Configurar usuários comuns para não ingressarem computadores no domínio com GPO ou ADSI Edit



Cenário: Todas as estações de trabalho só poderão ingressar no domínio através de contas de usuários que fazem parte dos administradores do domínio. Por padrão, qualquer usuário do domínio poderá ingressar até 10 computadores no domínio, veremos como bloquear essa função ou selecionar apenas quem poderá executá-la.

Acompanhe como implementar uma política de grupo através de GPO com Active Directory do Windows Server 2012, ADSI Editor para estação de trabalho com Windows 8.

Configurando usuário (ou Grupo) específicos para ingressar computador ao domínio.


1) No Iniciar do Windows Server digite gerenciamento e clique no Gerenciamento de Políticas de grupo, pode ser encontrado também no menu Ferramentas do Gerenciador do Servidor.


2) Navegue até a Unidade Organizacional onde se encontra todos os computadores que você deseja aplicar essa política, clique com o botão direito sobre ela e selecione "Criar um GPO neste domínio e fornecer um link para ele aqui...".


3) Digite o nome da sua nova GPO e clique em OK.


4) Selecione essa nova GPO criada, clique com o botão direito e selecione Editar.


5) Nesta nova console expanda as seguintes pastas: "Configuração do Computador: Políticas/Configurações do Windows/Configurações de segurança/Políticas locais/Atribuição de direitos de usuário". De um duplo clique em "Adicionar estações de trabalho ao domínio".


6) Nesta nova janela marque a caixa de seleção em "Definir estas configurações de políticas", para habilitar e então clicar no botão "Adicionar usuário".


7) Nesta nova janela para adicionar usuário ou grupo clique em "Procurar".



8) Nesta nova janela de busca de objetos, escreva o nome da conta pretendida para habilitar e clicar no botão "Verificar nomes".


9) Após a resolução do nome, clique em OK.


10) Feche a janela Adicionar o usuário ou grupo, clique em OK.


11) Feche a janela Propriedades de Adicionar estações de trabalho ao domínio, clique em OK.


12) Feche o Editor de Gerenciamento de Política de Grupo, na console de Gerenciamento de Política de Grupo selecione a sua nova GPO e clique na aba "Opções".


13) Somente usuários configurados nesta política poderão ingressar computadores no domínio.
A boa prática recomenda que seja adicionado um grupo para não editar essa política sempre que precisar adicionar ou remover usuários.


Também é possível utilizar o ADSI Editar para impedir que usuários comuns ingressem computadores no domínio. É um dos N caminhos para o mesmo objetivo, porém, uma boa prática não é depender apenas dos grupos padrões, que são substituídos ou desabilitados frequentemente.

Configurando usuário (ou Grupo) específicos para ingressar computador ao domínio.



1) No Iniciar do Windows Server digite ADSI e clique no ADSI Editor, pode ser encontrado também no menu Ferramentas do Gerenciador do Servidor.


2) No ADSI Editor clique com o botão direito em ADSI Editor e selecione "Conectar-se a..." ou o selecione no menu superior Ação.


3) Na janela Configurações de Conexão clique em OK.


4) Selecione e de dois cliques em Contexto de nomenclatura padrão, selecione e clique com o botão direito na pasta abaixo que corresponde ao seu domínio e clique com o botão direito e selecione Propriedades.


5) Nesta janela de propriedades mova a barra de rolagem e dê dois cliques em ms-DS-MachineAccountQuota ou selecione Editar.


6) Altere o valor do atributo para 0 clique em OK.


7) Clique em OK para fechar as Propriedades e feche o ADSI Editor .


Usuários membros dos grupos Account Operators, Administrators ou Domain Administrators, ou que tenham permissões delegadas para criar e deletar contas de computador no Active Directory, não serão afetados por essa restrição.


Esse artigo foi submetido por

Alexandre de Matos
MCSE - MCSA - MCTS


alexandremn@live.estacio.br

Nenhum comentário:

Postar um comentário

< >