top of page
Buscar

GPOs no Active Directory: Guia Completo com Boas Práticas, Erros Comuns e Dicas de Especialista

  • Foto do escritor: Rodrigo Motta
    Rodrigo Motta
  • 9 de abr.
  • 4 min de leitura

As GPOs (Group Policy Objects) são um dos pilares da administração em ambientes com Active Directory. Elas permitem o controle centralizado de configurações de sistemas, aplicações e segurança para usuários e computadores no domínio. Apesar de parecer simples, a gestão inadequada de GPOs pode causar lentidão, falhas de aplicação, conflitos e até brechas de segurança.


Neste guia completo, você aprenderá:

  • O que são GPOs e como funcionam

  • Tipos de GPOs e escopo de aplicação

  • Ordem de processamento e herança

  • Filtragem e WMI

  • Erros comuns e como evitá-los

  • Boas práticas de administração

  • Exemplos práticos com PowerShell e interface gráfica

  • Dicas que apenas especialistas usam (com exemplos e cenários reais)


O que é uma GPO?

Uma GPO é um conjunto de configurações que podem ser aplicadas a objetos do AD (usuários ou computadores) para padronizar comportamento, segurança e experiência de uso. Elas são compostas por:

  • Configurações de Computador: aplicadas durante a inicialização do sistema

  • Configurações de Usuário: aplicadas durante o login


As GPOs são vinculadas a contêineres do AD:

  • Sites

  • Domínios

  • Unidades Organizacionais (OUs)


Ordem de Processamento (LSDOU)

A ordem de aplicação das GPOs segue a hierarquia:

  1. Local (GPO local na máquina)

  2. Site

  3. Domain

  4. Organizational Unit (OU)

A última GPO aplicada tem precedência, mas isso pode ser modificado com:

  • No Override (impede que GPOs abaixo na hierarquia sobrescrevam aquela)

  • Block Inheritance (bloqueia herança de GPOs superiores)


Escopo, Filtragem e WMI

Escopo:

O escopo de uma GPO é definido por:

  • Onde ela está vinculada

  • Permissões de leitura/aplicação (GPO Security Filtering)


Filtragem por Grupo de Segurança:

Use grupos para restringir quem receberá a GPO. Apenas membros do grupo com permissão "Apply group policy" e "Read" serão afetados.


Filtros WMI:

Permitem aplicar GPOs com base em características do sistema (ex: versão do Windows, quantidade de RAM). Cuidado com o desempenho, pois filtros WMI atrasam o processamento da GPO.


Erros Comuns na Gestão de GPOs

  1. Excesso de GPOs: muitas GPOs com configurações redundantes aumentam o tempo de login/boot.

  2. Uso inadequado de "No Override" ou "Block Inheritance": pode gerar comportamento imprevisível e difícil de diagnosticar.

  3. Configurações conflitantes: duas GPOs tentando definir valores diferentes para a mesma política.

  4. Filtros WMI pesados: atrasam significativamente a aplicação da GPO.

  5. Falta de documentação: dificulta troubleshooting e auditoria.

  6. Aplicação de GPO em OU errada: erro clássico ao mover computadores ou usuários sem revisar GPOs vinculadas.


Boas Práticas de Configuração e Manutenção de GPOs

  • Crie GPOs temáticas/modulares: separadas por finalidade (ex: mapeamento de unidades, configuração de navegador, segurança)

  • Documente cada GPO com descrição clara e data de criação/modificação

  • Use comentários dentro das configurações da GPO

  • Teste GPOs em uma OU de homologação antes de aplicar em produção

  • Limite o uso de filtros WMI

  • Faça revisão regular das GPOs ativas (ex: semestral)

  • Monitore aplicação via gpresult, RSOP e logs de eventos

  • Use "Loopback Processing" apenas quando realmente necessário


Exemplos Práticos: Interface Gráfica vs PowerShell


Criar uma GPO via interface gráfica:

  1. Abra o Group Policy Management Console (GPMC)

  2. Expanda o domínio e clique com o botão direito em "Group Policy Objects"

  3. Clique em New, dê um nome à GPO e clique em OK

  4. Edite a GPO com o botão direito > Edit...

  5. Aplique configurações conforme necessário em "Computer Configuration" ou "User Configuration"

  6. Vincule a GPO a uma OU com clique direito em uma OU > Link an Existing GPO


Criar uma GPO via PowerShell:

# Importa o módulo de GPO
Import-Module GroupPolicy

# Cria uma nova GPO
New-GPO -Name "GPO-Seguranca-Basica" -Comment "Política de segurança básica"

# Faz o link da GPO à OU especificada
New-GPLink -Name "GPO-Seguranca-Basica" -Target "OU=Computadores,DC=empresa,DC=local"

# Edita uma configuração (exemplo: desabilitar o Prompt de Comando)
Set-GPRegistryValue -Name "GPO-Seguranca-Basica" -Key "HKCU\Software\Policies\Microsoft\Windows\System" -ValueName "DisableCMD" -Type DWord -Value 1

Esses comandos ajudam a automatizar tarefas repetitivas e aplicar GPOs de forma padronizada via scripts.


Dicas Avançadas de Especialistas (com exemplos e cenários)


  • Group Policy Modeling: use para simular aplicação de GPOs.

    • Cenário: você quer prever o que será aplicado a um novo usuário em determinada OU. Simule antes de mover o objeto.

  • Baseline de segurança (CIS Benchmarks ou MS Baselines): utilize GPOs baseadas nessas referências.

    • Cenário: implementar hardening de estações e servidores com base em padrões reconhecidos.

  • AGPM (Advanced Group Policy Management):

    • Permite controle de versão, aprovação e rollback de GPOs.

    • Cenário: ambientes com múltiplos administradores ou GPOs críticas.

  • Starter GPOs: crie modelos base para padronizar novas GPOs com configurações básicas e comentários.

    • Cenário: empresas que criam GPOs regularmente para novos departamentos ou sites.

  • Evite GPOs para tudo – complemente com Intune ou scripts PowerShell:

    • Cenário: configurar apps modernos ou políticas específicas para dispositivos híbridos.

  • Controle de versão via Git/manual:

    • Exporte GPOs com Get-GPOReport e salve em repositório Git ou pasta monitorada.

    • Cenário: auditar mudanças, aplicar CI/CD em GPOs críticas.

  • Get-GPOReport e GPResult /H:

    • Use Get-GPOReport -Name "GPO-Nome" -ReportType Html -Path C:\Relatorios\GPO.html para exportar

    • Use GPResult /H resultado.html no endpoint para identificar o que foi ou não aplicado.

    • Cenário: troubleshooting e auditoria em endpoints com múltiplas GPOs.


Conclusão

As GPOs são essenciais para manter a ordem, segurança e padronização em ambientes corporativos. Quando bem planejadas e documentadas, se tornam um dos maiores aliados da TI. Mas quando mal utilizadas, viram uma fonte interminável de problemas e inconsistências. Ao aplicar as boas práticas e evitar os erros comuns listados neste artigo, você estará garantindo estabilidade e controle no seu ambiente de Active Directory.

Gostou do conteúdo? Acompanhe mais artigos como esse no infrashare.com.br e compartilhe com sua equipe!

Posts recentes

Ver tudo

Commentaires

bottom of page