PH
Cyber Highlander
Registrado
61K Mensagens
10.6K Curtidas
Boa noite!
Seja bem-vindo ao fórum!
Tudo bem com você? Espero que sim!
Deixar senha de adminsitrado automática em máquinas na rede com controlador de domínio é perigoso e reduz a segurança.
No Youtube tem alguns vídeos que mostram como instalar o programa sem precisar das permissões de administrador, mas não vou postar aqui devio ao conteúdo que pode ser usado de maneira errada nas empresas, então fica por conta e risco.
A outra saída que vejo, é criar um script que iniciar o computador com admisnitrador local para poder instalar, depois reinicia.
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.
Mateus 10:33
TIConsil
Novo Membro
Registrado
15 Mensagens
2 Curtidas
Não seria deixar automática e sim nós (administradores) conseguirmos digitar a senha automaticamente por meio de uma ação ou dar permissão administrador para aquela ação naquele computador naquele momento.
A nossa dor no momento são que temos muitos computadores na empresa e como disse, o programa atualiza algumas vezes na semana, então temos que ir de computador em computador digitar a senha e isso é desgastante.
Não entendi a outra saída que você disse, atualmente permitimos o administrador local aos usuários como medida provisória, mas não é isso que queremos.
PH
Cyber Highlander
Registrado
61K Mensagens
10.6K Curtidas
TIConsil
Novo Membro
Registrado
15 Mensagens
2 Curtidas
Infelizmente não podemos atualizar sempre no final do expediente, se fosse assim, facilitaria muito.
O problema é que as vezes pessoas ficam depois do expediente, também tem o fato de versões antigas causarem erros na utilização do mesmo, ainda que seja uma versão de 1 minuto atrás, eles fazem isso pois quando você encerra o contrato com eles, você ainda tem acesso ao programa para consultas mas não para utilização. Nós costumamos atualizar o programa junto com o banco de dados no almoço, e quando os usuários voltam para seu expediente normal vão atualizando aos poucos (já que se atualizar todo mundo causa uma lentidão no servidor que fica praticamente inutilizável).
Essa idéia de abrir para atualizar é boa mas além dessas complicações, temos mais algumas que é:
1- Ele abrirá como administrador sem pedir a senha? Se sim, teríamos que ir de computador em computador clicando no sim já que ficaria parado naquela telinha do sim ou não. Se não, ele não atualizaria.
2- Teríamos que estar sempre alterando o nome do arquivo já que cada atualização muda, exemplo: C104A0205, C104A0206, C104A0207, etc...
3- E se eu não estiver por aqui? Teríamos que atualizar manualmente, e mesmo que estivesse, esse trabalho gastaria um tempinho do meu dia, diferente se eu fosse em cada computador e colocasse um pendrive ou mesmo permitisse por meio de uma notificação ou sistema no nosso servidor.
4- Nossos computadores estão programados para desligar automaticamente 10 minutos após o encerramento do expediente, e mesmo que liguemos eles no meio da noite, ainda teríamos que logar com a senha do usuário para entrar nele.
Então dito isto, eu ainda gostaria de ficar na idéia da fácil liberação em vez de ter que me preocupar com alterações de nomes de arquivos do servidor. E sobre a parte do runas, vi que é possível deixar a senha em um arquivo txt, ainda não testei essa possibilidade, mas se ocultarmos o arquivo em uma pasta do servidor, teria como o usuário ver a senha?
Alteramos ela mensalmente, então penso que funcione assim: ele verifica se há o arquivo, se não, ele pega a última senha salva para abrir. Se ele funcionar somente puxando sem salvar nada, seria algo muito complicado e precisaríamos de outra solução...
A6_INFO
Cyber Highlander
Administrador
56K Mensagens
4K Curtidas
Movido de Windows para Redes e Servidores Windows.
Você disse que há uma programação para os computadores desligarem 10 minutos após o expediente, mas que alguns ficam depois dele. Como funciona então essa questão do desligamento automático?
Se você prorrogar esse horário, não ficaria viável fazer a atualização até mesmo para os que ficam após o expediente?
Progressista gourmet, esquerda caviar, querem o controle e atacar as liberdades, ignoram opinião alheia e se fazem de vítimas quando confrontados. ©®²³
Com uma besta quadrada comunista (Paulo Freire), patrono da educação, criamos apenas militantes socialistas, bestas quadradas e analfabetos funcionais.
Quem votou no Ladrão, candidato da criminalidade e do establishment (que vibraram com sua vitória), é ladrão, cúmplice ou apenas um imbecil.
PH
Cyber Highlander
Registrado
61K Mensagens
10.6K Curtidas
Infelizmente não podemos atualizar sempre no final do expediente, se fosse assim, facilitaria muito.
O problema é que as vezes pessoas ficam depois do expediente, também tem o fato de versões antigas causarem erros na utilização do mesmo, ainda que seja uma versão de 1 minuto atrás, eles fazem isso pois quando você encerra o contrato com eles, você ainda tem acesso ao programa para consultas mas não para utilização. Nós costumamos atualizar o programa junto com o banco de dados no almoço, e quando os usuários voltam para seu expediente normal vão atualizando aos poucos (já que se atualizar todo mundo causa uma lentidão no servidor que fica praticamente inutilizável).
Bom dia!
Vamos por parte.
(já que se atualizar todo mundo causa uma lentidão no servidor que fica praticamente inutilizável).
Existe um ponto causador de problemas, pois não pode atualizar todo mundo, então não da para lançar diretametne uma GPO, isso poderia ser contornado com um servidor dedicado para o sistema. Dou suporte a um sistema de loja que quando há atuaização, a mesma vai para o servidor e o aplicativo cliente ao ser iniciado verifica se tem atualização e faza naquele momento que inicia. Também poderia ter uma GPO para reiniciar os comptuadores na hora do almoço e subir com a conta administrativa local para poder atualizar, depois reiniciava de novo ou mesmo ficava com a tela bloqueada para que o colaborador pudesse logar.
1- Ele abrirá como administrador sem pedir a senha? Se sim, teríamos que ir de computador em computador clicando no sim já que ficaria parado naquela telinha do sim ou não. Se não, ele não atualizaria.
Não, seria automático, na GPO teria que ter a opção para ativar o administrador local, pois esse seria usado para atualizar.
2- Teríamos que estar sempre alterando o nome do arquivo já que cada atualização muda, exemplo: C104A0205, C104A0206, C104A0207, etc...
Colocaria para copiar por extensão e não por nome.
3- E se eu não estiver por aqui? Teríamos que atualizar manualmente, e mesmo que estivesse, esse trabalho gastaria um tempinho do meu dia, diferente se eu fosse em cada computador e colocasse um pendrive ou mesmo permitisse por meio de uma notificação ou sistema no nosso servidor.
O modo que está fazendo não condiz com a estutura de rede, no passado quando não havia rede era desse jeito, levando disquete para atualizar cada computador, mas a rede veio para facilitar isso. Existem centenas de scprits para GPO que podem mudar tudo isso.
4- Nossos computadores estão programados para desligar automaticamente 10 minutos após o encerramento do expediente, e mesmo que liguemos eles no meio da noite, ainda teríamos que logar com a senha do usuário para entrar nele.
E como fica os colaboradores que ficam após o expediente.
Já não mexo diretamente com Servidores desde 2015, então estou meio enferrujado, mas vou tentar criar um cenário aqui em VM e testar algumas GPOs.
Uma ideia seria criar um ponto de distibuição no servidor e em cada computador deixava um script pronto para buscar a atualização e atualizar já com permissões de administrador, assim o proprio usuário só precisaria clicar no scprit ao iniciar o computador.
Ai vocês usam o WSUS para atualizar as estações?
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.
Mateus 10:33
TIConsil
Novo Membro
Registrado
15 Mensagens
2 Curtidas
Movido de Windows para Redes e Servidores Windows.
Você disse que há uma programação para os computadores desligarem 10 minutos após o expediente, mas que alguns ficam depois dele. Como funciona então essa questão do desligamento automático?
Se você prorrogar esse horário, não ficaria viável fazer a atualização até mesmo para os que ficam após o expediente?
Para desligar fazemos com que no horário x, o servidor abra um bat com um desligamento de 10 minutos para os usuários.
E para impedir esse desligamento, criamos um .bat para eles em cada computador com o comando shutdown -a.
marcelobrrj
Cyber Highlander
Registrado
9.1K Mensagens
1.8K Curtidas
1 eu acho que a única solução seria as maquinas do sistema domínio contábil ficarem fora do domínio da rede
2 ou o administrador acessar a maquina que precisa de atualização para entrar com a senha
TIConsil
Novo Membro
Registrado
15 Mensagens
2 Curtidas
Bom dia!
Eu não sei citar igual você fez, então vou tentar separar de outra forma.
- Existe um ponto causador de problemas, pois não pode atualizar todo mundo, então não da para lançar diretametne uma GPO, isso poderia ser contornado com um servidor dedicado para o sistema. Dou suporte a um sistema de loja que quando há atuaização, a mesma vai para o servidor e o aplicativo cliente ao ser iniciado verifica se tem atualização e faza naquele momento que inicia.
Sim, até podemos atualizar se ninguém for utilizar o mesmo, mas o ideal seria depois de meia noite pois temos um backup antes. Então caso tenha o arquivo X na pasta Y ligariamos os computadores, tentariamos ver sobre o login, dariamos permissão administrador local, abririamos a atualização (meio complicado mas da pra fzr). Porém a atualização sempre vem em horarios diferentes, tipo 7h, 16h, 1h, 12h. Então acaba que também teríamos que atualizar no almoço, mas não daria pra ser tudo junto.
Alguns pontos que complica isso são:
- Temos que atualizar primeiro no servidor e depois nos outros computadores
- Atualizamos 12:50 +- e voltamos do expediente as 13:00
- Logar localmente
- Clicar no "sim", pois mesmo com permissão administrador, ele pede confirmação
- Seguir com os passos da atualização
- Também poderia ter uma GPO para reiniciar os comptuadores na hora do almoço e subir com a conta administrativa local para poder atualizar, depois reiniciava de novo ou mesmo ficava com a tela bloqueada para que o colaborador pudesse logar.
Reiniciar não daria, algumas pessoas mantém o computador ligada pq ou precisam ficar um tempo a mais, ou estão fazendo alguma importação ou algo onde não pode desligar o computador.
- Colocaria para copiar por extensão e não por nome.
Em vez disso, poderíamos só colocar o arquivo em uma pasta, caso tenha algum arquivo lá ele atualiza, caso não, ele não vai atualizar.
- O modo que está fazendo não condiz com a estutura de rede, no passado quando não havia rede era desse jeito, levando disquete para atualizar cada computador, mas a rede veio para facilitar isso. Existem centenas de scprits para GPO que podem mudar tudo isso.
Entendi, desconhecia scripts para GPO, vou dar uma estudada sobre.
- Uma ideia seria criar um ponto de distibuição no servidor e em cada computador deixava um script pronto para buscar a atualização e atualizar já com permissões de administrador, assim o proprio usuário só precisaria clicar no scprit ao iniciar o computador.
hmm, não tinha pensado nisso, seria interessante, mas a pessoa não poderia ver a senha administrador e alteramos ela mensalmente, teria que buscar de alguma pasta do servidor.
- Ai vocês usam o WSUS para atualizar as estações?
Atualizar o windows? cada um atualiza o seu manualmente, nem sabia desse programa
Atualização: 18/03/2024 10:17
1 eu acho que a única solução seria as maquinas do sistema domínio contábil ficarem fora do domínio da rede
2 ou o administrador acessar a maquina que precisa de atualização para entrar com a senha
1- 99% da empresa utiliza esse sistema e ele fica no nosso servidor, então fora do domínio, a pessoa não consegue utilizar.
2- é o que fazemos em algumas, em outras já utilizamos de acesso local, mas tentarei usar o runas, o problema é: alteramos a senha administrador mensalmente, teria como linkar o runas no servidor ou algo do tipo para buscar a senha? eu lembro de ter visto algo sobre, mas se der, como conseguiriamos manter a segurança disso? é possível o script acessar na rede sem que a pessoa tenha acesso?
marcelobrrj
Cyber Highlander
Registrado
9.1K Mensagens
1.8K Curtidas
Atualização: 19/03/2024 15:00
o ideal seria ver com a domínio se e possível definir um horário fixo para verificar atualização do sistema
que pelo que vejo seria o horário do almoço
e outra opção seria dar permissão de acesso a pasta do programa para o usuário que trabalha no sistema ai não precisaria de logar com o administrador para instalação local somente no servidor
PH
Cyber Highlander
Registrado
61K Mensagens
10.6K Curtidas
Bom dia!
Eu não sei citar igual você fez, então vou tentar separar de outra forma.
Existe um ponto causador de problemas, pois não pode atualizar todo mundo, então não da para lançar diretametne uma GPO, isso poderia ser contornado com um servidor dedicado para o sistema. Dou suporte a um sistema de loja que quando há atuaização, a mesma vai para o servidor e o aplicativo cliente ao ser iniciado verifica se tem atualização e faza naquele momento que inicia.
Sim, até podemos atualizar se ninguém for utilizar o mesmo, mas o ideal seria depois de meia noite pois temos um backup antes. Então caso tenha o arquivo X na pasta Y ligariamos os computadores, tentariamos ver sobre o login, dariamos permissão administrador local, abririamos a atualização (meio complicado mas da pra fzr). Porém a atualização sempre vem em horarios diferentes, tipo 7h, 16h, 1h, 12h. Então acaba que também teríamos que atualizar no almoço, mas não daria pra ser tudo junto.
Alguns pontos que complica isso são:
Temos que atualizar primeiro no servidor e depois nos outros computadores
Atualizamos 12:50 +- e voltamos do expediente as 13:00
Logar localmente
Clicar no "sim", pois mesmo com permissão administrador, ele pede confirmação
Seguir com os passos da atualização
Boa tarde!
Já pensaram em ver como o pessoa do sistema uma maneira de fazer uma atualização automática ou mesmo o próprio software deles buscar essa atualização no servidor?
Também poderia ter uma GPO para reiniciar os comptuadores na hora do almoço e subir com a conta administrativa local para poder atualizar, depois reiniciava de novo ou mesmo ficava com a tela bloqueada para que o colaborador pudesse logar.
Reiniciar não daria, algumas pessoas mantém o computador ligada pq ou precisam ficar um tempo a mais, ou estão fazendo alguma importação ou algo onde não pode desligar o computador.
O mais víável seria antes do expediente começar.
Em vez disso, poderíamos só colocar o arquivo em uma pasta, caso tenha algum arquivo lá ele atualiza, caso não, ele não vai atualizar.
Também.
Entendi, desconhecia scripts para GPO, vou dar uma estudada sobre.
Esse é o ponto mais importante, estuda sobre GPO que vai ver o produtividade aumentar e muito nessa adminsitração da rede.
hmm, não tinha pensado nisso, seria interessante, mas a pessoa não poderia ver a senha administrador e alteramos ela mensalmente, teria que buscar de alguma pasta do servidor.
Atualizar o windows? cada um atualiza o seu manualmente, nem sabia desse programa
Para te ajudar: Introdução ao WSUS (Windows Server Update Services) | Microsoft Learn
Mas aquele que me negar diante dos homens, eu também o negarei diante do meu Pai que está nos céus.
Mateus 10:33
TIConsil
Novo Membro
Registrado
15 Mensagens
2 Curtidas
Atualização: 19/03/2024 15:00
o ideal seria ver com a domínio se e possível definir um horário fixo para verificar atualização do sistema
que pelo que vejo seria o horário do almoço
e outra opção seria dar permissão de acesso a pasta do programa para o usuário que trabalha no sistema ai não precisaria de logar com o administrador para instalação local somente no servidor
Não é possível definir horário fixo, elas são lançadas aleatoriamente, somos notificados por e-mail sempre que chega uma atualização.
Sobre a questão da atualização, os usuarios tem acesso para abrir, modificar, etc.. essa pasta onde está os arquivos, tentei falar com eles sobre ver as pastar e para permitirmos a edição dos usuários nela mas responderam o seguinte:
Boa tarde,
Conforme avaliando internamente, as principais pastas que o sistema realiza alteração é:
C:\Contabil
C:\Program Files\Domínio Sistemas
C:\Program Files\SQL Anywhere 16
C:\Program Files\SQL Anywhere 17
C:\Windows\System32
Caso apresentar erro na atualização, será necessário a liberação do Disco C total.
É recomendável dar a permissão aos usuários de executar os aplicativos de Instalação e Atualização, visto que mesmo dando a permissão nas pastas irá apresentar para informar as credenciais no momento em que executar o aplicativo.
Não achamos interessante permitir instalação pois assim poderiam ter o computador livre praticamente e aqui na empresa temos um controle de dados um pouco restrito
marcelobrrj
Cyber Highlander
Registrado
9.1K Mensagens
1.8K Curtidas
sobre as pastas
C:\Windows\System32 = com certeza só e mexida na instalação inicial
C:\Contabil = poderia alterar para que ela fique em C:\Program Files\Domínio Sistemas que deveria ser o correto ou a pasta Domínio Sistemas ficar em c:\ como a nasajon faz atualmente
para comparação
https://atendimento.nasajon.com.br/nasajon/artigos/a94f54f0-e335-4c36-be69-af453a68b1c5
TIConsil
Novo Membro
Registrado
15 Mensagens
2 Curtidas
sobre as pastas
C:\Windows\System32 = com certeza só e mexida na instalação inicial
C:\Contabil = poderia alterar para que ela fique em C:\Program Files\Domínio Sistemas que deveria ser o correto ou a pasta Domínio Sistemas ficar em c:\ como a nasajon faz atualmente
para comparação
https://atendimento.nasajon.com.br/nasajon/artigos/a94f54f0-e335-4c36-be69-af453a68b1c5
Então, a atualização a gente instala por cima do programa, já sobre as pastas, o correto é usar o C:\Contabil mesmo. Pelo menos é assim que configuraram e mexem aqui