Add Windows Server documentation (AD, DNS, GPO, DR) with expanded scope

README.md

@@ -37,11 +37,13 @@ Este repositório contém a documentação técnica da iT Guys, organizada por s
 - [x] [Nível 3] Arquitetura de Persistência e Troubleshooting Avançado
 
 ### 4. Windows Server (AD / DNS / GPO)
-- [ ] [Nível 1] Criação e Bloqueio de Usuários (Padrão)
-- [ ] [Nível 2] Manutenção de DNS e DHCP
-- [ ] [Nível 3] Diagnóstico de Replicação (DCDIAG)
-- [ ] [Nível 3] Gestão Centralizada via GPO
-- [ ] [Nível 3] Disaster Recovery do Active Directory
+- [x] [Nível 1] Criação e Gestão do Ciclo de Vida de Usuários (AD)
+- [x] [Nível 2] Padrões de Senha e Configuração Inicial (Post-Install)
+- [x] [Nível 2] Gestão Avançada de DNS e DHCP
+- [x] [Nível 3] Automação e Relatórios com PowerShell
+- [x] [Nível 3] Diagnóstico de Replicação (DCDIAG)
+- [x] [Nível 3] Gestão Centralizada via GPO
+- [x] [Nível 3] Disaster Recovery e Continuidade de Negócios (AD)
 
 ### 5. Microsoft Exchange (Exchange 2019)
 - [x] [Nível 0] Como Acessar e Configurar Webmail e Celular

documentacao windows/Nivel_1/[Nível 1] Criação e Gestão do Ciclo de Vida de Usuários (AD).md

@@ -0,0 +1,84 @@
+# MANUAL TÉCNICO - CRIAÇÃO E GESTÃO DO CICLO DE VIDA DE USUÁRIOS (AD)
+
+**Código:** ITGSUP 0030/26 | **Classificação:** INTERNO
+**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
+
+## 1. HISTÓRICO DE REVISÃO
+
+| Data | Versão | Descrição | Autor |
+| :--- | :--- | :--- | :--- |
+| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
+
+## 2. OBJETIVO
+Padronizar o cadastro, manutenção, diagnóstico de bloqueio e desligamento de usuários no Active Directory (AD DS), válido para Windows Server 2016 a 2025.
+
+## 3. PRÉ-REQUISITOS
+*   [ ] Acesso ao RSAT (AD Users and Computers) na estação ou servidor.
+*   [ ] Permissão de "Account Operator" ou superior.
+
+---
+
+## 4. CRIAÇÃO DE USUÁRIO (NOIRE - NOVO COLABORADOR)
+
+Abra o **Active Directory Users and Computers** (`dsa.msc`).
+
+1.  Navegue até a OU (Unidade Organizacional) correta (ex: `Empresa > Departamentos > RH`).
+2.  Clique com botão direito no vazio > **New** > **User**.
+
+### Guia de Campos Obrigatórios
+> ⚠️ **IMPORTANTE:** O preenchimento correto impacta o Outlook (Global Address List) e sistemas de RH.
+
+| Aba | Campo | O que preencher | Motivo |
+| :--- | :--- | :--- | :--- |
+| **Geral** | First/Last Name | Nome Sobrenome (Sem acentos no Logon). | Padrão visual. |
+| **Geral** | User logon name | `nome.sobrenome` | Padrão de login. |
+| **Account** | Logon Hours | (Opcional) Restringir horários. | Segurança (estagiários). |
+| **Account** | Log On To | (Opcional) Restringir a quais PCs. | Segurança (chão de fábrica). |
+| **Profile** | Profile Path | Deixar em branco (exceto Roaming). | Evitar lentidão de login. |
+| **Organization** | Job Title | Cargo Oficial. | Assinatura de E-mail. |
+| **Organization** | Manager | Selecionar o Gestor. | Hierarquia no Outlook. |
+
+### Senha Inicial
+*   [x] User must change password at next logon.
+*   Padrão iT Guys: `Mudar@123` (Ou conforme política da empresa).
+
+---
+
+## 5. MANUTENÇÃO E TROUBLESHOOTING
+
+### Reset de Senha / Desbloqueio
+Se o usuário travar a conta:
+1.  Botão direito no usuário > **Reset Password**.
+2.  Marque **Unlock the user's account** se estiver bloqueado.
+
+### Diagnóstico de Bloqueio (Event Viewer)
+O usuário jura que digitou certo, mas a conta bloqueia sozinha.
+1.  Acesse o servidor Domain Controller (DC).
+2.  Abra o **Event Viewer** (`eventvwr.msc`).
+3.  Vá em `Windows Logs > Security`.
+4.  Filtre pelo ID **4740** (A conta foi bloqueada).
+5.  O evento mostrará o **Caller Computer Name** (O PC que está errando a senha, pode ser um celular ou tablet antigo com senha velha salva).
+
+---
+
+## 6. INGRESSAR COMPUTADOR NO DOMÍNIO (JOIN)
+
+Passo a passo para adicionar uma nova estação de trabalho.
+
+1.  No PC do usuário, garanta que o DNS aponte para o DC (ex: `192.168.0.10`).
+2.  Abra `sysdm.cpl` > **Change**.
+3.  Marque **Domain** e digite o domínio (ex: `empresa.local`).
+4.  Use suas credenciais de suporte para autorizar.
+5.  Reinicie o PC.
+
+**Remoção (Disjoin):**
+1.  Mesmo caminho, mude de volta para **Workgroup**.
+2.  No AD (`dsa.msc`), delete o objeto do computador ou mova para uma OU de "Desativados".
+
+## 7. VALIDAÇÃO FINAL
+- [ ] O usuário consegue logar no PC?
+- [ ] O Outlook exibe o cargo e gerente corretamente?
+- [ ] A conta não está expirada (`Account` tab > `Account expires`).
+
+![Exemplo de Criação](assets/ad_new_user.png)
+*(Imagem ilustrativa - Adicione print real aqui)*

documentacao windows/Nivel_2/[Nível 2] Gestão Avançada de DNS e DHCP.md

@@ -0,0 +1,68 @@
+# MANUAL TÉCNICO - GESTÃO AVANÇADA DE DNS E DHCP
+
+**Código:** ITGINF 0031/26 | **Classificação:** RESTRITO
+**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
+
+## 1. HISTÓRICO DE REVISÃO
+
+| Data | Versão | Descrição | Autor |
+| :--- | :--- | :--- | :--- |
+| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
+
+## 2. OBJETIVO
+Gerenciar a infraestrutura de nomes e endereçamento IP, incluindo segurança de DNS (Bloqueios), Encaminhadores e DHCP Failover.
+
+---
+
+## 3. DNS SERVER (`dnsmgmt.msc`)
+
+### Tipos de Registros
+*   **Host (A):** Aponta Nome -> IP (ex: `srv-app -> 192.168.0.50`).
+*   **CNAME (Alias):** Aponta Apelido -> Nome (ex: `portal -> srv-app`). Use isso para facilitar trocas futuras.
+*   **MX:** Correio Eletrônico (Exchange/Office 365).
+
+### Forwarders (Encaminhadores)
+Se o servidor não sabe o IP (ex: `google.com`), ele pergunta para quem?
+1.  Botão direito no Servidor > **Properties** > **Forwarders**.
+2.  Adicione DNS rápidos e seguros (ex: `1.1.1.1` Cloudflare, `8.8.8.8` Google).
+3.  **Dica de Segurança:** Desative "Use root hints if no forwarders are available" se quiser forçar o tráfego apenas pelo forwarder (ex: Umbrella/DNS Filter).
+
+### Conditional Forwarders
+Para conectar com outra empresa/floresta sem expor tudo.
+*   "Se for procurar `empresa-parceira.com.br`, pergunte ao IP `10.50.0.5` (Deles), não para a internet".
+
+### DNS Policies (Bloqueio de Sites)
+Recurso nativo do Windows Server 2016+ para bloquear domínios maliciosos.
+*   Via PowerShell, você pode criar uma "Query Resolution Policy" que responde `DENY` ou redireciona para um Sinkhole (IP de aviso).
+
+```powershell
+Add-DnsServerQueryResolutionPolicy -Name "BloqueioRedesSociais" -Action DENY -Fqdn "EQ,*.facebook.com"
+```
+
+---
+
+## 4. DHCP SERVER (`dhcpmgmt.msc`)
+
+### Criação de Scope (Escopo)
+1.  IPv4 > New Scope.
+2.  Defina o Range (ex: `192.168.1.100` até `.200`).
+3.  **Options:**
+    *   003 Router (Gateway).
+    *   006 DNS Servers (Seu próprio DC).
+    *   015 Domain Name.
+
+### Reservations (IP Fixo via DHCP)
+Para impressoras e ramais VoIP.
+1.  Vá em **Reservations** > New Reservation.
+2.  Preencha o MAC Address. O dispositivo pegará sempre o mesmo IP.
+
+### DHCP Failover (Alta Disponibilidade)
+Dois servidores distribuindo o mesmo range.
+1.  Botão direito no Scope > **Configure Failover**.
+2.  Escolha o servidor parceiro.
+3.  Modo: **Load Balance** (50/50) ou **Hot Standby** (Ativo/Passivo).
+
+## 5. VALIDAÇÃO FINAL
+- [ ] O DNS resolve nomes internos e externos? (`nslookup`)
+- [ ] O DHCP está entregando IPs na sub-rede correta?
+- [ ] As políticas de bloqueio DNS foram testadas?

documentacao windows/Nivel_2/[Nível 2] Padrões de Senha e Configuração Inicial (Post-Install).md

@@ -0,0 +1,69 @@
+# MANUAL TÉCNICO - PADRÕES DE SENHA E CONFIGURAÇÃO INICIAL (POST-INSTALL)
+
+**Código:** ITGINF 0030/26 | **Classificação:** RESTRITO
+**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
+
+## 1. HISTÓRICO DE REVISÃO
+
+| Data | Versão | Descrição | Autor |
+| :--- | :--- | :--- | :--- |
+| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
+
+## 2. OBJETIVO
+Definir o padrão de implantação de novos servidores Windows (2016/2019/2022/2025), garantindo licenciamento correto, segurança inicial e padronização.
+
+---
+
+## 3. ESCOLHA DA EDIÇÃO: STANDARD VS DATACENTER
+
+> ⚠️ **REGRA DE OURO:** Em 99% dos casos, usaremos **Windows Server Standard** nas VMs.
+
+*   **Standard:** Permite 2 OSEs (Ambientes) se licenciado no host. Ideal para VMs individuais.
+*   **Datacenter:** Permite VMs ilimitadas. Ideal **APENAS PARA O HOST DE VIRTUALIZAÇÃO** (Hyper-V).
+    *   *Por que não usar Datacenter na VM?* Custo desnecessário e compliance de licença. A funcionalidade técnica é idêntica para AD/DNS/FileServer.
+*   **Desktop Experience vs Core:** Prefira **Desktop Experience** para servidores de gestão/AD e **Core** para serviços web/infra massivos (se a equipe tiver skill).
+
+---
+
+## 4. CHECKLIST PÓS-INSTALAÇÃO (O "BÁSICO BEM FEITO")
+
+Antes de instalar qualquer função (Role), execute nesta ordem:
+
+1.  **Hostname:**
+    *   Renomeie o servidor IMEDIATAMENTE. Não deixe `WIN-A3F1...`.
+    *   Padrão: `SRV-[FUNCAO]-[NUMERO]` (ex: `SRV-DC-01`, `SRV-FS-01`).
+    *   *Comando:* `Rename-Computer -NewName "SRV-DC-01" -Restart`
+
+2.  **IP Estático:**
+    *   Nunca use DHCP em servidores.
+    *   Configure IP, Máscara, Gateway e **DNS (Aponte para os DCs existentes)**.
+
+3.  **Updates e Timezone:**
+    *   Ajuste fuso horário e região (`intl.cpl`).
+    *   Rode o Windows Update até não haver mais patches.
+
+4.  **Ingressar no Domínio:**
+    *   Se for um Member Server (File Server, App), ingresse no domínio.
+    *   Se for rodar como DC, instale a role `AD DS` primeiro.
+
+---
+
+## 5. POLÍTICA DE SENHAS (GPO DEFAULT)
+
+O Active Directory controla as senhas. Não configure localmente.
+
+1.  Abra o **Group Policy Management** (`gpmc.msc`).
+2.  Edite a **Default Domain Policy** (ou a política de senhas dedicada se houver granularidade/FGPP).
+3.  Caminho: `Computer Config > Policies > Windows Settings > Security Settings > Account Policies > Password Policy`.
+
+**Padrão Sugerido (NIST Friendly):**
+*   **Enforce password history:** 24 senhas (Evita reuso imediato).
+*   **Maximum password age:** 90 dias (Ou 0/sem expiração se tiver MFA forte).
+*   **Minimum password length:** 12 a 14 caracteres.
+*   **Complexity requirements:** Enabled (Maiúscula, minúscula, número, especial).
+*   **Minimum password age:** 1 dia (Evita que o usuário mude 24 vezes seguidas para burlar o histórico).
+
+## 6. VALIDAÇÃO FINAL
+- [ ] Hostname está no padrão e servidor reiniciado?
+- [ ] IP é estático?
+- [ ] A GPO de senhas foi aplicada (`gpupdate /force`)?

documentacao windows/Nivel_3/[Nível 3] Automação e Relatórios com PowerShell.md

@@ -0,0 +1,86 @@
+# MANUAL TÉCNICO - AUTOMAÇÃO E RELATÓRIOS COM POWERSHELL
+
+**Código:** ITGENG 0030/26 | **Classificação:** CONFIDENCIAL
+**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
+
+## 1. HISTÓRICO DE REVISÃO
+
+| Data | Versão | Descrição | Autor |
+| :--- | :--- | :--- | :--- |
+| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
+
+## 2. OBJETIVO
+Centralizar scripts de manutenção, relatórios de auditoria e operações em massa para administradores de sistemas. **Elimine o trabalho manual repetitivo.**
+
+## 3. RELATÓRIOS DE AUDITORIA
+
+### 1. Usuários Inativos (Stale Users)
+Encontra usuários que não logam há mais de 90 dias.
+```powershell
+$Dias = 90
+Search-ADAccount -AccountInactive -TimeSpan ([timespan]::$Dias.00:00:00) -UsersOnly | 
+Select-Object Name, SamAccountName, LastLogonDate, Enabled | 
+Export-Csv "C:\Relatorios\Inativos.csv" -NoTypeInformation
+```
+
+### 2. Senhas Prestes a Expirar
+Avise os usuários antes do bloqueio.
+```powershell
+Get-ADUser -filter {Enabled -eq $True -and PasswordNeverExpires -eq $False} -Properties msDS-UserPasswordExpiryTimeComputed | 
+Select-Object Name, @{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}
+```
+
+### 3. Membros do Grupo Domain Admins (Segurança)
+Verifique quem tem a chave do reino.
+```powershell
+Get-ADGroupMember "Domain Admins" | Select-Object Name, SamAccountName, ObjectClass
+```
+
+---
+
+## 4. OPERAÇÕES EM MASSA (BULK)
+
+### Criação de Usuários via CSV
+Arquivo `novos.csv` deve ter colunas: `Nome,Login,Cargo`.
+
+```powershell
+Import-Csv "C:\Temp\novos.csv" | ForEach-Object {
+    New-ADUser -Name $_.Nome `
+               -SamAccountName $_.Login `
+               -UserPrincipalName "$($_.Login)@empresa.local" `
+               -Title $_.Cargo `
+               -Path "OU=Usuarios,DC=empresa,DC=local" `
+               -AccountPassword (ConvertTo-SecureString "Mudar@123" -AsPlainText -Force) `
+               -ChangePasswordAtLogon $true `
+               -Enabled $true
+}
+```
+
+---
+
+## 5. MANUTENÇÃO DE SERVIDOR
+
+### Limpeza de Disco (Logs Antigos)
+Script para rodar no Task Scheduler semanalmente.
+```powershell
+$Path = "C:\inetpub\logs\LogFiles"
+$Daysback = "-30"
+Get-ChildItem $Path -Recurse -Force | Where-Object { $_.LastWriteTime -lt (Get-Date).AddDays($Daysback) } | Remove-Item -Force
+```
+
+### Verificar Serviços Parados (Automático)
+```powershell
+$ServicosCriticos = "DNS","Dhcp","LanmanServer"
+foreach ($S in $ServicosCriticos) {
+    if ((Get-Service $S).Status -ne "Running") {
+        # Aqui voce poderia enviar um e-mail ou tentar iniciar
+        Start-Service $S
+        Write-Warning "Serviço $S foi reiniciado."
+    }
+}
+```
+
+## 6. VALIDAÇÃO FINAL
+- [ ] Os scripts rodam sem erros vermelhos?
+- [ ] O CSV de saída é gerado corretamente?
+- [ ] A execução em massa criou os usuários na OU certa?

documentacao windows/Nivel_3/[Nível 3] Diagnóstico de Replicação (DCDIAG).md

@@ -0,0 +1,78 @@
+# MANUAL TÉCNICO - DIAGNÓSTICO DE REPLICAÇÃO (DCDIAG)
+
+**Código:** ITGENG 0031/26 | **Classificação:** CONFIDENCIAL
+**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
+
+## 1. HISTÓRICO DE REVISÃO
+
+| Data | Versão | Descrição | Autor |
+| :--- | :--- | :--- | :--- |
+| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
+
+## 2. OBJETIVO
+Identificar e corrigir falhas de sincronização entre Domain Controllers (DCs), erros de SYSVOL e problemas de confiança no domínio.
+
+## 3. FERRAMENTA PRINCIPAL: DCDIAG
+
+O `dcdiag` é o check-up completo do DC.
+
+**Execução Padrão:**
+Abra o CMD/PowerShell como Admin e rode:
+```bash
+dcdiag /v /c /d /e /s:NOME_DO_DC > c:\temp\relatorio_dcdiag.txt
+```
+*   `/v`: Verbose (Detalhado).
+*   `/c`: Comprehensive (Todos os testes).
+*   `/e`: Enterprise (Testa todos os DCs, não só este).
+
+**Analise o Resultado:**
+Procure por `failed` ou `warning`.
+*   **Advertising:** Se falhar, o DC não está se anunciando (Netlogon parado?).
+*   **FrsEvent:** Problemas na replicação de arquivos (SYSVOL).
+*   **MachineAccount:** Problema de confiança (Secure Channel).
+
+---
+
+## 4. FERRAMENTA DE REPLICAÇÃO: REPADMIN
+
+Foca especificamente no tráfego de dados do AD.
+
+### 1. Resumo de Replicação (/showrepl)
+```bash
+repadmin /showrepl
+```
+*   **O que buscar:** "Successful" em todas as conexões inbound.
+*   **Erro Comum:** "RPC Server Unavailable" (Firewall bloqueando porta 135/RPC ou DC desligado).
+
+### 2. Resumo de Erros (/replsum)
+Dá uma visão tabular rápida.
+```bash
+repadmin /replsum
+```
+Mostra qual DC está falhando mais.
+
+### 3. Forçar Replicação (/syncall)
+Se você criou um usuário no DC01 e quer que apareça LOGO no DC02.
+```bash
+repadmin /syncall /A /e /P
+```
+*   Force a sincronização de todas as partições.
+
+---
+
+## 5. SOLUÇÃO DE PROBLEMAS (Burros de Carga)
+
+**Erro: "Target principal name is incorrect"**
+Geralmente ocorre quando a senha da conta de máquina do DC dessincronizou com o KDC.
+*   **Solução:** Resetar o canal seguro.
+    ```powershell
+    Test-ComputerSecureChannel -Repair
+    ```
+
+**Erro: "Lingering Objects"**
+Um DC ficou desligado por mais tempo que o TSL (Tombstone Lifetime - 180 dias) e voltou a vida.
+*   **Ação:** Remova o DC do domínio (Demote) e formate. Não tente ressincronizar, vai corromper o AD.
+
+## 6. VALIDAÇÃO FINAL
+- [ ] `dcdiag` retorna "Passed" nos testes críticos (DNS, Advertising)?
+- [ ] `repadmin /showrepl` não mostra falhas recentes (> 1 hora)?

documentacao windows/Nivel_3/[Nível 3] Disaster Recovery e Continuidade de Negócios (AD).md

@@ -0,0 +1,73 @@
+# MANUAL TÉCNICO - DISASTER RECOVERY E CONTINUIDADE DE NEGÓCIOS (AD)
+
+**Código:** ITGENG 0033/26 | **Classificação:** CONFIDENCIAL
+**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
+
+## 1. HISTÓRICO DE REVISÃO
+
+| Data | Versão | Descrição | Autor |
+| :--- | :--- | :--- | :--- |
+| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
+
+## 2. OBJETIVO
+Definir procedimentos para recuperação de objetos deletados, restauração de controladores de domínio (DC) falhos e continuidade do serviço de diretório.
+
+---
+
+## 3. RECUPERAÇÃO DE OBJETOS DELETADOS (AD RECYCLE BIN)
+
+**Cenário:** Alguém deletou uma OU inteira "sem querer".
+
+> 🚀 **PRÉ-REQUISITO:** A lixeira deve ter sido ativada PREVIAMENTE no `AD Administrative Center`.
+
+1.  Abra o **Active Directory Administrative Center**.
+2.  Clique no Domínio > **Deleted Objects**.
+3.  Localize o usuário/OU.
+4.  Botão direito > **Restore** (Volta para o lugar original) ou **Restore To** (Lugar novo).
+
+*Se a lixeira não estiver ativa, você precisará de um Authoritative Restore (muito mais doloroso).*
+
+---
+
+## 4. BACKUP DO SYSTEM STATE (NATIVO - WSB)
+
+O Windows Server Backup (WSB) é a forma "canônica" de salvar o AD.
+
+1.  Instale a feature: `Windows Server Backup`.
+2.  Configure um backup agendado ou único.
+3.  **O que selecionar?** A opção crítica é **System State**. Ela contém o banco NTDS.dit, registro e SYSVOL.
+4.  Destino: Disco secundário ou Share de Rede.
+
+---
+
+## 5. FERRAMENTAS EXTERNAS (VEEAM / AZURE BACKUP)
+
+Em ambientes corporativos, usamos Veeam.
+
+**Veeam Backup & Replication:**
+1.  Certifique-se que o "Application-Aware Processing" está ativado no Job.
+    *   Isso garante que o Veeam fale com o VSS do AD para um backup consistente.
+2.  **Restore:** Use o "Veeam Explorer for Microsoft Active Directory".
+    *   Permite restaurar objetos granulares (como um usuário e seus grupos) sem voltar o servidor inteiro.
+
+---
+
+## 6. RESTORE DE DOMÍNIO (DSRM)
+
+**Cenário:** O banco corrompeu ou você precisa voltar um backup do System State.
+
+1.  Reinicie o DC.
+2.  Pressione **F8** ou escolha **Directory Services Repair Mode (DSRM)** no boot.
+3.  Logue com a senha de DSRM (Definida na promoção do DC).
+4.  Use o WSB para restaurar o System State.
+
+### Authoritative vs Non-Authoritative
+*   **Non-Authoritative (Padrão):** Você restaura o backup, mas se houver outro DC vivo, ele sobrescreve seu backup com os dados "mais novos" dele.
+*   **Authoritative (ntdsutil):** Você diz "Esse backup é a verdade absoluta".
+    *   Comando `ntdsutil`: `authoritative restore` > `restore subtree "OU=Financeiro,DC=empresa..."`.
+    *   Isso incrementa o USN (número de versão) em +100.000, forçando todos os outros DCs a aceitarem esses dados antigos como novos.
+
+## 7. VALIDAÇÃO FINAL
+- [ ] A lixeira do AD está ativa?
+- [ ] O backup do System State roda diariamente?
+- [ ] Você sabe a senha de DSRM atual? (Se não, resete com ntdsutil).

documentacao windows/Nivel_3/[Nível 3] Gestão Centralizada via GPO.md

@@ -0,0 +1,82 @@
+# MANUAL TÉCNICO - GESTÃO CENTRALIZADA VIA GPO (GROUP POLICY)
+
+**Código:** ITGENG 0032/26 | **Classificação:** CONFIDENCIAL
+**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
+
+## 1. HISTÓRICO DE REVISÃO
+
+| Data | Versão | Descrição | Autor |
+| :--- | :--- | :--- | :--- |
+| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
+
+## 2. OBJETIVO
+Padronizar a criação, linkagem e filtragem de Políticas de Grupo (GPO), garantindo a aplicação correta de configurações em usuários e computadores.
+
+---
+
+## 3. CONCEITOS E CRIAÇÃO (`gpmc.msc`)
+
+### O Objeto GPO vs O Link
+*   **Group Policy Object (GPO):** É a caixa com as configurações. Fica em "Group Policy Objects".
+*   **Link:** É onde você "conecta" a caixa (Domínio, Site ou OU).
+
+> ⚠️ **REGRA:** Nunca edite a *Default Domain Policy* para coisas específicas. Crie GPOs novas (ex: "GPO_Wallpaper", "GPO_Map_Drives").
+
+### Criando uma GPO
+1.  Vá em **Group Policy Objects**.
+2.  Botão direito > **New** > Nome Claro (ex: `GPO_LockScreen_15min`).
+3.  Botão direito na GPO > **Edit**.
+
+### Aplicando (Linkando)
+1.  Arraste a GPO para a OU desejada (ex: `OU=Financeiro`).
+2.  Ela afetará todos os objetos **dentro e abaixo** dessa OU.
+
+---
+
+## 4. ORDEM DE PROCESSAMENTO (LSDOU)
+
+O Windows aplica GPOs nesta ordem (a última ganha):
+1.  **L**ocal Policy (Do PC).
+2.  **S**ite (AD Site).
+3.  **D**omain.
+4.  **O**U (Organizational Unit).
+
+*Se uma GPO no Domínio diz "Bloqueia USB" e na OU diz "Libera USB", a OU ganha.*
+
+### Exceções
+*   **Enforced (Cadeado):** A GPO "de cima" ganha de qualquer uma abaixo. Use para políticas de segurança inegociáveis.
+*   **Block Inheritance:** A OU ignora tudo que vem de cima (exceto Enforced).
+
+---
+
+## 5. FILTROS WMI (QUEM RECEBE A GPO?)
+
+Às vezes, a GPO está na OU certa, mas só deve rodar em Windows 10, ou só em Notebooks.
+
+1.  Crie um **WMI Filter** no final da árvore do GPMC.
+2.  Exemplo: Só Windows 10
+    ```sql
+    SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.%"
+    ```
+3.  Na GPO, selecione o filtro no menu dropdown "WMI Filtering".
+
+---
+
+## 6. TROUBLESHOOTING (GPRESULT)
+
+A GPO não aplicou. E agora?
+
+1.  Vá no PC com problema.
+2.  Abra CMD como admin.
+3.  Execute:
+    ```bash
+    gpresult /h C:\temp\relatorio_gpo.html
+    ```
+4.  Abra o HTML. Ele mostrará:
+    *   **Winning GPO:** Quem ganhou a configuração.
+    *   **Denied GPOs:** GPOs negadas (WMI filter falso? Permissão negada? OU errada?).
+
+## 7. VALIDAÇÃO FINAL
+- [ ] A GPO tem um nome claro e scopo definido?
+- [ ] O WMI Filter (se usado) está correto?
+- [ ] O `gpresult` confirma que a GPO chegou no cliente?

documentacao windows/active_directory/README.md

@@ -1,3 +0,0 @@
-# Documentação Active Directory
-
-Local para manuais e procedimentos referentes ao **Active Directory**.

documentacao windows/dns/README.md

@@ -1,3 +0,0 @@
-# Documentação Dns
-
-Local para manuais e procedimentos referentes ao **Dns**.

documentacao windows/firewall/README.md

@@ -1,3 +0,0 @@
-# Documentação Firewall
-
-Local para manuais e procedimentos referentes ao **Firewall**.

documentacao windows/gpo/README.md

@@ -1,3 +0,0 @@
-# Documentação Gpo
-
-Local para manuais e procedimentos referentes ao **Gpo**.