Olá Pessoal.
Resolvi escrever esse artigo pois sinto uma grande dificuldade por parte dos alunos em compreender o funcionamento da diretiva de loopback.
Primeiro é necessário entender o comportamento padrão no processamento das diretivas. Todo GPO possui dois escopos de configuração: "Configurações do Computador" e "Configurações do Usuário". Diretivas definidas dentro de "Configurações do Computador" serão aplicadas diretamente para os computadores, independente do usuário que fizer uso do mesmo. Já as diretivas definidas dentro de "Configurações do Usuário" serão aplicadas diretamente para os usuários, independente do computador em uso. Vejamos o exemplo abaixo:
Figura 1. Gerenciamento de Diretiva de Grupo |
Imagine que na unidade organizacional "Usuários" existe um usuário chamado Libardi, na unidade organizacional "Desktops" um computador nomeado WIN7-CLT01. O que acontece quando o usuário Libardi efetua logon no computador WIN7-CLT01? Para o usuário Libardi serão aplicadas as diretivas existentes no escopo "Configurações do Usuário" do GPO-01, já para o computador WIN7-CLT01 serão aplicadas as diretivas existentes no escopo "Configurações do Computador" do GPO-02. Esse é o comportamento padrão para o processamento das diretivas.
Em alguns casos torna-se necessário que diretivas especificas para usuários sejam processadas de acordo com o computador onde o logon do usuário foi efetuado. É nesse ponto que destaca-se a importância da diretiva de loopback. Vejamos mais um exemplo:
Quando o usuário Libardi efetuar logon no computador WIN7-CLT-01 as diretivas configuradas no escopo "Configurações do Usuário" do GPO-01 devem ser imediatamente ignoradas, já as diretivas configuradas no escopo "Configurações do usuário" do GPO-02 devem ser imediatamente aplicadas. Isso garante configurações exclusivas para qualquer usuário que utiliza o computador WIN7-CLT01. Para que essa configuração seja efetua com sucesso, é necessário habilitar a diretiva de loopback dentro do GPO-02 no seguinte caminho:
Configurações do Computador -> Diretivas -> Modelos Administrativos - Sistema -> Diretiva de Grupo -> Modo de processamento de loopback de diretiva de grupo de usuários:
Esse tipo de configuração é muito útil quando usamos Remote Desktop Services (RDS) e queremos que diferentes diretivas sejam aplicadas quando os usuários efetuarem logon em um servidor RDS especifico.
Concluindo, a diretiva de loopback é exclusiva do escopo "Configurações do Computador", portando deve ser habilitada somente em GPOs ligados à unidades organizacionais que contenham objetos do tipo computador.
Quando o usuário Libardi efetuar logon no computador WIN7-CLT-01 as diretivas configuradas no escopo "Configurações do Usuário" do GPO-01 devem ser imediatamente ignoradas, já as diretivas configuradas no escopo "Configurações do usuário" do GPO-02 devem ser imediatamente aplicadas. Isso garante configurações exclusivas para qualquer usuário que utiliza o computador WIN7-CLT01. Para que essa configuração seja efetua com sucesso, é necessário habilitar a diretiva de loopback dentro do GPO-02 no seguinte caminho:
Configurações do Computador -> Diretivas -> Modelos Administrativos - Sistema -> Diretiva de Grupo -> Modo de processamento de loopback de diretiva de grupo de usuários:
Figura 2. Modo de Processamento de loopback de diretiva de grupo de usuários |
Observe que depois de habilitada, a diretiva possui dois modos de trabalho: "Substituir" e "Mesclar". No modo Substituir as diretivas configuradas no escopo "Diretivas do Usuário" do GPO-01 serão automaticamente ignoradas (Exemplo acima), já no modo Mesclar as diretivas do escopo "Diretivas do Usuário" do GPO-01 serão combinadas com as diretivas do escopo "Diretivas do Usuário" do GPO-02. Em caso de conflito, as "Diretivas do Usuários" do GPO-02 (onde o processo de loopback foi habilitado) terão um peso maior e portando serão aplicadas.
Concluindo, a diretiva de loopback é exclusiva do escopo "Configurações do Computador", portando deve ser habilitada somente em GPOs ligados à unidades organizacionais que contenham objetos do tipo computador.
Recomendo que todos os interessados realizem testes relacionados a essa diretiva, além de útil, é muito cobrada nos exames 70-640 (Windows Server 2008 Active Directory, Configuring) e 70-411 (Administering Windows Server 2012).
Abraços!