No Windows Server 2008 e Windows Server 2003 os usuários comuns, ou seja, sem privilégios administrativos, podem adicionar máquinas no domínio. Por padrão, podem ser adicionadas no domínio até 10 máquinas. Nosso objetivo como administradores de rede é diminuir as vulnerabilidades e aumentar a segurança.
Nesse artigo você aprenderá como restringir direitos de usuários comuns ao adicionar máquinas no domínio.
Conteúdo
O que é ms-DS-MachineAccountQuota?
- Como alterar o atributo ms-DS-MachineAccountQuota
O que é ms-DS-MachineAccountQuota?
O ms-DS-MachineAccountQuota é o atributo do Active Directory que determina a quantidade de máquinas que podem ser adicionada no domínio através de usuários comuns.
Como alterar o atributo ms-DS-MachineAccountQuota?
Através da ferramenta Active Directory Users and Computers é possível alterar o atributo do ms-DS-MachineAccountQuota.
a) Abra a ferramenta Active Directory Users and Computers e habilite a visualização das funcionalidades avançadas.
b) Acesse as propriedades do domínio.
c) Nas propriedades do domínio, acesse a aba Attribute Editor e selecione o atributo ms-DS-MachineAccountQuota.
d) Altere o valor do atributo ms-DS-MachineAccountQuota de 10 (dez) para 0 (zero).
e) Confirme a alteração.
Conclusão
Neste artigo falamos sobre a configuração padrão do Active Directory que permite aos usuários adicionarem máquinas no domínio e nosso objetivo é restringir o direito dos usuários.
Desta forma somente um usuário com privilégios poderá adicionar máquinas no domínio. Através do recurso de delegação de controle, é possível atribuir direitos aos usuários.
No Windows Server 2003, para realizar este procedimento, é necessário utilizar a ferramenta dsiedit.msc, que pode ser instalada através programa SUPTOOLS do CD do Windows Server 2003.
Nenhum comentário:
Postar um comentário