Perfil para um prestador de serviço remoto que não tenha permissões de Admin

Question

Boa noite.

No servidor em que gerencio, temos mais uma empresa que acessa remotamente o servidor para fazer backup do banco de dados de seu software mensalmente.

Me lembro que quando fiz o usu&aacute;rio no AD, o mesmo ficou como membro de administradores e suas devidas permiss&otilde;es. N&atilde;o quero que tenham estas permiss&otilde;es mas quando retiro do grupo de administradores, fa&ccedil;o o teste de login remoto e n&atilde;o &eacute; poss&iacute;vel. D&aacute; a mensagem de que o usu&aacute;rio n&atilde;o tem direitos de logon remoto, mas eu j&aacute; inseri este usu&aacute;rio no grupo Remote Desktop Users..Mesmo assim n&atilde;o consegue acessar. Tamb&eacute;m j&aacute; inseri o usuario nas propriedades remotas..

Como devo proceder para que esse usu&aacute;rio N&Atilde;O tenha permiss&otilde;es de administrador, mas possa fazer logon no servidor remotamente?

Grato!

Answer

[QUOTE=rafique, post: 7138586, member: 394255]Que sistema operacional tem no servidor ?[/QUOTE]
Amigo,

&Eacute; Windows Server 2012 Foundation

Answer

[QUOTE=PipeRS, post: 7139990, member: 830518]Amigo,
&Eacute; Windows Server 2012 Foundation[/QUOTE]
Como ocorre este backup ?! Sen&atilde;o configura e compartilha apenas uma pasta para ele como usu&aacute;rio comum, sem necessidade de estar como adm mas tendo privil&eacute;gios de acesso, leitura e escrita :D

Answer

[QUOTE=TRONNER, post: 7141976, member: 825434]Como ocorre este backup ?! Sen&atilde;o configura e compartilha apenas uma pasta para ele como usu&aacute;rio comum, sem necessidade de estar como adm mas tendo privil&eacute;gios de acesso, leitura e escrita :D[/QUOTE]
Entendi. Na verdade, o sistema deles roda no servidor, ent&atilde;o n&atilde;o sei se isso n&atilde;o os atrapalhar&aacute;. &Eacute; um sistema erp.

Answer

Tira ele do grupo Administradores e coloca no grupo Usu&aacute;rios da Area de Trabalho Remota. Certifique que ele tenha permiss&atilde;o nas pastas onde ele tem que ter acesso.

Answer

Amigo,

Pior que j&aacute; fiz isso. No AD, ja tentei coloc&aacute;-lo como membro de remote desktops users, como backup operators.. Nada deu certo. Quando tento logar com a conta dele remotamente para testar, diz que &eacute; preciso ter permissoes de admin ou ser membro d e administrators para logar remotamente.

Answer

Al&eacute;m de incluir o usu&aacute;rio vc tem que liberar a diretiva, permitir logon local pelo servi&ccedil;o de &aacute;rea de trabalho remota.

A&iacute; voc&ecirc; inclui o grupo remoto, ou apenas o usu&aacute;rio. Pelo menos aqui no WS2008 &eacute; assim.

Answer

Entendo. Isso l&aacute; nas propriedades certo? J&aacute; fiz isso tamb&eacute;m.

Answer

Qual propriedade?

Isso &eacute; na diretiva de seguran&ccedil;a local do seu servidor. O erro seria este? https://www.hardware.com.br/static/c/m/59d5ac2afc3d0cc1fda4154ee3efb24b

Al&eacute;m de limitar o acesso, pode colocar algumas restri&ccedil;&otilde;es por GPO, como n&atilde;o desligar o servidor, impedir instalar programa entre outros. Tudo isso &eacute; por GPO.

Answer

Segue prints da configura&ccedil;&atilde;o

Answer

Segue print da tela ap&oacute;s eu retirar o usu&aacute;rio do grupo administrators. Ele ainda est&aacute; como membro de remote desktop users ainda! E memso assim n&atilde;o loga.

Answer

N&atilde;o tem m&aacute;gica, se o usu&aacute;rio est&aacute; no grupo Usu&aacute;rio da &Aacute;rea de Trabalho Remota e a diretiva de Permitir Login Pelos Servi&ccedil;os de Terminais est&aacute; setada isso deve bastar para funcionar.
De qualquer forma verifica mais uma vez como est&aacute; a configura&ccedil;&atilde;o da GPO > Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\ 
E n&atilde;o se esque&ccedil;a de reiniciar o servidor.

Abra&ccedil;os.

Answer

[USER=830518]@PipeRS[/USER]

Justamente o que estamos falando, n&atilde;o &eacute; apenas associar com Remote Desktop, voc&ecirc; precisa liberar o acesso local do servidor, coisa que ADM tem. Voc&ecirc; nunca configurou algo com GPO, para bloquear isso ou aquilo? Esse fica l&aacute;, se n&atilde;o conseguir acho que tem v&iacute;deos no YouTube comentando. Veja que o seu erro &eacute; igual o que postei, pois tirei o usu&aacute;rio de prop&oacute;sito.

E aqui eu n&atilde;o preciso reiniciar o servidor.

Answer

[QUOTE=knalm550, post: 7146570, member: 745758][USER=830518]@PipeRS[/USER]
E aqui eu n&atilde;o preciso reiniciar o servidor.[/QUOTE]

Para n&atilde;o precisar reiniciar o servidor, existe o comando gpupdate /force pedi para reiniciar o servidor porque tinha certeza que assim a GPO ia entrar em vigor.