Criar um grupo de administradores do Active Directory Win 2012 R2

Hoje vamos criar um grupo de administração do Active Directory no Windows Server 2012 R2.

O novo grupo terá permissões de administrador típicas na UO que você selecionar. Estaremos habilitando a criação de usuários, redefinições de senha, criação / exclusão de grupos e criação / exclusão de computadores.

Algumas coisas que o grupo não será capaz de fazer:

  • Reorganizar UOs
  • Alterar propriedades no nível do domínio

Você pode habilitar outras permissões se desejar, mas essas são normalmente o que um Service Desk / Agente de TI em um ambiente corporativo exige.

Leia Mais:

Conectar Dispositivo USB em uma VM Hyper-V
Como resolver o erro “Connection to Microsoft Exchange is Unavailable” no Office 365
“…Outra instalação está em andamento…” ou código de erro 0-1018 ao instalar o Office 365
Como desabilitar o update automático do Windows 10
Armazenando chaves SSH no Active Directory para facilitar a implantação

Assistente de Delegação de Controle 

A maneira fácil de fazer isso é por meio do Assistente para Delegação de Controle.

Você não terá tantas opções, mas é muito mais fácil:

1- Abra Usuários e Computadores do Active Directory
2- Clique com o botão direito na UO em que deseja criar o grupo de segurança, vá para Novo e clique em Grupo

3- Nomeie o grupo
4- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control

Observe que, para seguir o Princípio do menor privilégio, você não deve dar ao grupo acesso a todo o domínio

5- Clique em Add e selecione o grupo que você acabou de criar
6- Verifique as seguintes opções:

  • Criar, excluir e gerenciar contas de usuário
  • Redefina as senhas do usuário e força a alteração da senha no próximo logon
  • Leia todas as informações do usuário
  • Criar, excluir e gerenciar grupos
  • Modificar a associação de um grupo
  • Gerenciar links de política de grupo
  • Gerar conjunto de políticas resultante (planejamento)
  • Gerar conjunto de políticas resultante (registro)

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

Agora precisamos delegar a capacidade de desbloquear contas de usuário

1- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Delegate Control
2- Clique Add e selecione o grupo que você criou anteriormente
3- Selecione Create a custom task to delegate
4- Selecione Only the following objects in the folder e clique User Objects no final da lista
5- Selecione Property-specific em Show these Permissions
6- Marque Ler e Escrever para LockoutTime

Agora você tem um grupo de administradores do Active Directory que pode ser adicionado à sua equipe de Service Desk / TI sem expor os aspectos vitais do seu ambiente.

Segurança Avançada

Se quiser ser um pouco mais granular com suas permissões, você precisará seguir um caminho um pouco mais longo:

1- Abra Usuários e Computadores do Active Directory
2- Clique com o botão direito na UO em que deseja criar o grupo de segurança, vá para Novo e clique em Grupo

3- Nomeie o grupo
4- Clique com o botão direito na unidade organizacional para a qual deseja conceder permissões a este grupo e clique em Properties

Observe que, para seguir o Princípio do menor privilégio , você não deve dar ao grupo acesso a todo o domínio

#DicaProfissa: Faça um curso profissionalizante!
Garanta um curso certificado na área de TI e Software pela plataforma de estudos online Udemy.
Clique aqui e confira todos os cursos mais recentes em tecnologia!

5- Vá para a Security guia e clique em Advanced
6- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
7- Permitir a política em This object and all descendant objects

8- Verifique as seguintes opções

  • Criar objetos de usuário
  • Criar objetos de computador
  • Excluir Objetos de Computador
  • Criar Objetos de Grupo
  • Excluir objetos do grupo

9- Clique OK
10- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
11- Permitir a política em Descendant Computer objects

12- Verifique Full Control, clique OK
13- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
14- Permitir a política em Descendant Group objects

15- Verifique Full Control, OK
16- Clique em Add=> Select a principal e escolha o grupo que você acabou de criar
17- Permitir a política em Descendant User objects

18- Verifique Full Control, clique OK
19- Clique OK e OK novamente para confirmar

Agora você tem um grupo de administradores do Active Directory que pode ser adicionado à sua equipe de Service Desk / TI sem expor os aspectos vitais do seu ambiente.

Referência: Laslabs.com

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram.

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2021!