Pré-Requisitos: Conhecimento dos conceitos básicos do Active Directory e de contas de usuários. Show Metodologia: Apresentar em detalhes os conceitos teóricos sobre grupos de usuários. Um grupo de usuários é uma coleção de contas de usuários. Por exemplo, podemos criar um grupo chamado Contabilidade, do qual farão parte todos os usuários do departamento de Contabilidade (todas as contas de usuários dos funcionários do departamento de Contabilidade). A principal função dos grupos de usuários é facilitar a administração e a atribuição de permissões para acesso a recursos, tais como: pastas compartilhadas (Capítulo 11), impressoras de rede (Capítulo 12) e serviços diversos. Ao invés de dar permissões individualmente, para cada um dos usuários que necessitam acessar um determinado recurso, você cria um grupo, inclui os usuários no grupo e atribui permissões para o grupo. Para que um usuário tenha permissão ao recurso, basta incluir o usuário no grupo, pois todos os usuários de um determinado grupo, herdam as permissões dos grupos aos quais o usuário pertence. Quando um usuário troca de seção, por exemplo, basta trocar o usuário de grupo. Vamos supor que o usuário jsilva trabalha na seção de contabilidade e pertence ao grupo Contabilidade. Com isso ele tem acesso a todos os recursos para os quais o grupo Contabilidade tem acesso. Ao ser transferido para a seção de Marketing, basta retirar o usuário jsilva do grupo Contabilidade e adicioná-lo ao grupo Marketing. Assim o usuário jsilva deixa de ter as permissões atribuídas ao grupo Contabilidade e passa a ter as mesmas permissões que tem o grupo Marketing. Este exemplo simples já consegue demonstrar o quanto a utilização de grupos pode facilitar a atribuição de permissões. No Capítulo 11 apresentarei um estudo completo sobre o uso de grupos para atribuir permissões de acesso a recursos de diferentes domínios. Vamos analisar mais um exemplo. Suponha que exista um sistema chamado SEAT, para o qual somente um número restrito de usuários deve ter acesso, sendo que são usuários de diferentes seções (ou até mesmo de diferentes domínios). A maneira mais simples de definir as permissões de acesso ao sistema SEAT é criar um grupo chamado SEAT (poderia ser um outro nome qualquer, tais como Usuários do SEAT, Permissão ao SEAT, etc) e dar permissões de acesso a esse grupo. Assim cada usuário que precisar acessar o sistema SEAT, deve ser incluído no grupo SEAT. Quando o usuário não deve mais ter acesso ao sistema SEAT, basta removê-lo do grupo SEAT. Simples, fácil e muito prático. Na Figura 9.27 apresento uma ilustração para o conceito de Grupo de usuários. O Grupo Contabilidade possui direito para um recurso compartilhado, o qual pode ser acessado através da rede. Todos os usuários que pertencem ao grupo contabilidade, também possuem permissão para o recurso compartilhado, uma vez que os usuários de um grupo, herdam as permissões do grupo. Figura 9.27 O Usuário herda as permissões do grupo. Quando estiver trabalhando com grupos de usuários, considere os fatos a seguir:
Agora vou falar sobre os tipos de grupos existentes no Windows Server 2003. Os grupos são classificados de acordo com diferentes critérios, tais como: tipo, escopo e visibilidade. Podemos ter dois tipos de grupos no Windows Server 2003 : Grupos de segurança ( Security Groups) e Grupos de distribuição (Distribution Groups). Classificação dos grupos quanto ao tipo:
É possível converter um grupo do tipo Segurança para distribuição e vice-versa. Para tal é preciso que o domínio esteja, pelo menos, no modo Windows 2000 Nativo. Para domínios que ainda estejam no modo Windows 2000 Mixed, esta conversão não será possível. Classificação dos grupos quanto ao Escopo: Quando o administrador cria um grupo de usuários, ele deve selecionar um tipo (descrito anteriormente) e um escopo. O Escopo permite que o grupo seja utilizado de diferentes maneiras para a atribuição de permissões. O escopo de um grupo, determina em que partes do domínio ou de uma floresta de domínios, o grupo é visível, ou seja, pode ser utilizado para receber permissões de acesso aos recursos da rede. Existem três escopos para grupos de usuários, conforme descrito a seguir: Universal, Global e Local do domínio. Vamos apresentar as diversas características e usos de cada tipo de grupo. Grupos universais (Universal group): Como o próprio nome sugere são grupos que podem ser utilizados em qualquer parte de um domínio ou da árvore de domínios e podem conter como membros, grupos e usuários de quaisquer domínios. Em resumo:
Conforme detalhado anteriormente, um domínio baseado no Active Directory pode estar em diferentes modos de funcionalidade (Windows 2000 Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades em relação aos grupos Universais:
Quando devem ser utilizados grupos universais: Quando você deseja consolidar diversos grupos globais. Você pode fazer isso criando um grupo Universal e adicionando os diversos grupos globais como membros do grupo Universal. Importante: Os grupos Universais devem ser muito bem planejados. Não devem ser feitas alterações freqüentes nos membros de um grupo Universal, uma vez que este tipo de ação causa um volume elevado de replicação no Active Directory. Grupo global: Um grupo Global é “global” quanto aos locais onde ele pode receber permissões de acesso, ou seja, um grupo Global pode receber permissões de acesso em recursos (pastas compartilhadas, impressoras, etc) de qualquer domínio. Em resumo, considere as afirmações a seguir:
Grupos globais do mesmo domínio.
Conforme detalhado anteriormente, um domínio baseado no Active Directory pode estar em diferentes modos (Windows 2000 Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades em relação aos grupos Globais:
Quando devem ser utilizados grupos Globais: Os grupos Globais devem ser utilizados para o gerenciamento dos objetos que sofrem alterações constantemente, quase que diariamente, tais como contas de usuários e de computadores. As alterações feitas em um grupo Global são replicadas somente dentro do domínio onde foi criado o grupo Global e não através de toda a árvore de domínios. Com isso o volume de replicação é reduzido, o que permite a utilização de grupos Globais para a administração de objetos que mudam freqüentemente. Grupos locais (Domain local group): São grupos que somente podem receber permissões para os recursos do domínio onde foram criados, porém podem ter como membros, grupos e usuários de outros domínios. Em resumo:
Outros grupos Locais do próprio domínio.
Conforme detalhado anteriormente, um domínio baseado no Active Directory pode estar em diferentes modos (Windows 2000 Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades em relação aos grupos Globais:
Quando devem ser utilizados grupos Locais: Os grupos Locais são utilizados para atribuir permissões de acesso aos recursos da rede. Conforme discutirei, em detalhes, no Capítulo 11, a Microsoft recomenda uma estratégia baseada nos seguintes passos:
Bem, feitas as apresentações teóricas sobre grupos, agora você aprenderá a executar as operações básicas com grupos, tais como criar um novo grupo, adicionar usuários, remover usuários do grupo, renomear grupos, excluir grupos e converter um grupo de um tipo para outro. Como criar um grupo no Windows Server?Os servidores podem ser membros de mais de um grupo.. No menu Gerenciar , clique em criar Grupo de Servidores.. Na caixa de texto Nome do grupo de servidores, digite um nome fácil para seu grupo de servidores, como Servidores Contábeis.. Como criar usuários no Windows Server?Para adicionar uma conta de usuário
Abra o Painel do Windows Server Essentials. Na barra de navegação, clique em Usuários. No painel Tarefas de Usuários, clique em Adicionar uma conta de usuário.
Como criar um grupo de usuários no Windows Server 2016?Como criar usuários no Windows Server 2016 Essentials. Informe o nome do usuário a senha e também o tipo (standard ou administrator) e clique em Next.. Informe o tipo de permissão que o usuário terá nas pastas compartilhadas e clique em Next.. Defina os tipo de acesso remoto que o usuário terá e clique em Create Account.. Como criar um grupo de usuários no Windows Server 2012?Criando Grupo de Usuários no Windows Server 2012 Essentials R2. Informe o nome do Grupo e clique em Next.. Selecione os usuários que farão parte do grupo e clique em ADD e depois Next.. Informe o nível de acesso que esse grupo terá nas pastas compartilhadas do Servidor e clique em Next.. |