadas para implantar diretivas de segurança e facilitar o modo como recursos e ferramentas são direcionadas aos usuários de uma rede.

O principal benefício é a implantação em larga escala, ou seja, é possível implantar a diretiva para todos os computadores da rede de uma só vez ou apenas para determinado grupo de computadores, mas imagine um cenário onde existem milhares de diretivas, acontece de uma política sobrescrever ou ‘atropelar’ outra, ter políticas repetidas, enfim, como é alterado a ordem de aplicação e o que faz com que a diretiva seja mais ‘forte’ que a outra?

As alterações se resumem em:

  • Alterar ordem dos links
  • Bloquear herança
  • Impor o link de um gpo
  • Desabilitar o link de um gpo
  • Usar filtro de segurança
  • Usar filtro wmi
  • Usar processamento de loopback

Alterar ordem dos links

Os administradores podem alterar a precedência de uma GPO alterando a ordem dos links, o link que tem a ordem superior é o 1, ou seja ele possui a maior precedência em um site, domínio ou unidade organizacional, resumindo, quem estiver linkado de cima para baixo, tem preferencia de aplicação das diretivas.

Bloquear herança

O bloqueio de herança impede que GPOs em domínios ou unidades superiores sejam herdadas por algum contêiner de nível filho, salvo quando uma GPO é imposta.

Impor o link de um GPO

Quando se impõe uma GPO, esta passa a ter precedência sobre qualquer objeto filho, inclusive nas unidades cujo qual a herança foi bloqueada.

Desabilitar o link de um GPO

Um GPO pode ser totalmente desabilitado, desta forma suas diretivas se tornarão inativas para qualquer dispositivo ou usuário.

Usar filtro de segurança

É possível limitar o uso de uma GPO para qualquer computador ou usuário da rede, por padrão o escopo engloba todos da rede, o grupo é chamado de Usuários autenticados, no escopo podemos definir para quem a GPO em questão será direcionada. Os usuários deverão ter acesso de leitura a diretiva, por padrão a diretiva é aplicada.

Para remover um usuário ou dispositivo da rede de uma GPO, existem as opções de delegação, onde é possível adicionar um usuário e remover todas as permissões do mesmo, veremos isso com mais detalhes em outro artigo.

Filtro WMI

Com o filtro WMI (Instrumentação de Gerenciamento do Windows) é possível aplicar as diretivas para apenas um grupo de computadores específicos, característica muito interessante para identificar objetos específicos e aplicar a diretiva para eles em uma mesma unidade organizacional, exemplo: Existe uma unidade que armazena todos os computadores da rede, seu superior solicita que uma nova diretiva de rede seja adicionada com urgência, todavia a diretiva deve ser aplicada apenas para Windows 7, pois para Windows XP pode ocasionar erros no sistema operacional, e agora? Simples, existe filtros WMI que separam a GPO apenas para o S.O que você desejar, independente onde estejam na rede, lembrando de todas os tópicos acima citados que podem alterar a ordem de aplicação.

Processamento loopback

O processamento loopback pode ser usado para garantir que determinadas diretivas sejam aplicadas (ou não) para qualquer usuário que faça logon, independente onde o logon seja realizado. Podemos criar um novo artigo para explicar o correto funcionamento do processamento loopback, mas esse artigo resume sua funcionalidade, confira em: Artigo

Essas foram as maneiras utilizadas para alterar a ordem e a atividade das diretivas de grupo em um ambiente controlado por um domínio, caso tenham algo a acrescentar, por favor, fiquem a vontade para contribuir em comentários.

Sobre Tiago Maraldi

Tiago Maraldi Rozão escreveu 22 artigos no blog.

Share →

9 Responses to Group Policy Object: Alterando o modo de aplicação

  1. Felipe says:

    Olá… help
    Criei uma GPO configuracao papel de parede… nao gostaria q todos os meus usuários autenticados fizessem parte dessa regra, nesse caso posso usar o filtro de seguranca para determinar quem pode usar, certo?
    Só que nao consigo adicionar nenhum usuário, encontro o usuário quando confirmo, ele nao aparece na lista… o que pode ser?

  2. Tiago Maraldi says:

    Olá Felipe.

    Sim, pode usar o filtro de segurança, basta linkar a GPO em alguma OU e definir qual usuário ou grupo deverá fazer parte das diretivas. Por exemplo, o usuário João, Zé e Maria vão ter o plano de fundo configurado, da até mesmo para configurar um grupo “PLANO DE FUNDO”, colocar os usuários que deverão ter o plano de fundo nesse grupo e setar o grupo no escopo da GPO…

  3. Ricardo says:

    Boa noite! Estou começando a trabalhar com servidores e estou precisando de uma ajuda relacionada com GPO.
    Meu cenário é este:

    Tenho uma OU chamanda Aplicacao com uma GPO que desconecta a sessão do usuário se ele ficar 30 min ociso (os usuários acessam uma aplicação via TS), essa política é aplicada a todos os usuários dessa OU. Agora é necessário que 4 usuários não tenham tempo limite de ociosidade acessando o servidor via TS. Fiz a seguinte configuração:

    Dentro da OU Aplicacao, criei uma outro OU chamada TS_Ilimitado, e likei uma GPO chamada TS_Ilimitado com as configurações para que a sessão não desconecte se o usuário ficar ocioso. Bom o resultado foi que todos os usuários estão com uso livre das sessões do TS. Fiz um novo teste, criei um grupo chamado TS_Ilimitado, adicionei os usuário que terão a sessão livre neste grupo, na GPO TS_Ilimitado, na aba Scopo, Filtros de Segurança, removi o grupo usuário autenticados, e coloquei o grupo TS_Ilimitado. Porém a todos os usuário ainda estão tendo acesso sem limite de tempo via TS e o que preciso é que somente a TS_Ilimitado tenha acesso sem limite de tempo e a OU Aplicacao desconecte o usuário se ele ficar mais de 30 min ocioso.
    Poderia me ajudar?

    Desde de já muito obrigado,
    Ricardo

    • Tiago Maraldi says:

      Ricardo, veja se os passos resolvem o problema:

      • Volte os usuários na OU Aplicação.
      • Na GPO que desconecta os usuários, vá na aba delegação e adicione o grupo TS_ilimitado, clique em avançado, NEGUE A APLICAÇÃO DA DIRETIVA PARA O GRUPO TS_ilimitado, aplique.

      OBS: Em escopo, os ‘usuários autenticados’ devem estar definidos ou um grupo TS_Limitado (exemplo), com todos os usuários que precisaram ter o limite.

      Caso queira, diminua o tempo de 30 minutos para homologar o cenário, depois volte.

      O correto é criar uma estrutura mais organizada que identifique os usuários da rede, o ambiente parece estar voltado exclusivamente à aplicação, não sei se esse é o foco da empresa, mas teoricamente em longo prazo pode complicar a manutenção frente a outras necessidades de negócio.

      Valeu, espero ter ajudado..

  4. Seguidor says:

    Post interessante sobre GPO

  5. Alexandre says:

    Muito boa sua dica sobre GPO. Sou fã de servers e são indispensáveis em uma empresa como a minha: Escola… Alunos, usuários tentando alterar papel de parede etc…

    Tenho uma dúvida…

    Tenho algumas máquinas que ficam ligadas até a hora de eu ir lá e desligar… Alguns usuários utilizam as máquinas depois das 17:00 e às 18:00 preciso ir fisicamente e desligar… Se não fosse em um AD seria fácil instalar qualquer free para programar a máquina e desligar em horário específico…
    Programei via GPO para que as máquinas façam logoff após inatividade… Com isso sempre que vou desligar as máquinas estão logadas porque alguém terminou de utilizar e não fez logoff e aguardando o ctrl+alt+del.

    Como eu faria para que as máquinas desligassem às 18:00 sem estarem logadas?
    Na tela de ctrl+alt+del bloqueada, como fazer este mesmo procedimento?
    Já procurei, perguntei em fóruns e não achei nada…

    Se possível aguardo uma luz e desde já lhe agradeço atenção!

    Alexandre

  6. Seguinte,
    Meus usuários estão caindo após ficar um certo tempo conectados e ociosos, já configurei para não desconectar na GPO mas continua caindo, e também já alterei no perfil de cada usuário… não sei mais o que fazer já tentei de tudo!!
    Sera que vc pode me ajudar ?

  7. Thiago says:

    Amigo.. poderia me dar uma dica? tenho uma GPO que adiciona informacoes ao registro do windows das estacoes, detalhe ela funciona perfeitamente, meu problema ocorre se eu editar essa gpo e acrescentar algo novo para o regedit ou ate mesmo alterar, demora para as estacoes pegarem os novos valores.. ja executei o gpupdate /force, e mesmo assim nao aplica, se eu renomear a gpo e executar o comando, depois com o gpresult /r vejo q a GPO aplicada mudou o nome, mas os valores novos que deveriam aparecer no regedit nao estao la ainda.. sabe me dizer como fazer para aplicar novas regras mais rapido? Obrigado

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>