terça-feira, 9 de junho de 2020
sexta-feira, 5 de junho de 2020
EFS no windows
Esse recurso permite criptografar arquivos, restringindo o acesso ao dono do arquivo. Mais uma camada de segurança.
quinta-feira, 4 de junho de 2020
Função DFS no Windows Server
Servidor de Arquivos Distribuído
Permite concentrar os compartilhamentos de pastas de vários servidores em um único caminho de rede.
Ex.:
\\server1\Documentos
\\server1\Planilhas
\\server2\Geral
\\server2\Imagens
Unificando todos esses caminhos de rede em:
\\dominio\Publico
\\dominio\Publico\Documentos
\\dominio\Publico\Planilhas
\\dominio\Publico\Geral
\\dominio\Publico\Imagens
terça-feira, 2 de junho de 2020
segunda-feira, 1 de junho de 2020
quando gpo não está funcionando
https://diegogouveia.com.br/2019/01/22/meu-gpo-nao-esta-sendo-aplicada-o-que-eu-devo-fazer-verificar/
Na imagem acima eu tenho dois computadores, DESKTOP-JS09CSD e TI, ambos dentro da unidade organizacional “Computadores” que por sua vez está localizada em -> TI -> MATRIZ -> diegogouveia.com.br. Para que esses computadores recebam um GPO, o link do mesmo deve está em algum dos locais que os computadores pertencem, neste caso: ou na OU Computadores, ou na OU TI, ou na OU Matriz ou no domínio diegogouveia.com.br ou no site, como ilustra um exemplo abaixo, no qual demonstra que o link do GPO Conf_EstaçõesTI está sendo aplicado nos computadores DESKTOP-JS09CSD e TI do domínio diegogouveia.com.br.
Então a primeiro coisa a ser feita é verificar se objetos estão inseridos corretamente no local em que o link do GPO está vinculado. Caso não tenha sido essa a resposta do motivo de não está sendo aplicado o GPO, vá para as próximas dicas.
Meu GPO não está sendo aplicado. O que eu devo fazer (verificar)?
- Postado porDIEGO GOUVEIA
- CategoriasARTIGOS, CANAL GROUP POLICY
- Data22 22+00:00 JANEIRO 22+00:00 2019
- Comentários0 COMENTÁRIO
Neste post você aprenderá algumas dicas de o porquê do seu GPO não está sendo aplicado.
Bom, muita gente ainda tem bastante dúvidas de identificar o porquê um GPO não está sendo aplicado ao seu objeto. É por isso que abaixo listo algumas possíveis causas de isso está acontecendo. Vamos lá:
DICA 1 – O objeto não está inserido no local em que o link do GPO está vinculado.
Essa é sem dúvidas, a campeã, do motivo que um GPO não está sendo aplicado a um objeto do domínio.
Todo mundo sabe, e deve saber, (em especial aos que administram os GPOs do domínio) que um GPO deve está vinculado aos objetos que os receberão. Se o GPO não estiver vinculado onde estão os objetos ou então o objeto não estiver no local que está o link do GPO, o mesmo não será aplicado a ele. Veja um exemplo ilustrativo abaixo para explicar melhor:
Na imagem acima eu tenho dois computadores, DESKTOP-JS09CSD e TI, ambos dentro da unidade organizacional “Computadores” que por sua vez está localizada em -> TI -> MATRIZ -> diegogouveia.com.br. Para que esses computadores recebam um GPO, o link do mesmo deve está em algum dos locais que os computadores pertencem, neste caso: ou na OU Computadores, ou na OU TI, ou na OU Matriz ou no domínio diegogouveia.com.br ou no site, como ilustra um exemplo abaixo, no qual demonstra que o link do GPO Conf_EstaçõesTI está sendo aplicado nos computadores DESKTOP-JS09CSD e TI do domínio diegogouveia.com.br.
(também mostra ainda nessa mesma foto que os computadores recebem outros GPOs como Audit_ContasActiveDirectory, Default Domain Policy e WinRM, vinculados a nível de domínio).
Então a primeiro coisa a ser feita é verificar se objetos estão inseridos corretamente no local em que o link do GPO está vinculado. Caso não tenha sido essa a resposta do motivo de não está sendo aplicado o GPO, vá para as próximas dicas.
DICA 2 – Verifique se as configurações do GPO estão habilitadas.
Outra coisa que é bastante comum e possa está impedindo que seu GPO não ser aplicado aos objetos é o mesmo está com TODAS as suas configurações (ou parte delas) desabilitadas. Geralmente isso ocorre acontece em locais que os administradores trabalham habilitando apenas as configurações do que o GPO será aplicado, ou seja, se for somente um GPO para alguma configuração voltada ao computador é habilitado somente as configurações de computador e não de usuário, garantindo assim um desempenho melhor do processamento da política.
Para verificar se está habilitando ou não as configurações do status do seu GPO para o objeto em questão, clique no nome do GPO e acesse a guia Detalhes, encontrada no painel de resultado que será carregado. Com a guia selecionada verifique o campo Status GPO, ilustrado abaixo, se está habilitado as configurações do objeto que está tentando aplicar.
DICA 3 – Verifique se não há outro GPO no domínio anulando a configuração que deseja aplicar.
Como todos sabem, os GPOs são aplicados seguindo um lógica, que é:
1. Local Group (Grupo Local).2. Site.3. Domain (Domínio).4. Unidade Organizacional.
Então por ser aplicado seguindo uma hierarquia pode acontecer de algum GPO está anulando a configuração no qual está tentando aplicar. O meu conselho a você é olhar na hierarquia dos GPOs quais configurações estão sendo aplicadas depois do GPO em questão e verificar se algum deles estão em conflito com o GPO que está tentando aplicar.
Para saber quais GPOs estão sendo aplicadas a um objeto você pode usar o comando gpresult /r, explicado neste artigo abaixo:
– Obtendo as Configurações das Políticas de Grupo, de “forma tradicional” e remota, com o comando gpresult.
Você também pode, se quiser, usar a guia de Herança de Política de Grupo do console GPMC, localizada no console do GPMC. Ela demonstra o que está sendo aplicada aos objetos que estão dentro daquela unidade organizacional (domínio, etc) e a ordem de como eles estão sendo aplicados ao mesmo, ilustrado em Precedência.
Na imagem acima é possível notar que o último GPO aplicado nos objetos da OU Computadores é o GPO Conf_EstaçõesTI. Ou seja, se por ventura meu computador ou usuário estivesse dentro dessa OU e não tivesse recebendo a configuração da política possivelmente podia ser algum GPO que é aplicado depois está entrando em conflito com o GPO da configuração. Neste caso pode usar a informação de Precedência, localizada na imagem acima, para saber quais GPOs estão sendo aplicados depois e ir diretamente neles consultando se há algum conflito com a mesma configuração. Vale lembrar que é possível alterar esse valor de precedência mas esse é assunto para outro post futuro.
DICA 4 – Vinculo Desabilitado.
Outra coisa que pode está fazendo com que seu GPO não seja aplicado, é o link do mesmo está desabilitado no local no qual vinculou. Geralmente isso ocorre quando precisamos desabilitar um GPO que não está sendo usado naquele momento. Com isso esquecemos de habilitá-lo depois e assim ele não é aplicado aos objetos.
Para verificar se o seu GPO está habilitado ou não clique nele com o botão direito do mouse e verifique se está marcado a opção VINCULO HABILITADO, ilustrado abaixo.
DICA 5 – Objeto com negação na política.
Outro cenário bastante comum – isso porque muitos departamentos precisam trabalhar com exceções em GPOs – é ter uma negação de leitura ou de aplicação a um objeto.
Então verifique na guia Delegação -> Avançados se o objeto em questão não está com negação na aplicação da política, conforme ilustra o exemplo abaixo que demonstra que o usuário Diego Lima está com negação na política Conf_EstaçõesTI do domínio diegogouveia.com.br.
DICA 6 – Veja como está configurado o valor da política.
Quando configuramos uma política no domínio, é perguntando se deseja ou não habilitar a mesma nas suas propriedades. Isso pode ser visto dando um duplo clique na política, verificando assim se deseja ou não aplicar a mesma e caso deseje aplicar se deseja HABILITAR ou NÃO.
DICA 7 – Se você possui mais de um DC, verifique se todos estão fazendo a replicação correta dos GPOs.
Isso porque o usuário possa está se autenticado em algum DC que não está com uma cópia fiel dos GPOS do domínio, com isso fazendo com que ele não receba o GPO. No post abaixo eu explico como você verificar isso.
– Analisando o Status Da Infraestrutura das Políticas de Grupo do domínio, por meio do GPMC.
Vale lembar que também existem OUTRAS inúmeras razões de seu GPO não está sendo aplicado. Como desde o adaptador de rede não está configurado direito ou desativado a problemas de DNS, de autenticação e por aí vai. Listei apenas alguns exemplos que devem ser verificados.
Gostou do artigo? Que tal aprender mais? Segue o link da venda dos meus livros: Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016 e Administrando O Active Directory Com O PowerShell. Neles tem inúmeras dicas úteis e práticas, demonstradas passo a passo e sem complicações, de como usar o Windows PowerShell para administrar o Active Directory e como trabalhar com políticas de grupo na administração de um domínio.
– Link da venda do livro: Administrando o Active Directory com o PowerShell:
– Link da venda do livro: Tudo sobre GPOs no Windows Server 2008, 2012 e 2016.
AppLocker
Esse software permite bloquear a execução de softwares que estão instalados fora de determinados diretórios.
Ex.: Permitir execução de qq software instalado no c:\Arquivos de programação ou C:\windows
Dessa forma, qq programa instalado fora desses diretórios, não serão executados.
Também é possível bloquear por fornecedor, nome, cmd.exe.
É configurado por GPO. Dessa forma, todos os computadores da rede ficam restritos para execução de programas. Também bloqueia softwares Portável.
Resumindo:
1) Instale todos os programas padrões (definidos pela empresa) de cada estação
2) Ative o applocker
Dessa forma, somente os softwares autorizados pela empresa serão executados.
Ex.: Permitir execução de qq software instalado no c:\Arquivos de programação ou C:\windows
Dessa forma, qq programa instalado fora desses diretórios, não serão executados.
Também é possível bloquear por fornecedor, nome, cmd.exe.
É configurado por GPO. Dessa forma, todos os computadores da rede ficam restritos para execução de programas. Também bloqueia softwares Portável.
Resumindo:
1) Instale todos os programas padrões (definidos pela empresa) de cada estação
2) Ative o applocker
Dessa forma, somente os softwares autorizados pela empresa serão executados.
Assinar:
Postagens (Atom)