locked
Usuário de dominio x grupo Administrador Local RRS feed

  • Pergunta

  • Pessoal,

    Estou com uma situação que não consigo encontrar a razão. Os usuários de domínio estão no grupo de administrador local das máquinas, porém ao logar nas máquinas com os usuários, as GPOs continuam aplicando e restringindo o acesso..

    O engraçado é que mesmo a GPO de dominio aplicando, ele fica em partes como administrador local, pois acaba permitindo que eu instale um software ou até mesmo acesse os perfis de outros usuários.

    Acredito que alguma coisa na segurança da GPO de dominio causou isso..

    Apenas repassando, não é o UAC...


    terça-feira, 3 de maio de 2016 17:14

Respostas

  • Boa tarde,

    Apenas dando retorno, em uma das GPOs que aplicam tais filtros foi removido o grupo administrators e suas permissões.

    Jurava que não tinha como fazer aplicar GPO de dominio em usuários de domínio no grupo Administradores Locais das máquinas.

    Claro que os usuários continuavam com permissões para instalar, acessar pastas de outros usuários, etc.. Mas com a GPO aplicando.

    De qualquer forma, podem marcar como resolvido.

    quarta-feira, 1 de junho de 2016 19:17

Todas as Respostas

  • Boa tarde,

    Muitas vezes o usuário pode continuar com acesso Administrador local se o nome do usuário anterior a ingressão do domínio for o mesmo do domínio. Para corrigir, vá em painel de controle, contas de usuário e depois gerenciar contas, verifique as contas que estão configuradas no computador, o ideal é que tenho somente as contas do domínio e a do Administrador do computador, sem ser a do domínio. 

    Feito isso, os usuarios vão ter todos as permissões configuradas pelas GPOs.

    att,

    Rodrigo Papoy.

    • Sugerido como Resposta Rodrigo Papoy terça-feira, 3 de maio de 2016 17:31
    terça-feira, 3 de maio de 2016 17:31
  • Alinson, você já experimentou dá um gpupdate /force em alguma máquina, para verificar se a GPO foi mesmo aplicada??
    terça-feira, 3 de maio de 2016 17:32
  • Boa tarde Rodrigo,

    Não existem usuários antes de ingressar no dominio. Até poucos dias estava funcionando normalmente.

    As GPOs aplicam nomalmente.. se eu quiser negalas, sem problemas.. o problema está somente em ao adicionar um usuário de dominio no grupo de administrador local e o mesmo continuar a aplicar as GPOs e não liberar o acesso.

    gpupdate /force não resolve... As GPOs estão sendo aplicadas, pois verifico através do gpresult..

    terça-feira, 3 de maio de 2016 18:28
  • Alinson,

    Dê um gpresult /r em alguma estação, avalie todas as politicas que estão sendo aplicadas e a ordem....Me parece ser um erro de configuração....

    terça-feira, 3 de maio de 2016 19:55
  • Arlen,

    Verificando novamente, as políticas que estão sendo aplicadas são as mesmas que sempre foram aplicadas.

    Pode ser um erro de configuração, pois tem mais administradores que gerenciam as GPOs. Para você ter uma ideia vou voltar uma cópia da VM PDC para ver se descubro se algo foi alterado.

    Só fico "encucado", pois colocando no grupo de administrador local da máquina, ele não deveria de forma alguma continuar aplicando as configurações de GPO.

    Já verifiquei também em todas GPOs se não havia sido criado algum grupo restrito..

        Objetos de diretiva de grupo aplicados
        ---------------------------------------
            Default Domain Policy
            GPO Geral 
            GPO Usuarios
            Diretivas de grupo locais

        Os GPOs a seguir nÆo foram aplicados porque foram filtrados
        ------------------------------------------------------------
            Certificado Exchange
                Filtragem:  NÆo aplicado (vazio)

        O usu rio faz parte dos seguintes grupos de seguran‡a
        -----------------------------------------------------
            Domain Users
            Todos
            Administradores
            Usu rios
            Usu rios da  rea de trabalho remota
            REMOTE INTERACTIVE LOGON
            INTERATIVO
            Usu rios autenticados
            Esta organiza‡Æo
            LOCAL
            GRUPO_TELEFONIA
            GRUPO_ACESSO_INTERNET
            GRUPO_ACESSO REMOTO
            GRUPO_NCOMPUTING
            N¡vel Obrigat¢rio Alto


    terça-feira, 3 de maio de 2016 20:20
  • Bom dia alinsonsilva,

    Em que pé estamos na resolução de seu problema? Conseguiu algo novo? Continua sem conseguir aplicar as políticas?

    Abraço.


    Thales F Quintas

    Esse conteúdo e fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quarta-feira, 4 de maio de 2016 14:12
  • Boa tarde Thales, 

    As GPOs de dominio aplicam normalmente.. se eu negar as GPOs, negam também, sem problemas.

    O problema está em colocar um usuário de dominio como Administrador Local da máquina (grupo Administradores local), e as GPOs continuarem barrando painel de controle, propriedades do sitema, etc..

    Vou ver para voltar uma VM controladora de dominio em um ambiente a parte para validar se algo está diferente..

    quarta-feira, 4 de maio de 2016 16:03
  • Bom dia alinsonsilva,

    Teve sucesso no seu procedimento?

    Abraço.


    Thales F Quintas

    Esse conteúdo e fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 9 de maio de 2016 14:03
  • Boa tarde Thales,

    Sim, voltei a VM, analisei todas as GPOs, segurança etc, grupos.. e não consegui encontrar o que possa ter sido modificado.

    Vou acabar configurando pela GPO quem serão os administradores locais para ver se funcionará, ao invés de adicionar nas máquinas..

    Nunca vi acontecer isso..

    segunda-feira, 9 de maio de 2016 17:12
  • Boa tarde,

    Apenas dando retorno, em uma das GPOs que aplicam tais filtros foi removido o grupo administrators e suas permissões.

    Jurava que não tinha como fazer aplicar GPO de dominio em usuários de domínio no grupo Administradores Locais das máquinas.

    Claro que os usuários continuavam com permissões para instalar, acessar pastas de outros usuários, etc.. Mas com a GPO aplicando.

    De qualquer forma, podem marcar como resolvido.

    quarta-feira, 1 de junho de 2016 19:17