É provável que você já saiba o que são as GPOs, certo? E que é possível associa-las a um Domínio ou OU….mas, como funciona o processamento dessas políticas? Qual delas será a preferencial?
Continue conosco e entende de uma vez como tudo isso funciona. Aproveita e se cadastre para receber novos artigos e conteúdo exclusivo.
Vamos ao que interessa. O entendimento da ordem de processamento das GPOs é importante para que administrador do domínio tenha controle geral sobre as políticas de grupo aplicadas no ambiente. Para começar a entender, lembre-se da sigla “LSDOU”, onde:
L = Local Group (Grupo Local)
S = Site
D = Domain (Dominio)
OU = Organizational Unit (Unidade Organizacional)
Essa sigla mostra exatamente como as GPOs serão processadas, aplicadas e por consequência qual delas será a preferencial. Esse sequenciamento leva em conta os links realizados durante a configuração das políticas. De forma resumida a sequencia é: Politica Local > GPO linkada ao Site > GPO Dominio > GPO OU. A preferencial, que impactará o usuário ou computador será a da OU, pois ela é a última a ser processada e sobrepõe as configurações anteriores. Se não houver conflito as configurações são simplesmente “somadas”.
Para entender melhor Leve em consideração a imagem abaixo.
Veja que temos GPOs a nível de Dominío (“u_Papel de Parede Azul”) e a nível de OU (“u_Papel de Parede Vermelho” e “u_Papel de Parede Amarelo”). Os usuários da OU “ADM” teria o papel de parede de que cor?
Seguindo a sigla LSDOU, os usuários da OU ADM teriam o papel de prede na cor Amarelo, pois a GPO “u_Papel de Parede Amarelo” será a última a ser processada.
A GPO que será a preferencial é sempre a que está mais próxima do objeto a ser atingido, a última a ser processada. Neste exemplo, são GPOs de usuário. Se meus usuários estão na OU ADM, a política mais próxima, e por isso preferencial, é a de Papel de Parede Amarelo. Mas Nathan, não existe a “Herança” da GPO linkada ao Domínio?
SIM, mas ela será sobreposta, por que quem manda é quem está mais próximo!
Existem duas opções que mudam a ordem do processamento. É possível configurar a GPO como “Imposto” ou “Enforced” (botão direito na GPO > Imposto ou Enforced) e com isso fazer com que ela passe a ser processada por último, sendo a preferencial.
Vejam que ao configurar a GPO como “Enforced” um cadeado é exibido. No caso do exemplo acima, todos os usuários do domínio teriam o Papel de Parede Azul, pois o processamento seria: Vermelho > Amarelo > Azul (Enforced). Esse tipo de configuração faz com que até mesmo o “Bloqueio de Herança” (explico logo a frente) seja desconsiderado.
E se eu quiser manter os usuários e computadores da TI “isolados” das Políticas de Grupo, sem ter que linkar a mesma GPOs a várias OU, o que faço?
Para esse tipo de configuração é necessário utilizar o “Bloqueio de Herança” (botão direito na OU > Bloqueio de Herança ou Block Inheritance).
Nesse exemplo, toda OU que estiver abaixo do domínio “NPINOTTI.LOCAL” receberá as políticas de Senha e Papel de Parede Azul, com exceção da TI. Essa regra só não se aplica se alguma das políticas linkadas ao site fosse “Imposta”.
E ai, já consegue identificar quem é a GPO preferencial em cada OU de seu ambiente?
Espero ter ajudado! Grande abraço
PS: Reparam que as GPOs possuem um padrão de nome? Utilizo essa nomenclatura para saber se a política será aplicada a Usuários (_u) ou Computadores (_c)…se a GPO tiver configuração mista (users e pc) eu uso apenas um underline (_Padrao), por exemplo.
PS2: Se não for pedir muito, deixe seu like, vai me ajudar bastante!
Simples e útil
Me interessei pelo artigo, mas as imagens estão quebradas.
Fala Filipi, como vai?
Infelizmente as mídia corromperam mas, de forma geral, não atrapalhará seu entendimento pois todos os “cliques” estão sendo descritos.
Qualquer dúvida me informe
abraço
Sim sim, parabéns pelos artigos e iniciativa! São ótimos!!
Cara tava estudando aqui e vc ajudou muito…
Fico feliz em ter ajudado!
Pena que os desenhos sumiram