Usuário com melhor resposta
Permissão de usuário no AD 2012 R2

Pergunta
-
Boa tarde,
Entrei em uma empresa, onde todo mundo de TI tinha conta como adm. de dominio, eu removi essa permissão e deixei ela apenas para o usuário administrador.
Pois bem, agora preciso que o pessoal que tinha esse perfil consiga, acessar o C$ das maquinas na rede, alterar configurações de ip na placa de rede com usuário deles e acessar o servidor remoto.
Poderiam me ajudar por favor, me enrolei um pouco, por que sempre por onde passei o pessoal de TI não era adm do dominio, mas conseguia fazer essas alterações e também conseguiam acessar o servidor.
Queria colocar mais um pouco de ordem nesse dominio, agradeço desde já.
Respostas
-
Boa tarde
Você pode criar um grupo no AD para incluir esses usuários. Ex: Grupo Configuradores
Adiciona neste grupo os usuários que precisam destes privilégios.
Nas estações de trabalho, você adiciona o grupo recém criado dentro do grupo local "Administradores"
Essa alteração fará com que os usuários do grupo especificado sejam administradores locais das estações porém não sejam administradores de domínio.
Recomendo utilizar essa solução apenas como contorno, já que provavelmente você deve estar tendo alguns problemas após remover todos os usuários do grupo Adm de Domínio, porém vale a pena estudar com calma cada usuário e posteriormente fornecer apenas os privilégios necessários, tornando os acessos mais restritos.
Abraço.
- Marcado como Resposta Kennyk19 sábado, 2 de setembro de 2017 15:24
-
Tudo bem amigo?
Como o colega Murilo muito bem mencionou, a solução de contorno é simples, basta adicionar os usuários como ADM local das máquinas. Você pode fazer isso manualmente, ou via group policy de forma automática pela configuração chamada "Grupos Restritos", segue um link de como fazê-lo:
https://richardstk.com/2013/11/26/adding-domain-users-to-the-local-administrators-group-using-group-policy/
Atenção as duas opções existentes em "Grupos Restritos" a primeira, "Membros deste grupo" irá remover qualquer grupo/usuário existente e manterá apenas os indicados por você na GPO. A segunda opção, você apenas adiciona seu novo grupo/usuário ao ADM local, sem remover os existentes.
A solução ideal é entender o porque esses usuários precisam acessar o C$ das máquinas na rede, é para fins de helpdesk aos usuários? Se sim, é válido manter apenas os membros do help desk como ADM local nas máquinas dos usuários, pois entendo que precisarão logar nas máquinas para efetuar alterações/suporte/instalações/remoções. Já os demais usuários que não são do helpdesk, refina o acesso, não dê ADM local a eles, por exemplo, para acesso RDP, adicione-os apenas no grupo de acesso remoto, etc.
Caso queira mais ajuda, nos passe maiores detalhes do ambiente e do seu planejamento para refinamento de contas/privilégios na rede.
Abraços.
Att, Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Sugerido como Resposta Renan Antonio Rodrigues sábado, 2 de setembro de 2017 08:51
- Marcado como Resposta Kennyk19 sábado, 2 de setembro de 2017 15:24
-
Tudo bem amigo?
O acesso RDP em DCs é um pouco mais complicado para usuários não domain admins.
Existe uma forma sim de você dar este acesso (confira aqui), mas eu não recomendo fazê-lo.
Primeiro que se você esta concedendo este acesso, vários usuários irão conectar ao DC para gerenciar contas do domínio (imagino eu, correto?) e por default o acesso é limitado a apenas 2 administradores simultaneamente.
Segundo, não é uma boa prática conceder acesso ao helpdesk diretamente através do servidor.
As boas práticas para isso é delegar permissões a um grupo, helpdesk, por exemplo, no seu domínio com somente as ações que você deseja que eles façam, como adicionar/remover contas de usuários, etc... E após delegar este acesso, você instala o RSAT nas máquinas do mesmo, e então adiciona o Snap-in ADUC. Após isso eles usarão suas próprias contas do domínio para fazer alterações no domínio, sem permissões de administrador.
Caso não seja esse o objetivo em conceder acesso remoto aos mesmos, me avise que podemos pensar em outra solução sem precisar de fato liberar este acesso (já que estas a reestruturar sua rede).
Abraços.
Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Marcado como Resposta Kennyk19 domingo, 3 de setembro de 2017 18:34
-
Legal Kenny, você esta no caminho certo, de uma pesquisada sobre o RSAT, vale muito a pena. No banco onde trabalho o utilizamos em todas os pcs do TI...
Abraços e boa sorte.
Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Marcado como Resposta Kennyk19 segunda-feira, 4 de setembro de 2017 12:39
-
Isso, você precisa criar uma OU para computadores pois a default é um container onde não se aplica GPO. Você pode redirecionar uma OU como padrão a novos pcs adicionados ao dominio, assim não precisa ficar sempre movendo para a OU customizada, veja este link de como fazer:
http://www.renanrodrigues.com/2017/05/changing-default-computer-container.html
Abraços.
Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Marcado como Resposta Kennyk19 segunda-feira, 4 de setembro de 2017 18:26
Todas as Respostas
-
Boa tarde
Você pode criar um grupo no AD para incluir esses usuários. Ex: Grupo Configuradores
Adiciona neste grupo os usuários que precisam destes privilégios.
Nas estações de trabalho, você adiciona o grupo recém criado dentro do grupo local "Administradores"
Essa alteração fará com que os usuários do grupo especificado sejam administradores locais das estações porém não sejam administradores de domínio.
Recomendo utilizar essa solução apenas como contorno, já que provavelmente você deve estar tendo alguns problemas após remover todos os usuários do grupo Adm de Domínio, porém vale a pena estudar com calma cada usuário e posteriormente fornecer apenas os privilégios necessários, tornando os acessos mais restritos.
Abraço.
- Marcado como Resposta Kennyk19 sábado, 2 de setembro de 2017 15:24
-
Tudo bem amigo?
Como o colega Murilo muito bem mencionou, a solução de contorno é simples, basta adicionar os usuários como ADM local das máquinas. Você pode fazer isso manualmente, ou via group policy de forma automática pela configuração chamada "Grupos Restritos", segue um link de como fazê-lo:
https://richardstk.com/2013/11/26/adding-domain-users-to-the-local-administrators-group-using-group-policy/
Atenção as duas opções existentes em "Grupos Restritos" a primeira, "Membros deste grupo" irá remover qualquer grupo/usuário existente e manterá apenas os indicados por você na GPO. A segunda opção, você apenas adiciona seu novo grupo/usuário ao ADM local, sem remover os existentes.
A solução ideal é entender o porque esses usuários precisam acessar o C$ das máquinas na rede, é para fins de helpdesk aos usuários? Se sim, é válido manter apenas os membros do help desk como ADM local nas máquinas dos usuários, pois entendo que precisarão logar nas máquinas para efetuar alterações/suporte/instalações/remoções. Já os demais usuários que não são do helpdesk, refina o acesso, não dê ADM local a eles, por exemplo, para acesso RDP, adicione-os apenas no grupo de acesso remoto, etc.
Caso queira mais ajuda, nos passe maiores detalhes do ambiente e do seu planejamento para refinamento de contas/privilégios na rede.
Abraços.
Att, Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Sugerido como Resposta Renan Antonio Rodrigues sábado, 2 de setembro de 2017 08:51
- Marcado como Resposta Kennyk19 sábado, 2 de setembro de 2017 15:24
-
-
Boa tarde,
Renan, muito obrigado pela sua ajuda.
Então, o pessoal precisa desse acesso ao C$ dolar é para fins de helpdesk mesmo.
Já a questão do RDP, eles também vão precisar criar usuários no dominio, já adicionei os usuários para acessar o servidor remoto, mas recebi a seguinte mensagem:
Para entra remotamente , você precisa ter o direito de entrar por meio dos Serviços de área de trabalho remota. Por padrão, os membros do grupo administradores tem esse direito. Se o grupo do qual você faz parte não tiver esse direito ou se o direito tiver sido removido do grupo administradores, você precisará receber o direito manualmente.
Mesmo adicionando eles no grupo Built-in/RDP eles não conseguem acessar o Servidor. -
-
Adicione o grupo de usuários aqui para conexão remota:
Deverá funcionar após reiniciar o Windows.
Quanto a GPO faça o seguinte:
1 - Crie uma GPO e configure a opção conforme indiquei;
2 - Remova da área "Filtro de Segurança" o grupo "Usuários Autenticados";
3 - Crie um novo grupo de segurança no AD, e adicione apenas os computadores que você deseja que seus usuários tenha permissão de administrador;
4 - Adicione este grupo na área "Filtro de Segurança" da GPO criada.
5 - Vincule esta GPO na OU "Pai" onde todos os computadores estão armazenados.
Com isso a GPO será aplicada somente aos computadores membros do grupo que criou.
Segue um link do meu blog para auxiliá-lo:
http://www.renanrodrigues.com/2010/12/gpmc-filtro-de-seguranca.html
Abraços
Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Editado Renan Antonio Rodrigues sábado, 2 de setembro de 2017 21:31
-
Boa noite,
Então Renam, esse acesso remoto não seria para a maquina em especifico, e sim para os servidor de AD, porem mesmo adicionando os usuários, para autenticação remota recebo a mensagem a baixo:
Para entra remotamente , você precisa ter o direito de entrar por meio dos Serviços de área de trabalho remota. Por padrão, os membros do grupo administradores tem esse direito. Se o grupo do qual você faz parte não tiver esse direito ou se o direito tiver sido removido do grupo administradores, você precisará receber o direito manualmente.Isso é com relação ao AD.
-
-
Tudo bem amigo?
O acesso RDP em DCs é um pouco mais complicado para usuários não domain admins.
Existe uma forma sim de você dar este acesso (confira aqui), mas eu não recomendo fazê-lo.
Primeiro que se você esta concedendo este acesso, vários usuários irão conectar ao DC para gerenciar contas do domínio (imagino eu, correto?) e por default o acesso é limitado a apenas 2 administradores simultaneamente.
Segundo, não é uma boa prática conceder acesso ao helpdesk diretamente através do servidor.
As boas práticas para isso é delegar permissões a um grupo, helpdesk, por exemplo, no seu domínio com somente as ações que você deseja que eles façam, como adicionar/remover contas de usuários, etc... E após delegar este acesso, você instala o RSAT nas máquinas do mesmo, e então adiciona o Snap-in ADUC. Após isso eles usarão suas próprias contas do domínio para fazer alterações no domínio, sem permissões de administrador.
Caso não seja esse o objetivo em conceder acesso remoto aos mesmos, me avise que podemos pensar em outra solução sem precisar de fato liberar este acesso (já que estas a reestruturar sua rede).
Abraços.
Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Marcado como Resposta Kennyk19 domingo, 3 de setembro de 2017 18:34
-
Boa tarde Renan,
Tudo bem rapaz ?
Então, o que eu penso em fazer é:
1 - Delegar controle para criar conta e excluir no AD para o pessoal
2 - Permitir que eles se conectem no AD remotamente, não são muitas pessoas.
Com relação ao AD é somente isso, porem estou um pouco cismado, pois no outros 2 servidore só adicionei a conta de usuário ao Windows Server, e eles conseguiram se conectar sem problema, mas com a AD a historia ja está sendo outra.
Sobre a questão do RSAT achei interesante, porem desconheço, mas acredito que seja a melhor opção. -
Legal Kenny, você esta no caminho certo, de uma pesquisada sobre o RSAT, vale muito a pena. No banco onde trabalho o utilizamos em todas os pcs do TI...
Abraços e boa sorte.
Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Marcado como Resposta Kennyk19 segunda-feira, 4 de setembro de 2017 12:39
-
Bom dia Renan,
Vou criar a GPO para Usuários Adm (Local) hoje, só me tira uma duvida, eu queria tirar os servidores, vou colocar eles em uma OU diferente, porem a OU dos computadores não aparece no painel de GPO, isso é comum, ou tenho que criar uma OU especifica pra isso também, ou seja, OU = Servidores e OU = Computadores.
Desde já agradeço pela sua ajuda. -
Isso, você precisa criar uma OU para computadores pois a default é um container onde não se aplica GPO. Você pode redirecionar uma OU como padrão a novos pcs adicionados ao dominio, assim não precisa ficar sempre movendo para a OU customizada, veja este link de como fazer:
http://www.renanrodrigues.com/2017/05/changing-default-computer-container.html
Abraços.
Renan
Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)
- Marcado como Resposta Kennyk19 segunda-feira, 4 de setembro de 2017 18:26
-
-
-
Boa noite,
Engraçado Renan, fiz exatamente o descrito, porem ele reclamou do nivel funcional que deveria ser no minimo 2003, sendo que o meu AD é 2008, e também havia informado que o objeto não existia, sendo que já estáva criado.
já viu alguma situação assim ? -
-