Boas práticas de políticas de grupo (GPO) para Active Directory

Shape Image One
Boas práticas de políticas de grupo (GPO) para Active Directory

Olá! Wellington Agápto por aqui. Neste artigo trago boas práticas de políticas de grupo (GPO) para Active Directory que você precisa conhecer.
 

Boas práticas de políticas de grupo (GPO) para Active Directory

 

Use o Gerenciamento Avançado de Diretiva de Grupo (AGPM)

O AGPM fornece edição de GPO com controle de versão e alterações. Faz parte do MDOP (Microsoft Desktop Optimization Pack) para Software Assurance e pode ser baixado em https://www.microsoft.com/en-us/download/details.aspx?id=54967 .
 

Considere desativar o NTLM

O NTLM é usado para computadores que são membros de um grupo de trabalho e autenticação local. Em um ambiente do Active Directory, a autenticação Kerberos deve ser usada em vez do NTLM, porque é um protocolo de autenticação mais forte que usa autenticação mútua.
 

Cuidado ao usar muitos filtros WMI

O uso de muitos filtros WMI diminui a velocidade do login do usuário e leva a uma experiência ruim. Tente usar filtros de segurança em WMI, quando possível, porque eles precisam de menos recursos.
 

Limitar o acesso ao painel de controle no Windows

Você pode bloquear todo o acesso ao Painel de Controle ou permitir acesso limitado a usuários específicos usando as seguintes políticas:

  • Ocultar itens especificados do Painel de Controle
  • Proibir o acesso ao painel de controle e às configurações do PC
  • Mostrar apenas itens especificados do Painel de Controle

 

Controle o prompt de comando

O prompt de comando é muito útil para administradores, mas, nas mãos erradas, pode se transformar em um pesadelo.
 

Não modifique a diretiva de domínio padrão

Use a Política de Domínio Padrão apenas para configurações de conta, bloqueio de conta, senha e política de Kerberos; coloque outras configurações em outros GPOs. A Diretiva de Domínio Padrão se aplica no nível do domínio, afetando todos os usuários e computadores no domínio.
 

O segredo está em uma OU bem organizada

Ter uma boa estrutura de UO facilita a aplicação e a solução de problemas de Diretiva de Grupo. Não misture tipos diferentes de objetos do AD nas mesmas OUs; em vez disso, separe usuários e computadores em suas próprias UOs e crie sub UOs para cada departamento ou função comercial. 
 

Cuide bem dos nomes das suas GPOs

Ser capaz de identificar rapidamente o que uma GPO faz apenas olhando o nome facilitará muito a administração da Diretiva de Grupo. Por exemplo, você pode usar os seguintes padrões de nomenclatura:

  • Políticas para contas de usuário: U_ <nome da política>
  • Políticas para contas de computador: C_ <nome da política>
  • Políticas para contas de computador e usuário: CU_ <nome da política>

Aqui estão alguns exemplos usando essas regras de nomenclatura:

  • U_SoftwareRestrictionPolicy
  • U_SoftwareInstallation
  • C_DesktopSettings
  • CU_AuditSettings

 

Adicione comentários aos seus GPOs

Além de criar bons nomes, você deve adicionar comentários a cada GPO, explicando por que ele foi criado, seu objetivo e quais configurações ele contém. Esta informação pode ser inestimável anos depois.
 

Não use as pastas raiz Usuários ou Computadores no Active Directory

Essas pastas não são UOs e, portanto, não podem ter GPOs vinculados a elas. A única maneira de aplicar diretivas a essas pastas é vinculá-las ao nível do domínio, mas conforme indicado acima, você deve evitar isso. Assim que um novo usuário ou objeto de computador aparecer nessas pastas, mova-o imediatamente para a UO apropriada.
 

Não misture as GPOs

Ter GPOs que vão direto ao ponto facilitam a solução de problemas, o gerenciamento, o design e a implementação. Aqui estão algumas maneiras de dividir GPOs em políticas menores:

  • Configurações do navegador
  • Configurações de segurança
  • Configurações de instalação do software
  • Configurações do AppLocker
  • Configurações de rede
  • Mapeamentos de unidades

No entanto, lembre-se de que GPOs maiores com mais configurações exigirão menos processamento no logon (já que os sistemas precisam fazer menos solicitações de informações sobre GPO); carregar muitos GPOs pequenos pode levar mais tempo. No entanto, GPOs grandes podem ter conflitos de configuração de GPO que você precisa solucionar e você precisará prestar mais atenção à herança de GPO. Coloque tudo na balança e veja o que vale mais para você.
 

Faça backup de suas políticas de grupo

Configure o backup diário ou semanal de políticas usando scripts do Power Shell ou uma solução de terceiros para que, no caso de erros de configuração, você sempre possa restaurar suas configurações.
 

Não permita unidades de mídia removíveis

Mídia removível pode ser perigosa. Se alguém conectar uma unidade infectada ao seu sistema, ele liberará malware em toda a rede. É melhor desativar totalmente as unidades removíveis usando a política “Impedir a instalação de dispositivos removíveis”. 
 

Quer tornar-se um especialista em produtos Microsoft?

Tenha acesso a vários cursos em uma única plataforma pagando apenas R$ 9,90 por mês?
Conheça o Microsoft Club clicando aqui.