none
Administrador Local vs. Domínio RRS feed

  • Pergunta

  • Boa tarde galera,

    Meu problema é o seguinte, em um determinado cliente, eles acessam o computador com a conta de administrador local, quando necessitam acessar uma pasta da rede, entram com o usuário e senha que possuem e acessam normalmente, obviamente isso não deveria ser assim, mas como já peguei a rede nessa situação, ainda vou demorar um pouco para convencer a empresa a mudar e só usar logado no domínio.

    Porem, por enquanto, preciso que esses usuários não consigam acessar o servidor, eles não devem ter permissão para isso, pensei que a solução fosse colocar o administrador do computador local em um grupo no domínio e negar o acesso desse grupo nas pastas compartilhadas no servidor. Mas não consigo colocar a conta local em um grupo no servidor.

    O que dizem? Alguem tem uma sugestão para fazer isso? Na verdade esses usuários nem precisam acessar o servidor para nada, podem trabalhar local, mas não posso tirar eles da rede, porque precisa de internet e também usar impressora.

    Aguardo opiniões e dicas.

    Abraços,

    Alex Linche

     

    segunda-feira, 1 de agosto de 2011 19:52

Respostas

  • Oi Alex,

    Eu testei aqui antes de te passar e funcionou da maneira que você precisa.

    Você também pode tirar o DNS destes desktops e colocar um de Internet (Speedy, Virtua, etc...). OS usuários continuarão navegando.

    Se houver algum problema para enxergar o servidor de impressão, cadastre-o também no arquivo hosts com o hostname e IP corretos e deverá funcionar.

    Fico no aguardo.


    Paul Haro - Microsoft Certified Professional
    • Marcado como Resposta Richard Juhasz segunda-feira, 8 de agosto de 2011 19:52
    sexta-feira, 5 de agosto de 2011 12:22
    Moderador

Todas as Respostas

  • Amigo,

    A conta de administrador local de uma estação só pode ser utilizada "localmente", como já diz o nome (Conta local).

    Crie um grupo específico e adicione todas as contas dos usuários, com exceção do usuário Administrador (do Domínio) e outras contas que você utilize para gerenciamento.

    Adicione este grupo nas pastas compartilhadas e negue o acesso. Desta forma. você evitará o acesso dos usuários nas pastas.

    Abs.


    Paul Haro - Microsoft Certified Professional
    segunda-feira, 1 de agosto de 2011 20:04
    Moderador
  • Legal. farei isso, já deve resolver o problema. Apenas mais uma questão, caso eu negue permissão a essas pastas para a conta do COMPUTADOR, funcionaria? Acredito que não por não estar logado no domínio e sim local, mas quando ele for acessar a pasta compartilhada na rede, bloquearia, ou estou errado?

     

    segunda-feira, 1 de agosto de 2011 20:16
  • Oi Alex,

    Este é o raciocínio. No entanto, se você esquecer alguma estação, ou se algum usuário plugar um notebook na rede por exemplo, ele vai conseguir acessar o conteúdo do servidor.

    Bloqueando as contas dos usuários, não há como acontecer. Acredito que o bloqueio através de grupos de usuário seja mais efetivo.

    Outro detalhe: Se os usuários não devem acessar os compartilhamentos, remova-os e ponto final. Compartilhe apenas pastas que os usuários realmente precisem acessar e dê apenas as pemissões que os usuários realmente devem ter.

     

    Abs.


    Paul Haro - Microsoft Certified Professional
    segunda-feira, 1 de agosto de 2011 20:25
    Moderador
  • Então Paulo, entendi a questão, mas um dois problemas é o seguinte. Esse usuário não pode acessar a rede daquele computador, e por isso logam como administrador local, mas eles vão até a rede e logam com usuário e senha, e acessam normalmente.

    O que acontece é que especificamente nesse computador e mais um outro, não devem acessar a rede, mas em outros computadores, podem acessar normalmente. Se eu bloquear acesso da conta do computador a essa pasta na rede, independente do usuário logado no domínio, não deveria acessar o compartilhamento. Estou certo?

    Caso esteja certo, como faço para que esse computdor fique bloqueado, mesmo usando o administrador local? ou seja, fora do domínio?

    segunda-feira, 1 de agosto de 2011 20:32
  • Entendi Alex,

    Faça o seguinte. Eleja uma pasta compartilhada para testarmos.

    Adicione a conta de um destes 2 computadores na pasta compartilhada e negue o acesso.

    O logon local deverá ocorrer normalmente, porém, deverá ser restringido quando o usuário se autenticar para tentar acessar a pasta acima.

    Poste o resultado.

    Abs.


    Paul Haro - Microsoft Certified Professional
    segunda-feira, 1 de agosto de 2011 20:44
    Moderador
  • Legal, farei o teste amanhã e posto o resultado.

    Abraços,Alex Linche

     

    segunda-feira, 1 de agosto de 2011 20:47
  • Alex,

    Bom dia!

    Enquanto você não convence a galera a ficar com usuário normal, tente deixar da seguinte forma. Crie os usuários normalmente e depois adicione o usuário de rede como administrador local da máquina cliente. Assim ele pode continuar com a mordomia(permissões) e ao mesmo tempo consigurá acessar as pastas compartilhadas que você indicar, como o Paulo já sugeriu.

    Espero ter ajudado.


    Abraços,
    Pietro.
    terça-feira, 2 de agosto de 2011 13:02
  • Fala Pietro, então, é justamente o contrário que eu quero fazer. O usuário administrador local não deve acessar a rede, mas quando alguem, logado com adminstrador local, clica na pasta compartilhada da rede, solicita o usuário e senha do domínio, aí o usuário entra com seu usuário e conta (que não é para usar nesse computador especificamente, e sim nos outros) e tem acesso normal a pasta.

    Resumindo, o correto seria esse computador não acessar o servidor.

    terça-feira, 2 de agosto de 2011 23:18
  • Paulo, fiz o teste e não funcionou, se formos analisar, realmente não deveria funcionar, ou seja, a conta do computador está bloqueada nas permissões da pasta no domínio, mas como o usuário entra com o administrador local, as permissões não são aplicadas, pois o computador não entrou no domínio e sim localmente.

    E quando o usuário clica na pasta, o que solicita é usuário e senha do domínio, ele entra e as permissões dele permite acessar normalmente, até porque ele tem permissão, quem não tem é o computador, mas o computador não está logado no domínio.

    Consegui explicar??

    O que acham?

    terça-feira, 2 de agosto de 2011 23:23
  • Alex,

    No caso que eu falei, o administrador não acessa a rede. O usuário de rede "joão.silva" será adicionado ao grupo de admnistrador local da máquina cliente dele. Então o joao.silva terá acesso administrativo a máquina local, e ao seu servidor ele terá acesso de usuário comum, ou o que você determinar para ele.


    Abraços,
    Pietro.
    quarta-feira, 3 de agosto de 2011 16:22
  • Oi Alex,

    Quantos servidores estes 2 computadores não podem acessar ?

    Quais os papéis destes servidores ?

    Obrigado.


    Paul Haro - Microsoft Certified Professional
    quarta-feira, 3 de agosto de 2011 16:36
    Moderador
  • Oi Alex,

    Quantos servidores estes 2 computadores não podem acessar ?

    Quais os papéis destes servidores ?

    Obrigado.


    Paul Haro - Microsoft Certified Professional


    Vamos lá, vou explica detalhadamente.`

    Lá é um laboratório de pesquisa de medicamentos. Eles possuem uma sala onde tem 3 computadores, que estao interligados em equipamentos de teste, sao aparelhos específicos para o trabalho deles, e esses equipamentos geram dados que sao analisados por um software da própria empresa fornecedora do equipamento. Os funcionárioa que trabalham nessa sala, possuem todos acesso as pastas compartlhadas no domínio e podem acessar, tem permissão para isso. A questão é que eles podem acessar normalmente, sem problemas, mas NÂO nesses 3 computadores, fora dessa sala existem outras máquinas que ele podem acessar.

    Então precisava bloquear que esses computadores acessem os dados do servidor, mas nao posso bloquear a rede porque eles precisam imprimir os relatórios gerados pelo software, em uma impressora de rede.

    Eles preferem usar o computador como administrador local ao invés de logarem no domínio. Então esse é o problema, como deixa-los usar como administrador local sem ter acesso as pastas da rede quando clicam duas vezes nela e solicita usuário e senha, pois se digitarem, acessam a rede normalmente.

    Acho que ficou melhor explicado agora, alguma sugestao?

     

    quinta-feira, 4 de agosto de 2011 14:17
  • Ok,

    Então eles não podem acessar apenas este servidor, correto ? 

    Este servidor é print server também ?

    Obrigado.


    Paul Haro - Microsoft Certified Professional
    quinta-feira, 4 de agosto de 2011 14:52
    Moderador
  • Ok,

    Então eles não podem acessar apenas este servidor, correto ? 

    Este servidor é print server também ?

    Obrigado.


    Paul Haro - Microsoft Certified Professional


    Isso, eles não podem acessar esse servidor, o único da empresa, apenas nessas 3 maquinas. O servidor não é print server.

    A impressora é uma impressora com rede e ip fixo.

    quinta-feira, 4 de agosto de 2011 15:22
  • Faça o seguinte,

    Edite o arquivo hosts, alocado em C:\windows\system32\drivers\etc

    Coloque a seguinte informação

    127.0.0.1  TAB     Nome_do_seu_Servidor

    Onde eu digitei TAB, é para você pressionar a tecla TAB entre os campos.

    Em vez de 127.0.0.1 você pode colocar qualquer outro IP, de preferência algum que não exista. No caso do 127.0.0.1, este endereço refere-se à própria máquina.

    Poste o resultado e diga se te ajuda.

    Obrigado.


    Paul Haro - Microsoft Certified Professional
    quinta-feira, 4 de agosto de 2011 15:44
    Moderador
  • Legal, 

    Faça o seguinte,

    Edite o arquivo hosts, alocado em C:\windows\system32\drivers\etc

    Coloque a seguinte informação

    127.0.0.1  TAB     Nome_do_seu_Servidor

    Onde eu digitei TAB, é para você pressionar a tecla TAB entre os campos.

    Em vez de 127.0.0.1 você pode colocar qualquer outro IP, de preferência algum que não exista. No caso do 127.0.0.1, este endereço refere-se à própria máquina.

    Poste o resultado e diga se te ajuda.

    Obrigado.


    Paul Haro - Microsoft Certified Professional

     

    Legal, essa pode realmente ser uma boa idéia, não tinha pensado nisso, vou fazer o teste, porém, pode ser que não dê certo, visto que o DNS local está configurado com o IP do servidor. Mas posso alterar também, de qualquer forma muito obrigado Paulo, acho que só testarei isso na segunda, mas postarei os resultados.

    sexta-feira, 5 de agosto de 2011 12:02
  • Oi Alex,

    Eu testei aqui antes de te passar e funcionou da maneira que você precisa.

    Você também pode tirar o DNS destes desktops e colocar um de Internet (Speedy, Virtua, etc...). OS usuários continuarão navegando.

    Se houver algum problema para enxergar o servidor de impressão, cadastre-o também no arquivo hosts com o hostname e IP corretos e deverá funcionar.

    Fico no aguardo.


    Paul Haro - Microsoft Certified Professional
    • Marcado como Resposta Richard Juhasz segunda-feira, 8 de agosto de 2011 19:52
    sexta-feira, 5 de agosto de 2011 12:22
    Moderador
  • Desculpa a demora para responder Paulo, eu ainda não voltei na empresa por problemas pessoais, mas devo ir nessa semana lá, acredito que vai funcionar.

     

    Abraços,

    Alex Linche

    terça-feira, 23 de agosto de 2011 21:13