Restringindo membros de grupos através de GPO #microsoft #activedirectory

Webcast da Windows IT Pro mostra como utilizar GPOs para restringir os membros de grupos restritos, de forma que se possa controlar quem deve estar no grupo Administrators, Power Users e outros grupos comumente usados em redes baseadas no Microsoft Active Directory.

O uso das Restricted Group Policies é bastante útil quando se tem uma definição clara das pessoas quem devem fazer parte destes grupos, mas gerenciar exceções é um problema.

Exemplifico:

Se na empresa há uma equipe de suporte que precisa estar no grupo Administrators para ter acesso total a estações e servidores,  por exemplo, mas para um servidor específico há um outro usuário que precisa estar no grupo, a política somente não vai resolver o problema.

Isto porque a definição dos participantes do grupo não admite exceções, de forma que a GPO, uma vez aplicada numa OU, vai restringir os membros do grupo para todos os computadores naquela OU.

Resultado:

Uu somente a equipe de suporte será membro do grupo, ou o usuário "extra" será membro do grupo em todos os servidores.

Uma solução seria criar uma OU para cada exceção e mover os equipamentos afetados para lá, o que pode ser adequado no caso de poucos servidores, mas absolutamente inviável para estações, por exemplo, onde pode haver uma quantidade grande de exceções, já que certos perfis de usuário necessitam de permissões especiais para realizar certas operações, eventualmente até administrar a estação.

Por isso, no meu entendimento, esta política acaba sendo de difícil uso na prática, em ambientes onde há muitas exceções na administração de estações e servidores.

Alguém enxerga a situação de outro modo ?

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!