1. Students to Business – 2013/1
INFRAESTRUTURA DE REDES
Policies do Active Directory
Group Policy – Como dispositivo de
acesso
2. Agenda
Lição 1 - Policies de Active Directory
• O Group Policy Management
• Revisando a estrutura de Organizational Units
• Criando Policy Templates
• Criando Group Policy Objects
• Policies de Máquinas X Policies de Usuários
• Criando e aplicando uma Policy
• Testando a aplicação da Policy – GPUpdate, GPResul e RSoP
3. O que são policies
• Policies de Active Directory podem controlar e limitar acessos
a recursos do Windows.
• Policies podem padronizar recursos do ambiente, como
atalhos, impressoras, compartilhamentos e outros
• Policies podem auxiliar na administração da rede, criando e
editando recursos nas máquinas dos usuários
• Remover o Command Prompt, Setar Papel de Parede, Setar o Proxy, Padroanizar o
Botão Inicial, Limitar Recursos de Design do Windows, Criar usuários e Grupos,
Remover Usuários das estações locais, Trocar a senha do Admin das estações,
Impedir a execução de algum executável, Configurar as conexões de VPN, Instalar
MSIs e mantê-los íntegros, conceder direitos de NTFS, Logon Scripts...
4. O Group Policy Management
• Você criar policies através da feature Group Policy Management, em
Administrative Tools
• O que é Group Policy Modeling
• O que são Group Policy Results
• O que são Starter GPOs
• O que são WMI Filters
• Onde encontrar todas as GPOs: Group Policy Objects
5. Default Policies
• O Active Directory possui duas policies por
padrão
– Default Domain Policy: Possui configurações como
Padrões de Senha e Auditoria
– Default Domain Controller Policy: Possui
permissionamentos aplicados sobre os DCs do
domínio, entre elas, restringir o logon de usuários
não adminstradores
6. Onde Podemos Aplicar GPOs
• O Active Directory permite aplicar GPOs sobre Computadores
e Usuários
• Você aplica as policies em níveis de estrutura do Active
Directory
• As policies associadas a um objeto são aplicadas na seguinte
order:
1. Policies de Sites da Floresta
2. Policies que estão sobre o Domínio
3. Policies que estão sobre a estrutura de Ous, de cima para baixo
4. De acordo com a ordem da policy sobre a OU
• Dessa forma, você pode aplicar policies para várias situações
e em diferentes locais.
7. Onde Podemos Aplicar GPOs
• Policies não são aplicadas sobre Grupos
• Policies são aplicadas por padrão em todos os objetos Usuário
e Computador, localizados na OU em questão, porém, esse
comportamento pode ser alterado através Permissões nas
Policies
• Ainda é possível adicionar Filtros de WMI sobre as policies, de
forma que elas só apliquem em determinados casos, como
por exemplo, Somente em Computadores com o Windows 8.
8. Herança de Policies
• Assim como em NTFS, o efeito das policies criadas são
propagadas para os componentes mais a baixo na estrutura,
de forma que, ao criar uma policy sobre o domínio, ela aplica
sobre todas as OU
• Caso duas policies configurem a mesma política, de formas
difentes, em uma mesma estrutura herdada, a policy aplicada
a OU mais profunda é validada
• Você pode bloquear a herança de Policies sobre uma OU
• Você pode forçar a aplicação de uma Policy, sobrescrevendo a
opção de bloqueio de herança
9. Conteúdo de uma Policy
• Uma policy possui duas divisões. As
configurações disponíveis a baixo de
cada ítem aplicam somente ao objeto
em questão:
– Computer Configuration
– User Configuration
• Cada grupo de políticas está dividida
ainda em Policies e Preferences
10. Utilizando Filtros
• Para facilitar a localização
de Policies específicas,
você pode utilizar a
opção Filter Options
11. Policy – ADMX Files
• A idéia de policies só foi possível por que a Microsoft centralizou “todas”
as configurações do Windows sobre um repositório único, chamado
Registry.
• Você pode acessar o Registry do Windows executando o comando
REGEDIT.EXE
• A maioria das policies nada mais são do que simples aplicações de Chaves
de Registry nas estações de trabalho, quando o Windows Inicia, ou qual
um Usuário realiza Logon
• Caso a política que você procura não está disponível no Active Directory,
você pode cria-la através de arquivos .ADMX
– Utilize a ferramenta RegToADMX para criar arquivos ADMX a partir de chaves de registry
• Para associar arquivos ADMX a uma policy utilize a opção Add/Remove
Templates
12. Policy – ADMX e Central Store
• Por padrão, todas definições de policies são adquiridas
através de um repositório local, em cada DC.
• Ao criar Policies Customizadas, você deve distribuir os
arquivos ADMX de sua policy por todos os DC do ambiente,
para facilitar esta ação, configure uma Central Store
– Para criar uma Central Store, copie o conteúdo do diretório
C:WindowsPolicyDefinitions para o diretório
C:WindowsSYSVOLsysvol<DomainName>PoliciesPolicyDefinitions
– Confira a alteração dentro da Policy
13. Verificando a aplicação de uma Policy
• Você pode verificar a aplicação de um
Policy através do comando
– GPResult /R
• Por padrão, uma policy é atualizada nas
estações dos usuários a cada 90 minutos
• Você pode solicitar a Reaplicação de uma
Política através do comando
– GPUpdate /FORCE
– Algumas policies necessitam a
realização de Logoff e Logon para
aplicarem, ou no caso de uma policy
de Computador, a operação de
Restart
14. Utilizando o Result Set of Policy
• Para verificar o resultado da aplicação de uma ou uma série de policies sobre
um usuário ou computador, você pode utilizar o RSoP.
• Esta opção está disponível através de Snapins no computador local ou no
servidor
• Através do RSoP é possível identificar a origem de uma policy aplicada
15. Auditoria de Usuários
• Auditoria de usuário é uma forma de
monitorar atividades dos usuários quando
usam acesso via ADDS
• Auditoria de segurança são importantes, pois
os logs podem indicar a violação de seguração
definida em uma PSI.
16. Auditoria de Usuários
• Tipos de Log
– Sucesso
– Falha
• Grandes volumes não fazem sentido se as
analises não forem bem definidas.
17. Auditoria de Usuários
• Para configurar devemos fazer o seguinte:
– Computer Configuration – Policies - Windows Settings -
Security Settings - Advanced Audit Policy Configuration -
Audit Policies
Converse com os alunos a respeitos das funcionalidade das GPOs do AD.
Exemplifique recursos como Remover o Command Prompt, Setar Papel de Parede, Setar o Proxy, Padroanizar o Botão Inicial, Limitar Recursos de Design do Windows, Criar usuários e Grupos, Remover Usuários das estações locais, Trocar a senha do Admin das estações, Impedir a execução de algum executável, Configurar as conexões de VPN, Instalar MSIs e mantê-los íntegros, conceder direitos de NTFS, Logon Scripts