Nesse artigo vamos mostrar como bloquear o acesso ao Active Directory e outros Snap-ins via GPO. Essa tarefa é muito procurada por administradores de servidores, que necessitam efetuar o bloqueio em um determinado cenário. É sempre bom ressaltar que essa GPO deve ser tratada separadamente, para evitar problema de acesso negado aos Snap-ins do servidor, pois se trata de uma restrição muito forte. Sempre escolha o bloqueio via GPO, pois muitos administradores tentam o bloqueio via NTFS através do arquivo mmc.exe.
Primeiramente devemos abrir a console de gerenciamento “Group Policy Management”, criar uma GPO para sua unidade organizacional e clicar em “Edit.”. Confira na imagem abaixo:
Expanda a “User Configuration”, “Administrative Templates Policy”, “Windows Components”, “Microsoft Management Console”. Você vai encontrar as principais consoles de gerenciamento do Windows Server. Na imagem abaixo, optamos por bloquear o nosso “Active Directory”, mas você poderá optar por qual console deseja efetuar esse bloqueio. Confira na imagem abaixo o caminho:
Ao abrir a opção “Active Directory Users and Computers”, clique em “Disable” para impedir o acesso ao seu Active Directory:
Você pode utilizar essa GPO, em cenários com servidores de Remote Desktop, onde os usuários conectam diretamente no servidor. Poderá utilizar também para restringir grupos de treinamentos de TI, onde o trabalho é liberado por camadas e de acordo com projetos. Sempre aplicar essa GPO em uma política separada, para evitar qualquer bloqueio de gerenciamento em seu servidor. Lembre-se de deixar os usuários administrativos fora dessa política.
Esperamos que essa dica ajude a todos os administradores e iniciantes nos servidores Microsoft e no mundo de Group Policy.