Olá meus heróis e minhas heroínas do mundo da TI. Wellington Agápto por aqui. Hoje eu trouxe para vocês o artigo “Boas práticas de políticas de grupo (GPO) para Active Directory”. Não esqueça de me seguir no Instagram, conhecer meu Site, se inscrever no meu Canal, deixar o seu like e compartilhar esse artigo, para fortalecermos cada vez mais a nossa comunidade. Um grande abraço e boa leitura.
Boas práticas de políticas de grupo (GPO) para Active Directory
Use o Gerenciamento Avançado de Diretiva de Grupo (AGPM)
O AGPM fornece edição de GPO com controle de versão e alterações. Faz parte do MDOP (Microsoft Desktop Optimization Pack) para Software Assurance e pode ser baixado em https://www.microsoft.com/en-us/download/details.aspx?id=54967.
Considere desativar o NTLM
O NTLM é usado para computadores que são membros de um grupo de trabalho e autenticação local. Em um ambiente do Active Directory, a autenticação Kerberos deve ser usada em vez do NTLM, porque é um protocolo de autenticação mais forte que usa autenticação mútua.
Cuidado ao usar muitos filtros WMI
O uso de muitos filtros WMI diminui a velocidade do login do usuário e leva a uma experiência ruim. Tente usar filtros de segurança em WMI, quando possível, porque eles precisam de menos recursos.
Limitar o acesso ao painel de controle no Windows
Você pode bloquear todo o acesso ao Painel de Controle ou permitir acesso limitado a usuários específicos usando as seguintes políticas:
- Ocultar itens especificados do Painel de Controle
- Proibir o acesso ao painel de controle e às configurações do PC
- Mostrar apenas itens especificados do Painel de Controle
Controle o prompt de comando
O prompt de comando é muito útil para administradores, mas, nas mãos erradas, pode se transformar em um pesadelo.
Não modifique a diretiva de domínio padrão
Use a Política de Domínio Padrão apenas para configurações de conta, bloqueio de conta, senha e política de Kerberos; coloque outras configurações em outros GPOs. A Diretiva de Domínio Padrão se aplica no nível do domínio, afetando todos os usuários e computadores no domínio.
O segredo está em uma OU bem organizada
Ter uma boa estrutura de UO facilita a aplicação e a solução de problemas de Diretiva de Grupo. Não misture tipos diferentes de objetos do AD nas mesmas OUs; em vez disso, separe usuários e computadores em suas próprias UOs e crie sub UOs para cada departamento ou função comercial.
Cuide bem dos nomes das suas GPOs
Ser capaz de identificar rapidamente o que uma GPO faz apenas olhando o nome facilitará muito a administração da Diretiva de Grupo. Por exemplo, você pode usar os seguintes padrões de nomenclatura:
- Políticas para contas de usuário: U_ <nome da política>
- Políticas para contas de computador: C_ <nome da política>
- Políticas para contas de computador e usuário: CU_ <nome da política>
Aqui estão alguns exemplos usando essas regras de nomenclatura:
- U_SoftwareRestrictionPolicy
- U_SoftwareInstallation
- C_DesktopSettings
- CU_AuditSettings
Adicione comentários aos seus GPOs
Além de criar bons nomes, você deve adicionar comentários a cada GPO, explicando por que ele foi criado, seu objetivo e quais configurações ele contém. Esta informação pode ser inestimável anos depois.
Não use as pastas raiz Usuários ou Computadores no Active Directory
Essas pastas não são UOs e, portanto, não podem ter GPOs vinculados a elas. A única maneira de aplicar diretivas a essas pastas é vinculá-las ao nível do domínio, mas conforme indicado acima, você deve evitar isso. Assim que um novo usuário ou objeto de computador aparecer nessas pastas, mova-o imediatamente para a UO apropriada.
Conheça meus cursos preparatórios para Certificações Microsoft e esteja apto para ser aprovado em apenas 4 Semanas.
Clique AQUI e saiba mais.
Não misture as GPOs
Ter GPOs que vão direto ao ponto facilitam a solução de problemas, o gerenciamento, o design e a implementação. Aqui estão algumas maneiras de dividir GPOs em políticas menores:
- Configurações do navegador
- Configurações de segurança
- Configurações de instalação do software
- Configurações do AppLocker
- Configurações de rede
- Mapeamentos de unidades
No entanto, lembre-se de que GPOs maiores com mais configurações exigirão menos processamento no logon (já que os sistemas precisam fazer menos solicitações de informações sobre GPO); carregar muitos GPOs pequenos pode levar mais tempo. No entanto, GPOs grandes podem ter conflitos de configuração de GPO que você precisa solucionar e você precisará prestar mais atenção à herança de GPO. Coloque tudo na balança e veja o que vale mais para você.
Faça backup de suas políticas de grupo
Configure o backup diário ou semanal de políticas usando scripts do Power Shell ou uma solução de terceiros para que, no caso de erros de configuração, você sempre possa restaurar suas configurações.
Não permita unidades de mídia removíveis
Mídia removível pode ser perigosa. Se alguém conectar uma unidade infectada ao seu sistema, ele liberará malware em toda a rede. É melhor desativar totalmente as unidades removíveis usando a política “Impedir a instalação de dispositivos removíveis”.
Cursos por apenas R$ 9,90
A Comunidade Cloud Hero foi criada para profissionais que desejam estar entre um seleto grupo de especialistas. Tornando-se um membro da comunidade você terá acesso a cursos, grupo VIP no WhatsApp, E-books, e downloads dos produtos mais utilizados no mercado da tecnologia da informação. Tudo isso por apenas R$ 9,90 por mês.
Clique AQUI e saiba mais.
Curso gratuito com certificado?
Faça o curso de Fundamentos da computação em nuvem gratuitamente e garanta o seu certificado. Inscreva-se clicando AQUI.
