Apêndice E: Protegendo grupos de administradores corporativos no Ative Directory

Apêndice E: Protegendo grupos de administradores corporativos no Ative Directory

O grupo Administradores de Empresa (EA), que está alojado no domínio raiz da floresta, não deve conter utilizadores no dia-a-dia, com a possível exceção da conta de Administrador do domínio raiz, desde que esteja protegida conforme descrito no Apêndice D: Protegendo Built-In Contas de Administrador no Ative Directory.

Os Administradores de Empresa são, por predefinição, membros do grupo Administradores em cada domínio da floresta. Você não deve remover o grupo EA dos grupos Administradores em cada domínio porque, no caso de um cenário de recuperação de desastres florestais, os direitos EA provavelmente serão necessários. O grupo Administradores Corporativos da floresta deve ser protegido conforme detalhado nas instruções passo a passo a seguir.

Para o grupo Administradores de Empresa na floresta:

1. Em GPOs vinculados a UOs que contêm servidores membros e estações de trabalho em cada domínio, o grupo Administradores de Empresa deve ser adicionado aos seguintes direitos de usuário em Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuições de Direitos de Usuário:

   • Recusar acesso a este computador à rede

   • Negar iniciar sessão como um trabalho em lote

   • Negar o início de sessão como um serviço

   • Negar o início de sessão local

   • Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto

2. Configure a auditoria para enviar alertas se forem feitas modificações nas propriedades ou na associação do grupo Administradores de Empresa.

Instruções passo a passo para remover todos os membros do grupo de administradores de empresa

1. No Gerenciador do Servidor, clique em Ferramentas e em Usuários e Computadores do Ative Directory.

2. Se você não estiver gerenciando o domínio raiz da floresta, na árvore de console, clique com o botão direito do mouse em <Domínio e clique em Alterar>Domínio (onde <Domínio> é o nome do domínio que você está administrando no momento).

   

3. Na caixa de diálogo Alterar domínio, clique em Procurar, selecione o domínio raiz da floresta e clique em OK.

   

4. Para remover todos os membros do grupo EA:

   1. Clique duas vezes no grupo Administradores de Empresa e, em seguida, clique na guia Membros .

      

   2. Selecione um membro do grupo, clique em Remover, clique em Sim e clique em OK.

5. Repita a etapa 2 até que todos os membros do grupo EA tenham sido removidos.

Instruções passo a passo para proteger administradores corporativos no Ative Directory

1. No Gerenciador do Servidor, clique em Ferramentas e em Gerenciamento de Diretiva de Grupo.

2. Na árvore de console, expandv <Forest>\Domains\<Domain> e, em seguida, Group Policy Objects (onde <Forest> é o nome da floresta e <Domain> é o nome do domínio onde você deseja definir a Diretiva de Grupo).

   Note

   Em uma floresta que contém vários domínios, um GPO semelhante deve ser criado em cada domínio que exija que o grupo Administradores de Empresa seja protegido.

3. Na árvore de console, clique com o botão direito do mouse em Objetos de Diretiva de Grupo e clique em Novo.

   

4. Na caixa de diálogo Novo GPO , digite <Nome> do GPO e clique em OK (onde <Nome> do GPO é o nome deste GPO).

   

5. No painel de detalhes, clique com o botão direito do mouse em <Nome> do GPO e clique em Editar.

6. Navegue até Configuração do Computador\Políticas\Configurações do Windows\Configurações de Segurança\Diretivas Locais e clique em Atribuição de Direitos de Usuário.

   

7. Configure os direitos de usuário para impedir que membros do grupo Administradores de Empresa acessem servidores membros e estações de trabalho pela rede fazendo o seguinte:

   1. Clique duas vezes em Negar acesso a este computador da rede e selecione Definir estas configurações de política.

   2. Clique em Adicionar usuário ou grupo e clique em Procurar.

   3. Digite Administradores Corporativos, clique em Verificar Nomes e clique em OK.

      

   4. Clique em OK e OK novamente.

8. Configurar os direitos dos utilizadores para impedir que os membros do grupo de Administradores de Empresa iniciem sessão como tarefa agendada, procedendo da seguinte forma:

   1. Clique duas vezes em Negar início de sessão como um trabalho em lote e selecione Definir estas definições de política.

   2. Clique em Adicionar usuário ou grupo e clique em Procurar.

      Note

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

   3. Digite Administradores Corporativos, clique em Verificar Nomes e clique em OK.

      

   4. Clique em OK e OK novamente.

9. Configurar os direitos de utilizador para impedir que os membros do grupo EA iniciem sessão como um serviço da seguinte forma:

   1. Clique duas vezes em Negar log como um serviço e selecione Definir estas configurações de política.

   2. Clique em Adicionar Utilizador ou Grupo e, em seguida, clique em Procurar.

      Note

      Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

   3. Digite Administradores Corporativos, clique em Verificar Nomes e clique em OK.

      

   4. Clique em OK e OK novamente.

10. Configure os direitos de usuário para impedir que os membros do grupo Administradores de Empresa façam logon localmente em servidores e estações de trabalho membros fazendo o seguinte:

    1. Clique duas vezes em Negar logon localmente e selecione Definir estas configurações de política.

    2. Clique em Adicionar Utilizador ou Grupo e, em seguida, clique em Procurar.

       Note

       Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores Corporativos, clique em Verificar Nomes e clique em OK.

       

    4. Clique em OK e OK novamente.

11. Configure os direitos de usuário para impedir que membros do grupo Administradores de Empresa acessem servidores e estações de trabalho membros por meio dos Serviços de Área de Trabalho Remota fazendo o seguinte:

    1. Faça duplo clique em Negar início de sessão através dos Serviços de Ambiente de Trabalho Remoto e selecione Definir estas definições de política.

    2. Clique em Adicionar Utilizador ou Grupo e, em seguida, clique em Procurar.

       Note

       Em uma floresta que contém vários domínios, clique em Locais e selecione o domínio raiz da floresta.

    3. Digite Administradores Corporativos, clique em Verificar Nomes e clique em OK.

       

    4. Clique em OK e OK novamente.

12. Para sair do Editor de Gerenciamento de Diretiva de Grupo, clique em Arquivo e em Sair.

13. No Gerenciamento de Diretiva de Grupo, vincule o GPO às UOs do servidor membro e da estação de trabalho fazendo o seguinte:

    1. Navegue até <Forest>\Domains\<Domain> (onde <Forest> é o nome da floresta e <Domain> é o nome do domínio onde se deseja definir a Diretiva de Grupo).

    2. Clique com o botão direito do mouse na UO à qual o GPO será aplicado e clique em Vincular um GPO existente.

       

    3. Selecione o GPO que você acabou de criar e clique em OK.

       

    4. Crie links para todas as outras UOs que contêm estações de trabalho.

    5. Crie links para todas as outras UOs que contenham servidores membros.

    6. Em uma floresta que contém vários domínios, um GPO semelhante deve ser criado em cada domínio que exija que o grupo Administradores de Empresa seja protegido.

Etapas de verificação

Verifique as configurações de GPO "Negar acesso a este computador a partir da rede"

A partir de qualquer servidor membro ou estação de trabalho que não seja afetada pelas alterações de GPO (como um "servidor de salto"), tente acessar um servidor membro ou estação de trabalho pela rede afetada pelas alterações de GPO. Para verificar as configurações de GPO, tente mapear a unidade do sistema usando o comando NET USE executando as seguintes etapas:

1. Faça logon localmente usando uma conta que seja membro do grupo EA.

2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

3. Na caixa Pesquisar , digite prompt de comando, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador para abrir um prompt de comando elevado.

4. Quando solicitado a aprovar a elevação, clique em Sim.

   

5. Na janela Prompt de Comando , digite net use \\<Nome> do Servidor\c$, onde <Nome> do Servidor é o nome do servidor membro ou estação de trabalho que você está tentando acessar pela rede.

6. A captura de tela a seguir mostra a mensagem de erro que deve aparecer.

   

Verifique as definições do GPO "Negar início de sessão como uma tarefa em lote"

Em qualquer servidor membro ou estação de trabalho afetada pelas alterações de GPO, faça logon localmente.

Criar um arquivo em lote

1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

2. Na caixa Pesquisar , digite bloco de notas e clique em Bloco de Notas.

3. No Bloco de Notas, digite dir c:.

4. Clique em Arquivo e clique em Salvar como.

5. Na caixa Nome do arquivo , digite <Nome do arquivo>.bat (onde <Nome do arquivo> é o nome do novo arquivo em lotes).

Agendar uma tarefa

1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

2. Na caixa Pesquisar , digite agendador de tarefas e clique em Agendador de Tarefas.

   Note

   Em computadores que executam o Windows 8, na caixa Pesquisar , digite agendar tarefas e clique em Agendar tarefas.

3. Clique em Ação e clique em Criar tarefa.

4. Na caixa de diálogo Criar Tarefa, digite <Nome> da Tarefa (onde <Nome> da Tarefa é o nome da nova tarefa).

5. Clique na guia Ações e clique em Novo.

6. No campo Ação , selecione Iniciar um programa.

7. Em Programa/script, clique em Procurar, localize e selecione o arquivo em lotes criado na seção Criar um arquivo em lotes e clique em Abrir.

8. Clique em OK.

9. Clique na guia Geral .

10. No campo Opções de segurança , clique em Alterar Usuário ou Grupo.

11. Digite o nome de uma conta que seja membro do grupo EAs, clique em Verificar Nomes e clique em OK.

12. Selecione Executar se o usuário está conectado ou não e selecione Não armazenar senha. A tarefa só terá acesso aos recursos do computador local.

13. Clique em OK.

14. Uma caixa de diálogo deve aparecer, solicitando credenciais de conta de usuário para executar a tarefa.

15. Depois de inserir as credenciais, clique em OK.

16. Deve aparecer uma caixa de diálogo semelhante à seguinte.

    

Verifique as configurações de GPO "Negar logon como um serviço"

1. Em qualquer servidor membro ou estação de trabalho afetada pelas alterações de GPO, faça logon localmente.

2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

3. Na caixa Pesquisar , digite serviços e clique em Serviços.

4. Localize e clique duas vezes em Spooler de Impressão.

5. Clique na guia Logon .

6. Em Iniciar sessão como, selecione Esta conta.

7. Clique em Procurar, digite o nome de uma conta que seja membro do grupo EAs, clique em Verificar Nomes e clique em OK.

8. Em Senha: e Confirmar senha, digite a senha da conta selecionada e clique em OK.

9. Clique em OK mais três vezes.

10. Clique com o botão direito do rato no serviço Spooler de Impressão e selecione Reiniciar.

11. Quando o serviço é reiniciado, uma caixa de diálogo semelhante à seguinte deve aparecer.

    

Reverter alterações no serviço de spooler da impressora

1. Em qualquer servidor membro ou estação de trabalho afetada pelas alterações de GPO, faça logon localmente.

2. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

3. Na caixa Pesquisar , digite serviços e clique em Serviços.

4. Localize e clique duas vezes em Spooler de Impressão.

5. Clique na guia Logon .

6. Em Iniciar sessão como, selecione a conta Sistema Local e clique em OK.

Verifique as configurações de GPO "Negar logon localmente"

1. Em qualquer servidor membro ou estação de trabalho afetada pelas alterações de GPO, tente fazer logon localmente usando uma conta que seja membro do grupo EA. Deve aparecer uma caixa de diálogo semelhante à seguinte.

   

Verifique as configurações da política de grupo para "Negar logon por meio dos Serviços de Ambiente de Trabalho Remoto"

1. Com o mouse, mova o ponteiro para o canto superior direito ou inferior direito da tela. Quando a barra de botões aparecer, clique em Pesquisar.

2. Na caixa Pesquisar , digite conexão de área de trabalho remota e clique em Conexão de Área de Trabalho Remota.

3. No campo Computador , digite o nome do computador ao qual deseja se conectar e clique em Conectar. (Você também pode digitar o endereço IP em vez do nome do computador.)

4. Quando solicitado, forneça credenciais para uma conta que seja membro do grupo EA.

5. Deve aparecer uma caixa de diálogo semelhante à seguinte.