Criação e adição de computador seguros em domínio Active Directory
- A conta está na OU certa e é, portanto, delegada de acordo com a diretiva de segurança definida pela ACL da OU.
- O computador está dentro do escopo das GPOs relacionadas à OU, antes de o computador ser adicionado ao grupo.
- Primeiro, a conta do computador é criada automaticamente no contêiner padrão Computers, que não é o local ao qual o objeto computador pertence na maioria das empresas.
- Segundo, você deve mover o computador do contêiner padrão de computadores para a OU correta, o que é um passo extra muitas vezes esquecido e o computador fica fora do escopo de gerenciamento.
- Terceiro, qualquer usuário pode fazer isso, pois não é exigida qualquer permissão administrativa no nível de domínio, ou seja, qualquer usuário pode adicionar por padrão 10 objetos de computador no domínio e alterar seus atributos, o que se torna uma potencial vulnerabilidade de segurança.
Criando uma conta de computador pré-testada e delegando controle
Após ter pré-criado a conta do computador “comercial01” e ter delegado ao grupo “Help Desk“, podemos então adicioná-lo a esse objeto computador. Utilizando uma conta do grupo Help Desk, você poderá adicionar o computador no modo tradicional ou pelo comando Netdom.exe
A sintaxe básica é: netdom join “comercial01” /domain:barbosa.local /OU: “CN do computador criado” /UserD:pbarbosa /PasswordD: * /SecurePasswordPrompt /Reboot: 5
Em que o usuário “pbarbosa” faz parte do grupo Help Desk e o valor 5 na sintaxe /Reboot indica quantidade de segundos para o computador ser reiniciado.
Espero que tenha gostado. Até a próxima.