Concedendo permissões em um GPO do Domínio a uma conta de usuário ou a um grupo de segurança.

Neste post eu ensino  como conceder permissões a uma conta de usuário ou grupo de segurança, em um GPO.

Este post é um dos vários do meu novo livro: Administrando GPOs pelo PowerShell.

Para você saber mais, clique na imagem a seguir:

Livro Administrando GPOs pelo PowerShell.Vamos lá…

Com o console host aberto do Windows PowerShell e executando-o como Administrador, faça:

Digite: import-module GroupPolicy, semelhante à figura 15.21 a seguir.

Figura 15.21 – Importando o módulo de Política de Grupo pelo Windows PowerShell.

Dê um Enter no teclado. Será carregado o módulo de Política de Grupo. Com o módulo carregado serão usados três parâmetros da cmdlet Set-GPPermission para conceder permissões a conta de um usuário ou grupo de segurança em um GPO. A seguir detalho cada um deles.

O primeiro parâmetro é o -Name, em que irá identificar o GPO. Essa identificação do GPO se dará pelo seu nome de exibição, no qual é encontrado na guia Conteúdo, da janela de Objetos de Política de Grupo do Domínio. Essa guia é ilustrada na figura 15.22, na qual exibe os nomes de exibições dos GPOs do Domínio diegogouveia.local.

Figura 15.22 – GPOs do Domínio diegogouveia.local. 

O segundo parâmetro é o -TargetName. Será por meio dele que será informado o nome de exibição da conta do usuário ou grupo no qual serão concedidas permissões no GPO. Esse nome de exibição do usuário ou do grupo de segurança é encontrado no atributo Nome, da janela de Propriedades da conta de um objeto ilustrada na figura 15.23.

Figura 15.23 – Atributo Nome. Janela Propriedades da conta do usuário diego e grupo de segurança TI. 

O terceiro parâmetro é o -TargetType, no qual irá definir o tipo de entidade de segurança que pertence a conta do objeto que terá as suas permissões concedidas no GPO. Neste caso específico ou a conta de usuário ou a conta do grupo de segurança. Essa informação pode ser encontrada no campo Tipo, da janela que é aberta quando se clica dentro da pasta Users, do console de Usuários e Computadores do Active Directory. A figura 15.24 ilustra esse campo.

Figura 15.24 – Console Usuários e Computadores do Active Directory. 

Bem, agora que você já sabe quais são os parâmetros que serão usados, volte ao PowerShell.

Digite: Set-GPPermisson -Name e informe a seguir o nome de exibição do GPO que será usado para conceder permissões a uma conta de um usuário ou grupo de segurança do Active Directory. Por exemplo:

Set-GPPermission -Name “Firewall”

Acrescente o parâmetro -TargetName e informe o nome da conta do usuário ou grupo de segurança que deseja conceder permissões no GPO informado. Por exemplo:

Conta de Usuário.

Set-GPPermission -Name “Firewall” -TargetName “diego”


Conta de Grupo de Segurança.

Set-GPPermission -Name “Firewall” -TargetName “TI”

Adicione o parâmetro -TargetType acompanhado do tipo de entidade de segurança do objeto que será concedido as permissões.

Caso seja uma conta de usuário, deve ser informado o tipo User.

Set-GPPermission -Name “Firewall” -TargetName “diego” -TargetType User

Caso seja uma conta de grupo, deve ser informado o tipo Group.

Set-GPPermission -Name “Firewall” -TargetName “TI” -TargetType Group

Vale lembrar que isso foi bem detalhado na parte que eu ensinei como obter as permissões de segurança em um GPO.

Por fim, adicione o parâmetro -Permission e informe a seguir o tipo de permissão que você irá conceder ao objeto no GPO especificado. Algumas dessas permissões são:

GpoRead Permissão de leitura no GPO.
GpoApply Permissão de aplicar a Política de Grupo.
GpoEdit Permissão de editar o GPO.
GpoCustom Permissões customizadas (personalizadas) no GPO.
GpoEditDeletModifySecurity Permissão de editar, deletar e modificar as permissões de segurança no GPO.

Dê um Enter no teclado. Será concedida a permissão informada ao objeto escolhido no GPO. A figura 15.25 ilustra um exemplo de disso, no qual concedo a permissão de editar, deletar e modificar as permissões de segurança no GPO Firewall para a conta de usuário diego.

 Figura 15.25 – Concedendo as permissões de: editar, deletar e modificar a conta do usuário diego no GPO Firewall.

 É possível confirmar as permissões concedidas ao objeto acessando o console de Gerenciamento de Política de Grupo guia Delegação, da janela de Propriedades de um GPO, conforme ilustra a figura 15.26.

Na guia Delegação do GPO Firewall, exibida na figura 15.25, são confirmadas as ações: de editar, deletar e modificar o GPO Firewall a conta do usuário Diego, definidos anteriormente na figura 15.25.


Figura 15.26 – Janela Configurações de Segurança do GPO Firewall. 

Diego Lima é autor do livro Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016 e Administrando o Active Directory com o PowerShell. Possui mais de 200 postagens técnicas publicadas em diferentes sites de TI: TechNet, ProfissionaisTI, PuraInfo, AndersonPatricio.org, TIEspecialistas, além deste. É MTAC, MCSA, e um dos principais colaboradores sobre assuntos técnicos de GPOs, aqui no Brasil.

Deixe uma resposta

Copy Protected by Chetan's WP-Copyprotect.
WhatsApp chat
%d blogueiros gostam disto: