locked
AD - Mega ajuda RRS feed

  • Pergunta

  • Pessoal,

    Tenho algumas dúvidas, em relação ao AD. Se puderem me auxiliar, agradeceria muito. As dúvidas são:

    1) Criei todos os usuários do AD, em "Active Directory Users and Computers". Só que gostaria de organizar os usuários por empresa e setor. Andei dando uma olhada, e vi que existe o "Organizational Unit". É através dele, que organizo da forma que quero? As regras atuais, não serão afetadas?

    2) Preciso instalar o VNC, para ter acesso remoto às estações. Já baixei o SilentVNC e criei .reg com a minha senha de Admin, para poder acessar as máquinas, qdo necessário. Agora, como faço para criar um GPO, para instalar o VNC em todas as estações?

    3) Preciso criar pastas compartilhadas, de acordo com o setor da empresa. As pastas eu já criei, agora, como faço para dar acesso e mapear as pastas por setor? Algumas dessas pastas, o usuário só pode gravar coisas e não pode apagar, esse tipo de acesso, eu faço pela aba Security da pasta, é a forma correta ou tem alguma outra forma usando GPO?

    4) Preciso bloquear os jogos das máquinas, só que com excessões de algumas máquinas. Andei pesquisando e vi que é feito pelo hash do arquivo. Agora, como criar uma GPO, aplicando-a à todas as máquinas, com excessão de algumas?

    sábado, 9 de abril de 2011 18:49

Respostas

  • Vamos lá Guilherme, vou tentar te ajudar:

    1) Sim, as OUs servem para isso mesmo, para você organizar do jeito que achar melhor. Não há uma regra existente, se é melhor criar por departamentos, funções ou etc... você quem decide. De qualquer forma, as OUs não interferem nas regras atuais;

    2) Acho que esse link pode te ajudar: http://blogs.technet.com/b/askds/archive/2007/08/14/deploying-custom-registry-changes-through-group-policy.aspx;

    3) Para mapear: http://www.forumimpacta.com.br/forum_posts.asp?TID=503
    Permissões nas pastas: http://imasters.com.br/artigo/2125/redes-e-servidores/ntfs-permissoes-de-acesso

    4) http://social.technet.microsoft.com/Forums/pt-BR/winsrv2003pt/thread/958a0067-546c-443d-9485-936c2c754ef1/


    João HEYTOR Kreitlow Pereira [ jhkpereira@gmail.com - http://www.joaoheytor.com ] Certified in ITIL V3 Foundation and a Microsoft Certified Professional (MCP, MCTS [Windows 7 / Vista] & MCSA)
    • Marcado como Resposta Guilherme_ domingo, 10 de abril de 2011 16:28
    sábado, 9 de abril de 2011 19:26
  •  

    1) Criei todos os usuários do AD, em "Active Directory Users and Computers". Só que gostaria de organizar os usuários por empresa e setor. Andei dando uma olhada, e vi que existe o "Organizational Unit". É através dele, que organizo da forma que quero?

    R: AS OU , são utilizadas para organização de objetos (user, pcs, grupos, etc), veja como utilizo minhas Ous (criei uma Com o nome da empresa, e dentro dela criei outras com os seguintes nomes: Computadores, Servidores, usuários, grupos, objetos desabilitados).

    As regras atuais, não serão afetadas?

    É interessante utilizar OUs com o Group Policy Management (gpm.msi - baixe no site da microsift)., com ele voce cria varias GPOs individuais para cada OU

    podendo bloquear a herença de GPOs ou permitir. E pode linkar qualquer GPO que quiser em qualquer OU. Vale a pena implentar. O server 2008 já vem com o

    GPM por padrão.

    2) Preciso instalar o VNC, para ter acesso remoto às estações. Já baixei o SilentVNC e criei .reg com a minha senha de Admin, para poder acessar as máquinas, qdo necessário. Agora, como faço para criar um GPO, para instalar o VNC em todas as estações?

    Voce vai precisar que o arquivo de instalação esteja no formato  exemplo:  VNC.msi utilizando o Pacote MSI pode instalar em todas as maquinas no dominio é criado na GPO.

    3) Preciso criar pastas compartilhadas, de acordo com o setor da empresa. As pastas eu já criei, agora, como faço para dar acesso e mapear as pastas por setor? Algumas dessas pastas, o usuário só pode gravar coisas e não pode apagar, esse tipo de acesso, eu faço pela aba Security da pasta, é a forma correta ou tem alguma outra forma usando GPO?

    Aconselho que faça da seguinte forma:

    Crie uma pasta com o nome da empresa e a compartilhe, dentro desta pasta crie as pastas dos departamentos Comercial, Financeiro, Cobrança, etc.).

    Agora vá na pasta compartilhada (a que tem o nome da empresa), clique em Compartilhamento e de as devidas permissões. Eu particularmente dou a permissão Autenticate Users, Ler e mudar. Isto no compartilhamento.

    Nas pastas dos departamentos controlo tudo com o NTFS (a guia segurança que vc comentou).

    Sendo que na guia segurança não coloco os usuarios e sim os grupos (e dentro dos grupos coloco os usuarios).

    Caso queira negar o acesso para algum usuario especifico ai coloco o usuario ao invez do grupo.

    Lembresse que a guia compartilhamento dá acesso via rede. E a guia segurança da acesso as pastas. Combinando as duas vale a que for mais restritiva.

    Quanto ao mapeamento é possivel criar por Script de Logon nas GPOS ou nas propriedades do perfil.

    4) Preciso bloquear os jogos das máquinas, só que com excessões de algumas máquinas. Andei pesquisando e vi que é feito pelo hash do arquivo. Agora, como criar uma GPO, aplicando-a à todas as máquinas, com excessão de algumas?

    quais jogos está falando? No trabalho nao tem essa!! remova de todas as maquinas nem que tenha que ir até ela e remover.

     

    Criei uma GPO, que executa um .bat que verifica se o programa está instalado, se não estiver, instala. Só que ficou uma dúvida, os usuários do AD, não tem permissão de instalar programas nas máquinas. Rodando essa GPO, vai instalar o programa, que está na GPO?

    Se os usuarios não tem permissão então eles não conseguiram instalar. No caso de a permissão ao seu usuario e faça login em cada maquina.

    • Marcado como Resposta Guilherme_ domingo, 10 de abril de 2011 16:28
    domingo, 10 de abril de 2011 02:06

Todas as Respostas

  • Vamos lá Guilherme, vou tentar te ajudar:

    1) Sim, as OUs servem para isso mesmo, para você organizar do jeito que achar melhor. Não há uma regra existente, se é melhor criar por departamentos, funções ou etc... você quem decide. De qualquer forma, as OUs não interferem nas regras atuais;

    2) Acho que esse link pode te ajudar: http://blogs.technet.com/b/askds/archive/2007/08/14/deploying-custom-registry-changes-through-group-policy.aspx;

    3) Para mapear: http://www.forumimpacta.com.br/forum_posts.asp?TID=503
    Permissões nas pastas: http://imasters.com.br/artigo/2125/redes-e-servidores/ntfs-permissoes-de-acesso

    4) http://social.technet.microsoft.com/Forums/pt-BR/winsrv2003pt/thread/958a0067-546c-443d-9485-936c2c754ef1/


    João HEYTOR Kreitlow Pereira [ jhkpereira@gmail.com - http://www.joaoheytor.com ] Certified in ITIL V3 Foundation and a Microsoft Certified Professional (MCP, MCTS [Windows 7 / Vista] & MCSA)
    • Marcado como Resposta Guilherme_ domingo, 10 de abril de 2011 16:28
    sábado, 9 de abril de 2011 19:26
  • Oi João. Obrigado pela ajuda, mas ainda estou com algumas dúvidas.. rs.

    1) Organizei os usuários, por OU. Só que, não dá para aplicar GPO na OU, só dá para aplicar GPO em usuários e grupos, é isso?

    2) A dúvida nesse item, é em relação de como criar uma GPO para instalação de programas.

    3) No link, só tem como criar um atalho, precisava de como mapear como unidade de rede.

    sábado, 9 de abril de 2011 20:10
  • Em relação à GPO, para instalação de programas:

    Criei uma GPO, que executa um .bat que verifica se o programa está instalado, se não estiver, instala. Só que ficou uma dúvida, os usuários do AD, não tem permissão de instalar programas nas máquinas. Rodando essa GPO, vai instalar o programa, que está na GPO?

    domingo, 10 de abril de 2011 00:57
  •  

    1) Criei todos os usuários do AD, em "Active Directory Users and Computers". Só que gostaria de organizar os usuários por empresa e setor. Andei dando uma olhada, e vi que existe o "Organizational Unit". É através dele, que organizo da forma que quero?

    R: AS OU , são utilizadas para organização de objetos (user, pcs, grupos, etc), veja como utilizo minhas Ous (criei uma Com o nome da empresa, e dentro dela criei outras com os seguintes nomes: Computadores, Servidores, usuários, grupos, objetos desabilitados).

    As regras atuais, não serão afetadas?

    É interessante utilizar OUs com o Group Policy Management (gpm.msi - baixe no site da microsift)., com ele voce cria varias GPOs individuais para cada OU

    podendo bloquear a herença de GPOs ou permitir. E pode linkar qualquer GPO que quiser em qualquer OU. Vale a pena implentar. O server 2008 já vem com o

    GPM por padrão.

    2) Preciso instalar o VNC, para ter acesso remoto às estações. Já baixei o SilentVNC e criei .reg com a minha senha de Admin, para poder acessar as máquinas, qdo necessário. Agora, como faço para criar um GPO, para instalar o VNC em todas as estações?

    Voce vai precisar que o arquivo de instalação esteja no formato  exemplo:  VNC.msi utilizando o Pacote MSI pode instalar em todas as maquinas no dominio é criado na GPO.

    3) Preciso criar pastas compartilhadas, de acordo com o setor da empresa. As pastas eu já criei, agora, como faço para dar acesso e mapear as pastas por setor? Algumas dessas pastas, o usuário só pode gravar coisas e não pode apagar, esse tipo de acesso, eu faço pela aba Security da pasta, é a forma correta ou tem alguma outra forma usando GPO?

    Aconselho que faça da seguinte forma:

    Crie uma pasta com o nome da empresa e a compartilhe, dentro desta pasta crie as pastas dos departamentos Comercial, Financeiro, Cobrança, etc.).

    Agora vá na pasta compartilhada (a que tem o nome da empresa), clique em Compartilhamento e de as devidas permissões. Eu particularmente dou a permissão Autenticate Users, Ler e mudar. Isto no compartilhamento.

    Nas pastas dos departamentos controlo tudo com o NTFS (a guia segurança que vc comentou).

    Sendo que na guia segurança não coloco os usuarios e sim os grupos (e dentro dos grupos coloco os usuarios).

    Caso queira negar o acesso para algum usuario especifico ai coloco o usuario ao invez do grupo.

    Lembresse que a guia compartilhamento dá acesso via rede. E a guia segurança da acesso as pastas. Combinando as duas vale a que for mais restritiva.

    Quanto ao mapeamento é possivel criar por Script de Logon nas GPOS ou nas propriedades do perfil.

    4) Preciso bloquear os jogos das máquinas, só que com excessões de algumas máquinas. Andei pesquisando e vi que é feito pelo hash do arquivo. Agora, como criar uma GPO, aplicando-a à todas as máquinas, com excessão de algumas?

    quais jogos está falando? No trabalho nao tem essa!! remova de todas as maquinas nem que tenha que ir até ela e remover.

     

    Criei uma GPO, que executa um .bat que verifica se o programa está instalado, se não estiver, instala. Só que ficou uma dúvida, os usuários do AD, não tem permissão de instalar programas nas máquinas. Rodando essa GPO, vai instalar o programa, que está na GPO?

    Se os usuarios não tem permissão então eles não conseguiram instalar. No caso de a permissão ao seu usuario e faça login em cada maquina.

    • Marcado como Resposta Guilherme_ domingo, 10 de abril de 2011 16:28
    domingo, 10 de abril de 2011 02:06
  • Já organizei tudo aqui, usando OUs..  =)

    O VNC, instalei via GPO mas com a extensão .exe mesmo. Criei um .bat e instalou certinho, mesmo o usuário não tendo permissão de instalar nada na máquina. Pelo que li, a instalação é feita usando uma conta administrativa.

    Em relação aos jogos, criei uma GPO que bloqueia tudo. Depois, dá uma pesquisada sobre bloqueio de software por hash. Funciona belezinha.
    domingo, 10 de abril de 2011 16:28
  • Então pelo jeito, deu tudo certo dessa vez???!!

    ;D


    João HEYTOR Kreitlow Pereira [ jhkpereira@gmail.com - http://www.joaoheytor.com ] Certified in ITIL V3 Foundation and a Microsoft Certified Professional (MCP, MCTS [Windows 7 / Vista] & MCSA)
    terça-feira, 12 de abril de 2011 01:01