Políticas integradas são implementadas quando você instala o servidor de Administração. Ao trabalhar com essas políticas, você pode encontrar os seguintes termos:
Define os objetos ou propriedades aos quais o DRA aplica a política. Por exemplo, algumas políticas permitem que você aplique uma política a administradores assistentes específicos em Telas Ativas específicas. Algumas políticas permitem escolher entre diferentes classes de objetos, como contas do usuário ou grupos.
Assegure o uso obrigatório regras de política a todos os objetos da classe ou tipo especificado nos domínios gerenciados. As políticas globais não permitem limitar o escopo dos objetos aos quais a política se aplica.
Define se a política se aplica em conjunto ou por si só. Para estabelecer um relacionamento de política, defina duas ou mais regras que se aplicam à mesma ação e escolha o membro de uma opção do grupo de políticas. Se os parâmetros ou as propriedades da operação corresponderem a qualquer uma das regras, a operação será bem-sucedida.
Tópicos da política incorporada:
Políticas integradas fornecem regras de negócios para abordar problemas comuns de segurança e integridade de dados. Essas políticas fazem parte do modelo de segurança padrão, permitindo integrar recursos de segurança do DRA em sua configuração corporativa existente.
O DRA fornece duas maneiras de assegurar o uso obrigatório da política. Você pode criar políticas personalizadas ou escolher entre várias políticas integradas. Políticas integradas facilitam a aplicação de políticas sem necessidade de desenvolver scripts personalizados. Se você precisar implementar uma política personalizada, poderá adaptar uma política integrada existente para atender às suas necessidades. A maioria das políticas permite modificar o texto da mensagem de erro, renomear a política, adicionar uma descrição e especificar como aplicar a política.
Várias políticas integradas são habilitadas quando você instala o DRA. As políticas a seguir são implementadas por padrão. Se você não quiser assegurar o uso obrigatório dessas políticas, poderá desabilitá-las ou apagá-las.
Nome da Política |
Valor Padrão |
Descrição |
---|---|---|
$ComputerNameLengthPolicy |
64 15 (anterior ao Windows 2000) |
Limita o número de caracteres no nome do computador ou no nome do computador anterior ao Windows 2000 |
$GroupNameLengthPolicy |
64 20 (anterior ao Windows 2000) |
Limita o número de caracteres no nome do grupo ou no nome do grupo anterior ao Windows 2000 |
$GroupSizePolicy |
5000 |
Limita o número de membros em um grupo |
$NameUniquenessPolicy |
Nenhum |
Garante que os nomes anteriores ao Windows 2000 e CN sejam exclusivos em todos os domínios gerenciados |
$SpecialGroupsPolicy |
Nenhum |
Impede o escalonamento não verificado de poderes no ambiente. |
$UCPowerConflictPolicy |
Nenhum |
Evita a escalada de poder, tornando os Clones do Usuário e os poderes de Criação de Usuários mutuamente exclusivos |
$UPNUniquenessPolicy |
Nenhum |
Garante que os nomes UPN sejam únicos em todos os domínios gerenciados |
$UserNameLengthPolicy |
64 20 (nome de logon de baixo nível) |
Limita o número de caracteres no nome de logon do usuário ou no nome de logon de baixo nível |
O DRA fornece várias políticas que você pode personalizar para o seu modelo de segurança.
NOTA:Você pode criar uma política que exija uma entrada para uma propriedade que não esteja atualmente disponível nas interfaces de usuário do DRA. Se uma entrada for exigida pela política e a interface do usuário não fornecer um campo para digitar o valor, como um departamento para uma nova conta do usuário, não será possível criar nem gerenciar o objeto. Para evitar esse problema, configure políticas que exigem apenas as propriedades que podem ser acessadas nas interfaces do usuário.
Permite vincular um script ou executável a uma operação de DRA ou Exchange. Políticas personalizadas permitem que você valide todas as operações escolhidas.
Permite assegurar o uso obrigatório globalmente do comprimento máximo de nome para contas do usuário, grupos, OUs, contatos ou computadores.
A política verifica o container de nomes (nome comum ou CN) e o nome anterior ao Windows 2000 (nome de logon do usuário).
Permite que você assegure o uso obrigatório limites globais ao número de membros de um grupo.
Verifica se um nome anterior ao Windows 2000 é exclusivo em todos os domínios gerenciados. Nos domínios do Microsoft Windows, os nomes anteriores ao Windows 2000 devem ser exclusivos em um domínio. Essa política global impõe essa regra em todos os domínios gerenciados.
Verifica se um nome principal de usuário (UPN) é exclusivo em todos os domínios gerenciados. Nos domínios do Microsoft Windows, os UPNs devem ser exclusivos em um domínio. Essa política impõe essa regra em todos os domínios gerenciados. Como esta é uma política global, o DRA fornece o nome da política, a descrição e o relacionamento de política.
Impede você de gerenciar membros de um grupo de administradores, a menos que você seja um membro desse grupo de administradores. Essa política global está habilitada por padrão.
Quando você limita ações em membros dos grupos de administradores, o Assistente Create Policy (Criar Política) não requer informações adicionais. Você pode especificar uma mensagem de erro personalizada. Como esta é uma política global, o DRA fornece o nome da política, a descrição e o relacionamento de política.
Impede a possível escalada de poderes. Quando esta política está habilitada, você pode criar contas do usuário ou clonar contas de usuário, mas não pode ter ambos os poderes. Essa política global garante que você não possa criar e clonar contas de usuário na mesma ActiveView.
Esta política não requer informações adicionais.
Permite estabelecer convenções de nomenclatura que se aplicam a administradores assistentes específicos, Telas Ativas e classes de objetos, como conta do usuário ou grupos.
Você também pode especificar os nomes exatos monitorados por esta política.
Permite que você crie uma política para validar qualquer propriedade de uma OU ou um objeto de conta. Você pode especificar um valor padrão, uma máscara de formato de propriedade e valores e intervalos válidos.
Use essa política para assegurar o uso obrigatório da integridade de dados validando determinados campos de entrada ao criar, clonar ou modificar propriedades de objetos específicos. Essa política oferece enorme flexibilidade e poder para validar entradas, fornecer entradas padrão e limitar as opções de entrada para vários campos de propriedade. Ao usar essa política, você pode exigir que uma entrada correta seja feita antes que a tarefa seja concluída, mantendo, assim, a integridade dos dados nos seus domínios gerenciados.
Por exemplo, suponha que você tenha três departamentos: Manufatura, Vendas e Administração. Você pode limitar as entradas que o DRA aceitará apenas para esses três valores. Você também pode usar essa política para assegurar o uso obrigatório de formatos de números de telefone apropriados, fornecer uma faixa de dados válidos ou exigir uma entrada para o campo de endereço de e-mail. Para especificar máscaras de vários formatos para um número de telefone, como (123)456 7890, assim como456 7890, defina a máscara de formato da propriedade como (###)### ####,### ####.
Permite que você crie uma política para atribuir licenças do Office 365 com base na participação do grupo do Active Directory. Essa política também impõe a remoção de licenças do Office 365 quando um membro é removido do grupo relevante do Active Directory.
Se um usuário que não está sincronizado com a nuvem for adicionado ao grupo do Active Directory, o usuário será sincronizado antes de uma licença do Office 365 ser atribuída ao usuário.
Durante a criação da política, você pode especificar várias propriedades e configurações, como o nome da política e a redação da mensagem de erro que aparece quando um administrador assistente tenta realizar uma ação que viola essa política.
A configuração Assegurar que apenas as licenças designadas pelas políticas do DRA estão habilitadas nas contas. Todas as outras licenças serão removidas. está incluída na página Propriedades do Locatário, que pode ser configurada por locatário. Esta configuração é usada nas políticas de licença do Office 365 do DRA para configurar como será assegurado o uso obrigatório das designações de licença:
Quando esta configuração está habilitada, assegurar o uso obrigatório da licença do DRA garante que apenas as licenças designadas pelas políticas do DRA sejam provisionadas para as contas (as licenças designadas fora do DRA serão removidas das contas designadas à política de licença). Quando essa configuração estiver desabilitada (padrão), assegurar o uso obrigatório da licença do DRA garantirá somente que as licenças específicas incluídas nas políticas do Office 365 sejam provisionadas para contas (se uma conta tiver sua designação a uma política de licença removida, apenas as licenças designadas por essa política terão o provisionamento cancelado).
Como a política integrada é parte do modelo de segurança padrão, você pode usar essas políticas para assegurar o uso obrigatório de seu modelo de segurança atual ou modificá-las para atender melhor às suas necessidades. Você pode mudar o nome, as configurações de regra, o escopo, o relacionamento de política e a mensagem de erro de várias políticas integradas. Você pode habilitar ou desabilitar cada política integrada.
Você também pode criar facilmente novas políticas.