Aula 9 — Crie e vincule GPOs para aplicar políticas de segurança, desktop e software em toda a rede — automatizando a administração de usuários e computadores do domínio
📜 O que é Group Policy
O Group Policy (Política de Grupo) é o mecanismo do Active Directory que permite aplicar configurações, restrições e preferências de forma centralizada a usuários e computadores do domínio.
💡 Analogia: imagine que você precisa configurar 500 computadores da escola para bloquear o acesso ao Painel de Controle, definir um papel de parede padrão e mapear automaticamente a pasta do servidor. Sem GPO: configuração manual em cada máquina. Com GPO: uma única política aplica tudo em todas ao mesmo tempo.
SegurançaSenha e bloqueioComplexidade, expiração, tentativas
DesktopInterface do usuárioPapel de parede, acesso ao Painel de Controle
ScriptsLogon/LogoffExecutar scripts ao entrar ou sair do sistema
SoftwareInstalaçãoDistribuir programas automaticamente via MSI
UnidadesMapear drivesDrive Z: mapeado automaticamente no login
FirewallRegras de redeConfigurar Firewall do Windows centralmente
🧱 Ordem de Processamento: LSDOU
Quando um usuário faz login ou um computador inicializa, as GPOs são aplicadas em uma ordem específica. A sigla LSDOU resume essa ordem — e a última aplicada vence em caso de conflito.
L
Local — Política local do computador
Aplicada primeiro. É a política definida localmente em cada máquina via gpedit.msc. A última a ser sobrescrita.
S
Site — GPO vinculada ao Site do AD
Aplica-se a todos os objetos do site (localização física). Usada em ambientes com múltiplas filiais.
D
Domínio — GPO vinculada ao domínio
Aplica-se a todos os objetos do domínio. A Default Domain Policy fica aqui. Configurações gerais para toda a empresa.
OU
OU — GPO vinculada a uma Unidade Organizacional
Aplicada por último — portanto, tem maior prioridade. GPOs em OUs filhas sobrescrevem OUs pai. Ideal para políticas específicas por departamento.
✅ Regra da prioridade: OU > Domínio > Site > Local. Em caso de conflito entre uma GPO de domínio e uma de OU, a GPO da OU prevalece. Isso permite criar políticas gerais no domínio e sobrescrevê-las para departamentos específicos.
🛠️ GPMC: Console de Gerenciamento de GPO
O Group Policy Management Console (GPMC) é a ferramenta gráfica central para criar, editar, vincular e monitorar GPOs. Abra com gpmc.msc ou pelo Server Manager → Ferramentas.
📜 GPOs padrão do domínio
Default Domain Policy: vinculada ao domínio, define política de senha padrão
Default Domain Controllers Policy: vinculada à OU Domain Controllers, define configurações dos DCs
Não modifique diretamente — crie novas GPOs
🧰 Fluxo de trabalho no GPMC
1. Criar a GPO (objeto)
2. Editar as configurações
3. Vincular a GPO (a um domínio ou OU)
4. Forcçar/aguardar aplicação
5. Verificar resultado com gpresult
Estrutura do GPMC
Forest: escola.local ├── Domínios ├ ├── escola.local ├ ├── Default Domain Policy← vinculada ao domínio ├ ├── OU: TI ├ ├ └── GPO-TI-Restricoes← só para OU TI ├ └── OU: Alunos ├ └── GPO-Alunos-Desktop← só para OU Alunos └── Objetos de Política de Grupo← todas as GPOs ficam aqui
➕ Criando e Editando uma GPO
Criar e vincular GPO pelo GPMC
1. Abra o GPMC (gpmc.msc) 2. Expanda escola.local → clique com botão direito na OU Alunos 3. Selecione "Criar uma GPO neste domínio e vinculá-la aqui..." 4. Nome: GPO-Alunos-Desktop → OK 5. Clique com botão direito na GPO criada → Editar... 6. O Editor de Gerenciamento de Política de Grupo será aberto
Dentro do Editor, as configurações são divididas em duas seções:
💻 Configuração do Computador
Aplicada quando o computador inicializa
Independe de qual usuário está logado
Ex: instalar software, configurar firewall, scripts de inicialização
O computador precisa estar na OU correta
👤 Configuração do Usuário
Aplicada quando o usuário faz login
Segue o usuário independente do computador
Ex: papel de parede, mapear drives, restringir Painel de Controle
O usuário precisa estar na OU correta
📋 GPOs Comuns no Dia a Dia
Veja o caminho no Editor de GPO para as políticas mais usadas em ambientes corporativos e educacionais:
Papel de parede da Área de Trabalho → caminho da imagem
Bloquear Painel de Controle
Config. Usuário → Modelos Adm. → Painel de Controle
Proibir acesso ao Painel de Controle → Habilitado
Mapear unidade de rede
Config. Usuário → Preferências → Config. do Windows → Mapea. de Unidades
Nova unidade → caminho UNC e letra do drive
Política de senha
Config. Computador → Configurações do Windows → Configurações de Segurança → Políticas de Conta
Tamanho mínimo, complexidade, validade
Bloquear USB
Config. Computador → Modelos Adm. → Sistema → Acesso de Armazenamento Removível
Todos os armazenamentos removíveis: negar leitura/escrita
Script de logon
Config. Usuário → Configurações do Windows → Scripts → Logon
Adicionar script .bat ou .ps1
💻 Gerenciando GPOs pelo PowerShell
Operações comuns de GPO via PowerShell
# Criar nova GPO ▶New-GPO -Name "GPO-Alunos-Desktop" -Domain "escola.local"
# Vincular GPO a uma OU ▶New-GPLink -Name "GPO-Alunos-Desktop" -Target "OU=Alunos,DC=escola,DC=local"
# Listar todas as GPOs do domínio ▶Get-GPO -All | Select-Object DisplayName, GpoStatus, CreationTime
# Ver GPOs vinculadas a uma OU específica ▶Get-GPInheritance -Target "OU=Alunos,DC=escola,DC=local"
# Desabilitar uma GPO (sem excluir) ▶Set-GPO -Name "GPO-Alunos-Desktop" -GpoStatus AllSettingsDisabled
# Excluir uma GPO ▶Remove-GPO -Name "GPO-Alunos-Desktop"
🔄 Forçar Atualização e Diagnosticar
Por padrão, as GPOs são atualizadas automaticamente a cada 90 minutos (com offset aleatório de até 30 min) e sempre ao inicializar o computador ou fazer login. Para aplicar imediatamente:
Forçar atualização de GPO
# No cliente ou servidor: atualizar GPOs imediatamente ▶gpupdate /force
# Forçar atualização remotamente (em todos os computadores da OU) ▶Invoke-GPUpdate -Computer "PC-ALUNO01" -Force
# Ver quais GPOs estão aplicadas no computador atual ▶gpresult /r
# Relatório HTML detalhado das GPOs aplicadas ▶gpresult /h C:\relatorio-gpo.html /f
# Ver GPOs aplicadas a um usuário específico ▶gpresult /r /user ESCOLA\joao.silva
⚠️ GPO não está sendo aplicada?
Verifique se a GPO está vinculada à OU correta
Verifique se o objeto (usuário/PC) está na OU correta
Verifique o filtro de segurança da GPO (deve incluir o grupo correto)
Execute gpupdate /force e aguarde
Use gpresult /r para ver o que está sendo aplicado
🔒 Filtro de Segurança
Controla quem recebe a GPO dentro da OU
Padrão: Authenticated Users (todos no domínio)
Pode restringir a um grupo específico
Ex: GPO só para GRP-Alunos
📝 Atividade Prática
Criar e aplicar GPOs no domínio escola.local para os departamentos TI e Alunos.
1
GPO de desktop para Alunos
Crie e vincule a GPO GPO-Alunos-Desktop à OU Alunos. Configure: bloquear o Painel de Controle (Config. Usuário → Modelos Adm. → Painel de Controle). Execute gpupdate /force e verifique com gpresult /r.
2
GPO de mapeamento de drive
Crie a GPO GPO-Alunos-Drive vinculada à OU Alunos. Configure o mapeamento automático da unidade Z: → \\SRV-ESCOLA\Alunos (Config. Usuário → Preferências → Mapea. de Unidades).
3
GPO de política de senha
Edite a Default Domain Policy (não crie uma nova). Configure: tamanho mínimo de senha 10 caracteres, validade máxima 90 dias e bloqueio após 5 tentativas por 30 minutos.
4
Gerar relatório e documentar
Execute gpresult /h C:\relatorio-gpo.html /f e abra o arquivo no navegador. Tire screenshot do GPMC mostrando as GPOs criadas e vinculadas nas OUs correspondentes.
📌 Para refletir: com as 9 aulas deste bimestre, você configurou do zero uma infraestrutura Windows Server completa: instalação, configuração inicial, Active Directory, usuários e grupos, DHCP, DNS, servidor de arquivos e políticas de grupo. Esse é exatamente o conjunto de habilidades de um administrador de sistemas Windows em ambiente corporativo.
❓ Verifique seu Conhecimento
Na ordem de processamento LSDOU, qual nível tem a maior prioridade em caso de conflito entre políticas?
ALocal
BSite
CDomínio
DOU (Unidade Organizacional)
✓ Na ordem LSDOU, as GPOs são aplicadas de Local até OU. Como a OU é aplicada por último, ela prevalece em conflitos. GPOs de OUs filhas sobrescrevem OUs pai.
Qual comando exibe um relatório detalhado de quais GPOs estão sendo aplicadas no computador atual?
Agpupdate /force
Bgpresult /r
Cgpedit /show
DGet-GPO -All
✓ gpresult /r exibe o Resultant Set of Policy (RSoP) — quais GPOs estão sendo aplicadas ao usuário e computador atual. Use /h para gerar um relatório HTML completo.
Qual é a diferença entre Configuração do Computador e Configuração do Usuário em uma GPO?
AConfiguração do Computador é aplicada na inicialização; Configuração do Usuário é aplicada no login do usuário
BConfiguração do Computador só funciona em servidores; Configuração do Usuário só em estações de trabalho
CSão sinônimos — ambas são aplicadas no mesmo momento
DConfiguração do Computador tem maior prioridade que Configuração do Usuário
✓ Configuração do Computador é processada quando o computador inicializa (antes do login). Configuração do Usuário é processada quando o usuário faz login. As duas seções são independentes.
Por que não é recomendado modificar diretamente a Default Domain Policy para novas configurações?
APorque a Default Domain Policy não pode ser editada pelo administrador
BPorque ela só aceita configurações de senha
CPara facilitar o diagnóstico e manter a política padrão intacta como referência; novas configurações devem ficar em GPOs separadas
DPorque ela é sobrescrita automaticamente pelo Windows Update
✓ A Default Domain Policy deve ser preservada para as configurações básicas de senha e conta. Criar GPOs separadas facilita o diagnóstico (sabe exatamente de onde vem cada política), a manutenção e a reversão de mudanças.