Otimização de Desktop

Informações sobre implementação e gerenciamento de PCs e dispositivos corporativos

Como aposentar (ou ao menos reduzir) o uso de script de logon


Para quem administra uma rede de PCs em Active Directory, usar GPOs (Diretivas de Grupo) e script de logon não são novidadesgrouppolicy[1]. Geralmente as GPOs são usadas para impor definições (principalmente com foco em segurança e conformidade), mas quando é preciso definir/executar algo que foge desse escopo o script de logon acaba sendo uma saída.

Atualmente você executa alguma dessas tarefas a partir de script de logon? – mapear unidade compartilhada em rede, definir variável de ambiente, atualizar registro, atualizar arquivos, executar rotinas…

Se a resposta foi SIM você é um ótimo candidato a conhecer (e usar) um tipo gratuito de extensão de GPO, aposentando (ou reduzindo) o uso de script de logon.

Conheça nesse artigo o que é e como usar o recurso chamado “Group Policy Preferences” (GPP).

Já adianto que os requisitos mínimos são Active Directory 2003 e PCs com Windows XP (isso mesmo, não precisa mudar o domínio para 2008 ou superior).

O que são as “Group Policy Preferences” – GPP ?

Com a aquisição da empresa DesktopStandard pela Microsoft em 2006 dois produtos foram incorporados ao seu portfolio:

  • GPOVault –> virou o Advanced Group Policy Management – AGPM, parte do MDOP (http://bit.ly/w7mdop).
  • PolicyMaker –> extensões de GPO rebatizadas como Group Policy Preferences (GPP).

Se as GPOs têm como característica o fato de evitar que o usuário final reverta alguma de suas configurações, no caso das Group Policy Preferences (GPP) ele pode ter esse direito.

Mas o grande diferencial mesmo é o que você consegue fazer com um recurso e com o outro. Daí o motivo do título desse artigo.

O ponto em comum desses dois recursos é que eles são processados/replicados da mesma forma. Para você forçar a atualização tanto de GPO quanto de GPP basta executar o comando GPUPDATE /FORCE.

O que pode ser configurado através de Group Policy Prefences (GPP)?

A lista é extensa, mas vale a pena conferir e confirmar quais delas você atualmente faz através de script de logon(ou gostaria de fazer de alguma outra forma):

  • Mapear pasta compartilhada em rede
  • Mapear impressora compartilhada em rede
  • Compartilhar pastas locais em rede
  • Compartilhar de impressora local
  • Copiar/atualizar/apagar arquivos
  • Criar/apagar pastas locais
  • Atualizar entradas de registro
  • Criar/atualizar/apagar atalhos
  • Criar/atualizar/apagar entradas ODBC
  • Habilitar/desabilitar dispositivos
  • Habilitar/desabilitar/configurar serviços
  • Associar tipos de arquivos com determinado aplicativo
  • Definir as Opções de Pasta do Windows Explorer
  • Atualizar conteúdo de arquivos .INI
  • Criar/atualizar/apagar conta local de usuário
  • Criar/atualizar/apagar grupos locais
  • Criar/atualizar/apagar conexão VPN ou Dial-Up
  • Criar/atualizar/apagar de planos de energia
  • Definir variável de ambiente
  • Configurações regionais
  • Criar/atualizar/apagar entradas no Agendador de Tarefas do Windows
  • Configurações do Menu Iniciar
  • Propriedades do Internet Explorer

Como implementar Group Policy Preferences?

O segredo para você conseguir gerenciar as GPPs é acessar a console de administração a partir de uma versão recente de Windows. Se você ainda usa o Windows Server 2003 para gerenciar GPOs você vai continuar enxergando apenas as GPOs. Caso você ainda não use Windows Server 2008 (ou superior) a minha sugestão é instalar o pacote RSAT no Windows 7 (http://bit.ly/w7rsat).

Dessa maneira ao carregar o Group Policy Management Console para editar (ou criar) alguma GPO você verá o container “Preferences” além de “Policies” (figura abaixo). A partir disso basta configurar as GPPs, como se fossem GPOs.

image

Do lado dos PCs se você estiver usando Windows 7 nenhuma alteração precisa ser realizada. Se estiver usando Windows Vista ou Windows XP será necessário instalar uma extensão, conforme artigo http://support.microsoft.com/kb/943729

Exemplo de Group Policy Preferences:

Vamos analisar o processo de mapeamento de pasta compartilhada em rede. Além de definir o caminho da rede e letra da unidade nós temos outras opções para tornar essa tarefa mais flexível (clique na imagem para vê-las em tamanho original):

  • Ocultar/exibir a unidade mapeada
  • Conectar com outras credenciais de usuário
  • Aplicar apenas uma vez (se o usuário “desmapear” essa unidade ela não será mais mapeada por essa GPP)
  • Definir filtro para aplicar essa GPP apenas para os PCs/usuários que atenderem determinados requisitos (Item-level targeting)
3 4 5

Confira abaixo as telas de algumas outras configurações que podem ser realizadas via GPP:

8 9 11
12 13 14
19 21 24
30 33 user_17

11 Respostas para “Como aposentar (ou ao menos reduzir) o uso de script de logon

  1. Vinícius Perrott 27/07/2011 às 16:32

    Grande Marcelo.

    Realmente ja tinha visto essa forma de “diminuir” o tempo de fazer uma GPO.
    Mas estive olhando que temos duas formas de configurar um Proxy

    Forma 1: User Configuration\Polices\Windows Settings\Internet Explores Maintenance\Connection\Proxy Settinges

    Forma 2: User Configuration\Preferences\Windows Settings\Control Panel Settings\Internet Settings\ (botão direito \NEW \Escolha a versão do navegador 5 e 6,7 ou 8

    No caso eu configurando de uma das formas eu teria o mesmo resultado!
    Tirando a opção escolher o tipo de navegador em Preferences qual seria a real diferença para essa GPO (Confguração de Poxy) entre as formas?

    Abraço!

    • marcelomatias 27/07/2011 às 17:08

      Nesse caso de proxy eu não vejo diferença

    • Almir Ribeiro 24/06/2014 às 20:12

      Post antigo, mas o comentário sobre a dúvida pode servir para consulta futura.
      A diferença entre as duas formas (me corrija o Marcelo se estiver errado) é que na GPO a configuração normalmente é imposta quando habilitada e o usuário padrão não poderá altera-la, já na GPP é uma preferência e não uma imposição, portanto o usuário poderá alterar.
      Resumindo, se o item de configuração não deve ser alterado pelo usuário, use a GPO, se quiser definir uma configuração prévia, mas permitir que o usuário altere o valor do item, use a GPP.

  2. rodrigobretas 29/07/2011 às 10:54

    Ótima a matéria, professores de faculdade hoje em dia ainda “força” o desenvolvimento de scripts, só que eu não sou desenvolvedor, se eu soubesse disso a 1 ano , dava uma aula para o professor rsss

  3. Pingback: Seria então o fim do Script de Logon? | Web And Design

  4. Larissa 14/06/2012 às 18:30

    Parabéns pelo blog, tem dicas valiosas…
    Mas fiquei com uma dúvida… se eu começar a utilizar o RSAT, só poderei editas as regras do GPO através do RSAT ou posso usar ambos ao mesmo tempo?

  5. Rafael Bashiyo 18/04/2013 às 17:03

    Marcelo, eu gerenciando elas pela GPP, sendo meu AD Windows Server 2003, ele irá replicar? Com as .mdx instaladas lá?

  6. Rafael Bashiyo 26/04/2013 às 15:31

    Marcelao desculpa a pergunta…tipo….to agora usando a GPP, bem prática..porem, eu criei umas ODBC na GPP talz, mandei reiniciar o pc, mas nao está aplicando…retorna erro 0x800004005…ja viu algo parecido??

    Att

    • marcelomatias 29/04/2013 às 09:02

      Rafael, esse código de erro é muito genérico. Esse problema só ocorre em uma maquina? Se ocorre em mais de um PC existe algum padrão entre eles (mesma versão do Sistema Operacional, mesmo Service Pack…)? Se você desativar essa GPP o problema continua? Nesse tipo de caso o mais indicado é pesquisar os logs ou entradas no event viewer.

  7. Rafael Bashiyo 06/05/2013 às 09:58

    É,bem genérico mesmo. As odbcs (outras) estão pegando a configuração, possuem o mesmo servidor em comum,só o path diferente, no XP ta normalzinho. No e.viewer, aponta como somente o codigo 0x8000 blablabla,e um tal THIS ERROR WAS SUPPRESSED. Procurei em fóruns,etc, e nada…é estranho…acontece geral isto…das 5 odbcs que coloquei na gpp de computador, só 3 rolam… Agora, algo também estranho marcelao, é, e muito estranho, que, quando eu tiro um gpresult /h c:\xpto\xpto.htm, só a minha GPO de USUÁRIO está aplicando, e a minha GPO de MAQUINA nao….já removi maquina do dominio,já verifiquei os permissionamentos, se o grupo x ta como read para ler, ja até tentei refazer a gpo de computador…elas estao certinhas segmentadas, abas de computador para computador (com user Configuration Disabled), e na de usuário com Computer Configuration Disabled, como a “Best Pratice” da Microsoft orienta, mas aparece como inaccessible….e horas como denied…É muito estranho a não aplicação da política….
    O engraçado é que, por exemplo, no SCOPE da politica de computador, está lá a maquina que quero que seja aplicada, e no SCOPE de USUARIO, o usuário teste que quero que seja aplicada….Sera q é alguma cagada da microsoft????

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: