Criação e adição de computador seguros em domínio Active Directory

Este artigo tem o objetivo de demonstrar a melhor prática em criar e adicionar computadores ao domínio do Active Directory.

É importante proteger sua empresa, para que apenas os usuários apropriados possam criar contas de computador e adicionar ao domínio. Você pode e deve criar uma conta de computador na OU correta antes de adicionar o computador ao domínio. Esse processo de pré-criar um computador é chamado de “Pré-Teste” de computador.

O pré-teste de computador oferece duas grandes vantagens:

  • A conta está na OU certa e é, portanto, delegada de acordo com a diretiva de segurança definida pela ACL da OU.
  • O computador está dentro do escopo das GPOs relacionadas à OU, antes de o computador ser adicionado ao grupo.

A melhor prática é pré-testar uma conta de computador antes de adicioná-lo ao domínio. Infelizmente, o Windows permite adicionar um computador a um domínio sem seguir as melhores práticas. Você pode simplesmente efetuar logon com uma conta de administrador local e alterar o grupo de trabalho para o domínio desejado, então o Windows cria o objeto no Active Directory no contêiner padrão e adiciona o sistema no domínio.

Há três problemas com esse comportamento do Windows:

  • Primeiro, a conta do computador é criada automaticamente no contêiner padrão Computersque não é o local ao qual o objeto computador pertence na maioria das empresas.
  • Segundo, você deve mover o computador do contêiner padrão de computadores para a OU correta, o que é um passo extra muitas vezes esquecido e o computador fica fora do escopo de gerenciamento.
  • Terceiro, qualquer usuário pode fazer isso, pois não é exigida qualquer permissão administrativa no nível de domínio, ou seja, qualquer usuário pode adicionar por padrão 10 objetos de computador no domínio e alterar seus atributos, o que se torna uma potencial vulnerabilidade de segurança.

Criando uma conta de computador pré-testada e delegando controle

Escolha a OU que deseja criar a conta de computador pré-testada e clique em New Computer. A caixa de diálogo “New Object – Computer” aparece. Em “User or Group” clique em Change e delegue o controle ao grupo de suporte da sua empresa assim somente usuários que pertence a esse grupo poderão adicionar o computador ao domínio.

Grupo

Após ter pré-criado a conta do computador “comercial01” e ter delegado ao grupo “Help Desk“, podemos então adicioná-lo a esse objeto computador. Utilizando uma conta do grupo Help Desk, você poderá adicionar o computador no modo tradicional ou pelo comando Netdom.exe 

A sintaxe básica é: netdom join “comercial01” /domain:barbosa.local /OU: “CN do computador criado” /UserD:pbarbosa /PasswordD: * /SecurePasswordPrompt /Reboot: 5

Em que o usuário “pbarbosa” faz parte do grupo Help Desk e o valor 5 na sintaxe /Reboot indica quantidade de segundos para o computador ser reiniciado.

netdomjoin1

Espero que tenha gostado. Até a próxima.

  • Sensacionallllllllllllllllllllllll
    TOP D+ essa postagem, parabéns

  • Muito Bom! Parabéns!

  • Muito legal esse procedimento, e aprendi no livro de preparação para certificação 70-640 do Windows 2008. Recomendo para todo mundo os livros de estudo para certificação, pois aprendemos muitos assuntos novos e procedimentos corretos.