Usuário com melhor resposta
Usuário de dominio x grupo Administrador Local

Pergunta
-
Pessoal,
Estou com uma situação que não consigo encontrar a razão. Os usuários de domínio estão no grupo de administrador local das máquinas, porém ao logar nas máquinas com os usuários, as GPOs continuam aplicando e restringindo o acesso..
O engraçado é que mesmo a GPO de dominio aplicando, ele fica em partes como administrador local, pois acaba permitindo que eu instale um software ou até mesmo acesse os perfis de outros usuários.
Acredito que alguma coisa na segurança da GPO de dominio causou isso..
Apenas repassando, não é o UAC...
terça-feira, 3 de maio de 2016 17:14
Respostas
-
Boa tarde,
Apenas dando retorno, em uma das GPOs que aplicam tais filtros foi removido o grupo administrators e suas permissões.
Jurava que não tinha como fazer aplicar GPO de dominio em usuários de domínio no grupo Administradores Locais das máquinas.
Claro que os usuários continuavam com permissões para instalar, acessar pastas de outros usuários, etc.. Mas com a GPO aplicando.
De qualquer forma, podem marcar como resolvido.
- Marcado como Resposta Thales F Quintas quarta-feira, 1 de junho de 2016 19:19
quarta-feira, 1 de junho de 2016 19:17
Todas as Respostas
-
Boa tarde,
Muitas vezes o usuário pode continuar com acesso Administrador local se o nome do usuário anterior a ingressão do domínio for o mesmo do domínio. Para corrigir, vá em painel de controle, contas de usuário e depois gerenciar contas, verifique as contas que estão configuradas no computador, o ideal é que tenho somente as contas do domínio e a do Administrador do computador, sem ser a do domínio.
Feito isso, os usuarios vão ter todos as permissões configuradas pelas GPOs.
att,
Rodrigo Papoy.
- Sugerido como Resposta Rodrigo Papoy terça-feira, 3 de maio de 2016 17:31
terça-feira, 3 de maio de 2016 17:31 -
-
Boa tarde Rodrigo,
Não existem usuários antes de ingressar no dominio. Até poucos dias estava funcionando normalmente.
As GPOs aplicam nomalmente.. se eu quiser negalas, sem problemas.. o problema está somente em ao adicionar um usuário de dominio no grupo de administrador local e o mesmo continuar a aplicar as GPOs e não liberar o acesso.
gpupdate /force não resolve... As GPOs estão sendo aplicadas, pois verifico através do gpresult..
terça-feira, 3 de maio de 2016 18:28 -
Alinson,
Dê um gpresult /r em alguma estação, avalie todas as politicas que estão sendo aplicadas e a ordem....Me parece ser um erro de configuração....
terça-feira, 3 de maio de 2016 19:55 -
Arlen,
Verificando novamente, as políticas que estão sendo aplicadas são as mesmas que sempre foram aplicadas.
Pode ser um erro de configuração, pois tem mais administradores que gerenciam as GPOs. Para você ter uma ideia vou voltar uma cópia da VM PDC para ver se descubro se algo foi alterado.
Só fico "encucado", pois colocando no grupo de administrador local da máquina, ele não deveria de forma alguma continuar aplicando as configurações de GPO.
Já verifiquei também em todas GPOs se não havia sido criado algum grupo restrito..
Objetos de diretiva de grupo aplicados
---------------------------------------
Default Domain Policy
GPO Geral
GPO Usuarios
Diretivas de grupo locais
Os GPOs a seguir nÆo foram aplicados porque foram filtrados
------------------------------------------------------------
Certificado Exchange
Filtragem: NÆo aplicado (vazio)
O usu rio faz parte dos seguintes grupos de seguran‡a
-----------------------------------------------------
Domain Users
Todos
Administradores
Usu rios
Usu rios da rea de trabalho remota
REMOTE INTERACTIVE LOGON
INTERATIVO
Usu rios autenticados
Esta organiza‡Æo
LOCAL
GRUPO_TELEFONIA
GRUPO_ACESSO_INTERNET
GRUPO_ACESSO REMOTO
GRUPO_NCOMPUTING
N¡vel Obrigat¢rio Alto
terça-feira, 3 de maio de 2016 20:20 -
Bom dia alinsonsilva,
Em que pé estamos na resolução de seu problema? Conseguiu algo novo? Continua sem conseguir aplicar as políticas?
Abraço.
Thales F Quintas
Esse conteúdo e fornecido sem garantias de qualquer tipo, seja expressa ou implícita
TechNet Community Support
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
quarta-feira, 4 de maio de 2016 14:12 -
Boa tarde Thales,
As GPOs de dominio aplicam normalmente.. se eu negar as GPOs, negam também, sem problemas.
O problema está em colocar um usuário de dominio como Administrador Local da máquina (grupo Administradores local), e as GPOs continuarem barrando painel de controle, propriedades do sitema, etc..
Vou ver para voltar uma VM controladora de dominio em um ambiente a parte para validar se algo está diferente..
quarta-feira, 4 de maio de 2016 16:03 -
Bom dia alinsonsilva,
Teve sucesso no seu procedimento?
Abraço.
Thales F Quintas
Esse conteúdo e fornecido sem garantias de qualquer tipo, seja expressa ou implícita
TechNet Community Support
Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.
segunda-feira, 9 de maio de 2016 14:03 -
Boa tarde Thales,
Sim, voltei a VM, analisei todas as GPOs, segurança etc, grupos.. e não consegui encontrar o que possa ter sido modificado.
Vou acabar configurando pela GPO quem serão os administradores locais para ver se funcionará, ao invés de adicionar nas máquinas..
Nunca vi acontecer isso..
segunda-feira, 9 de maio de 2016 17:12 -
Boa tarde,
Apenas dando retorno, em uma das GPOs que aplicam tais filtros foi removido o grupo administrators e suas permissões.
Jurava que não tinha como fazer aplicar GPO de dominio em usuários de domínio no grupo Administradores Locais das máquinas.
Claro que os usuários continuavam com permissões para instalar, acessar pastas de outros usuários, etc.. Mas com a GPO aplicando.
De qualquer forma, podem marcar como resolvido.
- Marcado como Resposta Thales F Quintas quarta-feira, 1 de junho de 2016 19:19
quarta-feira, 1 de junho de 2016 19:17