Usando o Editor de Diretiva de Grupo para ajustar seu PC
Na aula de hoje do Geek School, vamos explicar como usar o editor de Diretiva de Grupo Local para fazer alterações em seu PC que não estão disponíveis de outra maneira.
NAVEGAÇÃO ESCOLAR- Usando o Agendador de Tarefas para executar processos mais tarde
- Usando o Visualizador de Eventos para solucionar problemas
- Entendendo o particionamento do disco rígido com o gerenciamento de disco
- Aprendendo a usar o editor do registro como um profissional
- Monitorando seu PC com o Monitor de Recursos e o Gerenciador de Tarefas
- Entendendo o painel de propriedades do sistema avançado
- Entendendo e gerenciando os serviços do Windows
- Usando o Editor de Diretiva de Grupo para ajustar seu PC
- Noções básicas sobre as ferramentas de administração do Windows
Devemos observar desde já que o editor de Diretiva de Grupo só está disponível nas versões Pro do Windows - os usuários do Home ou Home Premium não terão acesso a ele. Ainda vale a pena aprender sobre.
Políticas de grupo são uma forma realmente poderosa de configurar uma rede corporativa com cada um dos computadores bloqueados para que os usuários não consigam alterá-los com alterações indesejadas e impedi-los de executar software não aprovado, entre muitos outros usos.
No ambiente doméstico, no entanto, você provavelmente não desejará definir restrições de tamanho de senha ou forçar a alteração da senha. E você provavelmente não precisará bloquear suas máquinas para executar apenas executáveis específicos aprovados.
Há muitas outras coisas que você pode configurar, como desabilitar os recursos do Windows de que não gosta, bloquear a execução de determinados aplicativos ou criar scripts que são executados durante o Logon ou Logoff..
Entendendo a interface
A interface é muito semelhante a todas as outras ferramentas administrativas - a visualização em árvore à esquerda permite procurar configurações em uma estrutura de pastas hierárquica, há uma lista de configurações e um painel de visualização que fornece mais informações sobre a configuração específica..
Existem duas pastas de nível superior para estar ciente:
- Configuração do Computador - mantém configurações aplicadas a computadores, independentemente de qual usuário está efetuando login.
- Configuração do usuário - mantém configurações aplicadas a contas de usuário.
Em cada uma dessas pastas, há algumas pastas que permitem detalhar as configurações disponíveis:
- Configurações de Software - esta pasta destina-se a configurações relacionadas a software e está em branco por padrão no cliente Windows.
- Configurações do Windows - esta pasta contém configurações de segurança e scripts para logon / logoff e inicialização / desligamento.
- Modelos Administrativos - essa pasta contém configurações baseadas em registro, que são essencialmente uma maneira rápida de ajustar configurações no seu computador ou na sua conta de usuário. Existem muitas configurações disponíveis.
Ajustando as regras de segurança
Se você clicar duas vezes no item “Impedir acesso ao prompt de comando” da captura de tela acima, você será apresentado a uma janela semelhante a essa - na verdade, a maioria das configurações em Modelos Administrativos parecerá semelhante.
Essa configuração específica permitiria bloquear o acesso ao prompt de comando dos usuários no PC. Você também pode definir a configuração dentro da caixa de diálogo para bloquear arquivos em lote.
Outra opção na mesma pasta permite que você crie uma configuração para “Executar apenas aplicativos do Windows especificados” - você deve definir a configuração como Ativada e fornecer uma lista de aplicativos permitidos. Todo o resto seria bloqueado de funcionar.
Nesse caso, se você executasse um aplicativo que não estivesse na lista, receberia uma mensagem de erro como essa.
Vale a pena notar que mexer com regras como esta pode bloquear você para fora do seu PC se você fizer algo errado, então seja cuidadoso.
Ajustando as configurações do UAC para segurança
Na pasta Configuração do Computador -> Configurações do Windows -> Configurações de Segurança -> Políticas Locais -> Opções de Segurança, você encontrará várias configurações interessantes para tornar seu computador um pouco mais seguro.
A primeira opção pode ser encontrada nessa pasta como o item “Controle de Conta de Usuário: Comportamento do prompt de elevação para Administradores” e, se você escolher “Solicitar credenciais na área de trabalho protegida”, forçará você (ou outro usuário) a insira sua senha sempre que você tentar executar algo no modo de administrador.
Esta opção faz com que o Windows funcione mais como Linux ou Mac, onde você é solicitado a fornecer sua senha sempre que precisar fazer uma alteração, e como o Secure Desktop não permite que outros aplicativos mexam na caixa de diálogo, é muito mais seguro.
Outras opções úteis:
- Controle de Conta de Usuário: Somente elevar executáveis assinados e validados - essa opção proíbe que aplicativos não assinados digitalmente sejam executados como administradores.
- Console de recuperação, permitir logon administrativo automático - Quando você precisa usar o console de recuperação para executar tarefas do sistema, geralmente é necessário fornecer a senha do administrador. Se por acaso esquecesse a senha, isso permitiria que você a redefinisse com mais facilidade. (E como você pode limpar facilmente uma senha do Windows, ela não é muito menos segura).
Uma coisa que vale a pena notar é que muitas das políticas da lista não se aplicam a todas as versões do Windows. Por exemplo, na captura de tela abaixo, a configuração "Remover Meus Documentos" está disponível apenas para Windows XP e 2000. Algumas outras políticas dirão "Pelo menos o Windows XP" ou algo assim, o que significaria que eles continuarão a trabalhar Todas versões.
Há um número enorme de configurações no editor de Diretiva de Grupo, então definitivamente vale a pena passar algum tempo examinando-as se você estiver curioso. A maioria das configurações permite desabilitar os recursos do Windows de que você não gosta particularmente - muito poucos oferecem a funcionalidade que você não tinha por padrão.
Configurando Scripts para Executar no Logon, Logoff, Inicialização ou Desligamento
Ainda outro exemplo de algo que você só pode fazer usando o editor de Diretiva de Grupo é configurar um script de logoff ou desligamento para ser executado toda vez que você reinicializar seu PC.
Isso pode ser muito útil para limpar o sistema ou fazer um backup rápido de determinados arquivos sempre que você desligar, e você pode usar arquivos em lote ou até scripts do PowerShell para ambos. A única ressalva é que esses scripts devem ser executados silenciosamente ou eles bloquearão o processo de logoff.
Existem dois tipos diferentes de scripts que você pode executar.
- Scripts de inicialização / desligamento - esses scripts são encontrados em Configuração do Computador -> Configurações do Windows -> Scripts e serão executados na conta do Sistema Local, para que possam manipular os arquivos do sistema, mas não serão executados como sua conta de usuário.
- Logon / Logoff Scripts - esses scripts são encontrados em Configuração do usuário -> Configurações do Windows -> Scripts e serão executados na sua conta de usuário.
Vale a pena notar que os scripts de logon e logoff não permitem executar utilitários que exigem acesso de administrador, a menos que você tenha o UAC completamente desabilitado..
Para o exemplo de hoje, faremos um script de logoff indo até Configuração do usuário -> Configurações do Windows -> Scripts e clicando duas vezes em Logoff.
A janela de propriedades Logoff permite adicionar vários scripts de logoff para executar.
Você também pode configurar scripts do PowerShell.
O mais importante a notar aqui é que seus scripts precisam estar em uma pasta específica para que funcionem corretamente.
Logon e Logoff Scripts precisarão estar nas seguintes pastas:
- C: \ Windows \ System32 \ GroupPolicy \ User \ Scripts \ Logoff
- C: \ Windows \ System32 \ GroupPolicy \ Usuário \ Scripts \ Logon
Enquanto os Scripts de Inicialização e Desligamento precisarão estar nessas pastas:
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Shutdown
- C: \ Windows \ System32 \ GroupPolicy \ Machine \ Scripts \ Startup
Depois de configurar o seu script de logoff, você pode testá-lo - configuramos um script simples que criou um arquivo de texto na área de trabalho e, em seguida, efetuamos o logoff e o logon. Mas você poderia fazer qualquer coisa que quisesse.
E, claro, se você estivesse fazendo um script de logon, ele poderia realmente iniciar aplicativos.
Uma coisa importante a notar é que, se o seu script solicitar a entrada do usuário, o Windows travará durante o desligamento ou o logoff por 10 minutos antes de o script ser eliminado e o Windows poder ser reinicializado. Isso é algo que você deve ter em mente ao projetar seu script.
Diretiva de grupo não termina aqui
Nós apenas arranhamos a superfície para o que a Diretiva de Grupo pode realmente fazer, e em um ambiente de domínio corporativo é uma das ferramentas mais poderosas e importantes à sua disposição. Uma vez que esta série não é sobre usuários de TI, não vamos entrar em todo o resto, mas vale a pena fazer algumas pesquisas por conta própria.