Como devo remover usuários do grupo Administradores sem o Active Directory?

6

Contexto: Sou um novo administrador de sistemas júnior e herdei um pequeno grupo de trabalho de cerca de 12 máquinas windows, servidores de arquivos de produção e backup e um servidor sql. Todas as contas de usuário no servidor de arquivos são membros do grupo Administradores. Eu percebo que isso cria uma vulnerabilidade. Além disso, a brass gostaria de ter certos diretórios no servidor de arquivos fora dos limites para os usuários em geral.

Como posso remover meus usuários do grupo Administradores e colocá-los em duas camadas de contas regulares e evitar transtornos, tempo de inatividade da produção, etc.?

Sou especialista em automação, se possível, por isso não tenho medo de criar scripts em arquivos .bat ou powershell, embora meu powershell esteja enferrujado e meu script .bat seja hacky.

    
por lutze 11.02.2014 / 22:25

2 respostas

12

Você deve configurar um domínio.

  • Sério. Eu não gostaria de gerenciar 3 computadores Windows sem um domínio (Active Directory), e muito menos doze.
  • Se o bronze quiser limitar os níveis de acesso em determinados diretórios, a única maneira de fazê-lo de maneira gerenciável é com o Active Directory, mesmo para "apenas 12" máquinas / usuários.
  • Melhor opção para você, pessoalmente, também. "Gerenciado um monte de computadores do grupo de trabalho" é uma linha muito porcaria no currículo. "Criado, configurado e gerenciado um novo domínio do Active Directory do Windows para [empresa]" é um item muito bom no currículo, pelo contrário.

Supondo que você não pode configurar um domínio (e Server 2003), minha preferência seria para psexec, que faz parte do SysInternals Suite para fazer as conexões remotas e, em seguida, os comandos NET USER e NET GROUP para fazer a adição real. Isso permitirá que você faça as alterações sem tirar as pessoas dos computadores, como abaixo.

  1. Faça o download da suíte SysInternals.
  2. Abra uma linha de comando (cmd.exe)
  3. Conecte-se ao computador no qual você deseja fazer as alterações
    • psexec \thecomputeryouwanttomakechangeson\ cmd
  4. Execute o comando NET USER ou NET GROUP desejado.
por 11.02.2014 / 22:44
7

Você pode obter a lista de quais usuários estão atualmente no grupo Administradores:

net localgroup administrators > userlist.txt

Você pode dividir os usuários dessa saída em listas de camada 1 e de nível 2 e percorrer as listas.

$tier1file="c:\path\to\tier1users.txt" 
$tier2file="c:\path\to\tier2users.txt"

foreach ($user in get-content $tier1file)
{
    net localgroup administrators $user /del
    net localgroup tier1 $user /add
}

foreach ($user in get-content $tier2file)
{
    net localgroup administrators $user /del
    net localgroup tier2 $user /add
}

Ou algo parecido.

Se todas as máquinas estiverem configuradas de forma idêntica, você provavelmente poderia ter mais experiência do que isso, mas as máquinas sem AD frequentemente não são idênticas.

    
por 11.02.2014 / 22:42