1 Diretivas de Grupos 2 Exerc´ıcios

FATERN - 2009.2
Exercı́cios - Diretivas de Grupo
João Medeiros ([email protected])
1
Diretivas de Grupos
As diretivas de grupo são administradas através do uso de objetos de diretivas de grupo, que são
estruturas de dados anexadas em uma hieraquia especı́fica dos objetos do Active Directory, tais como
Sı́tios, Domı́nios ou Unidades organizacionais. As GPOs, uma vez criadas, são aplicadas na seguinte
ordem: 1) Local, 2) Sı́tios, 3) Domı́nios, 4) Unidades Organizacionais, com a última diretiva sendo
superior as primeiras polı́ticas aplicadas.
Quando um computador se junta a um domı́nio com o Active Directory e diretivas de grupo implementadas, uma diretiva de grupo local de objetos é processada. Observe que a GPO local é processada
mesmo com a opção de herança bloqueada.
As GPOs locais são processadas primeiro e então as polı́ticas de domı́nio. Se ocorrer um conflito
entre uma polı́tica local e uma polı́tica de domı́nio, a polı́tica de domı́nio prevalece.
2
Exercı́cios
1 No controlador do domı́nio, faça o download e instalação do Gerenciador de Polı́ticas e grupo
(GPMC.msi).
2 Após a instalação, abra o GPMC em Start/Programs/Administrative Tools/ Group Policy Managemente Console.
3 Expanda as pastas clicando no sinal de ”+”. Encontre a UO Domain Controllers, clique com
o botão direito sobre ela e selecione ”Block Policy Inheritance”. Isto previne que as polı́ticas
sejam aplicadas inadvertidamente aos controladores de domı́nio.
4 Abra o ”Active Directory Users and Computers”.
5 Abra a pasta ”Users”. Clique com o botão direito em Administrator e mova a conta para a UO
”Domain Controllers”. Isto previne que alguma configuração de GPO de usuário seja aplicada à
conta Administrator.
6 Vamos agora criar uma nova GPO. No GPMC, clique com o botão direito na pasta ”Group
Policy Objects” e selecione ”New”.
7 Dê um nome para a polı́tica: GPO Administracao.
8 Clique com o botão direito na polı́tica recém-criada e selecione ”Edit”. Isto irá exibir o Editor
de Objetos de Polı́ticas de Grupo (GPOE). Efetue as seguintes alterações na nova polı́tica.
9 Habilite a opção Always wait for network at computer startup and logon
• Esta polı́tica diz ao cliente XP para esperar até que a rede esteja ativa, dessa maneira as
polı́ticas podem ser aplicadas.
• Vá em Computer Configuration / Administrative Templates / System / Logon
e habilite Always wait for network at computer startup and logon.
10 Habilite a auditoria para todos os eventos
• Computer Configuration / Windows Settings / Security Settings / Event Log
• Isto irá permitir que os eventos de domı́nio sejam registrados.
• os valores de ”Maximum Application” ”Maximum Security” and ”Maximum System” ”log
size” devem ser ajustados para 2048kb
• ”Retention method for Application log”, ”Retention method for Security log” e ”Retention
method for System” devem ser ajustados para ”should be to overwrite events as needed”.
1
11 Configure uma mensagem interativa de logon para os usuários: ”Bem-vindos ao LAB5.FATERN”
• Computer Configuration/Windows Settings / Security Settings / Local Policies
/ Security Options / Interactive logon: Message text for users attempting to
log on
12 Configure o domı́nio para não requerer CTRL+ALD+DEL no login
• Computer Configuration/Windows Settings / Security Settings / Local Policies
/ Security Options / Interactive logon: Do not require CTRL+ALT+DEL to
log on
13 Em ”Active Directory Users and Computers”, mova uma das máquinas do domı́nio para a UO
Administração (se a unidade não existir crie-a)
• Clique na pasta ”Computers” no ”Active Directory”
• Clique com o botão direito em uma estação Windows CP que você está usando para testes
no AD e selecione ”Move”
• Selecione a UO Administracao
14 No GPMC, clique na UO Administração com o botão direito do mouse e selecione ”Link an
Existing GPO” e selecione ”GPO Administracao”.
15 Inicie a máquina com o Windows XP e teste se as polı́ticas estão funcionando.
16 Continuando no controlador de domı́nio, vamos criar mais algumas configurações. Renomeie a
conta Guest para TEMP.
• Computer Configuration/Windows Settings / Security Settings / Local Policies
/ Security Options / Accounts: Rename guest accoount
17 Renomeie a conta Administrator para TIFATERN.
• Computer Configuration/Windows Settings / Security Settings / Local Policies
/ Security Options / Accounts: Rename Administrator account
18 Desabilite a opção ”Computer Browser Service”
• Computer Configuration/Windows Settings / Security Settings / System Services / Computer Browser
• Marque ”Define this Policy”
• Selecione ”Disabled”
19 Faça um novo logon na máquina cliente de testes e verifique se as polı́ticas estão funcionando.
20 Vamos agora criar uma polı́tica para usuários. Na pasta ”Group Policy Objects”, crie uma nova
polı́tica chamada GPO Usuario Administracao e edite-a.
21 Nas configurações de usuários, faça as seguintes alterações.
22 Force a página inicial do Internet Explorer ser http://www.fatern.edu.br
• Vá em User Configuration / Windows Settings / Internet Explorer Maintenance
/ URLs / Important Urls / Home page URL
• Marque ”Customize Home Page URL”
• Digite http://www.fatern.edu.br
23 Crie um bookmark no IE.
• User Configuration / Windows Settings / Internet Explorer Maintenance /
URLs / Favorites and Links
• Clique em ”Add URL”
2
• Name: Google
• URL: http://www.google.com
24 Proiba o acesso ao Painel de Controle
• User Configuration / Administrative Templates / Control Panel
• Dê um duplo clique em ”Prohibit” e marque enabled.
25 Crie um link na UO Administração para a polı́tica criada.
26 Se logue novamente na máquina de testes e verifique se as polı́ticas estão todas funcionando.
27 Pode ser necessário executar o comando gpudate /force na máquina de testes para forçar a
atualização das polı́ticas.
Execute gpupdate /? para mais informações.
3