Delegar criação de GPO em OU específica no Active Directory (Windows Server): guia completo com GPMC e PowerShell

Aprenda a delegar a criação e o uso de GPOs com segurança no Active Directory: permita que um grupo crie políticas no domínio, mas só consiga vinculá‑las à OU correta. Evite privilégios excessivos e padronize seu fluxo de trabalho com GPMC e PowerShell.

Visão geral da pergunta

Como permitir que um grupo “crie GPOs” apenas em uma OU? A confusão nasce do modelo de objetos da Diretiva de Grupo. GPOs não vivem dentro de OUs; elas são objetos de domínio armazenados no contêiner Group Policy Objects (no AD, CN=Policies,CN=System,DC=...) e são apenas vinculadas (linked) às OUs, sites e ao domínio. Portanto, não existe um direito “Create GPO” por OU.

O caminho correto é dividir a tarefa em dois blocos de permissão:

• Criar GPOs no domínio (autoriza gerar o objeto de Diretiva de Grupo e o template em SYSVOL).
• Vincular GPOs na OU (autoriza usar a GPO naquela OU específica, sem afetar outras).

Resposta e solução

Ponto‑chave: habilite a criação de GPOs no nível de domínio e restrinja o link à OU desejada. Em outras palavras: conceda a capacidade de criar GPOs globalmente, mas conceda a capacidade de usar a GPO apenas na OU alvo.

As duas partes ficam assim:

1. Criação: adicionar o grupo ao Group Policy Creator Owners (recomendado) – ou delegar diretamente no contêiner Group Policy Objects / CN=Policies a permissão Create groupPolicyContainer objects + Write.
2. Uso restrito: na OU desejada, delegar a tarefa Manage Group Policy links (também pode aparecer como Link GPOs).

Observação de nomenclatura: ao trabalhar na ACL do AD, verá “Create groupPolicyContainer objects” (termo correto para o objeto de AD). Não confunda com “Create Group Policy objects”.

Tabela de referência rápida

Tarefa	Onde delegar	Permissão/Entrada	Ferramenta	Efeito
Criar novas GPOs	Domínio (contêiner Group Policy Objects / CN=Policies)	Grupo no Group Policy Creator Owners OU ACL com Create groupPolicyContainer objects + Write	GPMC / ADUC / ACL	Permite gerar GPC (AD) e GPT (SYSVOL)
Vincular/Desvincular GPO	OU específica	Manage Group Policy links (Write em gPLink)	ADUC (Delegate Control) / ACL	Permite linkar GPOs apenas nessa OU
Editar GPO	Na própria GPO	Edit settings ou Edit, delete, modify security	GPMC (aba Delegation)	Permite configurar itens dentro da GPO

Como fazer, passo a passo

Permitir a criação de GPOs (escopo de domínio)

Opção recomendada: usar o Group Policy Creator Owners

Esse grupo embutido foi projetado para cenários de delegação “criar GPO”. Quem cria uma GPO torna‑se “dono” dela e, por padrão, pode editá‑la.

Via ADUC (GUI):

1. Abra Active Directory Users and Computers (ADUC).
2. Navegue até Users → Group Policy Creator Owners.
3. Abra Properties → aba Members → Add… → inclua Seu‑Grupo.
4. Faça logoff/login dos membros adicionados (atualiza o token).

Via PowerShell (módulo ActiveDirectory):

# Adiciona o grupo designado ao Group Policy Creator Owners
Add-ADGroupMember -Identity 'Group Policy Creator Owners' -Members 'CONTOSO\Seu-Grupo'

Opção mais granular: delegar no contêiner Group Policy Objects

Se preferir não usar o Group Policy Creator Owners, delegue diretamente na ACL do contêiner onde os GPOs são definidos no AD:

• Na GPMC: clique em Group Policy Objects → Delegation → Advanced… e conceda Create groupPolicyContainer objects + Write ao Seu‑Grupo.
• No AD: edite CN=Policies,CN=System,DC=... (ACL avançada) e conceda as mesmas permissões.

O que acontece nos bastidores? Criar GPO envolve dois componentes:

• GPC (Group Policy Container): objeto no AD (CN={GUID} dentro de CN=Policies).
• GPT (Group Policy Template): pasta correspondente em SYSVOL<domínio>\Policies\{GUID}.

As permissões acima garantem que o grupo tenha direitos para criar ambos.

Restringir o uso à OU desejada (vínculo/link)

Agora limite onde a GPO pode ser usada, delegando o link apenas na OU alvo.

Via ADUC (Delegate Control…):

1. Abra o ADUC, clique com o botão direito na OU desejada → Delegate Control….
2. Clique em Add e selecione o Seu‑Grupo.
3. Escolha Create a custom task to delegate ou, se disponível, diretamente Manage Group Policy links/Link GPOs.
4. Conclua o assistente. Essa delegação concede permissão de linkar e desvincular GPOs somente nessa OU.

Via linha de comando (opcional, avançado):

Você pode automatizar com dsacls, concedendo escrita no atributo gPLink da OU:

# Exemplo: conceder Write em gPLink para Seu-Grupo na OU Marketing
dsacls "OU=Marketing,DC=contoso,DC=com" /G "CONTOSO\Seu-Grupo:WP;gPLink"

Na prática, a maioria dos administradores usa o assistente Delegate Control do ADUC, pois ele aplica corretamente todas as entradas necessárias.

Delegar edição/gestão das GPOs (opcional)

Se o seu fluxo de trabalho pede que um grupo edite GPOs (inclusive as criadas por outros), delegue na própria GPO:

1. Na GPMC, selecione a GPO.
2. Aba Delegation → Add o Seu‑Grupo.
3. Escolha o nível: Edit settings (editar) ou Edit, delete, modify security (controle total de GPO).

Via PowerShell (módulo GroupPolicy):

# Concede permissão de edição a um grupo em uma GPO específica
Set-GPPermission -Name 'GPO - Navegadores' -TargetName 'CONTOSO\Seu-Grupo' `
  -TargetType Group -PermissionLevel GpoEdit

Controle completo (editar, excluir e modificar segurança)

Set-GPPermission -Name 'GPO - Navegadores' -TargetName 'CONTOSO\Seu-Grupo' \`
-TargetType Group -PermissionLevel GpoEditDeleteModifySecurity 

Fluxo operacional recomendado

1. Criação: o membro do grupo abre a GPMC, botão direito em Group Policy Objects → New… → nomeia a GPO.
2. Edição: define as configurações necessárias (ou importa de um backup/modelo).
3. Vínculo: na OU alvo, realiza Link an Existing GPO…. Em outras OUs, o link falhará por falta de permissão — como esperado.
4. Escopo: ajuste Security Filtering e, se aplicável, anexe um WMI Filter.
5. Validação: force gpupdate /force em um cliente de teste e verifique gpresult /h.

Boas práticas de segurança e governança

• Princípio do mínimo privilégio: delegue Manage Group Policy links apenas nas OUs necessárias. Evite conceder no domínio a contas não administrativas.
• AGDLP: use o padrão Accounts → Global → Domain Local → Permissions para agrupar membros e conceder ACLs, mantendo clareza e auditoria.
• Padronize nomes: prefixos como GPO-OU-Marketing-... simplificam suporte e revisão.
• Controle de alterações: se possível, utilize um processo de “pull request” de GPOs (ex.: ambiente de homologação, revisão em pares ou solução de change control).
• Auditoria: ative auditoria de alterações de diretório (Directory Service Changes) e monitore eventos no SYSVOL; registre criação/edição de GPOs.

Dicas e solução de problemas

• Token de segurança: após adicionar alguém ao grupo, peça logoff/login para atualizar o token. Em servidores, reiniciar o serviço de logon não substitui o logoff.
• Ferramenta correta: crie, edite e faça backup/restaure GPOs com a GPMC. O ADUC serve para delegar links nas OUs.
• Permissões em CN=Policies e SYSVOL: se a criação falhar, verifique ACLs do contêiner e permissões de escrita no caminho SYSVOL\Policies.
• Replicação: aguarde a replicação entre DCs e FRS/DFS‑R. Inconsistências causam erros como “não é possível localizar o GPT”.
• Herança e Enforced: não confunda “Enforced” (força a aplicação de uma GPO já vinculada) com a capacidade de vincular. O direito delegado é link/unlink, não “enforce”.
• Filtros de segurança: criar e linkar GPO não significa aplicá‑la a todos. Ajuste Security Filtering (ex.: substitua Authenticated Users por um grupo de escopo definido) para controlar o alvo real.
• Revisão de ACLs: use gpresult /r, Get-GPPermission e revisões na aba Delegation para confirmar quem pode editar/aplicar.

Erros comuns (e como evitar)

Erro/Sintoma	Causa provável	Correção
Usuário consegue criar GPO, mas não linkar na OU	Falta de delegação Manage Group Policy links na OU	Delegue Link GPOs na OU específica pelo ADUC
Não consegue criar GPO (mensagem de acesso negado)	Grupo não está em Group Policy Creator Owners e não há ACL em CN=Policies	Adicione ao Group Policy Creator Owners ou delegue Create groupPolicyContainer objects + Write
GPO criada, porém SYSVOL sem pasta correspondente	Problemas de permissão/replicação no SYSVOL	Verifique replicação (DFS‑R), permissões de NTFS e compartilhamento
Link criado, mas GPO não aplica	Security Filtering/WMI Filter bloqueando, OU errada ou escopo de usuário/computador incorreto	Ajuste filtering, confirme alvo (Computer vs User) e herança
Delegação “Some settings hidden by policy” na GPMC	Direitos insuficientes para editar ou visualizar configurações	Conceda Edit settings na GPO ou use uma conta com privilégios adequados

Exemplos práticos com PowerShell

Os exemplos abaixo partem do princípio de que o seu grupo já pode criar GPOs e já tem permissão de link na OU desejada.

# Módulo: GroupPolicy

1) Criar uma GPO vazia

\$gpo = New-GPO -Name 'GPO-OU-Marketing-Browsers' -Comment 'Padrões corporativos de navegador - OU Marketing'

2) Vincular a GPO à OU Marketing (DN de exemplo)

New-GPLink -Name \$gpo.DisplayName -Target 'OU=Marketing,DC=contoso,DC=com' -LinkEnabled Yes

3) Conceder edição para equipe de suporte

Set-GPPermission -Name \$gpo.DisplayName -TargetName 'CONTOSO\Equipe-Suporte' -TargetType Group -PermissionLevel GpoEdit

4) Exportar e versionar (backup)

\$dest = "\fileserver\GPO-Backups\$(Get-Date -f yyyyMMdd)"
New-Item -ItemType Directory -Path \$dest -Force | Out-Null
Backup-GPO -Name \$gpo.DisplayName -Path \$dest -Comment 'Primeira versão' 

Checklist de implementação

• Defina quem pode criar GPOs: Group Policy Creator Owners ou ACLs específicas em CN=Policies.
• Defina onde pode usar GPOs: delegue Manage Group Policy links nas OUs corretas.
• Padronize nomes das GPOs por OU/propósito.
• Automatize backups e revisão (ex.: Backup-GPO + repositório).
• Audite alterações relevantes (AD e SYSVOL).

Perguntas frequentes

É possível limitar “Create GPO” por OU?
Não. GPO é um objeto de domínio, não da OU. O que se faz é permitir criar no domínio e delegar o link apenas na OU desejada.

Quem cria a GPO consegue editá‑la automaticamente?
Sim. O criador torna‑se “owner” e herda as permissões de edição daquela GPO. Para equipes, use Set-GPPermission e delegue edição ao grupo.

Como impedir que o grupo aplique GPO em locais indevidos?
Não conceda Manage Group Policy links fora da OU alvo (nem no domínio). Sem essa permissão, mesmo que a pessoa crie a GPO, ela não conseguirá vinculá‑la em outros lugares.

E se eu quiser granularidade sem usar o Group Policy Creator Owners?
Delegue diretamente no contêiner Group Policy Objects/CN=Policies as permissões Create groupPolicyContainer objects + Write apenas para o grupo necessário.

Como auditar quem criou/editou uma GPO?
Ative auditoria de alterações de diretório e monitore eventos de objeto no SYSVOL. Faça backup e mantenha histórico de versões.

Isso interfere em “Enforced” ou “Block Inheritance”?
Não diretamente. “Enforced” e “Block Inheritance” são atributos de vinculação e herança, não de criação. Planeje governança para quem pode alterar essas opções.

Modelo de governança e nomeação

Para ambientes com muitas OUs e várias equipes de TI, um padrão consistente evita surpresas:

• Nomear por escopo: GPO-OU-<NomeDaOU>-<Tema> (ex.: GPO-OU-Financeiro-Office).
• Prefixos para domínio: GPO-DOM-... para políticas de amplo alcance.
• Separar por alvo: -USER e -COMPUTER no sufixo para indicar onde vivem as configurações.
• Controle de mudanças: PR de GPO (revisão por pares), janela de manutenção e rollback com Backup-GPO/Restore-GPO.

Exemplo de política de equipe

1) Grupo "TI-Marketing-GPO-Creators" membro de "Group Policy Creator Owners".
2) Na OU "Marketing", delegado "Manage Group Policy links".
3) No processo:
   - Criar GPO → Editar → Linkar na OU "Marketing" → Testar em piloto.
4) Fora de "Marketing": sem permissão de vincular; qualquer tentativa falha por ACL.

Validação e testes

1. Entrar com um usuário pertencente ao grupo designado.
2. Abrir a GPMC e criar uma GPO “de teste”.
3. Tentar linkar na OU alvo (deve funcionar).
4. Tentar linkar no domínio ou em outra OU (deve falhar, confirmando o isolamento).
5. Executar gpupdate /force em um cliente piloto e revisar gpresult /h C:\temp\rs.html.

Remoção e reversão

• Para revogar criação: remova o grupo do Group Policy Creator Owners ou remova a ACL de criação em CN=Policies.
• Para revogar uso: remova a delegação Manage Group Policy links na OU.
• Para limpar edição: nas GPOs relevantes, remova as entradas em Delegation ou use Set-GPPermission para retirar o grupo.

Resumo prático

Não é possível limitar a criação de GPOs a uma OU específica, pois GPO é um objeto de domínio (CN=Policies). O padrão correto é:

• Permitir criar no domínio (ex.: via Group Policy Creator Owners).
• Delegar apenas o vínculo na OU desejada (Manage Group Policy links).

Assim, o grupo consegue criar GPOs quando necessário, mas só consegue aplicá‑las no lugar que você autorizou — com segurança, rastreabilidade e mínimo privilégio.