none
Permitir acesso remoto mas restringir acesso a determinadas pastas RRS feed

  • Pergunta

  • Boa tarde,

    Estou utilizando Windows Server 2012, gostaria de criar um usuário que pudesse fazer login remoto neste servidor mas que tivesse algumas restrições como não poder ganhar acesso em determinadas pastas, pois preciso restringir o acesso em determinadas unidades, gostaria de saber se existe alguma forma, como fazer, se há publicações onde eu possa estudar mais sobre esse assunto.

    Fico no aguardo e agradeço desde já.

    Att.
    Leonardo Lima

    segunda-feira, 6 de janeiro de 2014 14:32

Todas as Respostas

  • Boa tarde!

    Com um usuário ou grupo criado no AD, basta você dar acesso a este usuário apenas para Remote Desktop no servidor, seguindo estes KB's:

    http://www.petri.co.il/enable-remote-desktop-windows-server-2012-for-remote-administration.htm

    http://technet.microsoft.com/en-us/library/cc758036(v=ws.10).aspx

    O ideal é que você vá inserindo permissões em diretórios gradualmente, conforme a necessidade: http://technet.microsoft.com/pt-br/library/cc754344.aspx

    Te recomendo para estudos o MVA, canal de estudos sobre produtos Microsoft, é gratuito e tem muito material:http://www.microsoftvirtualacademy.com

    Att.


    Erik R. Filippini

    MCP | MTA | SEC | ITIL V3

    **Caso esta resposta seja útil, favor marcar como resposta, isso ajuda na indexação do fórum**

    • Sugerido como Resposta Erik Filippini segunda-feira, 6 de janeiro de 2014 14:41
    • Editado Erik Filippini segunda-feira, 6 de janeiro de 2014 14:49
    segunda-feira, 6 de janeiro de 2014 14:39
  • Olá Leonardo,

    Basta configurar o acesso as pastas, restringindo o acesso as pastas que você não quer que ele acesse... http://technet.microsoft.com/pt-br/library/cc732880.aspx

    Atenciosamente,


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    • Sugerido como Resposta Leandro Ruwer segunda-feira, 6 de janeiro de 2014 15:57
    segunda-feira, 6 de janeiro de 2014 14:46
  • 1- Você precisa dar a permissão para o usuário de acordo com seu grupo e qual acesso ele tem. Faça um grupo e de apenas acesso de usuário.

    2- Digite no executar sysdm.cpl e clique na aba remoto e dê permissão apenas para o usuário:

    4- Você pode criar uma GPO para o container para não mostrar as unidade no windows explorer.

    segunda-feira, 6 de janeiro de 2014 14:50
  • Boa tarde,

    Até agora não consegui achar uma solução, criei um usuário novo, adicionei o mesmo no grupo de Admins. do Domínio, dai ele conseguiu acessar o servidor normalmente, e também conseguiu abrir o gerenciamento de usuários, o problema é que consegui me adicionar no grupo de Administradores ou seja, consegui obter acesso ao conteúdo da pasta protegida.


    Na verdade eu preciso de um usuário que possa Administrar o Servidor sem ganhar acesso em uma determinada pasta.

    segunda-feira, 6 de janeiro de 2014 18:40
  • Então, bloqueie o acesso ao usuário para as pastas que você quer...

    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    segunda-feira, 6 de janeiro de 2014 18:42
  • Nas propriedades da pasta, adicione o usuário que não deve ter acesso nela e desmarque todos os acessos e marque Deny Full Control na pasta (faça isso somente para o usuário correto).


    Leandro Ruwer MCP | MCSA Win 2003| MCITS - Server Virtualization | MCSA Win Srv 2012 | MCSE Win Srv 2012

    • Sugerido como Resposta Edinaldo Junior segunda-feira, 6 de janeiro de 2014 18:52
    segunda-feira, 6 de janeiro de 2014 18:49
  • Blz... mesmo esse usuário sendo o "Administrator" ????

    Acabei de fazer um teste aqui, mesmo eu Negando Controle total, com o usuário Administrador ou dentro do grupo "Administradores" eu consigo ir na Config. Seg. Avançadas e alterar o proprietário, assim eu "roubo" o acesso para essa pasta, eu gostaria de chegar em uma solução que eu não corresse nenhum risco.
    • Editado Leonardo Lima segunda-feira, 6 de janeiro de 2014 19:04
    segunda-feira, 6 de janeiro de 2014 19:00
  • Sim Leonardo é que no caso o você como administrador tem permissões maiores e em outros níveis da estrutura de pastas por isso consegue alterar essas configurações.

    O que você precisa definir é o que este usuário vai fazer no servidor (se vai ter poderes administrativos ou em alguma ferramenta administrativa) e depois disso darmos as permissões corretas.

    Se somente colocar ele como admin do servidor ele vai conseguir alterar qualquer outra configuração que faça.

    Então defina o que ele vai precisar fazer, ai vemos que tipo de usuário ele vai ser (administrador, power user, backup user, etc) depois disso vemos as permissões das pastas.


    Leandro Ruwer MCP | MCSA Win 2003| MCITS - Server Virtualization | MCSA Win Srv 2012 | MCSE Win Srv 2012

    segunda-feira, 6 de janeiro de 2014 19:13
  • Leandro,

    Essa é fácil de responder... o usuário em questão precisa executar as seguintes tarefas:

    Logar no servidor para:
    Administrar usuários no AD, adicionar, remover, alterar senha.
    Gerenciar DHCP e DNS.

    Ahhh...

    Lembrei, já fiz um teste, criei um usuário "suporte" e nesse deixei ele no grupo Admins. do Domínio, quando tentei ganhar permissão nas pastas não consegui, mas também foi eu ir e me adicionar no grupo de Administradores e relogar que consegui...

    Eu precisava travar, falar que aquele usuário não pode aumentar ou alterar os próprios grupos.. isso é possível ? 

    • Editado Leonardo Lima segunda-feira, 6 de janeiro de 2014 19:20
    segunda-feira, 6 de janeiro de 2014 19:16
  • Agora ficou um pouco mais fácil :)

    O que você precisa é delegar funções para o usuário. De uma liga no artigo abaixo e veja se ajuda.

    http://technet.microsoft.com/pt-br/library/cc778807(v=ws.10).aspx

    Segue um exemplo de como fazer:

    http://kimiechik.wordpress.com/2013/03/01/delegando-controle-no-active-directory-usuarios-com-permissao-de-desativarativar-contas-de-outros-usuarios/

    Se for isso mesmo ai acho que matamos o que precisa fazer.


    Leandro Ruwer MCP | MCSA Win 2003| MCITS - Server Virtualization | MCSA Win Srv 2012 | MCSE Win Srv 2012


    • Editado Leandro Ruwer segunda-feira, 6 de janeiro de 2014 19:21
    segunda-feira, 6 de janeiro de 2014 19:19
  • Então, para este tipo de manutenção, você não precisa que o administrador de contas conecte remotamente (abrindo uma sessão) no servidor, basta instalar a ferramenta administrativa na estação dele, exemplo: http://support.microsoft.com/kb/308196/pt-br

    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    • Sugerido como Resposta Leandro Ruwer segunda-feira, 6 de janeiro de 2014 19:24
    • Não Sugerido como Resposta Leandro Ruwer segunda-feira, 6 de janeiro de 2014 19:24
    segunda-feira, 6 de janeiro de 2014 19:20
  • Então, para este tipo de manutenção, você não precisa que o administrador de contas conecte remotamente (abrindo uma sessão) no servidor, basta instalar a ferramenta administrativa na estação dele, exemplo: http://support.microsoft.com/kb/308196/pt-br

    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    Só um detalhe Edinaldo, fazendo esta questão se não delegar as permissões corretas para o usuário ele pode se adicionar em um grupo e ai passar a ter outras permissões.

    Leandro Ruwer MCP | MCSA Win 2003| MCITS - Server Virtualization | MCSA Win Srv 2012 | MCSE Win Srv 2012

    segunda-feira, 6 de janeiro de 2014 19:24
  • Olá Leandro, correto, nem citei mais a questão de permissão, por já ter sido tão debatida...o que mostrei é que não precisa o administrador ficar abrindo um TS no servidor sempre que precisar efetuar alguma alteração.

    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    segunda-feira, 6 de janeiro de 2014 19:39
  • Então, para este tipo de manutenção, você não precisa que o administrador de contas conecte remotamente (abrindo uma sessão) no servidor, basta instalar a ferramenta administrativa na estação dele, exemplo: http://support.microsoft.com/kb/308196/pt-br


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    Só um detalhe Edinaldo, fazendo esta questão se não delegar as permissões corretas para o usuário ele pode se adicionar em um grupo e ai passar a ter outras permissões.

    Leandro Ruwer MCP | MCSA Win 2003| MCITS - Server Virtualization | MCSA Win Srv 2012 | MCSE Win Srv 2012

    que complicação kkkk só tô com nó na cabeça :D

    segunda-feira, 6 de janeiro de 2014 19:51
  • Leonardo, não tem complicação nenhuma...

    1. instale a ferramenta administrativa na estação do responsável pela manutenção no servidor;

    2. dê as permissões devidas a ele (não tem que ser administrador), pode ser power user, por exemplo, veja o que mais se adequada;

    3. para que ele e nenhum outro usuário acesse pela rede pastas indevidas, coloque as permissões corretas;

    Só isso,


    Edinaldo Oliveira

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita.

    ** Por favor, lembre-se de “Marcar como Resposta” as respostas que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde. **

    • Sugerido como Resposta Edinaldo Junior segunda-feira, 6 de janeiro de 2014 19:56
    segunda-feira, 6 de janeiro de 2014 19:56