O que são GPOs e para que servem?

Descubra o que são GPOs (do inglês Group Policy) ou Políticas de Grupo e para que servem os GPOs. Conheça também os fundamentos desta tecnologia que melhora a gestão da infraestrutura do seu servidor AD DS.

Iniciação aos GPOs

Ao configurar qualquer equipamento, é preciso configurar dezenas ou até centenas de parâmetros e opções. Temos de decidir o local de acesso do utilizador, as pastas a que terá acesso, que impressoras poderá usar, qual será a imagem de fundo do ambiente de trabalho, a sua página inicial, as configurações de firewall que terá, os programas que poderá usar ou até se terá a possibilidade de instalar programas. Um grande número de configurações, que podem demorar quando se trata de um único computador, e que se tornam um filme de terror se forem centenas ou milhares.

A partir do surgimento do Windows Server 2000, o recurso “Políticas de Grupo” (Group Policy) permite que os administradores de sistema da Microsoft possam definir configurações centralizadas para implementação em todas as estações de trabalho e servidores.

A maior vantagem que este modelo nos oferece é que ao desenvolver as configurações de forma centralizada para depois implementá-las nos computadores, a interação do administrador com os computadores finais é mínima, conseguindo assim uma poupança considerável no tempo de administração.

Mas esta não é a única vantagem: estabelecer configurações centralizadas que são propagadas para computadores e servidores sob demanda também ajudará a eliminar falhas de implementação, pois é muito mais comum cometer um erro quando uma configuração é implantada cem vezes do que quando é implantada apenas uma vez.

Outra vantagem é que, no caso de ter de fazer modificações posteriores, estas serão feitas apenas uma vez, propagando as alterações para o resto do ecossistema sem que isso signifique um grande volume de trabalho e um novo risco de erro.

Ao decidir aplicar Políticas de Grupo ou GPOs, também poderá definir o âmbito de impacto dessas configurações. Podemos definir que afetam toda a empresa ou parte dela, com um grande nível de granularidade, que permite definir, por exemplo, se afeta apenas os utilizadores de um local, de um departamento ou mesmo um único utilizador. Este é outro dos pontos fortes dos GPOs.

Neste artigo, vamos mergulhar nos conceitos, usos e ferramentas das Políticas de Grupo, e tentaremos fazê-lo da forma mais ligeira possível, para que não se torne aborrecido. No entanto, devemos ter em conta que existem muitas definições e conceitos para explicar.

NOTA: Neste artigo vamos concentrar-nos principalmente na parte teórica das Políticas de Grupo, pois existem diferentes tutoriais na Jotelulu que podem ser consultados para fazer diferentes configurações.

Uma ferramenta para gestão das configurações

Quando temos um único dispositivo ou um conjunto reduzido, é possível realizar as configurações manualmente, embora centralizá-las permita que as mesmas configurações sejam implementadas novamente em novos dispositivos, ou mesmo quando um dos existentes for reinstalado para qualquer razão.

Para resolver este problema, existe o Gestor de Configurações, uma forma de gestão de máquinas com uma abordagem centralizada na gestão de configuração ao nível de utilizador e de máquina. Os GPOs dependem deste modelo de gestão, embora não sejam a única forma de implementá-lo.

Quando falamos em Gestor de Configurações, temos de pensar que existem basicamente três elementos-chave:

• Configuração: é a definição do estado desejado para um utilizador, equipamento ou grupo.
• Âmbito: é o conjunto de utilizadores ou computadores aos quais as configurações são aplicadas.
• Ferramenta: mecanismo usado para implementar as configurações no âmbito.

Quando falamos de Políticas ou Diretivas de Grupo, devemos saber que o elemento mais básico que existe é a Configuração de Política Individual, que normalmente é conhecida como diretiva ou política, e que se encarrega de definir uma mudança de configuração específica. Por exemplo, uma que impeça o utilizador de abrir o Painel de Controlo, visualizar a unidade C:, usar USBs ou instalar um programa.

Como dissemos anteriormente, as políticas são aplicadas a utilizadores ou computadores, portanto, devemos ter em conta que existem dois tipos de políticas dependendo dos alvos da sua aplicação:

• Quando afetam um computador, falamos de Políticas de Configuração do Computador. Estes ajustes são feitos quando a máquina é iniciada ou são atualizados automaticamente a cada 90-120 minutos, a partir do momento em que a máquina arranca.
• Quando afetam um utilizador, falamos sobre as Políticas de Configuração do Utilizador. Estes ajustes são feitos quando se inicia a sessão ou são atualizados automaticamente a cada 90-120 minutos, a partir do início de sessão.

NOTA: Além da execução no arranque/logout de utilizadores ou arranque/shutdown de máquinas, também pode forçar a execução das políticas com o comando “gpupdate /force”, que faz com que as GPOs sejam “forçadas” na máquina onde se executam, sendo uma boa maneira de testar ou solucionar problemas com políticas.

O que é exatamente uma GPO?

Neste artigo vamos falar sobre GPOs, e, aliás, no próprio título dizemos que vamos contar o que são GPOs e para que servem, mas ainda não paramos para definir os GPOs.

Ora bem, um GPO é basicamente um objeto que armazena um ou mais valores de configuração que se aplicam a um utilizador ou computador, podendo também atuar sobre conjuntos de utilizadores ou computadores. GPO é basicamente um contentor para configurações, regras e estados desejados, mas atenção, este contentor não tem nada a ver com os contentores AD DS sobre os quais falaremos noutros artigos.

O maior problema que os GPOs podem apresentar não é a complexidade do planeamento e criação ou a complexidade da administração e manutenção, é o uso da herança dos GPOs, pois existem diferentes níveis em que os GPOs podem ser aplicados, e estes podem sobrepor-se se não planearmos corretamente.

Por este motivo, é muito importante conhecer os níveis aos quais um GPO pode ser vinculado e a maneira como eles interagem entre si, para evitar comportamentos indesejados. Quando vinculamos um GPO, este será aplicado ao contentor de nível superior, mas será propagado para os níveis inferiores.

Se, por exemplo, tivermos uma estrutura como a da imagem e vincularmos um GPO à UO Saragoça, as UOs dos diferentes departamentos serão afetadas por esse GPO, com o utilizador “Nacho Oller” como exemplo, que está dentro do Departamento Técnico Saragoça. Assim, será afetado pelos GPOs de mapeamento de impressora que estão vinculados à UO Saragoça.

Para começar, temos de saber que os GPOs podem implementar-se nos seguintes níveis:

• Nível de Domínio.
• Nível de Site.
• Nível de UO (Unidade Organizacional).
• Nível local.

No entanto, a ordem de aplicação é a seguinte:

1. GPOs Locais.
2. GPOs no nível de Site.
3. GPOs no nível de Domínio.
4. GPOs no nível de UO.

Qual é a capacidade de uso dos GPOs num ecossistema?

Normalmente, quando falamos de Políticas de Grupo, muitas vezes pensamos em configurações básicas, mapeamentos de unidades de rede ou impressoras e, nalguns casos, também podemos pensar na implementação automática de software, mas a aplicação de Políticas e Preferências pode ser muito mais que isso.

Para começar, como dissemos anteriormente, os GPOs permitem padronizar os ambientes de trabalho, definindo por exemplo o fundo do ambiente de trabalho, o browser padrão, a página inicial, etc., que terão os utilizadores da nossa infraestrutura, permitindo também limitar o seu acesso e uso do sistema operativo.

As configurações de rede podem ser administradas com GPOs, o que permite especificar restrições, como impedir que os portáteis se conectem a redes wireless não autorizadas ou que o possam fazer apenas a SSIDs de uma whitelist de redes autorizadas pela empresa.

Obviamente, podemos configurar a partilha de unidades de rede, tanto para grupos, como departamentos, locais e até unidades pessoais, para evitar scripts de mapeamento antigos ou o uso de partilhas manuais. O mesmo acontece com as impressoras, que podem ser mapeadas de forma muito mais rápida e confortável usando GPOs do que através de partilhas manuais.

A implementação de software também é um dos pontos relevantes nos GPOs, pois permite instalar programas em formato .msi automaticamente, ou deixar que o utilizador decida se deseja ou não instalar um software específico.

Como não poderia deixar de ser, as Políticas permitem aplicar diferentes configurações de segurança para obter uma infraestrutura mais segura. Configurações como firewall, atualizações, configurações de auditoria, backups, etc., todas elas podem ser forçadas através de GPOs, o que fomenta configurações homogéneas e seguras.

Por fim, devemos ter em mente que tudo isto permite não apenas a implementação de políticas, mas também a execução de scripts PowerShell ou CMD, cujo poder é quase ilimitado e que depende mais da imaginação do técnico do que de limitações técnicas.

Que ferramentas se usam para gerir GPOs?

Existem múltiplas ferramentas para gerir Políticas de Grupo, desde ferramentas baseadas em interface gráfica, ou seja, as típicas do ambiente Windows, até ferramentas de linha de comando baseadas nos clássicos cmdlets CMD (Command) ou PowerShell.

Por um lado, temos a Consola de Administração de Políticas de Grupo, também conhecida como “GPMC” do inglês “Group Policy Management Console”. É a console usada para executar as políticas.

Depois temos o Editor de Administração de Políticas de Grupo, ou “GPME”, do inglês “Group Policy Management Editor”, que permite criar as políticas e ao qual normalmente se acede a partir do GPMC para realizar o desenvolvimento da própria política.

Por outro lado, estão os comandos “GPUpdate” e “GPResult”, utilizados no CMD para realizar tarefas de atualização e verificação de implementações de Políticas de Grupo, sobre cuja sintaxe se pode ver mais informações nos seguintes links GPUpdate, GPResult.

Por fim, também é possível trabalhar com as políticas através dos cmdlets do PowerShell, usando o módulo Group Policy, do qual não iremos falar neste artigo devido à sua profundidade, mas existem informações adicionais noutros artigos e tutoriais deste site.

Onde se armazenam os GPOs?

As configurações de GPO são compostas basicamente por dois elementos principais; Por um lado, temos os contentores de armazenamento de políticas, enquanto, por outro, temos os modelos de configuração.

Por último, deve-se ter em mente que um modelo de Políticas de Grupo é composto por uma série de ficheiros que se encontram dentro da pasta SYSVOL, uma pasta que é replicada para cada um dos controladores de domínio, sendo armazenada dentro do SYSVOL, e mais especificamente em %SystemRoot%\SYSVOL\Domains\Policy\GPOGUID, onde GPO GUID é o GUID do contentor.

Da mesma forma, para manter a ordem, cada objeto GPO é marcado com um número de versão num dos atributos da política, que será incrementado automaticamente cada vez que uma alteração for feita, estabelecendo assim um controlo de versão que nos ajuda a manter a ordem e a coerência dos GPOs armazenados.

Conclusão:

Como comentamos neste artigo, as Políticas de Grupo ou GPOs são uma das principais ferramentas para manter a nossa infraestrutura empresarial bem gerida, de forma rápida e eficiente, principalmente quando esta possui um grande número de hosts.

Com os GPOs, é possível instalar software automaticamente ou atribuir configurações padrão para conjuntos de hosts que podemos definir com base na sua localização dentro da estrutura de AD DS, ou seja, dependendo da Unidade Organizacional (OU) à qual pertence.

O seu funcionamento e operação são relativamente fáceis de aprender, mas devemos ter em consideração alguns pontos para evitar erros de configuração ou comportamentos indesejados. Sobre este último ponto, deve-se sempre considerar a forma como os GPOs são executados e propagados, ou seja, a herança aplicada a esses elementos.

Esperamos que este artigo tenha sido interessante e que lhe tenha dado uma pequena visão sobre o que são GPOs e como são executados.

Obrigado por estar connosco!