none
Moderação de Active Directory TI-N1 RRS feed

  • Pergunta

  • Boa tarde, Procurei em vários fóruns inclusive no TECHNET e não achei minha resposta: Situação: Temos alguns analistas de TI nível 1, e gostaríamos que eles tivessem acesso ao Active Directory para (Criação, reset de senhas e permissionamento de pastas dos usuários do domínio, porem não queremos coloca-los nos grupos de administradores, ou seja eles não podem instalar e executar aplicações no servidor. Nosso servidor é Windows Server 2012 R2, tentamos delegar funções, porem eles não conseguem abrir o dsa.msc se não forem administradores. Lembrando que não quero que eles tenha acesso a criação de Unidades Organizacionais e outras funções. Alguma sugestão de como consigo dar permissão de moderador do AD para este grupo?

    
    sexta-feira, 1 de novembro de 2019 20:28

Todas as Respostas

  • Fabricio, eles podem ser administradores das próprias estações? Se sim, basta utilizar o RSAT 
    sábado, 2 de novembro de 2019 02:21
  • Essa solução não cabe pois somos a TI de várias empresas e não estamos na mesma rede que eles. conectamos a vários ADs diferente mais de 100 empresas.

    Por isso a ferramenta RSAT não atende ao meu ambiente.
    quinta-feira, 14 de novembro de 2019 12:30
  • Olá estou tentando dar permissão de moderador do Active Directory para meus analistas TI-N1.

    Meu maior problema hoje é conseguir executar o "dsa.msc" sem o usuário ser um Administrador de Domínio nem Administrador Local.

    Estou caminhando para o lado via Script, vou por o script que eu consegui fazer até agora, mas o único problema mesmo é executar o "Usuários e Computadores do Active Directory" com usuário comum sem ser Administrador.

    Como informei a linha que estou seguindo é um script.vbs para abrir o cmd como administrador: 

    set WshShell = WScript.CreateObject("WScript.Shell") 

    WshShell.run "runas /user:Domain\User cmd" 'Open command prompt  
    WScript.Sleep 300 
    WshShell.SendKeys "Password#" 'Send password   
    WshShell.SendKeys "{ENTER}"    
    WScript.Sleep 300 

    Onde aqui ele abre uma nova tela como Administrador, porem não consegui fazer um script para escrever o comando nesta nova janela de prompt ADM, após abrir este novo prompt como administrador, ele tem que rodar o comando e sair do prompt ADM para não deixar o usuário suporte como acesso a esse prompt ADM após a execução do comando abaixo.:

    C:\Windows\System32\runas.exe /netonly /user:suporte@alura.local "mmc %SystemRoot%\system32\dsa.msc /domain=alura.local"

    Onde diz Que o "dsa.msc" deve ser aberto com as credenciais do usuário limitado "Suporte" onde ele somente tem permissão para criar usuários e resetar senhas, sendo proibido criar Unidades Organizacionais e apagar quaisquer objetos.

    Seria maravilhoso se eu conseguisse criar um ícone apenas que fizesse todos esse procedimento. Executasse o dsa.msc com credenciais de suporte (conta limitada).

    Desde Já agradeço

    quinta-feira, 14 de novembro de 2019 12:32