Esta é uma pergunta canônica sobre os princípios básicos da diretiva de grupo do Active Directory

O que é Diretiva de Grupo? Como funciona e por que devo usá-lo?

_{Nota: Esta é uma pergunta e resposta para um novo administrador que pode não estar familiarizado com o funcionamento e a força do seu funcionamento.}

O que é Diretiva de Grupo?

A Diretiva de Grupo é uma ferramenta disponível para administradores que executam um domínio do Active Directory do Windows 2000 ou posterior . Ele permite o gerenciamento centralizado das configurações nos computadores clientes e servidores associados ao domínio, além de fornecer uma maneira rudimentar de distribuir o software.

As configurações são agrupadas em objetos chamados GPOs (Objetos de Diretiva de Grupo). Os GPOs estão vinculados a uma unidade organizacional (OU) do Active Directory e podem ser aplicados a usuários e computadores. Os GPOs não podem ser aplicados diretamente a grupos, embora você possa usar a filtragem de segurança ou a segmentação em nível de item para filtrar o aplicativo de política com base na associação ao grupo.

Isso é legal, o que isso pode fazer?

Qualquer coisa.

Sério, você pode fazer o que quiser com usuários ou computadores em seu domínio. Existem centenas de configurações predefinidas para redirecionamento de pastas, complexidade de senhas, configurações de energia, mapeamentos de unidades, criptografia de unidades, Windows Update e assim por diante. Qualquer coisa que você não possa definir por meio de uma configuração predefinida, poderá controlar por meio de script. Os scripts em lote e VBScript são suportados em todos os clientes suportados e os scripts do PowerShell podem ser executados nos hosts do Windows 7.

Dica profissional: Na verdade, você pode executar scripts de inicialização do PowerShell nos hosts Windows XP e Windows Vista, desde que eles tenham o PowerShell 2.0 instalado. Você pode criar um arquivo em lotes que chama o script com esta sintaxe:

powershell Set-ExecutionPolicy RemoteSigned
powershell \\\\server\share\script.ps1
powershell Set-ExecutionPolicy Restricted

A primeira linha permite que scripts não assinados de compartilhamentos remotos sejam executados nesse host e a segunda linha chama o script a partir do arquivo em lotes. O terceiro conjunto de linhas define a política novamente como restrita (o padrão) para segurança máxima.

Como os objetos de diretiva de grupo são aplicados?

GPOs são aplicados em uma ordem previsível. As políticas locais são aplicadas primeiro. Existem políticas definidas na máquina local via gpedit.msc. As políticas do site são aplicadas em segundo lugar. As políticas de domínio são aplicadas em terceiro e as políticas de OU são aplicadas em quarto. Se um objeto estiver aninhado dentro de várias UOs, os GPOs serão aplicados nas UOs mais próximas da raiz primeiro.

Lembre-se de que, se houver um conflito, o último GPO aplicado "vence". Isso significa, por exemplo, que a diretiva vinculada à UO em que um computador reside vencerá se houver um conflito entre uma configuração nesse GPO e uma vinculada na UO pai.

Os scripts de logon e de inicialização parecem legais, como eles funcionam?

Um script de logon ou inicialização pode permanecer em qualquer compartilhamento de rede, desde que os grupos Domain Userse Domain Computerstenham acesso de leitura ao compartilhamento em que estão. Tradicionalmente, eles residem \\domain.tld\sysvol, mas isso não é um requisito.

Os scripts de inicialização são executados quando o computador é iniciado. Eles são executados como a conta SYSTEM na máquina local. Isso significa que eles acessam os recursos de rede como a conta do computador. Por exemplo, se você deseja que um script de inicialização tenha acesso a um recurso de rede em um compartilhamento que tenha o UNC de \\server01\share1e o nome do computador seja, WORKSTATION01você precisaria verificar se WORKSTATION01$tinha acesso a esse compartilhamento. Como esse script é executado como sistema, ele pode executar tarefas como instalar software, modificar seções privilegiadas do registro e modificar a maioria dos arquivos na máquina local.

Os scripts de logon são executados no contexto de segurança do usuário conectado localmente. Esperamos que seus usuários não sejam administradores, o que significa que você não poderá usá-los para instalar software ou modificar configurações de registro protegidas.

Os scripts de logon e inicialização foram a pedra angular do Windows 2003 e dos domínios anteriores, mas sua utilidade diminuiu em versões posteriores do Windows Server. As Preferências de Diretiva de Grupo oferecem aos administradores uma maneira muito melhor de lidar com mapeamentos de unidades e impressoras, atalhos, arquivos, entradas de registro, associação a grupos locais e muitas outras coisas que só poderiam ser feitas em um script de inicialização ou logon. Se você acha que pode precisar usar um script para uma tarefa simples, provavelmente há uma Política de Grupo ou uma preferência por ela. Atualmente, em domínios com clientes Windows 7 (ou posteriores), apenas tarefas complexas exigem scripts de inicialização ou logon.

Encontrei um GPO legal, mas se aplica aos usuários, quero que se aplique aos computadores!

Sim, eu sei. Eu estive lá. Isso é especialmente prevalente no laboratório acadêmico ou em outros cenários de computador compartilhado, nos quais você deseja que algumas das políticas de usuário para impressoras ou recursos similares sejam baseadas no computador, não no usuário. Adivinhe, você está com sorte! Você deseja habilitar a configuração de GPO para o Modo de Loopback da Diretiva de Grupo .

De nada.

Você disse que eu posso usar isso para instalar software, certo?

Sim, você pode. Existem algumas advertências, no entanto. O software deve estar no formato MSI e quaisquer modificações nele devem estar em um arquivo MST . Você pode criar um MST com software como ORCA ou qualquer outro editor de MSI. Se você não fizer uma transformação, seu resultado final será o mesmo que executarmsiexec /i <path to software> /q

O software também é instalado apenas na inicialização, portanto, não é uma maneira muito rápida de distribuir software, mas é gratuito. Em um ambiente de laboratório de baixo orçamento, fiz uma tarefa agendada (via GPO) que reinicializará todos os computadores de laboratório à meia-noite com um deslocamento aleatório de 30 minutos. Isso garantirá que o software esteja, no máximo, um dia desatualizado nesses laboratórios. Ainda assim, é preferível software como SCCM , LANDesk , Altaris ou qualquer outra coisa que possa "empurrar" o software sob demanda.

Com que frequência é aplicada?

Os clientes atualizam seus Objetos de Diretiva de Grupo a cada 90 minutos, com uma randomização de 30 minutos. Isso significa que, por padrão, pode haver uma espera de até 120 minutos. Além disso, algumas configurações, como mapeamentos de unidade, redirecionamento de pasta e preferências de arquivo, são aplicadas apenas na inicialização ou no logon. A Diretiva de Grupo destina-se ao gerenciamento planejado a longo prazo, não a situações de correção rápida instantânea.

Os controladores de domínio atualizam sua política a cada cinco minutos.

Uma observação rápida sobre as Preferências de Diretiva de Grupo: Se você deseja usar essas configurações, mas possuir estações de trabalho com Windows XP SP2 ou Windows XP SP3, primeiro será necessário instalar as Extensões do Lado do Cliente de Preferências de Diretiva de Grupo para Windows XP (KB943729) .

OU de Contêiner de Computadores vs Computadores

Há um padrão Computers containerna raiz do domínio no Active Directory (AD), que geralmente é confundido com uma unidade organizacional (OU) do Active Directory. Este é realmente um Container, e NÃO é um OU. Como na realidade não é uma UO, as políticas de grupo não se aplicam aos objetos desse contêiner. As exceções a esta regra são políticas de grupo aplicadas no domain level. Essas serão as únicas políticas aplicadas aos objetos no Computers container.

Por padrão, os objetos de computador ingressados ​​no domínio, que não são pré-testados, vão para o Computers container.

Portanto, se você está se perguntando por que sua política não está sendo aplicada, verifique se o objeto em questão está no local correto no AD.

Fazendo backup de GPOs

Você pode fazer backup de GPOs usando o GPMC (Console de Gerenciamento de Diretiva de Grupo).

1. Abra o Gerenciamento de Diretiva de Grupo e clique duas vezes Group Policy Objectsna floresta e no domínio que contêm o GPO (Objeto de Diretiva de Grupo) do qual você deseja fazer backup.
2. Para fazer backup de um único GPO, clique com o botão direito do mouse no GPO e clique em Fazer Backup. Para fazer backup de todos os GPOs no domínio, clique com o botão direito do mouse Group Policy Objectse clique em Back Up All.
3. Na caixa de diálogo Objeto de Diretiva de Grupo de Backup, na caixa Localização, digite o caminho para o local em que deseja armazenar os backups de GPO ou clique em Procurar, localize a pasta na qual deseja armazenar o backup de GPO ( s) e clique em OK.
4. Na caixa Descrição, digite uma descrição para os GPOs que você deseja fazer backup e clique em OK Backup. Se você estiver fazendo backup de vários GPOs, a descrição será aplicada a todos os GPOs dos quais você fizer backup.
5. Após a conclusão da operação, clique em OK.

O melhor de fazer backup de Diretivas de Grupo é que ele possui controle de versão interno. Ou seja, você pode usar este procedimento várias vezes e acompanhará as alterações entre políticas. Você pode restaurar para uma versão específica de uma política.

Você pode até configurar uma tarefa agendada para executar um script do PowerShell que usa o comando Backup-GPO para automatizar os backups.

Você ainda deseja fazer backup (usando um método de backup convencional) da pasta na qual está fazendo backup dos GPOs.

Veio aqui procurando um script simples do Powershell que você possa adicionar às Tarefas agendadas para fazer backup dos seus GPOs? Não possui AGPM do pacote MDOP?

Aqui está.

Primeiro, faça um backup diário rotativo para o dia da semana. Você precisará criar o caminho da pasta com antecedência para cada pasta (domingo / segunda-feira / etc.) pastas realmente estáticas após o dia 1. Você precisará dos Módulos do AD Powershell disponíveis no servidor em que o executa.

# GPOBackupScriptDayOfWeek.PS1
# This script Backup all GPOs and save it to a folder based on the day of the week
# It runs as an automated task on SERVER and we keep a one week rotation on disk


Import-Module grouppolicy 
$date = get-date
$dayofweek = $date.DayofWeek
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$dayofweek\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$dayofweek

A mesma coisa aqui, mas desta vez é para um mês. Novamente, crie as pastas antes de janeiro, fevereiro etc.

# GPOBackupScript.PS1
# This script Backup all GPOs and save it to a folder each month on the first of the month
# It runs as an automated task on SERVER and we keep a one year rotation

Import-Module grouppolicy 
$month = get-date -Format MMMM
#Remove current backup from the folder (to alleviate space issues down the road since it won't overwrite each time)
Remove-Item \\SERVER\GPO_Backup\$month\* -Recurse -Force
#Backup current GPOs to the folder
Backup-Gpo -All -Path \\SERVER\GPO_Backup\$month