Pessoal,

Iniciando essa semana, focarei alguns posts sobre as novidades (e talvez muitas delas nem sejam tão novidades assim) para Políticas de Grupo para Windows Server 2008 e Windows Vista.

Desde o NT 4.0 (Server e Workstation), já era possível se aplicar políticas de grupo em estações de trabalho e até mesmo servidores para controlar o ambiente. Tarefas como bloquear o Painel de Controle, definir o Papel de Parede das estações, etc. Com a implementação de um Diretório de Serviços (Windows 2000 Server) e o amadurecimento da tecnologia, ficou mais fácil e integrado o gerenciamento de tais políticas. Diferente do Windows NT 4.0, quando era necessário criar políticas para "defazer" as configurações, com o Windows Server 2000 e 2003 o número de configurações disponíveis cresceram imensamente, além das GPOs ficarem mais inteligentes, com opções de Filtro, Group Membership, Arquivos Administrativos (ADM), etc.

O Windows Server 2008 e o Windows Vista introduzem uma série de novas políticas de grupo para gerenciamento de estações de trabalho. Logicamente, há todo um trabalho para manter a compatibilidade, assim, estações de trabalho com Windows XP, com pelo menos o Service Pack 2, poderão se valer de muitos destes recursos. Para maiores informações, consulte: http://technet2.microsoft.com/WindowsVista/en/library/a8366c42-6373-48cd-9d11-2510580e48171033.mspx

Além disso, como novidade, o Windows Server 2008 inclui o que chamamos de Group Policy Preferences. Essa ferramenta é parte da aquisição da empresa DesktopStandard, e era conhecida anteriormente como PolicyMaker. Como grandes novidades, agora é possível, via GPO, configurar de modo fácil e sem a necessidade de se criar scripts, mapeamentos de drives, cópias de arquivos, cópias de arquivos .ini, registry, configurações preferenciais de Painel de Controle e muito mais. Para um estudo detalhado das possibilidades, consulte: http://www.microsoft.com/downloads/details.aspx?FamilyID=42e30e3f-6f01-4610-9d6e-f6e0fb7a0790

Nos próximos posts, detalharemos mais cada uma das novidades.

Antes de vir para a Microsoft, em muitas empresas que trabalhei, algo que sempre me preocupei foi com padronizações. Geralmente, eu trabalhava com ambientes de médio e grande porte, e gerenciar 80 Controladores de Domínio não é a mesma coisa de gerenciar 2. Assim, uma das tarefas que eu mais me dedicava era criar documentações padronizando instalações, modificações e operações de ambiente.

Mas por onde começar ? Como fazer um checklist. Bem, o site do Technet acaba dando boas idéias, como o esquema que pensei abaixo. São passos básicos, mas que pode lhe ajudar a definir melhor a implementação de uma estrutura de Active Directory, por exemplo:

Se você quiser dar uma olhada na documentação completa, segue o link: Active Directory overview

Neste post, listarei algumas categorias onde tivemos a melhoria de configurações via Políticas de Grupo. Com o surgimento do Windows Vista e o amadurecimento de algumas tecnologias, faz-se necessário a atualização do lado servidor para que este possa controlar via GPO as estações de trabalho:

• Removable Storage Device Policy Settings: é a habilidade, de granularmente, definir quais dispositivos USB (como PEN Drives, mouses, teclados, cameras fotográficas, etc) podem ou não ser instalados em seu parque. Imagine uma excelente política de segurança, com IPSec, credenciais fortes, criptografia, etc e alguém simplesmente, consegue copiar um arquivo para um PEN Drive e levar essa informação consigo. Com esse novo recurso, você pode definir quais dispositivos são permitidos ou não e consegue ter uma melhor proteção do seu ambiente.
• User Account Protection e UAP Policy Settings: com a introdução do UAC no Windows Vista, você tem a possibilidade, de via GPOs, configurar o comportamento de tal característica, como por exemplo, suprimir as mensagens de alerta, configurar níveis de avisos, etc.
• Security: Windows Firewall, IPSec, Windows Defender: Seguindo o mesmo princípio acima, via GPOs, você consegue criar políticas de criptografia com IPSec, deixar sempre ativado o Windows Firewall e Windows Defender e assim manter um grau de segurança avançado para seu ambiente.
• Desktop Management – Power Management: O Gerenciamento de Energia tornou-se vital nas companhias e com certeza, o recurso de pode aplicar uma política consistente de Gerenciamento de Energia via GPOs é bem vindo. Asssim, através deste recurso, você consegue manipular o comportamento de suas estações de trabalho neste quesito.
• Desktop Management: Novos recursos para Gerenciamento de Impressoras e configurações do Internet Explorer, incluindo a parte de Internet Explorer Security Configuration com suporte para IE 7
• Network Access Protection (NAP): Por default, você já consegue criar políticas de NAP e distribuir aos seus clientes (Windows Vista e Windows XP SP2)
• Políticas 802.1x para redes Wireless e Wired: Aproveitando a tecnologia 802.1x, para controle de devices, você pode criar regras para redes sem fio e com fio e aplicar em toda a sua rede

Mais algumas novidades do Windows Server 2008 e GPO's:

• Starter GPOs: que tal criar um "template" para toda nova GPO ? Imagine que por exemplo você tem uma GPO que faz alguns tipos de configurações no Log de Eventos dos Servidores, porém, você tem quatro ou cinco GPOs diferentes, dependendo do papel que o servidor desempenha. Para evitar o trabalho de a cada GPO criada, ter toda essa configuração padrão de logs criada novamente, você pode criar o que chamamos de "Starter GPOs", que são templates usados como base para a criação de novas GPOs. Na verdade, é uma pasta criada dentro da pasta SYSVOL que armazena esses templates e podem ser gerenciados através do GPMC.msc
• Comentários: agora é possível atribuir comentários a determinada GPO ou até mesmo característica dentro de cada GPO para manter um controle e histórico de informações que pode lhe ajudar na identificaçào das Políticas, como por exemplo, porque foi criada, quando, por quem, etc.
• Filtro de GPOs (Busca): Uma das novas características do GPMC v2 é poder localizar settings de GPOs alteradas/modificadas, por palavra chaves ,etc, para facilitar a busca e localização das informações dentro das GPOs.

Observação: O novo GPMC v2 já vem no Windows Server 2008, como uma "Feature" adicional que deve ser instalada via ServerManager. Para Windows Vista, essa ferramenta virá como parte do RSAT (Remote Server Administration Tool) a ser lançada no final deste mês, disponível para Vista com SP1 (ao instalar o SP1 do Vista, a ferramenta antiga GPMC é removida).

Esse post vai falar um pouco sobre "Group Policy Preferences", novo recurso adicionado no Windows Vista.

• O que é ?
• Conjunto de características que permitem distribuir, via GPOs, "preferências" aos usuários
• Qual a diferença com as GPOs que conhecemos ?
• Preferências não são mandatórias; isto é, são características enviadas aos usuários via GPOs, mas que podem ser alteradas. As GPOs que conhecemos são mandatórias, isto é, os usuários não podem "desfazer" configurações enviadas via GPO.
• O que posso configurar via Group Policy Preferences ?
• Você pode criar dinâmicamente mapeamento de drives, compartilhamentos, cópia de arquivos e chaves de registry, atalhos na área de trabalho, conexões ODBC, etc. Basicamente, a maioria destas características eram feitas via script de logon, e assim, agora podem ser centralizadas e distribuídas via GPOs.
• Acho que já vi isto antes..... não era um produto ?
• Sim, eram dois produtos chamados PolicyMaker Standard Edition e Policy Share Manager, que foram adquiridos pela Microsoft e disponibilizados agora via Group Policy Preferences
• Quais são os pré-requisitos ?
• Você precisa ter pelo menos um servidor com Windows Server 2008 e GPMC v2 instalado e nos clientes, é necessário a instalação de um Client Side Extensions (CSE’s) (como se fosse um cliente). Os seguintes sistemas operacionais são suportados:

· Windows XP 32 Bit

· Windows XP x64 Edition

· Windows Server 2003 32 Bit

· Windows Server 2003 x64 Edition

· Windows Vista 32 Bit

· Windows Vista x64 Edition

Para maiores informações, consulte: Group Policy Preferences White Paper