locked
Inserir grupo do AD como membro de Administrador local via GPO. RRS feed

  • Pergunta

  •  

    Pessoal, gostaria de saber como crio uma gpo para inserir um grupo qualquer do AD como membro do grupo de administradors locais das estações? Esse grupo do AD também deve ter permissão de colocar estação no domínio.

     

    Aguardo o retorno.

     

    Att. Arruda

    sexta-feira, 3 de agosto de 2007 12:38

Respostas

  •  

    Boa tarde,

     

    O que voce pode fazer, é, na estação de trabalho X voce vai ate o Painel de Controle e em usuários voce coloca o usuário do dominio como administrador local, assim, este usuário terá poderes administrativos na estação local X.

     

    ou

     

    Em: Configuração de Computador > Configurações de segurança > Restricted Groups

    - Crie o grupo ADMINISTRADORES e coloque dentro dele:

                       - Administradores

                      

    Caso a resposta tenha ajudado, marque-a como Resposta.

     

    Abraço

    sexta-feira, 3 de agosto de 2007 18:38

Todas as Respostas

  • Bom dia Arruda,

     

    Para que voce atribua permissão ao usuário para colocar uma maquina no dominio, voce deve criar essa GPO:

     

    Configurações do Computador>Configurações do Windows>Diretivas Locais>Atribuição de Direito

     

    Ative o "adicionar estação de trabalho ao dominio" e coloque o grupo ou os usuários que possam colocar workstation no dominio.

     

    Caso a resposta tenha ajudado, marque-a como Resposta.

     

    Abraço

    sexta-feira, 3 de agosto de 2007 12:59
  • Paulo, o fato de o grupo ter permissão em "adicionar estação de trabalho ao domínio" já fará com que este grupo também seja administrador da estação?

     

    Att.

    Arruda

    sexta-feira, 3 de agosto de 2007 15:00
  •  

    Nao, pois isso é uma GPO que voce configura na UO onde determinado úsuário esta, e isso é apenas permissao para inserir computadores ao dominio, as demais permissoes continuam na mesma.

     

    Caso a resposta tenha ajudado, marque-a como Resposta.

     

    Abraço

    sexta-feira, 3 de agosto de 2007 15:44
  • Paulo, então fizemos uma parte do que preciso. Agora, como faço para colocar um grupo do ad com permissão de administrador nas estações? Se possível, gostaria de fazer isto via gpo.

     

     

     

    Att. Arruda

    sexta-feira, 3 de agosto de 2007 17:35
  •  

    Boa tarde,

     

    O que voce pode fazer, é, na estação de trabalho X voce vai ate o Painel de Controle e em usuários voce coloca o usuário do dominio como administrador local, assim, este usuário terá poderes administrativos na estação local X.

     

    ou

     

    Em: Configuração de Computador > Configurações de segurança > Restricted Groups

    - Crie o grupo ADMINISTRADORES e coloque dentro dele:

                       - Administradores

                      

    Caso a resposta tenha ajudado, marque-a como Resposta.

     

    Abraço

    sexta-feira, 3 de agosto de 2007 18:38
  •  

    Boa tarde Arruda

     

    Já conseguiu uma solução para inserir um grupo qualquer do AD como membro do grupo de administradors locais das estações via gpo? Se tiver me ajude. Deve ter uma solução, imagina 200 estações e vc precisa inserir 30 usuarios com direito de administrador local pc por pc, não dá.

     

    Obrigado

     

     

    domingo, 16 de dezembro de 2007 15:24
  •  

    Amigão, já conseguiu a solução, pois se não me avisa que te mando o procedimento.

     

     

    Abraço

     

     

    segunda-feira, 28 de janeiro de 2008 14:48
  • Coronel,

     

    Se possível,vc poderia mandar esse procedimento para mim.

     

    Diante mão,muito obrigado.

     

    Abraços

     

     

    terça-feira, 29 de janeiro de 2008 12:09
  •  

    Amigo, utilize o script abaixo:

     

     

    Salve o script abaixo com o nome de AddAdmin.vbs coloque no Netlogon

    strComputer = "."
    strSID = "S-1-5-32-544"

    Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
    Set objSID = objWMIService.Get("Win32_SID='" & strSID & "'")
    groupname=objSID.AccountName
    Set objNetwork = WScript.CreateObject("WScript.Network")
    Set objGroup = GetObject("WinNT://" & objNetwork.ComputerName & "/"&groupname&",group")
     
    For Each strArgument in Wscript.Arguments
                    x = InStr(strArgument,"\")

                    if X>0 Then

                                    Domain_Name = Left(strArgument,x-1)
                                    Admin_Name = Right(strArgument,Len(strArgument)-x)
                                    DNPath = "WinNT://" & Domain_Name & "/" & Admin_Name
                                   
                                    On Error Resume Next
                                    If Not objGroup.IsMember(DNPath) Then objGroup.Add(DNPath)
                                    On Error Goto 0
                                    End If     
                    Next


    Set objGroup = Nothing
    set objNetwork = Nothing

     

    Abra a Group Policy de estações:

     

    Windows Settings

    Scripts / Startup

    Adicione um novo script.

    em Script name digite:

    \\domino.com.br\netlogon\addadmin.vbs

    em script parameters coloque o nome do grupo, por exemplo WKSADMIN

     

    Dominio\"WKSADMIN"

    e clique em OK.

     

    espero ter ajudado, não esqueça de classificar a pergunta como respondida.

     

    Obrigado.

     

    terça-feira, 29 de janeiro de 2008 12:33
  • Como segunda opção na propria aba de GPO tem uma opção que lhe permite informa os grupos que desejam ser adicionado como administrador local das estações sem precisar de script.
    sábado, 2 de fevereiro de 2008 15:05
  • e que aba é essa?

     

    quinta-feira, 11 de setembro de 2008 01:55
  •  

    Oi, boa tarde!

     

    Seguinte, vá na GPO e clique em -> Computer Configuration, Windows Settings, Security Settings, Restricted Groups, Adiciona o Grupo la que pretence ao domínio, e coloca esse grupo pertencente ao Administrators que pertencem ao Bult-in. Não esqueça de ligar a GPO á OU que estão as contas de computador.

     

    OBS: Como é GPO de configuração de Computador, apenas o Gpupdate /force nao funcionará, é necessário reiniciar as maquinas.

     

     

    Espero ter ajudado!

     

     

    Abraço.

     

     

    Thiago Coronel

    Consultor Becker Consultoria

    MCDST - MCSA - SSE - STS

    quinta-feira, 11 de setembro de 2008 18:23
  • O que exatamente esse script está fazendo ?

    Amigo, utilize o script abaixo:

     

     

    Salve o script abaixo com o nome de AddAdmin.vbs coloque no Netlogon

    strComputer = "."
    strSID = "S-1-5-32-544"

    Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
    Set objSID = objWMIService.Get("Win32_SID='" & strSID & "'")
    groupname=objSID.AccountName
    Set objNetwork = WScript.CreateObject("WScript.Network")
    Set objGroup = GetObject("WinNT://" & objNetwork.ComputerName & "/"&groupname&",group")
     
    For Each strArgument in Wscript.Arguments
                    x = InStr(strArgument,"\")

                    if X>0 Then

                                    Domain_Name = Left(strArgument,x-1)
                                    Admin_Name = Right(strArgument,Len(strArgument)-x)
                                    DNPath = "WinNT://" & Domain_Name & "/" & Admin_Name
                                   
                                    On Error Resume Next
                                    If Not objGroup.IsMember(DNPath) Then objGroup.Add(DNPath)
                                    On Error Goto 0
                                    End If     
                    Next


    Set objGroup = Nothing
    set objNetwork = Nothing

     

    Abra a Group Policy de estações:

     

    Windows Settings

    Scripts / Startup

    Adicione um novo script.

    em Script name digite:

    \\domino.com.br\netlogon\addadmin.vbs

    em script parameters coloque o nome do grupo, por exemplo WKSADMIN

     

    Dominio\"WKSADMIN"

    e clique em OK.

     

    espero ter ajudado, não esqueça de classificar a pergunta como respondida.

     

    Obrigado.

     


    quarta-feira, 14 de dezembro de 2011 15:07
  • Abra o Group Policy Management (GPMC) navegue até a OU que armazena as contas de computadores do domínio clique com o botão direito e selecione “Create a GPO in this domain and Link it here…”

    Na tela New GPO forneça um nome amigável para sua política e clique em OK.

    Agora clique com o botão direito na GPO criada e selecione Edit.

    Na tela Group Policy Management Editor, expanda Computer Configuration / Policies / Windows Settings / Security Settings em Restricted Groups clique com o botão direito e selecione Add Group…

    Na tela Add Group adicione o grupo que você criou e clique em OK.

    Na tela das propriedades do grupo em “This group is a member of” adicione o grupo “Administrators” e clique em OK.

    Feche o Group Policy Management Editor e o Active Directory Users And Computers, espere até que a politica seja aplicada as estações e o grupo já será membro do grupo local “Administradores

    Uma GPO de configuração aparentemente simples, mas que ajuda muito na administração de um domínio do Active Directory.


    Você usa a máscara tanto tempo que esquece quem você é.

    • Sugerido como Resposta BeatrizCosta segunda-feira, 22 de junho de 2015 18:21
    quarta-feira, 29 de fevereiro de 2012 14:15
  • O problema desse procedimento é que o usuário fica como administrador local e tambem como administrador do dominio. Existe alguma GPO que eu consiga por o usuario APENAS como administrador LOCAL. e não como administrador do Dominio. ?
    quinta-feira, 12 de julho de 2012 12:18
  • Ola Paskaw!

    Seguinte o procedimento a seguir faz com que os usuarios selecionados fiquem como Admin apenas local!

    Qualquer duvida avisa ae que eu monto um tutorial pra vc! Abç

    Abra o Group Policy Management (GPMC) navegue até a OU que armazena as contas de computadores do domínio clique com o botão direito e selecione “Create a GPO in this domain and Link it here…”

    Na tela New GPO forneça um nome amigável para sua política e clique em OK.

    Agora clique com o botão direito na GPO criada e selecione Edit.

    Na tela Group Policy Management Editor, expanda Computer Configuration / Policies / Windows Settings / Security Settings em Restricted Groups clique com o botão direito e selecione Add Group…

    Na tela Add Group adicione o grupo que você criou e clique em OK.

    Na tela das propriedades do grupo em “This group is a member of” adicione o grupo “Administrators” e clique em OK.

    Feche o Group Policy Management Editor e o Active Directory Users And Computers, espere até que a politica seja aplicada as estações e o grupo já será membro do grupo local “Administradores

    Uma GPO de configuração aparentemente simples, mas que ajuda muito na administração de um domínio do Active Directory.


    Você usa a máscara tanto tempo que esquece quem você é.

    quinta-feira, 12 de julho de 2012 12:29
  • Bom Dia Anezio,

    Tentei seguir seu tutorial mas acho que errei em algum lugar. Postarei em ordem como fiz os procediemntos.

    Esta é minha estrutura inicial de OUs


    - Primeiro transferi todos os computadores que se registraram automaticamente na pasta Computers, para a OU Computadores.
    - Criei o Grupo Global na OU raiz com o nome de Administrador_local
    - Abri o GPMC e naveguei a OU Computadores e criei uma GPO com o nome de Administrador_Local
    - Segui o caminho ate os grupos restritos e adicionei o grupo Administrador_local.
    - Na tela que apareceu, coloquei que ele era membro de Administradores.

    - Tentei dessa maneira e não funcionou
    - Tentei colocar tambem os nomes dos usuarios que eu queria que tivessem os direitos na mesma tela do ultimo passo descrito e não funcionou
    - Tentei colocar cada usuario como membro do grupo administrador_local, deixando este como primario e tendo apenas mais um grupo vazio, criado apenas para organização, e não funcionou

    Onde posso estar errando??? 

    quarta-feira, 15 de agosto de 2012 14:45
  • Leonardo, vamos ver se eu entendi o que vc fez!

    • Primeiro vc optou por separar os grupos de usuarios e computadores dentro dessas unidades organizacionais (Ditetoria, TI etc)
    • depois vc criou um grupo que seria os administradores locais (Administrador_Local)
    1. As unidades organizacionais e o grupo estão vinculados ao domínio crescabrasil.sa?
    2. faz um teste, cria o grupo dentro do diretorio users

    Se não funcionar avisa que monto um tuto com todas as fotos!

    Abraço


    Você usa a máscara tanto tempo que esquece quem você é.

    segunda-feira, 20 de agosto de 2012 17:08
  • Anezio, 

    eu fiz todos procedimentos conforme tua explicação, mais notei que o usuário fica com permissão administrador do domínio e não somente administrador da estação, ele consegue abrir todas pastas compartilhadas do servidor entre outras funções.

    Aguardo retorno, estou precisando resolver isso.

    Obrigado antecipadamente,

    Antonio


    • Editado Campiola quinta-feira, 11 de abril de 2013 22:46 consertar texto
    quinta-feira, 11 de abril de 2013 22:45
  • Muito boa essa explicação me ajudou bastante. Só precisei dar algumas permissões mais deu certinho. Obrigada



    segunda-feira, 22 de junho de 2015 18:22
  • Abra o Group Policy Management (GPMC) navegue até a OU que armazena as contas de computadores do domínio clique com o botão direito e selecione “Create a GPO in this domain and Link it here…”

    Na tela New GPO forneça um nome amigável para sua política e clique em OK.

    Agora clique com o botão direito na GPO criada e selecione Edit.

    Na tela Group Policy Management Editor, expanda Computer Configuration / Policies / Windows Settings / Security Settings em Restricted Groups clique com o botão direito e selecione Add Group…

    Na tela Add Group adicione o grupo que você criou e clique em OK.

    Na tela das propriedades do grupo em “This group is a member of” adicione o grupo “Administrators” e clique em OK.

    Feche o Group Policy Management Editor e o Active Directory Users And Computers, espere até que a politica seja aplicada as estações e o grupo já será membro do grupo local “Administradores

    Uma GPO de configuração aparentemente simples, mas que ajuda muito na administração de um domínio do Active Directory.


    Você usa a máscara tanto tempo que esquece quem você é.

    Funciona 100% no server 2012, testado e aprovado.
    quarta-feira, 19 de agosto de 2015 19:47
  • Bom dia,

    Aqui não funcionou... Windows Server 2012 R2 e Windows 10

    sexta-feira, 4 de março de 2016 11:55
  • Olá,

    Entrei aqui no forum para tentar ajudar com sua duvida e dos demais (assim como eu) que não conseguiram criar uma conta com privilégios adm local.

    Após dar uma estudada a fundo encontrei a solução (ou uma das soluções).

    Vamos lá:

    1- Crie um grupo no AD com o nome que você achar melhor, eu defini o meu como ADM. (obs.: esse grupo não precisa ser membro de nenhuma conta)


    2- Edite a "Default Domain Policy"

    expanda "configuração do usuário" > "preferencias" > "configuracoes do painel de controle" > "usuarios e grupos locais"

    clique em "novo" > "grupo local"

    defina a ação como "atualizar"

    defina "não configurar para usuário atual"

    clique em "adicionar" e adicione o grupo que você criou no AD.

    de "ok"

    3- atualize a diretiva / aplique o gpupdate /force

    4- Pronto: toda vez que vc quiser que um usuário tenha privilégios adm locais é só torna-lo membro do grupo que você criou.

    Abs.

    Simple TI

    contato@simpleinformatica.com.br

    quarta-feira, 9 de novembro de 2016 06:17
  • Muito sua explicação ..realizei seu procedimento e deu tudo certo..fiquei um bom tempo pesquisando ate achar uma forma definitiva que de certo..graças a DEUS existem pessoas como vocês para tarem ajudando as pessoas que estão iniciando agora ..ou que nunca tinha passado por esta situação antes..

    Tive que formatar meu serve umas três vezes de tanta alteração que fiz..

    Agora os usuários do domínio que não conseguiam instalar programas alterar configurações de rede.

    consegue realizar tudo.qualquer alteração como administrador 

    Mais consegui agradeço você ..e continue assim você vai longe !!!

    Eu sou brasileiro não desisto nunca

    Poeta Wandeir Picasso

     
    sábado, 7 de janeiro de 2017 11:27
  • boa tarde,  tudo bem?  estava procurando uma solução para este problema , e vi que voce encontrou ,  poderia me dizer como eu faço esse procedimento no windows server 2003 ,  meu AD nao tem esse preferencia  , na configuracao de usuario , apenas configuração de softwares, configuracao windows e modelos administrativos .   poderia me ajudar . obrigado
    sábado, 11 de fevereiro de 2017 19:54
  • Fiz o procedimento, mas não deu certo!
    quinta-feira, 9 de maio de 2019 16:33
  • Obrigado, no meu caso somente este procedimento alterando a Default Domain Policy já funcionou perfeitamente.

    Obrigado mais uma vez.


    sexta-feira, 25 de outubro de 2019 19:01