Segue o link para consulta:

http://kudratsapaev.blogspot.com/2009/07/loopback-processing-of-group-policy.html

[]s
Tiago Souza

http://www.linhadecodigo.com.br/artigo/2866/Artigo.aspx?id=2866

[]s
Tiago Souza

Esse primeiro documento que estou disponibilizando aqui faz parte dessa série, e trata-se como eu disse acima sobre GPOs.

Para fazer o download clique no link abaixo.

Para quem quiser ler aqui no blog todo o documento clique em CONTINUE READING.

Guia de resolução de problemas com Group Policy

Um dos maiores topicos dentro do Forum do TechNet Brasil (www.microsoft.com/brasil/technet) refere-se a Group Policy, ou mais conhecido como políticas de grupo. Mas o que é isso?

A Group Policy permite controlar praticamente tudo em um desktop ou servidor membro. Ela fornece configurações automatizadas e são totalmente dependentes do Active Directory. Existem algumas implementações de Group Policy com ambientes Linux, mas no caso de ambientes Microsoft elas podem ser aplicaveis a aclientes windows 2000 em diante.

O que é importante ao tentar resolver um problema com Group Policy? Existem alguns passos iniciais que eu indico:

1. DNS – como sempre DNS é tudo no Active Directory. Isto significa que:
   1. A estação deve apontar OBRIGATORIAMENTE  seu IP de DNS para o servidor DNS utilizado pelo Active Directory. NUNCA aponte para o seu DNS de internet
   2. O DNS do Active Directory deve ter obrigatoriamente 4 registros SRV na zona DNS: _MSDCS, _SITES, _TCP e _UDP.
   3. Bloqueio de portas – existem algumas portas que devem ser liberadas para que a autenticação entre a estação/servidor e o Domain Controller ocorra sem nenhum problema. Como testar? Simples: PortQRYUI (Port Query). Esta ferramenta grafica possui as queries prontas para pesquisa de dominio, etc. Excelente para detectar qual porta TCP/UDP esta bloqueada ou não.
      1. Link para download: http://www.microsoft.com/downloads/details.aspx?familyid=8355e537-1ea6-4569-aabb-f248f4bd91d0&displaylang=en
      2. Bloqueio de ICMP – Importantíssimo, pois as estações Windows XP e Windows 2000 utilizam pacotes ICMP para detectar a velocidade do link. Dependendo da velocidade alguns itens da GPO podem ser bloqueados, pois o Windows acha que esta passando por um link lento. A forma utilizada para detectar a velocidade é atraves do PING, portanto nunca bloqueie ICMP nos seus switchs e roteadores internos. O Windows Vista e o Windows 7 utilizam outro mecanismo para detectar a velocidade e não dependem do ICMP. Em todo caso lembre-se que algumas ferramentas de gerenciamento de desktops e de antivirus costumam utilizar ICMP, portanto pense bem se vale a pena ou não bloquear este tipo de pacote internamente.

Para facilitar selecionei varios links, alguns em portugues e outros em ingles. São links com materiais muito bons para resolver problemas de GPO.

• Seu guia para a solução de problemas de Diretiva de Grupo
  • Este artigo veio da TechNet Magazine e esta totalmente traduzido em portugues
  • link: http://technet.microsoft.com/pt-br/magazine/2007.02.troubleshooting.aspx

• Grupo política verificação solucionando – Básico e Avançado
  • Artigo do suporte da Microsoft e aborda as verificações basicas
  • link: http://support.microsoft.com/kb/555982/pt-br

• Solucionando problemas de aplicativos da Diretiva de grupo
  • Artigo do suporte da Microsoft que aborda problemas com processamento de diretivas de grupo em clientes Windows 2000. Tambem serve como parametro para estações Windows XP
  • link: http://support.microsoft.com/kb/250842/pt-br

• Troubleshooting Group Policy Using Event Logs
  • Aprenda a ler o Event Viewer para solucionar problemas com Group Policy
  • link: http://technet.microsoft.com/pt-br/library/cc749336(WS.10).aspx

• Group Policy – Parte 1, 2 e 3
  • Videos publicados no TechNet Brasil e que explicam todo o funcionamento da Group Policy.
  • link: http://technet.microsoft.com/pt-br/dd553033.aspx

• GPO Troubleshooting FAQ
  • Guia extraido do site GPOGUY.COM contendo as informações basicas para resolver problemas com GPO
  • link: http://www.gpoguy.com/FAQs/Whitepapers/tabid/63/articleType/ArticleView/articleId/2/GPO-Troubleshooting-FAQ.aspx

• Utilitarios gratuitos para Group Policy
  • Existem algumas ferramentas gratuitas para Group Policy no site do GPOGUY.COM e que auxiliam muito no dia a dia de uma administração de rede. Confira no link abaixo:
  • link: http://www.gpoguy.com/Free-GPOGuy-Tools.aspx

• Videos de treinamento em GPO
  • Mais alguns videos curtos de treinamento em Group Policy, extraidos do site GPOGUY.COM
  • link: http://www.gpoguy.com/Group-Policy-Video-Training.aspx

• Duvidas comuns em GPOs
  • Esta thread estava no site do Mark Minasi (autor do Windows 2000 -  a Biblia) e achei bem pertinente
  • link: http://web2.minasi.com/forum/topic.asp?TOPIC_ID=2975

• Blog sobre Group Policy
  • Segue um blog bem interessante especializado apenas em Group Policy
  • link: http://gpfaq.se/

• TechNet Experience
  • O Experience de Suporte Nivel 1 aborda dentro dos seus topicos a parte de Group Policy.
  • link: https://www.technetbrasil.com.br/experience/Suporte1/Home.aspx

Alem destes links tem meu CD de treinamento em Group Policy , para que voce possa conhecer mais detalhes sobre como funciona esta tecnologia:

CD de Treinamento de Group Policy no Windows Server 2003

Autor: Fabio Hara

Link: http://shop.linhadecodigo.com.br/treinamento.asp?id=2837

[]´s

Fabio Hara

Um dos primeiros MVPs (Most Valuable Professional) de infra-estrutura do Brasil, além de MCTS, MCITP, MCSA, MCSE, MCITP e MCT, com mais de 14 anos de experiência no mercado de infra-estrutura de redes Microsoft. Atuou em muitos cases da Microsoft e hoje ocupa a posição de Especialista em Infra-estrutura e Virtualização no time do TechNet Brasil. Sua missão é contribuir com os profissionais e comunidades de IT Pros a explorar as funcionalidades e recursos da plataforma Microsoft.

Blog: http://fabiohara.spaces.live.com

Twitter: http://Twitter.com/fabiohara

[]s
Tiago Souza

Como impedir múltiplos logons em uma rede com Active Directory

1. Introdução

O processo que vamos descrever aborda como impedir que o usuário possa se logar em mais de uma estação de trabalho com o mesmo login de rede do domínio.

Não se trata do recurso do Active Directory (Fig1) onde podemos limitar o login a uma ou mais estações, pois nesse caso o bloqueio fica limitado a uma lista pré-definida de máquinas (Fig2). A grande desvantagem é que caso seja necessária a troca de máquinas, geraria trabalho manual para o administrador de rede, que teria que alterar a lista a cada vez que isso acontecesse.

Fig1 – Propriedade de Account do Active Directory

Fig2 – Lista com computadores

Esse documento tem como finalidade explicar como limitar mais de um login em qualquer máquina da rede de forma automática, não havendo necessidade de associar determinada máquina a um usuário específico. Para isso vamos utilizar o Active Directory, GPOs (Group Policiy Objects), Scripts de Logon e Logoff e banco de dados SQL Express.

2. Pré-requisitos

• Active Directory com domínio previamente configurado
• Estações Windows 2000 ou superior

• SQL Express (ferramenta gratuita, podendo ser instalada no mesmo servidor que hospeda o Active Directory. Em nosso exemplo trabalhamos com a versão 2005)
• GPMC (Group Policy Management Console – ferramenta gratuita para edição de políticas de grupo)

3. Scripts de Logon, Logoff e SQL

Para baixar os scripts de Logon, Logoff e SQL, clique no link abaixo. Os scripts estão comentados para facilitar o entendimento.

Scripts.Zip

Nos scripts login.vbs e logoff.vbs, onde aparece a string de conexão com o banco de dados, será preciso trocar os *** pelos dados reais de seu ambiente.

String de Conexão

“Provider=SQLOLEDB.1; Password=***;Persist Security Info=True;User ID=***;Initial Catalog=LOGON;Data Source=***”

User ID = Usuário com permissão no banco de dados

Password = Senha do usuário configurado no campo User ID
Data Source = Nome do servidor ( Geralmente MAQUINA\SQLEXPRESS onde MAQUINA é o nome do servidor onde foi instalado o SQL Express )

4. Compartilhando os Scripts

Vamos trabalhar com dois vbscripts, um de Logon e outro de Logoff. Eles devem ficar em um local da rede que o usuário tenha acesso de execução, para isso sugerimos manter o padrão do Active Directory e utilizar o NETLOGON para esse fim.

5. Criação das GPOs

Vamos iniciar pela criação das GPOs com os scripts de Logon e Logoff. Para realizar este procedimento iremos utilizar o console de edição de políticas GPMC (Group Policy Management Console).

1 – Vamos abrir o GPMC para criarmos e editarmos nossa policie de scripts de logon e logoff. Clique em start > run > e digite “gpmc.msc” (sem as aspas)

2 – Vamos escolher em qual Unidade Organizacional vamos linkar a policy, clicamos com o botão direito em cima dela e selecionamos a opção “Create and Link a GPO Here…”

3 – Com o editor de policies aberto vamos expandir: User Configuration > Windows Settings > selecionar Scripts (Logon/Logoff)

4 – Vamos iniciar dando um duplo clique em Logon. A janela de configuração irá se abrir e vamos clicar em Add e passar o caminho do compartilhamento criado no NETLOGON, no nosso exemplo \\SC-0000001\NETLOGON\LogonUnico\Login.vbs

5 – Vamos agora abrir o Logoff e fazer o mesmo procedimento, só que agora buscando o script de logoff no mesmo compartilhamento \\SC-0000001\NETLOGON\LogonUnico\Logoff.vbs

6 – Pronto, a política já está criada. Podemos forçar sua execução com o comando “gpupdate /force”.

6. SQL Express

 O controle dos usuários logados é feito através de um registro incluído no banco de dados assim que ele efetua o logon (login.vbs).
Será necessário:

- Instalar o SQL Express

- Criar um banco de dados e nomeá-lo como LOGON

- Criar a tabela USUARIOS ( LogonUnico.sql )

Banco e ferramentas de administração podem ser encontrados nos links abaixo:

• SQL Server 2005 Express Edition
  http://download.microsoft.com/download/F/4/E/F4EE8AE2-4979-47F0-A931-791B2B7DCFA2/SQLEXPR32_PTB.EXE
• SQL Server Management Studio Express
  http://go.microsoft.com/fwlink/?linkid=65110
• SQL Server 2005 Express Edition with Advanced Services
  http://go.microsoft.com/fwlink/?linkid=65109

7. Resolução de problemas

O único problema encontrado foi nas sessões de terminal services. Quando há queda ou congelamento da sessão não é executado o logoff que por sua vez não limpa o registro do usuário na base.

Para limpar o registro manualmente execute no SQL um dos seguintes comandos:

/* DELETANDO REGISTRO POR USUARIO */

DECLARE @USUARIO VARCHAR(30)

SET @USUARIO = ‘USUARIO’ — COLOQUE O NOME DO USUARIO AQUI

DELETE FROM DBO.USUARIOS WHERE USUARIO = @USUARIO

/* DELETANDO REGISTRO POR MAQUINA */

DECLARE @MAQUINA VARCHAR(30)

SET @MAQUINA = ‘MAQUINA’ — COLOQUE O NOME DA MAQUINA AQUI

DELETE FROM DBO.USUARIOS WHERE MAQUINA = @MAQUINA

/* DELETANDO TODOS OS REGISTROS */

DELETE FROM DBO.USUARIOS

8. Conclusão

O procedimento adotado nesse documento é uma alternativa simples aos softwares de mercado, pagos ou não, como LimitLogin da própria Microsoft. Não existe ferramenta de monitoria, ficando a manutenção e melhoria do processo por conta de cada administrador.

Autores:

Tiago Vieira Ferreira de Souza é idealizador do site Portal Tecnologia, atua desde 2004 como Administrador de Redes, com foco em tecnologias Microsot. Formado em Tecnologia em Redes de Computadores, MCP Windows Server 2003, MCTS Windows Vista.
Site: http://www.portaltecnologia.net/
E-mail: contato@tiagosouza.net

Marcelo Ramos Borges de Oliveira é MCP na plataforma .NET desde 2007, atua a aproximadamente 10 anos no mercado de TI. Atualmente é Gerente de TI em empresa de médio porte com foco em Desenvolvimento Web.
Site: http://www.marceloramos.net/Blog
E-mail: mramos.oliveira@gmail.com

BAIXE EM PDF

A ferramenta é a já conhecida BPA (Bast Pratice Analyser), a mesma que existe pra Exchange, etc.

Segue os links citados lá:

- Onde Baixar
- Como Usar

–
Tiago Souza