Dentre as diversas medidas de segurança adotadas em um ambiente de TI, uma delas é impedir que o usuário tenha poder local administrativo sobre a estação. Porém sabemos que em alguns momentos é necessário estar logado com um usuário que tenha a capacidade de instalar, desinstalar e alterar aplicativos.
Quando realizamos a instalação de Sistemas Cliente criamos um usuário local, que por padrão já fará parte do Grupo Administradores e esquecemos que existe um usuário criado pelo Sistema: o Administrador Geral local; que no XP vem ativado por padrão e com um grave problema de segurança que é o fato de não ter senha. Já nos Sistemas Vista em diante o Administrador Geral local vem desabilitado.
A fim de evitar uma carga de trabalho alta para o suporte, a ida até o local da estação ou um acesso remoto interrompendo o usuário, mostraremos aqui como ativar o Administrador Local dos Clientes e setar uma senha padrão para eles de forma simples e eficaz utilizando as Políticas de Grupo de Domínio (GPO).
Primeiro verificaremos se nos Usuários Locais o Administrador está desativado. Para isso abra o executar e digite lusrmgr.msc, acesse Usuário e verifique o status do Administrador como abaixo (Seta para baixo envolta num círculo branco):
Vamos até o PDC, abrir o Gerenciador de Politicas de Grupo e nas OU’s que contém os Computadores do Domínio criaremos uma GPO chamada “Habilitar Administrador Local”.
Após a criação da GPO vamos edita-la e realizar duas alterações:
1ª: Config. Computador/Políticas/Config. do Windows/Config. de Segurança/Políticas Locais/Opções de Segurança
Alterar a opção “Contas: status da conta do Administrador” marcando para defini-lá.
2ª Config. Computador/Preferências/Config. do Painel de Controle/Usuários e Grupos Locais
Botão direito, Novo, Usuário Local e configurar como abaixo:
Execute gpupdate /force no Servidor e nos Clientes e confira a ativação do Administrador Local.
OBS.: Agradecimentos na elaboração deste post ao aluno e colaborador Rodrigo Barbosa que também realizou postagem para seus clientes em seu site.
Boa aplicação a todos.
Ótimo post! Muito útil mesmo!!
Parabéns!
Olha só uma dúvida, você tem alguma GPO para desativar o firewall do windows para estações com windows xp ?
Obrigado pelo elogio.
Bem Filipi, por questões de segurança JAMAIS devemos desativar o Firewall do Windows, a não ser que você tenha uma solução que contemple um Firewall como McAfee ou outros.
Existe sim a possibilidade de desativar o firewall por GPO, porém é necessário saber qual o seu cenário, pois certamente será necessário instalar algumas atualizações para garantir clientes XP de receberem a GPO.
Olá Carlos, obrigado por esclarecer minha dúvida!
O campo password da conta administradora aparece sempre desabilitado, existe uma forma de reverter isso?
Amigo Renato, eu estava com a mesma duvida, postei no technet, A resposta é “Esse recurso foi desabilitado no Windows Server 2012”, segue o link abaixo.
https://social.technet.microsoft.com/Forums/pt-BR/ea21256e-4541-4249-8f37-981d3dd7ec14/gpo-no-consigo-setar-uma-senha-para-o-usurio-administrador-local-por-gpo-no-server-2012?forum=w8serverpt
Excelente post. Muito esclarecedor e útil.
Não tem mais esta opção a partir do Windows Server 2012 R2, tem alguma alternativa?
Maravilha amigo, só tenho uma dúvida!
No campo onde inserimos a senha, o mesmo não habilita, usamos o server 2012 r2.
Abraço.
Boa Tarde eu fiz o processo, porem a caixa de “senha” fica desabilitada o que posso fazer já procurei por ai, e já foi difícil achar como fazer a configuração pioro para arrumar.
Devido a brechas de segurança a Microsoft desabilitou passar senha de usuário via GPO