Durante muito tempo vi pessoas atribuindo permissões de administrador de forme incorreta e até irresponsável. Os controladores de domínio bem configurados podem gerar um grande retorno relacionado a segurança, quando é bem configurado por mãos habilidosas. O especialista em redes Microsoft, ou MCSA tem o papel de configurar e manter ambientes onde existe a presença de controladores de domínio, mas mesmo para estes especialistas não é claro a necessidade de direcionar certas tarefas. Pois bem, neste post eu mostrarei passo a passo como essa atribuição pode ser feita. É algo relativamente simples, mas que pode causar um certo desconforto em analistas menos experientes, pelo fato de alterarmos a estrutura de entrada em um domínio.
É interessante a montagem de um plano de contingência que viabilize uma organização composta por hierarquias, como hoje é encontrado em alguns lugares que mantem uma divisão técnica entre Help Desk, Control Desk, Field Service e Infraestrutura. Estes nomes acompanham atividades específicas e geralmente permissionamento agregado como componente principal. Por exemplo, o pessoal do Help Desk não pode colocar estações de trabalho no domínio. Podem apenas efetuar reset de senhas e instalação de alguns programas. Já o pessoal de Field Service tem essa permissão e outras mais. A equipe de Controls Desk (neste cenário), faria o controle dos chamados e tratamento de forma direcionada, não permitindo que o SLA fosse perdido. E assim seria um ambiente organizado.
Sabemos que não é bem assim que funcionam as coisas, e exatamente por isso precisamos criar nossa adequação sistêmica. O permissionamento direcionado é algo que deve ser praticado e levado a sério, principalmente quando pensamos em implantar e gerenciar controladores de domínio.
Neste passo a passo será possível validar cada configuração de maneira bem singular, lembrando que esta postagem também acompanha um vídeo informativo bem detalhado sobre o assunto para ajudar quem pretende administrar redes de forma mais direcionada ou simplesmente quem pretende prestar as provas de certificação Microsoft, seja para o MCSA ou MCSE.
Passo a passo
1. Criar o grupo e atribuir os usuários
1.1. Dentro do Server Manager, va até Administrative Tools, no canto direito superior de sua tela;
1.2. Abra o Active Directory Users and computers;
1.3. Vá até o menu “View” e marque a opção “Advanced Features”. É aqui que habilitamos a opção para ver as propriedades avançadas de seu controlador de domínio;
1.4. Vá ate a OU onde deseja criar o grupo, clique com o botão direito e escolha Novo, Grupo;
1.5. Dê um nome ao grupo
1.6. Para os vídeos farei uso do grupo chamado Suporte, conforme demonstrado pelas próximas figuras;
1.6.1. Escolha para escopo desse grupo o escopo Global;
1.6.2. O tipo do grupo deve ser marcado como Segurança;
1.6.3. Adicione os novos membros do grupo (usuários que receberão a permissão)
2. Criação da política de grupo vinculada ao grupo com a respectiva permissão
2.1. Clique com o botão direito do mouse no nome do domínio
2.2. Clique em Delegar Controle para que seja aberto o assistente de delegação
2.3. Pressione o avançar nesta primeira tela (Bem-vindo)
2.4. Agora selecione os usuários ou grupos que terão permissões personalizadas no domínio e depois pressione o botão avançar
2.5. Escolha ou customize as permissões conforme sua necessidade. Em meu caso habilitei a possibilidade desse grupo em especial poder adicionar novos computadores ao domínio. Após a escolha pressione o botão avançar e então concluir.
Obs.: Outra forma de personalizar permissões esta relacionado diretamente com o editor de atributos. Recomendo cautela para modificação de atributos do domínio por especialistas menos experientes. Para acessar conteúdo adicional, utilize os QRcodes da imagem abaixo em seu dispositivo móvel.
Excelente texto.
ResponderExcluirMuito bem abordado o assunto.
ResponderExcluir