none
Carregando Programas apenas como Adminsitrador RRS feed

  • Pergunta

  • Situação:

     

    Servidores: Windows 2003 Server

    Estações: Windows XP

    Para economizar um trabalho massante, utilizo a função de Perfis Móveis em minha rede porém quando configuro um estação de trabalho preciso sempre em cada estação que configuro ajustar as contas de usuário dando permissões de Administradores paras os novos usuários de minha rede.

    Aí me perguntam, por quê Administradores?

    A maioria dos softwares que usamos em nossa rede, não funciona se deixarmos os usuários como um usuário padrão em contas de usuários nas estações.

    Quando entra um usuário novo na rede, preciso de andar por todos os setores para atualizar as contas de usuários das estações já que há um revezamento no uso das estações e para facilitar meu trabalho, ajusto o perfil no servidor para que eu não tenha que atualizar impressoras, contas de e-mail e outras configurações, mas ainda tenho que ir de máquina em máquina para cadastrar esse novo usuário como um Administrador.

    Não gosto de fazer isso, mas ainda não achei uma solução para esse problema. Meus softwares não funcionam se eu deixar o usuário como um usuário padrão.

    Os softwares são instalados localmente, mas buscam bases na rede e quando tento executar os softwares o Windows diz que o acesso a ele é Negado ou parte dos arquivos que o software precisa não são carregados e este não funciona corretamente, normalmente são arquivos que ficam dentro da pasta Windows ou Arquivos de Programas, mas já tentei adicionar nas permisões dessas pastas o usuário Todos (com permissão tudo de tudo), mesmo assim, preciso deixar o usuário como um Administrador.

    terça-feira, 8 de agosto de 2006 16:27

Respostas

  • Calma pessoal...

    A recomendação oficial é bem simples: não deixe usuários comuns, sob hipótese alguma, com privilégios administrativos. Nem que o software exija isso pra funcionar corretamente. Pra isso existe o Windows Logo, que certifica aplicações que são reconhecidamente bem construidas e que funcionam corretamente num ambiente corporativo sem nenhum tipo de "alteração" ou "gambiarra" como por exemplo colocar usuários comuns como admins.

    Se quiserem ter mais informações sobre isso que eu to falando e sobre o princípio do Least-Privilege User Administration, veja no link abaixo:
    http://blogs.msdn.com/aaron_margosis/

    []s,

    Vinicius  
       
    quarta-feira, 16 de agosto de 2006 21:24

Todas as Respostas

  • Tedy006,

    É importante vc saber que esta situação de adicionar usuários como Administradores Locais para poderem rodar algumas aplicações não é recomendável. Aconselho que após solucionar este seu primeiro problema, entre em contato com o fabricante das aplicações, e solicite os requerimentos mínimos para que a aplicação rode com sucesso usando uma credencial de usuário.

    Caso queira identificar as permissões requeridas por alguma aplicação, pode usar aplicações como o REGMON e FILEMON em http://www.sysinternals.com  para monitorar os acessos durante a execução da aplicação.

    Para facilitar o gerenciamento das contas de usuários, vc pode facilitar o seu trabalho criando um grupo no AD e adicionando o mesmo ao grupo Administradores Locais das estações. Assim, é necessário adicionar o usuário apenas ao grupo criado no AD.

    Caso queira fazer algo melhor ainda, use a política de grupos restritos do Active Directory:

    http://technet2.microsoft.com/WindowsServer/en/library/156780ef-eb36-4433-b3fe-1b1a15c18f6a1033.mspx?mfr=true

    http://www.andersonpatricio.org/Tutoriais/AP502_b.html

    Boa sorte,

     

    http://wesleey.spaces.live.com/

    terça-feira, 8 de agosto de 2006 17:55
  • Bom, eu não gosto mesmo de fazer isso que faço, colocar os usuários como Administradores nas estações, mas já havia consultado alguns amigos meus que são admnistradores de redes e os mesmos tem este problema com excessão das empresas que desenvolvem seus softwares internamente e outros não ligam muito para isso, mas ainda não achei uma solução, pelo menos ainda.

    Quanto a grupos, já uso este tipo de organização aqui para facilitar no gerenciamento de acesso de algumas bases de dados em SQL e outras aplicações, mas não consegui encontrar esse usuário que vc comentou: "Administradores Locais das Estações", não sei se é pelo fato de meu Server ser Standard Edition. As opções de administração que tenho em meu AD são: =>> Administração de Empresa, Administradores, Administradores de Esquemas, Administradores de DHCP e Admins. do Domínio<<=.

    Mas, ... verei o que posso fazer.

    Vou analisar os tutoriais para tentar descobrir algo.

    Valeu pelas dicas.

    terça-feira, 8 de agosto de 2006 20:33
  • Outra opção seria administrar a estação remotamente para fazer isso.

    Abraços, Luiz Vaz

    quarta-feira, 9 de agosto de 2006 18:04
  • Boa tarde !
    Realmente vc nunca encontrara no seu AD o grupo "Administradores Locais das Estações", a intençao e que vc na estação (Localmente) coloque o usuario como administrador Local, com isso ele será administrador apenas na estação e será um user comum para o Dominio.
    Tente fazer o seguinte, aqui alguns usuarios necessitam usar programas que modificam o registro, no começo eu colocava estes usuarios com adm local, mas foi apenas necessario dar acesso aceso full a pasta deste programa nos "Arquivos de Programas", encontrar a chave deste programa no regedit e dar permissões para este user. Com isso não preciso mais colocar ninguem como administrador local.
    Tente fazer isso e post como foi..
    ABS..
    quarta-feira, 9 de agosto de 2006 18:32
  • Temos que evitar deixar usuarios comuns com privilegios administrativos na maquina.

    Uma opcao interessante é dar permissao para a aplicacao no registro( regedt32.exe ) e na pasta de aplicacao(permissao NTFS).

     

    quarta-feira, 9 de agosto de 2006 19:32
  • Isso já tentei, mas é muito trabalhoso, imagine que eu precise fazer isso em um departamento com 20 máquinas.

    Não deixa de ser uma solução, mas isso já fiz e não é viável.

    Achei que havia algum jeito mais fácil e o método de deixar como administraores local eu já uso e no domínio como usuário do domínio, mas blz. Valeu pelas dicas.

    quarta-feira, 9 de agosto de 2006 22:34
  • Caro Teddy,

    Acredito que o que Wesley tenha querido dizer é para que você crie um grupo no AD, por exemplo com o nome: "Admin Estações", coloque seus usuário dentro deste grupo (pelo AD mesmo). E depois adicione nas estações este grupo dentro do grupo "administradores" ao invés de você adicionar os usuário dentro do grupo administradores nas estações.

    Desta forma sempre que você criar um usuário, basta adiciona-lo no grupo "Admin Estações" e ele já será administrador das estações.

    Abraço,

    quarta-feira, 9 de agosto de 2006 23:10
  • Calma pessoal...

    A recomendação oficial é bem simples: não deixe usuários comuns, sob hipótese alguma, com privilégios administrativos. Nem que o software exija isso pra funcionar corretamente. Pra isso existe o Windows Logo, que certifica aplicações que são reconhecidamente bem construidas e que funcionam corretamente num ambiente corporativo sem nenhum tipo de "alteração" ou "gambiarra" como por exemplo colocar usuários comuns como admins.

    Se quiserem ter mais informações sobre isso que eu to falando e sobre o princípio do Least-Privilege User Administration, veja no link abaixo:
    http://blogs.msdn.com/aaron_margosis/

    []s,

    Vinicius  
       
    quarta-feira, 16 de agosto de 2006 21:24