Olá meus heróis e minhas heroínas do mundo da TI. Wellington Agápto por aqui. Hoje eu trouxe para vocês o artigo “Como permitir que só um grupo adicione máquinas ao domínio?”. Não esqueça de me seguir no Instagram, conhecer meu Site, se inscrever no meu Canal, deixar o seu like e compartilhar esse artigo, para fortalecermos cada vez mais a nossa comunidade. Um grande abraço e boa leitura.
Como permitir que só um grupo adicione máquinas ao domínio?
Primeiro precisamos criar um grupo que terá os direitos necessários para adição de máquinas ao domínio, caso sua organização já possua algum grupo, o mesmo pode ser utilizado.
1. Criar um Grupo que terá permissão de adicionar e remover máquinas do domínio.
1.1 Vá em Start > Administrative Tools > Active Directory Users and computers. Vá no menu “View” e marque a opção “Advanced Features”.
1.2. Vá ate a OU onde deseja criar o grupo, clique com o botão direito e escolha Novo > Grupo
1.3. Dê um nome ao grupo. Neste exemplo será GRP_SUPORTE_LOCAL. Escolha as opções:
- Escopo do Grupo: Global
- Tipo do Grupo: Segurança
- Adicione os membros no grupo.
2. Precisamos agora criar uma GPO no controlador de domínio para setarmos os grupos com permissões:
2.1. Abra a política e navegue até Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignment.
2.2 Abra User Rights Assignment.
2.3 Duplo clique em Add workstations to Domain.
2.4. Marque a opção Define these policy.
2.5. Pressione o botão Browse para adicionar um grupo ou usuário.
2.6. Complete a janela para adicionar mais usuários caso seja necessário.
2.7. Pressione Apply e OK.
3. Precisamos tirar o acesso dos usuários a adicionarem máquinas no domínio.
Para tirar a permissão dos usuários de adicionar máquinas no domínio, faça o seguinte procedimento:
3.1 Abra o Usuário e Computadores do Active Directory pelo menu Start > Administrative Tools > Active Directory Users and Computers.
Para configurar a restrição descrita acima é preciso ativar as opções de funcionalidades avançadas do Active Directory clicando em Viewe depois em Advanced Features.
Habilitando as funcionalidades avançadas do Active Directory
Após isto, clique com o botão direito do mouse no seu domínio e depois em propriedades > Propriedades do domínio.
Como ativamos anteriormente a opção Advanced Features, existirá uma aba chamada Attribute Editor > Aba Attribute Editor.
Clique na aba e de dois cliques na opção ms-DS-MachineAccountQuota. Coloque o valor zero. É neste valor que tiramos o direito dos usuários em relação as contas de computador. Com isso os usuários não conseguirão mais colocar máquinas no domínio.
Conheça meus cursos preparatórios para Certificações Microsoft e esteja apto para ser aprovado em apenas 4 Semanas.
Clique AQUI e saiba mais.
4. Delegando controle para adição de máquinas no domínio para o grupo de Service Desk
Depois do procedimento acima, somente os grupos administrativos padrões, como Domains Admins, Account Operators e Enterprise Admins, terão permissão para gerenciar as contas de computador. Para não darmos muitos privilégios aos funcionários do Service Desk, faremos com que eles só tenham permissão de adicionar máquinas no domínio.
4.1. Para isso, no Active Directory Users and Computers, clique com o botão direito do mouse no seu domínio e depois em Delegate Control.
4.2. Na tela inicial de boas vindas, clique em avançar. Na próxima tela, clique em Add e escolha o grupo que você deseja delegar o controle e clique em Next. O grupo Global G Service Desk será usado como exemplo. Logo depois, escolha a opção “Join a computer to the domain” e clique em Next. Na próxima tela, clique em Finish.
5. Finalizando a delegação de controle
Delegando direitos usando uma OU Específica no Active Directory:
5.1. Abra o Active Directory Users and Computers snap-in. Clique com o botão direito na OU que você quer que os computadores sejam adicionados, clique em Delegate Control > Clique em Next > Clique em Add > Depois de adicionar os users/groups, clique em Next > Selecione “Create custom task to delegate” e clique em Next.
5.2. Selecione apenas os objetos que você quer que eles possam adicionar, no nosso caso, marque a opção Computer objects, e clique em “Create selected objects in this folder box”, clique em Next > Clique em Next novamente > Clique em Finish.
Pronto! Com esses passos somente os administradores e o Service Desk poderão colocar máquinas no domínio.
Acesso Black
Tenha acesso vitalício aos seguintes cursos: AZ-900: Fundamentos do Microsoft Azure, AZ-104: Administrador do Microsoft Azure, AZ-500: Engenheiro de Segurança do Microsoft Azure, AZ-800: Administrando uma infraestrutura híbrida do Windows Server, MS-900: Fundamentos do Microsoft 365, MS-100: Identidades e Serviços do Microsoft 365, MS-101: Mobilidade e Segurança do Microsoft 365, MS-203: Microsoft Messaging Administrator, MS-500: Administrador de Segurança do Microsoft 365, MS-700: Administrador do Microsoft Teams, SC-900: Segurança no Microsoft 365.
Clique AQUI e garanta R$ 2.000,00 de desconto!
Cursos por apenas R$ 9,90
A Comunidade Cloud Hero foi criada para profissionais que desejam estar entre um seleto grupo de especialistas. Tornando-se um membro da comunidade você terá acesso a cursos, grupo VIP no WhatsApp, E-books, e downloads dos produtos mais utilizados no mercado da tecnologia da informação. Tudo isso por apenas R$ 9,90 por mês.
Clique AQUI e saiba mais.
Curso gratuito com certificado?
Faça o curso de Fundamentos da computação em nuvem gratuitamente e garanta o seu certificado. Inscreva-se clicando AQUI.