Infra - Windows Server

Restringir direitos de usuários comuns ao adicionar máquinas no domínio

Apresento neste artigo o procedimento para restringir direitos de usuários comuns ao adicionar máquinas no domínio. Desta forma somente usuário com privilégios poderá adicionar máquinas no domínio, através do recurso de delegação de controle é possível atribuir direitos aos usuários.

por Josué Vidal


Tecnologias

Active Directory

Windows Server 2008

Sumário

No Windows Server 2008 e Windows Server 2003 os usuários comuns, ou seja, sem privilégios administrativos podem adicionar maquinas no domino, por padrão até 10 maquinas podem ser adicionadas no domínio.

Nosso objetivo como administrador de rede é diminuir as vulnerabilidades e aumentar a segurança.

Conteúdo

1. O que é ms-DS-MachineAccountQuota?

2. Como alterar o atributo ms-DS-MachineAccountQuota

Introdução

Nesse artigo você aprenderá como restringir direitos de usuários comuns ao adicionar máquinas no domínio.

1 – O que é ms-DS-MachineAccountQuota?

O ms-DS-MachineAccountQuota o atributo do Active Directory que determina a quantidade de maquinas que podem ser adicionada no domínio através de usuários comuns, por padrão são 10 maquinas.

 

2 – Como alterar o atributo ms-DS-MachineAccountQuota

Através da ferramenta Active Directory Users and Computers é possível alterar o atributo do ms-DS-MachineAccountQuota.

a) Abrir a ferramenta Active Directory Users and Computers e habilite a visualização das funcionalidades avançadas.

Figura 1. Visualizar funcionalidades avançadas.

b) Acessar as propriedades do domínio

Figura 2. Propriedades do domínio

c) Nas propriedades do domínio acessar a aba Attribute Editor e selecionar o atributo ms-DS-MachineAccountQuota.

Figura 3. Atributo ms-DS-MachineAccountQuota

d) Alterar o valor do atributo ms-DS-MachineAccountQuota de 10 (dez) para 0 (zero).

Figura 4. Atributo ms-DS-MachineAccountQuota, valor 10

Figura 5. Atributo ms-DS-MachineAccountQuota, valor 0

e) Confirmar a alterar através do OK.

Figura 6. Confirmar alteração, click em OK.


Conclusão

Neste artigo falamos sobre a configuração padrão do Active Directory que permite usuários adicionar maquina no domínio e nosso objetivo é restringir o direito dos usuários.

Desta forma somente usuário com privilégios poderá adicionar maquinas no domínio, através do recurso de delegação de controle é possível atribuir direitos aos usuários.

No Windows Server 2003 para realizar este procedimento é necessário utilizar a ferramenta dsiedit.msc, que pode ser instalada através programa SUPTOOLS do CD do Windows Server 2003.

Referências + Tópicos Relacionados

1 – Active Directory – TechCenter  

2 – Course 6424A Fundamentals of Windows Server 2008 Active Directory
Josué Vidal

Josué Vidal - Trabalha na área de tecnologia de informação desde 2001, como consultor especializado em plataforma Microsoft, com experiência em infra-estrutura e arquitetura de soluções de segurança, deployment e gerenciamento. Graduado em Redes de Computadores pela FIAP.
Atualmente trabalha como consultor de soluções na Compusoftware empresa de licenciamento de software. Ministra palestras e webcasts nas comunidades de infraestrutura é colunista da comunidade TechNet da Microsoft (www.technetbrasil.com.br) e líder do grupo de usuário ITCentral (www.itcentral.com.br), colunista no site MCP Brasil (www.mcpbrasil.com/vidal.asp), colunista no site Linha de Codigo(www.linhadecodigo.com.br) e Imasters (imasters.uol.com.br), obteve o título de MVP (Most Valuable Professional) em 2009 na categoria Windows Server System - Active Directory.
Como Microsoft Certified Trainer (MCT) atua como instrutor na Ka Solution, Bras&Figueiredo e People (Certified Partner for Learning Solution).
Possui as certificações:
MCP / MCSA / MCSE / MCT / Microsoft Most Valuable Professional MVP - Active Directory
Blog: http://vidalmaizena.spaces.live.com.