Pular para o conteúdo principal

Active Directory - Distribuindo Impressoras via GPO

 

Distribuindo Impressoras via GPO e Configurando Corretamente o Filtro de Segurança


Gerenciar impressoras em uma rede corporativa pode ser um verdadeiro desafio. Distribuir drivers, configurar portas e garantir que todos os computadores tenham acesso aos recursos de impressão certos, especialmente em ambientes maiores, pode consumir muito tempo. A boa notícia é que as Políticas de Grupo (GPO) do Windows Server podem automatizar esse processo, tornando a vida do administrador de TI muito mais fácil.

A distribuição de impressoras compartilhadas através de Objetos de Política de Grupo (GPOs) é uma prática fundamental para administradores de redes Windows, permitindo um gerenciamento centralizado e eficiente dos recursos de impressão. Este guia detalha o processo e esclarece uma dúvida comum: o funcionamento do filtro de segurança, uma ferramenta poderosa para controlar a aplicação dessas políticas.

Como Distribuir Impressoras Compartilhadas por GPO

O método mais comum e flexível para distribuir impressoras via GPO é utilizando as Preferências de Política de Grupo (Group Policy Preferences - GPP). Siga os passos abaixo:

  1. Abra o Gerenciamento de Política de Grupo: Em um controlador de domínio, acesse o console gpmc.msc.

  2. Crie ou Edite uma GPO: Você pode criar uma nova GPO e vinculá-la a uma Unidade Organizacional (UO) que contenha os usuários ou computadores que receberão a impressora, ou editar uma GPO existente.

  3. Navegue até as Preferências de Impressora: Na GPO que você está editando, siga um dos seguintes caminhos:

    • Para aplicar a impressora por usuário: Configuração do Usuário > Preferências > Configurações do Painel de controle > Impressoras

    • Para aplicar a impressora por computador: Configuração do Computador > Preferências > Configurações do Painel de controle > Impressoras

  4. Adicione uma Nova Impressora Compartilhada:

    • Clique com o botão direito em "Impressoras", selecione Novo > Impressora Compartilhada.

    • Ações: Criar

    • No campo "Caminho do compartilhamento", insira o caminho da impressora compartilhada no formato \\NomeDoServidor\NomeDoCompartilhamentoDaImpressora.

    • Você pode marcar a opção "Definir esta impressora como a impressora padrão" se desejar.

  5. Configure as Opções Comuns: Na aba "Comum", você encontrará opções importantes, como "Executar no contexto de segurança do usuário conectado" e "Direcionamento em nível de item". O direcionamento permite um controle ainda mais granular, aplicando a impressora com base em critérios como intervalo de endereços IP, nome do computador, etc.

  6. Vincule e Aplique a GPO: Certifique-se de que a GPO está vinculada à UO correta. A política será aplicada no próximo ciclo de atualização da política de grupo nos computadores clientes ou quando os usuários fizerem logon.

  7. Observação: Lembre-se que o usuário tem que estar com permissão na impressora compartilhada (Aba segurança da impressora, com permissão de imprimir).

Desvendando o Filtro de Segurança da GPO

O filtro de segurança é o mecanismo que determina quem (quais usuários e computadores) será afetado por uma GPO. Por padrão, uma nova GPO é aplicada a todos os "Usuários Autenticados". No entanto, na maioria dos cenários, você desejará que políticas específicas, como a instalação de uma impressora de um determinado setor, se apliquem apenas a um grupo restrito de pessoas. É aqui que o filtro de segurança se torna essencial.

Como Funciona:

O filtro de segurança de uma GPO é, na essência, uma Lista de Controle de Acesso (ACL - Access Control List). Para que uma GPO seja aplicada a um usuário ou computador, a entidade deve ter as permissões de "Leitura" e "Aplicar política de grupo" na GPO.

Cenário Prático com Filtro de Segurança:

Imagine que você deseja instalar a impressora "HP_FINANCEIRO" apenas para os membros do grupo de segurança "Financeiro".

  1. Crie um Grupo de Segurança: No "Usuários e Computadores do Active Directory", crie um grupo de segurança chamado "Financeiro" e adicione os usuários pertinentes a este grupo.

  2. Ajuste o Filtro de Segurança na GPO da Impressora:

    • No console de Gerenciamento de Política de Grupo, selecione a GPO que você criou para a impressora do financeiro.

    • Na aba "Escopo", localize a seção "Filtragem de Segurança".

    • Por padrão, você verá o grupo "Usuários Autenticados". Remova este grupo clicando sobre ele e selecionando "Remover".

    • Clique em "Adicionar..." e digite "Financeiro" (ou o nome do seu grupo). Clique em "Verificar Nomes" e depois em "OK".

O Resultado:

Após essa alteração, a GPO que instala a impressora "HP_FINANCEIRO" só será processada e aplicada aos usuários que são membros do grupo de segurança "Financeiro". Todos os outros usuários e computadores na UO onde a GPO está vinculada irão ignorá-la.

Ponto de Atenção Importante:

Desde uma atualização de segurança da Microsoft (MS16-072), o contexto de segurança do computador também é considerado ao aplicar GPOs de usuário. Isso significa que, se você remover o grupo "Usuários Autenticados" do filtro de segurança, você também precisa garantir que os computadores onde os usuários farão logon tenham permissão de leitura na GPO. A maneira mais simples de garantir isso é adicionando o grupo "Computadores do Domínio" com a permissão de Leitura na aba "Delegação" da GPO.

O filtro de segurança é uma ferramenta indispensável para a segmentação e aplicação direcionada de suas políticas de grupo, garantindo que as configurações corretas cheguem às pessoas e máquinas certas, otimizando o ambiente e a segurança da sua rede.

Comentários

Postar um comentário

Postagens mais visitadas deste blog

O que são FSMO - Flexible Single-Master Operation.

O Active Directory ou apenas AD é  o repositório central no qual todos os objetos de uma rede de computadores empresarial e seus respectivos atributos são armazenados. É um banco de dados hierárquico que pode armazenar milhões de objetos e as alterações nestes objetos podem ser processadas por qualquer servidor do AD, chamados de  controladores de domínio* . *No dia a dia de trabalho, muitas vezes nos referimos aos controladores de domínio, pelo termo em inglês, Domain Controller ou a sua sigla, DC. Leia também:  Active Directory e Microsoft Entra ID: A base do gerenciamento de identidade e acesso. As funções FSMO desempenham um papel fundamental na integridade do AD.  O Active Directory  fornece a flexibilidade de permitir que as alterações ocorram em qualquer controlador de domínio e a maneira que o AD lida com atualizações conflitantes é ter um algoritmo de resolução de conflitos, no qual as últimas alterações gravadas prevalecem.   Embora esse méto...
Postar um comentário
Leia mais »

Como transferir as FSMO no Windows Server

Um dos maiores medos de um administrador é perder os controladores de domínio que tem as FSMO - Flexible Single-Master Operation, m as não se preocupe tanto, porque há como transferi-las, mesmo perdendo definitivamente o servidor. Neste tutorial vamos abordar exclusivamente a transferência das FSMO com o utilitário Ntdsutil.exe pelo prompt de comando. Antes de transferir as FSMO, lembre-se que: A possibilidade de transferência não exclui a necessidade de backup dos Windows Servers do Active Directory. Recomenda-se manter as funções Domain Naming Master e Schema Master no mesmo DC, que deve ser um  servidor  de Catálogo Global (GC) simultaneamente; Se você perdeu o servidor com a função Schema Master, poderá   atribuir essa função a qualquer outro controlador de domínio   .  Mas tenha em mente que o Schema Master original não deverá aparecer na rede depois disso; Se você chegou aqui e não sabe o que são FSMO e a importância de cada uma das funções, leia o artig...
Postar um comentário
Leia mais »

Como obter sua chave do produto do Windows com o prompt de comando.

Se quiser obter sua chave do produto do Windows 10 ou do Windows 11, a maneira mais fácil de fazer é com o prompt de comando do Windows. O que é a chave do produto do Windows? Uma chave do produto ou licença do Windows é um código de 25 caracteres,   formatada como "XXXXX-XXXXX-XXXXX-XXXXX-XXXXX", que a Microsoft fornece para ativar uma única cópia do Windows em um computador. A chave do produto de ativação do Windows 10 é essencial se você deseja atualizar ou instalar o sistema de forma limpa. No entanto, muitos usuários não têm ideia de onde a chave está armazenada. Esse artigo vai ajudar a encontra-la. Vamos lá !! Primeiro, pressione a tecla Windows, procure por "cmd" e clique em "Run as administrator" (Executar como administrador, em português): Em seguida, execute o comando abaixo: wmic path softwarelicensingservice get OA3xOriginalProductKey Ou execute o comando em powershell: powershell "(Get-WmiObject -query ‘select * from SoftwareLicensingSer...
Postar um comentário
Leia mais »