uma funcionalidade que permite de forma centralizada configurar, gerir aplicaes e contas de
utilizadores de sistemas operativos, num ambiemte AD com sevios de dominio, em mquinas
que estejam no dominio. Define e controla o que os utilizadores podem fazer com a sua conta.
utilizado geralmente para restringir determinadas aes que possam representar potncias riscos
de segurana.
2 O que necessrio para se poder utilizar politicas de grupo?
necessrio que a rede seja baseada em AD DS, em que pelo menos um computador tenha
instalado a funo de servios de dominio de active directory. Os computadores que se
pretendem gerir devem pertencer ao dominio e os utilizadores devem ter crednciais de dominio
para fazer logon e logof nos respectivo computadores. necessrio ter permisses para editar a
politica de grupos do dominio.
3 O que so Group Policy Objects (GPOs)?
So os objectos que contm as configuraes das politicas de grupo e que esto vinculados aos
containers do active directory, tais como: sites, dominios e unidades organizacionais.
4 Como est organizada a hierarquia das GPOs?
Est organizada da seguinte forma:
- Sites (1 nvel e o mais elevado), em que todas as configuraes afetam os utilizadores,
computadores e dominios do site.
- Dominios (2 nvel), em que as configuraes aplicadas afetam os utilizdores e computadores
do dominio a que pertencem.
- Unidades Organizacionais, as configuraes aplicadas afetam os utilizadores e computadores
da unidade organizacional a que pertencem.
5 Quai so as novidades das Group Policy no Windows Server 2008 R2? Descreva cada
uma delas.
Foram adicionadas as seguintes novidades:
- Windows power shell cmdlets (comand lets).
- Adicionadas novas funcionalidades s group policy preferences.
- Adicionadas melhorias s starter group policy objects.
- Interface de utilizador melhorada no modelo administrativo.
- Introduzidos novos modelos de administrao de politicas de configurao.
Windows power shell cmdlets
um comand prompt do Windows, utiliza a linguagem script, que pode ser utilizado para
automatizar muitas das tarefas que so executadas no interface da consola de gesto de politicas
de grupo (GPMC). Para realizar as tarefas o Group Policy do Windows Server 2008 R2, fornece
mais de 25 cmdlets. Cada comand-let uma ferramenta simples de linha de comando com uma
nica funo. Podem ser utilizados para executar as seguintes tarefas de GPOs:
- Manuteno de GPOs (criao, remoo, bakup e importao).
- Associar GPOs aos containers do active directory (criao de links, actualizao e remoo).
- Defenir marcadores de herana e permisses em Unidades Organizacionais do Active
Directory e Dominios.
- Configurar as definies de politicas baseadas no registo.
- Criao e edio de Starter GPOs.
- Podem-se usar os cmdlets GPRegistryValue para alterar as definies de politicas baseadas no
registo e os cmdlets GPPrefRegistryValue para mudar os itens de preferncia de registo.
Group Policy Preferences
As preferncias servem para simplificar a implementao e padronizar as configuraes.
Tambm serve para configurar aplicaes que no reconhecem a GP e para alterar ou excluir
configuraes do registo, arquivo, pasta ou atalho (etc).
As novas extenses esto incluidas na janela do editor do GPMC, no item preferncias. Incluem
opes de pastas, unidades partilhadas, impressoras, tarefas agendadas, servios e configuraes
do menu iniciar.
Starter Group Policy Objects
Esto disponiveis no Windows Server 2008 R2 e Windows 7, com Ferramentas de
Administrao de Servidor Remoto (RSAT) para os seguintes cenrios: Windows Vista Cliente
Enterprise (EC), Windows Vista Cliente SSLF (Specialized Security Limited Functionality),
Windows XP SP2 EC, Cliente SSLF Windows XP SP2.
Administrative Template Functionality (Interface de utilizador melhorada no modelo
administrativo)
Com as Ferramentas de Administrao RSAT, foram introduzidas melhorias ao nvel da
interface do utilizador e suporte a valores mlti-string (REG_MULTI_SZ registo de sequncia
de caracteres) e tipos de registo QWORD.
O REG_MULTI_SZ, permite habilitar uma configurao de politicas, digitar vrias linhas de
texto e classificar as entradas. Editar uma configurao existente e acrescentar novos itens
linha, itens de linha individuais e selecionar ou excluir as entradas selecionadas.
Interface do utilizador melhorada
Nas edies anteriores do Windows, as opes: configurao, comentrio e explicar, estavam
em 3 guias separadas. No Windows Server 2008 R2, esto num nico local, na caixa de dilogo
propriedades. Estas alteraes so importantes porque fornecem todas as configuraes das
politicas num nico local, reduzindo o tempo para configurar e obter informaes.
Sim, mas tambm se pode aplicar uma regra apenas a um utilizador ou grupo. Podem ainda
criar-se regras no AppLocker para aplicar a todos os utilizadores (o grupo Todos) e
depois aplicar a GPO a um grupo de computadores especfico.
26 - necessrio atualizar os controladores de domnio para usar regras do AppLocker?
No, basta usar controladores de domnio que executam o Windows Server 2003 ou o Windows
Server 2008 que j tenham a politica do AppLocker (mas no possvel usar computadores que
executam o Windows Server 2003 ou o Windows Server 2008 para criar regras de AppLocker).
27 - O AppLocker usa algum servio para a imposio das suas regras?
Sim, o AppLocker usa o AppIDSvc (Servio de Identificao da Aplicao) para a imposio de
regras. Para que as regras de AppLocker sejam impostas, necessrio definir esse
servio para ser iniciado automaticamente no GPO.
28 - Como posso criar regras de DLL no Applocker ?
Para criar regras de DLL no GPO, habilita-se a lista de regras de DLL. (A lista de regras de DLL
est desabilitada por padro.)
29 - possvel bloquear todos as aplicaes exceto um determinado fornecedor de
software?
Sim. Criando uma regra que permita a execuo de todos os arquivos assinados por um
fornecedor de software especfico.
Observao: Usar o modo de imposio apenas auditoria para verificar se a lista de
aplicativos abrangente antes de impor as regras.
30 - O desempenho ser afetado ao iniciar a aplicao?
De um modo geral, os utilizadores no notaro nenhuma diferena, mas da mesma forma que
com a maioria das GPOs, h uma sobrecarga adicional de verificao ou definio da
politica porque o AppLocker verifica todos os DLLs.
31 Quais as diferenas entre published e assigned?
Ao pblicar (published) um pacote de software para utilizadores num dominio ou OU, os
utilizadores ficam com a opo de utilizar o add ou remove para instalar ou remover o software,
requer a interao do utilizador para se instalar ou remover a aplicao. Quando se assigna
(assigned), o utilizador no consegue remover a aplicao, mesmo que seja on demand, porque
mesmo que desinstale, ao efectuar o logon seguinte ela vai ficar disponivel novamente.
32 Que formas existem para assignar software aos utilizadores? Especifique quais?
- Atribuir software para que esteja disponivel on demand: Depois de atribuir um pacote de
software para os utilizadores num site, domnio ou unidade organizacional, o software
anunciado no desktop. A aplicao fica disponvel para o utilizador na prxima vez que fizer
logon (desde que o GPO se aplique ao utilizador). A aplicao totalmente instalada pelo
utilizador a partir do menu Iniciar, no Adicionar ou remover programas, a partir de um atalho no
desktop, ou abrindo um documento (on demand), que tem uma extenso do nome do arquivo
que est associado aplicao.
- Assignar software aos utilizadores: Depois de assignar um software aos utilizadores num
site, dominio, or OU, pode-se utilizer a opo - Install this application at logon, para ser
instalada na prxima vez que o computador inicie, ou quando o utilizador faa logof e logon. A
aplicao fica logo disponivel no Add or Remove Programs. O user pode remover e instalar
tal como na situao anterior. Nota: Algumas aplicaes podem no aparecer no add remove
programs, em dominios que tenham mutliplos domain controlers, at que seja feita replicao
para todos os dcs do dominio.
- Assignar software aos computadores: Depois de assignar um pacote de software a
computadores num site, dominio, ou OU, o software automaticamente instalado na prxima
vez que o computador iniciar ou o utilizador se logar. Neste caso apenas o administrador local
ou da rede pode remover o software.
Importante: Para se evitarem erros e reduzir o trafego da rede no se deve assignar ou publicar
mais do que um software ao mesmo tempo numa GPO. Tambm se deve verificar a licena do
software antes de assignar aos utilizadores em multiplos computadores.
33 Indique os passos para processamento e aplicao das GPOs.
1 Definir a GPO no Group Policy Management, acesso atravs das ferramentas administrativas.
2 Selecionar a Unidade Organizacional onde a GP deve ser aplicada e criar uma nova GPO,
atribuindo-lhe um nome.
3 Selecionar a nova GPO e editar, selecionando os itens a serem habilitados ou desabilitados na
GPO. Ex: Ocultar Painel de Controlo ou itens especificos do Painel de Controlo Seleciona-se
o item, habilita-se, ou desabilita-se a restrio conforme a situao.
4 A partir do momento que o utilizador que pertence OU fizer logon, a AD aplica-lhe as
regras definidas na GPO.
34 - Quando que uma GPO aplicada?
Quando se faz restart mquina, quando se faz logon ou logof, em intervalos prdefinidos (90 min o padro), ou quando forado atravs do comando gpupdate, ou
por gpupdate /force ( para forar a GPO )