Dicas de Políticas de Grupo (GPO) para Active Directory
Hoje trago-vos o artigo “Dicas de Políticas de Grupo (GPO) para Active Directory”. Não te esqueças de me seguir no Instagram, visitar o meu site, subscrever o meu canal, deixar o teu gosto e partilhar este artigo, para fortalecermos cada vez mais a nossa comunidade. Um grande abraço e boa leitura.
Dicas de Políticas de Grupo (GPO) para Active Directory
Utilize o Advanced Group Policy Management (AGPM)
O AGPM permite a edição de GPOs com controlo de versões e gestão de alterações. Faz parte do MDOP (Microsoft Desktop Optimization Pack) para Software Assurance e pode ser descarregado em:
https://www.microsoft.com/en-us/download/details.aspx?id=54967
Considere desativar o NTLM
O NTLM é utilizado em computadores que pertencem a grupos de trabalho e em autenticação local. Num ambiente Active Directory, deve ser utilizada a autenticação Kerberos em vez do NTLM, pois é um protocolo mais seguro que utiliza autenticação mútua.
Tenha cuidado ao utilizar muitos filtros WMI
O uso excessivo de filtros WMI pode tornar o início de sessão mais lento e prejudicar a experiência do utilizador. Sempre que possível, utilize filtros de segurança, pois consomem menos recursos.
Limitar o acesso ao Painel de Controlo no Windows
Pode bloquear totalmente o acesso ao Painel de Controlo ou permitir acesso limitado a utilizadores específicos através das seguintes políticas:
Ocultar itens específicos do Painel de Controlo
Proibir o acesso ao Painel de Controlo e às Definições do PC
Mostrar apenas itens específicos do Painel de Controlo
Controlar o Prompt de Comando
O Prompt de Comando é muito útil para administradores, mas nas mãos erradas pode tornar-se um problema sério.
Não modificar a Política de Domínio Padrão
Utilize a Política de Domínio Padrão apenas para configurações de conta, bloqueio de conta, palavras-passe e políticas de Kerberos. Outras configurações devem ser colocadas em GPOs separadas.
Esta política aplica-se ao nível do domínio, afetando todos os utilizadores e computadores.
O segredo está numa OU bem organizada
Ter uma boa estrutura de Unidades Organizacionais (OU) facilita a aplicação e resolução de problemas de GPO.
Não misture diferentes tipos de objetos do Active Directory nas mesmas OUs. Separe utilizadores e computadores em OUs distintas e crie sub-OUs por departamento ou função.
Cuide bem dos nomes das suas GPOs
Ser capaz de identificar rapidamente a função de uma GPO apenas pelo nome facilita bastante a administração. Pode usar os seguintes padrões:
Políticas para utilizadores: U_<nome_da_politica>
Políticas para computadores: C_<nome_da_politica>
Políticas para utilizadores e computadores: CU_<nome_da_politica>
Exemplos:
U_SoftwareRestrictionPolicy
U_SoftwareInstallation
C_DesktopSettings
CU_AuditSettings
U_SoftwareRestrictionPolicy
U_SoftwareInstallation
C_DesktopSettings
CU_AuditSettings
Adicione comentários às suas GPOs
Para além de nomes claros, deve adicionar comentários a cada GPO, explicando:
o motivo da sua criação
o seu objetivo
as configurações incluídas
Esta informação pode ser extremamente útil no futuro.
Não utilize as pastas raiz “Users” ou “Computers”
Estas pastas não são Unidades Organizacionais (OU), pelo que não permitem a ligação direta de GPOs.
A única forma de aplicar políticas seria ao nível do domínio (o que deve ser evitado).
Assim que um novo utilizador ou computador surgir nessas pastas, mova-o imediatamente para a OU adequada.
Nenhum comentário:
Postar um comentário