A03ContasdeUsuario

Prévia do material em texto

UNATEC Sistema Operacional Proprietário 
Prof. Thiérs Hofman A03 - Contas de Usuário 
Sistema Operacional Proprietário 
Introdução ao Gerenciamento de Contas de Usuários 
 
 
Contas 
 
Uma conta de usuário contém informações e credenciais únicas a cada usuário e 
permite um determinado acesso aos recursos da rede ou de um computador. 
 
Tipos de Conta 
 
Contas de Usuários Locais: 
 Permite ao usuário o acesso a um específico computador e seus recursos 
 Armazena informações no banco de dados SAM (Security Account 
Manager) 
Contas de Usuários de Domínio: 
 Permite ao usuário o acesso aos recursos da rede a partir de qualquer 
computador ligado a mesma. 
 Armazena informações no AD (Active Directory) 
Contas de Usuários Padrão (Built-in): 
 Contas automaticamente criadas para executar tarefas administrativas ou 
para acessos temporários aos recursos da rede. 
 Armazena informações no banco de dados SAM ou AD 
 
 
Gerenciamento de Contas de Usuário 
 
Objetivo: Limitar a capacidade dos usuários e grupos de executarem determinadas 
ações no computador ou nos recursos da rede. 
 
Permissão: é uma regra associada a um objeto (ex. Arquivo, pasta impressora) que 
regula quais usuários ou grupos podem ter acesso ao objeto e de que maneira. 
 
 
Menu Iniciar  Programas  Ferramentas Administrativas 
 
Ferramentas Administrativas: Gerenciamento do Computador 
UNATEC Sistema Operacional Proprietário 
Prof. Thiérs Hofman A03 - Contas de Usuário 
 
Contas de Usuários Padrão (Buit-in) Local 
 
Essas contas são criadas automaticamente quando você instala um servidor autônomo 
ou um servidor membro que executa o Windows Server. 
 
Conta Administrador A conta Administrador tem controle total do servidor e pode 
atribuir direitos do usuário e permissões de controle de acesso 
a usuários conforme necessário. Essa conta nunca pode ser 
excluída ou removida do grupo Administradores, mas ela pode 
ser renomeada ou desativada. 
Conta Convidado A conta Convidado é usada por pessoas que não têm uma conta 
real no computador. Não é necessário ter senha para essa 
conta. Ela está desativada por padrão. 
Conta HelpAssistant 
(instalada com uma 
sessão da 
Assistência remota) 
A conta primária usada para estabelecer uma sessão da 
Assistência remota. Esta conta é criada automaticamente 
quando você solicita uma sessão da assistência remota e tem 
acesso limitado ao computador. Será excluída automaticamente 
se nenhuma solicitação da assistência remota estiver pendente. 
 
Gerenciamento do Computador 
 
O Gerenciamento do computador é uma coleção de ferramentas administrativas que 
você pode usar para gerenciar um único computador local ou remoto. O 
Gerenciamento do Computador utiliza uma exibição de dois painéis semelhante à do 
Windows Explorer. A árvore de console está no painel esquerdo e o painel de 
detalhes, no painel direito. 
 
Funções do Gerenciamento do computador: 
 Monitorar eventos do sistema (ex. número de log efetuados por dia). 
 Criar e gerenciar recursos compartilhados. 
 Exibir uma lista de usuários conectados a um computador local ou remoto. 
 Iniciar e interromper serviços do sistema (ex. agendador de tarefas). 
 Definir propriedades para dispositivos de armazenamento. 
 Exibir configurações de dispositivo e adicionar novos drivers de dispositivo. 
 Gerenciar aplicativos e serviços. 
 
O gerenciador se subdivide em três itens: 
 Ferramentas do sistema: para gerenciar os eventos e o desempenho do sistema 
no computador especificado (Visualizar Eventos, Pastas Compartilhadas, 
Usuários e Grupos Locais, Logs e Alertas de Desempenho e Gerenciador de 
Dispositivos). 
 Armazenamento: para gerenciar as propriedades dos dispositivos de 
armazenamento (Armazenamento Removível, Desfragmentador de Disco e 
Gerenciamento de Disco). 
 Serviços e aplicativos: para ajudar a gerenciar serviços e aplicativos no 
computador especificado (Serviços, Controle WMI, Telefonia e Serviços de 
Indexação). 
 
UNATEC Sistema Operacional Proprietário 
Prof. Thiérs Hofman A03 - Contas de Usuário 
Guia para Novas Contas de Usuários 
 
 Nomeclatura e Convenção de Nomes: 
o Nome deve ser único 
o Máximo de 20 caracteres, includindo combinação alfanumérica 
o Conveção de nomes para evitar redundância e melhorar gerenciamento 
o Caracteres não validos: “ ? / \ [ ] | = , + * < > 
 
 Regras de Senha: 
o Determine uma senha complexa para a conta Administrador 
o Determine quem tem o controle sobre as senhas 
o Eduque os usuários de como usar senhas: 
 Evitar senhas óbivias 
 Use senhas longas 
 Combine de maiúsculas e minúsculas para senhas 
 
 Opções de Conta: 
o Determine horários de acesso de acordo com o horário de trabalho 
o Especifique os computadores dos quais o usuário pode acessar 
o Determine quando a conta do usuário expira 
 
Criando Contas de Usuários Locais 
 
Contas locais são usadas somente em uma ambiente de rede pequeno ou para 
computadores isolados. Estas contas não fazem parte de um domínio, e usuários locais 
terão somente acesso ao coputador e seus recursos. Estas contas têm poucas opções de 
propriedades. 
 
Para criar uma conta de usuário local: 
 
1. Abra o Gerenciamento do Computador. 
 Menu Iniciar/Programas/Ferramentas Administrativas/Gerenciamento do 
Computador 
 
2. Na árvore de console, clique em Usuários. 
 Gerenciamento do Computador/Ferramentas do Sistema/Usuários e 
Grupos Locais/Usuários 
 
3. No menu Ação, clique em Novo Usuário. 
 
4. Digite as informações apropriadas na caixa de diálogo. 
 
5. Marque ou desmarque as caixas de seleção para: 
 O usuário deve alterar a senha no próximo logon 
 O usuário não pode alterar a senha 
 A senha nunca expira 
 Conta desativada 
 
6. Clique em Criar e, em seguida, clique em Fechar. 
 
 
UNATEC Sistema Operacional Proprietário 
Prof. Thiérs Hofman A03 - Contas de Usuário 
Alterando propriedades das Contas de Usuários Locais 
 
Para redefinir a senha de uma conta de usuário local: 
1. Abra o Gerenciamento do Computador. 
2. Na árvore de console, clique em Usuários. 
3. Clique com o botão direito do mouse na conta de usuário cuja senha deseja 
redefinir e, em seguida, clique em Definir senha. 
4. Leia a mensagem de aviso e, se desejar continuar, clique em Continuar. 
5. Em Nova senha e em Confirmar nova senha, digite a senha e clique em OK 
 
Para desativar ou ativar uma conta de usuário local: 
1. Abra o Gerenciamento do Computador. 
2. Na árvore de console, clique em Usuários. 
3. Clique com o botão direito do mouse na conta de usuário que deseja alterar e, 
em seguida, clique em Propriedades. 
4. Siga um destes procedimentos: 
 Para desabilitar a conta de usuário selecionada, marque a caixa de 
seleção Conta desativada. 
 Para habilitar a conta de usuário selecionada, desmarque a caixa de 
seleção Conta desativada. 
 
Para renomear uma conta de usuário local: 
1. Abra o Gerenciamento do Computador. 
2. Na árvore de console, clique em Usuários. 
3. Clique com o botão direito do mouse na conta de usuário que você deseja 
renomear e clique em Renomear. 
4. Digite um novo nome de usuário e pressione ENTER. 
 
Para atribuir um script de logon a uma conta de usuário local: 
1. Abra o Gerenciamento do Computador. 
2. Na árvore de console, clique em Usuários. 
3. Clique com o botão direito do mouse na conta de usuário desejada e, em 
seguida, clique em Propriedades. 
4. Clique na guia Perfil e, em Script de logon, digite o nome e o caminho relativo 
do script. 
 
Para atribuir uma pasta base a uma conta de usuário local: 
1. Abra o Gerenciamento do Computador. 
2. Na árvore de console, clique em Usuários. 
3. Clique com o botão direito do mouse na conta de usuário para a qual deseja 
especificar uma pasta base e, em seguida, clique em Propriedades. 
4. Na guia Perfil, siga um destes procedimentos: 
 Para especificar uma pasta base local, clique em Caminho local e digite 
o caminho. Por exemplo, c:\usuários\jose. 
 Para especificar uma pasta baseem um recurso compartilhado, clique 
em Conectar, clique na letra de unidade apropriada e digite o caminho 
da rede. Por exemplo, \\una\usuários\jose 
 
 
 
 
UNATEC Sistema Operacional Proprietário 
Prof. Thiérs Hofman A03 - Contas de Usuário 
Criando Contas de Usuário de Domínio 
 
O procedimento para criar novas contas de usuário de domínio é similar ao de contas 
locais. Entretanto, as informações serão armazenadas no serviço de diretórios e o 
usuário poderá ter acesso a diversos recursos da rede através de diferentes 
computadotes. 
 
Para levantar ou derrubar um domínio do Active Directory: 
1. Menu Iniciar/Executar... 
2. Digite dcpromo e clique no botão OK 
3. Siga as instruções até finalizar o processo 
 
Para criar uma conta de usuário de domínio usando a interface gráfica: 
1. Abra Usuários e Computadores do Active Directory. 
 Menu Iniciar/Programas/Ferramentas Administrativas/Usuários e 
Computadores do Active Directory 
2. Na árvore de console, clique com o botão direito do mouse na pasta em que 
você deseja adicionar uma conta de usuário. 
3. Aponte para Novo e clique em Usuário. 
4. Digite o nome do usuário 
5. Digite as demais informações de sobrenome e iniciais. 
6. Modifique a opção Nome completo para adicionar iniciais ou inverter a ordem 
do nome e sobrenome. 
7. Em Nome de logon do usuário, digite o nome de logon do usuário, clique no 
sufixo DNS na lista suspensa e, em seguida, clique em Avançar. 
8. Em Senha e Confirmar senha, digite a senha do usuário e selecione as opções 
de senha apropriadas. 
 
Para definir o horário de logon: 
1. Abra Usuários e Computadores do Active Directory. 
2. Na árvore de console, clique em Usuários. 
3. Clique com o botão direito do mouse na conta de usuário e clique em 
Propriedades. 
4. Na guia Conta, clique em Horário de Logon e defina o horário de logon 
permitido ou proibido para o usuário. 
 
Usando Executar como... 
 
Fazer logon no computador usando credenciais administrativas pode gerar um risco 
de segurança para o seu computador e para a rede. Portanto, como prática de 
segurança, é recomendável que você não faça logon no computador com credenciais 
administrativas. Em vez disso, você pode usar Executar como para realizar tarefas 
administrativas, sem precisar fazer logon no computador com credenciais 
administrativas. 
 
Usando Executar como, você pode abrir e executar um programa usando uma conta e 
um contexto de segurança diferentes daqueles com os quais fez logon. Portanto, você 
pode fazer logon usando uma conta de usuário comum e, usando Executar como, abrir 
um programa administrativo no contexto de uma conta administrativa. O contexto 
administrativo só é usado para este programa específico e estará disponível somente 
enquanto o programa estiver aberto. 
UNATEC Sistema Operacional Proprietário 
Prof. Thiérs Hofman A03 - Contas de Usuário 
 
É especialmente importante que administradores de domínio usem Executar como 
para realizar tarefas administrativas. Executar o computador como administrador do 
domínio no Active Directory torna o domínio e seus objetos vulneráveis a cavalos de 
Tróia e outros riscos de segurança direcionados à seqüência de logon. 
 
Você pode usar Executar como pela interface do usuário ou como ferramenta de linha 
de comando (comando runas). 
 
Você pode usar Executar como para iniciar um programa no contexto de uma conta 
Administrador. O contexto do administrador é usado somente para o programa 
específico e fica disponível até que o programa seja fechado. 
 
Você também pode usar Executar como para iniciar duas instâncias separadas de um 
aplicativo administrativo, como Domínios e relações de confiança do Active 
Directory. Cada instância pode ser direcionada para outro domínio ou floresta, a fim 
de executar tarefas administrativas entre domínios ou entre florestas de maneira mais 
eficaz. 
 
Você pode abrir a maioria dos itens do Painel de controle usando Executar como 
mantendo a tecla SHIFT pressionada e clicando com o botão direito do mouse no 
item. 
 
Alguns programas não oferecem suporte a Executar como. 
 
Personalizando configurações de usuário com perfis de usuário 
No Windows, o ambiente informatizado de um usuário é determinado principalmente 
pelo respectivo perfil. Para fins de segurança, o Windows requer um perfil de usuário 
para cada conta de usuário com acesso ao sistema. 
O perfil de usuário contém todas as configurações que o usuário pode definir para o 
ambiente de trabalho de um computador que executa o Windows, inclusive as 
configurações regionais, do monitor, do mouse e do som, além das conexões de rede e 
de impressora. Você pode configurar um perfil de usuário, de modo que esteja 
associado a um usuário para cada computador em que ele efetuar logon. 
Tipos de perfis de usuário 
Um perfil de usuário é criado quando um usuário efetua logon em um computador 
pela primeira vez. Todas as configurações específicas do usuário são salvas 
automaticamente em sua pasta contida na pasta Documents and Settings 
(C:\Documents and Settings\Nome_do_usuário – XP e 2003) ou na pasta Users 
(C:\Users\Nome_do_Usuario – Vista, 7 e 2008). Quando o usuário efetua logoff, seu 
perfil é atualizado no computador em que efetuou logon. 
Portanto, o perfil de usuário mantém as configurações de área de trabalho para cada 
ambiente de trabalho do usuário no computador local. Somente administradores de 
sistema podem fazer alterações em perfis obrigatórios de usuário. 
 
UNATEC Sistema Operacional Proprietário 
Prof. Thiérs Hofman A03 - Contas de Usuário 
Os tipos de perfis de usuário são: 
 Perfil de usuário padrão 
Serve como base para todos os perfis de usuário. Todo perfil de usuário começa 
com uma cópia do perfil de usuário padrão, que é armazenada em cada 
computador que executa o Windows Server. 
 Perfil de usuário local 
Criado na primeira vez que um usuário efetua logon em um computador, sendo 
armazenado no computador local. Qualquer alteração feita no perfil de usuário 
local será específica do computador em que ocorreu. Vários perfis de usuário 
locais podem existir em um só computador. 
 Perfil de usuário móvel 
Criado pelo administrador do sistema e armazenado em um servidor. Esse perfil 
está disponível toda vez que um usuário efetua logon em qualquer computador da 
rede. Se um usuário fizer alterações nas configurações da área de trabalho, quando 
ele efetuar logoff, seu perfil será atualizado no servidor. 
 Perfil de usuário obrigatório 
Criado pelo administrador para especificar as configurações específicas de um 
usuário e pode ser local ou móvel. Um perfil obrigatório de usuário não permite 
que os usuários salvem alterações nas configurações da área de trabalho. Os 
usuários podem modificar as configurações da área de trabalho do computador 
quando efetuam logon, mas essas alterações não são salvas quando efetuam 
logoff. 
Criando perfis de usuário móveis e obrigatórios 
Você pode armazenar perfis de usuário em um servidor, de modo que estejam 
disponíveis toda vez que um usuário efetuar logon em qualquer computador da rede. 
Os perfis de usuário móveis e obrigatórios são armazenados centralmente em um 
servidor para fornecer aos usuários o mesmo ambiente de trabalho, 
independentemente do computador em que efetuaram logon. 
Criando um perfil de usuário móvel 
Para configurar um perfil de usuário móvel, execute as seguintes etapas: 
1. Crie uma pasta compartilhada em um servidor e forneça aos usuários a permissão 
Full Control (Controle total) para a pasta. 
2. Forneça o caminho para a pasta compartilhada. Abra o Active Directory Users 
and Computers ou Computer Management. No painel de detalhes, clique com 
o botão direito do mouse na conta de usuário aplicável e, em seguida, clique em 
Properties. Na guia Profile (Perfil), em User profile (Perfil de usuário), digite as 
informações de caminho para especificar a pasta compartilhada na caixa Profile 
path (Caminho do perfil). 
UNATEC Sistema OperacionalProprietário 
Prof. Thiérs Hofman A03 - Contas de Usuário 
 
As informações de caminho devem ser exibidas da seguinte maneira: 
\\nome_do_servidor\nomedapastacompartilhada\nome_do_usuário 
Você pode usar a variável %username% em vez de digitar o nome do usuário. O 
Windows 2003 substitui automaticamente %username% pelo nome da conta de 
usuário do perfil de usuário móvel. 
Uma vez criado um perfil de usuário móvel, um administrador pode modificá-lo. 
Observação: O arquivo Ntuser.dat contém a seção do Registro que aplica-se à conta 
de usuário e contém as configurações de perfil de usuário. Esse arquivo está 
localizado na pasta de perfis do usuário. 
Criando um perfil móvel obrigatório 
Em geral, você usa um perfil obrigatório quando um grupo de usuários precisa de 
configurações de área de trabalho iguais e você não deseja que modifiquem suas áreas 
de trabalho. 
Para criar um perfil de usuário móvel obrigatório, execute as seguintes tarefas: 
1. Crie uma pasta compartilhada em um servidor com uma pasta de perfis para 
conter o perfil de usuário a ser criado. Forneça aos usuários a permissão Full 
Control para a pasta de perfis. Por exemplo, crie uma pasta chamada Profiles e, 
em seguida, crie uma pasta chamada User1 nessa pasta. 
2. Defina um perfil de usuário móvel configurado. No Active Directory Users and 
Computers ou Computer Management, crie um novo usuário, especifique sua 
pasta de perfis referente às informações de caminho e configure o perfil. 
Por exemplo, crie um usuário chamado User1 e especifique o caminho de perfil 
\\nome_do_servidor\Profiles\Userl. Para configurar o perfil, efetue logon no 
domínio como User1, modifique as configurações da área de trabalho, se 
necessário, e efetue logoff. 
3. Renomeie o arquivo de perfis Ntuser.dat como Ntuser.man. Isso torna o perfil 
somente leitura e, por conseqüência, obrigatório. Para renomear o perfil, efetue 
logon como Administrator, abra o Windows Explorer e, na pasta de perfis do 
usuário, renomeie o arquivo Ntuser.dat como Ntuser.man 
Observação: O arquivo Ntuser.dat da pasta de perfis do usuário ficará oculto. Para 
exibir o arquivo no Windows Explorer, clique em Tools (Ferramentas) e, em seguida, 
clique em Folder Options (Opções de pasta) Na guia View (Exibir) da caixa de 
diálogo Folder Options em Advanced settings (Configurações avançadas), clique em 
Show hidden files and folders (Mostrar pastas e arquivos ocultos). Desmarque a caixa 
de seleção Hide file extensions for known file types (Ocultar extensões de tipos de 
arquivo conhecidos) e clique em ok.