none
Windows 7 dois administradores RRS feed

  • Pergunta

  • Estou aqui com uma duvida cruel, uma empresa que presto serviços, não trabalha com AD. Cada computador tem uma conta de administrador e outra limitada.

    Porem alguns computadores necessitam que o usuário seja administrador. É Ai que está o problema, porque um administrador consegue alterar senha de outro. Queria encontrar uma forma de bloquear alterações de um administrador especifico.

    Alguem sabe me dizer se existe alguma forma que eu possa usar para bloquear isso ?

    bloquear alteração de senha, ou sumir com o administrador principal da tela de contas de usuarios.

    Att.

    terça-feira, 1 de outubro de 2013 11:51

Todas as Respostas

  • Olá Lucas, como vai?

    Voce tem algumas alternativas. A primeira que sugiro seria não utilizar administrador em nenhuma estação. Trabalhe com GPOs e aplique as permissões de forma granular.

    Caso realmente não tenha opção, o grupo de "Usuários Avançados" não teria o direito de alterar senha, pode ser uma solução.

    Abraço

    terça-feira, 1 de outubro de 2013 15:26
  • Olá Lucas,

    Já tentou bloquear o acesso ao console de administração de usuários da estação?

    Acredito que o post abaixo deve ajudar.

    http://technet.microsoft.com/pt-br/library/cc722167.aspx

    Abraço.

    terça-feira, 1 de outubro de 2013 18:17
  • Danilo, eu não consegui entender muito bem a explicação, isso realmente se aplica a windows 7 ? ou diretiva de rede em windows server ?

    Você chegou a utilizar ?

    quinta-feira, 3 de outubro de 2013 10:59
  • Amigo, qual a necessidade que os outros necessitam ser Administrador? se for para executar algum programa, você criar um atalho para o programa dessa maneira:

    runas /user:Administrador /savecred "CAMINHO DO PROGRAMA.EXE".

    com ele você digitará a senha de adm apenas na primeira vez que abrir o prog, sem necessidade de  correr risco de permissões de adm.


    Fabrício G. Wagomacker Rocha Adm. de Rede e Servidores da Verde Brasil Imp. e Exp. de Madeiras

    quinta-feira, 3 de outubro de 2013 15:28
  • Ola Fabricio, obrigado por me responder . O que ocorre é que alguns usuários específicos viajam, e como prestam suporte as vezes é necessário instalar algum software.

    segunda-feira, 7 de outubro de 2013 17:53
  • E colocar como Usuários avançados? Eles podem instalar entre outros, mas não me lembro se pode mudar senha, acredito que não, tenta e diz pra gente.

    ___________________

    André Novello - Blog

    MCTS Server Virtualization

    segunda-feira, 7 de outubro de 2013 17:59
  • então eu já tentei usuários avançados, eles não podem instalar programas.
    segunda-feira, 7 de outubro de 2013 20:15
  • Diga detalhadamente o que você receia que dois usuários com privilégios administrativos faça. Suponho que seja de um acessar a conta do outro, ou modificar configurações da conta do outro, certo?

    Fabrício G. Wagomacker Rocha Adm. de Rede e Servidores da Verde Brasil Imp. e Exp. de Madeiras

    segunda-feira, 7 de outubro de 2013 20:51
  • Ola Fabricio.

    O principal é manter integridade da conta.

    Como te falei é necessário que o usuário tenha uma conta ADM porque as vezes é necessário instalar novos programas, eu já tentei usuário avançado mais não funcionou.

    E Preciso ter uma conta minha de administrador, para que eu possa monitorar, uso inclusive um software de geração de relatórios, dessa forma fico sabendo se existe algum software não homologado no computador.

    Além disso faço acesso remoto quando necessário.

    Só que o principal problema é que como o outro usuário possui conta de ADM eu não estou tendo como controlar alteração exclusão de conta. Recentemente um usuário apagou minha conta de administrador e gerou uma grande confusão.

    quarta-feira, 16 de outubro de 2013 11:46
  • Cara, temos alguns passos a seguir que podem te ajudar, mas se eles tiverem conhecimento profundo a nível operacional do mmc, GPOs e etc, vai ser difícil controlar, pois o PC em si, sem a ajuda de um DC nao controla o acesso por conta de usuário, e sim por nível, então não adianta você criar 2 contas de adm e querer que só uma faça x e a outra y sem um DC, os dois serão adm e os dois conseguirão fazer td que um adm possa, tal como ganhar acesso a itens que você bloqueou.

    Como disse, poderemos apelar para técnicas pouco conhecidas, como algumas GPO que somente administradores gerais conhecem. Vamos alterar algumas que te ajudarão.

    Pincelando a explicação, existem DIVERSAS maneiras de gerenciar usuários no windows. vamos bloquear elas para impedir que os outros usuários "sem conhecimento" as acessem. Não se preocupe, também não é um conteúdo muito divulgado.

    O gpedit.msc aplica a regra generalizando, não permitindo você decidir a quem aplicar a regra. então vamos fazê-lo a partir do mmc, o qual permite selecionar a qual usuário ou computador a LGPO será aplicada. para fins de esclarecimento, é LGPO mesmo rsrs. (Local Group Policy Object).

    abra o mmc.exe elevado como administrador.

    Clique em arquivo > adicionar/remover Snap-in. No painel da esquerda, selecione "Editor de Objeto de Diretiva de Grupo" e clique em Adicionar. Na janela que abrir, clique procurar. Agora, clique na Aba Usuários e selecione o usuário a qual a regra se aplicará. Dê OK e clique em concluir. Clique OK novamente na janela do MMC. Expanda a diretiva e comece a navegação:

    --

    Navegue até Configurações de usuário/Modelos Administrativos/Painel de Controle. Não expanda, clique sobre o item Painel de controle. Clique com o botão direito em "Ocultar itens especificados do painel de controle" e editar. Habilite, e na sessão Opções clique em Mostrar. Duplo clique na primeira linha, inclua " Microsoft.UserAccounts " sem as aspas, somente o texto. dê OK, OK novamente.

    --

    Agora navegue até Configurações de usuário/Modelos Administrativos/Sistema. Não expanda, clique sobre o item Sistemas. Clique com o botão direito em "Não executar aplicativos do windows especificados" e editar. Habilite, e na sessão Opções clique em Mostrar. Duplo clique na primeira linha, inclua " netplwiz.cpl " sem as aspas, somente o texto. dê OK, OK novamente.

    --

    Agora navegue até Configurações de usuário/Modelos Administrativos/Componentes do Windows/Console de Gerenciamento Microsoft/Snap-ins restritos-permitidos. Não expanda, clique sobre o item Snap-ins restritos/permitidos. Clique com o botão direito em "Usuários e Grupos Locais" e editar. Marque Desabilitar. Dê OK.

    --

    É altamente recomendável salvar o console ao fechá-lo para que você possa alterá-lo depois sem precisar adicionar manualmente o usuário sempre que precisar alterar esta regra.

    --

    Feito. Só lembrando que você deve executar isto logado na conta que receberá as alterações. não é necessário reinício da máquina para surtir efeito. Qualquer coisa, estamos aí.


    Fabrício G. Wagomacker Rocha Adm. de Rede e Servidores da Verde Brasil Imp. e Exp. de Madeiras



    quarta-feira, 16 de outubro de 2013 13:48
  • Ola Fabricio,

    Primeiramente obrigado pela atenção.

    É o seguinte parei na parte que você fala:

    "Agora navegue até Configurações de usuário/Modelos Administrativos/Componentes do Windows/Snap-ins restritos-permitidos. Não expanda, "

    Não estou encontrando "Snap-ins restritos-permitidos" não existe essa pasta dentro de componentes do windows.

    Pior é que fechei para tentar abrir de novo e agora está apresentando a mensagem

    Restrições

    Operação cancelada devido a restrições existentes no computador. Contate o administrador do sistema.

    sexta-feira, 18 de outubro de 2013 14:25
  • Boa tarde.

    Realmente houve um erro pela minha parte, o caminho é "Configurações de usuário/Modelos Administrativos/Componentes do Windows/Console de Gerenciamento Microsoft/Snap-ins restritos-permitidos.

    Já tentou acessar novamente o gpedit por outra conta de usuário administradora? Caso haja um ponto de restauração recente, que não vá impactar seu sistema, restaure-o. Não há porque você não conseguir abrir o gpedit se a única coisa que APARENTEMENTE você conseguiu fazer era de bloquear o acesso as configurações de conta de usuário, ou se você bloqueou outro snap-in em alguma seção. Tente novamente seguindo esses passos, caso não consiga, instalaremos os snap-ins bloqueados novamente.


    Fabrício G. Wagomacker Rocha Adm. de Rede e Servidores da Verde Brasil Imp. e Exp. de Madeiras

    sexta-feira, 18 de outubro de 2013 18:48
  • E ai Fabricio,

    Eu consegui desfazer usando restauração do sistema, na verdade estou usando esse computador para testes mesmo.

    Segui seus passos, funcionou porem, meu usuário também não consegue criar novas contas é para ser assim mesmo ?

    segunda-feira, 21 de outubro de 2013 12:41
  • Mais uma vez faltou eu te dizer um passo rsrs. Perdoe-me. realmente pelo GPEDIT ele irá aplicar a regra a todos os usuários, mas há como selecionar específicos.

    Remova as regras feitas ao seu usuário, marque como não configuradas mesmo. Tente pelo gpedit mesmo, caso não consiga, restaure o sistema.

    Faça isso antes das etapas que te passei:

    abra o mmc.exe elevado como administrador.

    Clique em arquivo > adicionar/remover Snap-in. No painel da esquerda, selecione "Editor de Objeto de Diretiva de Grupo" e clique em Adicionar. Na janela que abrir, clique procurar. Agora, clique na Aba Usuários e selecione o usuário a qual a regra se aplicará. Dê OK e clique em concluir. Clique OK novamente na janela do MMC. Expanda a diretiva e comece a navegação dos itens que te passei.

    Na hora de fechar, salve o console, é útil para não ficar repetindo processos demais se precisar alterar as regras. minha indicação é salvar como: "Console de block para ADM1" , "Console de block para ADM2", cada console para cada usuário.


    Fabrício G. Wagomacker Rocha Adm. de Rede e Servidores da Verde Brasil Imp. e Exp. de Madeiras


    segunda-feira, 21 de outubro de 2013 14:24
  • Fabricio, muito bacana eu realmente não conhecia esse tipo de controle. Pode parecer uma coisa besta mais ajuda muito.

    Só mais uma coisa não querendo te atormentar de+. Mais dessa forma que você me passou o usuário também não consegue mexer em sua própria senha. Ou seja se ele precisar alterar a senha dele também não vai conseguir.

    Existe algum jeito que ele possa usar para alterar a própria senha ?

    segunda-feira, 21 de outubro de 2013 17:09
  • Que é isso, não é tormento algum.

    Homem de Deus, não encontrei algo relativo a esse tipo de controle de usuário, talvez até exista, mas explorei meu ambiente tanto no lado de Gerenciamento Local quanto em minha rede com Server 2008, e não encontrei algo que limitasse as próprias configurações, pois veja bem que as contas em questão são Administradoras, é praticamente impossível limitar o acesso a esse nível de privilégio.

    O que te recomendo, e que realmente é uma boa solução é configurar as contas de usuário, cada um digita sua senha, e aí você efetiva o bloqueio, visto que não é necessário ficar mudando de senha, afinal é um computador de suporte, trabalho, não para uso pessoal.

    Caso haja mais perguntas, não hesite em perguntar, estamos aqui para isso.


    Fabrício G. Wagomacker Rocha Adm. de Rede e Servidores da Verde Brasil Imp. e Exp. de Madeiras

    quarta-feira, 23 de outubro de 2013 17:36