domingo, 21 de julho de 2013

Definir Administrador Local via GPO no Windows Server 2008

10 comments
Nesse Post vou mostrar como Adicionar ou Alterar um usuário como Administrador Local dos computadores da rede, por um usuário ou grupo do Active Directory por Diretiva de Grupo.

1. Abra o console do Gerenciamento de Diretiva de Grupo, clicando em Iniciar -> Executar e digite "secpol.msc".
2. Edite ou Crie a diretiva onde você irá aplicar a mudança.
3. Navegue até Configuração do Computador -> Diretivas -> Configurações do Windows.
4. Abra Grupos Restritos, clique com o botão direito e selecione Adicionar Grupo e escolha o grupo o qual você deseja transformar em Administrador Local dos computadores. 

Agora, você tem duas formas para realizar essa função.
1) Adicionar o Grupo Escolhido como Administrador Local (você irá adicionar o seu Grupo e os Administradores Locais já existentes continuarão)
2) Definir quem serão os Administradores Locais dos computadores (apenas os Grupos escolhidos por você serão Administradores Locais) 

(1ª Forma) Adicionado o Grupo como Administrador Local
1. Ao lado da caixa de "Este grupo é um membro de:", clique em Adicionar
2. Escreva Administradores e confirme
Após isso faça Logon em um computador Cliente, e verifique o conteúdo do Grupo Administradores conforme a figura abaixo:
Note que ele Adicionou o Grupo GL_Help_Desk, como membro dos Administradores Locais do computador. Dessa forma todos os membros do Grupo GL_Help_Desk ao fazerem Logon nos computadores, terão privilégios administrativos.


(2ª Forma) Definindo Administrador Local
Dessa forma, todos os Administradores Locais, cadastrados manualmente serão removidos e apenas o Grupo / Usuário definido será Administrador Local da Máquina.

1. Ao lado da caixa "Membros desse grupo:"clique em Adicionar.
2. Escolha o Grupo/Usuário que será Administrador local dos computadores. 
3. Após isso, Logue em um computador cliente e verifique as propriedades do grupo Administradores, conforme abaixo:

Espero ter Ajudado, tem alguma informação ou dúvida sobre o assunto? Fique a vontade para deixar um comentário.

10 comentários:

  1. Boa noite! Excelente post, parabéns!

    Amigo, sou administrador de rede, pelo menos devo cuidar dos servidores da empresa. Porém, venho há um tempo querendo uma solução para um problema clássico de vejo. Apenas eu e o outro parceiro Adm de Rede deveríamos ter conta de Admins. Domínio, porém, por uma "necessidade", a equipe de suporte de primeiro nível também estão como admins. Domínio, mas na auditoria que ocorreu, deram um não conforme, ou seja, orientaram a retirar a equipe de suporte da função de Admins. Domínio. Mas pra certas atividades a solução acima será excelente para as estações, porém, o que você sugere para o time de suporte ter acesso a certos privilégios, como por exemplo: Apenas resetar a senha de usuário de domínio e dar permissão em pastas compartilhadas na rede? Você poderia contribuir com alguma experiência nesse caso?

    Abraços!

    Ricardo Mota

    ResponderExcluir
    Respostas
    1. Neste caso eu sugiro que utilize Delegate Control.
      Basta o time de suporte instalar a ferramenta de administração no próprio desktop, no primeiro instante somente vão poder visualizar e consultar, faça o delegate control para que eles possam resetar senhas, habilitar ou desabilitar contas, gerenciar grupos entre outros...

      Att,
      Cristopher de Castro Perdigão

      Excluir
  2. Amigo, boa tarde!

    Estou fazendo o procedimento em um Windows Server 2008R2 e não está funcionando, tenho um grupo GRP-GERENCIA que tem vários usuários como membro, fiz o procedimento até na Default Domain Policy e mesmo assim quando os membros do grupo loga em qualquer máquina estação eles não tem permissão de administrador local. Muito obrigado.

    ResponderExcluir
    Respostas
    1. Olá Agmar, obrigado pela sua visita ao blog!

      O que eu faria no seu caso, seria criar um novo Objeto de Diretiva de Grupo e vincular esse objeto diretamente na OU onde ficam os computadores. Assim, não utilizaria a Default Domain Policy. (Como boa Prática)

      Após isso, ficará mais fácil no computador que você logar aplicar um GPRESULT /R e dessa forma descobrir se a nova GPO criada está sendo aplicada ou não. Lembrando que esse Diretiva é aplicada nas configurações de COMPUTADOR !

      É necessário ir eliminando os problemas, fica difícil dar a solução de primeira.

      Será que existe algum bloqueio de herança em alguma OU, ou algum filtro de segurança de usuário na GPO, esse micros estão pegando outras novas configurações por GPO?

      Dentro do console GP Management, também existe o assistente de resolução de diretiva.

      Espero ter ajudado!

      Excluir
    2. Danilo, realmente eu estava fazendo tudo errado, eu estava aplicando em uma Diretiva de Grupo que estava vinculada a uma Unidade Organizacional e não a todos os computadores que fazem parte do meu domínio, por isso a regra não era aplicada. Agora deu tudo certo... Muito obrigado e parabéns pelo ótimo blog, um grande abraço pra você e tudo de bom!!!

      Excluir
  3. Danilo,

    Tentei o seu método e não consegui fazer com que um usuário (criado no AD) específico se tornasse Administrador local das máquinas de toda a rede.

    Preciso que meu usuário Abra o Prompt de comando como Administrador Local, para que assim eu consiga fazer a instalação silenciosa. Que é o meu objetivo.

    Sabe alguma forma?

    ResponderExcluir
  4. A resposta ao Ricardo, embora tardia, pode servir a outros: quando alguns membros da equipe não devem ser Administradores, mas devem poder alterar senhas, incluir computadores no domínio, desbloquear contas, acrescente-os ao grupo Opers. de Contas.

    Para evitar que o técnico escale para Administrador, se incluindo no grupo, separe as contas de Administradores em outra OU e retire os direitos do grupo Opers. de Contas para esse OU.

    ResponderExcluir
  5. Obrigado pelo conteúdo. Ajudou bastante parceiro.

    Att.
    Paulo Alessandro

    IT Infrastructure

    ResponderExcluir
  6. Boa! estava com esse problema de dar acesso aos usuários, para poderem instalar programas, java, certificados etc. tenho um win 2008 r2 e vou aplicar esse método que vc descreveu, vou fazer daqui a pouco e posto pra ver se deu certo.
    Vou aplicar direto no meu domínio não na ou ok vlw obrigado !!!

    ResponderExcluir

  7. Hey! Do you use Twitter? I'd like to follow you if that would be ok. I'm definitely enjoying your blog and look forward to new posts. craigslist michigan

    ResponderExcluir