locked
Segurança em logon RRS feed

  • Pergunta

  • Bom dia a todos,

    Estou precisando de uma dica de segurança:

    Nos computadores aqui da empresa, nenhum usuario quando loga com a conta de dominio, é administrador do seu micro.

    Porem em muitos casos, precisamos dar suporte no micro, instalar algum software, desinstalar, alterar alguma configuração, instalar impressoras etc.

    Com isso loga-se com a conta de administrador do dominio. ( o que é errado).

    Porem nao meu pequeno conhecimento de AD, nao sei como contornar isso, ou seja, como eu poderia logar com uma conta que me desse privilegios nos computadores dos usuarios para fazer os procedimentos citados acima, sem correr riscos desnecessarios, ou seja logando com a conta de administrador do dominio em um micro de usuario, se tiver um virus, pode espalhar para o dominio inteiro.

    Se alguem puder ajudar, obrigado.

    terça-feira, 28 de maio de 2013 14:35

Respostas

Todas as Respostas

  • Bom dia,

    Você pode usar os Grupos Restritos do Active Directory para fazer essa tarefa, você cria um grupo que representa os técnicos de suporte, cria ou edita uma GPO que afeta as estações do seu domínio e pronto a questão estará resolvida.” Faça da seguinte maneira:

    Abra o Active Directory Users And Computers navegue até a OU em que você armazena os grupos da sua equipe de TI e crie um Grupo de Segurança que representa os técnicos. Nesse artigo criei um grupo de segurança “Administradores Locais” e adicionei as contas de usuários como membros desse grupo. Não vou explicar como criar um grupo no AD, pois todos sabem como fazê-lo.

    Vamos a GPO:

    Abra o Group Policy Management (GPMC) navegue até a OU que armazena as contas de computadores do domínio clique com o botão direito e selecione “Create a GPO in this domain and Link it here…”

    Na tela New GPO forneça um nome amigável para sua política e clique em OK.

    Agora clique com o botão direito na GPO criada e selecione Edit.

    Na tela Group Policy Management Editor, expanda Computer Configuration / Policies / Windows Settings / Security Settings em Restricted Groups clique com o botão direito e selecione Add Group…

    Na tela Add Group adicione o grupo que você criou e clique em OK

    Na tela das propriedades do grupo em “This group is a member of” adicione o grupo “Administrators” e clique em OK.

    Feche o Group Policy Management Editor e o Active Directory Users And Computers, espere até que a politica seja aplicada as estações e o grupo já será membro do grupo local “Administradores
    Uma GPO de configuração aparentemente simples, mas que ajuda muito na administração de um domínio do Active Directory.

    Espero que ajude,

    André


    André Oliveira 19 9715-5001

    terça-feira, 28 de maio de 2013 14:46
  • Ok,

    Os usuarios deste grupo de segurança, seriam administradores dos computadores do dominio.

    Nao da no mesmo?

    Ou seja se sao administradores dos computadores, a fator segurança nao seria o mesmo que mencionei no inicio do post?

    terça-feira, 28 de maio de 2013 15:18
  • J.Carlos, no executável que pretende rodar, segura shift -> clique com o botão direito -> executar com outro usuário não resolve?

    Att, AJones

    terça-feira, 28 de maio de 2013 17:29
  • Desculpe, mas voce nao entendeu.

    Eu preciso fazer varias coisas, e o fato de logar em um micro como administrador, ja pode dar problema.

    terça-feira, 28 de maio de 2013 17:42
  • J.Carlos, na verdade minha sugestão e rodando com o usuário final mas somente executando um instalador por exemplo, com usuário administrativo. Mas se esse processo é muito moroso para sua operação, então sugiro em automatizar os seus processos principais via GPO conforme sugerido pelo André ou scripting. Para algo pontual mas remotamente, você tem a opção de psexec ou com o usuário final logado na máquina, executar as rotinas via runas. Não sei se entendi melhor agora, mas eu costumo automatizar minha tarefas ou via GPO ou scripting para evitar retrabalho.

    Att, AJones

    terça-feira, 28 de maio de 2013 18:05
  • aff... esquece.
    • Marcado como Resposta J.Carlos.Rib terça-feira, 28 de maio de 2013 20:50
    terça-feira, 28 de maio de 2013 18:23