Nesta segunda parte da série Ajuste Fino do Active Directory, vou falar um pouco sobre contas. Mais precisamente, sobre as Contas de Computador...
Normalmente, quando um novo funcionário é contratado por uma empresa, é procedimento padrão, criar sua Conta de Usuário para que o mesmo possa utilizar a rede. Mas, e quando um novo computador é comprado pela empresa, esse mesmo procedimento de "pré-criar" a sua conta é realizado? Na maioria dos casos a resposta é NÃO!
Geralmente, o cadastro da conta do novo computador é feita durante a etapa de instalação do sistema operacional, quando chegamos na janela onde selecionamos "Grupo de Trabalho" ou "Domínio". Essa prática pode deixar brechas na segurança da empresa, dependendo de como o Active Directory estiver estruturado. Calma lá... deixa eu explicar isso:
Na maioria das empresas, são criadas uma ou mais Unidades Organizacionais (OUs) e as Contas de Computadores são distribuídas ou organizadas entre elas. A essas OUs, são aplicadas Políticas de Grupo (GPOs) para restringir o que o usuário pode ou não fazer no computador. Quando a Conta do Computador é criada durante a instalação do sistema operacional, por padrão, ela é criada dentro do Contâiner Computadores (Computers), ou seja, FORA do escopo da GPO. Cabe então a alguém, responsável pela manutenção do Active Directory, mover a Conta do Computador para a respectiva OU e reiniciar o novo computador para que a GPO possa ser aplicada. Mas se levarmos em conta que o cara não vai ficar lá o dia inteiro no Contâiner Computadores apertando F5 na esperança de que surja um novo computador para ser movido, pode levar um tempo (horas ou dias) até que o novo computador receba a GPO. E esse tempinho é suficiente para os famosos "usuários espertos" detonarem a máquina que acabou de ser instalada. Para a alegria da Equipe de TI que adora formatar um computador... ¬¬
Mas então, como resolver esse impasse? Bom... existe mais de uma forma de resolver isso. Depende de como a empresa trabalha. Vou apresentar algumas alternativas:
- Ao invés de "linkar" a GPO na OU personalizada, "linke-a" na raiz do Domínio. Isso fará com que o escopo da GPO alcance todos os computadores do Domínio e não só aqueles dentro da OU. Empresas que possuem poucas GPOs podem utilizar essa alternativa, pois é a que gera menos trabalho. É igual Baterias Tudor: Você instala e esquece! (Piadinha tosca)
- Já empresas que possuem muitas GPOs podem ter um certo "desconforto" tendo inúmeras delas "linkadas" na raiz do Domínio, pois dá um pouco mais de trabalho à administração do Active Directory, como utilização de Filtragem de Segurança (Security Filtering) e a questão da Precedência das GPOs (mas isso é assunto para outro post). Nesses casos, o mais interessante seria mover (ou "redirecionar") o local padrão de armazenamento das Contas de Computador (Contâiner Computadores) para a OU personalizada. Ahm?! Tem como?! Claro que tem!!! Mas antes, um pequeno aviso: É preciso que o Nível Funcional do Domínio (Domain Functional Level) seja, pelo menos, Windows Server 2003 (creio que isso não seja um problema nos dias de hoje... ou é?! 0.o). Para fazer o redirecionamento, precisamos acessar o Prompt de Comando em modo elevado e utilizar o comando redircmp.exe. A sintaxe é bem simples:
redircmp <DN da OU personalizada>
Não entendeu? Deixa eu colocar mais açúcar no mamão então: Digamos que o domínio da sua empresa seja ABC.NET e que a OU personalizada seja "MeusComputadores". O comando ficaria assim:
redircmp ou=MeusComputadores,dc=ABC,dc=NET
Pronto! As novas Contas de Computador criadas durante a etapa de instalação do sistema operacional serão criadas automaticamente dentro dessa OU.
- A última alternativa, e a melhor de todas, dentro das "Boas Práticas do Grande Administrator do Active Directory" seria.... tcham tcham tcham tchaaaaaammmmm.... Pré-criar a Conta do Computador antes mesmo de iniciar a instalação do sistema operacional! A segunda alternativa, apesar de interessante, pode deixar falhas se a empresa utilizar mais de uma OU para organizar suas Contas de Computador, pois ainda sim, a Conta de Computador precisará ser movida (mas isso dentro de uma estrutura mais organizada de OUs e GPOs). Então, já que em todo caso a Conta de Computador precisará ser movida, porque não já criá-la na OU em que deverá ficar? Pelo menos, assim, o computador já ingressa na rede recebendo as GPOs que deveria. É menos dor de cabeça para você e menos falação do seu Gerente de TI (sacanagem).
Bom... deixa eu ir ali porque apareceram novos computadores no Contâiner Computadores. ^^
Nenhum comentário:
Postar um comentário