none
Permissões de Grupo RRS feed

  • Pergunta

  • Senhores,

    De forma bem resumida, preciso de um usuário que faça tudo que os "usuários avançados" façam, com a vantagem de poder adicionar e remover programas.

    Pensei em algo como criar um grupo de usuário novo, personalizar as permissões que preciso para este grupo e então vincular o usuário à ao grupo criado, no entanto não descobri como fazer a personalização para o grupo que criei.

    Como poderia fazer isso (localmente)?

    Att,
    sexta-feira, 16 de setembro de 2011 12:17

Respostas

  • André,

    Para um usuario executar um programa ele precisa de previlegios de administrador na estação, e com esses previlegios locais ele pode fazer o que quiser na estação.

    Se sua rede estiver em um dominio, dá para bloquear essas opções que você citou por GPO, mesmo o usuario sendo ADM local da máquina, aí resolveria seu problema.

    []'s.


    Rodrigo Mcsft.
    sexta-feira, 16 de setembro de 2011 19:33

Todas as Respostas

  • André,

    se a questão é apenas instalar programas e algumas permissões a mais, basta você adicionar o usuário que você precisa no grupo de "Usuários Avançados". Esse grupo tem previlégios para instalar e remover programas, alem de criar usuarios localmente e excluir os usuários que ele criou.

    Caso precise de mais algo, poste novamente explicando melhor a necessidade.

     

    Rodrigo Soares
    MPC - ITIL V2
    Administrador de Redes

    sexta-feira, 16 de setembro de 2011 15:36
  • Olá André,

     

    Segue o procedimento solicitado:

     

    http://www.sevenforums.com/tutorials/3652-local-group-policy-editor-open.html

    http://technet.microsoft.com/en-us/library/cc725970.aspx

     

     

    Abs,


    David Soares MCTS:MBS - MCTS
    sexta-feira, 16 de setembro de 2011 15:37
  • André, boa tarde.

    Você pode criar um grupo local e vincular as permissões necessária para ele da seguinte forma:

    1º Criar um grupo em gerenciamento do computador

    2º Adicionar os usuarios a esse grupo

    3º digitar no executar gpedit.msc --> Configurações de computador --> Configurações do Windows --> Configurações de segurança --> Atribuições de direitos de usuario

    4º escolher as diretivas que você quer que esse grupo tenha direito, por exemplo: Se você quiser que esse grupo e todos os seus usuarios tenham o direito de fazer backup no computador, você adiciona ele a diretiva de backup de arquivos e diretorios.

    Atenção: Na hora que você manda adicionar esse grupo a diretiva de segurança, por padrão esse grupo que você criou não aparece na seleção, você deve ir em tipos de objetos na caixa selecionar usuarios e grupos e marcar a opção de grupos.

    Espero ter ajudado.

    []'s.


    Rodrigo Mcsft.
    sexta-feira, 16 de setembro de 2011 17:34
  • Rodrigo,

    Essa foi a primeira coisa que testei. É possível que essa solução funcione para outras versões do Windows, mas no Windows 7 Entreprise SP1 não funciona. Não para todos os programas pelo menos. Tente instalar um Adobe nestas condições, por exemplo.

    Tentei também adicionar o usuário para gravar na unidade C, no entanto não funciona para as pastas "Windows" e "Program Files".

    Continuo na mesma...

     



    André Giacomin
    sexta-feira, 16 de setembro de 2011 17:50
  • David,

    Não é bem isso que procuro.


    André Giacomin
    sexta-feira, 16 de setembro de 2011 17:54
  • André, boa tarde.

    Deixa eu ver se eu entendi, você quer que um usuario não administrador execute programas no Windows 7?

    []'s.


    Rodrigo Mcsft.
    sexta-feira, 16 de setembro de 2011 18:15
  • Boa tarde Rodrigo.

    Eu havia encontrado esse recurso e achei que seria esta a solução do problema, no entanto não encontrei uma diretiva que fosse específico pra instalação de programas.

    Eu poderia colocar o usuário no grupo "administradores", mas a idéia são preservar logs, não permitir que o usuário gerencie discos, não permitir a apropriação de arquivos, etc... recurso que "Usuários avançados" já possui.

     


    André Giacomin
    sexta-feira, 16 de setembro de 2011 19:09
  • André,

    Para um usuario executar um programa ele precisa de previlegios de administrador na estação, e com esses previlegios locais ele pode fazer o que quiser na estação.

    Se sua rede estiver em um dominio, dá para bloquear essas opções que você citou por GPO, mesmo o usuario sendo ADM local da máquina, aí resolveria seu problema.

    []'s.


    Rodrigo Mcsft.
    sexta-feira, 16 de setembro de 2011 19:33
  • Rodrigo,

    A rede está em um domínio, mas em um domínio Samba. Algumas soluções que encontrei pela internet foram aplicar Policies via AD como você mencionou, mas infelizmente não disponho desse recurso. Precisaria fazer isso localmente.


    André Giacomin
    sexta-feira, 16 de setembro de 2011 20:00
  • As unicas opções viaveis de forma local foram essas que eu te passei.

    []'s.

     


    Rodrigo Mcsft.
    sexta-feira, 16 de setembro de 2011 20:36
  • Rodrigo,

    Vou tentar fazer da maneira que você me indicou, adicionando o usuário como administrador e bloqueando os recursos que preciso via GPO, mas no próprio computador. Assim que eu tiver alguma novidade, posto aqui novamente.

    Att,


    André Giacomin
    segunda-feira, 19 de setembro de 2011 14:34