Criação e adição de computador seguros em domínio Active Directory
CooperaTIEste artigo tem o objetivo de demonstrar a melhor prática em criar e adicionar computadores ao domínio do Active Directory.
É importante proteger sua empresa, para que apenas os usuários apropriados possam criar contas de computador e adicionar ao domínio. Você pode e deve criar uma conta de computador na OU correta antes de adicionar o computador ao domínio. Esse processo de pré-criar um computador é chamado de “Pré-Teste” de computador.
O pré-teste de computador oferece duas grandes vantagens:
- A conta está na OU certa e é, portanto, delegada de acordo com a diretiva de segurança definida pela ACL da OU.
- O computador está dentro do escopo das GPOs relacionadas à OU, antes de o computador ser adicionado ao grupo.
A melhor prática é pré-testar uma conta de computador antes de adicioná-lo ao domínio. Infelizmente, o Windows permite adicionar um computador a um domínio sem seguir as melhores práticas. Você pode simplesmente efetuar logon com uma conta de administrador local e alterar o grupo de trabalho para o domínio desejado, então o Windows cria o objeto no Active Directory no contêiner padrão e adiciona o sistema no domínio.
Há três problemas com esse comportamento do Windows:
- Primeiro, a conta do computador é criada automaticamente no contêiner padrão Computers, que não é o local ao qual o objeto computador pertence na maioria das empresas.
- Segundo, você deve mover o computador do contêiner padrão de computadores para a OU correta, o que é um passo extra muitas vezes esquecido e o computador fica fora do escopo de gerenciamento.
- Terceiro, qualquer usuário pode fazer isso, pois não é exigida qualquer permissão administrativa no nível de domínio, ou seja, qualquer usuário pode adicionar por padrão 10 objetos de computador no domínio e alterar seus atributos, o que se torna uma potencial vulnerabilidade de segurança.
Criando uma conta de computador pré-testada e delegando controle
Escolha a OU que deseja criar a conta de computador pré-testada e clique em New Computer. A caixa de diálogo “New Object – Computer” aparece. Em “User or Group” clique em Change e delegue o controle ao grupo de suporte da sua empresa assim somente usuários que pertence a esse grupo poderão adicionar o computador ao domínio.
Após ter pré-criado a conta do computador “comercial01” e ter delegado ao grupo “Help Desk“, podemos então adicioná-lo a esse objeto computador. Utilizando uma conta do grupo Help Desk, você poderá adicionar o computador no modo tradicional ou pelo comando Netdom.exe
A sintaxe básica é: netdom join “comercial01” /domain:barbosa.local /OU: “CN do computador criado” /UserD:pbarbosa /PasswordD: * /SecurePasswordPrompt /Reboot: 5
Em que o usuário “pbarbosa” faz parte do grupo Help Desk e o valor 5 na sintaxe /Reboot indica quantidade de segundos para o computador ser reiniciado.
Espero que tenha gostado. Até a próxima.