Hoje vamos criar um grupo de administração do Active Directory no Windows Server 2012 R2.
O novo grupo terá permissões de administrador típicas na UO que você selecionar. Estaremos habilitando a criação de usuários, redefinições de senha, criação / exclusão de grupos e criação / exclusão de computadores.
Algumas coisas que o grupo não será capaz de fazer:
- Reorganizar UOs
- Alterar propriedades no nível do domínio
Você pode habilitar outras permissões se desejar, mas essas são normalmente o que um Service Desk / Agente de TI em um ambiente corporativo exige.
Leia Mais:
Conectar Dispositivo USB em uma VM Hyper-V
Como resolver o erro “Connection to Microsoft Exchange is Unavailable” no Office 365
“…Outra instalação está em andamento…” ou código de erro 0-1018 ao instalar o Office 365
Como desabilitar o update automático do Windows 10
Armazenando chaves SSH no Active Directory para facilitar a implantação
Assistente de Delegação de Controle
A maneira fácil de fazer isso é por meio do Assistente para Delegação de Controle.
Você não terá tantas opções, mas é muito mais fácil:
1- Abra Usuários e Computadores do Active Directory
2- Clique com o botão direito na UO em que deseja criar o grupo de segurança, vá para Novo e clique em Grupo

3- Nomeie o grupo
4- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control

Observe que, para seguir o Princípio do menor privilégio, você não deve dar ao grupo acesso a todo o domínio
5- Clique em Add e selecione o grupo que você acabou de criar
6- Verifique as seguintes opções:
- Criar, excluir e gerenciar contas de usuário
- Redefina as senhas do usuário e força a alteração da senha no próximo logon
- Leia todas as informações do usuário
- Criar, excluir e gerenciar grupos
- Modificar a associação de um grupo
- Gerenciar links de política de grupo
- Gerar conjunto de políticas resultante (planejamento)
- Gerar conjunto de políticas resultante (registro)
#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!
Agora precisamos delegar a capacidade de desbloquear contas de usuário
1- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control
2- Clique Add e selecione o grupo que você criou anteriormente
3- Selecione Create a custom task to delegate
4- Selecione Only the following objects in the folder e clique User Objects no final da lista
5- Selecione Property-specific em Show these Permissions
6- Marque Ler e Escrever para LockoutTime
Agora você tem um grupo de administradores do Active Directory que pode ser adicionado à sua equipe de Service Desk / TI sem expor os aspectos vitais do seu ambiente.
Segurança Avançada
Se quiser ser um pouco mais granular com suas permissões, você precisará seguir um caminho um pouco mais longo:
1- Abra Usuários e Computadores do Active Directory
2- Clique com o botão direito na UO em que deseja criar o grupo de segurança, vá para Novo e clique em Grupo

3- Nomeie o grupo
4- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Properties

Observe que, para seguir o Princípio do menor privilégio , você não deve dar ao grupo acesso a todo o domínio
#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!
5- Vá para a Security guia e clique em Advanced
6- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
7- Permitir a política em This object and all descendant objects

8- Verifique as seguintes opções
- Criar objetos de usuário
- Criar objetos de computador
- Excluir Objetos de Computador
- Criar Objetos de Grupo
- Excluir objetos do grupo
9- Clique OK
10- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
11- Permitir a política em Descendant Computer objects

12- Verifique Full Control, clique OK
13- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
14- Permitir a política em Descendant Group objects

15- Verifique Full Control, OK
16- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
17- Permitir a política em Descendant User objects

18- Verifique Full Control, clique OK
19- Clique OK e OK novamente para confirmar
Agora você tem um grupo de administradores do Active Directory que pode ser adicionado à sua equipe de Service Desk / TI sem expor os aspectos vitais do seu ambiente.
Referência: Laslabs.com
Este artigo foi útil?
Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…
Ajude-nos a manter o projeto ativo!
Deixe uma Resposta