Obtendo a precedência correta do Objeto de Política de Grupo

Group Policy é a tecnologia de gerenciamento de configuração incluída no Microsoft Windows Server Active Directory. Se você precisa habilitar controle granular das configurações do Windows e Windows Server, Group Policy é a solução ideal. Mas Group Policy pode rapidamente se tornar complicado porque cada Group Policy object (GPO) pode ter centenas de configurações tanto para usuários quanto para computadores, e múltiplos GPOs com configurações possivelmente conflitantes podem ser vinculados a um determinado site do Active Directory, domínio ou unidade organizacional (OU).

Neste artigo, explicaremos como determinar a precedência da Política de Grupo, para que você possa aplicar a Política de Grupo corretamente e garantir que as políticas de segurança necessárias sejam cumpridas.

Política Local

Antes de começarmos a falar sobre a Política de Grupo, que dá aos administradores de sistemas a capacidade de gerenciar centralmente as configurações do Windows, vale a pena saber que todos os dispositivos Windows têm uma política local. A política local é sempre substituída pelas configurações nos objetos de Política de Grupo. Portanto, em geral, a política local deve ser usada apenas para configurar as definições de dispositivos que não estão unidos a um domínio do Active Directory.

Política de Grupo do Active Directory

Os objetos de Política de Grupo precisam ser vinculados a um site do Active Directory, domínio ou UO antes de serem aplicados a computadores e usuários. Os GPOs são aplicados ao objeto ao qual estão vinculados e a todos os seus objetos filhos. Por exemplo, um GPO vinculado a um site também será aplicado aos objetos nos domínios e UOs desse site. GPOs vinculados a uma unidade organizacional serão aplicados a todos os objetos nessa UO e quaisquer UOs filhas.

Para visualizar ou editar GPOs, utilize o Group Policy Management Console (GPMC) no menu Ferramentas do Gerenciador de Servidores. As configurações de objeto de Política de Grupo são organizadas da mesma forma que a política local, mas uma categoria adicional, chamada Preferências de Política de Grupo, fornece configurações extras que permitem aos administradores personalizar os ambientes dos usuários.

Aplicando Política de Grupo a Sites

Se você vincular uma GPO a um site, suas configurações serão aplicadas a todos os objetos nesse site; diz-se que os objetos estão dentro do escopo de gerenciamento da GPO. Mais de uma GPO pode ser vinculada a um determinado site, e essas GPOs podem ter configurações conflitantes. Nesse caso, você precisa entender quais configurações serão aplicadas. Por exemplo, se a mesma configuração for definida de maneira diferente em duas ou mais GPOs que estão todas vinculadas a um determinado site, qual GPO terá precedência? A resposta é a GPO com o menor número de Ordem de Link. Os números de Ordem de Link mostram a precedência da Política de Grupo e governam a ordem de processamento da Política de Grupo.

Para ver o número da ordem de link dos GPOs para um site, abra o GPMC e expanda o seu domínio do Active Directory. Em seguida, siga os passos a seguir:

Passo #1. Clique com o botão direito em Sites e clique em Exibir Sites…

Passo #2. Na caixa de diálogo Mostrar Sites, marque os sites que deseja ver no GPMC e clique em OK.

Passo #3. Expanda Sites no GPMC. Você verá todos os sites que configurou no Active Directory. O site padrão é chamado de Default-First-Site-Name, embora seja possível renomeá-lo.

Passo #4. Clique em um dos sites.

Figura 1. Verificando a ordem dos links.

Passo #5. Na aba de Linked Group Policy Objects, você verá uma lista de GPOs que estão vinculados ao site. Pode ser que não haja GPOs vinculados. Se houver algum GPO vinculado, você verá os números da Ordem de Link, que mostram a ordem de precedência. Quanto maior o número, menor é a precedência do GPO. Por exemplo, as configurações em um GPO com um número de Ordem de Link de 2 sempre têm precedência sobre as configurações em um GPO com um número de Ordem de Link de 3.

Passo #6. Para alterar o número da Ordem de Ligação de um GPO, clique no GPO e use as setas para cima e para baixo à esquerda para movê-lo para a posição desejada na lista.

Aplicando Política de Grupo a Domínios e Unidades Organizacionais

As GPOs podem ser vinculadas a domínios e UOs da mesma forma que podem ser vinculadas a sites. A política de domínio padrão é vinculada a cada domínio por padrão. As GPOs vinculadas a unidades organizacionais têm a maior precedência, seguidas pelas vinculadas a domínios. As GPOs vinculadas a sites sempre têm a menor precedência.

Para entender quais GPOs estão vinculados a um domínio ou OU, clique no domínio ou OU no GPMC e selecione a aba de Linked Group Policy Objects. Para uma visão mais ampla, selecione a aba Group Policy Inheritance, que também mostrará os GPOs vinculados aos domínios e OUs pais. GPOs com um número de precedência menor são processados por último e têm precedência sobre GPOs com números maiores.

Figura 2. Verificando a precedência do GPO para GPOs vinculados a um domínio ou OU.

Não esqueça que as GPOs vinculadas a sites também se aplicam aos objetos filhos do site e são aplicadas como parte da ordem de processamento. No entanto, as GPOs vinculadas a sites não são exibidas na aba de Herança de Política de Grupo porque o GPMC não sabe quais usuários e objetos de computador estão localizados em um determinado site do AD em um momento específico.