Apêndice E: Proteger grupos de administrador corporativo no Active Directory

Apêndice E: Proteger grupos de administrador corporativo no Active Directory

O grupo Administradores corporativos (AC), que está hospedado no domínio raiz da floresta, não deve conter usuários no dia a dia, com a possível exceção da conta de Administrador do domínio raiz, desde que esteja protegido conforme descrito em Apêndice D: Como proteger contas de administrador interno no Active Directory.

Os administradores corporativos são, por padrão, membros do grupo Administradores em cada domínio na floresta. Você não deve remover o grupo AC dos grupos Administradores em cada domínio porque, no caso de um cenário de recuperação de desastre de floresta, os direitos do AC provavelmente serão necessários. O grupo Administradores Corporativos da floresta deve ser protegido conforme detalhado nas instruções passo a passo a seguir.

Para o grupo Administradores Corporativos na floresta:

  1. Nos GPOs vinculados a UOs que contêm servidores membro e estações de trabalho em cada domínio, o grupo Administradores corporativos deve ser adicionado aos seguintes direitos de usuário em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuições de Direitos do Usuário:

    • Negar acesso a este computador pela rede

    • Negar o logon como um trabalho em lotes

    • Negar o logon como um serviço

    • Negar o logon localmente

    • Negar o logon por meio dos Serviços de Área de Trabalho Remota

  2. Configure a auditoria para enviar alertas se alguma modificação for feita nas propriedades ou na associação do grupo Administradores corporativos.

Instruções passo a passo para remover todos os membros do grupo Administradores corporativos

  1. No Gerenciador de Servidores, clique em Ferramentas e clique em Usuários e Computadores do Active Directory.

  2. Se você não estiver gerenciando o domínio raiz da floresta, na árvore de console, clique com o botão <direito do mouse em Domínio> e clique em Alterar Domínio (em <que Domínio> é o nome do domínio que você está administrando no momento).

    Captura de tela que realça a opção de menu Alterar domínio.

  3. Na caixa de diálogo Alterar domínio , clique em Procurar, selecione o domínio raiz da floresta e clique em OK.

    Captura de tela que mostra o botão OK na caixa de diálogo Alterar domínio.

  4. Para remover todos os membros do grupo AC:

    1. Clique duas vezes no grupo administradores corporativos e clique na guia Membros .

      Captura de tela que mostra a guia Membros no grupo Administradores corporativos.

    2. Selecione um membro do grupo, clique em Remover, clique em Sim e clique em OK.

  5. Repita a etapa 2 até que todos os membros do grupo AC tenham sido removidos.

Instruções passo a passo para proteger Administradores corporativos no Active Directory

  1. No Gerenciador de Servidores, clique em Ferramentas e clique em Gerenciamento de Política de Grupo.

  2. Na árvore do console, expanda <Floresta>\Domínios\<Domínio> e Objetos da Política de Grupo (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

    Note

    Em uma floresta que contém vários domínios, um GPO semelhante deve ser criado em cada domínio que exija que o grupo Administradores corporativos seja protegido.

  3. Na árvore do console, clique com o botão direito do mouse em Objetos de Política de Grupo e clique em Novo.

    Captura de tela que mostra a opção de menu Novo no menu Objetos da Política de Grupo.

  4. Na caixa de diálogo Novo GPO , digite <o Nome> do GPO e clique em OK (em que <o Nome> do GPO é o nome deste GPO).

    Captura de tela que mostra onde digitar o nome do GPO e selecionar o GPO inicial de origem.

  5. No painel de detalhes, clique com o botão direito do mouse <no Nome> do GPO e clique em Editar.

  6. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais e clique em Atribuição de Direitos de Usuário.

    Captura de tela que mostra onde selecionar Atribuição de Direitos de Usuário.

  7. Configure os direitos de usuário para impedir que os membros do grupo Administradores corporativos acessem servidores membros e estações de trabalho pela rede fazendo o seguinte:

    1. Clique duas vezes em Negar acesso a este computador pela rede e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

    3. Digite Administradores corporativos, clique em Verificar Nomes e clique em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que membros do grupo Administradores corporativos acessem servidores membros e estações de trabalho pela rede.

    4. Clique em OK e OK novamente.

  8. Configure os direitos de usuário para impedir que os membros do grupo Administradores corporativos faça logon como um trabalho em lotes fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um trabalho em lotes e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e em Procurar.

      Note

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores corporativos, clique em Verificar Nomes e clique em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que membros do grupo Administradores corporativos faça logon como um trabalho em lotes.

    4. Clique em OK e OK novamente.

  9. Configure os direitos de usuário para impedir que os membros do grupo AC façam logon como um serviço fazendo o seguinte:

    1. Clique duas vezes em Negar logon como um serviço e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e, em seguida, clique em Procurar.

      Note

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores corporativos, clique em Verificar Nomes e clique em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que os membros do grupo AC faça logon como um serviço.

    4. Clique em OK e OK novamente.

  10. Configure os direitos de usuário para impedir que os membros do grupo Administradores corporativos faça logon localmente em servidores membro e estações de trabalho fazendo o seguinte:

    1. Clique duas vezes em Negar logon localmente e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e, em seguida, clique em Procurar.

      Note

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores corporativos, clique em Verificar Nomes e clique em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que membros do grupo Administradores corporativos faça logon localmente em servidores membro e estações de trabalho.

    4. Clique em OK e OK novamente.

  11. Configure os direitos de usuário para impedir que os membros do grupo Administradores corporativos acessem os servidores membro e as estações de trabalho por meio dos Serviços de Área de Trabalho Remota fazendo o seguinte:

    1. Clique duas vezes em Negar logon por meio dos Serviços de Área de Trabalho Remota e selecione Definir estas configurações de política.

    2. Clique em Adicionar Usuário ou Grupo e, em seguida, clique em Procurar.

      Note

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores corporativos, clique em Verificar Nomes e clique em OK.

      Captura de tela que mostra como verificar se você configurou os direitos de usuário para impedir que membros do grupo Administradores corporativos acessem os servidores membro e as estações de trabalho por meio dos Serviços de Área de Trabalho Remota.

    4. Clique em OK e OK novamente.

  12. Para sair do Editor de Gerenciamento de Política de Grupo, clique em Arquivo e em Sair.

  13. No Gerenciamento de Política de Grupo, vincule o GPO ao servidor membro e às OUs da estação de trabalho fazendo o seguinte:

    1. Navegue até <Floresta>\Domínios\<Domínio> (em que <Floresta> é o nome da floresta e <Domínio> é o nome do domínio em que você deseja definir a Política de Grupo).

    2. Clique com o botão direito do mouse na OU à qual o GPO será aplicado e clique em Vincular um GPO existente.

      Captura de tela que realça a opção de menu Vincular um GPO Existente.

    3. Selecione o GPO que você acabou de criar e clique em OK.

      Captura de tela que mostra onde selecionar o GPO que você acabou de criar.

    4. Crie vínculos para todas as outras OUs que contêm estações de trabalho.

    5. Crie vínculos para todas as outras OUs que contêm servidores membro.

    6. Em uma floresta que contém vários domínios, um GPO semelhante deve ser criado em cada domínio que exija que o grupo Administradores corporativos seja protegido.

Important

Se os servidores de salto forem usados para administrar controladores de domínio e o Active Directory, verifique se os servidores de salto estão localizados em uma OU à qual esses GPOs não estão vinculados.

Etapas de verificação

Verificar as configurações de GPO "Negar acesso a este computador pela rede"

Em qualquer estação de trabalho ou servidor membro que não seja afetado pelas alterações de GPO (como um "jump server"), tente acessar um servidor membro ou uma estação de trabalho pela rede afetada pelas alterações de GPO. Para verificar as configurações de GPO, tente mapear a unidade do sistema usando o comando NET USE executando as seguintes etapas:

  1. Faça logon localmente usando uma conta que seja membro do grupo AC.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Charms for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar , digite o prompt de comando, clique com o botão direito do mouse no Prompt de Comando e clique em Executar como administrador para abrir um prompt de comando com privilégios elevados.

  4. Quando solicitado a aprovar a elevação, clique em Sim.

    Captura de tela que mostra a caixa de diálogo em que você aprova a elevação.

  5. Na janela Prompt de Comando , digite net use \\<Server Name>\c$, em <que Nome do Servidor> é o nome do servidor membro ou estação de trabalho que você está tentando acessar pela rede.

  6. A captura de tela a seguir mostra a mensagem de erro que será exibida.

    Captura de tela que mostra a mensagem de erro que será exibida.

Verificar as configurações de GPO "Negar logon como um trabalho em lotes"

Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

Criar um arquivo em lotes

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Charms for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar , digite o bloco de notas e clique em Bloco de Notas.

  3. No Bloco de Notas, digite dir c:.

  4. Clique em Arquivo e clique em Salvar como.

  5. Na caixa Nome do arquivo, digite< Filename>.bat (em que <Nome de Arquivo> é o nome do novo arquivo em lote).

Agendar uma tarefa

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Charms for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar , digite o agendador de tarefas e clique em Agendador de Tarefas.

    Note

    Em computadores que executam o Windows 8, na caixa Pesquisar , digite tarefas de agendamento e clique em Agendar tarefas.

  3. Clique em Ação e clique em Criar Tarefa.

  4. Na caixa de diálogo Criar Tarefa, digite <Nome> da Tarefa (em <que Nome> da Tarefa é o nome da nova tarefa).

  5. Clique na guia Ações e clique em Novo.

  6. No campo Ação , selecione Iniciar um programa.

  7. Em Programa/script, clique em Procurar, localize e selecione o arquivo em lote criado na seção Criar um Arquivo em Lote e clique em Abrir.

  8. Clique em OK.

  9. Clique na guia Geral .

  10. No campo Opções de segurança , clique em Alterar Usuário ou Grupo.

  11. Digite o nome de uma conta que seja membro do grupo EAs, clique em Verificar Nomes e clique em OK.

  12. Selecione Executar estando o usuário conectado ou não e selecione Não armazenar senha. A tarefa só terá acesso aos recursos do computador local.

  13. Clique em OK.

  14. Uma caixa de diálogo será exibida, solicitando as credenciais da conta de usuário para executar a tarefa.

  15. Depois de inserir as credenciais, clique em OK.

  16. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Captura de tela que mostra a caixa de diálogo Agendador de Tarefas.

Verificar as configurações de GPO "Negar logon como um serviço"

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Charms for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar , digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Imprimir Spooler.

  5. Clique na guia Logon .

  6. Em Fazer logon como, selecione Esta conta.

  7. Clique em Procurar, digite o nome de uma conta que seja membro do grupo EAs, clique em Verificar Nomes e clique em OK.

  8. Em Senha: e confirme a senha, digite a senha da conta selecionada e clique em OK.

  9. Clique em OK mais três vezes.

  10. Clique com o botão direito do mouse no serviço Imprimir Spooler e selecione Reiniciar.

  11. Quando o serviço for reiniciado, será exibida uma caixa de diálogo semelhante à mostrada a seguir.

    Captura de tela que mostra uma mensagem informando que o Windows não pôde iniciar o servidor do Spooler de Impressão.

Reverter as alterações no Serviço de Spooler de Impressão

  1. Em uma estação de trabalho ou servidor membro afetado pelas alterações de GPO, faça logon localmente.

  2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Charms for exibida, clique em Pesquisar.

  3. Na caixa Pesquisar , digite serviços e clique em Serviços.

  4. Localize e clique duas vezes em Imprimir Spooler.

  5. Clique na guia Logon .

  6. Em Fazer logon como, selecione a conta Sistema Local e clique em OK.

Verificar as configurações de GPO "Negar logon localmente"

  1. Em qualquer estação de trabalho ou servidor membro afetado pelas alterações de GPO, tente fazer logon localmente usando uma conta que seja membro do grupo AC. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    Captura de tela que mostra a mensagem que diz que o método de entrada usado não é permitido.

Verificar as configurações de GPO "Negar logon por meio dos Serviços de Área de Trabalho Remota"

  1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra Charms for exibida, clique em Pesquisar.

  2. Na caixa Pesquisar , digite a conexão de área de trabalho remota e clique em Conexão de Área de Trabalho Remota.

  3. No campo Computador , digite o nome do computador ao qual você deseja se conectar e clique em Conectar. (Você também pode digitar o endereço IP em vez do nome do computador.)

  4. Quando solicitado, forneça as credenciais de uma conta que seja membro do grupo AC.

  5. Uma caixa de diálogo semelhante à mostrada a seguir será exibida.

    proteger grupos de administradores corporativos

  • Last updated on