Práticas recomendadas para configurar permissões de conta com credenciais alternativas no LanGuard : Suporte da FCBrasil

Visão Geral

LanGuard requer privilégios administrativos para a maioria de suas atividades, incluindo instalação de agente, digitalização, trabalhos de correção, aplicação de patches, implantação de software personalizado e coleta de informações via SMB, RPC ou WMI. Para evitar 'Acesso negado' ou 'Detecção de rede; A lista de servidores neste grupo de trabalho está atualmente indisponível' erros e falhas de login em servidores monitorados as contas usadas para vários serviços precisam de privilégios administrativos nos computadores remotos em um único domínio, vários domínios, grupo de trabalho ou ambientes mistos.

Diagnóstico

O requisito geral para a maioria dos cenários é que o processo LanGuard do lado do servidor exija privilégios administrativos no computador remoto. Isso significa que a conta usada para a conexão deve ser um administrador local no computador remoto.

Para conseguir isso, o GFI LanGuard pode ser configurado para usar um nome de usuário e senha alternativos. Para que funcione como pretendido, é necessário entender o ambiente corretamente e configurar tudo de acordo. Uma configuração incorreta pode resultar em erros como 'Acesso negado' ou 'Detecção de rede; A lista de servidores neste grupo de trabalho está indisponível no momento, embora uma conta com permissões suficientes tenha sido especificada. Também é necessário poder determinar qual serviço/processo é usado ao fazer a conexão.

Quando um processo do lado do servidor acessa um computador remoto, a autenticação do Microsoft Windows é usada. O Windows faz a primeira tentativa de conexão através da conta do próprio processo. Se essa tentativa de conexão falhar, o Windows fará uma segunda tentativa de conexão usando as credenciais alternativas.

Nota: No entanto, tudo falha se a primeira tentativa de conexão para acessar a máquina remota for bem-sucedida, mas a conta não tiver permissões administrativas suficientes. Além disso, o Windows retorna uma mensagem de 'Acesso negado' ao aplicativo e não tenta usar credenciais alternativas.

O processo do lado do servidor pode ser um serviço ou a interface do usuário. Dependendo de qual ação está sendo executada, a tentativa de conexão inicial é feita por um dos seguintes:

A conta sob a qual o serviço é executado
O usuário que efetuou login no Windows e iniciou a IU

Abaixo estão as soluções para os cenários de domínio único e multidomínio/misto.

Solução

Cenário de domínio único

Em um ambiente de domínio único, a configuração recomendada é usar uma conta de serviço com permissões administrativas em todos os computadores remotos e NÃO usar credenciais alternativas. Nesta configuração, os serviços LanGuard estão sendo executados em uma conta de domínio que possui permissões administrativas locais no servidor, bem como em todos os computadores remotos.

Normalmente, um membro do grupo Active Directory de administradores de domínio tem essas permissões. Como alternativa, uma conta específica pode se tornar membro do grupo de administradores locais de todos os computadores por meio da Diretiva de Grupo.

Outra alternativa é iniciar o executável do console do aplicativo usando a opção Executar como um usuário diferente.

Observação: siga as diretrizes acima e evite especificar qualquer credencial alternativa.

Cenário de múltiplos domínios

Em um ambiente multidomínio, grupo de trabalho ou misto, a configuração recomendada é usar uma conta de administrador local e credenciais alternativas.

Ao usar credenciais alternativas, certifique-se de que a conta do serviço ou o usuário conectado não consiga autenticar na primeira tentativa de conexão. Nesse caso, o processo de autenticação poderá usar credenciais alternativas para acessar o computador remoto.

A melhor maneira de fazer isso é criar uma nova conta de serviço no servidor GFI LanGuard e adicioná-la ao grupo de administradores locais. Certifique-se de fornecer ao usuário um nome exclusivo que não exista em nenhum outro computador, como 'GFIServiceAccount123'.

Use esta conta para executar os serviços LanGuard e especificar credenciais alternativas para todas as operações de verificação e correção.

Observação: O recurso Controle de conta de usuário (UAC) do Microsoft Windows pode interferir ao usar credenciais alternativas e precisa ser desativado.

Testando

Execute uma verificação manual com ou sem credenciais alternativas (dependendo do cenário acima) e verifique se ela foi concluída com êxito.

Práticas recomendadas para configurar permissões de conta com credenciais alternativas no LanGuard Imprimir

Artigos relacionados