Olá pessoal, tudo bem?
Existe vários posts relacionado demostrando esta implantação de GPO, mas o intuito ao escreve este artigo será outro, alerta os colaboradores de sua organização sobre cuidados ao utilizar uma estação de trabalho, principalmente a estação de trabalho que é compartilhada com demais pessoas.
Em tempos de COVID-19 a importância de se higienizar, teclado, os apoios de mão, mouse, mouse pad e demais materiais que forem necessários antes e depois do seu uso. A limpeza pode ser feita com um pano umedecido com álcool.
Em espaço de trabalho de uso individual, higienize todos os materiais da mesa com álcool antes de iniciar a jornada de trabalho. Se necessário, higienize outras vezes ao longo do dia.
Passo a Passo
Em época de Covid-19, o trabalho não pode parar. Mesmo que muitas pessoas estejam em homeoffice, outras de áreas essenciais precisam ir até o local de trabalho.
Podemos colocar uma mensagem ao efetuar logon nas estações de trabalho por GPO. Podemos colocar qualquer mensagem, mas em tempos de COVID-19 podemos alertar o colaborador na sua organização os cuidados no dia a dia com a higienização da sua estação de trabalha e demais matérias.
Então temos as seguintes mensagens que vamos colocar para os nossos colaboradores ao efetuar logon nas estações de trabalho:
Previna-se contra a COVID-19! Faça a sua parte!
Além de higienizar as mãos nos momentos adequados, é preciso também manter a higiene do local de trabalho.
Em espaço de trabalho compartilhado, em que várias pessoas utilizam o mesmo computador, higienize o mouse, o teclado, os apoios de mão, o telefone, a mesa e demais materiais que forem necessários antes e depois do seu uso. A limpeza pode ser feita com um pano umedecido com álcool.
Em espaço de trabalho de uso individual, higienize todos os materiais da mesa com álcool antes de iniciar a jornada de trabalho. Se necessário, higienize outras vezes ao longo do dia.
1.Para começar será necessário criar uma Unidade Organizacional e colocar os objetos computadores dentro desta OU. Para esta tarefa acesse Usuários e Computadores, crie uma nova OU com o nome Desktops, para criar uma nova OU, clique em cima do nome do seu domínio com o botão direito do mouse, em seguida em Novo, depois Unidade Organizacional. Coloque o nome da OU e pronto.
2. Agora vamos mover os objetos computadores (computers) para dentro da Unidade Organizacional criada. Para isso basta acessar novamente o Usuários e Computadores, clicar em Computers, selecionar os objetos computadores que serão movidos para Unidade Organizacional Desktops e arrasta com o mouse para dentro da Unidade Organizacional Desktops.
3. Agora vamos criar a GPO. Para isso acesse o Gerenciamento de Política de Grupo. Clique em Objetos de Política de Grupo, Clique com o botão direito do mouse, logo em seguida em Novo. Coloque um nome na GPO. Clique em OK, pronto GPO criada.
4. Agora vamos configurar a GPO, acesse novamente a Gerenciamento de Política de Grupo, clique na GPO criada com o botão direito do mouse em cima da GPO, logo depois clique em Editar.
5. Agora navegue até Configuração do Computador / Políticas / Configurações do Windows / Configurações de segurança / Políticas locais / Opções de segurança.
6. Agora vamos editar as duas opções, Logon interativo: texto de mensagem para usuários tentando fazer logon e Logon interativo: título da mensagem para usuários tentando fazer logon.
Primeiro vamos editar o texto da mensagem. Para isso clique duas vezes em cima da opção. Clique em Definir esta configuração de política no modelo cole a mensagem e clique em Aplica em seguida OK. Faça o mesmo com título da mensagem. Pronto já temos as duas opções configuradas.
7. Agora vamos vincular a GPO cria a uma OU (Unidade Organizacional) existente no qual os objetos computadores estão armazenados. Para fazer isso acesse Gerenciamento de Política de Grupo, clique com o botão direito em cima da OU Desktops, depois em Vincular com GPO Existente, selecione a GPO Mensagem Logon e seguida clique em OK.
Pronto. Agora é executar o teste em uma das estações de trabalho para verificar se a GPO foi aplicada.
Inscreva-se no meu canal do YouTube!
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.
42 Responses
Muito bom!!
Bom dia! Muito obrigado por prestigiar o meu trabalho! Fico muito feliz em ter lhe ajudado com o meu conhecimento!
É possível trocar todos os dias a mensagem de logon na GPO? sem ter que acessar todos os dias o gerenciamento da GPO…
Exemplo: de segunda á sexta-feira com mensagens diferentes na tela de logon do usuário.
Boa tarde. Muito obrigado por prestigiar o meu trabalho. Alterando a GPO já criada não. Neste caso você terá que criar várias GPOs e remover e aplicar cada uma diariamente. Você pode automatizar este processo usando os cmdlets de Powershell de GPO. Segue o link com mais informações https://docs.microsoft.com/en-us/powershell/module/grouppolicy/?view=windowsserver2019-ps&WT.mc_id=WDIT-MVP-5003815
Muito legal, esse tipo de criatividade que falta na internet.
Parabéns, vou replicar em meu ambiente.
Bom dia. Muito obrigado por prestigiar o meu trabalho. Fico feliz em ter lhe ajudado com o meu conhecimento.
Estou com um problema parecido, meu Windows depois que redefini, aparece uma mesnsagem de Entrada bem sucedida com a data e horário, gostaria de desativar mas não encontrei nada relaciona nas GPO
Boa tarde. Muito obrigado por prestigiar o meu trabalho. Falando assim fica difícil lhe passar um diagnóstico preciso. Explique mais o que você fez, detalhe com imagens, qual erro acontece.
Olá Gabriel,
Primeiramente parabéns pelo post! tenho uma dúvida, veja se consgue me auxiliar.
Seria possível exibir um texto e dar a possibilidade do usuário que fez logon de concordar ou não com a mensagem ?
Ex: “Concordo” ou “Não concordo”
E se for possível, eu conseguiria de alguma forma buscar esse log no AD ? (quando usuário aceita ou não) quando a mensagem foi exibida.
Boa tarde. Muito obrigado por prestigiar o meu trabalho. Fico muito feliz por estar lhe ajudando.
Agora vamos a sua dúvida. Não existe esta possibilidade. Mas o que você pode fazer é informar no texto que ao clicar em OK, o usuário concordar com os termos estabelecidos por você.
Boa tarde.
É possivel auditar que o usuário clicou no OK e armazenar as informações como data/horario/login?
Boa tarde. Muito obrigado por prestigiar o meu trabalho. Quem clicou em OK não. Mas é possível auditar o login de usuário. https://youtu.be/QdsxDbrab5k e https://docs.microsoft.com/pt-br/windows/security/threat-protection/auditing/basic-audit-logon-events?WT.mc_id=WDIT-MVP-5003815
Ótimo compartilhamento de conhecimentos Gabriel. Parabéns.
Aproveitando estou com uma situação que me pediram para quando todos os colaboradores ao logarem em suas estações eles irem para uma página WEB que terá tudo o que a diretoria quer que usem e não tenham acesso a nada além disso. Em relação a pagina isso consigo fazer tranquilo aqui mais para ˜prende” o colaboradora nesta tela com GPO que não consegui pensar em algo. Poderia me dar uma luz?
Boa Noite. Muito obrigado por prestigiar o meu trabalho. Neste caso o ideal seria ativar o modo quiosque. Estou deixando o link. https://docs.microsoft.com/pt-br/windows/configuration/kiosk-single-app
Tem como criar está mensagem sem a utilização da GPO e sim pode script?
Boa tarde. Muito obrigado por prestigiar o meu trabalho. Você pode fazer por script de Powershell, mas será necessário criar uma GPO para aplicar o script na inicialização do Windows. O correto é fazer igual demostrei no meu artigo.
Abaixo alguns exemplos de caixa de mensagem do Powershell.
https://techexpert.tips/pt-br/powershell-pt-br/powershell-exibir-uma-mensagem-pop-up/
https://pt.moyens.net/windows/como-mostrar-uma-caixa-de-mensagem-no-windows-10/
Ótimo artigo!
Boa noite. Muito obrigado por prestigiar o meu trabalho.
Fico muito feliz por ter lhe ajudado com o meu conhecimento.
Excelente artigo! Surgiu uma dúvida aqui. É possível mostrar uma imagem tipo um pop-up ao invés da mensagem de texto?
Boa tarde. Muito obrigado por prestigiar o meu trabalho. Não é possível mostrar uma imagem. Apenas texto.
Boa tarde! Como faço para abrir uma mensagem no navegador de internet após o logon, como uma propaganda, por exemplo?
Boa tarde. Muito obrigado por prestigiar o meu trabalho. Neste caso será necessário criar um script de logon que abra o navegador e acesse a página. Programar.
Segue um vídeo de exemplo: https://www.youtube.com/watch?v=iYHBhIJ0GdM&t=26s
Muito obrigado pela dica Gabriel.
É possível colocar uma mensagem para o usuário quando ele fica bloqueado por tentativas de senhas erradas ?
Boa tarde. Muito obrigado por prestigiar o meu trabalho. Essa mensagem e padrão do Windows, não tem como alterar.
Bom dia Gabriel,
Irei solicitar a todos os usuários a troca da senha com isso iremos implantar politicas de segurança como: qtd de caracteres, letras M e m, no momento que o usuário esta trocando a senha é possível deixar uma legenda referente a politica ?
Bom dia. Muito obrigado por prestigiar o meu trabalho.
Sim , você pode criar uma mensagem informando da realização de troca de senha.
Olá! Aproveitando o comentário do Yghor: É possível eu agendar aexibição dessa mensagem ? Eu quero lembrar a cada 90 dias que meus usuários devem trocar a sua senha. Obrigado.
Boa noite. Muito obrigado por prestigiar o meu trabalho. Neste caso você vai ter que estudar qual modulo de Powershell de GroupPolicy, criar o script para aplicar a GPO usando o agendador de tarefas do Windows para execução do script de GPO no horário agendado.
Logo baixo os link de referência
GroupPolicy
https://learn.microsoft.com/en-us/powershell/module/grouppolicy/?view=windowsserver2022-ps&WT.mc_id=AZ-MVP-5003815
Usando conta de serviço gerenciado de grupo (gMSA) para execução de tarefas no Agendador de Tarefas do Windows
http://gabrielluiz.com/2022/05/gmsa-task-scheduler/
Muito bem explicado e exemplificado, Gabriel. Foi bem útil para mim. Obrigado!
Bom dia! Muito obrigado por prestigiar o meu trabalho. Se poder faça a divulgação do meu trabalho.
Obrigado pelas dicas !! muito bom !! me tira uma dúvida, como seria nesse caso para eu criar uma GPO solicitando para que aquele usuário específico procura-se o RH. detalhe: Ele não poderá da um OK na mensagem e fazer o login normalmente, que nem nesse caso específico.
Boa noite.
Muito obrigado por prestigiar o meu trabalho.
Neste caso você vai ter que bloquear o usuário para que ele não possa fazer login, necessário filtrar a GPO para que seja aplicada apenas para usuário X.
Boa tarde.
Você teria alguma GPO para quando eu ingressar um novo computador no meu dominio ele não para pasta computadores e sim para um OU Novos Computadores por exemplo onde lá vou ter varias GPO implantas.
Boa tarde. Muito obrigado por prestigiar o meu trabalho.
Agora vamos a sua dúvida, não existe nenhuma GPO que faça movimentação no Active Directory. Todo computador inserido no domínio será movido para o container Computers, isto é um comportamento padrão do Active Directory.
Para fazer movimentação no Active Directory e necessário usar a imaginação e o Powershell.
Para sua sorte, tenho um artigo escrito sobre este assunto, você pode conferir neste link http://gabrielluiz.com/2020/05/move-computer-ou-txt/.
Você também pode utilizar o comando abaixo.
# Move os computadores Desktops
$computerstomove = Get-ADComputer -LDAPFilter “(name=DIPE-*)” -SearchBase “cn=computers,dc=ipe,dc=local”
foreach ($computertomove in $computerstomove) {
Move-ADObject $computertomove -TargetPath “OU=Estações,OU=Homologação,DC=suaempresa,DC=local”
}
Aonde o DC=suaempresa,DC=local e nome do seu domínio:
Exemplos:
gabrielluiz.local
cocacola.local
Já o parâmetro “(name=DIPE-*)” indica as inicias do nome do hostname dos computadores. O * indica que qualquer nome depois das iniciais DIPE- será movido para o OU especificada.
Exemplos:
DIPE-001
Desktop001
DESKTOP02
Sugiro que você crie um padrão de nomeclatura de desktops e demais dispositivos ingressados no Active Directory.
Salve o script de Powershell com a extensão .ps1
Para automatizar o processo de execução eu sugiro criar um tarefa no Agendador de Tarefas do Windows, usando um conta gMSA para execução da tarefa. Você pode conferir neste link http://gabrielluiz.com/2022/05/gmsa-task-scheduler/
Assim você pode executar a tarefa a cada 5 minutos ou mais, você decidde.
Se quiser explanar melhor a dúvida com mais detalhes, se escreva no meu grupo do Telegram.
https://t.me/gabrielluizbrasil
ATENÇÃO: AO ENTRAR RESPONDA RÁPIDO AS PERGUNTAS DE SEGURANÇA OU SERÁ BANIDO PELO ROBÔ.
Boa tarde Gabriel. pode me explicar como consigo LIMITAR o acesso dos meus admin’s de DOMINIO?
quero que só consigam usar o usuário de domínio até as 19:00 hrs, depois desse horário todo mundo que tentar usar alguma conta adm de domínio não vai conseguir. Liberado somente a partir das 06:00 da manha!
tem como fazer isso no AD?
Boa noite. Muito obrigado por prestigiar o meu trabalho.
Consegui sim, acesse Usuários e Computadores do Active Directory, em seguida clique com o botão direito do mouse em cima do usuário que deseja configurar, em seguida clique em Propriedades, logo depois clique na aba Conta e depois em Horário de logo. Agora basta configurar o horário que deseja permitir o login.
Acesse o link abaixo e veja como e feito este procedimento.
https://i.imgur.com/UC1hyvk.gif
#mvpbuzz
Gabriel, tem alguma rotina nativa no windows server 2016 que é o que uso, para tipo, se um usuario de minha rede bloquear seu usuario por tentativa errada de senha, disparar para TI algum alerta que usuario tal foi bloqueado por tentativa de senha errada?
Bom dia. Usuário ao tentar acessar e errar a senha de acordo que você configurar ele será bloqueado. Isto é nativo do Windows. Já o alerta basta pegar o id de bloqueio e configurar no agendador de tarefas do Windows para que envie um e-mail ou se for o caso envio uma mensagem no Teams se caso utilizar o Teams.
Primeiro será necessário habilitar a auditoria do Active Directory.
https://danieldonda.com/windows-auditoria-de-eventos-de-logon-e-logon-de-conta/
Segundo você pode receber as notificações pelo Teams https://cooperati.com.br/2020/09/send-notification-teams/ ou por e-mail https://cooperati.com.br/2017/11/como-receber-notificacoes-do-windows-server-backup/.
Espero ter lhe ajudado.
Olá caro amigo eu gostaria de saber se existe alguma maneira nativa de configurar o Windows para solicitar permissão ao usuário antes de desconectar uma sessão de Área de Trabalho Remota (RDP) quando outro usuário tenta se conectar à mesma sessão? Além disso, como garantir que, quando ninguém estiver logado, o acesso à VM via RDP seja concedido sem solicitar permissão?
Ex pratico eu to acessando o usuário adm ai outra pessoa acessa o user adm cmg lá dentro eu sou desconectado sem aviso prévio eu gostaria que quando tivesse alguém logado essa pessoa que permitisse ou não ser desconectada
Boa noite.
Sua pergunnta foi respondia em nosso grupo do Telegram.
https://t.me/gabrielluizbrasil
# MVPBuzz
Como posso configurar o Windows para solicitar permissão ao usuário antes de desconectar uma sessão de Área de Trabalho Remota (RDP) quando outro usuário tenta se conectar à mesma sessão? Além disso, como garantir que, quando ninguém estiver logado, o acesso à VM via RDP seja concedido sem solicitar permissão?
Ex eu gostaria que ao invés de so exibir
Conexão de Área de Trabalho Remota Você foi desconectado porque outra conexão foi estabelecida com o computador remoto. Código de erro: 0x3 Código de erro estendido: 0x5 .
me desse a opção de escolha entre permitir ou não permitir
Boa noite.
Sua pergunnta foi respondia em nosso grupo do Telegram.
https://t.me/gabrielluizbrasil
# MVPBuzz