Criação e gerenciamento de usuários e objetos do AD

Prévia do material em texto

8 - Criação e Gerenciamento de 
Usuários e Objetos do AD
Professor:
Elton B. Torres
elton.torres@belojardim.ifpe.edu.br
Introdução
• O administrador de rede deve ser capaz de
permitir que cada usuário somente tenha
acesso aos recursos necessários para a
realização do seu trabalho.
• As informações sobre contas de usuários,
senhas e grupos podem ser armazenadas
localmente ou no banco de dados do AD.
18/03/2014 IFET - Campus Belo Jardim 2
Introdução
18/03/2014 IFET - Campus Belo Jardim 3
Contas de usuário de domínio 
(armazenadas no Active Directory)
Contas de usuário local 
(armazenadas no computador local)
Nomes associados a contas de 
usuário de domínio 
18/03/2014 IFET - Campus Belo Jardim 4
Nome Exemplo
Nome de logon 
do usuário
Asilva
Nome de logon 
anterior 
ao Windows 2000
ABC\Asilva
Nome de logon 
principal 
de usuário
Asilva@filial.abc
Nome distinto 
relativo do LDAP
CN=asilva,CN=users,dc=filial,dc=abc
Opções da caixa de diálogo 
de logon 
• Por padrão, o Windows Server 2012 supõe
que o usuário deseja fazer logon no domínio
do qual o computador é membro.
18/03/2014 IFET - Campus Belo Jardim 5
Tipos de Conta de Usuário
• Usuário: Conta tradicional, utilizada para
realizar o logon local ou no AD;
• InetOrgPerson: Usada para migrar contas de
um diretório baseado em LDAP para um
diretório Microsoft;
• Contato: Usada como uma conta para enviar
mensagens a um grupo. Não tem permissão
de acesso a recursos.
18/03/2014 IFET - Campus Belo Jardim 6
Nomes das contas de usuários
• O nome de logon deve ser único no domínio;
• O nome de logon também não pode ser igual
a um nome de um grupo do domínio;
• Pode conter espaços em branco e pontos;
• Tamanho máximo de 128 caracteres;
• “ / \ : ; { } | = , + * ? < >
• Não diferencia maiúsculas e minúsculas para o
nome de logon. Para senhas há diferença.
18/03/2014 IFET - Campus Belo Jardim 7
Definição da Senha do usuário
• Não pode utilizar uma senha igual às 24 últimas;
• A senha expira a cada 42 dias;
• Tempo mínimo de alteração é um dia;
• Tamanho mínimo de 6 caracteres;
• A senha não pode conter parte do nome da conta;
• Deve conter pelo menos três dos grupos a seguir:
– Letras maiúsculas de A à Z;
– Letras minúsculas de a à z;
– Dígitos de 0 à 9;
– Caracteres especiais (: ! @ # $ % etc).
18/03/2014 IFET - Campus Belo Jardim 8
Definição da Senha do usuário
18/03/2014 IFET - Campus Belo Jardim 9
Opções de senha de contas 
de usuário 
18/03/2014 IFET - Campus Belo Jardim 10
Opções de senha Descrição
O usuário deve 
alterar a senha 
no próximo logon
Usuários devem alterar suas senhas 
na próxima vez que fizerem logon na 
rede
O usuário não pode 
alterar 
a senha
Usuário não tem permissão para alterar 
suas próprias senhas
A senha nunca expira
A expiração da senha do usuário é 
impedida
Conta desativada
Usuário não pode fazer logon usando 
a conta selecionada
Quando exigir ou restringir 
alterações de senha 
18/03/2014 IFET - Campus Belo Jardim 11
Opção Use esta opção quando você:
Exigir 
alterações 
de senhas
Criar novas contas de domínio
Redefinir senhas
Restringir 
alterações 
de senhas
Criar contas de serviço local ou de 
domínio
Criar novas contas locais que não farão 
logon local
Conta de computador
• Identifica um computador em um domínio;
• Fornece um meio de autenticação e auditoria do
acesso do computador à rede e aos recursos do
domínio;
• É necessário para todos os computadores que
executam o:
– Windows Server 2008;
– Windows Server 2003;
– Windows 7;
– Windows XP Professional.
18/03/2014 IFET - Campus Belo Jardim 12
Por que criar uma conta de 
computador?
• Segurança:
– Autenticação;
– Auditoria.
• Gerenciamento:
– Recursos do Active Directory:
• Implantação de software;
• Gerenciamento de área de trabalho.
– Inventário de hardware e software.
18/03/2014 IFET - Campus Belo Jardim 13
Onde as contas de usuários e 
computadores são criadas
18/03/2014 IFET - Campus Belo Jardim 14
Configurando Informações uma 
conta de usuário
18/03/2014 IFET - Campus Belo Jardim 15
Práticas recomendadas para criar 
contas de usuário 
18/03/2014 IFET - Campus Belo Jardim 16
Práticas recomendadas para criar contas de usuário local
Não ative a conta de convidado
Limite o número de pessoas que podem fazer logon local
Práticas recomendadas para criar contas de usuário 
de domínio
Desative as contas que não serão usadas imediatamente
Exija que os usuários alterem suas senhas na primeira vez em 
que fizerem logon
Como ativar e desativar contas de 
usuário e de computador
18/03/2014 IFET - Campus Belo Jardim 17
Como redefinir senhas de usuário 
18/03/2014 IFET - Campus Belo Jardim 18
Contas de usuário bloqueadas
• O limite de bloqueio de conta:
– Define o número de tentativas de logon de falha;
– Impede que hackers adivinhem as senhas de usuário.
• Uma conta pode exceder o limite de bloqueio de
conta porque foram feitas várias tentativas de logon
de falha:
– Na tela de logon;
– Em um protetor de tela com senha;
– Ao acessar os recursos da rede.
18/03/2014 IFET - Campus Belo Jardim 19
Contas de usuário bloqueadas
18/03/2014 IFET - Campus Belo Jardim 20
Diretivas de Bloqueio de Conta
18/03/2014 IFET - Campus Belo Jardim 21
Quando modificar as propriedades de 
contas de usuário e de computador 
18/03/2014 IFET - Campus Belo Jardim 22
Modifique as propriedades de contas 
de usuário para:
Facilitar o uso de recursos de pesquisa para localizar 
de usuário .
Facilitar o uso de recursos de pesquisa para localizar 
usuários;
Igualar a hierarquia organizacional de uma empresa ;
Determinar a participação do grupo de uma conta 
de usuário .
Modifique as propriedades de contas 
de computador para:
Auxiliar no rastreamento de ativos (propriedade Local);
Documentar quem gerencia um computador (propriedade 
Gerenciado por).
Perfis do usuário - Profiles
• O Windows mantém diversas configurações
separadas para cada usuário:
– Papel de parede;
– Opções do menu iniciar;
– Configurações de programas;
– Associações de extensões ...
• Essas configurações são mantidas na pasta:
– C:\Documents and settings\usuario
18/03/2014 IFET - Campus Belo Jardim 23
Perfis Móveis – Roaming Profiles
• Perfis móveis habilitam o usuários a mover
sua área de trabalho e configurações para
qualquer computador da rede no qual ele se
faça o logon;
• Vários usuários podem utilizar o mesmo
computador sem que haja interferência nas
configurações feitas por A ou B;
• Criar uma área compartilhada para os usuários no servidor.
• Criar um perfil padrão, que servirá de modelo para criação
de futuros usuários móveis.
18/03/2014 IFET - Campus Belo Jardim 24
Grupos de usuários
• Um grupo é uma coleção de contas de
usuários;
– Grupo contabilidade, onde todos os usuários do
departamento contábil fazem parte.
• A principal função dos grupos é facilitar a
administração e a atribuição de permissões;
18/03/2014 IFET - Campus Belo Jardim 25
Grupos simplificam a administração, pois permitem 
a atribuição de permissões para recursos
Grupo
Grupos de usuários
18/03/2014 IFET - Campus Belo Jardim 26
• Grupos são caracterizados por escopo e tipo:
• O escopo de grupo determina se o grupo abrange
vários domínios ou se está limitado a um único
domínio.
• Os escopos de grupo são global, domínio local,
universal e local.
Tipo de grupo Descrição
Segurança
Usado para atribuir direitos e permissões 
de acesso de usuário.
Distribuição
Pode ser usado apenas com aplicativos, 
como por exemplo, ferramentas de e-mail.Não pode ser usado para atribuir 
permissões
Grupos universais
18/03/2014 IFET - Campus Belo Jardim 27
Regras do grupo universal
Pode conter
Contas de usuários, outros grupos Universais e 
grupos Globais de qualquer domínio
Podem ser 
Membros De
Grupos locais do domínio ou grupos universais 
de qualquer domínio
Permissões
Pode receber permissões para recursos 
localizados em qualquer domínio
Utilização
Usados para consolidar diversos 
grupos globais.
Grupos globais
18/03/2014 IFET - Campus Belo Jardim 28
Regras do grupo global
Pode conter
Contas de usuários e grupos globais do mesmo 
domínio, ou seja, somente membros do domínio 
no qual o grupo foi criado
Podem ser 
Membros De
Grupos Universais e Grupos Locais do domínio, 
de qualquer domínio
Permissões
Pode receber permissões para recursos 
localizados em qualquer domínio
Utilização
Devem ser utilizados para o gerenciamento dos 
objetos que sofrem alterações 
constantemente, tais como contas 
de usuários e computadores
Aninhamento de grupos
• É tornar um grupo membro de um outro 
grupo.
– Aninhe grupos para consolidar o gerenciamento 
de grupos;
– As opções de aninhamento dependem do nível 
funcional do domínio do Windows Server 2012 
estar configurado como Windows 2000 nativo ou 
Windows 2000 misto
18/03/2014 IFET - Campus Belo Jardim 29
Grupo
Grupo
Grupo
Grupo
Grupo
Grupos padrão no Active Directory 
18/03/2014 IFET - Campus Belo Jardim 30
Atribuir gerente a um grupo
• Para que você possa:
– Rastrear quem é responsável pelos grupos;
– Delegar ao gerente do grupo a autoridade para adicionar e
remover usuários do grupo;
– Para distribuir a responsabilidade administrativa
de adicionar usuários a grupos às pessoas que solicitam o
grupo.
18/03/2014 IFET - Campus Belo Jardim 31
GrupoGerente
Criando grupos de usuários
18/03/2014 IFET - Campus Belo Jardim 32
Práticas recomendadas para o 
gerenciamento de grupos 
18/03/2014 IFET - Campus Belo Jardim 33
Crie grupos com base nas necessidades administrativas
Use grupos locais em um computador que não seja membro 
de um domínio
Adicione contas de usuários ao grupo mais restritivo
Use o grupo Usuários Autenticados no lugar do grupo Todos para conceder a 
maioria dos direitos e permissões de usuário
Limite o número de usuários no grupo Administradores
Use o grupo padrão, sempre que possível, em vez de criar um novo grupo
Confie em todas as pessoas que participam dos grupos Administradores, 
Usuários Avançados, Operadores de Impressão e Operadores de Cópia
Unidade organizacional
• Organiza objetos em um domínio;
• Permite a delegação do controle
administrativo;
• Simplifica o gerenciamento de recursos
comumente agrupados.
• Pode representar a estrutura e organização da 
empresa;
18/03/2014 IFET - Campus Belo Jardim 34
Modelos hierárquicos de unidade 
organizacional
18/03/2014 IFET - Campus Belo Jardim 35
Baseada em função
S
C M
S – Sales (Vendas)
C – Consultants 
(Consultores)
M - Marketing 
(Marketing)
Baseada em organização
M
E R
M – Manufacturing 
(Fabricação)
E – Engineering 
(Engenharia)
R - Research 
(Pesquisa)
Baseada em local
N
F I
N – Norway 
F – France
I – Indonesia 
Criando Unidades Organizacionais
18/03/2014 IFET - Campus Belo Jardim 36
Prática:
Objetos do Active Directory
Para que os indivíduos da sua empresa possam
acessar os recursos necessários, você deve
ativar a autenticação a esses indivíduos. Nesta
prática você revisará e ampliará o conhecimento
relacionado à criação, atualização e solução de
problemas das contas de usuários e da
autenticação.
Laboratório 04 – Objetos do Active Directory
18/03/2014 IFET - Campus Belo Jardim 37
Perguntas?
18/03/2014 IFET - Campus Belo Jardim 38
Elton Torres – elton.torres@belojardim.ifpe.edu.br