logon em dominio

jolao · 4 de junho de 2014

fala galera....

Gostaria de saber como eu faço apra negar o logon local, apenas no dominio.. tipo... quando o usuario liga a maquina apresentar para ele apenas o usuario de dominio, ao invés de dar a opcao de logar na conta local e no dominio....

windows server 2012r2 e host windows 7...

Obrigado ...

valeu.

jolao · 6 de junho de 2014

Ajuda nois ai pessoal....

Hackvaysel · 9 de junho de 2014

Olá Amigo

A melhor maneira de se fazer isso é criando uma GPO para configurar esta permissão.

Você só precisa entender um pouco sobre politica de grupo, e diretiva de segurança.

Você tem algum conhecimento sobre isso, ou nunca chegou a ver?

Recomendo você ler o seguinte artigo.

http://4sysops.com/archives/deny-and-allow-workstation-logons-with-group-policy/

Se não estiver compreendendo posso te fazer um passo a passo.

jolao · 12 de junho de 2014

Olá Amigo

A melhor maneira de se fazer isso é criando uma GPO para configurar esta permissão.

Você só precisa entender um pouco sobre politica de grupo, e diretiva de segurança.

Você tem algum conhecimento sobre isso, ou nunca chegou a ver?

Recomendo você ler o seguinte artigo.

http://4sysops.com/archives/deny-and-allow-workstation-logons-with-group-policy/

Se não estiver compreendendo posso te fazer um passo a passo.

Muito Obrigado por me ajudar "Hackvaysel"....

Nao se bem isso ai que voce me recomendou.. mas de qualquer forma, foi bom eu ler sobre o logon em determinadas maquinas...

porém a minha duvida, nao vi no link citado...

mas e minha e referente a essa tela aqui.. apresentar apenas o usuario de dominio.. que no caso da foto apresenta dois usuarios..

Hackvaysel · 1 de julho de 2014

Olá desculpe a demora em responder mas estava fora por estes dias.
Bom amigo.
Vamos esclarecer primeiro que, o que para você seria um segundo usuário ali, na verdade não é, e sim a opção para definir outro nome a ser logado, como você pode ver ai nessa print, esta opção se chama “outro usuário”, mas qual usuário a pessoa tem de saber qual vai querer.
Quanto a esconder esta opção, realmente não conheço nenhuma forma, o máximo que daria pra fazer e desabilitar a opção de troca rápida de usuário, a qual no Windows 7 permite que você faça logon em outra conta sem deslogar da primeira, isso faria com que aquele botão de troca de usuário na tela de bloqueio quando outro esta logado desaparecesse como também desabilitaria a função no menu iniciar e no gerenciador de tarefas.

jolao · 22 de julho de 2014

Obrigado por responder Hackvaysel....

Assim.. no XP o usuario tem a opcao de local e no dominio...por isso pensei que era a mesma tela do windows 7 ai,

No caso do xp, como negar o logon local e apresentar apenas o logon no dominio para o usuario xp?

Ja li isso em alg forum, mas nao me lembro, e nen dei conta de achar mais, mas tem um jeito via GPO.

voce saberia me contar..

Obrigado.

valeu

AlbertoCompatere · 23 de julho de 2014

Deixe-me ver se entendi...

Você não quer que usuários façam login com usuários locais ?

Se é isso, acessa a máquina como administrador local, exclui todos os perfis, coloca uma senha p/ o usuário administrador e fechou.

Mas pela GPO, tem que ver se 2012 r2, você pode criar uma GPO de máquina, bloqueando acesso a usuários locais, assim nem se o cara tiver a senha do admin local, ele vai poder acessar... somente se você retirar a máquina da gpo, rodar um gpupdate /force e reiniciar a estação de trabalho pra fazer login... mas como o Hackvaysel disse, precisa de um certo conhecimento em politica de segurança p/ não fazer caca.

Espero ter ajudado

Abraços

Hackvaysel · 23 de julho de 2014

Olá Amigo

Então, nesse seu caso, o que você quer é restringir que certas contas façam login na maquina.

Então com certeza a GPO resolve seu problema.

Você vai precisar simplesmente vincular os computadores aos quais você quer aplicar essa politica nessa GPO, você pode criar um grupo, ou adiciona-los individualmente, fica a sua escolha.

Mas enfim vamos à solução do seu problema. Como prometi ai vai um passo a passo especialmente para esse seu caso. Tentarei explicar o melhor que puder, bem como o porque, de todos os procedimentos, a fim de lhe proporcionar entendimento sobre os mesmos. Vai ficar meio grande, mas leia tudo antes de começar.

Você primeiramente tem de abrir o gerenciamento de politica de grupo no servidor. Pode abri-lo pelo iniciar, ou pelo gerenciador do servidor, ou se preferir (a forma que eu mais gosto de trabalhar), usar o seguinte comando no executar: gpmc.msc

Para facilitar a organização, criaremos um novo objeto de politica de grupo, obviamente como você tem um domínio criado ai, deve haver ao menos uma floresta criada no painel à esquerda com o nome de seu domínio, se houver mais de um haverá mais de uma floresta, nesse caso você deve saber de qual domínio os computadores que você quer gerenciar fazem parte, expanda a arvore até “domínios\nome do seu domínio\objetos de politica de grupo” e clique com o direito em cima dessa pasta e depois em novo, de um nome de sua preferência, algo como "restrição de logon" pode facilitar seu entendimento ou de outro que venha a mexer ai futuramente.

Ao criar esse novo objeto, ele vem em branco, comecemos adicionando os computadores os quais receberão essa nova diretiva.

Nesse ponto você pode optar por criar um grupo de computadores ou adiciona-los diretamente na lista, abaixo de filtros de segurança clique em adicionar e faça esse procedimento, se houver algum grupo já adicionado por padrão, por exemplo "usuários autenticados", remova-o. (lembrando que para criar um grupo de computadores, você deve faze-lo diretamente no seu AD, então tem de abrir “usuários e computadores do AD” , dsa.msc no executar se preferir, e expandindo a arvore até computadores criar um grupo e adicionar os computadores desejados à esse grupo).

Agora definimos a diretiva, clicando na guia opções, e depois com o direito em qualquer lugar da área vazia abaixo, clicar em editar, o editor de gerenciamento de política de grupo será aberto, aqui definiremos as opções da diretiva a qual aplicaremos no grupo de computadores que queremos manipular.

Observando a arvore de opções do lado esquerdo, devemos expandir a arvore do console pelo seguinte caminho: “Configuração do computador\politicas\Configurações do Windows\Configurações de segurança\Diretivas locais\Atribuição de direitos de usuário”, e configuraremos a opção “negar logon local”.

Agora precisamos definir quais contas não poderão fazer logon, e para essa tarefa temos um empecilho quando configurando uma GPO para esse seu caso, “não podemos definir uma expressão regular de forma a atingir uma condição comum em todas as maquinas, sendo que queremos restringir contas que não fazem parte do domínio”, por exemplo, usar um caráter coringa para dizer que se refere a todas as contas daquela maquina, por exemplo: “localhost\*” , como todo administrador de rede deve saber, “localhost” significa a maquina local, e o “ * “ significaria nesse caso qualquer sentença, sendo assim para esse caso, se pudéssemos usar essa expressão, estaríamos dizendo ao sistema que o caminho é a maquina local e qualquer usuário. O sistema não permite isso porque ele valida o endereço que você esta adicionando à lista consultando a rede, sendo assim, você precisa informar cada conta com seu caminho literal, ou seja, por exemplo, “maquina1\nome_do_usuario”. Assim também você fica impedido de criar um grupo de usuários no seu AD, pois esses não fazem parte de seu domínio. Assim a opção que nos resta é adiciona-los um a um. No entanto, como sempre, e como qualquer técnico de qualquer área ligada à informática deve saber, sempre tem um jeito de contornar ou facilitar um problema, porque se pensarmos bem, se estivermos falando de uma rede com muitas maquinas, suponhamos umas 50, listar todos os nomes de cada uma delas ia ser um tanto trabalhoso fazendo na mão, portanto para esse caso, podemos nos valer dos bons e velhos comandos do Windows, para criarmos uma lista automática desses nomes de usuários já com seus caminhos literais, simplesmente para copiarmos na lista de validação.

O seguinte comando devera ser rodado no prompt de cada estação a fim de listamos os nomes de que precisamos.

wmic useraccount get name,domain | findstr %computername%

WMIC é uma ferramenta do Windows que realmente se torna uma arma secreta nessas horas.

Se você quiser saber mais sobre essa importante ferramenta deixo aqui uns links bem uteis.

http://danielsuporte.wordpress.com/2010/02/22/wmic-ferramenta-muito-util-existente-no-windows/

http://urs.bira.nom.br/informatica/comandos_shell_msdos/visao_geral_sobre_o_wmic.htm

http://www.dedoimedo.com/computers/windows-wmic.html

Mas voltando a explicação.

Explicando o comando.

wmic : aqui estamos chamando a ferramenta

useraccount : aqui estamos dizendo o que queremos analisar, nesse caso “useraccount” significa conta de usuário

get : este parâmetro informa ao comando que ele deve buscar/encontrar algo

name e domain: esses são os dados que estamos querendo encontrar, no caso nome de login do usuário e nome do domínio (caso o usuário seja um usuário local, “domain” retorna o nome da maquina).

findstr %computername% após o “|” : este parâmetro em qualquer comando é usado para encontrar uma expressão, nesse nosso caso como queremos as contas locais em cada maquina, ele só retornará os resultados que contiverem o nome da maquina, pois as contas locais, tem seus caminhos da seguinte forma “nome_da_maquina”\”nome_do_usuario”, no caso desse comando, “domain” retorna o nome da maquina, ou domínio aonde o usuário faz login, como estamos usando a variável de ambiente “%computername%”, que retorna o nome da maquina atual, na condição de procura, ele só retornará os nomes de login de usuário que forem contas locais daquela maquina em questão.

Como se trata de um comando do prompt você pode executa-lo remotamente em cada maquina, ou se preferir, usar uma GPO para executar um script de logon ou de inicialização em cada maquina da sua rede, você ate pode usar a mesma GPO que estamos usando para essa politica de restrição, mas posteriormente deve retirar esse script para que ele não fique rodando indefinidamente depois de listarmos o que precisamos.

Se quiser fazer por GPO, o que eu acho mais fácil de se fazer, pois como falei você ate pode definir isso nessa mesma GPO de restrição de logon, então você pode começar fazendo isso antes de começar os passos anteriores, e depois voltar e alterar essa GPO já retirando o script e adicionando os endereços que listamos com esse comando à lista de restrição de logon, para isso você deve configurar a seguinte opção para essa GPO, “Configuração do computador\politicas\scripts(inicialização/Encerramento)\” e configurar a opção de inicialização. Então você deve adicionar um script que será executado quando o pc iniciar. Você também pode definir esse script nas configurações de usuário, nesse caso o caminho é “Configurações do usuario\politicas\scripts(logon/logoff)\” e configurar a opção de logon.

Então você pode criar um arquivo .bat com aquele comando que vimos acima, basta abrir um bloco de notas colar ele, e salvar como “nome_de_arquivo.bat”.

Mas recapitulando que nosso objetivo é criar uma lista com os usuários locais e seus respectivos computadores, fazendo valer a ideia de automação, não queremos de ter de ir em cada maquina pra pegar os resultados do nosso comando, então basta nos lembrarmos que os resultados de qualquer comando no prompt podem ser salvos em um arquivo de texto (.txt). E além disso, podemos apontar para ser salvo em um endereço de rede, então basta termos um endereço de rede disponível e definirmos no nosso script para salvar os resultados lá. O script em sua forma final fica como se segue abaixo:

wmic useraccount get name,domain | findstr %computername%>>\\caminho _de_rede\nome_do_arquivo.txt

Feito isso, é só aguardar que todos os computares reiniciem, (recomendo fazer isso de um dia para outro, assim você não precisa pedir pra ninguém parar o que esta fazendo, aguarde ate que todos os computadores tenham ligado), e ai pegar os resultados no seu arquivo na pasta que você definiu. Lembrando-se de verificar no gerenciamento de politica de grupo se sua GPO esta ativada, e com o link habilitado com o seu domínio, se não houver link, devera cria-lo clicando com o direito em cima de seu domínio na arvore do console, e clicar em vincular com GPO existente.

Agora, voltamos lá atrás, naquele passo aonde íamos configurar a opção “negar logon local”, abra a opção, habilite-a, clique em adicionar, e depois na janela seguinte, clique em procurar, na caixa de dialogo estará sendo solicitado os nomes dos usuários que você quer adicionar, pegue os resultados daquele arquivo que salvamos, e substituindo os espaços que haverão entre os nomes de computador e os nomes de login, por uma “ \ “ (barra), cole todos na lista. Atente para os resultados obtidos nessa lista a fim de garantir que não esta restringindo usuários que não devem ser afetados por essa GPO.

Depois de tuuuuudo isso rsrs, esta pronto, usuários bloqueados. Será apresentado um erro na hora que o usuário local tentar fazer login.

Ressalto que como a regra se baseia pelos endereços dos computadores, os quais são encontrados pelos seus respectivos nomes, caso algum nome de computador venha à ser alterado futuramente, você deve atualizar esse nome na sua lista também. E outro detalhe, recomendo à você, deixar ao menos uma conta local em cada estação para fins de manutenção, tal conta deve ter privilégios de administrador, e protegida com uma senha bem elaborada, pois dependendo de problemas que vierem a acontecer nas estações futuramente, você pode precisar acessar justamente com uma conta local, e você poderá ter problemas nesse caso, se essas estiverem bloqueadas por essa GPO.

Como alternativa a tudo isso, você pode seguir pela sugestão do nosso colega AlbertoCompatere, sob a consequência de você ter de gerenciar isso diretamente em cada maquina quando lhe for necessário. Em todo caso ambas as soluções resolvem seu problema.

É isso ai cara, espero que lhe seja útil, perdoe-me se deixei alguma coisa mal explicada, qualquer duvida, estou à disposição. Boa sorte!!