Tutorial BÁsico De Gerenciamento De PermissÕes De Diretivas De Grupo Do Windows TUTORIAL BÁSICO DE GERENCIAMENTO DE PERMISSÕES DE DIRETIVAS DE GRUPO DO WINDOWS .: INTRODUÇÃO O Sistema Operacional Windows possui um aplicativo interno de Diretivas ou Configurações de Grupo da máquina e/ou do usuário. O que seria isso? Existem aquelas configurações que você não gostaria que fossem alteradas pelos outros usuários, desde aquelas mais simples (como alterar o Papel de Parede) até alterações avançadas (como alterar dados das unidades de disco ou alterar o caminho de alguma pasta, configurar, reinstalar ou excluir impressoras, etc). Muitas destas permissões já são pré-definidas quando, no cadastro do usuário, declaramos a qual grupo de usuários os candidatos serão inseridos: Administradores, Usuários (limitados), Usuários Avançados, Usuários de um Domínio de Rede ou definir um tipo de usuário específico, atribuindo o que este grupo tem permissão ou de não de fazer. Porém, há configurações que são do tipo default (padrão) para todos, por exemplo: qualquer usuário pode alterar as configurações da Área de Trabalho, da Impressora, Proteção de Tela. Uma solução para isto seria entrar diretamente no registro do Windows e alterar os valores das chaves de controle. Porém, nem todo mundo tem conhecimento sobre isto e também é um tanto arriscado mexer com o Registro, justamente porque nele é que estão todas as configurações básicas-internas do Sistema Operacional. Uma alteração mal-feita ou até mesmo sem intenção, poderá impedir o acesso ao Sistema Operacional, sendo necessária uma restauração ou reinstalação do mesmo. Figura01: Tela do Regidtro do Windows Quem quiser se aprofundar mais sobre o Registro do Windows, recomendo o Livro Desvendando e Dominando o Registro do Windows, dos autores R.G.P. Costa & S.F. Ribeiro (busca de preços deste livro AQUI) Como dito antes, o Windows nas versões 2000 e superiores (com exceção da versão XPHome) possui o aplicativo de controle das Diretivas de Grupo. Este faz uma ponte direta e “visual” entre o Registro do Windows e o Usuário, facilitando a administração da máquina. Pessoalmente, eu recomendo o uso das Diretivas de Grupo do Windows unicamente para máquinas isoladas de rede ou redes que não estejam sobre um Domínio. No Domínio de Rede, o Administrador de Rede tem total liberdade sobre as máquinas interligadas no Domínio, impedindo exatamente o que ele quer para TODAS as máquinas do Domínio. Porém, nada impede que você, mesmo estando inserido num Domínio, proteja as alterações na sua máquina, desde você tenha permissão e direitos de Administrador. .: NOTAS [n1] - este tutorial surgiu da dúvida de um amigo meu (Lucas) que utiliza um software de gerenciamento de Lan-House que faz exatamente o papel da Diretiva de Grupo do Windows, porém, com opções limitadas. (valeu Lucas pelo incentivo!!). Partiiu da seguinte dúvida: como fazer com que o usuário não altere, definitivamente, o papel de parede do windows? [n2] - as imagens aqui presentes foram capturadas do Sistema Operacional WindowsXP Professional. Portanto, se você for utilizar em algum outro Sistema Operacional, algumas coisas poderão mudar. [n3] - como o Editor das Diretivas de Grupos do Windows faz a ponte entre o Registro do Windows e o Usuário, é MUITO IMPORTANTE saber o que está fazendo e ANOTAR o que você fez, para poder depois saber reverter. Digo isto porque todas as configurações alteradas valerão para TODOS OS GRUPOS DE USUÁRIOS, inclusive os administradores. [n4] - sempre é bom fazer um backup dos dados e do Sistema Operacional como um todo, para não ter risco de perder-se no meio do caminho e não ter como mais voltar, a não ser pela reinstalação do sistema e dos aplicativos. Sempre indico o uso do software Norton Ghost que faz uma cópia fiel do seu disco e/ou partição, para que, em caso de algum problema onde não consiga mais voltar, possa desfazer o que fez. .: O GPEDIT O Editor das Diretivas de Grupo do Windows é chamado de GPEDIT.MSC. Podemos ter acesso à ele várias maneiras: 1. Iniciar > Executar > Digite GPEDIT.MSC > clique em OK; 2. Localizando o arquivo diretamente pelo Explorer do Windows. Ele se encontra na pasta X:\Windows\System32\GPEdit.msc (onde ‘X’ é a letra da sua unidade de disco onde esteá instalado o S.O.); Figura03: Localização do GPEdit através do Explorer As configurações de diretiva de grupo definem os vários componentes do ambiente de área de trabalho do usuário que o administrador do sistema precisa gerenciar, por exemplo, os programas que estão disponíveis para usuários, os programas que aparecem na área de trabalho do usuário e as opções do menu Iniciar. A diretiva de grupo se aplica não apenas a usuários e computadores clientes, mas também a servidores membros, a controladores de domínio, e a qualquer computador com o Windows 2000 dentro do escopo de gerenciamento. Por padrão, a diretiva de grupo aplicada a um domínio afetará todos os computadores e usuários no domínio. Figura04: A Tela do GPEdit A diretiva de grupo inclui as configurações de diretiva para Configuração do usuário, as quais afetam os usuários, e para Configuração do computador, as quais afetam os computadores. Ao usar a diretiva de grupo e suas extensões, você poderá: - Gerenciar a diretiva baseada no Registro com modelos administrativos. A diretiva de grupo cria um arquivo que contém as configurações do Registro gravadas na parte de máquina local ou de usuário do banco de dados do Registro. As configurações de perfil de usuário específicas a um usuário que faz logon em uma determinada estação de trabalho ou servidor são gravadas no Registro em HKEY_CURRENT_USER e as configurações específicas do computador são gravadas em HKEY_LOCAL_MACHINE. - Atribuir scripts. Inclui scripts como inicialização do computador, desligamento, logon e logoff. - Redirecionar pastas. É possível redirecionar pastas, como Meus documentos e Minhas imagens, a partir da pasta Documents and Settings no computador local para locais de rede. - Gerenciar aplicativos. Com a diretiva de grupo, é possível atribuir, publicar, atualizar ou reparar aplicativos usando a extensão de instalação de software. - Especificar opções de segurança. Neste tutorial (que já está começando a ficar bem logo, eu admito!!), vamos fazer duas ou três alterações simples. A intenção deste não é de tornar ninguém expert, mas de dar os primeiros passos no gerenciamento do PC. Por isso, vamos nos concentrar unicamente nos itens de Configuração do Usuário. .: PROIBIR O ACESSO AO PAINEL DE CONTROLE Você pode impedir que algum usuário faça alterações no Painel de Controle do SO. Neste caso, o usuário não terá acesso pelo ícone Iniciar > Configurações > Painel de Controle, nem se ele digitar o prompt ‘Control’ em Iniciar Executar. Figura05: GPedit - Painel de Controle Para fazer a alteração: 01. Abra Configuração do Usuário (clique no [+]); 02. Abra Modelos Administrativos; 03. Painel de Controle. No lado direito da tela, você verá o ícone ‘Proibir acesso ao Painel de Controle’. Clique duas vezes nele e marque a opção ‘Ativado’, como mostra a tela. Pronto, basta confirmar com OK e tentar acessar o Painel de Controle. Caso o usuário tente abrir o Painel de Controle, aparecerá uma mensagem de erro como a seguinte: .: PROIBIR QUE USUÁRIO LOCAL OU DA REDE ALTERE O PAPEL DE PAREDE Você pode impedir que algum usuário local ou da rede altere o Papel de Parede. Excelente para Lan-House!! Para isto, o Active Desktop do Windows terá que ser ativado permanentemente. 01. Configurações de Usuários; 02. Modelos Administrativos; 03. Área de Trabalho; 04. Active Desktop; 05. do lado direito, Ativar Active Desktop; 06. abra o item e selecione ‘Ativado’ e OK; 07. do lado direito, Papel de Parede do Active Desktop. 08. nesta tela, você poderá definir qual o caminho local ou da rede onde está localizado o arquivo para exibição do Papel de Parede, bem como Estilo do papel: centralizado, ampliado, etc. Se for local, toda vez que o SO inicializar, ele carregará o arquivo e não permitirá que o usuário o troque, nem diretamente nas Propriedades de vídeo, nem pelo item 'Definir como plano de fundo da Área de Trabalho'. Se for um local de rede, e no momento da inicialiação do terminal, o arquivo não for localizado, não será carregado nenhum papel de parede. .:FINALIZAÇÃO Bom, como eu disse, não é um Manual, mas um simples Tutorial. Basta que você dê uma estudada nos itens presente no GPEdit e vá testando aquilo que você quer. Só teria mais 03 dicas para dar: Dica01. Se você tiver alguma dúvida com o GPEdit ou com qualquer outro software, procure primeiramente na Ajuda ou Help do Programa. Ela tem bastante coisa útil. Dica02. Se vc tiver alguma dúvida sobre o que cada item faz, basta dar uma olhada na aba 'Explicar' presente em cada caixa (conforme Figura09). Dica03. Para desfazer o que você fez, basta abrir o(s) item(ns) que você ativou e deixar como 'Desativado' ou 'Não Configurado'. Com o GPEdit você pode fazer muita coisa: - esconder e/ou proibir acesso a unidades e programas; - definir itens personalizados para toda a rede; - restringir alterações nas configurações básicas e/ou avançadas, etc.