Como dar direitos de adicionar máquina no domínio para um grupo específico?

Shape Image One

Primeiro precisamos criar um grupo que terá os direitos necessários para adição de máquinas ao domínio, caso sua organização já possua algum grupo, o mesmo pode ser utilizado.

1. Criar um Grupo que terá permissão de adicionar e remover máquinas do domínio. 

– Vá em Start > Administrative Tools > Active Directory Users and computers. Vá no menu “View” e marque a opção “Advanced Features”.
– Vá ate a OU onde deseja criar o grupo, clique com o botão direito e escolha Novo > Grupo
– Dê um nome ao grupo. Neste exemplo será GRP_SUPORTE_LOCAL. Escolha as opções:
– Escopo do Grupo: Global
– Tipo do Grupo: Segurança
– Adicione os membros no grupo.
 
2. Precisamos agora criar uma GPO no controlador de domínio para setarmos os grupos com permissões:

  1. Abra a política e navegue até Computer Configuration / Windows Settings / Security Settings / Local Policies / User Rights Assignment.
  2. AbraUser Rights Assignment.
  3. Duplo clique emAdd workstations to Domain.
  4. Marque a opçãoDefine these policy.
  5. Pressione o botãoBrowsepara adicionar um grupo ou usuário.
  6. Complete a janela para adicionar mais usuários caso seja necessário.
  7. PressioneApplye OK.

Política criada, porém ainda sem efeito, para que eles possam adicionar maquinas no domínio correto, utilize as seguintes informações:

 
3. Precisamos tirar o acesso dos usuários a adicionarem máquinas no domínio

Para tirar a permissão dos usuários de adicionar máquinas no domínio, faça o seguinte procedimento:

Abra o Usuário e Computadores do Active Directory pelo menu Start>Administrative Tools> Active Directory Users and Computers.

Para configurar a restrição descrita acima é preciso ativar as opções de funcionalidades avançadas do Active Directory clicando em Viewe depois em Advanced Features, como mostra a figura 1:

Habilitando as funcionalidades avançadas do Active Directory

Após isto, clique com o botão direito do mouse no seu domínio e depois em propriedades:

Propriedades do domínio

Como ativamos anteriormente a opção Advanced Features, existirá uma aba chamada Attribute Editor.

Aba Attribute Editor

Clique na aba e de dois cliques na opção ms-DS-MachineAccountQuota. Coloque o valor zero, conforme figura 4. É neste valor que tiramos o direito dos usuários em relação as contas de computador.

Atributo com limites de máquinas no domínio

Com isso os usuários não conseguirão mais colocar máquinas no domínio.

 
4. Delegando controle para adição de máquinas no domínio para o grupo de Service Desk

Depois do procedimento acima, somente os grupos administrativos padrões, como Domains Admins, Account Operators e Enterprise Admins, terão permissão para gerenciar as contas de computador.

Para não darmos muitos privilégios aos funcionários do Service Desk, faremos com que eles só tenham permissão de adicionar máquinas no domínio.

Para isso, no Active Directory Users and Computers, clique com o botão direito do mouse no seu domínio e depois em Delegate Control.

 

Delegate Control

Na tela inicial de boas vindas, clique em avançar. Na próxima tela, clique em Add e escolha o grupo que você deseja delegar o controle e clique em Next. O grupo Global G Service Desk será usado como exemplo.

 

Delegação do grupo G Service Desk


Logo depois, escolha a opção “Join a computer to the domain” e clique em Next.

 
 

Opção para somente adicionar máquinas no domínio para o grupo de Service Desk

Na próxima tela, clique em Finish.

 

Finalizando a delegação de controle

Delegando direitos usando uma OU Específica no Active Directory:

  1. Abra o Active Directory Users and Computers snap-in.
  2. clique com o botão direito na OU que você quer que os computadores sejam adicionados, clique em Delegate Control.
  3. Clique em Next.
  4. Clique em Add.
  5. Depois de adicionar os users/groups, clique em Next.
  6. Selecione “Create custom task to delegate” e clique em Next.
  7. Selecione apenas os objetos que você quer que eles possam adicionar, no nosso caso, marque a opção Computer objects, e clique em “Create selected objects in this folder box”, clique em Next.
  8. Clique em Next novamente
  9. Clique em Finish.

Pronto! Com esses passos somente os administradores e o Service Desk poderão colocar máquinas no domínio.

CONCLUSÃO

Com esses simples procedimentos você consegue manter seu ambiente mais seguro, limitando somente as pessoas autorizadas a colocar máquinas no domínio.

Deixe um comentário

O seu endereço de e-mail não será publicado.