Início > Uncategorized > Configurações do Active Directory para administrar melhor a rede – dúvidas – parte 1

Configurações do Active Directory para administrar melhor a rede – dúvidas – parte 1

Dúvidas recebidas por e-mail (mediugorie@hotmail.com)
 
1ª – Gostaria de bloquear a unidade C: para que o usuario não possa alterar nada e nem salvar nada na pasta. So quero que o usuario salve arquivos no meus documentos, e unidade que eu criei para ele.
Como eu faço isso ?
Eu achei uma opção na configuração da GPO. Mas ela faz com o usuario nem consiga abrir o C: consequentemente os meus documentos. Pode me ajudar ?
2ª – Eu também gostaria de bloquear as ferramentas administrativas do painel de controle ? Eu ja removi alguns itens do painel de controle como fontes e video, pelo GPO, mas ferramentas administrativas ainda nao consegui. Pode me ajudar ? Como eu faço ?
3ª – As configurações de conteudo que são feitas nos sites restritos das opções de internet. Vale apenas para o internet explorer, ou funciona no firefox tambem ? HE automativo para o firefox ?
4ª – Eu vi em um forum do orkut, uma mensagem falando que o tempo para o servidor via windows server atualizar os parametros de configuração alterados podem duras horas e ate dias ? Como isso funciona, pq todas as modificações que eu faço no meu servidor, automaticamente toda a minha rede ja recebe essa configuração. Como he isso ? Ate q ponto isso funciona ? Pode me expliacar ? Oq eu estou escrevendo ; he isso mesmo ? ou estou errado.
 
Explicações e soluções
 
1ª – A configuração na GPO bloqueia a unidade inteira mesmo. Este tipo de restrição inclui a pasta Meus Documentos, óbvio.
Para que o bloqueio seja somente na pasta raiz, devemos fazer manualmente, máquina por máquina, através das diretivas de segurança NTFS da unidade. Dá trabalho… Acessando a unidade C do computador com login administrativo, clique com o botão direito do mouse e escolha Propriedades/Segurança. A seguir, marque os itens Ler e Executar, e proiba os demais itens. E importante, desmarque o item Propagar as alterações para as pastas subordinadas (filhas).
Outra forma de ‘bloqueio’, forçando o usuário a utilizar sempre a pasta Meus Documentos é fazer ela acompanhar o usuário, ou seja, um perfil remoto móvel. Assim a pasta fica no servidor e não mais nas estações. Se você retirar o HD e habilitar o boot remoto, os micros poderão operar como terminais burros, diminuindo custos de aquisição de HDs e facilitando a manutenção e administração da rede, pois modelos, arquivos, pastas do usuário, tudo ficará centralizado no servidor. Para outras informações sobre perfil remoto, veja http://mediugorie.spaces.live.com/blog/cns!1E5807A6D5723B60!943.entry
 
2ª – As ferramentas administrativas na verdade não fazem parte diretamente do Painel de Controle. Apesar de ser referência a um arquivo CPL, o ADMINTOOLS.CPL, é um conjunto de links para outras funções. Podemos dizer que é um grupo (igual as linguagens de programação). Portanto, para impedir o acesso completo a elas, sugiro que adicione na lista de proibições de execução a linha ‘CONTROL ADMINTOOLS’ ou remova do menu Iniciar/Programas os links, e ainda bloqueie todo o painel de controle.
 
3ª – As configurações de conteúdo, sites restritos, e demais opções do Internet Explorer são exclusivas do IE mesmo. Se configuramos no servidor, bloqueia na estações normalmente. Mas o porém é o tal do FireFox. Ele não aceita as regras diretivas do IE. Logo, uma pessoa com um pen drive consegue executar o Firefox portável e entrar em sites restritos como o Orkut bloqueado. É uma falha do Windows? Talvez não. É um desleixo dos programadores de Firefox? Talvez sim. Se o programa não aceita trabalhar subordinado a regras do servidor, ele não serve para uma empresa, onde o bloqueio de sites não é apenas para garantir a produtividade, mas por questões de segurança mesmo. O bloqueio efetivo de conteúdo e sites para o Firefox só é conseguido através de um proxy, como o ISA Server ou montando um servidor Linux com IPTables e outras ferramentas de filtragem.
 
4ª – A configuração de REFRESH das políticas pode ser definido pelo administrador da rede. Se não é definido nada, elas entram assim que encontrar uma brecha na transmissão de dados entre o terminal e o servidor, e quando o tráfego é pequeno, praticamente de imediato. Mas se a rede possui muito tráfego, podemos definir horários específicos para que ocorra, como de madrugada, por exemplo. A definição formal do tempo do REFRESH garante a atualização igual e simultânea de toda a rede. Quando configurado com um valor baixo, ele causa tráfego desnecessário na rede, tornando-a lenta. Se estiver com um valor muito alto, as atualizações de segurança no servidor podem não ser distribuídas a tempo de evitar uma tragédia nos seus dados. O bom senso é que manda… A configuração de REFRESH está no Active Directory, última chave das políticas de usuário.
Categorias:Uncategorized
  1. Nenhum comentário ainda.
  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: