Dicas de como funciona a ordem de procedência de uma GPO

GPO

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre o a ordem de processamento das GPOs, ou seja, a ordem que as GPOs são aplicas.

A ordem de processamento começa com:

  1. Local
  2. Site
  3. Domain
  4. OU

Você pode criar uma GPO local, usando o gpedit.msc, em seguida vem a GPO de Site, logo depois Domínio e por fim em OUs.

Em OUs você pode granular as GPOs de uma forma que para mim acho ótima, onde posso por exemplo bloquear hierarquia de GPOs, em outras palavras posso desativar a hierarquia de uma determinada OU e ela só irá receberas GPOs que estão com Link para ela ou as GPOs que estão configuradas como ENFORCE

Uma outra dica, se você abrir o seu Group Policy Management e verificar a parte de Group Policy Inheritance, você verá a partede Precedence (Isso é bem importante na hora de verificar a ordem, pois olhando para os números, você pode encontrar por exemplo:

Nesse exemplo, para você qual será a primeira GPO a ser aplicada? Default Domain Policy? Não rsrs

As GPOs com o número mais baixo, serão processadas por último rsrs

Nesse meu print, você está vendo a palavra Enforced, o que isso significa? Significa que mesmo que eu bloqueie a hierarquia em uma OU, essas GPOs irão ser aplicadas da mesma forma rsrs. LEMBRE-SE A GPO MAIS RESTRITIVA É A QUE GANHARÁ.

Quando você definiu uma GPO como Enforce, ela automaticamente irá ficar com um número mais abaixo na ordem.

Irei abordar mais sobre isso em outro Post, gostou do conteúdo?

Até o próximo post.

GPO : Dica básica Troubleshoot

GPO

Fala pessoal, tudo bem com vocês? Hoje resolvi escrever sobre uma dica básica de troubleshoot de GPO, no qual vejo muito acontecer esse exemplo que irei falar.

Quando eu (Paulo), vou fazer um troubleshoot de uma GPO, existem algumas coisas que eu verifico primeiro. São elas:

  • A GPO está na OU correta?
  • A GPO está habilitada?
  • A GPO é para computador ou usuário? Na OU existe os 2?
  • As configurações estão corretas?
  • Existe algum filtro de segurança?
  • Existe um filtro WMI?

Essas são algumas das verificações básicas que realizo. Hoje irei falar de um erro bastante comum, que é criar uma GPO para computador e colocar a GPO em uma OU onde não existe computadores. Esse erro pode parecer algo simples para você, mas para quem está começando não.

Então Paulo, qual é dica ? rsrs Fez o Check básico ? Criou uma GPO para computador e o computador não está na OU? Ai está o erro, quando você criar uma GPO com configurações para computador, certifique-se que a GPO será aplicada na OU que contenha computadores. O mesmo cenário para usuários, certifique-se que na OU contenha usuários.

Como sempre falo, sempre tenha um ambiente de homologação antes de colocar em produção uma GPO.

Em outros Posts irei falar mais a fundo, sobre troubleshoots em GPOs, mas primeiro vamos começar com o básico rsrs

GPO: Excluir Perfil de usuário que não conecta há “x” dias

GPO

Fala pessoal, tudo bem com vocês? Hoje irei abordar uma GPO simples, que podem ajudar a realizar uma limpeza automática em perfis que não se conectam em um computador há “x” dias.

Para configurar essa GPO, iremos nos conectar no nosso AD, ou se você tiver o RSAT você pode abrir o gerenciador de políticas de grupo e realizar a configuração por lá.

Antes de realizar o procedimento, tenha em mente que você pode habilitar para um determinado tempo, e o usuário estava de férias… você pode ter algum problema com isso rsrs.

Com isso em mente, vamos começar rsrs

Vamos abrir primeiro o Gerenciador de Políticas de grupo (Group Policy Management)

Com ele aberto, vamos criar uma GPO.

Irei definir o nome como: Excluir perfil 40 dias. Você pode definir o nome que achar melhor.

Agora iremos editar nossa GPO, para realizar as configurações.

Iremos em Computer Configuration > Policies > Administrative Templates > System > User Profile

Agora iremos procurar pela configuração: Delete User profiles older than a specified number of days on system restart

Agora iremos procurar pela configuração: Delete User profiles older than a specified number of days on system restart

Iremos habilitar essa configuração, e definir o número de dias. Uma observação que esqueci de colocar, essa configuração os computadores precisam ser reiniciados, pois ela funciona com a reinicialização deles.

No meu caso, configurei para 40 dias.

Agora você dele colocar a GPO na OU que você deseja aplicar. Recomendo sempre que faça um ambiente de homologação antes de colocar em produção.

Essa foi a dica de hoje, até a próxima.

Como descobrir em qual servidor uma determinada GPO foi criada via PowerShell

GPO, PowerShell

Fala pessoal, tudo bem com vocês? Hoje resolvi escrever uma dica, no qual já vi vários técnicos e analistas com dificuldades para encontrar em qual servidor uma determinada GPO foi criada.

Digamos, que você tenha um ambiente com 8 servidores de AD, e vários administradores que criam GPO no seu ambiente. Como saber em qual servidor foi criada uma determinada GPO?

Para realizar esse procedimento iremos precisar da GUID da GPO, que irei mostrar mais abaixo como encontrá-la.

Um outro exemplo, no qual você pode usar esse procedimento, seria quando você realizada um gpupdate /force e encontramos um erro que uma GPO não foi aplicada por algum motivo, que pode ser por exemplo um problema de replicação entre os servidores.

Vamos para o que interessa? Rsrs

Primeiro iremos abrir a console do Group Policy Manegement. Nesse exemplo irei usar uma GPO que já conheço o nome, mas não sei em qual servidor ela foi criada.

Irei clicar na GPO, e irei em Details para pegar o GUID dessa GPO.

Iremos pegar o valor Unique ID, com esse valor agora iremos abrir o PowerShell e executar um comando.

repadmin /showmeta "cn={GUID DA GPO },cn=policies,cn=system,dc =seudominio,dc=local"

No meu caso, ficaria dessa forma:

Aqui usei o PowerShell ISE

Depois de rodar esse comando, obtive a seguinte tela:

Retirei uma grande parte de informações nesse print, porem o comando irá trazer bem mais informações.

Espero que essa dica ajude, até a próxima.

Como verificar GPOs aplicadas para usuários e computadores

GPO, Windows Server

Fala pessoal, tudo bem com vocês? Recentemente vi uma pergunta em um fórum sobre como verificar quais GPOs estavam sendo aplicadas para usuários e computadores.

Sei para muitos isso é bem fácil, e para quem está começando, nem sempre rsrs.

Então resolvi escrever um pouco sobre isso.

Você pode verificar quais GPOs estão sendo aplicadas no computador e usuário pelo CMD (Command Prompt)

Geralmente para as GPOs de computador, uso o CMD como poderes administrativos.

Acredito que o comando mais conhecido é o gpresult /r com ele, você poderá verificar quais GPOs estão sendo aplicadas, além de outras informações como Grupos que fazem parte e etc.

Segue o exemplo:

GPO aplicada para esse servidor

GPO aplicada para meu usuário:

Também gosto muito de usar o RSOP, com ele consigo verificar quais configurações estão sendo alteradas, e por quais GPOs

Basta você digitar rsop no CMD

Tela de carregamento do rsop

Depois de carregar, o mesmo mostrará as configurações de GPO como um gpedit.msc

Essa foi a dica de hoje. Você conhecia ou usa o RSOP?

LGPD e Segurança em Ambientes Windows.

GPO, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar um pouco sobre Segurança e LGPD para ambientes Windows.

Recentemente li um livro do Grande Daniel Donda, “Guia pratico de implementação da LGPD”, no qual recomendo muito vocês comprarem. Irei deixar o link no final.

O que significa LGPD ?

Lei Geral de Proteção de Dados Pessoais

Lendo o livre, vi muitas coisas interessantes, principalmente para ambientes Microsoft (o livro é baseado em ambientes Microsoft)

Uma das primeiras coisas que achei importantíssimo, foi sobre o Hardening dos Servidores, vocês sabem o que é isso? Já implementaram alguma vez? Nossos servidores estão com todos os nossos dados, e por isso devemos deixa-lo seguro. O hardening é realizado para diminuir a superfície de ataques nos servidores ou em Workstations.

Mas Paulo, como irei fazer um hardening? Primeiro de tudo, cuidado ao aplicar um hardening que você encontrou na internet e não sabe o que ele irá fazer rsrs.

Vamos começar pelo básico, as queridas GPOs, com elas já conseguimos realizar diversos bloqueios, e configurações que irão ajudar nessa jornada.

Porem, na maioria das vezes cada servidor roda um serviço diferente, como um AD, Banco de dados, Servidor de arquivos e etc. Cada servidor deve ter seu hardening, pois alguns bloqueios podem afetar nos serviços.

Uma outra boa pratica é usar o Bitlocker para criptografia, principalmente em dispositivos que sempre estão rodando de um local para outro. Imagina um funcionário ser roubado com o notebook e alguém ter acesso a documentos confidenciais que estavam nele? Pois é, sei que você não deseja isso. Então vamos pensar em Bitlocker.

Uma outra boa pratica, e que as vezes se não for configurado da forma correta, irá afetar alguns serviços ou até parar seu ambiente. Antivírus, mas da mesma forma do hardening use politicas de acordo com o tipo de serviço que seu servidor tem. Como por exemplo no Hyper-V, a Microsoft disponibiliza quais configurações você deve colocar no seu antivírus para não impactar no serviço.

Voltando para GPOs, você pode procurar por Baselines e ler sobre as configurações, testar em um ambiente de homologação. A Microsoft disponibiliza o Microsoft Security Compliance, que é um conjunto de ferramentas de segurança para GPO. Uma outra que indico é a CIS (Center for Internet Security), no site é possível encontrar PDFs com configurações e explicações de cada indicação que ela dá.

Ficou interessado em saber mais ? Vou deixar alguns links

Como instalar Fontes via GPO

GPO

Fala pessoal, tudo bem com vocês? Hoje recebi uma demanda para realizar a instalar fontes via GPO, então resolvi escrever como realizar o processo.

Primeiro, vamos se conectar no AD e abrir o Group Policy.

Iremos criar uma nova GPO

Agora, iremos editar nossa GPO.

Vamos em configuração de computadores, em preferencias e procurar por Files

Em Files, iremos criar uma nova File (arquivo), clique com o botão direito, new > File

No Painel de criação, iremos precisar colocar a localização do arquivo e o destino.

No meu caso, as fontes estão em NetLogon dentro de uma pasta.

E o destino será a pasta Fonts %SYSTEMDRIVE%\Windows\Fonts

Aqui segue um exemplo

Logo depois precisamos criar um registro

Vamos clicar em novo, e criar um novo registro

Em caminho da chave iremos colocar

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts

Nome do valor: O nome da Fonte, no meu exemplo a fonte é OpenSans-Bold

Tipo de valor: REG_SZ

Dados do valor iremos colocar a fonte, no meu exemplo: OpenSans-Bold.ttf

Agora é só colocar a GPO na OU ou no Domínio para ela ser recebida nos computadores.

Dicas para melhorar o gerenciamento e configurações de Diretivas de Grupo (Group Policy Management)

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre algumas dicas de gerenciamento e configurações de GPO, na minha visão e que acho pertinente para a maioria dos ambientes.

Primeiro, quero falar sobre onde eu sempre começo a criar as GPOs, sempre começo criando as GPOs nos Objetos de políticas de Grupo (Group Policy Objects)

Vale lembrar, que as GPOs são configuradas para computadores, usuários ou ambos. Também podemos criar filtros WMI para colocar um filtro mais avançado.

Dica 01

Para começar, a primeira dica que irei colocar aqui, é criar uma OU que contenha um computador e um usuário para realizações de testes para homologação, lembrando é claro que a GPO deve ser inclusa apenas nessa OU. Realize todos os testes, para não afetar seu ambiente de produção

Após realizar os testes e verificar se tudo funcionou corretamente, irei para a próxima dica…

Dica 02

Seu ambiente provavelmente deve ser segmentado por OUs como por exemplo departamentos da empresa, regiões, cidades etc.

Minha dica é inclua a GPO o mais próximo possível de onde ele será utilizado.

Vou dar um exemplo, vamos dizer que tenho várias OUs no meu ambiente, como: Financeiro, RH, Comercial e TI.

Essa GPO que estou criando seria para os usuários de TI, então irei incluir a GPO a OU TI. (Lembrando que os usuários e computadores devem estar nessa OU)

Dica 03

Configure filtros para as GPOs, crie Grupos no AD para incluir usuários, computadores…

Na parte de segurança de GPO, ela permite uma granularidade muito grande para segurança. Alem de grupos, você pode criar filtros WMI e aplicar também. Com filtros WMI, você pode filtrar por tipo de S.O, quantidade de memória RAM, além de outras muitas possibilidades, irei deixar um link falando mais sobre WMI

https://docs.microsoft.com/pt-br/windows/security/threat-protection/windows-firewall/create-wmi-filters-for-the-gpo

Dica 04

Relembrando a dica 02, tente evitar colocar políticas desnecessárias a nível de domínio, principalmente com o parâmetro de enforce. O parâmetro enforce (a que a GPO fica com um cadeado) irá sobrescrever as permissões, lembrando… as permissões mais restritivas é que serão aplicadas.

Configurando o Shadow no RDS para visualizar as sessões do RDS Windows Server 2019.

GPO, Windows Server

Fala pessoal, hoje venho mostrar uma funcionalidade antiga, mas que talvez voce não conheça. O Shadow, com ela podemos visualizar e ate controlar sessões no RDS.

Hoje irei mostrar como configurar uma GPO para visualizar as sessões sem a necessidade de o usuário clicar em permitir.

Em servidores com o acesso remoto habilitado, as vezes precisamos verificar algum problema em um acesso, e com o Shadow podemos visualizar isso.

Para configurar sem precisar do consentimento do usuário precisamos definir nas politicas de grupo.

Vamos abrir o gpedit.msc

Em Computer Configuration vamos até

Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections

Aqui iremos configurar Set rules for remote control of Remote Desktop services user sessions

Vamos definir a seguinte configuração

View Session without user’s permission

Existe outras opções, você pode configurar de acordo com sua necessidade.

Agora irei realizar um gpupdate /force para pegar a nova configuração e realizar o teste.

No nosso servidor iremos em Remote Desktop Services e abrir a parte de Collections

Vamos em Connections no usuário Arthur, clicar com o botão direito e selecionar Shadow

Agora temos 2 opções, uma para visualizar e outra para controlar. Também tem a opção de pedir autorização ao usuário, porem não irei usar.

Vamos clicar em View

Aqui podemos visualizar em tempo real o problema do usuário

Visão do Shadow

Recriando as GPOs Default Domain Policy e Default Domain Controllers Policy

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês ?

No artigo de hoje irei mostrar como recriar as GPOs Default Domain Policy e Default Domain Controllers Policy… Aí você me pergunta isso pode ser necessário? Minha resposta é SIM, principalmente se você tem apenas 1 controlador de domínio. Já peguei diversos casos em clientes com problemas, pois um vírus corrompeu essas GPOs, ou alguém apagou, ou simplesmente elas desapareceram rsrs

Comandos que usei:

Dcgpofix /target:both

Para mais informações sobre o dcgpofix

https://docs.microsoft.com/pt-br/windows-server/administration/windows-commands/dcgpofix