Apêndice F: Proteger grupos de administrador de domínio no Active Directory
Apêndice F: Proteger grupos de administrador de domínio no Active Directory
Como é o caso do grupo EA (Administradores Corporativos), a associação ao grupo DA (Administradores do Domínio) deve ser necessária apenas em cenários de build ou recuperação de desastre. Não deve haver contas de usuário diárias no grupo DA, com exceção da conta de Administrador interno do domínio, se ela tiver sido protegida conforme descrito em Apêndice D: Como proteger contas de administrador interno no Active Directory.
Os Administradores do Domínio são, por padrão, membros dos grupos Administradores locais em todos os servidores membro e estações de trabalho nos respectivos domínios. Esse aninhamento padrão não deve ser modificado para fins de capacidade de suporte e recuperação de desastre. Se os Administradores do Domínio tiverem sido removidos dos grupos Administradores locais nos servidores membro, o grupo deverá ser adicionado ao grupo Administradores em cada servidor membro e estação de trabalho no domínio. O grupo Administradores do Domínio de cada domínio deve ser protegido, conforme descrito nas instruções passo a passo a seguir.
Para o grupo Administradores do Domínio em cada domínio da floresta:
Remova todos os membros do grupo, com a possível exceção da conta de Administrador interno do domínio, desde que ela tenha sido protegida, conforme descrito em Apêndice D: Como proteger contas de administrador interno no Active Directory.
Nos GPOs vinculados a UOs que contêm servidores membro e estações de trabalho em cada domínio, o grupo DA deve ser adicionado aos seguintes direitos de usuário em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuições de Direitos do Usuário:
Negar acesso a este computador pela rede
Negar o logon como um trabalho em lotes
Negar o logon como um serviço
Negar o logon localmente
Negar o logon por meio dos Serviços de Área de Trabalho Remota
A auditoria deve ser configurada para enviar alertas se alguma modificação for feita nas propriedades ou na associação do grupo Administradores do Domínio.
Instruções passo a passo para remover todos os membros do grupo Administradores do Domínio
Em Gerenciador do Servidor, clique em Ferramentas e em Usuários e Computadores do Active Directory.
Para remover todos os membros do grupo DA, execute as seguintes etapas:
Clique duas vezes no grupo Administradores do Domínio e clique na guia Membros.
Selecione um membro do grupo, clique em Remover, clique em Sim e em OK.
Repita a etapa 2 até que todos os membros do grupo DA tenham sido removidos.
Instruções passo a passo para proteger os administradores do domínio no Active Directory
No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Política de Grupo.
Na árvore do console, expanda <Floresta>\Domínios\<Domínio> e Objetos de Política de Grupo (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).
Na árvore do console, clique com o botão direito do mouse em Objetos de Política de Grupo e clique em Novo.
Na caixa de diálogo Novo GPO, digite <Nome do GPO> e clique em OK (em que <Nome do GPO> é o nome desse GPO).
No painel de detalhes, clique com o botão direito do mouse em <Nome do GPO> e clique em Editar.
Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais e clique em Atribuição de Direitos de Usuário.
Configure os direitos de usuário para impedir que os membros do grupo Administradores do Domínio acessem os servidores membro e as estações de trabalho pela rede fazendo o seguinte:
Clique duas vezes em Negar acesso a este computador pela rede e selecione Definir estas configurações de política.
Clique em Adicionar Usuário ou Grupo e em Procurar.
Digite Administradores do Domínio, clique em Verificar Nomes e em OK.
Clique em OK e em OK novamente.
Configure os direitos de usuário para impedir que os membros do grupo DA faça logon como um trabalho em lotes fazendo o seguinte:
Clique duas vezes em Negar logon como um trabalho em lotes e selecione Definir estas configurações de política.
Clique em Adicionar Usuário ou Grupo e em Procurar.
Digite Administradores do Domínio, clique em Verificar Nomes e em OK.
Clique em OK e em OK novamente.
Configure os direitos de usuário para impedir que os membros do grupo DA façam logon como um serviço fazendo o seguinte:
Clique duas vezes em Negar logon como um serviço e selecione Definir estas configurações de política.
Clique em Adicionar Usuário ou Grupo e em Procurar.
Digite Administradores do Domínio, clique em Verificar Nomes e em OK.
Clique em OK e em OK novamente.
Configure os direitos de usuário para impedir que os membros do grupo Administradores do Domínio faça logon localmente em servidores membro e estações de trabalho fazendo o seguinte:
Clique duas vezes em Negar logon localmente e selecione Definir estas configurações de política.
Clique em Adicionar Usuário ou Grupo e em Procurar.
Digite Administradores do Domínio, clique em Verificar Nomes e em OK.
Clique em OK e em OK novamente.
Configure os direitos de usuário para impedir que os membros do grupo Administradores do Domínio acessem os servidores membro e as estações de trabalho por meio dos Serviços de Área de Trabalho Remota fazendo o seguinte:
Clique duas vezes em Negar logon por meio dos Serviços de Área de Trabalho Remota e selecione Definir estas configurações de política.
Clique em Adicionar Usuário ou Grupo e em Procurar.
Digite Administradores do Domínio, clique em Verificar Nomes e em OK.
Clique em OK e em OK novamente.
Para sair do Editor de Gerenciamento de Política de Grupo, clique em Arquivo e em Sair.
No Gerenciamento de Política de Grupo, vincule o GPO ao servidor membro e às OUs da estação de trabalho fazendo o seguinte:
Navegue até <Floresta>\Domínios\<Domínio> (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).
Clique com o botão direito do mouse na UO à qual o GPO será aplicado e clique em Vincular um GPO existente.
Selecione o GPO que acabou de criar e clique em OK.
Crie links para todas as outras UOs que contêm estações de trabalho.
Crie vínculos para todas as outras OUs que contêm servidores membro.
Importante
Se jump servers forem usados para administrar os controladores de domínio e o Active Directory, verifique se os jump servers estão localizados em uma UO à qual esses GPOs não estejam vinculados.
Etapas de Verificação
Verificar as configurações de GPO "Negar acesso a este computador pela rede"
Em qualquer estação de trabalho ou servidor membro que não seja afetado pelas alterações de GPO (como um "jump server"), tente acessar um servidor membro ou uma estação de trabalho pela rede afetada pelas alterações de GPO. Para verificar as configurações de GPO, tente mapear a unidade do sistema usando o comando NET USE.
Faça logon localmente usando uma conta que seja membro do grupo Administradores do Domínio.
Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.
Na caixa Pesquisar, digite prompt de comando, clique com o botão direito do mouse em prompt de comando e clique em Executar como administrador para abrir um prompt de comandos com privilégios elevados.
Quando precisar aprovar a elevação, clique em Sim.
Na janela Prompt de Comando, digite net use \\<Nome do Servidor>\c$, em que <Nome do Servidor> é o nome do servidor membro ou da estação de trabalho que você está tentando acessar pela rede.
A captura de tela a seguir mostra a mensagem de erro que será exibida.
Verificar as configurações de GPO "Negar logon como um trabalho em lotes"
Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.
Criar um arquivo em lotes
Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.
Na caixa Pesquisar, digite Bloco de notas e clique em Bloco de notas.
No Bloco de notas, digite dir c:.
Clique em Arquivo e em Salvar como.
No campo Nome do arquivo, digite <Nome do arquivo>.bat (em que <Nome do arquivo> é o nome do novo arquivo em lote).
Agendar uma tarefa
Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.
Na caixa Pesquisar, digite agendador de tarefas e clique em Agendador de Tarefas.
Observação
Nos computadores que executam o Windows 8, na caixa Pesquisar, digite agendar tarefas e clique em Agendar tarefas.
Na barra de menus Agendador de Tarefas, clique em Ação e em Criar Tarefa.
Na caixa de diálogo Criar Tarefa, digite <Nome da Tarefa> (em que <Nome da Tarefa> é o nome da nova tarefa).
Clique na guia Ações e em Nova.
No campo Ação, selecione Iniciar um programa.
Em Programa/script, clique em Procurar, localize e selecione o arquivo em lotes criado na seção Criar um Arquivo em Lotes e clique em Abrir.
Clique em OK.
Clique na guia Geral.
Em Opções de segurança, clique em Alterar Usuário ou Grupo.
Digite o nome de uma conta que seja membro do grupo Administradores do Domínio, clique em Verificar Nomes e em OK.
Selecione Executar estando o usuário conectado ou não e selecione Não armazenar senha. A tarefa só terá acesso aos recursos do computador local.
Clique em OK.
Uma caixa de diálogo será exibida, solicitando as credenciais da conta de usuário para executar a tarefa.
Depois de inserir as credenciais, clique em OK.
Uma caixa de diálogo semelhante à mostrada a seguir será exibida.
Verificar as configurações de GPO "Negar logon como um serviço"
Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.
Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.
Na caixa Pesquisar, digite serviços e clique em Serviços.
Localize e clique duas vezes em Spooler de Impressão.
Clique na guia Logon.
Em Fazer logon como, selecione a opção Esta conta.
Clique em Procurar, digite o nome de uma conta que seja membro do grupo Administradores do Domínio, clique em Verificar Nomes e clique em OK.
Em Senha e Confirmar senha, digite a senha da conta selecionada e clique em OK.
Clique em OK mais três vezes.
Clique com o botão direito do mouse em Spooler de Impressão e clique em Reiniciar.
Quando o serviço for reiniciado, uma caixa de diálogo semelhante à mostrada a seguir será exibida.
Reverter as alterações para o serviço Spooler de Impressão
Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.
Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.
Na caixa Pesquisar, digite serviços e clique em Serviços.
Localize e clique duas vezes em Spooler de Impressão.
Clique na guia Logon.
Em Fazer logon como, selecione a conta Sistema Local e clique em OK.
Verificar as configurações de GPO "Negar logon localmente"
Em qualquer estação de trabalho ou servidor membro afetado pelas alterações de GPO, tente fazer logon localmente usando uma conta que seja membro do grupo Administradores do Domínio. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.
Verificar as configurações de GPO "Negar logon por meio dos Serviços de Área de Trabalho Remota"
Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.
Na caixa Pesquisar, digite conexão de área de trabalho remota e clique em Conexão de Área de Trabalho Remota.
No campo Computador, digite o nome do computador ao qual deseja se conectar e clique em Conectar. (Você também pode digitar o endereço IP em vez do nome do computador.)
Quando solicitado, forneça as credenciais de uma conta que seja membro do grupo Administradores do Domínio.
Uma caixa de diálogo semelhante à mostrada a seguir será exibida.
