Criar um grupo de administradores do Active Directory Win 2012 R2

Felipe Santos
postado por Felipe Santos 25 de setembro de 2020

W3Schools

Hoje vamos criar um grupo de administração do Active Directory no Windows Server 2012 R2.

O novo grupo terá permissões de administrador típicas na UO que você selecionar. Estaremos habilitando a criação de usuários, redefinições de senha, criação / exclusão de grupos e criação / exclusão de computadores.

Algumas coisas que o grupo não será capaz de fazer:

  • Reorganizar UOs
  • Alterar propriedades no nível do domínio

Você pode habilitar outras permissões se desejar, mas essas são normalmente o que um Service Desk / Agente de TI em um ambiente corporativo exige.

Leia Mais:

Conectar Dispositivo USB em uma VM Hyper-V
Como resolver o erro “Connection to Microsoft Exchange is Unavailable” no Office 365
“…Outra instalação está em andamento…” ou código de erro 0-1018 ao instalar o Office 365
Como desabilitar o update automático do Windows 10
Armazenando chaves SSH no Active Directory para facilitar a implantação

Assistente de Delegação de Controle 

A maneira fácil de fazer isso é por meio do Assistente para Delegação de Controle.

Você não terá tantas opções, mas é muito mais fácil:

1- Abra Usuários e Computadores do Active Directory
2- Clique com o botão direito na UO em que deseja criar o grupo de segurança, vá para Novo e clique em Grupo

3- Nomeie o grupo
4- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control

Observe que, para seguir o Princípio do menor privilégio, você não deve dar ao grupo acesso a todo o domínio

5- Clique em Add e selecione o grupo que você acabou de criar
6- Verifique as seguintes opções:

  • Criar, excluir e gerenciar contas de usuário
  • Redefina as senhas do usuário e força a alteração da senha no próximo logon
  • Leia todas as informações do usuário
  • Criar, excluir e gerenciar grupos
  • Modificar a associação de um grupo
  • Gerenciar links de política de grupo
  • Gerar conjunto de políticas resultante (planejamento)
  • Gerar conjunto de políticas resultante (registro)

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Agora precisamos delegar a capacidade de desbloquear contas de usuário

1- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control
2- Clique Add e selecione o grupo que você criou anteriormente
3- Selecione Create a custom task to delegate
4- Selecione Only the following objects in the folder e clique User Objects no final da lista
5- Selecione Property-specific em Show these Permissions
6- Marque Ler e Escrever para LockoutTime

Agora você tem um grupo de administradores do Active Directory que pode ser adicionado à sua equipe de Service Desk / TI sem expor os aspectos vitais do seu ambiente.

Segurança Avançada

Se quiser ser um pouco mais granular com suas permissões, você precisará seguir um caminho um pouco mais longo:

1- Abra Usuários e Computadores do Active Directory
2- Clique com o botão direito na UO em que deseja criar o grupo de segurança, vá para Novo e clique em Grupo

3- Nomeie o grupo
4- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Properties

Observe que, para seguir o Princípio do menor privilégio , você não deve dar ao grupo acesso a todo o domínio

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

5- Vá para a Security guia e clique em Advanced
6- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
7- Permitir a política em This object and all descendant objects

8- Verifique as seguintes opções

  • Criar objetos de usuário
  • Criar objetos de computador
  • Excluir Objetos de Computador
  • Criar Objetos de Grupo
  • Excluir objetos do grupo

9- Clique OK
10- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
11- Permitir a política em Descendant Computer objects

12- Verifique Full Control, clique OK
13- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
14- Permitir a política em Descendant Group objects

15- Verifique Full Control, OK
16- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
17- Permitir a política em Descendant User objects

18- Verifique Full Control, clique OK
19- Clique OK e OK novamente para confirmar

Agora você tem um grupo de administradores do Active Directory que pode ser adicionado à sua equipe de Service Desk / TI sem expor os aspectos vitais do seu ambiente.

Referência: Laslabs.com

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Quero contribuir!

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram.

W3Schools

Tags
Felipe Santos
Felipe Santos
Ver mais Posts
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.

Siga nosso Newsletter:

Facebook-f
Instagram
Twitter
Linkedin
Youtube
© 2021 Dicas de Infra - Todos os Direitos Reservados.
pt_BRPortuguese
en_USEnglish pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2021!

Eu quero!