Dicas de como funciona a ordem de procedência de uma GPO

GPO

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre o a ordem de processamento das GPOs, ou seja, a ordem que as GPOs são aplicas.

A ordem de processamento começa com:

  1. Local
  2. Site
  3. Domain
  4. OU

Você pode criar uma GPO local, usando o gpedit.msc, em seguida vem a GPO de Site, logo depois Domínio e por fim em OUs.

Em OUs você pode granular as GPOs de uma forma que para mim acho ótima, onde posso por exemplo bloquear hierarquia de GPOs, em outras palavras posso desativar a hierarquia de uma determinada OU e ela só irá receberas GPOs que estão com Link para ela ou as GPOs que estão configuradas como ENFORCE

Uma outra dica, se você abrir o seu Group Policy Management e verificar a parte de Group Policy Inheritance, você verá a partede Precedence (Isso é bem importante na hora de verificar a ordem, pois olhando para os números, você pode encontrar por exemplo:

Nesse exemplo, para você qual será a primeira GPO a ser aplicada? Default Domain Policy? Não rsrs

As GPOs com o número mais baixo, serão processadas por último rsrs

Nesse meu print, você está vendo a palavra Enforced, o que isso significa? Significa que mesmo que eu bloqueie a hierarquia em uma OU, essas GPOs irão ser aplicadas da mesma forma rsrs. LEMBRE-SE A GPO MAIS RESTRITIVA É A QUE GANHARÁ.

Quando você definiu uma GPO como Enforce, ela automaticamente irá ficar com um número mais abaixo na ordem.

Irei abordar mais sobre isso em outro Post, gostou do conteúdo?

Até o próximo post.

Conheça o PowerShell DSC

PowerShell

Fala Pessoal, tudo bem com vocês? Hoje irei falar sobre PowerShell DSC. Já ouviu falar? Não sei se você curte fazer a mesma coisa varias vezes, particularmente, eu não gosto rsrs

O PowerShell DSC, é uma plataforma no qual permite que você gerencie sua infraestrutura como um código. Vou te falar um exemplo… você tem uma documentação de um servidor em um arquivo World, com um passo a passo de como instalar ou configurar determinado servidor.

Com o PowerShell DSC, posso criar uma documentação em código, no qual irá realizar o deploy desse servidor ou garantir que o mesmo está com as mesmas configurações que foram realizadas.

Você pode garantir que tal serviço esteja com o status de running, ou tal serviço esteja desabilitado. Ahh e esqueci de comentar que também tem no Azure rsrs

Conceitos Principais

A DSC é uma plataforma declarativa usada para configuração, implantação e gerenciamento de sistemas. Consiste em três componentes principais:

Configurações são scripts declarativos do PowerShell que definem e configuram instâncias de recursos. Após executar a configuração, a DSC (e os recursos que estão sendo chamados pela configuração) vai simplesmente “realizar”, garantindo que o sistema exista no estado disposto pela configuração. As configurações da DSC também são idempotentes: o Gerenciador de Configurações Local (LCM) continuará garantindo que os computadores sejam configurados no estado declarado pela configuração.

Os recursos são a parte de “realização” da DSC. Eles contêm o código que definem e mantêm o destino de uma configuração no estado especificado. Os recursos residem dentro de módulos do PowerShell e podem ser escritos para modelar algo tão genérico quanto um arquivo ou um processo do Windows ou tão específico quanto um servidor IIS ou em uma VM em execução no Azure.

Gerenciador de Configurações Local (LCM) é o mecanismo pelo qual a DSC facilita a interação entre recursos e configurações. Regularmente, o LCM sonda o sistema usando o fluxo de controle implementado pelos recursos para garantir que o estado definido por uma Configuração seja mantido. Se o sistema estiver sem estado, o LCM fará chamadas para o código nos recursos para “realizar”, de acordo com a configuração.

Fonte: https://docs.microsoft.com/pt-br/powershell/scripting/dsc/overview/overview?view=powershell-7.1

Aqui irei deixar um link, se você tiver interesse, irei postar mais sobre isso, e também irei colocar no meu Github.

Como verificar GPOs aplicadas para usuários e computadores

GPO, Windows Server

Fala pessoal, tudo bem com vocês? Recentemente vi uma pergunta em um fórum sobre como verificar quais GPOs estavam sendo aplicadas para usuários e computadores.

Sei para muitos isso é bem fácil, e para quem está começando, nem sempre rsrs.

Então resolvi escrever um pouco sobre isso.

Você pode verificar quais GPOs estão sendo aplicadas no computador e usuário pelo CMD (Command Prompt)

Geralmente para as GPOs de computador, uso o CMD como poderes administrativos.

Acredito que o comando mais conhecido é o gpresult /r com ele, você poderá verificar quais GPOs estão sendo aplicadas, além de outras informações como Grupos que fazem parte e etc.

Segue o exemplo:

GPO aplicada para esse servidor

GPO aplicada para meu usuário:

Também gosto muito de usar o RSOP, com ele consigo verificar quais configurações estão sendo alteradas, e por quais GPOs

Basta você digitar rsop no CMD

Tela de carregamento do rsop

Depois de carregar, o mesmo mostrará as configurações de GPO como um gpedit.msc

Essa foi a dica de hoje. Você conhecia ou usa o RSOP?

Microsoft anuncia fim da sincronização do WSUS 3.0 SP2

Microsoft, Windows Server

Fala pessoal, tudo certinho?

Recentemente a Microsoft anunciou que no dia 31 de outubro de 2021, o WSUS na versão 3.0 não irá mais realizar sincronizar e baixar as atualizações.

O WSUS é um serviço que utilizado praticamente em todas as empresas, então precisamos nos preparar para atualizar os nossos servidores, para não perder a comunicação.

Vou deixar aqui um link com mais informações sobre..

https://techcommunity.microsoft.com/t5/windows-it-pro-blog/end-of-synchronization-for-wsus-3-0-sp2/ba-p/2371993

Dicas para melhorar o gerenciamento e configurações de Diretivas de Grupo (Group Policy Management)

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre algumas dicas de gerenciamento e configurações de GPO, na minha visão e que acho pertinente para a maioria dos ambientes.

Primeiro, quero falar sobre onde eu sempre começo a criar as GPOs, sempre começo criando as GPOs nos Objetos de políticas de Grupo (Group Policy Objects)

Vale lembrar, que as GPOs são configuradas para computadores, usuários ou ambos. Também podemos criar filtros WMI para colocar um filtro mais avançado.

Dica 01

Para começar, a primeira dica que irei colocar aqui, é criar uma OU que contenha um computador e um usuário para realizações de testes para homologação, lembrando é claro que a GPO deve ser inclusa apenas nessa OU. Realize todos os testes, para não afetar seu ambiente de produção

Após realizar os testes e verificar se tudo funcionou corretamente, irei para a próxima dica…

Dica 02

Seu ambiente provavelmente deve ser segmentado por OUs como por exemplo departamentos da empresa, regiões, cidades etc.

Minha dica é inclua a GPO o mais próximo possível de onde ele será utilizado.

Vou dar um exemplo, vamos dizer que tenho várias OUs no meu ambiente, como: Financeiro, RH, Comercial e TI.

Essa GPO que estou criando seria para os usuários de TI, então irei incluir a GPO a OU TI. (Lembrando que os usuários e computadores devem estar nessa OU)

Dica 03

Configure filtros para as GPOs, crie Grupos no AD para incluir usuários, computadores…

Na parte de segurança de GPO, ela permite uma granularidade muito grande para segurança. Alem de grupos, você pode criar filtros WMI e aplicar também. Com filtros WMI, você pode filtrar por tipo de S.O, quantidade de memória RAM, além de outras muitas possibilidades, irei deixar um link falando mais sobre WMI

https://docs.microsoft.com/pt-br/windows/security/threat-protection/windows-firewall/create-wmi-filters-for-the-gpo

Dica 04

Relembrando a dica 02, tente evitar colocar políticas desnecessárias a nível de domínio, principalmente com o parâmetro de enforce. O parâmetro enforce (a que a GPO fica com um cadeado) irá sobrescrever as permissões, lembrando… as permissões mais restritivas é que serão aplicadas.

Recriando as GPOs Default Domain Policy e Default Domain Controllers Policy

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês ?

No artigo de hoje irei mostrar como recriar as GPOs Default Domain Policy e Default Domain Controllers Policy… Aí você me pergunta isso pode ser necessário? Minha resposta é SIM, principalmente se você tem apenas 1 controlador de domínio. Já peguei diversos casos em clientes com problemas, pois um vírus corrompeu essas GPOs, ou alguém apagou, ou simplesmente elas desapareceram rsrs

Comandos que usei:

Dcgpofix /target:both

Para mais informações sobre o dcgpofix

https://docs.microsoft.com/pt-br/windows-server/administration/windows-commands/dcgpofix

Configurando RD Licensing Server via GPO

GPO, Windows Server

Recentemente, vi uma dúvida no Fórum da TechNet de problemas com o apontamento do servidor de licenças para Área de Trabalho Remota.

Então como configurar de uma forma bem simples uma GPO Local para apontar para o seu servidor de Licenças?

1 – Vamos abrir o gpedit.msc e realizar as seguintes configurações:

Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Licensing

Aqui iremos configurar os nossos servidores de licença e o modo.

1 – Vamos configurar: Use the specified Remote Desktop License Server

Aqui adicionei 2 servidores, você deve colocar o nome ou IP do seu servidor de licenças.

2 – Iremos configurar: Set the Remote Desktop licensing mode

Vamos abrir a configuração, habilitar e definir qual será o modo.

No meu exemplo configurei por usuário.

Agora é só clicar em OK.

Ferramentas de Administração de Servidor Remoto (RSAT)

Microsoft, Windows Server

Fala pessoal, hoje irei falar um pouco sobre o RSAT e como ele pode facilitar sua vida para administração de servidores

O RSAT permite que você gerencie seus servidores Windows a partir de uma maquina Cliente (Windows 10 por exemplo).

Talvez você receba varias vezes uma solicitação para redefinir uma senha de um usuário, ou talvez criar uma reserva no seu DHCP, e sempre você precisa conectar via TS ao servidores… E se eu te falar que é possível gerenciar toda a sua infraestrutura com o RSAT instalado em seu computador rsrs. Você irá conseguir gerenciar tudo do seu computador, sem precisar se conectar em diversos servidores com funções diferentes.

Aqui irei falar sobre algumas coisas que diariamente, pode te ajudar.

Você pode criar GPOs ou realizar alterações direto do seu Windows 10, gerenciar seu DNS, seu Active Directory, gerenciar seu Cluster de Failover, seu WSUS também… aqui só listei apenas algumas possibilidades, mas irei deixar um link com toda a documentação da microsoft no final.

Pra instalar o RSAT é bem simples, vou deixar o link para download.

As Ferramentas de Administração de Servidor Remoto para Windows 10 podem ser instaladas SOMENTE em computadores executando a versão completa do Windows 10 Professional, Windows 10 Enterprise ou Windows 10 Education.

Para fazer o download da versão em português é só acessar esse link: https://www.microsoft.com/pt-BR/download/details.aspx?id=45520

Ao realizar o download, execute o instalador.

O mesmo irá perguntar se deseja instalar essa atualização, clique em sim, aceite os termos de licença e aguarde a instalação finalizar.

Depois de finalizada, é só ir no menu iniciar e lá estará o RSAT.

Referencia: https://docs.microsoft.com/pt-br/troubleshoot/windows-server/system-management-components/remote-server-administration-tools

Como instalar o Remote Desktop Service Windows Server 2019 – Modo Básico

Microsoft

Nesse post, irei mostrar como realizar a configuração do Remote Desktop Service (RDS) no Windows Server 2019. Iremos precisar que o nosso servidor seja membro do domínio.

Para começar, iremos abrir o Server Manager, clique em Dashboard, Add Roles and Features.

Clique em Next
Selecione Role-based or feature-based installation e clique em next.
Aqui selecione seu servidor.
Selecione Remote Desktop Services, Next
Clique em Next
Clique em Next

Nessa tela, temos varias opções. Aqui devemos selecionar quais roles nosso RDS deverá ter.

São as seguintes opções:

Remote Desktop Connection Broker

Remote Desktop Gateway

Remote Desktop Licensing

Remote Desktop Session Host

Remote Desktop Virtualization Host

Remote Desktop Web Access

Nesse cenário, irei adicionar apenas Remote Desktop Licensing e Remote Desktop Session Host.

Clique em Next
Clique em Install

Aqui irei iniciar a instalação, também marquei a opção para reiniciar o servidor quando finalizar.

Após reiniciar o servidor, abra o Server Manager novamente, para continuar a instalação e configuração.

Clique em Close
Remote Desktop Services instalado.

Aqui vimos como realizar a instalação básica do RDS, em um próximo post irei realizar mais configurações como: instalação do Broker e um Pool.