83 lines
2.6 KiB
Markdown
83 lines
2.6 KiB
Markdown
# MANUAL TÉCNICO - GESTÃO CENTRALIZADA VIA GPO (GROUP POLICY)
|
|
|
|
**Código:** ITGENG 0032/26 | **Classificação:** CONFIDENCIAL
|
|
**Responsável:** João Pedro Toledo Gonçalves | **Data:** {{DATA_ATUAL}}
|
|
|
|
## 1. HISTÓRICO DE REVISÃO
|
|
|
|
| Data | Versão | Descrição | Autor |
|
|
| :--- | :--- | :--- | :--- |
|
|
| {{DATA_ATUAL}} | 1.0 | Criação Inicial | João Pedro Toledo Gonçalves |
|
|
|
|
## 2. OBJETIVO
|
|
Padronizar a criação, linkagem e filtragem de Políticas de Grupo (GPO), garantindo a aplicação correta de configurações em usuários e computadores.
|
|
|
|
---
|
|
|
|
## 3. CONCEITOS E CRIAÇÃO (`gpmc.msc`)
|
|
|
|
### O Objeto GPO vs O Link
|
|
* **Group Policy Object (GPO):** É a caixa com as configurações. Fica em "Group Policy Objects".
|
|
* **Link:** É onde você "conecta" a caixa (Domínio, Site ou OU).
|
|
|
|
> ⚠️ **REGRA:** Nunca edite a *Default Domain Policy* para coisas específicas. Crie GPOs novas (ex: "GPO_Wallpaper", "GPO_Map_Drives").
|
|
|
|
### Criando uma GPO
|
|
1. Vá em **Group Policy Objects**.
|
|
2. Botão direito > **New** > Nome Claro (ex: `GPO_LockScreen_15min`).
|
|
3. Botão direito na GPO > **Edit**.
|
|
|
|
### Aplicando (Linkando)
|
|
1. Arraste a GPO para a OU desejada (ex: `OU=Financeiro`).
|
|
2. Ela afetará todos os objetos **dentro e abaixo** dessa OU.
|
|
|
|
---
|
|
|
|
## 4. ORDEM DE PROCESSAMENTO (LSDOU)
|
|
|
|
O Windows aplica GPOs nesta ordem (a última ganha):
|
|
1. **L**ocal Policy (Do PC).
|
|
2. **S**ite (AD Site).
|
|
3. **D**omain.
|
|
4. **O**U (Organizational Unit).
|
|
|
|
*Se uma GPO no Domínio diz "Bloqueia USB" e na OU diz "Libera USB", a OU ganha.*
|
|
|
|
### Exceções
|
|
* **Enforced (Cadeado):** A GPO "de cima" ganha de qualquer uma abaixo. Use para políticas de segurança inegociáveis.
|
|
* **Block Inheritance:** A OU ignora tudo que vem de cima (exceto Enforced).
|
|
|
|
---
|
|
|
|
## 5. FILTROS WMI (QUEM RECEBE A GPO?)
|
|
|
|
Às vezes, a GPO está na OU certa, mas só deve rodar em Windows 10, ou só em Notebooks.
|
|
|
|
1. Crie um **WMI Filter** no final da árvore do GPMC.
|
|
2. Exemplo: Só Windows 10
|
|
```sql
|
|
SELECT * FROM Win32_OperatingSystem WHERE Version LIKE "10.%"
|
|
```
|
|
3. Na GPO, selecione o filtro no menu dropdown "WMI Filtering".
|
|
|
|
---
|
|
|
|
## 6. TROUBLESHOOTING (GPRESULT)
|
|
|
|
A GPO não aplicou. E agora?
|
|
|
|
1. Vá no PC com problema.
|
|
2. Abra CMD como admin.
|
|
3. Execute:
|
|
```bash
|
|
gpresult /h C:\temp\relatorio_gpo.html
|
|
```
|
|
4. Abra o HTML. Ele mostrará:
|
|
* **Winning GPO:** Quem ganhou a configuração.
|
|
* **Denied GPOs:** GPOs negadas (WMI filter falso? Permissão negada? OU errada?).
|
|
|
|
## 7. VALIDAÇÃO FINAL
|
|
- [ ] A GPO tem um nome claro e scopo definido?
|
|
- [ ] O WMI Filter (se usado) está correto?
|
|
- [ ] O `gpresult` confirma que a GPO chegou no cliente?
|