Baixe o app para aproveitar ainda mais
Prévia do material em texto
UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A04 - Contas de Grupo Sistemas Operacionais Proprietários Introdução ao Gerenciamento de Grupos de Usuários Gerenciando Grupos de Usuários Os grupos são usados para reunir contas de usuário, contas de computador e outras contas de grupo em unidades gerenciáveis. Trabalhar com grupos em lugar de usuários individuais ajuda a simplificar a manutenção e a administração da rede. Grupos locais A pasta Grupos, localizada em Usuários e Grupos Locais, exibe os grupos locais padrão e os grupos locais criados por você. Os grupos locais pré-definidos são criados automaticamente quando você instala um servidor autônomo ou um servidor membro que executa o Windows Server. Pelo fato de pertencer a um grupo local, o usuário tem direitos e permissões para executar várias tarefas no computador local. É possível adicionar contas de usuário locais, contas de usuários de domínio, contas de computador e contas de grupo a grupos locais. No entanto, você não pode adicionar contas de usuário locais e contas de grupos locais a contas de grupo de domínio. Administradores Os membros desse grupo têm controle total do servidor e podem atribuir direitos do usuário e permissões de controle de acesso para os usuários conforme necessário. A conta Administrador também é um membro padrão. Quando esse servidor é incluído em um domínio, o grupo Admins. do Domínio é adicionado ao grupo automaticamente. Operadores de Cópia Os membros desse grupo podem fazer backup e restaurar arquivos do servidor, independentemente das permissões que protegem esses arquivos. Isso ocorre porque o direito de executar um backup tem precedência sobre todas as permissões de arquivo. Eles não podem alterar configurações de segurança. Administradores DHCP (instalado com o serviço do Servidor DHCP) Os membros desse grupo têm acesso administrativo ao serviço do servidor protocolo de configuração dinâmica de hosts (DHCP). Esse grupo fornece uma forma de atribuir acesso administrativo limitado somente ao servidor DHCP ao mesmo tempo que não fornece acesso total ao servidor. Usuários DHCP (instalado com o serviço do Servidor DHCP) Os membros desse grupo têm acesso somente leitura ao serviço do servidor DHCP. Dessa forma, os membros podem exibir informações e propriedades armazenadas em um servidor DHCP especificado. Convidados Os membros desse grupo terão um perfil temporário criado durante o logon, e quando o membro fizer logoff, o perfil será excluído. Operadores de Os membros desse grupo podem fazer alterações nas UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A04 - Contas de Grupo Configuração de Rede configurações do TCP/IP, atualizar e liberar endereços TCP/IP. Usuários de Monitor de Desempenho Os usuários desse grupo podem monitorar os contadores de desempenho no servidor localmente e de clientes remotos sem serem membros dos grupos Administradores ou Usuários de log de desempenho. Usuários de Log de Desempenho Os membros desse grupo podem gerenciar os contadores de desempenho, os logs e os alertas no servidor localmente e de clientes remotos sem serem membros do grupo Administradores. Usuários Avançados Os membros desse grupo podem criar contas de usuário; no entanto, eles só podem modificar e excluir as contas que criaram. Esses membros podem criar grupos locais e adicionar ou remover usuários dos grupos locais que criaram. Eles também podem adicionar ou remover os usuários dos grupos Usuários avançados, Usuários e Convidados. Os membros podem criar recursos compartilhados e administrar os recursos compartilhados que criaram. Eles não podem apropriar-se de arquivos, fazer backup ou restaurar pastas, carregar ou descarregar drivers de dispositivos nem gerenciar logs de segurança e de auditoria. Opers. de Impressão Os membros desse grupo podem gerenciar impressoras e filas de impressão. Usuários da Área de Trabalho Remota Os membros desse grupo podem fazer logon remotamente em um servidor. Duplicador O grupo Duplicadores fornece suporte a funções de replicação. O único membro do grupo Duplicadores deve ser uma conta de usuário de domínio usada para fazer logon nos serviços Duplicadores do controlador do domínio. Usuários do Terminal Server Este grupo contém o usuário que está conectado ao computador no momento usando o Terminal Server. Usuários Os membros desse grupo podem realizar as tarefas comuns, como executar aplicativos, usar impressoras locais e de rede e bloquear o servidor. Eles não podem compartilhar diretórios ou criar impressoras locais. Usuários WINS (instalado com o serviço WINS) Os membros desse grupo têm acesso somente leitura ao serviços WINS. Dessa forma, os membros podem exibir informações e propriedades armazenadas em um servidor WINS especificado. Essas informações são úteis para oferecer suporte à equipe quando ela precisar obter relatórios de status do WINS. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A04 - Contas de Grupo Criando Grupos Locais Para criar Grupos de usando a interface gráfica: 1. Abra o Gerenciamento do Computador. 2. Na árvore de console, clique em Grupos. Gerenciamento do Computador/Ferramentas do Sistema/Usuários e Grupos Locais/Grupos 3. No menu Ação, clique em Novo Grupo. 4. Em Nome do grupo, digite um nome para o novo grupo. 5. Em Descrição, digite uma descrição para o novo grupo. 6. Para adicionar um ou mais membros a um novo grupo, clique em Adicionar. 7. Na caixa de diálogo Selecione Usuários, Computadores ou Grupos, faça o seguinte: Para adicionar uma conta de usuário ou grupo a esse grupo, em Digite os nomes de objeto a serem selecionados, digite o nome da conta de usuário ou grupo que você deseja adicionar ao grupo e clique em OK. Para adicionar uma conta de computador a esse grupo, clique em Tipos de Objeto, marque a caixa de seleção Computadores e clique em OK. Em Digite os nomes de objeto a serem selecionados, digite o nome da conta de computador que você deseja adicionar e, em seguida, clique em OK. 8. Na caixa de diálogo Novo Grupo, clique em Criar e, em seguida, Fechar. Um nome de grupo local não pode ser idêntico a nenhum outro grupo ou nome de usuário no computador local que está sendo administrado. Ele pode conter até 256 caracteres maiúsculos ou minúsculos, exceto os seguintes: " / \ [ ] : ; | = , + * ? < > Um nome de usuário não pode ser formado apenas por pontos (.) ou espaços. Para Adicionar um membro ao Grupo: 1. Abra o Gerenciamento do Computador. 2. Na árvore de console, clique em Grupos. 3. Clique com o botão direito do mouse no grupo ao qual deseja adicionar um membro, clique em Adicionar ao Grupo e, em seguida, clique em Adicionar. 4. Na caixa de diálogo Selecione Usuários, Computadores ou Grupos, faça o seguinte: Para adicionar uma conta de usuário ou de grupo a esse grupo, digite o nome da conta de usuário ou de grupo que deseja adicionar ao grupo e clique em OK. Para adicionar uma conta de computador a esse grupo, clique em Tipos de Objeto, marque a caixa de seleção Computadores e clique em OK. Em Digite os nomes de objeto a serem selecionados, digite o nome da conta de computador que deseja adicionar ao grupo e clique em OK. Para remover um membro de um grupo local: Selecione conta de usuário, conta de computador ou conta de grupo em Membros e, em seguida, clique em Remover. Todos os direitos e permissões atribuídos ao grupo são atribuídos a todos os membros desse grupo. Para obter mais informações, consulte Tópicos Relacionados. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A04 - Contas de Grupo Limite o número de usuários no grupo Administradores, pois os membros desse grupo em um computador local têm permissões de Controle Total no computador. Se o computador fizer parte de um domínio, é possível adicionarcontas de usuário, de computador e de grupo desse domínio e de domínios confiáveis a um grupo local. Gerenciando Grupos no Active Directory Criando grupos no Active Directory: 1. Abra Usuários e Computadores do Active Directory. Para abrir Usuários e Computadores do Active Directory, clique em Iniciar, clique em Painel de Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, clique duas vezes em Usuários e Computadores do Active Directory 2. Na árvore de console, clique com o botão direito do mouse na pasta à qual você deseja adicionar um novo grupo. 3. Aponte para Novo e clique em Grupo. 4. Digite o nome do novo grupo. 5. Em Escopo do Grupo, clique em uma destas opções: Escopo Universal Escopo Global Escopo de Domínio Local 6. Em Tipo de Grupo, clique em uma destas opções: Grupos de Distribuição Grupos de Segurança Escopo de grupo Os grupos, não importa se são um grupo de segurança ou um grupo de distribuição, são caracterizados por um escopo que identifica a extensão em que o grupo é aplicado à árvore do domínio ou floresta. Existem três escopos de grupo: universal, global e domínio local. Os membros de grupos universais podem incluir outros grupos e contas de qualquer domínio na árvore de domínio ou floresta e podem ter permissões para qualquer domínio na árvore de domínio ou floresta. Os membros de grupos globais podem incluir outros grupos e contas somente do domínio no qual o grupo está definido e podem ter permissões para qualquer domínio na floresta. Os grupos de grupos de domínio local podem incluir outros grupos e contas de domínios Windows Server 2008, 2003, 2000 ou NT e podem ter permissões somente em um domínio. Quando usar grupos com escopo de domínio local Os grupos com escopo de domínio local ajudam a definir e gerenciar o acesso a recursos em um único domínio. Esses grupos podem ter como membros: Grupos com escopo global Grupos com escopo universal UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A04 - Contas de Grupo Contas Outros grupos com escopo de domínio local Uma combinação de quaisquer itens acima Por exemplo, para fornecer aos usuários acesso a uma determinada impressora, você pode adicionar todas as cinco contas de usuário à lista de permissões da impressora. Se, no entanto, mais tarde desejar fornecer aos cinco usuários acesso a uma nova impressora, terá de especificar novamente todas as cinco contas na lista de permissões da nova impressora. Com um pouco de planejamento, você pode simplificar essa tarefa administrativa rotineira criando um grupo com escopo de domínio local e atribuindo-lhe permissão para acessar a impressora. Inclua as cinco contas de usuário em um grupo com escopo global e adicione esse grupo àquele que tem o escopo de domínio local. Quando você desejar fornecer aos cinco usuários acesso a uma nova impressora, atribua ao grupo com o escopo de domínio local permissão para acessar a nova impressora. Todos os membros do grupo com escopo global automaticamente recebem acesso à nova impressora. Quando usar grupos com escopo global Use grupos com escopo global para gerenciar objetos de diretório que exijam manutenção diária, como contas de usuário e de computador. Como os grupos com escopo global não são replicados fora de seu próprio domínio, as contas em um grupo que tem escopo global podem ser alteradas freqüentemente sem que isso gere tráfego de replicação para o catálogo global. Embora as atribuições de direitos e permissões sejam válidas somente no domínio no qual são atribuídas, ao aplicar grupos com escopo global de forma uniforme nos domínios apropriados, você pode consolidar referências a contas com finalidades semelhantes. Isso simplificará e racionalizará o gerenciamento de grupos em domínios. Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, se houver um grupo com escopo global chamado ContabilidadeGL no domínio EstadosUnidos, também deverá haver um grupo chamado ContabilidadeGL no domínio Europa (a menos que a função de contabilidade não exista no domínio Europa). Quando usar grupos com escopo universal Use grupos com escopo universal para consolidar os grupos que estendam domínios. Para fazer isso, adicione as contas a grupos com escopo global e aninhe esses grupos em grupos que tenham escopo universal. Com essa estratégia, todas as alterações de participação nos grupos com escopo global não afetarão os grupos com escopo universal. Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo que tenha escopo global chamado ContabilidadeGL em cada domínio, crie um grupo com escopo universal chamado ContabilidadeU para ter como seus membros os dois grupos ContabilidadeGL: ContabilidadeEstadosUnidos\GL e ContabilidadeEuropa\GL. O grupo ContabilidadeU pode ser usado em qualquer parte da empresa. Todas as alterações na participação dos grupos individuais ContabilidadeGL não causarão a replicação do grupo ContabilidadeU. UNATEC Sistemas Operacionais Proprietários Prof. Thiérs Hofman A04 - Contas de Grupo Tipos de grupos Há dois tipos de grupo no Active Directory: grupos de distribuição e grupos de segurança. Você pode usar grupos de distribuição para criar listas de distribuição de email e grupos de segurança para atribuir permissões para recursos compartilhados. Grupos de distribuição: Os grupos de distribuição podem ser usados somente com aplicativos de email (como o Exchange) para enviar mensagens para grupos de usuários. Os grupos de distribuição não são habilitados para segurança, o que significa que não podem ser listados em listas de controle de acesso discricional (DACLs). Se você precisa de um grupo para controlar o acesso a recursos compartilhados, crie um grupo de segurança. Grupos de segurança: Quando usados com cuidado, os grupos de segurança são uma forma eficaz de atribuir acesso a recursos na rede. Com grupos de segurança, você pode: Atribuir direitos de usuário a grupos de segurança no Active Directory: o Os direitos de usuário são atribuídos a grupos de segurança para determinar o que os membros do grupo podem fazer no escopo de um domínio. Os direitos de usuário são atribuídos automaticamente a alguns grupos de segurança na instalação do Active Directory, para ajudar os administradores a definir a função administrativa de um usuário no domínio. Por exemplo, um usuário adicionado ao grupo Operadores de cópia no Active Directory tem o direito de fazer backup e restaurar arquivos e diretórios localizados em todos os controladores de domínio no domínio. Atribuir permissões a grupos de segurança para recursos o As permissões não devem ser confundidas com direitos de usuário. As permissões são atribuídas ao grupo de segurança no recurso compartilhado. As permissões determinam quem pode acessar o recurso e o nível de acesso, como Controle Total. Algumas permissões definidas em objetos de domínio são atribuídas automaticamente para permitir vários níveis de acesso a grupos de segurança padrão, como Opers. de contas ou Admins. do domínio. o Os grupos de segurança são listados em DACLs que definem permissões para recursos e objetos. Ao atribuir permissões para recursos (compartilhamentos de arquivos, impressoras e assim por diante), os administradores devem atribuir essas permissões a um grupo de segurança em vez de usuários individuais. As permissões são atribuídas uma vez ao grupo, em vez de várias vezes a cada usuário. Cada conta adicionada a um grupo recebe os direitos atribuídos ao grupo no Active Directory e as permissões definidas para aquele grupo no recurso.
Compartilhar