Group Policy Object

UNIVERSIDADE ESTÁCIO DE SÁ

PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES

ALEX SANDRO BASTOS

CRISTIANO CARVALHO

PATRICIA GONÇALVES

GPO – Group Police Objects

Rio de Janeiro – RJ

2012

GPO – Group Police Objects

ALEX SANDRO BASTOS

CRISTIANO CARVALHO

PATRICIA GONÇALVES

Trabalho apresentado como requisito para avaliação na disciplina Sistemas de Controle de Acesso do curso de pós-graduação em Segurança de Redes de Computadores da Universidade Estácio de Sá.

Professor: Cassio Ramos

Rio de Janeiro – RJ

2012

Introdução

Uma das maiores tarefas de um administrador de sistemas é gerenciar usuários, grupos e computadores da rede. Imagine você tendo um parque de máquinas com 1500 desktops para gerenciar e precisa mudar uma configuração em todas elas.

A princípio você deve pensar que gastará no mínimo um mês para terminar essa tarefa, mas se você estiver em ambiente Windows com Active Directory, essa tarefa não levará mais que alguns minutos através de um recurso chamado Group Policy (GPO).

A Group Policy (GPO) é capaz de mudar configurações, restringir ações ou até mesmo distribuir aplicações em seu ambiente de rede. As vantagens são muitas e podem ser aplicadas em sites, domínios e unidades organizacionais (OUs). Se você criou uma OU para cada departamento da sua empresa, poderá então, fazer diferentes configurações de GPO para cada departamento.

As GPOs são baseadas em templates que possuem uma lista de opções configuráveis de forma amigável. A maioria dos itens de uma GPO tem 3 diferentes opções:

Enable: Especifica que aquele item será ativado.

Disable: Especifica que aquele item será desativado.

Not Configured: Deixa a opção neutra, nem ativa e nem desativa o item, ou seja, fica como está agora. Esta é a configuração padrão.

As configurações das GPOs podem ser aplicadas em dois tipos de objetos do Active Directory: Usuários e Computadores, desde que estejam em uma OU. Se houver algum conflito entre as configurações dos computadores e dos usuários, as configurações dos usuários vão prevalecer, infelizmente não é possível aplicar uma GPO em um grupo de segurança ou distribuição.

Os tipos de configurações que podem ser feitas estão descritas abaixo:

Software Settings: Nesta categoria, um administrador pode, por exemplo, distribuir aplicações para usuários finais.

Windows Settings: Permite ao administrador customizar as configurações do Windows. Estas opções são diferentes para usuários e computadores.

Por exemplo: Nos computadores, eu posso criar um script para ser executado no Startup e Shutdown. Nos usuários eu crio scripts para rodar no Logon e Logoff. Além disso, nos usuários posso mudar configurações do Internet Explorer, redirecionar pastas, etc.

Administrative Templates: Também são diferentes as opções para computadores e usuários.

Por exemplo: Nos computadores eu posso configurar itens do Sistema e nos usuários, posso configurar o Menu Iniciar e Barra de Tarefas.

Hierarquia das GPOs

Outro conceito importe é saber a hierarquia das GPOs que podem ser aplicadas em 3 níveis diferentes: sites, domínios e OUs.

Sites: O mais alto nível. Todas as configurações feitas no site serão aplicadas a todos os domínios que fazem parte dele.

Domínios: É o segundo nível. Configurações feitas aqui afetarão todos os usuários e grupos dentro do domínio.

OUs: O que se aplica nas OUs afetarão todos os usuários dentro dela.

É importante lembrar que as opções são cumulativas por padrão. Sendo assim, se eu sou um usuário da OU Engenharia, posso receber configurações que vem do Site, Domínio e da minha própria OU.

Exemplo:

No Site foi configurada uma GPO para os usuários mudarem a senha a cada 50 dias. No Domínio, foi configurada outra GPO desativando o prompt de Comando e na OU Engenharia, foi configurada outra GPO para especificar o papel de parede padrão do meu desktop. Quando eu me logar serão aplicadas as três GPOs.

Heranças de Group Policy

Pegando o exemplo acima, o que aconteceria se fosse configurada uma GPO no Domínio para mudar a senha a cada 30 dias? Haveria um conflito de GPOs, pois no Site está configurado para mudar a senha a cada 50 dias. Por isso é importante entender como ocorrem às heranças de GPOs.

Por default, quem está mais próximo do usuário tem preferência na aplicação da GPO sobre as configurações mais genéricas. No nosso exemplo, a GPO do Domínio será aplicada. Entretanto, o Administrador do Sistema pode alterar esse comportamento através de duas opções descritas abaixo:

Block Policy Inheritance (Bloquear heranças de políticas)

Especifica que as configurações da GPO para um objeto não será herdada do nível superior. Isso é muito usado quando se tem uma OU dentro de outra e você quer aplicar uma configuração específica para aquela OU.

Force Policy Inheritance (Forçar herança de políticas)

Especifica que você não permitirá que níveis filhos possam sobrescrever suas configurações de GPO. Por exemplo: Sou administrador

...