Boa prática com admin local em domínios - Windows Server 2025

 

Como Configurar um Grupo de Administradores Locais Usando GPO no Active Directory

Objetivo

Este artigo descreve o passo a passo para configurar via Política de Grupo (GPO) quais usuários ou grupos terão permissões de administrador local em estações de trabalho ou servidores de um domínio, substituindo o controle manual máquina a máquina.

---

Benefícios

• Centraliza o controle de permissões administrativas locais.

• Aumenta a segurança ao padronizar quem tem acesso privilegiado.

• Elimina o uso de contas locais genéricas ou duplicadas.

• Permite delegar permissões específicas sem necessidade de domínio admin.

---

Pré-requisitos

• Um Controlador de Domínio com acesso ao Group Policy Management.

• Um grupo do AD (ex: GG-Admin-Local) criado previamente.

• As estações/servidores devem estar dentro da OU em que a GPO será aplicada.

---

Passo a Passo

Crie o Grupo no Active Directory

1. No Active Directory Users and Computers, crie um grupo de segurança.

2. Para meu exemplo, criaremos um grupo com o nome: GG-Admin-Local-estacoes. 




Obs.: É importante entender que podemos utilizar grupos para permissões específicas em estações de trabalho e servidores. A gestão de acessos é uma etapa extremamente importante que precisa ser estrategicamente elaborada.

3. Tipo: Security Group / Escopo: Global.

4. Adicione os usuários ou grupos que você deseja conceder acesso administrativo local. Em meu exemplo pretendo adicionar o grupo N1 (time de atendimento N1) ao grupo que possui permissão de administrador local em algumas estações de trabalho.

5. Se observarmos com atenção, em propriedades do grupo N1, é possível identificar que agora esta contido em GG-Admin-Local-Estacoes e possui um analista chamado Joanésio. Isso significa que Joanésio terá permissão de admin local nas estações de trabalho (depois que configurarmos a GPO).

---

Crie uma Nova GPO

1. Antes de criar a GPO, é essencial revisar a estrutura das Unidades Organizacionais (OUs) no Active Directory. Uma hierarquia bem planejada garante que as permissões administrativas sejam aplicadas somente aos dispositivos corretos.

Na imagem abaixo, observe que existe uma OU chamada Estações de Trabalho, além de uma sub-OU chamada Servidores, localizada dentro da OU TI. Nesse cenário, se a GPO for vinculada diretamente à OU TI, a permissão de administrador local será aplicada tanto aos computadores dos departamentos quanto aos servidores — o que pode representar um risco de segurança.

Para evitar esse tipo de aplicação indevida, é possível utilizar filtros WMI (Windows Management Instrumentation). Esses filtros permitem aplicar a GPO apenas a dispositivos que atendam critérios específicos, como tipo de sistema operacional, nome da máquina ou localização, garantindo maior controle e precisão no escopo da política.

1.1. Vamos criar o filtro WMI para evitar que a GPO seja aplicada sem sistemas operacionais de servidores (Windows Server).

1.1.1. No Group Policy Management Console, clique com o botão direito em WMI Filters e selecione New.

1.1.2. Dê um nome ao filtro, como: Somente Windows 10 e 11.

1.1.3. Clique em Add para criar uma nova consulta WMI.

1.1.4. Use a seguinte query:

SELECT * FROM Win32_OperatingSystem WHERE (Version LIKE "10.%" AND ProductType = "1")

1.1.5. Salve o filtro WMI

2. Abra o Group Policy Management Console (gpmc.msc).

3. Clique com o botão direito na OU de destino e selecione "Create a GPO in this domain, and Link it here…".

4. Nome sugerido: GPO - Admin Local Estacoes




4.1. Depois de clicar em OK, clique na GPO e selecione o Filtro WMI que criamos.




5. Clique com o botão direito na GPO criada e selecione Edit.

---

Configure a GPO para Definir os Administradores Locais

Caminho:

Computer Configuration > Preferences > Control Panel Settings > Local Users and Groups

1. Clique com o botão direito em Local Users and Groups, selecione New > Local Group.

2. Em Group name, selecione: Administrators (built-in) (ou Administradores se o sistema for em PT-BR).

3. Em Action, escolha: Replace.

4. Marque a opção "Add..." na seção Members.

5. Clique em "Browse...", localize e selecione o grupo GG-Admin-Local criado no AD.
Clique em OK para confirmar.

⚠️ Importante: Usar a opção Replace (atualizar) garante que apenas os membros definidos na GPO serão mantidos como administradores locais — isso sobrescreve outros usuários existentes. Você pode também excluir (limpar, sanitizar) os usuários que foram adicionados ao grupo local das estações.

Clicando no OK, ficará da seguinte forma.

Se quiser adicionar sem remover os existentes, escolha a opção Update.

Note que a OU Estacoes-de-trabalho contem duas estações em meu laboratório somente estas duas máquinas receberão a configuração de restrição. 

---

Teste e Valide a Aplicação

1. No prompt do CMD (terminal), da estação de trabalho use:

gpupdate /force

2. Em uma máquina de destino, verifique se os membros do grupo GG-Admin-Local-estacoes agora aparecem como administradores locais:

net localgroup administrators


Use o comando gpresult /r para identificar se a política foi aplicada.


Através do gerenciador do computador do Windows, é possível navegar até Ferramentas do 
sistema, depois Usuários e grupos locais, Usuários e buscar as propriedades do Grupo 
Administradores. 

Lá você encontrará o grupo GG-Admin-Local-estacoes.

---

Solução de Problemas

• Verifique se a máquina está na OU correta onde a GPO está aplicada.

• Verifique se há outras GPOs conflitantes aplicando membros diferentes ao grupo de administradores.

• Aplique o comando:

gpresult /h resultado.html

para gerar um relatório detalhado da GPO aplicada.

---

Considerações Finais

• Essa prática melhora significativamente a governança de acesso local em ambientes Windows.

• Para ambientes mais sensíveis, pode-se aplicar GPOs diferentes por departamento ou tipo de dispositivo.

• Combine com Auditoria de Eventos e LAPS para máxima segurança.

• Se possível, também desative, por GPO a conta de administrador local, concentrando no AD a autenticação.