O Group Policy Object (Objeto de Política de Grupo) é uma novidade muito interessante e bastante útil no Windows 2000 e Windows Server 2003 e através dele podemos esquematizar planos de segurança, liberando ou restringindo acesso a recursos em estações de trabalho Windows 2000 e XP Professional participantes de um domínio com Active Directory.
Vamos considerar que queremos restringir acessos a alguns recursos de sistema em um domínio, sendo assim teremos um controlador de domínio primário (DC) com Windows 2000 Server ou Advanced Server e lembrando que as configurações aplicadas no domínio serão também ativadas nos controladores de domínio de backup (caso existam) pois esses mantêm sincronia constante com o controlador primário.
Quando tais configurações são aplicadas para os usuários no domínio, as estações de trabalho vão carregar os devidos valores de configuração na chave HKEY_USER do registro: sendo assim, nada será alterado permanentemente no registro da estação de trabalho (Windows 2000 / XP Professional). O Administrador pode aplicar configurações diferentes para cada usuário ou para cada grupo de usuários, sendo assim cada grupo de usuários usará uma GPO definida para sua OU = Organization Unit (Unidade Organizacional).
Esse tutorial baseia-se na aplicação de políticas em várias contas de usuários através de uma OU.
Siga abaixo os passos para a sua implementação:
Na primeira tela acima vemos o caminho usado para acessar o console de gerenciamento de recursos de domínio – Active Directory Users and Computers (Usuários e Computadores do Active Directory). Na segunda, já dentro do console, do lado esquerdo vemos as divisões do domínio (ou seja, as OUS existentes) e do lado direito estamos vendo todas as contas de usuários existentes dentro da OU selecionada.
OU (Organization Unit) – Unidade Organizacional é uma subdivisão de um domínio: como estamos vendo acima, as pastas existentes no domínio acomodam contas de usuário (OU Users), computadores (OU Computers), controladores de domínio (OU Domain Controllers), etc. Também podemos adicionar novas unidades organizacionais em um domínio, essa é uma forma de administrar de maneira mais precisa os itens existentes no domínio pelo Active Directory.
Ao entrar no console de administração dos recursos do domínio, para criar e editar a GPO, clica-se em cima do nome raiz do domínio com o botão direito do mouse, em seguida no comando propriedades, logo será exibida uma tela igual a da figura abaixo:
Clique no botão New para criar uma nova GPO e após salvá-la com um nome dado por você, clique no botão Edit. Em seguida será exibido o console de configuração da GPO:
Na figura acima vemos a tela do console Group Policy aberta: é nessa tela - especificamente nos parâmetros de usuário (User Configuration) - é que iremos editar o que os usuários do domínio poderão e não acessar. No exemplo abaixo iremos estabelecer algumas restrições para acesso ao painel de controle da estação de trabalho:
Na tela acima eu cliquei com o botão direito do mouse e habilitei a opção “Disabled Control Panel”. Desta maneira, quando os usuários fizerem logon no domínio, a política será carregada em suas estações de trabalho para que os usuários não tenham acesso a fazer configurações de hardware, instalação de programas, configurações regionais, etc. Podemos optar por desabilitar algumas opções do Painel de Controle ao invés de todos os recursos nele existente: observe na imagem acima que à esquerda temos outras opções como Add Remove Programs, Printers, Regional Options e Display. Analise cada um deles para que você veja as outras opções que lhe são oferecidas.
Agora vamos configurar políticas a fim de determinar o acesso a rede e internet dos usuários, no exemplo abaixo:
Ao entrar na pasta Conections você encontrará as políticas usadas para configurar os recursos de rede e de Internet (Conection Settings, Automatic Browser Configuration, Proxy Settings e User Agent String). Cada um desses é responsável por determinadas configurações. Por exemplo: a política Proxy Settings carrega as configurações voltadas para acesso à Internet através de um Servidor de Internet e com essa política carregada no registro, o usuário não precisa fazer configuração manual de que servidor Proxy irá acessar. No exemplo abaixo vemos a tela que é exibida quando damos dois cliques em Proxy Settings:
Preencha os campos com as devidas configurações de endereço IP de porta dos serviços oferecidos pelo Servidor Proxy e em seguida confirme dando o clique no botão OK. Analise cada política existente dentro do console GPO e procure configurá-las de acordo com as necessidades na sua empresa. Muitos Administradores de Redes e Analistas de Suporte aplicam isso dentro da Empresa na qual trabalham para evitar assim que usuários leigos e até mesmo os mais avançados façam configurações nas estações trazendo assim complicações decorrentes de configurações errôneas.
O console GPO é dividido em duas partes: Computer Configuration e User Configuration.
Computer Configuration
Permite aplicar políticas que sempre estarão ativas nas estações de trabalho, independente de que usuário efetue logon. Essas por serem permanentes, são aplicadas no registro das estações na chave HKEY_LOCAL_MACHINE.
User Configuration
Esta é a opção que estamos usando para fazer as configurações de políticas: ela é aplicada a usuários e não tem efeito permanente na estação de trabalho. Exemplo: se um usuário tiver a política de bloqueio de Painel de Controle definida para si, este não terá acesso a fazer configurações de hardware e outros recursos existentes no painel de controle - mas se um outro usuário que não tenha nenhuma política definida para si logar-se, este terá acesso normal ao Painel de Controle.
Lembre sempre que políticas de segurança através de GPO só são aplicadas em domínios e tais políticas ficam armazenadas em Controladores de domínio e que as configurações podem ser aplicadas em todo o domínio ou em apenas uma OU. Devemos tomar cuidado para não definir políticas em Computer Configuration e em User Configuation ao mesmo tempo, para assim evitar conflito de políticas quando o computador entrar na rede.
Analise e teste cada item existente no console, crie uma OU e adicione alguns usuários na mesma, configure políticas para esta OU e observe os efeitos na estação de cada usuário após efetuarem logon. Também faça testes com configurações de políticas em Computer Configuration, observe se as políticas definidas são sempre carregadas, mesmo com usuários diferentes efetuando logon a cada vez que o computador entrar na rede.
Autor original: Ivanildo Teixeira Galvão
Microsoft Certified Professional – Windows NT and Windows 2000
Estudando para o MCSA e Cisco CCNA – Cisco Systems
Direitos Autorais: Ivanildo Teixeira Galvão
