15.9 Política de Grupo do Windows (Pacotes de Usuários e de Estações de Trabalho)

É possível especificar e editar políticas de grupo para estações de trabalho Windows 2000/XP (Pacote de Usuários e Pacote de Estações de Trabalho) e para Windows 2000/2003 Terminal Servers (somente Pacote de Usuários).

NOTA:A política de Grupo do Windows está incluída no Pacote de Usuários e no Pacote de Estações de Trabalho. Ao configurar a política de Grupo do Windows no Pacote de Usuários, ela será aplicada a todos os usuários associados, independentemente da estação de trabalho utilizada. Ao configurar a política de Grupo do Windows no Pacote de Estações de Trabalho, ela será aplicada a todos os usuários que efetuarem login em uma estação de trabalho associada.

As seções a seguir contêm informações adicionais:

15.9.1 Compreendendo a Política de Grupo do Windows

A política de Grupo do Windows é uma ampliação das políticas Extensivas para o Windows 2000/XP e para o Active Directory. Existem alguns pontos em comum nas configurações de política entre a política de Grupo do Windows e as políticas Extensivas do Desktop Management, como na opção do Windows Configuração do Usuário > Modelos Administrativos. Para obter informações sobre políticas Extensivas, consulte a Seção 15.2, Políticas Extensivas de Computador/do Usuário (Pacotes de Estações de Trabalho/Usuários).

NOTA:Não convém configurar políticas de grupo em um Controlador de Domínio do Windows 2000 com o uso do ConsoleOne. Para editar políticas de grupo por meio do ConsoleOne, você deve usar uma estação de trabalho com o Windows 2000 para editar políticas de grupo do Windows 2000 e uma estação de trabalho com o Windows XP para editar políticas de grupo do Windows XP.

Se uma estação de trabalho é um membro de um domínio do Active Directory, mas não está conectada com o domínio, as políticas de grupo do Windows contidas nos Pacotes de Usuários e de Estações de Trabalho não são aplicadas.

Não haverá suporte se o ZENworks Desktop Management for usado para distribuir políticas de Grupo a estações de trabalho ou usuários quando as políticas de Grupo já tiverem sido distribuídas pelo Active Directory (ou vice-versa) devido ao comportamento imprevisível que costuma ocorrer. Porém, o ZENworks Desktop Management oferece suporte para distribuir as configurações do Active Directory. Para obter mais informações, consulte a Seção 15.9.5, Importando políticas de grupo do Windows (pacotes de usuários e de estações de trabalho).

Devido aos motivos apresentados a seguir, você deve utilizar caminhos UNC, em vez de unidades mapeadas, de forma a importar essa política para o Desktop Management:

  • Os usuários podem mudar seus login scripts, alterando os mapeamentos de unidade;
  • Geralmente, os objetos Estação de Trabalho efetuam login antes dos usuários e, portanto, não há mapeamentos de unidade disponíveis.

Com caminhos UNC, desde que o servidor esteja disponível, a política será localizada.

As políticas de grupo mudaram significativamente desde a versão inicial do ZENworks for Desktops 3. Revise as seções a seguir para obter mais informações:

Políticas de grupo suplementares

Agora, as políticas de grupo são suplementares, ou seja, as configurações de várias políticas de Grupo do Windows são efetivadas de forma cumulativa e não individualmente, podendo afetar tanto usuários como estações de trabalho. As políticas começam com as configurações locais de políticas de Grupo do Windows e são aplicadas em sentido inverso à sua ordem de pesquisa. Isso significa que a primeira configuração aplicada de uma política apresenta a prioridade mais baixa, e seu valor é sobregravado por qualquer outra política com a mesma configuração.

Configurações de segurança não são suplementares. Elas são definidas pela última política Efetiva.

Verificação de revisão

Agora, as políticas de Grupo do Windows controlam a revisão das políticas em vigor. Enquanto a lista políticas efetivas e suas revisões permanecerem as mesmas, as políticas de Grupo do Windows não serão processadas, mas utilizarão a política de Grupo armazenada em cache.

NOTA:Sempre que o botão Editar Políticas for clicado, ocorrerá uma mudança na revisão de uma política de Grupo do Windows, resultando em um novo processamento de políticas.

Cache de políticas de grupo

A última política de Grupo do Windows processada é armazenada localmente em cache. Esse armazenamento ajuda a reduzir o tráfego de rede, processando políticas de Grupo do Windows somente em casos necessários. Se o Usuário A efetuar login em uma nova máquina, suas políticas de Grupo efetivas serão processadas e, em seguida, armazenadas em cache.

Se esse mesmo usuário efetuar logout e o Usuário B efetuar login (e, se o Usuário B tiver as mesmas políticas de Grupo efetivas do Usuário A), a política de Grupo armazenada localmente em cache será restaurada, e não haverá um novo processamento de políticas de Grupo do Windows. Se a lista de políticas efetivas for diferente ou se a revisão for mudada em qualquer política, haverá um novo processamento de políticas de Grupo do Windows.

Essa nova funcionalidade foi adicionada à implementação de políticas de Grupo do Windows no Desktop Management. As configurações de políticas de Grupo do Windows no pacote de Usuários e no pacote de Estações de Trabalho poderão permanecer efetivadas mesmo quando a estação de trabalho for desconectada da rede.

Configurações persistentes e voláteis

O administrador determina se as políticas de Grupo do Windows são persistentes ou voláteis. Uma configuração persistente indica que, quando as políticas de Grupo do Windows forem definidas, elas permanecerão nesse estado, mesmo que um usuário efetue login apenas em uma estação de trabalho e não na rede.

Uma configuração volátil indica que as configurações locais e originais de políticas de Grupo do Windows serão restauradas quando:

  • O usuário efetuar logout (as configurações de políticas de Grupo desse usuário serão removidas);
  • O sistema for encerrado (as configurações de políticas de Grupo da estação de trabalho serão removidas).

Utilizando políticas de grupo em servidores de terminal

É possível configurar políticas de Grupo do Windows em um pacote de Usuários para o Windows 2000 Terminal Server e o Windows 2003 Terminal Server. Você também pode utilizar a página de plataforma Windows 2000-2003 Terminal Server para definir políticas aplicáveis às duas plataformas de forma a facilitar o gerenciamento de Servidores de Terminal.

Ao configurar políticas de Grupo do Windows para Servidores de Terminal, considere estas informações:

  • Tipos de Configurações Aplicadas: apenas as definições de Configuração do Usuário em Tipos de Configurações Aplicadas aplicam-se a Terminal Servers. As opções Configuração do Computador e Configurações de Segurança não estão disponíveis para Terminal Servers.

  • Scripts de logoff: Não há suporte para scripts de logoff em um ambiente de Terminal Server.

15.9.2 Configurando a Política de Grupo do Windows no Pacote de Usuários

  1. No ConsoleOne, clique o botão direito do mouse no Pacote de Usuários, clique em Propriedades e selecione a página de plataforma apropriada.

    Ao escolher a página de plataforma apropriada, considere as informações a seguir:

    • Windows NT: Para obter mais informações sobre o suporte do Desktop Management à plataforma Windows NT, consulte Interoperabilidade com as estações de trabalho Windows NT 4 no Guia de Instalação do Novell ZENworks 7 Desktop Management.

    • Página de plataforma Windows NT-2000-XP: Devido às diferenças entre o Windows 2000 e o Windows XP no que diz respeito à maneira como as configurações de segurança são gravadas, a página de plataforma Windows NT-2000-XP não pode ser utilizada para editar a política de Grupo do Windows. No Windows 2000, as configurações de segurança são gravadas no arquivo gpttml.inf; no Windows XP são gravadas no arquivo xpsec.dat. Os dois arquivos estão localizados no diretório \políticas de grupo\machine\microsoft\windows nt\secedit.

      No ZENworks 7 SP1, a opção Editar na página de plataforma Windows NT-2000-XP foi desabilitada; é necessário utilizar uma das páginas de plataforma específicas para editar políticas de grupo.

  2. Marque a caixa de seleção na coluna Habilitado referente à política de Grupo do Windows.

    Essa ação seleciona e habilita a política.

  3. Clique em Propriedades para exibir a página Políticas de Grupo do Windows.

    A página Políticas de Grupo do Windows.

  4. Especifique o local de rede para políticas de grupo novas ou existentes.

    Verifique se os usuários possuem direitos suficientes para acessar esse local de rede.

    Se você utilizar uma variável de ambiente no campo Local das políticas de grupo novas/existentes na rede, defina primeiramente essa variável de ambiente na estação de trabalho de gerenciamento na qual o ConsoleOne estiver em execução e em todas as estações de trabalho que receberem a política de grupo. Você deve também sair e reiniciar o ConsoleOne antes que a variável seja reconhecida.

  5. (Condicional) Para importar políticas de grupo do Active Directory, clique em Importar Política.

    Para obter mais informações, consulte a Seção 15.9.5, Importando políticas de grupo do Windows (pacotes de usuários e de estações de trabalho).

  6. (Condicional) Para editar políticas de grupo existentes, clique em Editar Políticas.

    Para obter mais informações, consulte a Seção 15.9.4, Editando políticas de grupo do Windows existentes (pacotes de usuários e de estações de trabalho).

  7. (Opcional) Marque a caixa de seleção Políticas de Grupo permanecem em vigor no logout do usuário para indicar que as políticas de grupo impostas permanecerão em vigor na área de trabalho local do Windows após o logout do usuário.

    IMPORTANTE:Não é recomendável a utilização das configurações Políticas de grupo permanecem em vigor no logout do usuário e Configuração do Usuário do Cache em um ambiente em que as políticas de grupos de usuários são impostas a diferentes usuários que operam em estações de trabalho comuns.

  8. (Opcional) Marque a caixa de seleção Configuração do Usuário do Cache.

    Armazenar em cache as definições de configuração do usuário não é igual a habilitar a caixa de seleção Políticas de Grupo permanecem em vigor no logout do usuário.

    A funcionalidade dessa caixa de seleção permite que o administrador mantenha as configurações de políticas de grupo do último usuário que efetuou login. A limitação dessa abordagem é que qualquer usuário que efetua login localmente (somente para estações de trabalho) recebe as configurações da política de Grupo da última pessoa que efetuou login na rede nessa estação de trabalho. Se um Administrador fosse o último usuário a efetuar login na rede utilizando uma determinada estação de trabalho, todos os logins locais subseqüentes fariam com que um usuário recebesse as configurações de política desse Administrador.

    Para evitar essa situação, é possível habilitar a caixa de seleção Configuração do Usuário do Cache para permitir que as configurações do usuário sejam armazenadas em cache.

    Observe o seguinte antes de habilitar o armazenamento em cache de configurações na política de Grupo do Windows do Pacote de Usuários:

    • A funcionalidade Configuração do Usuário do Cache funciona com o NetWare ou o Windows na extremidade. Se estiver usando um servidor Windows na extremidade, observe o seguinte:
      • O usuário deve ter efetuado login com uma conta de usuário local, não com uma conta de domínio de cache. As configurações da política de grupo do Windows aplicam-se às contas de domínio, desde que o usuário tenha efetuado login para o domínio. Quando o usuário não efetua login para o domínio, mas utiliza uma conta de domínio de cache, as configurações da política de grupo do Windows do Desktop Management não são aplicáveis.
      • Se você armazenar os arquivos da política de grupo em um servidor Active Directory, o nome do usuário e a senha desse servidor deverão corresponder às credenciais do eDirectory.
    • Os usuários devem possuir contas de usuário local exclusivas. As configurações de políticas de Grupo do Windows são armazenadas em cache no perfil do usuário local e, portanto, os usuários com diferentes políticas de Grupo do Windows efetivas devem possuir contas de usuário local distintas.
    • Cada usuário deve ter um perfil na máquina na qual as configurações devem ser armazenadas em cache. É possível fornecer esse perfil utilizando contas de usuário local ou utilizando contas de DLU. Entretanto, a conta não pode ser removida. Se a política de DLU remover a conta do usuário local (utilizando uma conta de usuário volátil ou uma conta de usuário volátil em cache vencida), o usuário não poderá efetuar login localmente.
    • Somente as configurações incluídas no arquivo \user\registry.pol são armazenadas em cache. Em termos gerais, esse processo é equivalente ao uso das Configurações do Usuário no editor de Políticas de Grupo, exceto pelos scripts de logon/logoff (que são armazenados na pasta Scripts em \user e, conseqüentemente, não são armazenados em cache).

    Marcar a caixa de seleção Configuração do Usuário do Cache faz com que as definições de configuração do usuário das políticas de Grupo do Windows efetivas de cada usuário sejam armazenadas no perfil local de cada usuário. Quando um usuário efetuar login localmente, suas configurações serão lidas a partir da cópia em cache do arquivo registry.pol no perfil desse usuário e, em seguida, serão aplicadas. As únicas configurações armazenadas em cache são as do arquivo registry.pol na pasta \Usuário. As outras configurações não serão armazenadas em cache, incluindo scripts de logon/logoff, configurações de computador e configurações de segurança.

    IMPORTANTE:Não é recomendável a utilização das configurações Políticas de Grupo permanecem em vigor no logout do usuário e Configuração do Usuário do Cache em um ambiente em que as políticas de Grupo de usuários são impostas a diferentes usuários que operam em estações de trabalho comuns.

  9. Na caixa Tipos de Configurações Aplicadas, habilite as opções desejadas.

    Essas opções permitem que configurações de usuário, computador e segurança do Windows sejam aplicadas com uma política de Usuário ou de Estação de Trabalho. Esta opção é diferente das versões anteriores, nas quais as configurações de usuário eram impostas com Pacotes de Usuários e as configurações de computador e de segurança eram impostas com Pacotes de Estações de Trabalho.

    Configuração do Usuário: selecione para aplicar as configurações em Configuração do Usuário com a política de Grupo do Windows.

    Configuração do Computador: selecione para aplicar as configurações em Configuração do Computador (sem incluir Configurações de Segurança) com a política de Grupo do Windows.

    Configurações de segurança: selecione para aplicar configurações de segurança do Windows com a política de Grupo do Windows. A seleção dessa opção aplica todas as configurações de segurança em Configuração do Computador > Configurações do Windows > Configurações de Segurança, incluindo Política de Conta, Políticas Locais, Políticas de Chave Pública e Políticas de Segurança IP na Máquina Local. Você não pode optar por aplicar políticas individuais, e políticas não são suplementares.

    apenas as definições de Configuração do Usuário em Tipos de Configurações Aplicadas aplicam-se a Terminal Servers. As opções Configuração do Computador e Configurações de Segurança não estão disponíveis para Terminal Servers.

  10. Clique na guia Programação de Políticas > selecione um tipo de programação:

    • Programação de pacotes
    • Evento
    • Diária
    • Semanal
    • Mensal
    • Anual

    Você pode clicar em Configurações Avançadas para definir configurações adicionais como Conclusão, Falha, Representação, Prioridade e Limite de Tempo. Para obter informações detalhadas sobre cada uma dessas configurações, clique no botão Ajuda de cada página.

  11. Clique em OK para gravar a política.

  12. Quando terminar de configurar todas as políticas desse pacote, continue com as etapas localizadas na Seção 15.13, Associando o Pacote de Usuários ou o Pacote de Estações de Trabalho para associar o pacote de políticas.

15.9.3 Configurando a Política de Grupo do Windows no Pacote de Estações de Trabalho

  1. No ConsoleOne, clique o botão direito do mouse no Pacote de Estações de Trabalho, clique em Propriedades e selecione a página de plataforma apropriada.

    Ao escolher a página de plataforma apropriada, considere as informações a seguir:

    • Windows NT: Para obter mais informações sobre o suporte do Desktop Management à plataforma Windows NT, consulte Interoperabilidade com as estações de trabalho Windows NT 4 no Guia de Instalação do Novell ZENworks 7 Desktop Management.

    • Página de plataforma Windows NT-2000-XP: Devido às diferenças entre o Windows 2000 e o Windows XP no que diz respeito à maneira como as configurações de segurança são gravadas, a página de plataforma Windows NT-2000-XP não pode ser utilizada para editar a política de Grupo do Windows. No Windows 2000, as configurações de segurança são gravadas no arquivo gpttml.inf; no Windows XP são gravadas no arquivo xpsec.dat. Os dois arquivos estão localizados no diretório \políticas de grupo\machine\microsoft\windows nt\secedit.

      No ZENworks 7 SP1, a opção Editar na página de plataforma Windows NT-2000-XP foi desabilitada; é necessário utilizar uma das páginas de plataforma específicas para editar políticas de grupo.

  2. Marque a caixa de seleção na coluna Habilitado referente à política de Grupo do Windows.

    Essa ação seleciona e habilita a política.

  3. Clique em Propriedades para exibir a página Políticas de Grupo do Windows.

    A página Políticas de Grupo do Windows.

  4. Especifique o local de rede para políticas de grupo novas ou existentes.

    Verifique se os usuários possuem direitos suficientes para acessar esse local de rede.

    Se você utilizar uma variável de ambiente no campo Local das Políticas de Grupo novas/existentes na rede, defina primeiramente essa variável de ambiente na estação de trabalho de gerenciamento na qual o ConsoleOne estiver em execução e em todas as estações de trabalho que receberem a política de grupo. Você deve também sair e reiniciar o ConsoleOne antes que a variável seja reconhecida.

  5. (Condicional) Para importar políticas de grupo do Active Directory, clique em Importar Política.

    Para obter mais informações, consulte a Seção 15.9.5, Importando políticas de grupo do Windows (pacotes de usuários e de estações de trabalho).

  6. (Condicional) Para editar políticas de grupo existentes, clique em Editar Políticas.

    Para obter mais informações, consulte a Seção 15.9.4, Editando políticas de grupo do Windows existentes (pacotes de usuários e de estações de trabalho).

  7. (Opcional) Marque a caixa de seleção Persistir configurações da estação de trabalho.

    Marcar essa opção especifica que todas as configurações de estações de trabalho aceitas pelo Desktop Management (configurações de usuário, máquina e segurança) na Política de Grupo do Windows do Pacote de Estações de Trabalho podem permanecer efetivadas (armazenadas em cache), independentemente da conectividade da rede.

    Considere as observações a seguir antes de habilitar o cache de configurações na política de grupo do Windows do pacote de Estações de Trabalho:

    • A funcionalidade das configurações persistentes de estação de trabalho funciona com o NetWare ou o Windows no back end. Se você estiver utilizando um servidor Windows no back end e armazenar arquivos de políticas de Grupo do Windows nesse servidor, a estação de trabalho deverá ser um membro desse domínio.
    • Para utilizar configurações persistentes de estação de trabalho, não habilite a opção Suporte a Loopback de Políticas de Grupo na política de Grupo do Windows associada às estações de trabalho para as quais você deseja armazenar configurações em cache (isso inclui as opções Modo Substituir ou Modo Fundir). Caso o suporte de loopback não seja habilitado, a configuração na política do usuário sempre terá prioridade sobre a configuração da política de grupo do Windows do pacote de Estações de Trabalho, se houver configurações diferentes.

    Marcar a caixa de seleção Persistir Configurações da Estação de Trabalho fará com que as configurações de políticas de Grupo do Windows efetivas da estação de trabalho que já estiverem armazenadas em diretório_windows\system32\group policy.wkscache sejam aplicadas, mesmo que essa estação de trabalho não consiga efetuar login na rede como o objeto Estação de Trabalho (por exemplo, quando estiver desconectada da rede).

  8. Na caixa Tipos de Configurações Aplicadas, habilite as opções desejadas.

    Essas opções permitem que configurações de usuário, computador e segurança do Windows sejam aplicadas com uma política de Usuário ou de Estação de Trabalho. Esta opção é diferente das versões anteriores, nas quais as configurações de usuário eram impostas com Pacotes de Usuários e as configurações de computador e de segurança eram impostas com Pacotes de Estações de Trabalho.

    Configuração do Usuário: selecione para aplicar as configurações em Configuração do Usuário com a política de Grupo do Windows.

    Configuração do Computador: selecione para aplicar as configurações em Configuração do Computador (sem incluir Configurações de Segurança) com a política de Grupo do Windows.

    Configurações de segurança: selecione para aplicar configurações de segurança do Windows com a política de Grupo do Windows. A seleção dessa opção aplica todas as configurações de segurança em Configuração do Computador > Configurações do Windows > Configurações de Segurança, incluindo Política de Conta, Políticas Locais, Políticas de Chave Pública e Políticas de Segurança IP na Máquina Local. Você não pode optar por aplicar políticas individuais, e políticas não são suplementares.

  9. (Opcional) Marque a caixa de seleção Suporte a Loopback de Políticas de Grupo e selecione um modo.

    Se essa opção for habilitada, as políticas do Pacote de Estações de Trabalho terão precedência sobre as políticas do Pacote de Usuários. O suporte a loopback tem dois modos: substituir e fundir:

    Não Aplicar Configurações de Políticas do Usuário (Modo Substituir): selecione para ignorar todas as configurações de políticas do Usuário. As configurações de políticas da Estação de Trabalho serão aplicadas.

    Aplicar Configurações de Políticas da Estação de Trabalho por Último (Modo Fundir): selecione para aplicar as configurações de políticas do Usuário antes das configurações de políticas da Estação de Trabalho. Isso permite a aplicação de configurações do usuário, porém substitui as configurações conflitantes por configurações de estação de trabalho. Se uma configuração de usuário não apresentar conflito, ela permanecerá em vigor.

  10. Clique na guia Programação de Políticas > selecione um tipo de programação:

    • Programação de pacotes
    • Evento
    • Diária
    • Semanal
    • Mensal
    • Anual

    Como os arquivos de desktop do Windows terminam de carregar antes do carregamento das configurações de política de grupo, algumas políticas de grupo do Pacote de Estações de Trabalho talvez apresentem um comportamento estranho, caso sejam programadas para serem executadas quando o usuário efetuar login. Especificamente, nenhuma mudança feita nas configurações do desktop (por exemplo, ocultar Meu Local de Rede, ocultar todos os ícones do desktop etc.) será efetivada, assim como não ocorrerá a execução dos programas que você definiu para quando o usuário efetuar login com um login script. Se o usuário fizer logoff e em seguida login, as configurações serão exibidas corretamente.

    Para evitar esse comportamento, não configure as políticas de grupo no pacote de Estações de Trabalho para serem executadas quando o usuário efetuar login. Em vez disso, configure-as para serem executadas durante a inicialização do sistema, diariamente ou em alguma outra programação regular.

    Se você configurar políticas de grupo para executar scripts de inicialização e programar essas políticas para execução no momento de inicialização do sistema, selecione a opção Persistir Configurações da Estação de Trabalho na Etapa 7. Como o Windows 2000/XP procura e executa scripts de inicialização antes de o Gerenciador de Estações de Trabalho se autenticar e aplicar políticas, as políticas de grupo que forem configuradas para executar scripts de inicialização poderão apresentar falhas quando estiverem programadas para execução no momento de inicialização do sistema. Se você selecionar a opção Persistir Configurações da Estação de Trabalho, as configurações de políticas de grupo do Pacote de Estações de Trabalho (bem como os scripts de inicialização) serão armazenadas em cache e poderão ser aplicadas corretamente na próxima vez em que o sistema for inicializado.

    Você pode clicar em Configurações Avançadas para definir configurações adicionais como Conclusão, Falha, Representação, Prioridade e Limite de Tempo. Para obter informações detalhadas sobre cada uma dessas configurações, clique no botão Ajuda de cada página.

  11. Clique em OK para gravar a política.

  12. Quando terminar de configurar todas as políticas desse pacote, continue com as etapas localizadas na Seção 15.13, Associando o Pacote de Usuários ou o Pacote de Estações de Trabalho para associar o pacote de políticas.

15.9.4 Editando políticas de grupo do Windows existentes (pacotes de usuários e de estações de trabalho)

  1. No ConsoleOne, clique o botão direito do mouse no Pacote de Usuários ou de Estações de Trabalho, clique em Propriedades e selecione a página de plataforma apropriada.

  2. Marque a caixa de seleção na coluna Habilitado referente à política de Grupo do Windows.

    Essa ação seleciona e habilita a política.

  3. Clique em Propriedades para exibir a página Políticas de Grupo do Windows.

  4. Especifique o local de rede para políticas de grupo novas ou existentes.

  5. Clique em Editar Políticas.

    Quando você clicar no botão Editar Políticas, o editor do MMC, no qual é possível editar uma política do Pacote de Usuários ou uma política do Pacote de Estações de Trabalho, será iniciado. Para obter mais informações, clique no botão Ajuda das caixas de diálogo. Depois de terminar a edição da política, clique no botão Fechar.

    Ao editar políticas de grupo, lembre-se do seguinte:

    • Caminho do diretório: Verifique se você selecionou o caminho do diretório correto, pois os dados podem ser destruídos. Todos os arquivos no diretório selecionado, bem como nos subdiretórios \adm, \user e \machine, serão apagados antes da cópia da política de grupo do Active Directory.

    • Configurações de segurança que não podem ser editadas no Windows XP: em virtude das mudanças no Windows XP, não é possível editar atualmente as seguintes configurações de Segurança do Windows XP usando o Desktop Management:

      • Em Configuração do Computador > Configurações do Windows > Configurações de segurança > Políticas de Conta > Políticas de Senha:

         A Senha Deve Atender aos Requisitos de Complexidade    Armazenar Senha Usando Criptografia Reversível

      • Em Configurações de Segurança > Políticas Locais > Opções de Segurança:

         Acesso à Rede: permitir SID anônimo/Conversão de Nomes    Contas: Status de Conta de Administrador    Contas: Status de Conta de Convidado

    • Verificação da versão do sistema operacional e do nível do Service Pack no ZENworks 7: Uma nova funcionalidade foi adicionada ao ZENworks 7 para verificar a versão do sistema operacional e o nível do Service Pack durante a edição de políticas de grupo em todas as plataformas nas quais essas políticas podem ser editadas (Windows 2000, Windows XP e Windows Server 2003). Por exemplo, se uma política de grupo tiver sido criada em uma estação de trabalho Windows XP SP1 ou anterior e você tentar editá-la em uma estação de trabalho Windows XP SP2, o ZENworks exibirá uma caixa de diálogo de aviso. O ZENworks também não permitirá a edição de uma política de grupo criada em uma estação de trabalho com Windows XP SP2 se você estiver utilizando uma estação de trabalho com o Windows XP ou o Windows XP SP1 instalado.

    • Desabilitando configurações de políticas de grupo com o ZENworks 7: uma nova funcionalidade foi incluída no ZENworks 7 para permitir que determinadas configurações de uma política de grupo sejam desabilitadas sem impedir a edição futura dessa política.

      Em versões anteriores do ZENworks, desabilitar algumas configurações também desabilitava o editor de políticas de grupo, impedindo que o usuário editasse essa política posteriormente. Entre outras, essas configurações incluem (dependendo do sistema operacional e do nível do Service Pack, talvez nem todas estejam presentes):

      • Em Configuração de Usuários > Modelos Administrativos > Componentes do Windows > Console de gerenciamento Microsoft:

          Impedir que o usuário entre no modo de autor    Restringir usuários à lista de snap-ins explicitamente permitidos

      • Em Configuração dUsuários > Modelos Administrativos > Componentes do Windows > Console de Gerenciamento Microsoft > Snap-ins Restritos/Permitidos > Política de Grupo:

          Gerenciamento de Política de Grupo    Editor de Objeto de Política de Grupo

      • Em Configuração do Usuário > Modelos Administrativos > Componentes do Windows > Console de Gerenciamento Microsoft > Snap-ins Restritos/Permitidos > Política de Grupo:

          Modelos Administrativos (Computadores)    Modelos Administrativos (Usuários)    Redirecionamento de Pastas    Manutenção do Internet Explorer    Serviços de Instalação Remota    Scripts (Logon/Logoff)    Scripts (inicialização/desligamento)    Configurações de Segurança    Instalação de Software (computadores)    Instalação de Software (usuários)    Políticas de Rede Sem Fio (IEEE 802.11)

      Se você desabilitar qualquer uma dessas configurações e, em seguida, tentar editar a política, será exibida uma mensagem de erro, informando que o snap-in foi limitado por uma política. Além disso, não será possível abrir o editor de políticas de grupo.

      Para evitar esse problema no ZENworks 7, essas configurações foram removidas da política de grupo e gravadas em um local temporário. Quando o editor for fechado, as configurações do arquivo temporário serão combinadas às configurações da política de grupo recém-definida. Se você tiver feito mudanças nessas configurações com o uso do editor e elas entrarem em conflito com as que foram gravadas no arquivo temporário, as novas configurações terão precedência sobre as que foram movidas para esse arquivo temporário.

  6. Clique em OK para gravar a política.

15.9.5 Importando políticas de grupo do Windows (pacotes de usuários e de estações de trabalho)

  1. No ConsoleOne, clique o botão direito do mouse no Pacote de Usuários ou de Estações de Trabalho, clique em Propriedades e selecione a página de plataforma apropriada.

  2. Marque a caixa de seleção na coluna Habilitado referente à política de Grupo do Windows.

    Essa ação seleciona e habilita a política.

  3. Clique em Propriedades para exibir a página Políticas de Grupo do Windows.

  4. Especifique o local de rede para políticas de grupo novas ou existentes.

  5. Para importar políticas de grupos do Active Directory, clique em Importar Política e, em seguida, preencha os campos.

    1. Selecione uma opção de importação:

      Importar Pasta Inteira do Active Directory: permite importar todas as políticas de grupo na pasta do Active Directory. Se você selecionar essa opção, no campo Local de Origem, especifique o caminho UNC para a pasta que contém as políticas de grupo criadas pelo Active Directory que você deseja migrar para o diretório listado no campo Destino das políticas de grupo migradas. Você precisa saber, ou procurar, o Nome Exclusivo do diretório a partir do qual a política de grupo do Active Directory será importada. É possível localizar o Nome Exclusivo examinando as propriedades da política de Grupo do Active Directory.

      Importar Configurações de Segurança: permite importar configurações de segurança a partir de um arquivo. Se você selecionar essa opção, no campo Local de Origem, especifique o caminho UNC para o arquivo que contém as políticas de grupo criadas pelo Active Directory que você deseja migrar para o diretório listado no campo Destino das políticas de grupo migradas. Você precisa saber, ou procurar, o Nome Exclusivo do arquivo que será importado para a política de grupo.

      As configurações de segurança importadas permitem que os administradores definam apenas determinadas configurações de segurança sem afetar as demais configurações de segurança. As configurações de segurança podem ser importadas de uma política de Grupo do Active Directory ou podem ser geradas com o snap-in Modelos de Segurança do MMC (Microsoft Management Console). Para obter mais informações, consulte Criando configurações de segurança usando o snap-in Modelos de Segurança do MMC.

      Quando você importa uma política de Grupo do Active Directory que contém configurações de segurança ou importa um arquivo de configurações de segurança, as configurações importadas são gravadas em um novo arquivo denominado zensec.inf.

      As configurações de segurança no arquivo zensec.inf são utilizadas no lugar das configurações de segurança exibidas durante a edição da política de Grupo no MMC. As configurações de segurança mostradas no MMC não são exatas e as mudanças efetuadas não são aplicadas. Se forem detectadas configurações de segurança importadas durante a edição de uma política de Grupo, uma caixa de mensagem informará ao usuário que as configurações de segurança no arquivo zensec.inf serão utilizadas no lugar das configurações de segurança comuns, e esse usuário terá a opção de exibir as configurações contidas no arquivo zensec.inf.

      IMPORTANTE:em vez de unidades mapeadas, convém utilizar caminhos UNC para políticas de grupo.

    2. Clique em Importar.

      Essa ação copia a política de grupo ou o arquivo do Active Directory para o diretório especificado no campo Destino das Políticas de Grupo Migradas. Se não existir, o diretório especificado será criado.

      AVISO:Para evitar a destruição dos dados, verifique se o caminho de diretório correto foi selecionado no campo Destino das Políticas de Grupo Migradas. Todos os arquivos no diretório selecionado, bem como nos subdiretórios \adm, \user e \machine, serão apagados antes da cópia da política de grupo do Active Directory.

  6. Clique em OK para gravar a política.

Criando configurações de segurança usando o snap-in Modelos de Segurança do MMC

Recomenda-se criar novas configurações de segurança em vez de editar as configurações existentes no MMC. Quando você edita as configurações de segurança existentes, elas podem conter configurações padrão que não são necessárias e podem demorar muito para serem processadas. É possível evitar esse problema, gerando novas configurações.

NOTA:É necessário que você efetue login como administrador ou membro do grupo Administradores para criar modelos de segurança. As configurações da política de rede também podem impedir a criação de modelos de segurança.

Para criar novas configurações de segurança usando o snap-in Modelos de Segurança:

  1. Clique no botão Iniciar e em Executar.

  2. Digite mmc e, em seguida, clique em OK.

  3. Clique em Arquivo > Adicionar/Remover Snap-in para exibir a caixa de diálogo Adicionar/Remover Snap-in.

  4. Na página Standalone, clique em Adicionar.

  5. Na caixa de diálogo Adicionar Snap-in Standalone, clique em Modelos de Segurança, clique em Adicionare, em seguida, em Fechar para fechar essa caixa de diálogo.

  6. Na caixa de diálogo Adicionar ou Remover Snap-in, clique em OK.

  7. (Opcional) Na árvore do console, clique com o botão direito do mouse em Modelos de Segurança, clique em Novo Caminho de Pesquisa de Modelo e selecione o novo local.

    Será exibida uma pasta com o caminho do novo local na árvore do console.

  8. Clique com o botão direito do mouse na pasta em que deseja armazenar o novo modelo e, depois, clique em Novo Modelo.

  9. Digite um nome e uma descrição para o modelo e clique em OK.

  10. Na árvore do console, clique duas vezes no novo modelo de segurança para acessar as áreas de segurança e navegar até que a configuração de segurança que deseja configurar esteja no painel direito.

  11. Clique duas vezes na configuração de segurança que deseja configurar, marque a opção Definir esta Política na caixa de seleção Modelo, edite as configurações e clique em OK.

  1. Clique no botão Iniciar e em Executar.

  2. Digite mmc e, em seguida, clique em OK.

  3. Clique em Arquivo > Adicionar/Remover Snap-in para exibir a caixa de diálogo Adicionar/Remover Snap-in.

  4. Na página Standalone, clique em Adicionar.

  5. Na caixa de diálogo Adicionar Snap-in Standalone, clique em Modelos de Segurança, clique em Adicionare, em seguida, em Fechar para fechar essa caixa de diálogo.

  6. Na caixa de diálogo Adicionar ou Remover Snap-in, clique em OK.

  7. (Opcional) Na árvore do console, clique com o botão direito do mouse em Modelos de Segurança, clique em Novo Caminho de Pesquisa de Modelo e selecione o novo local.

    Será exibida uma pasta com o caminho do novo local na árvore do console.

  8. Clique com o botão direito do mouse na pasta em que deseja armazenar o novo modelo e, depois, clique em Novo Modelo.

  9. Digite um nome e uma descrição para o modelo e clique em OK.

  10. Na árvore do console, clique duas vezes no novo modelo de segurança para acessar as áreas de segurança e navegar até que a configuração de segurança que deseja configurar esteja no painel direito.

  11. Clique duas vezes na configuração de segurança que deseja configurar, marque a opção Definir esta Política na caixa de seleção Modelo, edite as configurações e clique em OK.