none
Permissão de usuário no AD 2012 R2 RRS feed

  • Pergunta

  • Boa tarde,

    Entrei em uma empresa, onde todo mundo de TI tinha conta como adm. de dominio, eu removi essa permissão e deixei ela apenas para o usuário administrador.
    Pois bem, agora preciso que o pessoal que tinha esse perfil consiga, acessar o C$ das maquinas na rede, alterar configurações de ip na placa de rede com usuário deles e acessar o servidor remoto.

    Poderiam me ajudar por favor, me enrolei um pouco, por que sempre por onde passei o pessoal de TI não era adm do dominio, mas conseguia fazer essas alterações e também conseguiam acessar o servidor.

    Queria colocar mais um pouco de ordem nesse dominio, agradeço desde já.
    sexta-feira, 1 de setembro de 2017 20:15

Respostas

  • Boa tarde

    Você pode criar um grupo no AD para incluir esses usuários. Ex: Grupo Configuradores

    Adiciona neste grupo os usuários que precisam destes privilégios.

    Nas estações de trabalho, você adiciona o grupo recém criado dentro do grupo local "Administradores"

    Essa alteração fará com que os usuários do grupo especificado sejam administradores locais das estações porém não sejam administradores de domínio.

    Recomendo utilizar essa solução apenas como contorno, já que provavelmente você deve estar tendo alguns problemas após remover todos os usuários do grupo Adm de Domínio, porém vale a pena estudar com calma cada usuário e posteriormente fornecer apenas os privilégios necessários, tornando os acessos mais restritos.

    Abraço.

    • Marcado como Resposta Kennyk19 sábado, 2 de setembro de 2017 15:24
    sexta-feira, 1 de setembro de 2017 21:48
  • Kennyk19

    Tudo bem amigo?

    Como o colega Murilo muito bem mencionou, a solução de contorno é simples, basta adicionar os usuários como ADM local das máquinas. Você pode fazer isso manualmente, ou via group policy de forma automática pela configuração chamada "Grupos Restritos", segue um link de como fazê-lo:

    https://richardstk.com/2013/11/26/adding-domain-users-to-the-local-administrators-group-using-group-policy/

    Atenção as duas opções existentes em "Grupos Restritos" a primeira, "Membros deste grupo" irá remover qualquer grupo/usuário existente e manterá apenas os indicados por você na GPO. A segunda opção, você apenas adiciona seu novo grupo/usuário ao ADM local, sem remover os existentes.

    A solução ideal é entender o porque esses usuários precisam acessar o C$ das máquinas na rede, é para fins de helpdesk aos usuários? Se sim, é válido manter apenas os membros do help desk como ADM local nas máquinas dos usuários, pois entendo que precisarão logar nas máquinas para efetuar alterações/suporte/instalações/remoções. Já os demais usuários que não são do helpdesk, refina o acesso, não dê ADM local a eles, por exemplo, para acesso RDP, adicione-os apenas no grupo de acesso remoto, etc.

    Caso queira mais ajuda, nos passe maiores detalhes do ambiente e do seu planejamento para refinamento de contas/privilégios na rede.

    Abraços.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    sábado, 2 de setembro de 2017 08:51
  • Kennyk19

    Tudo bem amigo?

    O acesso RDP em DCs é um pouco mais complicado para usuários não domain admins.

    Existe uma forma sim de você dar este acesso (confira aqui), mas eu não recomendo fazê-lo.

    Primeiro que se você esta concedendo este acesso, vários usuários irão conectar ao DC para gerenciar contas do domínio (imagino eu, correto?) e por default o acesso é limitado a apenas 2 administradores simultaneamente.

    Segundo, não é uma boa prática conceder acesso ao helpdesk diretamente através do servidor.

    As boas práticas para isso é delegar permissões a um grupo, helpdesk, por exemplo, no seu domínio com somente as ações que você deseja que eles façam, como adicionar/remover contas de usuários, etc... E após delegar este acesso, você instala o RSAT nas máquinas do mesmo, e então adiciona o Snap-in ADUC. Após isso eles usarão suas próprias contas do domínio para fazer alterações no domínio, sem permissões de administrador.

    Caso não seja esse o objetivo em conceder acesso remoto aos mesmos, me avise que podemos pensar em outra solução sem precisar de fato liberar este acesso (já que estas a reestruturar sua rede).

    Abraços.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    • Marcado como Resposta Kennyk19 domingo, 3 de setembro de 2017 18:34
    domingo, 3 de setembro de 2017 10:14
  • Legal Kenny, você esta no caminho certo, de uma pesquisada sobre o RSAT, vale muito a pena. No banco onde trabalho o utilizamos em todas os pcs do TI...

    Abraços e boa sorte.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    • Marcado como Resposta Kennyk19 segunda-feira, 4 de setembro de 2017 12:39
    domingo, 3 de setembro de 2017 20:34
  • Isso, você precisa criar uma OU para computadores pois a default é um container onde não se aplica GPO. Você pode redirecionar uma OU como padrão a novos pcs adicionados ao dominio, assim não precisa ficar sempre movendo para a OU customizada, veja este link de como fazer:

    http://www.renanrodrigues.com/2017/05/changing-default-computer-container.html

    Abraços.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    • Marcado como Resposta Kennyk19 segunda-feira, 4 de setembro de 2017 18:26
    segunda-feira, 4 de setembro de 2017 17:22

Todas as Respostas

  • Boa tarde

    Você pode criar um grupo no AD para incluir esses usuários. Ex: Grupo Configuradores

    Adiciona neste grupo os usuários que precisam destes privilégios.

    Nas estações de trabalho, você adiciona o grupo recém criado dentro do grupo local "Administradores"

    Essa alteração fará com que os usuários do grupo especificado sejam administradores locais das estações porém não sejam administradores de domínio.

    Recomendo utilizar essa solução apenas como contorno, já que provavelmente você deve estar tendo alguns problemas após remover todos os usuários do grupo Adm de Domínio, porém vale a pena estudar com calma cada usuário e posteriormente fornecer apenas os privilégios necessários, tornando os acessos mais restritos.

    Abraço.

    • Marcado como Resposta Kennyk19 sábado, 2 de setembro de 2017 15:24
    sexta-feira, 1 de setembro de 2017 21:48
  • Kennyk19

    Tudo bem amigo?

    Como o colega Murilo muito bem mencionou, a solução de contorno é simples, basta adicionar os usuários como ADM local das máquinas. Você pode fazer isso manualmente, ou via group policy de forma automática pela configuração chamada "Grupos Restritos", segue um link de como fazê-lo:

    https://richardstk.com/2013/11/26/adding-domain-users-to-the-local-administrators-group-using-group-policy/

    Atenção as duas opções existentes em "Grupos Restritos" a primeira, "Membros deste grupo" irá remover qualquer grupo/usuário existente e manterá apenas os indicados por você na GPO. A segunda opção, você apenas adiciona seu novo grupo/usuário ao ADM local, sem remover os existentes.

    A solução ideal é entender o porque esses usuários precisam acessar o C$ das máquinas na rede, é para fins de helpdesk aos usuários? Se sim, é válido manter apenas os membros do help desk como ADM local nas máquinas dos usuários, pois entendo que precisarão logar nas máquinas para efetuar alterações/suporte/instalações/remoções. Já os demais usuários que não são do helpdesk, refina o acesso, não dê ADM local a eles, por exemplo, para acesso RDP, adicione-os apenas no grupo de acesso remoto, etc.

    Caso queira mais ajuda, nos passe maiores detalhes do ambiente e do seu planejamento para refinamento de contas/privilégios na rede.

    Abraços.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    sábado, 2 de setembro de 2017 08:51
  • Muito obrigado por sua ajuda Murilo.

    Ajudou bastante !!!
    sábado, 2 de setembro de 2017 15:25
  • Boa tarde,

    Renan, muito obrigado pela sua ajuda.

    Então, o pessoal precisa desse acesso ao C$ dolar é para fins de helpdesk mesmo.
    Já a questão do RDP, eles também vão precisar criar usuários no dominio, já adicionei os usuários para acessar o servidor remoto, mas recebi a seguinte mensagem:

    Para entra remotamente , você precisa ter o direito de entrar por meio dos Serviços de área de trabalho remota. Por padrão, os membros do grupo administradores tem esse direito. Se o grupo do qual você faz parte não tiver esse direito ou se o direito tiver sido removido do grupo administradores, você precisará receber o direito manualmente.

    Mesmo adicionando eles no grupo Built-in/RDP eles não conseguem acessar o Servidor.
    sábado, 2 de setembro de 2017 15:59
  • Outra coisa Renan, essa GPO (para usuário Adm nas maquinas), eu não queria que elas fosse adicionadas aos Servidores, pois tem servidores que eles não devem ter acesso.

    sábado, 2 de setembro de 2017 16:18
  • Kennyk19

    Adicione o grupo de usuários aqui para conexão remota:

    Deverá funcionar após reiniciar o Windows.

    Quanto a GPO faça o seguinte:

    1 - Crie uma GPO e configure a opção conforme indiquei;

    2 - Remova da área "Filtro de Segurança" o grupo "Usuários Autenticados";

    3 - Crie um novo grupo de segurança no AD, e adicione apenas os computadores que você deseja que seus usuários tenha permissão de administrador;

    4 - Adicione este grupo na área "Filtro de Segurança" da GPO criada.

    5 - Vincule esta GPO na OU "Pai" onde todos os computadores estão armazenados.

    Com isso a GPO será aplicada somente aos computadores membros do grupo que criou. 

    Segue um link do meu blog para auxiliá-lo:

    http://www.renanrodrigues.com/2010/12/gpmc-filtro-de-seguranca.html

    Abraços

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)


    sábado, 2 de setembro de 2017 21:30
  • Boa noite,

    Então Renam, esse acesso remoto não seria para a maquina em especifico, e sim para os servidor de AD, porem mesmo adicionando os usuários, para autenticação remota recebo a mensagem a baixo:

    Para entra remotamente , você precisa ter o direito de entrar por meio dos Serviços de área de trabalho remota. Por padrão, os membros do grupo administradores tem esse direito. Se o grupo do qual você faz parte não tiver esse direito ou se o direito tiver sido removido do grupo administradores, você precisará receber o direito manualmente.

    Isso é com relação ao AD.

    domingo, 3 de setembro de 2017 02:43
  • Será que se eu adicionar o Serviço de Acesso Remoto, posso resolver esse problema quanto ao AD ?
    domingo, 3 de setembro de 2017 02:44
  • Kennyk19

    Tudo bem amigo?

    O acesso RDP em DCs é um pouco mais complicado para usuários não domain admins.

    Existe uma forma sim de você dar este acesso (confira aqui), mas eu não recomendo fazê-lo.

    Primeiro que se você esta concedendo este acesso, vários usuários irão conectar ao DC para gerenciar contas do domínio (imagino eu, correto?) e por default o acesso é limitado a apenas 2 administradores simultaneamente.

    Segundo, não é uma boa prática conceder acesso ao helpdesk diretamente através do servidor.

    As boas práticas para isso é delegar permissões a um grupo, helpdesk, por exemplo, no seu domínio com somente as ações que você deseja que eles façam, como adicionar/remover contas de usuários, etc... E após delegar este acesso, você instala o RSAT nas máquinas do mesmo, e então adiciona o Snap-in ADUC. Após isso eles usarão suas próprias contas do domínio para fazer alterações no domínio, sem permissões de administrador.

    Caso não seja esse o objetivo em conceder acesso remoto aos mesmos, me avise que podemos pensar em outra solução sem precisar de fato liberar este acesso (já que estas a reestruturar sua rede).

    Abraços.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    • Marcado como Resposta Kennyk19 domingo, 3 de setembro de 2017 18:34
    domingo, 3 de setembro de 2017 10:14
  • Boa tarde Renan,

    Tudo bem rapaz ?

    Então, o que eu penso em fazer é:

    1 - Delegar controle para criar conta e excluir no AD para o pessoal

    2 - Permitir que eles se conectem no AD remotamente, não são muitas pessoas.

    Com relação ao AD é somente isso, porem estou um pouco cismado, pois no outros 2 servidore só adicionei a conta de usuário ao Windows Server, e eles conseguiram se conectar sem problema, mas com a AD a historia ja está sendo outra.

    Sobre a questão do RSAT achei interesante, porem desconheço, mas acredito que seja a melhor opção.
    domingo, 3 de setembro de 2017 18:34
  • Legal Kenny, você esta no caminho certo, de uma pesquisada sobre o RSAT, vale muito a pena. No banco onde trabalho o utilizamos em todas os pcs do TI...

    Abraços e boa sorte.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    • Marcado como Resposta Kennyk19 segunda-feira, 4 de setembro de 2017 12:39
    domingo, 3 de setembro de 2017 20:34
  • Bom dia Renan,

    Vou criar a GPO para Usuários Adm (Local) hoje, só me tira uma duvida, eu queria tirar os servidores, vou colocar eles em uma OU diferente, porem a OU dos computadores não aparece no painel de GPO, isso é comum, ou tenho que criar uma OU especifica pra isso também, ou seja, OU = Servidores e OU = Computadores.

    Desde já agradeço pela sua ajuda.
    segunda-feira, 4 de setembro de 2017 13:11
  • Isso, você precisa criar uma OU para computadores pois a default é um container onde não se aplica GPO. Você pode redirecionar uma OU como padrão a novos pcs adicionados ao dominio, assim não precisa ficar sempre movendo para a OU customizada, veja este link de como fazer:

    http://www.renanrodrigues.com/2017/05/changing-default-computer-container.html

    Abraços.

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    • Marcado como Resposta Kennyk19 segunda-feira, 4 de setembro de 2017 18:26
    segunda-feira, 4 de setembro de 2017 17:22
  • Vlw muito obrigado.
    segunda-feira, 4 de setembro de 2017 18:26
  • Estou a disposição amigo.

    Boa sorte.

    Abraços

    Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    segunda-feira, 4 de setembro de 2017 18:43
  • Boa noite,

    Engraçado Renan, fiz exatamente o descrito, porem ele reclamou do nivel funcional que deveria ser no minimo 2003, sendo que o meu AD é 2008, e também havia informado que o objeto não existia, sendo que já estáva criado.

    já viu alguma situação assim ? 
    terça-feira, 5 de setembro de 2017 01:19
  • Boa noite,

    Renan, consegui resolver, o problema é que por engano colocaquei a nova OU dentro de uma existente, mas agora já está ok, muito obrigado.
    terça-feira, 5 de setembro de 2017 01:46
  • Opa bacana amigo, que bom..

    Abraços.

    Att, Renan


    Renan A. Rodrigues MCSA-MCITP-MCTS-CCNA-CCENT-ITIL (renanrodrigues.com)

    terça-feira, 5 de setembro de 2017 21:58