segunda-feira, 13 de setembro de 2010

Resetar Senha de Admin Local de Todos Computadores do Dominio

Estive olhando as estatísticas do blog e vi que uma das pesquisas utilizadas para chegar até aqui foi "resetar senha de admin local de todos computadores do dominio sem usar script"

Achei meio esquisito, porém fui atrás para ver o que dava para fazer.

Primeiramente, qual o propósito que você quer fazer isto?

a) Transformou sua rede em Workgroup para rede Gerenciada (AD) e os Usuários que tinham a senha de administrador da máquia ainda a estao utilizando para sacanear a estação.

b) Você quer uma senha só para acessar a máquina localmente ou remotamente, diferente das de usuário restrito


Começando pela mais fácil: Opção B. A sua senha de administrador do domínio é superior a de administrador local. Então com sua senha voce consegue fazer na estação tudo o que o administrador local faria.

Não perca seu tempo, pois mudança de senha, PRINCIPALMENTE de administrador, é algo complicado, pois envolve uma gama de fatores de segurança do windows, e dificilmente dá para fazer via script (olhei vários e não achei nada), principalmente se existem arquivos criptografados por NTFS na estação.

Resumindo use sua senha de administrador de domínio ou administrador de enterprise (domain admin / enterprise admin respectivamente)


Agora para a OPÇÃO A:

Para evitar que o ABOMINÁVEL DO USUÁRIO fique sacaneando a estação só para colocar no orkut que conseguiu burlar o "faire-uó da rede to trampo" existem algumas opções para acabar com isso, sem script e sem sentar na frente das "trocentas" máquinas que voce tem em sua rede.

Para isso, proteja a conta de administrador, seguindo os procedimentos abiaxo:

Desative a conta de administrador - Esta é uma definição de política de grupo que permite que você desabilite essa conta dentro do domínio e SAMs locais do Windows XP e Windows Server 2003 computadores. A política está sob a configuração de GPO a seguir:

Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Administrator account status


Esta configuração de diretiva pode ser visto na figura 2, e só precisa ser definido como Ativado para fazer valer a definição.

Configuração GPO que permite desativar a conta de administrador

Renomeie a conta do administrador usando GPOs - Vai ser duro para desativar todas as contas de administrador em cada computador, devido aos pedidos e outros requisitos. Nestes casos, você pode ter uma abordagem mais fácil para garantir a conta de administrador é renomeado. Você pode configurar a configuração de GPO a seguir, que pode renomear a conta de administrador em qualquer Windows 2000, XP ou Server 2003.

Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|Accounts: Rename Administrator account

Proiba o acesso àquele computador através da rede - . Por padrão, a conta Administrador está agrupado em todos os grupos e Authenticated Users, que dá conta a capacidade de acesso a todos os computadores da rede. Uma vez que a conta de administrador não está sendo usado para a administração de rotina, não há realmente nenhuma necessidade para a conta ter acesso a qualquer dos recursos, em qualquer servidor, através da rede. Se você configurar o seguinte User Group Policy para a conta de administrador, pode percorrer um longo caminho para reduzir a superfície de ataque que os usuários teriam na conta de administrador.

Computer Configuration|Windows Settings|Security Settings|Local Policies|User Rights Assignment|Deny access to this computer from the network

Agora, para gerenciar determinado computador da rede através do console de gerencimento, acesse

INICIAR, Botão direito em MEU COMPUTADOR, e depois GERENCIAR, ou MANAGE.

Quando abrir o console vá em AÇÃO, e em seguida, CONECTAR A OUTRO COMPUTADOR. Digite o nome ou o endereço IP do computador que deseja acessar. (Só funcionará se voce estiver conectado com a senha do administrador do domínio ou administrador da Enterprise (domain ou enterprise admin)

Em seguida vá em USUÁRIOS E GRUPOS LOCAIS ou LOCAL USERS AND GROUPS e procure a conta com a qual o antigo usuário utilizava para conectar-se, e apague.




Pode apagar sem medo pois se o usuário que antes utilizava uma conta local para fazer logon, hoje usa uma conta de Active Directory, e o banco de dados fica guardado no servidor.

Apenas certifique-se que voce realmente conectou-se na estação antes de sair apagando conta, pois existem contas locais do Windows 2003 que se apagadas, ferram toda sua rede.

Nenhum comentário:

Postar um comentário