A04ContasdeGrupo

Prévia do material em texto

UNATEC Sistemas Operacionais Proprietários 
Prof. Thiérs Hofman A04 - Contas de Grupo 
Sistemas Operacionais Proprietários 
Introdução ao Gerenciamento de Grupos de Usuários 
Gerenciando Grupos de Usuários 
 
Os grupos são usados para reunir contas de usuário, contas de computador e outras 
contas de grupo em unidades gerenciáveis. Trabalhar com grupos em lugar de 
usuários individuais ajuda a simplificar a manutenção e a administração da rede. 
 
Grupos locais 
 
A pasta Grupos, localizada em Usuários e Grupos Locais, exibe os grupos locais 
padrão e os grupos locais criados por você. Os grupos locais pré-definidos são criados 
automaticamente quando você instala um servidor autônomo ou um servidor membro 
que executa o Windows Server. Pelo fato de pertencer a um grupo local, o usuário 
tem direitos e permissões para executar várias tarefas no computador local. 
 
É possível adicionar contas de usuário locais, contas de usuários de domínio, contas 
de computador e contas de grupo a grupos locais. No entanto, você não pode 
adicionar contas de usuário locais e contas de grupos locais a contas de grupo de 
domínio. 
 
Administradores Os membros desse grupo têm controle total do servidor e 
podem atribuir direitos do usuário e permissões de controle 
de acesso para os usuários conforme necessário. A conta 
Administrador também é um membro padrão. Quando esse 
servidor é incluído em um domínio, o grupo Admins. do 
Domínio é adicionado ao grupo automaticamente. 
Operadores de Cópia Os membros desse grupo podem fazer backup e restaurar 
arquivos do servidor, independentemente das permissões 
que protegem esses arquivos. Isso ocorre porque o direito de 
executar um backup tem precedência sobre todas as 
permissões de arquivo. Eles não podem alterar 
configurações de segurança. 
Administradores 
DHCP (instalado com 
o serviço do Servidor 
DHCP) 
Os membros desse grupo têm acesso administrativo ao 
serviço do servidor protocolo de configuração dinâmica de 
hosts (DHCP). Esse grupo fornece uma forma de atribuir 
acesso administrativo limitado somente ao servidor DHCP 
ao mesmo tempo que não fornece acesso total ao servidor. 
Usuários DHCP 
(instalado com o 
serviço do Servidor 
DHCP) 
Os membros desse grupo têm acesso somente leitura ao 
serviço do servidor DHCP. Dessa forma, os membros 
podem exibir informações e propriedades armazenadas em 
um servidor DHCP especificado. 
Convidados Os membros desse grupo terão um perfil temporário criado 
durante o logon, e quando o membro fizer logoff, o perfil 
será excluído. 
Operadores de Os membros desse grupo podem fazer alterações nas 
UNATEC Sistemas Operacionais Proprietários 
Prof. Thiérs Hofman A04 - Contas de Grupo 
Configuração de Rede configurações do TCP/IP, atualizar e liberar endereços 
TCP/IP. 
Usuários de Monitor de 
Desempenho 
Os usuários desse grupo podem monitorar os contadores de 
desempenho no servidor localmente e de clientes remotos 
sem serem membros dos grupos Administradores ou 
Usuários de log de desempenho. 
Usuários de Log de 
Desempenho 
Os membros desse grupo podem gerenciar os contadores de 
desempenho, os logs e os alertas no servidor localmente e de 
clientes remotos sem serem membros do grupo 
Administradores. 
Usuários Avançados Os membros desse grupo podem criar contas de usuário; no 
entanto, eles só podem modificar e excluir as contas que 
criaram. Esses membros podem criar grupos locais e 
adicionar ou remover usuários dos grupos locais que 
criaram. Eles também podem adicionar ou remover os 
usuários dos grupos Usuários avançados, Usuários e 
Convidados. Os membros podem criar recursos 
compartilhados e administrar os recursos compartilhados 
que criaram. Eles não podem apropriar-se de arquivos, fazer 
backup ou restaurar pastas, carregar ou descarregar drivers 
de dispositivos nem gerenciar logs de segurança e de 
auditoria. 
Opers. de Impressão Os membros desse grupo podem gerenciar impressoras e 
filas de impressão. 
Usuários da Área de 
Trabalho Remota 
Os membros desse grupo podem fazer logon remotamente 
em um servidor. 
Duplicador O grupo Duplicadores fornece suporte a funções de 
replicação. O único membro do grupo Duplicadores deve ser 
uma conta de usuário de domínio usada para fazer logon nos 
serviços Duplicadores do controlador do domínio. 
Usuários do Terminal 
Server 
Este grupo contém o usuário que está conectado ao 
computador no momento usando o Terminal Server. 
Usuários Os membros desse grupo podem realizar as tarefas comuns, 
como executar aplicativos, usar impressoras locais e de rede 
e bloquear o servidor. Eles não podem compartilhar 
diretórios ou criar impressoras locais. 
Usuários WINS 
(instalado com o 
serviço WINS) 
Os membros desse grupo têm acesso somente leitura ao 
serviços WINS. Dessa forma, os membros podem exibir 
informações e propriedades armazenadas em um servidor 
WINS especificado. Essas informações são úteis para 
oferecer suporte à equipe quando ela precisar obter 
relatórios de status do WINS. 
 
 
 
UNATEC Sistemas Operacionais Proprietários 
Prof. Thiérs Hofman A04 - Contas de Grupo 
 
Criando Grupos Locais 
 
Para criar Grupos de usando a interface gráfica: 
1. Abra o Gerenciamento do Computador. 
2. Na árvore de console, clique em Grupos. 
 Gerenciamento do Computador/Ferramentas do Sistema/Usuários e 
Grupos Locais/Grupos 
3. No menu Ação, clique em Novo Grupo. 
4. Em Nome do grupo, digite um nome para o novo grupo. 
5. Em Descrição, digite uma descrição para o novo grupo. 
6. Para adicionar um ou mais membros a um novo grupo, clique em Adicionar. 
7. Na caixa de diálogo Selecione Usuários, Computadores ou Grupos, faça o 
seguinte: 
 Para adicionar uma conta de usuário ou grupo a esse grupo, em Digite os 
nomes de objeto a serem selecionados, digite o nome da conta de usuário 
ou grupo que você deseja adicionar ao grupo e clique em OK. 
 Para adicionar uma conta de computador a esse grupo, clique em Tipos de 
Objeto, marque a caixa de seleção Computadores e clique em OK. Em 
Digite os nomes de objeto a serem selecionados, digite o nome da conta de 
computador que você deseja adicionar e, em seguida, clique em OK. 
8. Na caixa de diálogo Novo Grupo, clique em Criar e, em seguida, Fechar. 
 
Um nome de grupo local não pode ser idêntico a nenhum outro grupo ou nome de 
usuário no computador local que está sendo administrado. Ele pode conter até 256 
caracteres maiúsculos ou minúsculos, exceto os seguintes: " / \ [ ] : ; | = , + * ? < > 
Um nome de usuário não pode ser formado apenas por pontos (.) ou espaços. 
 
Para Adicionar um membro ao Grupo: 
1. Abra o Gerenciamento do Computador. 
2. Na árvore de console, clique em Grupos. 
3. Clique com o botão direito do mouse no grupo ao qual deseja adicionar um 
membro, clique em Adicionar ao Grupo e, em seguida, clique em Adicionar. 
4. Na caixa de diálogo Selecione Usuários, Computadores ou Grupos, faça o 
seguinte: 
 Para adicionar uma conta de usuário ou de grupo a esse grupo, digite o 
nome da conta de usuário ou de grupo que deseja adicionar ao grupo e 
clique em OK. 
 Para adicionar uma conta de computador a esse grupo, clique em Tipos de 
Objeto, marque a caixa de seleção Computadores e clique em OK. Em 
Digite os nomes de objeto a serem selecionados, digite o nome da conta de 
computador que deseja adicionar ao grupo e clique em OK. 
 
Para remover um membro de um grupo local: 
Selecione conta de usuário, conta de computador ou conta de grupo em Membros e, 
em seguida, clique em Remover. 
 
Todos os direitos e permissões atribuídos ao grupo são atribuídos a todos os membros 
desse grupo. Para obter mais informações, consulte Tópicos Relacionados. 
 
UNATEC Sistemas Operacionais Proprietários 
Prof. Thiérs Hofman A04 - Contas de Grupo 
Limite o número de usuários no grupo Administradores, pois os membros desse grupo 
em um computador local têm permissões de Controle Total no computador. 
 
Se o computador fizer parte de um domínio, é possível adicionarcontas de usuário, de 
computador e de grupo desse domínio e de domínios confiáveis a um grupo local. 
 
 
 
Gerenciando Grupos no Active Directory 
 
Criando grupos no Active Directory: 
1. Abra Usuários e Computadores do Active Directory. 
 Para abrir Usuários e Computadores do Active Directory, clique em 
Iniciar, clique em Painel de Controle, clique duas vezes em 
Ferramentas Administrativas e, em seguida, clique duas vezes em 
Usuários e Computadores do Active Directory 
2. Na árvore de console, clique com o botão direito do mouse na pasta à qual 
você deseja adicionar um novo grupo. 
3. Aponte para Novo e clique em Grupo. 
4. Digite o nome do novo grupo. 
5. Em Escopo do Grupo, clique em uma destas opções: 
 Escopo Universal 
 Escopo Global 
 Escopo de Domínio Local 
6. Em Tipo de Grupo, clique em uma destas opções: 
 Grupos de Distribuição 
 Grupos de Segurança 
 
Escopo de grupo 
 
Os grupos, não importa se são um grupo de segurança ou um grupo de distribuição, 
são caracterizados por um escopo que identifica a extensão em que o grupo é aplicado 
à árvore do domínio ou floresta. Existem três escopos de grupo: universal, global e 
domínio local. 
 
 Os membros de grupos universais podem incluir outros grupos e contas de 
qualquer domínio na árvore de domínio ou floresta e podem ter permissões 
para qualquer domínio na árvore de domínio ou floresta. 
 Os membros de grupos globais podem incluir outros grupos e contas somente 
do domínio no qual o grupo está definido e podem ter permissões para 
qualquer domínio na floresta. 
 Os grupos de grupos de domínio local podem incluir outros grupos e contas de 
domínios Windows Server 2008, 2003, 2000 ou NT e podem ter permissões 
somente em um domínio. 
 
Quando usar grupos com escopo de domínio local 
 
Os grupos com escopo de domínio local ajudam a definir e gerenciar o acesso a 
recursos em um único domínio. Esses grupos podem ter como membros: 
 Grupos com escopo global 
 Grupos com escopo universal 
UNATEC Sistemas Operacionais Proprietários 
Prof. Thiérs Hofman A04 - Contas de Grupo 
 Contas 
 Outros grupos com escopo de domínio local 
 Uma combinação de quaisquer itens acima 
 
Por exemplo, para fornecer aos usuários acesso a uma determinada impressora, você 
pode adicionar todas as cinco contas de usuário à lista de permissões da impressora. 
Se, no entanto, mais tarde desejar fornecer aos cinco usuários acesso a uma nova 
impressora, terá de especificar novamente todas as cinco contas na lista de permissões 
da nova impressora. Com um pouco de planejamento, você pode simplificar essa 
tarefa administrativa rotineira criando um grupo com escopo de domínio local e 
atribuindo-lhe permissão para acessar a impressora. Inclua as cinco contas de usuário 
em um grupo com escopo global e adicione esse grupo àquele que tem o escopo de 
domínio local. Quando você desejar fornecer aos cinco usuários acesso a uma nova 
impressora, atribua ao grupo com o escopo de domínio local permissão para acessar a 
nova impressora. Todos os membros do grupo com escopo global automaticamente 
recebem acesso à nova impressora. 
 
Quando usar grupos com escopo global 
 
Use grupos com escopo global para gerenciar objetos de diretório que exijam 
manutenção diária, como contas de usuário e de computador. Como os grupos com 
escopo global não são replicados fora de seu próprio domínio, as contas em um grupo 
que tem escopo global podem ser alteradas freqüentemente sem que isso gere tráfego 
de replicação para o catálogo global. 
 
Embora as atribuições de direitos e permissões sejam válidas somente no domínio no 
qual são atribuídas, ao aplicar grupos com escopo global de forma uniforme nos 
domínios apropriados, você pode consolidar referências a contas com finalidades 
semelhantes. Isso simplificará e racionalizará o gerenciamento de grupos em 
domínios. Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, se 
houver um grupo com escopo global chamado ContabilidadeGL no domínio 
EstadosUnidos, também deverá haver um grupo chamado ContabilidadeGL no 
domínio Europa (a menos que a função de contabilidade não exista no domínio 
Europa). 
 
Quando usar grupos com escopo universal 
 
Use grupos com escopo universal para consolidar os grupos que estendam domínios. 
Para fazer isso, adicione as contas a grupos com escopo global e aninhe esses grupos 
em grupos que tenham escopo universal. Com essa estratégia, todas as alterações de 
participação nos grupos com escopo global não afetarão os grupos com escopo 
universal. 
 
Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo 
que tenha escopo global chamado ContabilidadeGL em cada domínio, crie um grupo 
com escopo universal chamado ContabilidadeU para ter como seus membros os dois 
grupos ContabilidadeGL: ContabilidadeEstadosUnidos\GL e 
ContabilidadeEuropa\GL. O grupo ContabilidadeU pode ser usado em qualquer parte 
da empresa. Todas as alterações na participação dos grupos individuais 
ContabilidadeGL não causarão a replicação do grupo ContabilidadeU. 
 
UNATEC Sistemas Operacionais Proprietários 
Prof. Thiérs Hofman A04 - Contas de Grupo 
Tipos de grupos 
 
Há dois tipos de grupo no Active Directory: grupos de distribuição e grupos de 
segurança. Você pode usar grupos de distribuição para criar listas de distribuição de 
email e grupos de segurança para atribuir permissões para recursos compartilhados. 
 
Grupos de distribuição: 
Os grupos de distribuição podem ser usados somente com aplicativos de email (como 
o Exchange) para enviar mensagens para grupos de usuários. Os grupos de 
distribuição não são habilitados para segurança, o que significa que não podem ser 
listados em listas de controle de acesso discricional (DACLs). Se você precisa de um 
grupo para controlar o acesso a recursos compartilhados, crie um grupo de segurança. 
 
Grupos de segurança: 
Quando usados com cuidado, os grupos de segurança são uma forma eficaz de atribuir 
acesso a recursos na rede. Com grupos de segurança, você pode: 
 Atribuir direitos de usuário a grupos de segurança no Active Directory: 
o Os direitos de usuário são atribuídos a grupos de segurança para 
determinar o que os membros do grupo podem fazer no escopo de um 
domínio. Os direitos de usuário são atribuídos automaticamente a 
alguns grupos de segurança na instalação do Active Directory, para 
ajudar os administradores a definir a função administrativa de um 
usuário no domínio. Por exemplo, um usuário adicionado ao grupo 
Operadores de cópia no Active Directory tem o direito de fazer backup 
e restaurar arquivos e diretórios localizados em todos os controladores 
de domínio no domínio. 
 Atribuir permissões a grupos de segurança para recursos 
o As permissões não devem ser confundidas com direitos de usuário. As 
permissões são atribuídas ao grupo de segurança no recurso 
compartilhado. As permissões determinam quem pode acessar o 
recurso e o nível de acesso, como Controle Total. Algumas permissões 
definidas em objetos de domínio são atribuídas automaticamente para 
permitir vários níveis de acesso a grupos de segurança padrão, como 
Opers. de contas ou Admins. do domínio. 
o Os grupos de segurança são listados em DACLs que definem 
permissões para recursos e objetos. Ao atribuir permissões para 
recursos (compartilhamentos de arquivos, impressoras e assim por 
diante), os administradores devem atribuir essas permissões a um 
grupo de segurança em vez de usuários individuais. As permissões são 
atribuídas uma vez ao grupo, em vez de várias vezes a cada usuário. 
Cada conta adicionada a um grupo recebe os direitos atribuídos ao 
grupo no Active Directory e as permissões definidas para aquele grupo 
no recurso.