feit - uemg universidade estadual de minas gerais redes com windows server 2003 flávio euripedes de...

FEIT - UEMG Universidade

Estadual de Minas GeraisREDES COM Windows Server 2003

Flávio Euripedes de OliveiraEsp. em Analise de Sistemas

Esp. em Segurança da Informação

[email protected]

Redes com Windows Server 2003Flávio Euripedes Apresentação – Slide 2

Módulo 1

Introdução à Administração de um ambiente Microsoft

Windows Server 2003

Redes com Windows Server 2003

Visão Geral:

Flávio Euripedes Apresentação – Slide 3

O ambiente Windows Server 2003Fazendo logon no Windows Server 2003Usando o recurso Executar como para administraçãoInstalando e configurando Ferramentas AdministrativasCriando uma unidade organizacional


O ambiente Windows Server 2003Funções de servidorA família Windows Server 2003O que é um serviço de

diretórioTermos do Active DirectoryMultimidia: Termos do AD



Funções de Servidor Controladores de domínio (Active Directory)

Armazenam dados de diretório e gerenciam a comunicação entre usuários e domínios, inclusive processos de logon de usuário. Quando você instala o Active Directory em um computador que executa o Windows Server 2003, ele passa a ser um controlador de domínio.

Servidor de Arquivos Fornece um local central para a rede no qual é possível armazenar

e compartilhar arquivos com usuários pela rede. Servidor de Impressão

Fornece um local central na rede no qual os usuários podem imprimir documentos. O servidor de impressão oferece aos clientes drivers de impressora atualizados e lida com a segurança e todo o processo de enfileiramento de impressão.



Funções de Servidor


Servidor DNS O DNS é um serviço de nomes padrão do TCP/IP e da Internet. O

serviço DNS permite que computadores cliente na rede registrem e resolvam nomes de domínio DNS. Um computador configurado para fornecer serviços DNS em uma rede é um servidor DNS. É preciso ter um servidor DNS na rede para implementar o AD.

Servidor de Aplicativos Fornece infra-estrutura e serviços fundamentais para os aplicativos

hospedados em um sistema. Os servidores de aplicativos típicos possuem os seguintes serviços:

Pool de recursos Gerenciamento de transações distribuidas Comunicação assíncrona com programas Um modelo de ativação de objetos just-in-time Interfaces automáticas de serviços da WEB em XML para acessar objetos de

negócios Segurança integrada


Funções de Servidor


Servidor de terminal Fornece acesso a programas baseados no Windows para

computadores remotos que executem o Standart Edition, Enterprise Edition e Datacenter Edition. Com o servidor de terminal você instala um aplicativo em um único servidor e vários usuários poderão acessar o aplicativo sem instalá-lo em seus computadores.

Ferramenta Gerenciar Servidor Quando o usuário faz logon pela primeira vez, a ferramenta

Gerenciar Servidor é iniciada automaticamente. Ela poderá ser usada para adicionar ou remover funções de servidor. Quando você adiciona uma função de servidor ao computador, a ferramenta Gerenciar Servidor adiciona à lista funções de servidor configuradas e disponíveis. Depois que a função estiver adicionada, você poderá usa vários assistentes que o ajudarão a gerenciar a função de servidor específica.


Família Windows Server 2003


Windows Server 2003 Edition

Cenário de Utilização

Servidor WEB

Servidor de Infra-estrutura e arquivos

Controlador de Dominio

Aplicativos escalonáveis

Web Servidor de aplicativos ☻

Smal Business

Pequenas empresas com um servidor

☻ ☻ ☻Standard Pequenas

empresas ou departamentos

☻ ☻ ☻Enterprise Empresas de

médio a grande porte

☻ ☻ ☻ ☻Datacenter Grande porte ☻ ☻ ☻ ☻


O que é um Serviço de Diretório


Identifica Recursos Identifica todos os recursos em uma rede e disponibiliza essas

informações para usuários e aplicativos. Os serviços de diretório oferecem uma forma consistente de nomear, descrever, localizar, acessar e proteger informações sobre os recursos.

Benefícios Integração com o DNS

O AD usa as convenções de nomes DNS para criar uma estrutura hierárquica, ordenada e escalável das relações de rede.

Escalabilidade O AD está organizado em seções que podem armazenar um grande número de

objetos. Ele pode expandir a medida que a rede cresce. Gerenciamento Centralizado

O AD permite que administradores gerenciem áreas de trabalho distribuidas, serviços de rede e aplicativos a partir de um local central, usando uma interface de gerenciamento consistente.

Administração delegada


Termos do Active Directory





Domínio Unidade central da estrutura lógica do AD. Um domínio é uma

coleção de entidades de segurança(contas de usuário, de computador) e outros objetos (impressoras, pastas). Os objetos são definidos pelo administrador e compartilham um banco de dados de diretório comum e um nome exclusivo.

Unidade Organizacional Tipo de objeto conteiner usado para organizar objetos em um

domínio. Pode conter contas de usuário, grupos, computadores, impressoras e outras OUs.

Floresta Um ou mais domínios que compartilham uma configuração, um

esquema e catalogo global comuns


Termos do Active Directory Árvore

Consiste em domínios de uma floresta que compartilham um namespace DNS contíguo e têm relações de confiança transitivas bidirecionais entre os dominios pai e filho.


Esquema Consiste em domínios de uma

floresta que compartilham um namespace DNS contíguo e têm relações de confiança transitivas bidirecionais entre os dominios pai e filho.


Multimídia: Termos do AD..\..\QuickMaster\Media\2147A_2274_1_Intro

Part2Anim.html



Fazendo logon no Windows Server 2003


Logon e autenticação

O que é UPN?

Pratica: Fazendo logon no Windows Server 2003


Opções da caixa de logonMultimidia

Esta atividade apresenta informações sobre:Processo de logon localProcesso de logon no dominioProcesso de logon secundárioProcesso de logon por cartão inteligente

Pontos importantes:Diferença entre autenticação local e no domínioComo executar um logon secundárioConteúdo de um token de acesso

C:\Users\Flavio\Documents\QuickMaster\Media\2147A_2274_1_I_Logon.html



O que é UPN?Fornece um método alternativo de logon

É exclusivo na florestaEx: [email protected]

Porque usar UPN?Em um ambiente de vários domínios, os usuários

devem fornecer o nome do domínio para fazer logon(ex: Contoso\Anibal). Um UPN já inclui o nome de domínio, o que facilita o logon.


mailto:[email protected]


Prática: Fazendo logon no Windows Server 2003Fazer logon na estação de trabalho usando

uma conta localTentar acessar um compartilhamento de

rede usando uma conta localFazer logon na estação de trabalho usando

uma conta de domínioTentar acessar um compartilhamento de

rede usando uma conta de domínio



Usando o recurso Executar como para administraçãoO que é o recurso Executar como?

Permite que o usuário execute ferramentas e programas específicos em qualquer estação de trabalho com permissões diferentes das fornecidas pelo logon atual do usuário.

Pode ser usado em cenários de solução de problemas para realizar tarefas administrativas na estação de trabalho do cliente sem fazer logoff do usuário atual.



Usando o recurso Executar como para administraçãoO recurso Executar como pode ser invocado

a partir de um menu de atalhoUm atalho na área de trabalho pode ser

configurado para usar o recurso Executar como

O recurso Executar como pode ser usado a partir da linha de comandorunas /user:dominio\admindominio “cmd”



Instalando e configurando Ferramentas AdministrativasO que são ferramentas administrativasO que é MMCPrática: Configurando as ferramentas

administrativasDiretrizes para resolução de problemas de

instalação e configuração de ferramentas administrativas



O que são ferramentas administrativas?As ferramentas administrativas permitem

que os administradores de rede alterem configurações de rede e do computador e objetos do AD.Pode-se instalá-las em computadores com XP Professional e Windows Server 2003 a fim de administrar remotamente as configurações da rede e do AD.



Ferramentas administrativas mais usadas


Usuários e Computadores do ADServiços e Sites do ADDomínios e Relações de Confiança do ADGerenciamento do ComputadorDNSÁreas de trabalho Remotas


O que é MMC?O MMC(Console de Gerenciamento

Microsoft) serve para criar, salvar e abrir ferramentas administrativas, denominadas consoles, que gerenciam hardware, software e componentes de rede do Windows.

Pode-se usar o MMC para criar ferramentas personalizadas e distribuí-las para os usuários.



O que é MMC?SNAP-INS

O snap-in é uma ferramenta hospedada no MMC.O MMC oferece uma estrutura comum que

permite a execução de vários snap-ins, possibilitando o gerenciamento de diversos serviços por meio de uma única interface.



Prática:Configurando ferramentas administrativasNesta prática, você irá:

Criar um MMC personalizadoSalvar o MMC personalizado



Diretrizes para resolução de problemas de instalação de F.A.Sintoma Causa Solução

Impossibilidade de instalar as ferramentas administrativas

Permissões insuficientesÉ necessário que voce tenha permissões administrativas no computador local

Sistema Operacional incorreto

O pacote de Ferramentas Administrativas do Windows Server 2003 só pode ser instalado em sistemas operacionais com suporte

Links defeituosos em arquivos de Ajuda

São necessários os sistemas de ajuda cliente e servidor

Voce pode instalar os arquivos de ajuda do Windows Server 2003 Pacote de ferramentas Admnistrativas



Criando uma Unidade OrganizacionalMultimídia: A estrutura da unidade

organizacionalO que é uma unidade organizacional?Modelos hierárquicos da unidade

organizacionais Nomes associados a unidade

organizacionais Prática: Criando uma unidade

organizacionalFlávio Euripedes Apresentação – Slide 28


A estrutura da unidade organizacional


Esta apresentação explica:Como usar unidades organizacionais para

agrupar objetos para um gerenciamento mais eficaz

As duas principais finalidades de uma hierarquia de OU

C:\Users\Flavio\Documents\QuickMaster\Media\2147A_2274_7_A_OU.htm


O que é uma Unidade OrganizacionalOrganiza objetos em um domínio

Permite delegar controle administrativo

Simplifica o gerenciamento de recursos geralmente agrupados



Modelos hierárquicos da unidade organizacional


Hierarquia baseada na funçãoVendas, Consultores, Marketing

Hierarquia baseada na organizaçãoIndústria, Engenharia, Pesquisa

Hierarquia baseada no localNoruega, França, Indonésia


Nomes associados a unidades organizacionaisNome Exemplo

Nome distinto relativo LDAP

OU =MinhaUnidadeOrganizacional

Nome distinto LDAP OU=MinhaUnidadeOrganizacional, DC=microsoft, DC=com

Nome canonico Microsoft.com/MinhaUnidadeOrganizacional



Prática:Criando uma unidade organizacionalNesta prática voce irá:

Instalar as ferramentas do AdminPakUsar o comando Executar como para iniciar a

linha de comandoUsar o comando dsadd e o snap-in Usuários e

Computadores do Active Directory para criar unidades organizacionais



Módulo 2


Gerenciando contas de usuário e de computador


Visão Geral:Criando contas de usuáriosCriando contas de computadorModificando propriedades das contas de

usuário e de computadorCriando um modelo de conta de usuárioGerenciando contas de usuários e de

computadorUsando consultas para localizar contas de

usuários e de computador no Active Directory



Criando contas de usuário O que é uma conta de usuário? Nomes associados a contas de usuários de domínio Diretrizes para criação de uma convenção de

nomenclatura de conta de usuário Colocação de conta de usuário em hierarquia Opções de senha de conta de usuários Quando exigir ou restringir alterações de senhas Ferramentas para criar contas de usuários Prática: criando contas de usuários Práticas recomendadas para a criação de contas de

usuárioFlávio Euripedes Apresentação – Slide 36


O que é uma conta de usuário?Contas de usuários locais

(armazenadas no computador local)

Contas de usuário de domínio(armazenadas no Active Directory)

Multimídia: Tipos de conta de usuário c:\

Users\Flavio\Documents\QuickMaster\Media\2147A_2274_1_Accts.html



Nomes associados a contas de usuários de domínio

Nome Exemplo

Nome de logon de usuário Foliveira

Nome de logon anterior ao Windows 2000

contoso\Foliveira

UPN de logon [email protected]

Nome distinto LDAP CN=flavio oliveira,ou=vendas,dc=contoso,dc=msft

Nome distinto relativo LDAP CN=flavio oliveira


mailto:[email protected]


Diretrizes para criação de uma convenção de nomenclatura de conta de usuárioFuncionários com nomes

idênticosTipos diferente de funcionários,

como temporários ou por contrato



Opções de senha de conta de usuários

Opções de conta Descrição

O usuário deve alterar a senha no próximo logon

Os usuários devem alterar sua senha na próxima vez que fizerem logon na rede

O usuário não pode alterar a senha

Os usuários não têm as permissões necessárias para alterar sua própria senha

A senha nunca expira As senhas dos usuários não expiram e não precisam ser alteradas

Conta desativada Os usuários não podem fazer logon usando a cont selecionada



Configurações de senha padrãoNão devem conter, total ou parcialmente,

o nome da conta do usuárioDevem ter, no mínimo, sete caracteresDevem conter caracteres de três das

quatro categorias abaixo:MaiusculasMinusculasDigitos base 10(0 a 9)Caracteres não alfabéticos(!,$,#,%...)



Quando exigir ou restringir alterações de senhasOpção Use esta opção quando

você:Exigir alterações de senha

•Criar novas contas de domínio•Redefinir senhas

Restringir alterações de senha

Criar contas de serviço locais e de domínio



Ferramentas para criar contas de usuário Usuários e Computadores do Active Directory Utilitários da linha de comando

Dsadd Dsadd user “cn=Flavio Oliveira,ou=TI,dc=contoso,dc=msft” – samid flavio –pwd

Pa$$w0rd –desc AdministradorNet user

net user “Flavio Oliveira” Pa$$w0rd /add Utilitários em lote

CSVDELDIFDE

MMC Gerenciamento do Computador para criar usuários locais



Prática:Criando contas de usuário


Nesta prática você irá:Criar uma conta de usuário local usando o

Gerenciamento do ComputadorCriar uma conta de domínio usando o snap-in

Usuários e Computadores do Active DirectoryCriar uma conta de usuário de domínio usando

dsadd


Práticas recomendadas para a criação de contas de usuárioContas de usuários locais

Limitar o número de pessoas que podem fazer logon localmente

Renomear a conta administradorUsar senhas fortes

Contas de usuário de domínioNão usar o conteiner Usuários para contas de

usuários comunsDesabilitar qualquer conta que não será usada

imediatamenteExigir que os usuários alterem suas senhas na

próxima vez que fizerem logonFlávio Euripedes Apresentação – Slide 45


Criando contas de computadorO que é uma conta de computadorPor que criar uma conta de computadorOnde as contas de computador são criadas

em um domínioOpções de conta de computadorPrática: Criando uma conta de computador



O que é uma conta de computadorIdentifica um computador em um domínioPermite realizar a autenticação e auditoria

do computador à rede e aos recursos do domínio

É necessário que o sistema operacional possa ingressar no domínio. Exs:Windows XP ProfessionalWindows Server 2003Windows Seven Ultimate



Porque criar uma conta de computador?Segurança

Autenticação Auditoria

GerenciamentoImplantação de SoftwareGerenciamento da área de trabalhoInventário de hardware e software através do

Microsoft systems Management Server



Onde as contas de computador são criadas em um domínio?Por padrão computadores adicionados a um

domínio são criados no conteiner Computadores

As contas de computador podem ser movidas para outras unidades organizacionais ou nelas criadas



Opções de conta de computadorNome do computadorNome do computador (pre-windows 2000)Controlador de domínio de backup

Se você pretende usar o computador controlador de domínio de backup. Use esta opção somente num domínio misto.



Prática:Criando contas de computadorNesta prática você irá:

Criar uma conta de computador usando o snap-in Usuários e Computadores do Active Directory

Criar uma conta de computador usando dsadd



Criando um modelo de conta de usuárioO que é um modelo de conta de usuárioQue propriedades estão em um modelo Diretrizes para criação de modelos de conta

de usuárioPrática: Criando um modelo de conta de

usuário



O que é um modelo de conta de usuário?Utiliza uma conta de usuário com

propriedades que atendem a requisitos comuns de usuário

Torna a criação de contas de usuário com configurações padronizadas mais eficiente



Que propriedades estão em um modelo

Guia Propriedades copiadasEndereço Todas as propriedades, exceto

EndereçoConta Todas as propriedades, exceto Nome

de LogonPerfil Exceto Caminho do Perfil e Pasta

base, todas as propriedades refletem o nome de logon do novo usuário

Organização Todas as propriedades, exceto CargoMembro de Todas as propriedades



Diretrizes para criação de modelos de conta de usuárioCriar uma classificação separada para cada

departamento Criar um grupo separado para funcionários

temporários e contratadosDefinir as datas de vencimento das contas

de usuário dos funcionários temporários e contratados

Desativar o modelo de conta Identificar o modelo de conta



Prática:Criando modelo de conta de usuárioNesta prática você criará um

modelo de conta de usuário



Gerenciando contas de usuário e de computadorPor que habilitar ou desabilitar contas de

usuário e de computador?O que são contas de usuários bloqueadas?Quando redefinir senhas de usuário?Quando redefinir contas de computadorPrática: Redefinindo e desabilitando uma

conta de usuário



Por que habilitar ou desabilitar contas de usuário e de computador?Cenários para desabilitar contas

O usuário tira uma licença Criar contas que não serão usadas

imediatamente

Ferramentas disponíveis para desabilitar ou habilitar contasUsuários e computadores do Active DirectoryComando dsmod



O que são contas de usuários bloqueadas?Limites de bloqueio de conta:

Definem o número de tentativas de logon com falhas

Impedem que hackers adivinhem senhas de usuário

Podem ocorrer falhas de logon:Na tela de logonEm uma proteção de tela protegida por senhaAo acessar recursos de rede



Quando redefinir senhas de usuário?Redefina uma senha quando um usuário

esquecer da senha Depois que a senha do usuário local estiver

sido redefinida, ele não poderá mais acessar certos tipos de informações

Quem pode redefinir senhas:Somente administradores de dominio,

administradores de empresas, operadores de contas e outros usuarios ou grupos que recebem autoridade podem redefinir senhas



Quando redefinir contas de computadorOcorrer falha de autenticação do domínio

nos computadoresAs senhas precisam ser sincronizadas



Prática: Redefinindo e desabilitando uma conta de usuárioNesta prática você ira:

Redefinir uma senha de conta de usuárioDesabilitar contas de usuário



Módulo 3


Gerenciando grupos


Visão Geral:Criando gruposGerenciando associações de grupoEstratégia para usar gruposUsando grupos padrão



Criando grupos O que são grupos? O que são níveis funcionais de domínio? O que são grupos globais? O que são grupos universais? O que são grupos de domínio locais? O que são grupos locais? Diretrizes para criação e nomeação de grupos Quem pode criar grupos? Prática: Criando grupos



O que são grupos?Coleção de contas de usuário e de

computador que podem ser gerenciadas como uma única entidade.

Simplificam a administração, permitindo que você atribua permissões para recursos.



Tipos de gruposSegurança

Usado para atribuir direitos e permissões de usuário

Pode ser usado como uma lista de distribuição de email

DistribuiçãoSomente pode ser usado com aplicativos de

emailNão pode ser usado para atribuir permissões



O que são níveis funcionais de domínio?

Windows 2000 misto

Windows 2000 nativo

Windows Server 2003

Windows Server 2003 Interim

Controladores de domínio com suporte

Windows NT Server 4.0, Windows 2000, Windows Server 2003

Windows 2000, Windows Server 2003

Windows Server 2003

Windows NT Server 4.0, Windows Server 2003

Escopos de grupo com suporte

Global, domínio local

Global, domínio local, universal

Global, domínio local, universal

Global, domínio local



O que são grupos globais?Regras de grupos globais

As associações podem incluir

•Nível funcional misto: contas de usuário e de computador do mesmo domínio•Nível funcional nativo:contas de usuário e de computador e grupos do mesmo domínio

Pode ser membro de

•Nível funcional misto: grupos de domínios locais•Nível funcional nativo:grupos universais e grupos de domínio em qualquer domínio confiante e grupos no mesmo domínio

Escopo Visível em seu próprio domínio e em todos os domínios confiantes

Permissões Todos os domínios da floresta e domínios confiantes



O que são grupos universais?


Regras de grupos universaisAs associações podem incluir

•Nível funcional misto: não aplicável•Nível funcional nativo:contas de usuário, grupos globais e grupos universais de qualquer domínio da floresta

Pode ser membro de

•Nível funcional misto: não aplicável•Nível funcional nativo:grupos de domínio local ou universal em qualquer domínio

Escopo Visível em todos os domínio da floresta e em todos os domínios confiantes

Permissões Todos os domínios da floresta e todos os domínios confiantes


O que são grupos de domínio locais?


Regras de grupos de domínio locaisAs associações podem incluir

•Nível funcional misto e Windows interim 2003: contas de usuário e de computador e grupos globais de qualquer domínio confiável•Nível funcional nativo:contas de usuário e de computador, grupos globais e universais de qualquer domínio da floresta ou domínios confiáveis, além de grupos de domínio locais do mesmo domínio

Pode ser membro de

•Nível funcional misto e Windows interim 2003: nenhum•Nível funcional nativo:grupos de domínio locais no mesmo domínio

Escopo Visível apenas em seu próprio domínio

Permissões Domínio ao qual pertence o grupo de domínio local


O que são grupos locais?


Regras de grupos locaisAs associações podem incluir

•Contas de usuário locais, contas de usuário e de computador e de computador de domínio, grupos globais e universais do domínio do computador e de domínios confiáveis

Pode ser membro de

•Não aplicável


Diretrizes para criação e nomeação de gruposCrie grupos em unidades organizacionais

usando as seguintes considerações de nomenclatura: Convenções de nomenclatura para grupos de

segurançaIncorporar o escopo ao nome de grupoDeve refletir a posse de grupoUsar um descritor para identificar as permissões

atribuídas



Diretrizes para criação e nomeação de gruposConvenções de nomenclatura para

grupos de distribuiçãoUsar nomes de alias curtosNão incluir o nome de alias de um usuário no

nome para exibiçãoPermitir no máximo cinco co-proprietários de um

único grupo de distribuição



Quem pode criar grupos?No domínio:

Grupo Opers. de contasGrupo Admins. Do domínioGrupo Administradores de EmpresaOu usuários com autoridade delegada apropriada

No computador local:Grupo Usuários AvançadosGrupo Administradores no computador localOu usuários com autoridade delegada apropriada



Prática:Criando gruposNesta prática, você irá:

Criar grupos usando Usuários e Computadores do Active Directory

Criar grupos usando a ferramenta de linha de comando dsadd



Gerenciando associações de grupoDeterminando associação de grupo Adicionando e removendo membros de um

grupo Prática: Gerenciamento associações de

grupo



Determinando associação de grupo



Determinando associação de grupo

Usuário ou Grupo Membros Membro de

Rui, Diogo e Leonor N/A Admins.Denver G

Admins.Denver G Rui, Diogo e Leonor OU Admins.DL

Manoel, Pedro e Luciana N/A Admins.Vancouver G

Admins.Vancouver G Manoel, Pedro e Luciana OU Admins.DL

OU Admins.DL Admins.Denver GAdmins.Vancouver G

N/A



Adicionando e removendo membros de um grupo Para adicionar membros a um grupo ou

remover membros do grupo configure as propriedades de grupo



Prática:Gerenciando associações de grupoAdicionar usuários a grupos globaisAdicionar grupos globais a grupos de

domínio locais



Estratégias para usar grupos Multimídia: estratégia para usar grupos em um domínio

único O que é aninhamento de grupo? Estratégia de grupo Discussão em sala de aula: usando grupos em um

ambiente de domínio único ou de vários domínios Prática: aninhando grupos e criando grupos universais Modificando o escopo ou o tipo de um grupo? Por que atribuir um gerente a um grupo? Prática: Alterando o escopo e atribuindo um gerente a um

grupo



Multimídia: Estratégia para usar grupos em um domínio únicoEsta apresentação apresenta a estratégia

A G DL P para o uso de grupos

D:\Flavio\Documentos\QuickMaster\Media\2147A_2270a_06_2_3_0_a.html



Modulo 4


Implementando a Diretiva de Grupo


Visão GeralImplementando Objetos de Diretiva de

GrupoImplementando GPOs em um domínioGerenciando a implementação da Diretiva

de Grupo



Implementando Objetos de Diretiva de GrupoO que é Diretiva de GrupoProcessando GPOsO que são configurações do computador e

do usuárioDiretiva de Grupo do computador local



O que é Diretiva de GrupoOs computadores com sistemas Windows são

capazes de aceitar configurações de Diretiva de Grupo.

As configurações de diretiva de grupo locais podem ser usadas para gerenciar o computador local em um ambiente autônomo ou de domínio.

Usando Diretiva de Grupo é possível definir o estado do ambiente de trabalho de um usuário.



Processando GPOsAs Diretivas de Grupo são processadas na

seguinte ordem:Diretiva de Grupo do computador localObjetos de Diretiva de Grupo vinculadas ao siteObjetos de Diretiva de Grupo vinculadas ao

domínioObjetos de Diretiva de Grupo vinculados à OU



O que são configurações do computador e do usuário?Configurações de Diretiva de Grupo para

controle de usuários:Configurações do softwareConfigurações do windowsModelos administrativos

Configurações de Diretiva de Grupo para controle de computadores:Configurações do softwareConfigurações do windowsModelos administrativos



Diretiva de Grupo do computador localEm uma situação autônoma ou de grupo de

trabalho, o único método disponível para controlar para controlar o ambiente de usuário e de computador é usando as configurações de Diretiva de Grupo local ou acessando diretamente o Registro.



Prática:Definir Diretiva de Grupo do computador localCriar um MMC personalizado e adicionar o

snap-in Diretiva de Grupo do computador local

Definir uma configuração de Diretiva de Grupo para remover o nome de usuário do menu Iniciar

Definir uma configuração de Diretiva de Grupo para impedir que o Windows Messenger seja executado no logon



Implementando GPOs em um domínioFerramentas usadas para gerenciar GPOs O que é um link de GPO?Como as configurações de Diretiva de

Grupo são herdadas no Active DirectoyFazer backup, restaurar e importar GPOsPrática: Implementando GPOs em um

domínio



Ferramentas usadas para gerenciar GPOs Ferramentas padrão de Diretiva de Grupo

Usuários e Computadores do Active DirectoryServiços e Sites do Active DirectoryConsole de Gerenciamento personalizado de

Diretiva de Grupo localFerramentas complementares

Group Policy Management Console(GPMC)



O que é um link de GPOTodos os GPOs são armazenados em um

conteiner do AD chamado Objetos de Diretiva de Grupo.

Quando você cria no conteiner ele só é implementado para usuários depois da criação de um link de GPO.

Ao criar um GPO vinculado a um domínio ou Unidade Organizacional você está executando duas operações: Criando novo GPO e vinculando ao Domínio ou OU.



Fazer backup, restaurar e importar GPOsO GPMC permite

Fazer backup de GPOsRestaurar GPOsImportar configurações de GPOs

com cópia de backup



Prática: Implementando GPOs em um domínioInstalar o Group Policy Management

Console em DEN-DC1Criar um GPO desvinculadoCriar um GPO vinculado
