Partilhar via

Apêndice E: Proteger grupos de administrador corporativo no Active Directory

Apêndice E: Proteger grupos de administrador corporativo no Active Directory

O grupo Administradores corporativos (AC), que está hospedado no domínio raiz da floresta, não deve conter usuários no dia a dia, com a possível exceção da conta de Administrador do domínio raiz, desde que esteja protegido conforme descrito em Apêndice D: Como proteger contas de administrador interno no Active Directory.

Os administradores corporativos são, por padrão, membros do grupo Administradores em cada domínio na floresta. Você não deve remover o grupo AC dos grupos Administradores em cada domínio porque, no caso de um cenário de recuperação de desastre de floresta, os direitos do AC provavelmente serão necessários. O grupo Administradores Corporativos da floresta deve ser protegido conforme detalhado nas instruções passo a passo a seguir.

Para o grupo Administradores Corporativos na floresta:

  1. Nos GPOs vinculados a UOs que contêm servidores membro e estações de trabalho em cada domínio, o grupo Administradores corporativos deve ser adicionado aos seguintes direitos de usuário em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuições de Direitos do Usuário:

    • Negar acesso a este computador pela rede

    • Negar o logon como um trabalho em lotes

    • Negar o logon como um serviço

    • Negar o logon localmente

    • Negar o logon por meio dos Serviços de Área de Trabalho Remota

  2. Configure a auditoria para enviar alertas se alguma modificação for feita nas propriedades ou na associação do grupo Administradores corporativos.

Instruções passo a passo para remover todos os membros do grupo Administradores corporativos

  1. No Gerenciador do Servidor, clique em Ferramentas e em Usuários e computadores do Active Directory.

  2. Se você não estiver gerenciando o domínio raiz da floresta, na árvore de console, clique com o botão direito do mouse em <Domínio> e clique em Alterar Domínio (em que <Domínio> é o nome do domínio que você está administrando no momento).

    Captura de tela que realça a opção de menu Alterar domínio.

  3. Na caixa de diálogo Alterar domínio, clique em Procurar, selecione o domínio raiz da floresta e clique em OK.

    Captura de tela que mostra o botão OK na caixa de diálogo Alterar domínio.

  4. Para remover todos os membros do grupo AC:

    1. Clique duas vezes no grupo Administradores corporativos e clique na guia Membros.

      Captura de tela que mostra a guia Membros no grupo Administradores corporativos.

    2. Selecione um membro do grupo, clique em Remover, clique em Sim e em OK.

  5. Repita a etapa 2 até que todos os membros do grupo AC tenham sido removidos.

Instruções passo a passo para proteger Administradores corporativos no Active Directory

  1. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Política de Grupo.

  2. Na árvore do console, expanda <Floresta>\Domínios\<Domínio> e Objetos da Política de Grupo (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

    Observação

    Em uma floresta que contém vários domínios, um GPO semelhante deve ser criado em cada domínio que exija que o grupo Administradores corporativos seja protegido.

  3. Na árvore do console, clique com o botão direito do mouse em Objetos de Política de Grupo e clique em Novo.

    Captura de tela que mostra a opção de menu Novo no menu Objetos da Política de Grupo.

  4. Na caixa de diálogo Novo GPO, digite <Nome do GPO> e clique em OK (em que <Nome do GPO> é o nome desse GPO).

    Captura de tela que mostra onde digitar o nome do GPO e selecionar o GPO inicial de origem.

  5. No painel de detalhes, clique com o botão direito do mouse em <Nome do GPO> e clique em Editar.

  6. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais e clique em Atribuição de Direitos de Usuário.

    Captura de tela que mostra onde selecionar Atribuição de Direitos de Usuário.

  7. Configure os direitos de usuário para impedir que os membros do grupo Administradores corporativos acessem servidores membros e estações de trabalho pela rede fazendo o seguinte:

    1. Clique duas vezes em Negar acesso a este computador pela rede e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores corporativos, clique em Verificar nomes e em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que membros do grupo Administradores corporativos acessem servidores membros e estações de trabalho pela rede.

    4. Clique em OK e em OK novamente.

  8. Configure os direitos de usuário para impedir que os membros do grupo Administradores corporativos faça logon como um trabalho em lotes fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um trabalho em lotes e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

      Observação

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores corporativos, clique em Verificar nomes e em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que membros do grupo Administradores corporativos faça logon como um trabalho em lotes.

    4. Clique em OK e em OK novamente.

  9. Configure os direitos de usuário para impedir que os membros do grupo AC façam logon como um serviço fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um serviço e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e, em seguida, clique em Procurar.

      Observação

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores corporativos, clique em Verificar nomes e em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que os membros do grupo AC faça logon como um serviço.

    4. Clique em OK e em OK novamente.

  10. Configure os direitos de usuário para impedir que os membros do grupo Administradores corporativos faça logon localmente em servidores membro e estações de trabalho fazendo o seguinte:

    1. Clique duas vezes em Negar logon localmente e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e, em seguida, clique em Procurar.

      Observação

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores corporativos, clique em Verificar nomes e em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que membros do grupo Administradores corporativos faça logon localmente em servidores membro e estações de trabalho.

    4. Clique em OK e em OK novamente.

  11. Configure os direitos de usuário para impedir que os membros do grupo Administradores corporativos acessem os servidores membro e as estações de trabalho por meio dos Serviços de Área de Trabalho Remota fazendo o seguinte:

    1. Clique duas vezes em Negar logon por meio dos Serviços de Área de Trabalho Remota e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e, em seguida, clique em Procurar.

      Observação

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores corporativos, clique em Verificar nomes e em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que membros do grupo Administradores corporativos acessem os servidores membro e as estações de trabalho por meio dos Serviços de Área de Trabalho Remota.

    4. Clique em OK e em OK novamente.

  12. Para sair do Editor de Gerenciamento de Política de Grupo, clique em Arquivo e em Sair.

  13. No Gerenciamento de Política de Grupo, vincule o GPO ao servidor membro e às OUs da estação de trabalho fazendo o seguinte:

    1. Navegue até <Floresta>\Domínios\<Domínio> (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

    2. Clique com o botão direito do mouse na OU à qual o GPO será aplicado e clique em Vincular um GPO existente.

      Captura de tela que realça a opção de menu Vincular um GPO Existente.

    3. Selecione o GPO que acabou de criar e clique em OK.

      Captura de tela que mostra onde selecionar o GPO que você acabou de criar.

    4. Crie vínculos para todas as outras OUs que contêm estações de trabalho.

    5. Crie vínculos para todas as outras OUs que contêm servidores membro.

    6. Em uma floresta que contém vários domínios, um GPO semelhante deve ser criado em cada domínio que exija que o grupo Administradores corporativos seja protegido.

Importante

Se jump servers forem usados para administrar os controladores de domínio e o Active Directory, verifique se os jump servers estão localizados em uma UO à qual esses GPOs não estejam vinculados.

Etapas de Verificação

Verificar as configurações de GPO "Negar acesso a este computador pela rede"

Em qualquer estação de trabalho ou servidor membro que não seja afetado pelas alterações de GPO (como um "jump server"), tente acessar um servidor membro ou uma estação de trabalho pela rede afetada pelas alterações de GPO. Para verificar as configurações de GPO, tente mapear a unidade do sistema com o comando NET USE executando as seguintes etapas:

  1. Faça logon localmente usando uma conta que seja membro do grupo AC.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite prompt de comando, clique com o botão direito do mouse em prompt de comando e clique em Executar como administrador para abrir um prompt de comandos com privilégios elevados.

  4. Quando for solicitado aprovar a elevação, clique em Sim.

    Captura de tela que mostra a caixa de diálogo em que você aprova a elevação.

  5. Na janela Prompt de Comando, digite net use \\<Nome do Servidor>\c$, em que <Nome do Servidor> é o nome do servidor membro ou da estação de trabalho que você está tentando acessar pela rede.

  6. A captura de tela a seguir mostra a mensagem de erro que será exibida.

    Captura de tela que mostra a mensagem de erro que será exibida.

Verificar as configurações de GPO "Negar logon como um trabalho em lotes"

Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

Criar um arquivo em lotes

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite Bloco de notas e clique em Bloco de notas.

  3. No Bloco de notas, digite dir c:.

  4. Clique em Arquivo e em Salvar como.

  5. Na caixa Nome do arquivo, digite <Nome do arquivo>.bat (em que <Nome do arquivo> é o nome do novo arquivo em lotes).

Agendar uma tarefa

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite agendador de tarefas e clique em Agendador de Tarefas.

    Observação

    Nos computadores que executam o Windows 8, na caixa Pesquisar, digite agendar tarefas e clique em Agendar tarefas.

  3. Clique em Ação e em Criar Tarefa.

  4. Na caixa de diálogo Criar Tarefa, digite <Nome da Tarefa> (em que <Nome da Tarefa> é o nome da nova tarefa).

  5. Clique na guia Ações e em Nova.

  6. No campo Ação, selecione Iniciar um programa.

  7. Em Programa/script, clique em Procurar, localize e selecione o arquivo em lotes criado na seção Criar um Arquivo em Lotes e clique em Abrir.

  8. Clique em OK.

  9. Clique na guia Geral.

  10. No campo Opções de segurança, clique em Alterar Usuário ou Grupo.

  11. Digite o nome de uma conta que seja membro do grupo AC, clique em Verificar Nomes e em OK.

  12. Selecione Executar estando o usuário conectado ou não e selecione Não armazenar senha. A tarefa só terá acesso aos recursos do computador local.

  13. Clique em OK.

  14. Uma caixa de diálogo será exibida, solicitando as credenciais da conta de usuário para executar a tarefa.

  15. Depois de inserir as credenciais, clique em OK.

  16. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Captura de tela que mostra a caixa de diálogo Agendador de Tarefas.

Verificar as configurações de GPO "Negar logon como um serviço"

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Spooler de Impressão.

  5. Clique na guia Logon.

  6. Em Fazer logon como, selecione Esta conta.

  7. Clique em Procurar, digite o nome de uma conta que seja membro do grupo AC, clique em Verificar Nomes e clique em OK.

  8. Em Senha e Confirmar senha, digite a senha da conta selecionada e clique em OK.

  9. Clique em OK mais três vezes.

  10. Clique com o botão direito do mouse no serviço Spooler de Impressão e selecione Reiniciar.

  11. Quando o serviço for reiniciado, será exibida uma caixa de diálogo semelhante à mostrada a seguir.

    Captura de tela que mostra uma mensagem informando que o Windows não pôde iniciar o servidor do Spooler de Impressão.

Reverter as alterações no Serviço de Spooler de Impressão

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar, digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Spooler de Impressão.

  5. Clique na guia Logon.

  6. Em Fazer logon como, selecione a conta Sistema Local e clique em OK.

Verificar as configurações de GPO "Negar logon localmente"

  1. Em qualquer estação de trabalho ou servidor membro afetado pelas alterações de GPO, tente fazer logon localmente usando uma conta que seja membro do grupo AC. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Captura de tela que mostra a mensagem que diz que o método de entrada usado não é permitido.

Verificar as configurações de GPO "Negar logon por meio dos Serviços de Área de Trabalho Remota"

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Botões for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar, digite conexão de área de trabalho remota e, em seguida, clique em Conexão de Área de Trabalho Remota.

  3. No campo Computador, digite o nome do computador ao qual deseja se conectar e, em seguida, clique em Conectar. (Você também pode digitar o endereço IP em vez do nome do computador.)

  4. Quando solicitado, forneça as credenciais de uma conta que seja membro do grupo AC.

  5. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    proteger grupos de administradores corporativos