Configurando várias GPO´s locais no Windows Vista, Windows 7 e Windows Server 2008 R2


Senhoras e senhores, vou mostrar um recurso bem legal que temos a partir do Windows Vista, que é a de se criar várias políticas de grupo locais.

Nas versões anteriores dos sistemas operacionais (Windows 2000, 2003 e XP) temos apenas uma camada, onde temos a GPO local sendo aplicada para todos os usuários e grupos locais da máquina. Com o Windows Vista e superiores, temos três camadas para trabalhar com as GPO´s locais:

  1. A primeira camada, temos uma GPO local padrão, onde configuramos tanto opções de configuração de usuários como de computador, esta é aplicada pra todos inclusive para administradores locais.
  2. Na segunda camada, temos GPO´s que serão aplicadas para usuários do grupo administradores e GPO´s que serão aplicadas para usuários comuns.Nenhum desses objetos de diretiva de grupo local contém configurações de computador.
  3. A terceira camada, contém GPO´s que serão aplicadas para um usuário específico e nesses objetos de diretiva de grupo, só temos configurações de usuário.

No caso de conflito entre as GPO´s, a última GPO aplicada é a que prevaleçe e a ordem a qual são aplicadas é….. GPO local padrão(1ª camada), GPO para administradores e não administradores (2ª camada) e por fim a GPO para usuário específico (3ª camada)

No caso de um computador em um domínio, as GPO´s de site, domínio e OU irão prevalecer sobre as GPO´s locais. É possível também desativar o processamento das GPO´s locais, configurando a opção “Turn off Local Group Policy objects processing” em “Computer Configuration\Administrative Templates\System\Group Policy” na GPO do domínio.

Para demonstrar como criar e aplicar essas GPO´s, vou utilizar um computador com o Windows 7 instalado. O primeiro passo é criar um usuário comum conforme mostra a imagem…

image

…então vamos trabalhar com um UserAdmin (administrador local) e UserComum (usuário comum). O próximo passo é criar um MMC customizado, precisamos adicionar um “Group Policy Object Editor” para cada GPO criada. Para isso, clique em Iniciar , no Search escreva mmc.exe e clique em OK .

Na janela ‘ Console1 ‘, clique em arquivo e, em seguida, clique emAdicionar ou remover snap-in. Na lista de snap-ins disponíveis , clique em “Editor de objeto de diretiva de grupo” e em seguida, clique emAdicionar . Escolha o objeto para o computador local. Clique emConcluir.

image

Novamente, clique em arquivo e em seguida, clique em Adicionar ou remover snap-in. Na lista de snap-ins disponíveis , clique em “Editor de objeto de diretiva de grupo” em seguida, clique em Adicionar e clique em Procurar . Clique na aba usuários, clique o grupo de não-administradores…clique em OK e no botão Concluir .

image

Novamente, clique em arquivo e em seguida, clique em Adicionar ou remover snap-in. Na lista de snap-ins disponíveis , clique em “Editor de objeto de diretiva de grupo” em seguida, clique em Adicionar e clique em Procurar . Clique na aba usuários, clique o grupo deAdministradores…clique em OK e no botão Concluir .

image

Faça o mesmo procedimento selecionando o objeto UserAdmin…

image

Clique em Arquivo, clique em Salvar e salve o MMC com um nome de sua preferência…

image

Agora devemos configurar as diretivas de grupo de acordo com nossas necessidades. Por exemplo, irei configurar para os usuários comuns a opção que fará desaparecer o menu “Todos os programas” do menu Iniciar…

image

Efetuando logon com um usuário comum, podemos observar que a política foi aplicada para o usuário.

image

Como exemplo, configurei a GPO dos Administradores para que não apareça a opção Documentos…

image

Efetuando logon com um usuário membro do grupo Administrators, verificamos que a GPO é aplicada…notem que a opção “Todos os programas” aparece para o usuário, pois não foi customizada GPO…

image

…Agora vou customizar a GPO para o usuário UserAdmin, nessa diretiva irei desativar a opção de LOGOFF e propositalmente criarei um conflito, contrariando a GPO aplicada para o grupo Administradores.

image

Logando com o usuário, podemos observar que a opção de LOGOFF está desativada e que a opção Documentos aparece para o usuário, provando a precedência da GPO (3ª camada)

image

Caso queira remover as diretivas, faça o mesmo processo de adição de um novo objeto…clique em Iniciar , no Search escreva mmc.exe e clique emOK .Depois clique em arquivo e em seguida, clique em Adicionar ou remover snap-in. Na lista de snap-ins disponíveis , clique em “Editor de objeto de diretiva de grupo” em seguida, clique em Adicionar e clique em Procurar . Clique na aba usuários, selecione o usuário ou grupo o qual deseja excluir a diretiva, clique com o botão direito e escolha a opção para remover a GPO, conforme a figura abaixo…

image

Espero que seja útil!!!