Faaala galera, 100%?!

Não é segredo que sou fã de Active Directory, certo?! Por consequência, e proximidade de uso, também gosto muito de Politicas de Grupo, as famosas GPOs. Com as diversas funções e possibilidade que o mundo “Windows Server” proporciona essas são as que mais me chama a atenção!

Nada mais justo do que falar um pouco mais sobre, right?!?! Hoje o tema será em torno das tão queridas GPOs.

Eu costumo dizer que grande parte dos administradores usa ai, estourando, 20% do poder das GPOs, e garanto que estão satisfeitos. As políticas de grupo são ferramentas poderosas para administração de redes, elas entregam flexibilidade e poder ao adm de redes, além de economizar algumas horas de configurações manuais. O processo para utilização não é complexo, geralmente logo após a configuração do AD o segundo passo é trabalhar as GPOs.

Já sabemos que cada GPO possui configurações específicas que podem ser aplicadas a computadores, grupos ou usuários. Como elas são processadas (a sequencia e prioridades) já foi tratado aqui, se tiver alguma dúvida, corre lá antes de continuar a leitura.

Prosseguindo, a configuração em si é simples, alguns cliques e tudo estará funcionando. Em ambientes pequenos, na maior parte dos casos, usam poucas políticas e isso é o suficiente. A coisa começa a mudar a medida que o ambiente aumenta, políticas cada vez mais específicas são solicitadas e as ideias começam a faltar. O cenário típico é encontrar um AD repleto de GPOs, espalhadas pela estrutura de OUs, com várias sobreposições e nada de funcionalidade.

Como o título do artigo propões, partiremos para processos de Refinar nossas políticas e com isso ter melhores condições de gerenciamento e também desempenho.

Imagine a seguinte situação: Todos os usuários da OU “Vendas” que possuam computador com mais de 2gb de RAM e mais de 10gb de espaço livro no C:, devem ter uma pasta em sua área de trabalho.

E AGORA, JOSÉ?!?!

O comum é ver o adm de redes criar uma nova OU, mover os usuários para esta e aplicar a GPO específica a tal OU. O lance é que isso onera o custo administrativo, são mais cliques, mais tempo gasto e um AD “embolado”. Para resolver a demanda solicitada, poderíamos utilizar os filtros WMI (se perdeu o artigo sobre filtros WMI acesse logo pra fazer sentido pra você). Então, existe uma opção chamada de “Item-Level Targeting” ou apenas ILT que possibilita a filtragem das GPOs de forma muito mais tranquila do que usando os filtros WMI. Nada contra esses caras mas eu prefiro otimizar meu tempo e as opções da ILT são super interessantes, e o melhor de tudo, TUDO VIA GUI! Let’s rock, then \,,/

Basicamente o Item-Level Targeting são filtros WMI otimizados, assim por dizer. Toda a configuração é realizada via interface gráfica. O processamento exigido para esses caras é muito menor do que um WMI Filter. Existe também a possibilidade de realizar testes lógicos como “AND”, “OR” “NOTs” deixando tudo muito mais flexível.

Vamos a parte que interessa…como configurar isso?
Essa opção está disponível apenas para as Preferencias (GPP) de computador e usuário. Após selecionar a configuração, clique na aba “Common” > “Item-Level Targeting” e logo depois no botão “Targeting”.

Depois disso ai estaremos na tela principal de configuração do ILT. Nela conseguiremos selecionar os tipos de filtro e os operadores lógicos. Clicando em “New-Item” uma série de opções serão exibidas, todas com suas particularidades.

Seguindo nossa demanda, precisamos determinar que todos os usuários que tenham mais de 2GB de RAM e mais de 10GB livre no C: sejam alvo desta política….vamos então selecionar ambos e configurar de acordo com o pedido. Teremos no final o seguinte:

Feito isso, basta linkar na OU desejada e pronto…os filtros serão levados em conta antes da aplicação das políticas.

É algo bem simples, que pode a com toda certeza ajuda bastante no gerenciamento da rede e principalmente a atender todas as demandas do cliente (interno ou externo).

É isso aeeee…espero que ajude! Grande abraço \,,/