Mostrando postagens com marcador Active Directory. Mostrar todas as postagens
Mostrando postagens com marcador Active Directory. Mostrar todas as postagens

quinta-feira, 19 de novembro de 2009

Restringindo membros de grupos através de GPO #microsoft #activedirectory

Webcast da Windows IT Pro mostra como utilizar GPOs para restringir os membros de grupos restritos, de forma que se possa controlar quem deve estar no grupo Administrators, Power Users e outros grupos comumente usados em redes baseadas no Microsoft Active Directory.
O uso das Restricted Group Policies é bastante útil quando se tem uma definição clara das pessoas quem devem fazer parte destes grupos, mas gerenciar exceções é um problema.
Exemplifico: se na empresa há uma equipe de suporte que precisa estar no grupo Administrators para ter acesso total a estações e servidores,  por exemplo, mas para um servidor específico há um outro usuário que precisa estar no grupo, a política somente não vai resolver o problema. Isto porque a definição dos participantes do grupo não admite exceções, de forma que a GPO, uma vez aplicada numa OU, vai restringir os membros do grupo para todos os computadores naquela OU. Resultado: ou somente a equipe de suporte será membro do grupo, ou o usuário "extra" será membro do grupo em todos os servidores.
Uma solução seria criar uma OU para cada exceção e mover os equipamentos afetados para lá, o que pode ser adequado no caso de poucos servidores, mas absolutamente inviável para estações, por exemplo, onde pode haver uma quantidade grande de exceções, já que certos perfis de usuário necessitam de permissões especiais para realizar certas operações, eventualmente até administrar a estação.
Por isso, no meu entendimento, esta política acaba sendo de difícil uso na prática, em ambientes onde há muitas exceções na administração de estações e servidores. Alguém enxerga a situação de outro modo ?

quinta-feira, 20 de agosto de 2009

Como e onde as GPOs são armazenadas

Artigo bem útil do Windows Networking mostra como as políticas de grupo (GPOs) do Microsoft Active Directory são armazenadas, indicando o local onde ficam no sysvol, como são organizadas no domínio, e a estrutura criada para as políticas de máquina e usuário. É um texto esclarecedor, que ajuda a avaliar a melhor opção de configuração de políticas, facilitando a resposta para questões relacionadas à sua forma de aplicação.

Uma dúvida que me perturbava a mente era a seguinte: é melhor criar uma GPO para cada configuração individual ou uma para cada OU concentrando todas as configurações ? Pelo que pude perceber do texto, cada política implica um arquivo armazenado em local específico, e, neste sentido, quanto mais políticas, mais acessos ao sistema de arquivos e, em princípio, menos desempenho. Assim, concluí que o melhor é concentrar as políticas, dentro do possível.

Concordam com a minha visão ou não ? Leiam, tirem suas conclusões e compartilhem aqui.




terça-feira, 30 de setembro de 2008

Backup simplificado de GPOs

O Greg's Weekly quickTip indica scripts desenvolvidos pela Microsoft que permitem fazer backup e restaurar políticas de grupo do AD sem precisar fazer a restauração completa do controlador. Confiram.

sábado, 13 de setembro de 2008

Feeds RSS sobre Tecnologia Microsoft

O Greg's Weekly quickTip traz a lista de feeds RSS dele. E tem muita coisa interessante! Listo a seguir alguns que destaquei, e mais abaixo segue o restante da lista, que traz basicamente informação técnica sobre tecnologia Microsoft. Pra quem mantém redes com Windows (quem não mantém ?), vale avaliar com carinho.

Os destaques, mais relevantes (na minha opinião)...
The Lazy Admin


Group Policy Team Blog


Windows Server Division WebLog

4sysops


The System Administrator - Admin's Tips n Tricks



Ask the Performance Team


WServerNews.com


The GPOGUY-- Group Policy Blog



TechNet Magazine Blog



E o restante da lista, para apreciação e análise de vocês...
ChrisWolf.com

Full of I.T.

Microsoft Update Product Team Blog

Recently Posted Downloads on MSDN

DABCC -- Citrix, VMware, Microsoft Virtualization, Terminal Server, MS Server 2008 News and Support

[MSFT-BE] Arlindo's Blog - IT Pro Evangelist

Nexus SC: The System Center Team Blog

GPanswers.com :: Jeremy's GP Blog

The Official SBS Blog

The App-V Blog
WSUS Product Team Blog

Terminal Services Team Blog

The PowerShell Guy

BrianMadden.com -- Citrix, VMware, and application virtualization news, opinions, and analysis

Keith Combs' Blahg

SAPIEN Blog

RTFM Education

Port 25: Open Source Community at Microsoft

Windows Virtualization Team Blog

Consortio Services Blog

Steve Lamb's Blog
Jason Conger's Terminal Services Blog

virtualization.info

Paul Thurrott's SuperSite for Windows

Most Recent KBs for Windows Server 2003 R2

So, a booth babe and a geek walk in to a bar...(Microsoft's Certification Blog)

terça-feira, 19 de agosto de 2008

Como executar comandos como outro usuário via script

Sabe aquela situação em que precisam executar algum script automaticamente, mas o usuário atualmente logado não tem permissão para realizar determinadas operações ? O comando runas do Windows não é suficiente, pois pede senha ao ser executado, o que inviabilizaria um script de logon, por exemplo.

Há algumas soluções disponíveis, que relaciono abaixo. São programas que permitem a definição de usuário e senha a ser utilizado na execução do script ou comando, obtidos através do TechRepublic. Aqui listo apenas as aplicações gratuitas, mas lembro que há outras soluções, baseadas em GPO ou em programas pagos, que podem ser encontrados no TechRepublic e outras fontes.

Vamos às soluçoes:

Special Runas - é o equivalente ao runas, mas com a possibilidade de armazenar informações de usuário e senha em arquivo criptografado. É composto de dois componentes, o runasv.exe e runserv.exe. O primeiro dispara uma solicitação para o segundo, que funciona como um serviço na máquina remota onde será executado o comando. É necessário executar o runserv na máquina remota com a opção -c para criar o serviço, antes de usar o runasv para disparar a ação remota.

Steel Runas - com uma visão um pouco diferente, esta solução se propõe a oferecer ao usuário a possibilidade de executar aplicações que necessitem de permissões que ele não possui. Para isso, a aplicação gera um novo executável (que incorpora usuário e senha para execução do programa) e um código CRC de verificação do arquivo gerado, de modo que alterações no mesmo sejam detectadas evitando o mau uso da aplicação.

Espero que tenham sido úteis as informações.