Pages

Você já passaram por um situação em que o mesmo usuário precise de políticas diferentes?

Por exemplo, você tem na sua empresa a figura de uma recepção para pagamento de faturas. Quando um operador usa um computador destinado para o software de recebimento financeiro (caixa), você quer a máquina toda travada, mas quando ele usar uma máquina de uso comum, você pode liberar para ele uma política de segurança mais branda.

Outro exemplo comum, você usa um servidor Remote Deskto Service na sua rede e precisa que as políticas que um usuário recebe quando usa sua estação de trabalho comum seja diferente das políticas recebidas quando ele se loga no servidor.

Uma A.T.E (Adaptação Técnica Emergencial, vulgo gato), seria criar para este usuário duas contas de usuários, uma que ele deve usar quando seus acessos precisam mínimos e outro quando seus acessos podem ser mais comuns. Mas isso pode complicar as coisas, principalmente se você usa outras ferramentas que usam o serviço de diretório do AD, como Lync, OCS, Exchange, etc.)

Agora uma solução bonita para este problema é usar um recurso chamado: User Group Policy loopback processing mode. Isso funciona assim:

1. Crie uma OU nova e coloque as máquinas que precisam de uma política mais especial. Nos exemplos acima, seriam as máquinas de caixa ou os servidores de RDP;

2. Abra o GPMC e crie uma GPO linkada à OU que vc criou no passo anterior.

3. Dentro desta GPO, edite a seguinte política:

Policies >> Administrative Templates >> System >> Group Policy >> User Group Policy loopback processing mode.




Ao habitar a política, poderemos notar dois modos. Replace e Merge.

Ao habilitar esta política, você faz com que a seção desta GPO de "User Configuration" seja aplicada ao usuário que se logar nesta máquina, independente de qual OU esteja o objeto do usuário. Mesmo que o usuário não esteja nesta OU, mas apenas o computador, a GPO será aplicada.

Os modos Replace e Merge, significam o seguinte:

Replace: A(s) GPO(s) que seriam aplicadas ao usuário por estarem linkadas à OU do usuário, serão ignoradas. No lugar dela, serão aplicadas as configurações de usuário da GPO linkada à OU do computador.

Merge: Ele aplica a(s) GPO(s) dos usuários, porém, as configurações de usuário definidas na GPO de loopback aplicada ao computador será prioritária em relação às configurações do usuário.

Reações: 

8 Responses so far.

  1. Funciona no 2003 ?

  2. Funciona sim, e a política fica no mesmo lugar.

  3. E quanto ao login do administrador do dominio? quando o adm for logar nesta maquina ele pegará a GPO da maquina?

    Estou precisando usar essa funcao do AD mas ainda não fiz testes para saber se quando o adm logar na maquina ficará com as permissoes limitadas pela GPO da maquina.

  4. Olá, a priore, esta política será aplicada a qualuqer conta que se logue nesta máquina, inclusive, as contas de administração. Se você não quer que isso aconteça, edite a segurança da GPO e negue ao grupo Domain Admins a permissão de aplicar a GPO.

  5. Muito boa a dica. Mas estou com o seguinte problema, tenho uma maquina que será TS porém tenho 3 tipos de usuários que logarao nela, então criei 3 grupos para eles. Cada grupo receberá uma GPO, é possível fazer isso? Somente com uma GPO consegui configurar para aplicar somente ao grupo que quero porém com mais de uma não funcionou.

    Att.

  6. Rapá tu é foda !
    rsrs

    Direto ao assunto resolvendo a zica e sem encher linguiça !
    Abraço

    continue assim !!!

  7. Valeu pelo retorno. Até animo de continuar postando artigos, pra deixar o blog "foda" mesmo. rsrs

  8. Oi Claudio, vi um comentario seu aqui.
    http://social.technet.microsoft.com/Forums/pt-BR/winsrv2008pt/thread/0219b041-bbaf-4591-a3be-532179b0343a

    Falando sobre XenDesktop. Estou querendo criar VM e acessa-las pela rede (Atraves de um pc sem hd)...voce sabe o procedimento e onde eu consigo material?

    O xenserver pelo q vi nao funciona em linux. a ideia era instalar linux pra nao pesar o servidor, e usar o xenserver pra criar as vms no servidor.

    brauliobr@gmail.com

Postar um comentário