none
Permissão de Acesso à Máquina RRS feed

  • Pergunta

  • Senhores, bom dia!!

    Tenho uma dúvida com relação aos acessos a uma determinada máquina. Gostaria que somente um usuário do meu domínio pudesse se logar nessa máquina. Como eu poderia fazer isso?

    Abraços,
    Ítalo Teixeira
    quarta-feira, 12 de novembro de 2008 12:16

Respostas

Todas as Respostas

  • Grato pessoal, lembrei aqui.

    Por GPO na guia Computer Settings, o caminho é: Windows Settings / Security Settings / Local Policies / User Rights Assingnment / Access This Computer From The Network

    Abraços à todos!
    quarta-feira, 12 de novembro de 2008 12:31
  • Italo,

     

    Vai na maquina local, painel de controle, ferramentas administrativas, local polices, em diretivas locais, localize a politica ACESSAR ESTE COMPUTADOR PELA REDE, altere essa politica, para somente o usuário que vc deseja...

     

    Recomendo deixar algum administrador ou grupo de administradores tb ....

     

     

    Espero ter ajudado

     

    abraços

     

    quarta-feira, 12 de novembro de 2008 12:33
    Moderador
  • Tb tem a permissao de LOGON LOCAL....

    quarta-feira, 12 de novembro de 2008 12:59
    Moderador
  • Para que somente um usuário logue em tal

    estação ou você aponta as estações para os outros usuários (logon on)

    e não insere esta estação, o que vai te dar mais trabalho..

    ou define por GPO no mesmo caminho que você citou e ativa "negar logon local"

    e seta um grupo que será bloqueado, um grpo em que este usuário nao faz parte..

     

    Esta configuração que você realizou não impede do usuário

    logar na estação e sim acesso pela rede..

     

     

    abs,

     

    quarta-feira, 12 de novembro de 2008 13:10
    Moderador
  • Oi Felipe, abaixo cito o porquê não implementar da maneira que você falou. Mas de toda forma agradeço a ajuda.

    Segue abaixo alguma ajuda para todos que desejam implementar esse tipo de política.


    Para que somente um usuário logue em tal

    estação ou você aponta as estações para os outros usuários (logon on)

    e não insere esta estação, o que vai te dar mais trabalho..



    Realmente isso me daria muito trabalho, logo que tenho mais de 500 usuários no meu AD. Isso seria praticamente impossível deu definir esse tipo de política à todos eles num curto período de tempo.


    ou define por GPO no mesmo caminho que você citou e ativa "negar logon local"

    e seta um grupo que será bloqueado, um grpo em que este usuário nao faz parte..



    Ativar a opção Negar Logon Local me proibe até mesmo o usuário que eu desejo que logue de logar além de todos os outros. O ideal seria adicionar o usuário que eu desejo que faça o logon local, o administrators e remova todo o resto.


    Esta configuração que você realizou não impede do usuário

    logar na estação e sim acesso pela rede..



    Realmente não impede que o usuário faça o logon local, por isso deve ser feita a combinação de policies, tanto a de "Acessar esse computador pela Rede", que me impede que outros usuários tentem acessar essa máquina pela rede, quanto a opção "Permitir Logon Local", que dirá que somente aqueles usuários específicos poderão logar na máquina.

    De toda forma fico grato pela ajuda. Espero ter ajudado à todos com essa dúvida.

    Abraços!
    Ítalo Teixeira
    quarta-feira, 12 de novembro de 2008 13:40
  • Italo,

     

    Precisando é só gritar .

     

    abraços

    quarta-feira, 12 de novembro de 2008 13:47
    Moderador
  • Ativar a opção Negar Logon Local me proibe até mesmo o usuário que eu desejo que logue de logar além de todos os outros. O ideal seria adicionar o usuário que eu desejo que faça o logon local, o administrators e remova todo o resto.

    Certamente você bloqueou um grupo em que o usuário faz parte..

    Se você criar um grupo BloquearLogonEstaçãoTal

    e setar 499 usuários , menos o User500 e setar este grupo na police.. o User500 não será bloqueado..

    tente verificar como você aplicou isso..

     

     

     

    Com relação a "combinação de polices"..

    voce então diz que para funcionar eu tenho que definir em "acessar esta computador pela rede"

    e "permitir logon local".. os mesmos usuários.. No caso administradores e o User500 que é o unico usuário

    que pode logar na estação , seria isso ?

     

     

    quarta-feira, 12 de novembro de 2008 17:28
    Moderador
  • Oi Felipe,


    Certamente você bloqueou um grupo em que o usuário faz parte..

    Se você criar um grupo BloquearLogonEstaçãoTal

    e setar 499 usuários , menos o User500 e setar este grupo na police.. o User500 não será bloqueado..

    tente verificar como você aplicou isso..



    Nesse caso eu ainda perderia bastante tempo tendo que reunir os 500 usuários que eu tenho espalhados em diversas OU's dos meus sites para colocar dentro desse grupo e filtrar os usuários que eu não gostaria que fosse negada a autenticação. Sei que posso fazer uma busca por usuários do meu domínio, mas ainda assim me daria mais trabalho. Nesse caso acho que o ideal seria fazer do método inverso, conforme citei.


    Com relação a "combinação de polices"..

    voce então diz que para funcionar eu tenho que definir em "acessar esta computador pela rede"

    e "permitir logon local".. os mesmos usuários.. No caso administradores e o User500 que é o unico usuário

    que pode logar na estação , seria isso ?



    No meu caso sim, onde não gostaria que ninguém tivesse acesso à essa máquina mesmo por caminho de rede, somente o usuário que eu setar e administradores.

    Abraços!
    quarta-feira, 12 de novembro de 2008 17:59
  • Não, estou falando isso..

    porque eu fiz o teste de permitir logon local , somente o User1

    verifiquei que a police foi aplicada na estação e os outros usuários logaram normalmente,

    porque eles estão logando no dominio e não local, agora o negar logon local sim interfere ao logar no dominio

    dando aquele erro classico de logon interativo..

     

     

     

    quarta-feira, 12 de novembro de 2008 18:22
    Moderador

  • Não, estou falando isso..

    porque eu fiz o teste de permitir logon local , somente o User1

    verifiquei que a police foi aplicada na estação e os outros usuários logaram normalmente,

    porque eles estão logando no dominio e não local, agora o negar logon local sim interfere ao logar no dominio

    dando aquele erro classico de logon interativo..




    Você chegou a remover todos os outros grupos que tem dentro de "Fazer logon local"?

    Se existir o grupo Users lá dentro os outros usuários conseguirão logar normalmente. o "correto" seria estar o grupo administrators e o grupo de usuários que vc quer que logue, o resto deve ser removido.
    quarta-feira, 12 de novembro de 2008 18:59
  • Como havia dito setei somente o User1

    e verifiquei que a diretiva foi carregada...

    Dominio\User1, como eu falei , o fato de eu não colocar o usuário em "fazer logon local"

    não impede de realizar logon no dominio.

     

     

    quarta-feira, 12 de novembro de 2008 19:16
    Moderador
  • Aqui funcionou corretamente. Não sei se isso poderia influenciar, mas nos meus testes eu tirei o usuário de dentro de todos os grupos locais. Antes desse teste os outros usuários estavam conseguindo logar conforme você falou.

    Caso queira, posso te mandar uns prints para você dar uma olhada na configuração como ficou.

    No meu ponto de vista acho que a melhor forma de utilizar a opção "Negar logon", seria no caso de apenas um grupo seleto de usuários não poder logar e todo o resto poder. As duas opções tem um mesmo objetivo, só que de formas inversas.

    []'s
    quarta-feira, 12 de novembro de 2008 19:29
  • Como eu suspeitava, fiz um teste aqui e funcionou somente com o fazer logon local

    setei um usuário e o outro não logou, até ai perfeito , porém a estação esta em grupo de trabalho

    em grupo de trabalho eu já sabia que funcionava.. vou chegar em casa e testar novamente

    e te falo.. informo que meus usuários do dominio não são membros de grupos locais

    e como eu falei não setei grupos, somente um usuário.

     

     

    quarta-feira, 12 de novembro de 2008 19:50
    Moderador
  • Italo,

    Refiz a configuração e agora foi na boa...

    Configuração Ok.. algo deve ter dado errado no carregamento da GPO..

    e o seu ponto de vista esta correto, como deu zica aqui citei a forma do negar logon...

    por isso falei que iria refazer os testes..

     

     

    abs,

     

     

     

    quarta-feira, 12 de novembro de 2008 21:47
    Moderador
  • Valeu Felipe!

    No que a gente puder ajudar estamos aí. De toda forma te agradeço também pela ajuda dando outras soluções ao problema e resultando em informações mais claras sobre cada uma das opções ao pessoal do TechNet.

    Abraços,
    Ítalo Teixeira
    quinta-feira, 13 de novembro de 2008 11:28