none
AD - Bloquear permissão de excluir usuários RRS feed

  • Pergunta

  • Boa tarde, pessoal.

    Tenho um AD na minha empresa, onde liberei permissão para o grupo do Suporte manejar usuários e contas do AD, porém gostaria que eles não tivessem liberação de excluir os usuários.

    Acredito que isso seja feito na configuração avançada em Delegar controle, porém não sei o significado de cada item, se alguém tiver um dicionario ajudaria muito também.

    Desde, já. Obrigado.

    quarta-feira, 9 de agosto de 2017 20:10

Respostas

  • Olá,

    Uma boa pratica é neste caso utilizar o Grupo Account Operators, este é um Grupo Limitado do AD que permite que seus usuários executem tarefas corriqueiras de uma Organização, tipo: Criar Usuários, Criar Grupos, Colocar Usuários em Grupos e afins.

    Este Grupo possui Direitos Limitados e Não pode mexer em nenhuma Função Administrativa Elevada do AD, tipo alterar permissões e ou incluir Usuários no Grupo Domain Admins.

    É uma boa pratica a utilização deste Grupo para este tipo de tarefa, pois até que faz sentido o Grupo de Suporte poder Excluir um Objeto criado por engano ou erroneamente.

    Segue um artigo da Microsoft contendo a informação sobre esses Grupos:

    https://technet.microsoft.com/en-us/library/dn579255%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396#BKMK_AccountOperators

    Com tudo, se mesmo assim você deseja Limitar mais ainda o acesso do Grupo Suporte, segue um artigo da Microsoft que aborda o assunto:

    https://technet.microsoft.com/en-us/library/2007.02.activedirectory.aspx

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quarta-feira, 9 de agosto de 2017 20:43

Todas as Respostas

  • Olá,

    Uma boa pratica é neste caso utilizar o Grupo Account Operators, este é um Grupo Limitado do AD que permite que seus usuários executem tarefas corriqueiras de uma Organização, tipo: Criar Usuários, Criar Grupos, Colocar Usuários em Grupos e afins.

    Este Grupo possui Direitos Limitados e Não pode mexer em nenhuma Função Administrativa Elevada do AD, tipo alterar permissões e ou incluir Usuários no Grupo Domain Admins.

    É uma boa pratica a utilização deste Grupo para este tipo de tarefa, pois até que faz sentido o Grupo de Suporte poder Excluir um Objeto criado por engano ou erroneamente.

    Segue um artigo da Microsoft contendo a informação sobre esses Grupos:

    https://technet.microsoft.com/en-us/library/dn579255%28v=ws.11%29.aspx?f=255&MSPPError=-2147217396#BKMK_AccountOperators

    Com tudo, se mesmo assim você deseja Limitar mais ainda o acesso do Grupo Suporte, segue um artigo da Microsoft que aborda o assunto:

    https://technet.microsoft.com/en-us/library/2007.02.activedirectory.aspx

    A disposição,

    Marcos Roberto de Lima
    MCT-MCTS-MCITP-MCP

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    quarta-feira, 9 de agosto de 2017 20:43
  • Bom dia,

    Por falta de retorno esta thread esta encerrada !

    Caso necessário, por gentileza abra uma nova thread.

    Atenciosamente,


    Guilherme Macedo S

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 28 de agosto de 2017 12:54