none
Windows não faz logon sem grupos adminsitrativos RRS feed

  • Pergunta

  • Olá,

    No ambiente corporativo da empresa onde trabalho fizemos uma adequação dos grupos das estações de trabalho. Todas as estações estão no mesmo domínio. Removemos todos os grupos/usuários do grupo administradores das estações. Em algumas estações ocorreu o seguinte problema:

    Quando um usuário faz login na estação, a tela fica preta e em seguida retorna para a tela de logon. E o perfil do usuário é criado na estação.

    Abaixo os procedimentos que já tentamos:

    Restauração do arquivo userinit, e verificar a configuração no registro do Windows;

    Excluir o perfil do usuário na estação e recriar;

    O usuário faz logon normalmente em outras estações que passaram pela mesma adequação e não apresentaram problemas, assim como usuários dessas estações não conseguem fazer login nas estações que apresentaram problemas. Ou seja, não se trata do login dos usuários, mas sim das estações.

    Todos os usuários possuem o mesmo nível de permissão. E se adicionarmos os usuários no grupo Usuários Avançados do sistema, eles conseguem fazer login nessas estações com problemas.

    Ficarei grato com o auxílio.

    quarta-feira, 12 de agosto de 2015 14:42

Todas as Respostas

  • Qual é o seu cenário ae ? Qual server está usando ?

    Você não deixou nem o grupo de domain admins ?

    quarta-feira, 12 de agosto de 2015 15:18
  • Foi rodado um script de adequação, que remove tudo do grupo Administradores, e deixa o grupo "domain admins" e outros 2 grupos que é definição do ambiente corporativo. O servidor é o Windows 2003.

    Uma coisa que esqueci de dizer, se o usuário tiver perfil de administrador, consegue fazer login nas estações com problema.

    E se for usuário comum, não consegue.

    quarta-feira, 12 de agosto de 2015 16:10
  • Olá Guilherme,

    Você tem que adequar sua GPO de logon, por padrão somente administradores e domain admins podem fazer logon remoto. Crie um grupo e inclua em a permissão em sua GPO.

    Computer/Policies/Windows Settings/security Settings/Local Policies/User Rights Assignment


    Outra forma de permitir logon é incluir restricted groups concedendo permissão de remote desktop.

    Abraços. 

    quarta-feira, 12 de agosto de 2015 16:39
  • Você também pode fazer o seguinte deixar os usuários no grupo domain admins, e fazer o contrário retirar o grupo domain admins do grupos de administradores das maquinas. E criar um grupo ti e colocar os usuários com privilégios adm.
    quarta-feira, 12 de agosto de 2015 17:38
  • Emerson,

    Acho que você está equivocado o grupo domain Admins não é para este fim. Domain Admins é oque o próprio nome diz deve conter somente administradores do domínio, não deve nem conter administradores de máquina, é uma falha de segurança gravissima, qualquer um com esse nivel de permissão consegue destruir o ambiente caso pegue um virus.

    Abraço

    quarta-feira, 12 de agosto de 2015 17:42
  • No server 2003 ele vem como default assim por isso se vc tirar os usuários desse grupo ele não vai logar.

    Diferente do 2012 que quando vc cria um usuário ele como default cria o usuário apenas como usuário do dominio.

    quarta-feira, 12 de agosto de 2015 18:21