Otimização de Desktop

Informações sobre implementação e gerenciamento de PCs e dispositivos corporativos

Trabalhando com as GPOs do Windows 7 em cima de Active Directory Windows Server 2003


Deixa eu adivinhar: ws03-active_v_rgbVocê está participando da migração do Windows XP para Windows 7, ainda usa AD 2003, e está preocupado em como gerenciar as GPOs do Windows 7 nesse cenário. Acertei?

Fique tranquilo, várias pessoas têm essa mesma preocupação, e o procedimento a ser seguido é muito tranquilo. Consiste em duas etapas:

  1. Replicar os modelos administrativos de GPO (arquivos .ADMX) do Windows 7 para o compartilhamento SYSVOL do seu domínio
  2. Usar o Windows Vista/Server 2008 ou superiores para gerenciar as GPOs

Acompanhe abaixo como prosseguir com isso:

O grande engano nesse caso é pensar que existe uma obrigação em migrar o AD para 2008 antes de gerenciar essas GPOs, mas isso não é mandatório (não use como desculpa para adiar a implementação do Windows 7…).

Publicação centralizada dos arquivos dos modelos administrativos das GPOs (arquivos .ADMX)

1. A partir de um PC rodando o Windows 7 Professional ou superior, abra a pasta C:\Windows e localize o diretório PolicyDefinitions (contém os arquivos .ADMX).

2. Acesse o compartilhamento de políticas do seu domínio. Exemplo: \\contoso.com\SYSVOL\contoso.com\Policies

3. Copie a pasta PolicyDefinitions do Windows 7 para dentro da pasta \\contoso.com\SYSVOL\contoso.com\Policies, resultando em algo similar a \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions (figura abaixo):

GPO_PolicyDefinitions

Console para gerenciamento das GPOs

Se você tiver algum servidor rodando Windows Server 2008 ou superior você pode habilitar a console de gerenciamento de GPOs e concentrar o processo de gerenciamento através dele.

Caso você só tenha Windows Server 2003 será preciso gerenciar as GPOs a partir de algum PC rodando Windows Vista ou Windows 7 (edição Professional/Business ou superior).

Para habilitar a console de gerenciamento de GPOs no Windows 7 será necessário instalar e ativar o RSAT, descrito no artigo http://j.mp/w7rsat.

Ao instalar e habilitar o RSAT, e após ter replicado os arquivos .ADMX no seu domínio, você terá acesso tanto as GPOs do Windows 7 quanto às Preferências de Diretiva de Grupo (Group Policy Preferences). Para conhecer os benefícios desse recurso leia o artigo http://j.mp/w7gpp

Para exemplificar esse processo, no caso abaixo foi instalado e habilitado o RSAT em um PC com Windows Vista. Veja abaixo que há uma indicação que os arquivos .ADMX foram carregados a partir de um ponto central ao invés de carregar a versão local (“Administrative Templates: Policy Definitions (ADMX files) retrieved from a central store“). Com isso nós conseguimos, mesmo através do Windows Vista, gerenciar GPOs do Windows 7 hospedadas em Windows Server 2003 (figura abaixo):

image

Para mais informações sobre o armazenamento central dos arquivos .ADMX consulte o artigo http://support.microsoft.com/kb/929841

Para conhecer a relação das GPOs do Windows Vista/Windows 7 baixe aqui a planilha com a documentação de TODAS as GPOs de Windows, desde o Windows 2000 até o Windows 7/2008 R2: http://www.microsoft.com/download/en/details.aspx?id=25250

Se você quiser preparar seu ambiente com base nas melhores práticas de segurança da Microsoft, consulte o Security Compliance Manager para aproveitar o baseline de segurança do Windows 7 (e de outros produtos): http://j.mp/scmv2

51 Respostas para “Trabalhando com as GPOs do Windows 7 em cima de Active Directory Windows Server 2003

  1. alexfeleol 31/10/2011 às 11:43

    Boa!
    Ainda temos inúmeros clientes nesta situação…
    Ótimo Post!
    Alex Feleol

  2. Dayvson Clauber 04/11/2011 às 17:16

    Caro Marcelo,
    você simplesmente detona. Seu blog é uma verdadeira ferramenta de orientação para qualquer analista de suporte que lide com a plataforma WIN, principalmente aos que estão enferrujados como eu.
    Muitissímo parabéns!

    Dayvson Clauber

  3. Leonardo 09/03/2012 às 12:23

    Cara, salvou meu dia!

  4. Jr 12/03/2012 às 15:19

    você salvou meu emprego….brigaduuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuuu

  5. Fred 24/04/2012 às 14:34

    Marcelo, boa tarde! Obrigado pela dica, mas tenho uma duvida. Tenho AD 2003 com estações em XP e Win7, porem algumas politicas de segurança funcionam no XP e não funcionam no 7. Se eu copiar a pasta PolicyDefinitions do 7 para o 2003 vou ter resultado positivo?

  6. Edwaldo 25/04/2012 às 14:51

    Marcelo estou com uma dúvida em um assunto bem similar a esse. Instalei o Active Directory na empresa onde trabalho usando o Windows Server Enterprise 2008. Até aí beleza, no entanto não consegui inserir estações de trabalho que utilizam-se de Windows 7 Ultimate Service Pack 1, as estações que usam XP SP3 e Windows 7 (sem Service Pack) também funcionaram perfeitamente. Poderia me ajudar por favor?

  7. William Moura 15/05/2012 às 18:52

    Marcelo, to achando que vou encontrar dinheiro nesse Blog..rsrs.. até agora encontrei todas as informações que to precisando, cara você é demais. Parabéns. Escreve de maneira simples, clara e objetiva, seus posts são uma maravilha. Continue sempre assim.

  8. rafael 26/07/2012 às 22:27

    TchÊ!
    Copiei de um pc w7 e colei os arquivos admx. para o server 2k8r2std x64 para a pasta exemplo: \\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions mas quando abro o gpedit no modelo administrativo (administrative templates) estou usando armazenamento central não aparece o sistema suportado w7 e 2k8 só aparece xp.
    Só o que fiz de errado.

    • marcelomatias 27/07/2012 às 13:12

      Rafael, considerando as duas imagens que eu publiquei nesse artigo, no seu caso qual delas apresenta diferença no seu ambiente? A informação de “Suportado Em:” depende da política que você está configurando. No meu exemplo eu abri o item “Allow domain users to log on using biometrics”, que é suportado pelo menos no Windows 7 e Windows Server 2008.

      Marcelo

  9. rafael 27/07/2012 às 13:30

    Marcelo!
    Opção restauração do sistema, quero desativar no windows 7 estou usando o gpmc do próprio server onde está o AD.
    Outra pergunta qual o nível funcional que deve estar o AD (floresta e domínio)
    Grato pelo retorno

  10. rafael 27/07/2012 às 13:38

    Saberia me dizer o caminho para desabilitar o system restore do win7

  11. Pedro Costa (@plcosta) 09/08/2012 às 12:22

    Marcelo, muito bom o artigo, parabéns.

    Não entendi uma coisa. Eu preciso copiar a pasta PolicyDefinitions do Windows 7 para pasta policies do meu domínio server 2003. Depois, na máquina com windows 7, instalo o RSAT. Para todas as máquinas com windows 7 precisarei instalar o RSAT e configurar as gpos uma por uma?

    Obrigado.

    • marcelomatias 09/08/2012 às 12:26

      Pedro, o RSAT você só precisa instalar nos PCs que forem usados para gerenciar as GPOs. Se você for gerenciar as GPOs através da console do Windows Server 2008 ou 2008 R2 não precisa instalar nada.

  12. Willon Smith 14/08/2012 às 16:47

    Veja se vc pode me ajudar. Tenho uma rede com Win2003 server e AD2003, que tinha somente win-xp. Como foi adquirido 30 novas máq, que vieram todas com win7.
    Os micros com win7 conectatam normalmente na maioria delas. Acontece que somente em alguns micros (04 no total), a área de conta não é criada permanentemente, isto é, foi criado um login temporário, e assim que é feito o logoff, some com todas as alterações feitas.
    Mas esse usuário (com perfil de administrador ou não), já existia e funcionava corretamente no XP, e assim que foi migrado para o win7, simplesmente não é criado a área deste login.
    Tipo se tenho um login “jose.silva”, e que funcionava sem problemas no XP, essa máq foi trocada por um micro Win7 e foi feito o backup dos dados do cliente para esse novo micro (win7). Quando é feito o login com o usuário “jose.silva” e já com os dados do micro anterior salvo, e é configurado todo o ambiente para o seu funcionamento adequado na nossa rede.
    Quando é feito o LOGOFF e é feito o LOGIN novamente, é como se tivesse assessado pela primeira vez o micro, sendo que já foi feito o acesso várias vezes. Em um micro, simplesmente sumiu tudo o que foi gravado.
    Consultei alguns amigos que trabalham com gerenciamento de rede, e nenhum ouviu falar nisso.
    Será que teriam como me ajudar???

    • marcelomatias 14/08/2012 às 22:15

      Esse problema acontece sempre nas mesmas máquinas ou com os mesmos usuários. Se dentre esses quatro PCs você se autenticar com outro usuário o problema persiste?

      Qual processo você usou para a migração dos dados/perfil do usuário do Windows XP para o Windows 7?

      • Willon Smith 15/08/2012 às 08:39

        Muito obrigado pela resposta…
        Sim, esse problema acontece com as mesmas máq.
        Somente com alguns usuários, não todos (sendo com perfil de administrador ou de usuário comum).
        Não houve uma “migração” do XP para o win7. Simplesmente ligamos a nova máq. configuramos a rede, chamamos o usuário, que indicou os dados (pasta) que ele precisava, e fizemos uma cópia pura e simples desses dados em uma pasta no disco c:

        Obs. Na primeira vez, fiz a cópia dos dados no Desktop do usuário. Mas como está ocorrendo esse problema, decidi copiar no c: mesmo.

      • marcelomatias 15/08/2012 às 10:06

        Eu recomendo então recriar o perfil desses usuários nos PCs que estão com problema. Dê uma olhada nesse artigo http://tecnologiaegestao.wordpress.com/2010/07/26/problemas-com-perfil-local-no-windows-7/

        No Windows XP bastava apagagar/renomear a pasta do perfil (dentro de Documents and Settings) para recriar o perfil. No Windows 7 é preciso também remover a referência do registro do Windows.

  13. Willon Smith 15/08/2012 às 10:57

    No endereço que vc indicou, veja abaixo o comentário do Gustavo, é exatamente o que está ocorrendo comigo…

    Gustavo
    fevereiro 28, 2012 às 8:08 am

    O engraçado é que fica um tempo com perfil local, mais logo depois de 1 ou 2 dias perde o local e vira temporario.
    Estava tudo normal de uma hora para outra deu isso, e o problema que são varias maquinas. Usamos Active Directory será que tem alguma configuração que está fazendo isso?

    Abrss
    Responder

    Luiz Bezerra
    fevereiro 28, 2012 às 9:55 am

    Cara,

    Provavlemnte alguma atualização do WIndows, o parque de máquinas está atualizado?

    –> O diagnóstico é o descrito acima, mas a solução tá difícil pra todo mundo!!!
    Se tiver mais informação eu agradeço…
    Willon Smith

    • marcelomatias 15/08/2012 às 17:09

      Eu entendi que dos comentários desse artigo só houve recorrência com o Gustavo. Quando o Windows detecta que há um problema com o perfil do usuário (C:\Users\usuario) ele carrega um perfil temporário. Eu desconheço casos de recorrência, a menos que haja problema com o disco ou o antivirus com falso positivo, bloqueando arquivos de sistema.

  14. mixjo@hotmail.com 08/11/2012 às 15:40

    Meu caro, muito obrigado por suas explicações, são de grande ajuda, após executado os passos informado, como faço para configurar um servidor 2k8R2x64 para genrenciar as Polices, saliento que este não é o servidor AD.

    • marcelomatias 08/11/2012 às 17:34

      Basta ativar a console de gerenciamento de GPOs nesse servidor. Uma vez que você publicou os arquivos .ADMX no local indicado nesse artigo você consegue usar a console de GPOs do Windows Server 2008 e posterior para fazer esse gerenciamento.

  15. mixjo 08/11/2012 às 18:49

    Marcelo, copiei a pastas do Win7 para o compartilhamento mencionado, consegui instalar o GPO Manager no servidor com Windows 2K8R2x64. Ao abrir o GPO no 2008 ele mostra toda a estrutura já existente, da mesma forma que no 2003 (Servidor AD), ao editar ou até mesmo criar uma nova police, no campo “Aceito em:” ele só mostra “Windows 2003, XP, 2000”, não aparece compatibilidade para windows 7.

    • marcelomatias 09/11/2012 às 11:51

      Isso depende da politica que você abriu. De uma olhada nos comentários desse artigo pois há um caso semelhante. Tente abrir a mesma GPO que eu mostrei na imagem. Se você conseguir é porque a infraestrutura está correta.

  16. dbbrito 25/11/2012 às 22:55

    Marcelo, parabéns pelo post, mas eu tenho o windows server 2008 (não é o R2), mas as gpos só funcionam em estações com XP, com windows 7 não faz nenhum efeito, você sabe o que pode estar acontecendo? Desde já obrigado.

  17. Willon Smith 26/11/2012 às 11:34

    Aconteceu novamente! Perdi minha área local com o meu login. Já é a 3ª vez. Isto estava acontecendo com o meu login antigo, ex. “joao.silva”. Criei um novo, como “joao.silva2”, funcionou por 2 meses sem problema. Acorreu um pique de luz e minha maq. foi desligada.
    Qdo voltou o win7 detectou o desligamento, escolhi iniciar normalmente. Para a minha supresa, o meu novo login “joao.silva2” entrou como temporário. Corri para ver as minhas informações no C:\usuarios e tinha sumido TUDO. Não deu para fazer backup, até pq foi derrepente. Não tem como adivinhar qdo vai dar este problema.
    Já fui no registro (como dica anterior), já deletei o nome no USERS e qdo reiniciei: entrou como temporário novamente. E agora só entra como temporário…
    Acho que vou voltar pro XP.

    • marcelomatias 26/11/2012 às 14:09

      Willon, recomendo a abertura de um chamado técnico para analisar o seu caso com maior atenção.

      Dependendo da forma como o Windows 7 foi adquirido você pode contar com o suporte do fabricante do Hardware (em caso de compra integrado ao PC) ou diretamente com a Microsoft via 0800 ou web.

      Marcelo

  18. Paulo Mourão 05/12/2012 às 13:39

    Boas
    Marcelo
    Estou com um problema, segui todos os passos neste tuturial e a gpo aplica bem nos windows xp, mas não aplica nos windows seven.
    Inclusive já mudei o AD para o nivel funcional windows 2008 e nada.
    Pretendia instalar o mesmo software em todos os postos de trabalho, mas ele só instala nos win xp.
    Curioso é que nessa GPO tenho a pagina inicial do IE configurada e aí ela aplica a todos os PC’s.

    Se me poderes ajudar desde já obrigado.

    Cumps.
    Paulo Mourão

    • marcelomatias 17/04/2013 às 15:28

      Paulo, se o problema for apenas com instalação do software recomendo que você o teste diretamente no Windows 7 para ver se não há problemas de compatibilidade.

      Fora isso não vejo problemas no gerenciamento de GPOs nesse cenário.

      Marcelo

  19. Ricardo 19/12/2012 às 10:45

    Qual o nível funcional do domínio e floresta que tem que estar?

    • marcelomatias 19/12/2012 às 14:44

      Ricardo, isso é independente do nível funcional.

      • Ricardo 19/12/2012 às 15:01

        o nível da minha floresta é 2000. e a opção “Administrative Templates: Policy Definitions (ADMX files) retrieved from a central store” no gerenciamento pelo Windows 7 não aparece. Isso que estou achando estranho.

  20. Rafael Bashiyo 17/04/2013 às 10:44

    Marcelo,muito obrigado pelo tópico. Voce pode me ajudar numa situacao?
    Entao, eu tenho meus logins no servidor, o de usuario e o de computador, e meu ambiente atual é Windows xp. Meu script (.vbs) está totalmente funcional no windows xp, porém, no windows 7, não está funcionando, tipo, ele está executando os mapeamentos de rede, permissões, porém, no script(startup) não faz algumas funcoes, por exemplo, tem a função que imputa mover o domain\users para domain\power user local, ele não está realizando isto; também tem instâncias de registro de ODBC , que não está registrando… no windows xp, processa, no 7, não… defini também, para bloquear o item PAINEL DE CONTROLE, via esta GPO, mas, nada, nao bloqueia, continua mostrando, e os registro de dll, ocx, que estão no meu script, também não está registrando, tendo visto que é o startup, normalmente ele executa com perfil administrador…. Poderia dar uma “iluminada” ?
    Obrigado

    Rafael Bashiyo

    • marcelomatias 17/04/2013 às 12:37

      Rafael, se for contexto de script de usuário (quando o usuário faz logon) o correto (a partir do Windows Vista) é restringir as ações que precisam de acesso administrativo.

      Se for contexto de script de máquina (executado quando a máquina é ligada) teoricamente não deveria ocorrer problema algum, pois executa como sistema.

      • Rafael Bashiyo 17/04/2013 às 13:44

        Então, é script de sistema, no nível no qual o sistema puxa quando a estação é ligada antes de cair no logon user, que é o meu startup script… o logon script este sim eu coloco pra rodar e só roda via grupo que tenha acesso admin, mas nao é o caso…. isto que estou achando ultra-estranho…

      • marcelomatias 17/04/2013 às 15:14

        Para algumas das ações que você realiza atualmente via script (ODBC, manipulação de grupos locais) eu recomendo que você use Group Policy Preferences.

        Como aposentar (ou ao menos reduzir) o uso de script de logon
        https://marcelomatias.wordpress.com/2011/07/27/conheca-group-policy-preferences/

        Para os demais itens, só pra esclarecer, algumas dentro do mesmo script algumas ações funcionam e outras não? Ou nada está funcionando do script de maquina?

        Marcelo

  21. Rafael Bashiyo 17/04/2013 às 15:54

    Mais facil eu postar o pedaço que ultimamente não funciona rs rs rs
    Olha:
    ‘ FUNÇÃO PARA REGISTRAR DLLs
    Public Sub RegDlls()

    On Error Resume Next

    Dim folder, file, files, ext
    Dim dll_dir

    Set folder = objFSO.GetFolder(dll_dir)
    Set files = folder.files
    For each file in files
    ext = UCase(Right (file,3))
    If ext = “DLL” Then
    comando = “regsvr32 /s ” & dll_dir & file.name
    executa(comando)
    End If
    Next

    Set folder = Nothing
    Set files = Nothing

    End Sub

    Este tb, por exemplo:

    #### Adiciona o “xptol\Domain Users” no grupo “Power Users” local ####
    Set objGroup = GetObject(“WinNT://” & “.” & “/power users,group”)
    ‘ Set objUser = GetObject(“WinNT://” & “xpto” & “/domain users,group”)
    Set objUser = GetObject(“WinNT://” & “SA” & “/domain users,group”)
    objGroup.Add(objUser.ADsPath)
    ‘ objGroup.remove(objUser.ADsPath)

    • marcelomatias 18/04/2013 às 09:38

      Rafael, para manipulação de grupos locais vale mais a pena usar Group Policy Preferences, que funciona a partir do Windows XP.

      Para o registro das DLLs sugiro que você mude a sintaxe para capturar o resultado do comando em arquivo .TXT, para ver qual a mensagem de erro.

      • Rafael Bashiyo 18/04/2013 às 10:03

        Isto mesmo marcelao, legal….nele eu consigo designar, tipo, porque também quero eliminar este script chato que estou herdando como administrador aqui desde 2009 rs, no GPP consigo tipo, o mapeamento eu vi que dá pra fazer, mas, o mapeamento por departamental? Tipo, igual no comando um SE o usuário for x do departamento x entao mapeie \\xpto\b , \\xptb, e permita x y z ….

      • marcelomatias 22/04/2013 às 13:14

        Sim, você pode nas propriedades da tela de novo mapeamento, clicar na guia “Common”, clicar no botão “Targeting” e definir os condicionais para cada mapeamento (ex.: mapear tal pasta se o usuário fizer parte do grupo de segurança no AD chamado contoso\financeiro)

  22. Leonardo S. de Lima 09/07/2013 às 15:41

    Dá para trazer as features do Windows 8 para o Windows 2003 R2, assim como no Windows 7, foi feito?

  23. Brunno Franklin 10/04/2014 às 20:32

    Marcelo, tenho um AD 2003 com máquinas XP e Win7 pro. As XP executam normalmente scripts vbs vinculados a GPO´s de OU´s, e algumas Win7 pro também, mapeando impressoras e gerando atalhos na área de trabalho dos usuários para pastas compartilhadas no Win Server 2003. Porém, nas máquinas Win7 Pro restantes, os scripts não são executados, não gerando os mapeamentos às impressoras e nem os atalhos. O que será que está acontecendo?

    • marcelomatias 11/04/2014 às 21:03

      Você pode verificar em algum dos PCs se tem alguma GPO que deveria ter sido aplicada mas que por algum motivo não foi. Se parte dos PCs com Windows 7 está executando corretamente eu acredito que não seja problema com o script.

      Recomendo esse artigo adicional https://marcelomatias.wordpress.com/2011/07/27/conheca-group-policy-preferences/

      • Brunno Franklin 12/04/2014 às 08:15

        Grande Marcelo, muito obrigado pela disposição em me ajudar. Consegui encontrar a causa do problema. As máquinas que não rodavam o script possuem processadores de 64 bits, nas quais havia instalado o Win 7 Pro de 32 bits. Quando reinstalei o sistema operacional, desta vez em sua versão de 64 bits, os scripts rodaram normalmente. Apenas as impressoras passaram a não ser mapeadas, mas neste caso, resolvi instalando os drivers de 64 bits no Server AD 2003 das respectivas impressoras. Só não consigo entender o porquê que o fato de ser 32/64 bits influencia na execução da parte do script que apenas gera atalhos na área de trabalho dos usuários.

      • marcelomatias 17/04/2014 às 21:08

        Fico feliz que tenha funcionado, mas sendo apenas scripts gravando atalho no perfil dos usuários eu não vejo a princípio motivo para esse problema. Eu todo caso veja o artigo que citei sobre Preferências de Diretiva de Grupo para aposentar um pouco o uso de script de logon.

  24. Edson 05/01/2015 às 14:41

    Marcelo, boa tarde!
    MEU ad É 2003 e as estações W7, utilizo a console do W7 para gerenciar as policitacas de grupo. Criei um GPO para atualizar algumas ODBCs (Conf. Computador – Preferencia – Conf Painel de Controle – Fonte de Dados), mas não está sendo aplicadas nas estações. No Servidor (2003) nas configurações do GPO mostra no “No settings defined)

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: