RESTRICTED GROUPS OU GRUPOS RESTRITOS.

 

Olá pessoal. Hoje estou passando por aqui para explicar como funciona a policy (política) RESTRICTED GROUPS e sua finalidade.

 

REQUISITOS.

ACTIVE DIRECTORY

CONHECIMENTO NECESSARIO.

GPO, ACTIVE DIRECTORY

ONDE SE APLICA.

WINDOWS 2000, WINDOWS 2003, WINDOWS 2008, WINDOWS 2008R2.

O QUE ESSE TUTORIAL ABORDA?

DELEGANDO CONTROLE A COMPUTADORES E/OU SERVIDORES.

PROTEGENDO GRUPOS ADMINISTRADORES DE COMPUTADORES E/OU SERVIDORES.

 

Em muitos ambientes desejamos delegar controle a servidores e/ou computadores a certos grupos e/ou pessoas de suporte sem adicionar o mesmo ao grupo padrão do domínios domain admin. Ou então proteger de adição indevida de grupos ou usuários ao grupo padrão administrators (administradores) dos computadores e/ou servidores.

Com a policy (politica) RESTRICTED GRUPOS isso é possível.

 

Com o RESTRICTED GRUPOS é possível controlar os membros dos grupos locais de maquina ou do Active Directory.

 

Para criar um RESTRICTED GRUPOS é necessário criar uma GPO é linkar em uma OU onde se encontra os computadores que deseja aplica-lá.

NOTA: RESTRICTED GRUPOS não é configurado por padrão.

O RESTRICTED GRUPOS é um nó ou uma policy na GPO de computador. E está localizada em COMPUTER CONFIGURATION\POLICIES\WINDOWS SETTINGS\SECURITY SETTINGS\RESTRIC GROUPS TED 

Como mostra a figura abaixo.

  image

 

Há duas maneiras diferentes de usar o RESTRICTED GRUPOS.

 

image

Member of this Group -  Está configuração permite você controlar os membros do grupo que você especificou na politica. Quando você especifica os membros desse grupo ele irá sobrescrever os membros do grupo já existente.

Exemplificando.

Vamos supor que faz pouco tempo que você foi admitido na empresa Takatissumi. Nessa empresa há 500 computadores espalhados pelos setores. Você notou que em diferentes maquinas há membros do grupo Administradores distintos. Seu chefe solicita então que só deverão ter privilégios administrativos a esse computadores os Grupos “Domain Admins” e “GL_Suporte_Desk”. E nenhum outro grupo deverá ser adicionado manualmente.

São 500 maquinas imagine o trabalho de ir em uma em uma maquina definir o escopo solicitado por seu chefe. E mesmo assim você não estará atingindo-a solicitação de proteger quem é adicionado manualmente ao grupo Administradores.

Para esse escopo você pode usar o RESTRICTED GRUPOS Member of this Group.

Você deverá criar uma OU com todos com computadores. Criar uma GPO e linkar na OU recém criada. Após editar a GPO ir até RESTRICTED GRUPOS e adicionar o Grupo administradores.

image

E depois configurar os usuários e/ou grupos que você deseja em Member of this Group. Que em nosso caso é “Domain Admins” e “GL_Suporte_Desk”.

image

Pronto. Quando essa GPO for aplicada será removidos os membros do grupo Administradores das maquinas locais e Adicionados os grupos “Domain Admins” e “GL_Suporte_Desk”.

É fácil de entender a Logica do Member of this Group. Você define o grupo que deseja aplicar a politica, e posteriormente define quem serão os membros desse grupo.

 

This group is a member of – Está configuração permite você adicionar usuários e/ou grupos há grupos locais de maquinas ou grupos locais do AD.

Exemplificando.

Seguindo o Cenário descrito acima seu chefe informou que há um novo Grupo para Suporte nos 30 Servidores chamado “GL_Suporte_Serv” e que esse grupo deve ter privilégios administrativos nos servidores ser ter privilégio nos desktops e DC do domínio. Ele também informa que há grupos adicionados manualmente ao grupo Administradores na maiores desses servidores e os mesmos devem permanecer.

Então você deverá criar um OU chamada “SERVIDORES” mover os servidores para essa OU recém criada, criar um gpo e linkar a essa OU. Após editar a GPO ir até RESTRICTED GRUPOS e adicionar o Grupo “GL_Suporte_Serv” e em This group is a member of adicionar o grupo “Administrators” e clicar em aplicar.

image

 

Pronto. Quando essa GPO for aplicada o Grupo “GL_Suporte_Serv” fará parte do grupos local administrators dos servidores na OU Servidores..

É fácil de entender a Logica do This Group is member of. Você define o grupo que deseja aplicar a politica, e posteriormente define de quais grupos ele fará parte.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *