Limitando a adição de máquinas no domínio

Por Leandro Carvalho

Descrição:

No ambiente do Active Directory existe um grande problema em adições de máquinas no domínio relacionadas ao grupo padrão Usuarios do Domínio. Qualquer usuário que você crie já é automaticamente membro deste grupo, isto não é novidade. O problema é que com isto qualquer usuário consegue colocar até 10 máquinas no domínio podendo gerar uma vulnerabilidade de segurança e de organização na sua estrutura do AD. Este artigo demonstrará como limitar esse acesso somente para grupos específicos de usuários como o Service Desk e os administradores da sua empresa, por exemplo.

1 – Tirando o acesso dos usuários a adicionarem máquinas no domínio:

Para tirar a permissão dos usuários de adicionar máquinas no domínio, faça o seguinte procedimento:

Abra o Usuário e Computadores do Active Directory pelo menu Start>Administrative Tools> Active Directory Users and Computers.

Para configurar a restrição descrita acima é preciso ativar as opções de funcionalidades avançadas do Active Directory clicando em View e depois em Advanced Features, como mostra a figura 1:

ScreenHunter_4

Figura 1.1 – Habilitando as funcionalidades avançadas do Active Directory

 

Após isto, clique com o botão direito do mouse no seu domínio e depois em propriedades:

ScreenHunter_3

Figura 1.2 – Propriedades do domínio:

 

Como ativamos anteriormente a opção Advanced Features, existirá uma aba chamada Attribute Editor.

ScreenHunter_5

Figura 1.3 – Aba Attribute Editor

 

Clique na aba e de dois cliques na opção ms-DS-MachineAccountQuota. Coloque o valor zero, conforme figura 4:

ScreenHunter_7

Figura 1.4 – Atributo com limites de máquinas no domínio

 

Com isso os usuários não conseguirão mais colocar máquinas no domínio.

 

2 – Delegando controle para adição de máquinas no domínio para o grupo de Service Desk:

Depois do procedimento acima, somente os grupos administrativos padrões, como Domains Admins, Account Operators, etc, terão permissão para gerenciar as contas de computador.

Para não darmos muitos privilégios aos funcionários do Service Desk, faremos com que eles só tenham permissão de adicionar máquinas no domínio.

Para isso, no Active Directory Users and Computers, clique com o botão direito do mouse no seu domínio e depois em Delegate Control.

ScreenHunter_2

Figura 2.1 – Delegate Control

 

Na tela inicial de boas vindas, clique em avançar. Na próxima tela, clique em Add e escolha o grupo que você deseja delegar o controle e clique em Next. O grupo Global G Service Desk será usado como exemplo.

ScreenHunter_3 (2)

Figura 2.2 – Delegação do grupo G Service Desk

 

Logo depois, escolha a opção “Join a computer to the domain” e clique em Next.

ScreenHunter_4 (2)

Figura 2.3 – Opção para somente adicionar máquinas no domínio para o grupo de Service Desk

 

Na próxima tela, clique em Finish.

ScreenHunter_5 (2)

Figura 2.4 – Finalizando a delegação de controle

 

Pronto! Com esses passos somente os administradores e o Service Desk poderão colocar máquinas no domínio.

Observações:

Este artigo aplica-se a Windows Server 2008.

Para fazer o primeiro procedimento Tirando o acesso dos usuários a adicionarem máquinas no domínio no Windows 2003 é preciso usar a ferramenta Adsiedit.msc, que pode ser instalada com o programa Suptools, localizada no CD do Windows Server 2003 ou no link http://www.microsoft.com/downloads/details.aspx?FamilyID=96a35011-fd83-419d-939b-9a772ea2df90&displaylang=en.

Conclusão:

Com esses simples procedimentos você consegue manter seu ambiente mais seguro, limitando somente as pessoas autorizadas a colocar máquinas no domínio.

Leandro Carvalho.

About leandroesc
Leandro Carvalho works as product specialist with Microsoft solutions such as Windows Server, Hyper-V, App-V, VDI, Security, System Center, Exchange, Lync Server, Sharepoint, Project Server and client systems, in addition to helping the community constantly with articles, forums, videos and lectures about his passion: Microsoft Virtualization. He obtained the certifications Certified Ethical Hacker/MCP/MCSA+M+S/MCSE+S/MCTS/MCITP/MCT and MVP. In 2009 he won the MCT Awards Latin America Trainer of the year and since 2009 the Microsoft MVP as a Virtualization Specialist.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: