locked
GPO Usuário administrador Local RRS feed

  • Pergunta

  • Prezados;

    Como pode ser feito uma Policy, para que um usuário do domínio fique como administrador local da máquina?

    Quero criar um OU, e todo micro que tiver nessa OU, de forma que o Usuário que acesse essa máquina fique como administrador local.

    Não pode ser um Grupo pois, o usuário seria administrador em todas as maquinas que conter esse grupo.


    • Editado Fgkammers quinta-feira, 15 de setembro de 2016 14:17 Destacar Observação
    quarta-feira, 14 de setembro de 2016 21:07

Respostas

  • Segue alternavia via GPO:

    Bom dia

    Crie um grupo no AD contendo os usuários que SERÃO administradores locais nas estações membros do domínio. Após isso, crie uma GPO aplicando a uma OU que contenha os computadores ao qual serão definidos os administradores locais. As configurações da GPO são:

    Configurações do Computador > Configurações do Windows > Configurações de Segurança > Grupos Restritos

    Clique em adicionar grupo, na janela seguinte, em membros deste grupo, clique em adicionar e digite: administrador; administrator; SEUDOMINIO\admins do dominio (ou SEUDOMINIO\domain admins); SEUDOMINIO\O GRUPO QUE VOCE CRIOU NO INICIO

    Nas estações que estiverem a partir da OU a qual se aplicou a GPO, serão removidos quaisquer usuários que estejam adicionados como admins locais, daí a importância de acrescentar em grupos restritos os usuários administrador e administrator (caso haja S.O em ingles).

    Coloque essa GPO na OU que você irá colocar os computadores.

    Acredito que seja isso que você quer.

    Marcio Lima

    • Sugerido como Resposta Thales F Quintas quinta-feira, 15 de setembro de 2016 18:02
    • Não Sugerido como Resposta Fgkammers sexta-feira, 16 de setembro de 2016 13:25
    • Marcado como Resposta Thales F Quintas segunda-feira, 19 de setembro de 2016 14:10
    quinta-feira, 15 de setembro de 2016 13:25

Todas as Respostas

  • Crie um grupo no AD com a conta de usuário em questão como membro e, posteriormente, configure gpo de grupo restrito colocando esse grupo novo dentro do grupo de administradores.

    O que fará isso funcionar apenas para maquinas específicas será o fato de você atribuir essa gpo apenas na unidade organizacional onde estiverem as estações que esse usuário puder gerenciar conforme você mesmo sugeriu.

    Segue video sobre.

    https://youtu.be/uFdGSqaTpqs


    Atenciosamente, Johnson Cruz (MCP, MCTS, MTA). Conto com seu voto caso minha resposta seja util. Acesse: Blog com Dicas de Informática | CSP Mais Nuvem Microsoft | Meu Perfil no Linkedin

    • Sugerido como Resposta Johnson de Souza Cruz quinta-feira, 15 de setembro de 2016 06:11
    • Marcado como Resposta Thales F Quintas quinta-feira, 15 de setembro de 2016 13:23
    • Não Marcado como Resposta Fgkammers quinta-feira, 15 de setembro de 2016 14:11
    • Não Sugerido como Resposta Fgkammers quinta-feira, 15 de setembro de 2016 14:14
    quinta-feira, 15 de setembro de 2016 06:10
  • Johnson
    Muito bom seu conteúdo.

    Fgkammers

    Futuramente você pode ter muitos problemas com relação  segurança e estabilidade da maquina.

    No mercado você pode encontra 3 praticas para contorna que o usuário possa fazer alterações que podem ser prejudiciais a maquina.

    1º método: Isso deve ser feito quando a maquina está no laboratório, criando uma 2ª partição na maquina, pois o ADDS restringe por segurança que o usuário possa fazer alterações na maquina sem um acompanhamento de administradores.

    2ª método: Eu aplico aqui, com 2 setores, crio uma pasta na unidade C:\ e dou as permissões para todos, assim o usuário consegue instalar boa parte dos softwares que usa em suas tarefas diarias, muito voltado para softwares da Caixa e da Receita Federal, isso facilita para efetuarmos a localização e o Backup dos arquivos para qualquer incidente que possa ocorrer com OS.

    3º método: Use uma ferramente chamada LAPS, onde você aplica na GPO, ela vai criar um usuário administrado generico local em cada maquina e remover todos os logins que estão como administrador atualmente. Quando o usuário precisar de ação administrativa, você abre a ferramenta na sua maquina, pesquisa pelo hostname e ele vai gerar uma senha aleatória que pode ser configurada para expira em um determinado tempo. 
    Estamos utilizando isso hoje em dia, mantendo o controle de tudo que é instalado na maquina para evitar ameaças como Ransomware e malwares. Em anexo segue uma interface do aplicativo, outra só se atente, pois no nosso primeiro teste ele também refez todos os usuários dos nossos Servidores tente garantir que os mesmos estão em uma OU a parte antes de aplicar.
     

    quinta-feira, 15 de setembro de 2016 13:17
  • Segue alternavia via GPO:

    Bom dia

    Crie um grupo no AD contendo os usuários que SERÃO administradores locais nas estações membros do domínio. Após isso, crie uma GPO aplicando a uma OU que contenha os computadores ao qual serão definidos os administradores locais. As configurações da GPO são:

    Configurações do Computador > Configurações do Windows > Configurações de Segurança > Grupos Restritos

    Clique em adicionar grupo, na janela seguinte, em membros deste grupo, clique em adicionar e digite: administrador; administrator; SEUDOMINIO\admins do dominio (ou SEUDOMINIO\domain admins); SEUDOMINIO\O GRUPO QUE VOCE CRIOU NO INICIO

    Nas estações que estiverem a partir da OU a qual se aplicou a GPO, serão removidos quaisquer usuários que estejam adicionados como admins locais, daí a importância de acrescentar em grupos restritos os usuários administrador e administrator (caso haja S.O em ingles).

    Coloque essa GPO na OU que você irá colocar os computadores.

    Acredito que seja isso que você quer.

    Marcio Lima

    • Sugerido como Resposta Thales F Quintas quinta-feira, 15 de setembro de 2016 18:02
    • Não Sugerido como Resposta Fgkammers sexta-feira, 16 de setembro de 2016 13:25
    • Marcado como Resposta Thales F Quintas segunda-feira, 19 de setembro de 2016 14:10
    quinta-feira, 15 de setembro de 2016 13:25
  • Bom dia,

    Por falta de retorno, esta thread será encerrada.

    Caso seja necessário, por gentileza, abra uma nova thread.

    Atenciosamente


    Thales F Quintas

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    TechNet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 19 de setembro de 2016 14:10