Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Guia definitivo para Group Policy Management no Active Directory

Guia definitivo para Group Policy Management no Active Directory

Apr 16, 2024

Introdução ao Group Policy Management

Política de Grupo é um recurso dos sistemas operacionais Microsoft Windows que ajuda os administradores a gerenciar e proteger usuários e computadores em ambientes de Active Directory. As configurações da Política de Grupo são agrupadas em objetos de Política de Grupo (GPOs) e aplicadas a objetos de computador e usuário dentro do escopo do GPO.

Por exemplo, objetos de Política de Grupo podem ser usados para gerenciar:

  • Configurações, como configurações de desktop, scripts de inicialização e scripts de logon/logoff
  • Security, including Active Directory (AD) password policies, account lockout policies and firewall settings
  • Access to network resources like shared folders, printers and applications
  • Implantação de software, incluindo a instalação de software em máquinas selecionadas e o agendamento de patches e atualizações.

Este guia explica os elementos-chave da gestão de Group Policy.

Ferramenta de Gerenciamento de Política de Grupo

Para gerenciar GPOs, os administradores utilizam o Console de Gerenciamento de Política de Grupo (GPMC). Você pode acessar este editor de Política de Grupo do domínio a partir do menu Ferramentas do Gerenciador de Servidores Windows.

Você pode ver todos os GPOs em um domínio clicando no contêiner Group Policy Objects no painel esquerdo do Group Policy Management Console. Abaixo, você pode ver que o AD domain ad.contoso.com possui apenas um GPO, Default Domain Policy:

Image

O Console de Gerenciamento de Política de Grupo inclui um Editor de Política de Grupo, conforme mostrado aqui:

Image

Tipos de Configurações de Política de Grupo

O painel esquerdo da captura de tela abaixo mostra os tipos de configurações em um GPO:

Image

Como você pode ver, existem duas categorias principais: Computer Configuration e User Configuration.

Cada um destes tem Policies e Preferences, que você pode expandir para configurar:

  • Configurações de Software
  • Configurações do Windows
  • Modelos Administrativos

Políticas vs Preferências

Políticas e Preferências podem ser usadas para gerenciar configurações de objetos de computador e usuário do Active Directory. A principal diferença é a seguinte:

  • As políticas não podem ser alteradas pelos usuários. Assim, as configurações relacionadas à segurança e conformidade regulatória devem ser feitas nas políticas. Exemplos incluem políticas de senha, políticas de bloqueio de conta, políticas de firewall e políticas de restrição de software.
  • Preferências podem ser alteradas pelos usuários, portanto, devem ser usadas apenas para configurações de experiência do usuário e ambiente. Por exemplo, você pode fornecer um conjunto padrão de unidades de rede mapeadas, impressoras ou atalhos na área de trabalho, mas estabelecê-los por meio de Preferências permitirá que os usuários os ajustem para atender às suas próprias necessidades.

Instalando o Console de Gerenciamento de Política de Grupo no Windows Server

Para instalar o Group Policy Management Console no Windows Server, siga estes passos:

  • Inicie o Server Manager clicando no menu Iniciar e selecionando Server Manager.
  • No Gerenciador de Servidores, clique em Manage no menu superior e, em seguida, selecione Add Roles and Features.
Image
  • Escolha instalação baseada em funções ou recursos e clique em Próximo.
Image
  • Selecione o servidor onde deseja instalar o GPMC e clique em Próximo.
Image
  • Na página “Select Server Roles” clique em Next, uma vez que não estamos adicionando uma função.
  • Desça a página, encontre “Group Policy Management” e marque a caixa ao lado.
Image
  • Clique em “Next” em qualquer mensagem de confirmação após a conclusão da instalação. Clique em “Close” para sair do assistente.
Image

Instalando o Group Policy Management Console no Windows

Se você estiver usando a versão 1809 do Windows 10 ou posterior, pode instalar o GPMC usando o aplicativo Configurações:

  1. Abra as Configurações pressionando WIN+I.
  2. Pesquise por optional features.
  3. Clique em + Adicionar um recurso.
  4. Clique em RSAT: Group Policy Management Tools e depois clique em Instalar.
Image

Se você estiver usando uma versão mais antiga do Windows, precisará baixar a versão correta do RSAT no site da Microsoft.

Como criar um GPO

Para criar um novo objeto de Política de Grupo:

• Abra o Gerenciador de Servidores, clique em Tools no canto superior direito e selecione Group Policy Management no menu suspenso.

Image
  • No Console de Gerenciamento de Política de Grupo, expanda a floresta e o domínio onde deseja vincular a GPO.
  • Clique com o botão direito do mouse na OU, domínio ou site onde deseja vincular a GPO e selecione a opção correspondente Create, como Criar uma GPO neste domínio e vinculá-la aqui…
Image

• Insira um nome descritivo para o novo GPO e clique em OK.

Image

Como editar um GPO

Para editar a Política de Grupo no Console de Gerenciamento de Política de Grupo, siga os seguintes passos:

  • Expanda a floresta e o domínio ao qual a GPO pertence.
  • Navegue até a OU, domínio ou site onde o GPO está vinculado.
  • Clique com o botão direito do mouse no GPO que deseja editar e selecione Edit.
Image
  • No Editor de Gerenciamento de Política de Grupo, clique duas vezes na configuração de política desejada e modifique-a de acordo com suas necessidades.

As configurações do computador são aplicadas quando o Windows é iniciado, e as configurações do usuário são usadas quando um usuário faz login. O processamento em segundo plano da Política de Grupo aplica configurações periodicamente se uma GPO foi alterada.

Como vincular uma GPO

Para surtir efeito, uma GPO deve estar vinculada a pelo menos um contêiner do Active Directory, como uma OU, domínio ou site. Para vincular uma GPO, siga os seguintes passos:

  • No Console de Gerenciamento de Política de Grupo, expanda a floresta e o domínio onde deseja vincular o GPO.
  • Clique com o botão direito na OU, domínio ou site onde deseja vincular a GPO e selecione Link an Existing GPO.
Image

• Escolha o GPO que deseja vincular da lista de GPOs disponíveis e clique em OK.

Image

Como habilitar ou desabilitar um link de GPO

Quando um link de GPO é desativado, suas configurações não serão aplicadas aos objetos no contêiner vinculado. Veja como ativar ou desativar um link de GPO:

  • No Console de Gerenciamento de Política de Grupo, expanda a floresta e o domínio do Active Directory aos quais o GPO vinculado pertence.
  • Expanda o contêiner onde o GPO está vinculado e clique com o botão direito no GPO.
  • No menu de contexto, marque a opção Link Enabled para ativar o link ou desmarque para desativar o link.
Image

Como importar configurações de GPO

Você pode configurar uma GPO importando configurações de um GPO de backup ou arquivo de modelo. Veja como é feito:

  • No Console de Gerenciamento de Política de Grupo, navegue até a OU, domínio ou site com o GPO para o qual você deseja importar as configurações.
  • Clique com o botão direito do mouse no GPO de destino e selecione Importar Configurações…
  • Escolha o arquivo de backup ou modelo (.admx ou .adml) que contém as configurações de GPO desejadas e clique em Abrir.
  • Uma vez que os locais de backup podem conter múltiplos GPOs, selecione aquele do qual deseja importar as configurações.
Image
  • Clique em Próximo duas vezes, revise o resumo e clique em Concluir para completar o processo de importação.
Image

Herança e Precedência de GPO

A herança e a precedência de Group Policy determinam como os objetos de Group Policy são aplicados aos objetos.

Herança

A herança de Política de Grupo segue a estrutura hierárquica dos domínios e UOs do AD. Políticas de nível de domínio aplicam-se a todos os objetos (usuários, computadores, grupos) no domínio. Políticas de nível de UO aplicam-se a objetos dentro de uma UO específica. Políticas aplicadas em um nível superior na hierarquia são herdadas pelos objetos filhos, então GPOs de nível de domínio são herdadas por todas as UOs no domínio, e uma política vinculada a uma UO é herdada por todas as sub-UOs aninhadas sob essa UO.

No entanto, você pode usar a configuração de Bloqueio de Herança em um site, domínio ou OU para impedir que GPOs vinculados a objetos pai sejam aplicados a objetos filho. Definir a marcação de Forçado em GPOs individuais substitui a configuração de Bloqueio de Herança.

Para visualizar as GPOs que um objeto herda dos objetos pai, clique no objeto no GPMC e vá para a aba de Herança de Política de Grupo.

Precedência

Um domínio, site ou OU específico pode ter múltiplas GPOs vinculadas a ele, e essas políticas podem ter configurações conflitantes. A precedência da Group Policy controla a ordem pela qual as GPOs são aplicadas e, portanto, qual configuração prevalece. Quanto mais tarde uma GPO é aplicada na sequência, maior é a sua precedência.

A ordem na qual as políticas são aplicadas é a seguinte:

  • Política de Grupo Local
  • GPOs em nível de site
  • GPOs em nível de domínio
  • GPOs em nível de OU

Para visualizar os GPOs vinculados a um objeto, clique no objeto no GPMC e vá para a aba Linked Group Policy Objects. GPOs com um número de Ordem de Link maior têm prioridade sobre aqueles com um número menor. Você pode alterar o número da ordem de link clicando em um GPO e usando as setas à esquerda para movê-lo para cima ou para baixo.

Image

Extensibilidade de Política de Grupo

Você pode estender a funcionalidade da Política de Grupo integrando recursos adicionais, configurações personalizadas ou componentes de terceiros. Aqui estão vários aspectos da extensibilidade da Política de Grupo:

  • Modelos administrativos (arquivos .admx) — Os administradores podem criar modelos personalizados para gerenciar configurações adicionais ou configurar políticas personalizadas.
  • Preferências de Política de Grupo Personalizadas — Você pode criar itens de Preferência personalizados usando arquivos XML ou scripts. Estes permitem gerenciar coisas como unidades mapeadas, impressoras, configurações de registro, arquivos e atalhos em computadores clientes.
  • Extensões de cliente de Política de Grupo (CSEs) — Você pode criar CSEs personalizadas para adicionar configurações extras, políticas ou tarefas de gerenciamento.
  • Filtros de Política de Grupo e filtros WMI — Você pode criar filtros para direcionar configurações de Política de Grupo baseadas em critérios específicos, como atributos de usuário ou computador.
  • Ferramentas de Group Policy de terceiros — Soluções de terceiros oferecem capacidades adicionais de gestão, funcionalidades de relatórios, ferramentas de auditoria e modelos de políticas.

Fazendo backup de GPOs

Crie backups regulares dos seus GPOs para garantir que você tenha uma cópia recente em caso de exclusão acidental ou maliciosa, corrupção ou má configuração. Você também deve fazer backup dos GPOs após realizar alterações significativas ou antes de executar tarefas de manutenção que possam afetar as configurações de Group Policy.

Estabeleça um local centralizado para armazenar backups de GPOs para garantir fácil acesso e gerenciamento. Considere organizar os arquivos de backup por domínio, data ou finalidade para facilitar a recuperação e o resgate. Use convenções de nomenclatura descritivas ou metadados para identificar versões de backup e alterações associadas. Implemente práticas de controle de versão para rastrear mudanças nos GPOs ao longo do tempo e manter um histórico de backups.

Modelagem de Alterações nas Configurações de Política de Grupo

A Modelagem de Política de Grupo é um recurso do GPMC que permite aos administradores simular como as configurações de Política de Grupo agiriam para usuários e computadores em um ambiente do Active Directory. Ela oferece uma maneira de prever o resultado da aplicação de configurações específicas de Política de Grupo sem implementá-las.

Gerenciamento Avançado de Política de Grupo

O Advanced Group Policy Management (AGPM) é um componente do Microsoft Desktop Optimization Pack (MDOP) que aprimora a gestão, delegação, controle de versão e auditoria de objetos de Group Policy.

Ao contrário do GPMC, o AGPM é uma aplicação cliente/servidor. O componente do servidor armazena GPOs e seus históricos offline. GPOs geridos pelo AGPM são chamados de GPOs controlados. Os administradores podem fazer check-in e check-out deles, de forma semelhante a como arquivos ou códigos são gerenciados no GitHub ou em um sistema de gestão de documentos.

O AGPM oferece mais controle sobre os GPOs do que o GPMC. Além do controle de versão, você pode atribuir funções como Revisor, Editor e Aprovador aos administradores de Política de Grupo. Isso facilita um controle de mudanças rigoroso durante todo o ciclo de vida do GPO. A auditoria do AGPM também fornece uma visão mais aprofundada sobre as mudanças na Política de Grupo.

Como a Netwrix pode ajudar

Netwrix Auditor estende o gerenciamento tradicional de Política de Grupo com funcionalidades aprimoradas de visibilidade, auditoria, controle de alterações e relatórios que melhoram a segurança e a conformidade. Por exemplo, os administradores obtêm uma visão detalhada sobre o que foi alterado, quem alterou e quando a ação ocorreu. De uma interface intuitiva, eles podem facilmente comparar diferentes versões de GPOs, identificar mudanças específicas e até reverter modificações indesejadas.

Este aumento de transparência permite que os administradores garantam que as configurações de Group Policy estejam alinhadas com as políticas organizacionais, padrões de segurança e requisitos regulatórios. Ao integrar o Netwrix Auditor na sua estratégia de gestão de Group Policy, as organizações podem alcançar uma infraestrutura de TI mais segura, em conformidade e gerida de forma eficiente.

Perguntas Frequentes

O que é gerenciamento de Active Directory Group Policy?

A Política de Grupo é um recurso do Active Directory que permite aos administradores controlar as configurações de usuários e computadores. A gestão da Política de Grupo é o processo de criar e manter configurações de Política de Grupo que reforcem a segurança, implantem software, gerenciem configurações de desktop e mais.

Como você abre o Console de Gerenciamento de Política de Grupo?

Para abrir o console de gerenciamento de políticas de grupo do Active Directory:

  1. Pressione a tecla Windows + R no seu teclado.
  2. Na caixa de diálogo Executar que aparece, digite gpmc. msc e pressione Enter ou clique em OK.

Como posso instalar o Group Policy Management Console?

Para instalar o GPMC em um servidor Windows, siga estes passos:

  1. Inicie o Gerenciador de Servidores. Você geralmente pode encontrá-lo na barra de tarefas ou localizá-lo no menu Iniciar.
  2. No Gerenciador de Servidores, clique em Manage no canto superior direito e, em seguida, selecione Add Roles and Features.
  3. Na tela “Antes de começar”, clique em Próximo.
  4. Na tela “Selecionar tipo de instalação”, escolha Instalação baseada em função ou recurso e então clique em Próximo.
  5. Selecione o servidor onde deseja instalar o recurso GPMC e clique em Próximo.
  6. Na tela “Selecionar recursos”, marque a caixa ao lado de Group Policy Management. Clique em Próximo.
  7. Revise suas seleções e clique em Install.
  8. Aguarde a conclusão do processo de instalação. Uma vez que receber uma mensagem de confirmação, feche o Gerenciador de Servidores.

Quais usuários recebem automaticamente permissões para realizar tarefas de gerenciamento de Política de Grupo?

O grupo Group Policy Creator Owners é criado automaticamente quando uma floresta do Active Directory é criada. Os membros do grupo podem criar, editar e gerenciar objetos de Group Policy no nível do domínio. Esse grupo é normalmente utilizado quando os administradores desejam delegar o controle sobre a Group Policy sem conceder privilégios administrativos completos. Por padrão, apenas o administrador do domínio é membro deste grupo.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Russell Smith

Consultor de TI

Consultor de TI e autor especializado em tecnologias de gestão e segurança. Russell tem mais de 15 anos de experiência em TI, escreveu um livro sobre segurança do Windows e coautorou um texto para a série Microsoft’s Official Academic Course (MOAC).

Saiba mais sobre este assunto

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Como criar, alterar e testar senhas usando PowerShell

Como adicionar e remover grupos AD e objetos nos grupos com PowerShell

Confianças no Active Directory

Ataques de ransomware ao Active Directory

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança