Objetivo

Esse artigo tem como objetivo demonstrar passo-a-passo como configurar a policy do seu domínio para impedir que usuários comuns adicionem computadores no domínio. Esse artigo foi escrito baseado no Active Directory do Windows Server 2008.

Aplica-se a:

  • Windows Server 2008 todas as versões. 

Visão Geral

Por default a policy Add workstations to domain permite que todos os usuários membros do grupo Authenticated Users adicionem até 10 contas de computadores no domínio. Com isso usuários comuns que não são do suporte conseguem adicionar computadores no seu domínio. Se você quer restringir quais usuários ou grupos podem adicionar contas de computadores no domínio continue lendo o artigo abaixo.

Verificando a Configuração da Policy Add Workstations to Domain

O primeiro passo é verificar como está configurado a policy Add workstations to domain. Por default a policy estará configurada com o grupo Authenticated Users.

Siga os passos abaixo para abrir a policy:

1 – Abra a console Group Policy Management. Será carregada a janela conforme mostra a figura 1.1.

Figura 1.1

Nota

Observe que a policy que você deve consultar é a Default Domain Controller Policy e não a Default Domain Policy.

2 – Selecione a policy Default Domain Controller Policy e clique com o botão direito e escolha a opção Edit. Será carregada a janela conforme mostra a figura 1.2.

Figura 1.2

Se você não alterou a policy do seu domínio provavelmente ela estará conforme mostra a figura 1.2

Nota

Esse artigo foi escrito baseado no Windows Server 2008, porém a mesma policy se aplica para o Windows 2000 Server e Windows Server 2003. O que poderá estar diferente é o caminho para abrir a policy, porém a política de ingressar computadores do domínio não mudou desde o Windows 2000 Server.

Recomendações

Antes de sair alterando a política do seu domínio eu recomendo que você siga os seguintes passos:

  • Faça testes em laboratório antes de alterar a policy do seu domínio de produção.
  • Apresente a mudança da política para o seu gerente ou diretor de TI.
  • Após receber um aceite dos seus superiores marque uma reunião com os responsáveis pelo suporte a desktop e servidores, para você apresentar a mudança da política de ingressar computadores no domínio.
  • Crie um procedimento para adicionar os computadores no domínio tanto para os desktops quanto para os servidores caso você ainda não tenha um.
  • Marque uma gerencia para alterar a política e não esqueça e fazer um backup full do seu AD antes da alteração.

Alterando a Policy Add Workstations to Domain

Após ter feito todo o planejamento conforme as recomendações citadas acima faça a alteração na policy.

1 – Dê um duplo clique na policy Add workstations to domain. Será carregada a janela conforme mostra a figura 1.3.

Figura 1.3

 

2 – Selecione o grupo Authenticated Users clique no botão Remove e em seguida clique no botão OK. A policy ficará conforme mostra a figura 1.4.

Figura 1.4

 

3 – Abra um prompt de comando e digite gpupdate /force, para forçar a atualização da policy.

4 – Se você quiser forçar os analistas a criarem as contas de computadores em uma OU e impedir que eles ao adicionar o computador ao domínio deixem a conta de computador no container Computers, você precisará remover o acesso do grupo Account Operators do container Computers. Para remover o acesso do grupo Account Operators do container Computers siga os passos abaixo:

4.1 – Na console do Active Directory Users and Computers selecione o menu View e clique na opção Advanced Features para ativar as opções avançadas da console.

4.2. – Selecione o container Computers e em seguida clique com o direito e escolha a opção Properties. Será carregada uma caixa de diálogo conforme mostra a figura 1.5.

Figura 1.5

4.3 – Selecione a guia Security. Será carregada uma caixa de diálogo conforme mostra a figura 1.6.

Figura 1.6

 

4.4 – Selecione o grupo Account Operators e clique no botão Remove e em seguida no botão OK.

 

Concedendo as Permissões aos Analistas

1 - O próximo passo é conceder as permissões de Account Operators para os analistas que irão adicionar os computadores ao domínio. Adicione os analistas a um grupo caso ainda não exista um e torne esse grupo membro do grupo Account Operators.

 

Notas

Se a política de sua empresa é restritiva referente quem pode ser membro do grupo Account Operators, você precisará delegar as permissões apropriadas para o grupo de analistas e talvez você precise mudar alguns passos mencionados acima nesse artigo.

Se um usuário comum tentar adicionar um computador no domínio ou um analista tentar adicionar o computador ao domínio sem antes ter criado a conta de computador em uma OU no domínio ele receberá a mensagem de Access is denied conforme mostra a figura 1.7.

Figura 1.7