Vous êtes sur la page 1sur 57

Mdulo 3: Gerenciamento de objetos dos Servios de Domnio do Active Directory Contedo:

Viso geral do mdulo Lio 1: Lio 2: Lio 3: Lio 4: Laboratrio: Gerenciamento de contas de usurio Gerenciamento de contas de grupo Gerenciamento de contas de computador Delegao da administrao Gerenciamento de objetos dos er!ios de Dom"nio do #cti!e Director$ %e!iso e in&orma'es complementares do mdulo

Viso geral do mdulo


As contas de usurio so componentes undamentais da se!urana de rede" Arma#enadas no AD DS $Servios de Domnio do Active Directory%&' elas identi icam os usurios para ins de autenticao e autori#ao" Devido ( sua import)ncia' uma compreenso das contas de usurio e das tare as relacionadas ao suporte a elas * um aspecto undamental da administrao de uma rede corporativa do sistema operacional +indo,s% Server" -mbora usurios e computadores' e at* mesmo servios' mudem com o passar do tempo' as un.es e as re!ras corporativas tendem a permanecer mais estveis" Sua empresa provavelmente tem uma uno inanceira /ue re/uer determinados recursos na empresa" 0$s& usurio$s& /ue e1ecuta$m& essa uno pode$m& mudar com o passar do tempo' mas a uno permanecer relativamente a mesma" 2or esse

motivo' no * sensato !erenciar uma rede corporativa atribuindo direitos e permiss.es a usurios' computadores ou identidades de servio individuais" -m ve# disso' voc3 deve associar tare as de !erenciamento a !rupos" 4onse/uentemente' * importante /ue voc3 saiba como usar !rupos para identi icar un.es administrativas e de usurio' para iltrar a 2oltica de Grupo' para atribuir polticas de sen5a e1clusivas e para atribuir direitos e permiss.es" 0s computadores' assim como os usurios' so entidades de se!urana: 6 -les t3m uma conta com nome de lo!on e sen5a /ue o +indo,s Server altera automaticamente periodicamente" 6 -les so autenticados com o domnio" 6 -les podem pertencer a !rupos' ter acesso a recursos e voc3 pode con i!ur7los usando a 2oltica de Grupo"

0 !erenciamento de computadores' tanto dos objetos no AD DS /uanto dos dispositivos sicos' * uma das tare as dirias da maioria dos pro issionais de 89" :ovos computadores so adicionados ( sua or!ani#ao' colocados o line para reparos' trocados entre usurios ou un.es e desativados ou atuali#ados" 4ada uma dessas atividades re/uer o !erenciamento da identidade do computador' /ue * representada por seu objeto' ou conta' e o AD DS" 4omo resultado' * importante /ue voc3 saiba como criar e !erenciar objetos de computador" -m or!ani#a.es pe/uenas' uma pessoa pode ser responsvel por e1ecutar todas essas tare as administrativas dirias" 2or*m' em !randes redes corporativas' com mil5ares de usurios e computadores' isso * invivel" ; importante /ue um administrador de empresa saiba como dele!ar tare as administrativas espec icas a usurios ou !rupos desi!nados para asse!urar /ue a administrao da empresa seja e iciente e e etiva"

Objetivos
Ao concluir este mdulo' voc3 ser capa# de:

6 Gerenciar contas de usurio com erramentas !r icas" 6 Gerenciar contas de !rupo com erramentas !r icas" 6 Gerenciar contas de computador" 6 Dele!ar permiss.es para e1ecutar a administrao do AD DS"

Lio 1 : Gerenciamento de contas de usurio


<m objeto de usurio no AD DS * muito mais do /ue apenas propriedades relacionadas ( identidade de se!urana' ou ( conta' do usurio" -le * a base da identidade e do acesso no AD DS" 2ortanto' processos consistentes' e icientes e se!uros relativos ( administrao das contas de usurio so a base do !erenciamento da se!urana corporativa"

Objetivos da lio
Ao concluir esta lio' voc3 ser capa# de: 6 -1ibir objetos do AD DS usando vrias erramentas de administrao do AD DS" 6 -1plicar como criar contas de usurio /ue podem ser usadas em uma rede corporativa" 6 Descrever como con i!urar atributos importantes de conta de usurio" 6 Descrever como criar per is de usurio" 6 -1plicar como !erenciar as contas de usurio"

Ferramentas de administrao do AD DS

Antes de comear a criar e !erenciar contas de usurio' !rupo e computador' * importante /ue voc3 entenda /uais erramentas pode usar para e1ecutar essas diversas tare as de !erenciamento"

Snap-ins administrativos do Active Directory


A maioria da administrao do AD DS * e1ecutada com os se!uintes snap7ins e consoles: 6 <surios e 4omputadores do Active Directory" -sse snap7in !erencia a maioria dos recursos cotidianos comuns' incluindo usurios' !rupos' computadores e 0<s $unidades or!ani#acionais&" ; provvel /ue ele seja o snap7in mais usado por um administrador do Active Directory" 6 Servios e sites do Active Directory" -sse snap7in !erencia replicao' topolo!ia de rede e servios relacionados" 6 Domnios e rela.es de con iana do Active Directory" -sse snap7in con i!ura e mant*m rela.es de con iana e o nvel uncional da loresta" 6 Snap7in -s/uema do Active Directory" -sse snap7in e1amina e modi ica a de inio dos atributos e objetos de classe do Active Directory" -le * o plano !r ico do AD DS" -le * raramente e1ibido e ainda mais raramente alterado" 2ortanto' o snap7in -s/uema do Active Directory no * instalado' por padro"

(bser!ao: 2ara administrar o AD DS de um computador /ue no seja um controlador de domnio' voc3 deve instalar o =SA9 $>erramentas de Administrao de Servidor =emoto&" 0 =SA9 * um recurso /ue pode ser instalado do n =ecursos do Gerenciador de Servidor no +indo,s Server%

?@A?"

Boc3 tamb*m pode instalar o =SA9 em clientes +indo,s' incluindo o +indo,s Bista% Service 2acC A $ou mais recente&' o +indo,s D e o +indo,s E" Depois /ue voc3 bai1ar os ar/uivos de instalao do =SA9 do site da Microso t' e1ecute o Assistente de 4on i!urao' /ue o orientar atrav*s da instalao" Aps instalar o =SA9' ative a$s& erramenta$s& /ue deseja usar" 2ara isso' no 2ainel de 4ontrole' no aplicativo 2ro!ramas e =ecursos' use o comando #ti!ar ou desati!ar recursos do )indo*s"

Leitura adicional: 2ara bai1ar os ar/uivos de instalao do =SA9' consulte o 4entro de Do,nload da Microso t em +ttp:,,go-microso&t-com,&*lin.,/Lin.0D1222334"

Central Administrativa do Active Directory


0 +indo,s Server ?@A? ornece outra opo para !erenciar os objetos do AD DS" 0 4entral Administrativa do Active Directory ornece uma G<8 $inter ace !r ica do usurio& compilada no +indo,s 2o,erS5ell%" -ssa inter ace aprimorada l5e permite e1ecutar o !erenciamento dos objetos AD DS por meio de nave!ao orientada a tare as" As tare as /ue voc3 pode e1ecutar usando o 4entral Administrativa do Active Directory incluem: 6 4riar e !erenciar contas de usurio' computador e !rupo" 6 4riar e !erenciar unidades or!ani#acionais" 6 4onectar7se a vrios domnios dentro de uma Fnica inst)ncia do 4entral Administrativa do Active Directory e !erenci7los" 6 2es/uisar e iltrar os dados do Active Directory' compilando consultas"

Windows PowerShell

Boc3 pode usar o mdulo do Active Directory para o +indo,s 2o,erS5ell $mdulo Active Directory& para criar e !erenciar objetos no AD DS" 0 +indo,s 2o,erS5ell no s * uma lin!ua!em de scripts como tamb*m l5e permite e1ecutar comandos /ue reali#am tare as administrativas' como criar novas contas de usurio' con i!urar servios' e1cluir cai1as de correio e un.es semel5antes" 0 +indo,s 2o,erS5ell * instalado' por padro' no +indo,s Server ?@A?' mas o mdulo Active Directory apenas est presente /uando: 6 Boc3 instala a uno de servidor AD DS ou AD GDS $Active Directory Gi!5t,ei!5t Directory Services&" 6 Boc3 e1ecuta Dcpromo"e1e para elevar um computador a um controlador de domnio" 6 Boc3 instala o =SA9"

Ferramentas de linha de comando do servio de diret rio


Boc3 tamb*m pode usar as erramentas de lin5a de comando de Servio de Diretrio' al*m do +indo,s 2o,erS5ell" -ssas erramentas permitem criar' modi icar' !erenciar e e1cluir objetos AD DS' como usurios' !rupos e computadores" Boc3 pode usar os se!uintes comandos: 6 Dsadd" <se para criar novos objetos" 6 Dsget" <se para e1ibir objetos e as respectivas propriedades" 6 Dsmod" <se para editar objetos e as respectivas propriedades" 6 Dsmo!e" <se para mover objetos" 6 Ds5uer$" <se para consultar objetos no AD DS /ue correspondem aos crit*rios ornecidos" 6 Dsrm" <se para e1cluir objetos"

(bser!ao: ; possvel redirecionar os resultados do comando Ds5uer$ para outros comandos do servio de diretrio" 2or e1emplo' se voc3 di!itar o se!uinte em um prompt de comando' o nFmero de tele one do escritrio de todos os usurios cujo nome comea com Ho5n sero retornados" ds/uery user Iname Ho5nJ K ds!et user Io ice

Criao de contas de !s!"rio

:o AD DS' todos os usurios /ue e1i!em acesso aos recursos de rede devem ser con i!urados com uma conta de usurio" 4om essa conta de usurio' os usurios podem se autenticar no domnio do AD DS e receber acesso aos recursos de rede" :o +indo,s Server ?@A?' uma conta de usurio * um objeto /ue cont*m todas as in orma.es /ue de inem um usurio" <ma conta de usurio inclui o nome de usurio e a sen5a e associa.es de !rupo" <ma conta de usurio tamb*m cont*m vrias outras con i!ura.es /ue voc3 pode de inir com base em seus re/uisitos or!ani#acionais" 4om uma conta de usurio' voc3 pode: 6 2ermitir ou ne!ar permisso a usurios para a#er lo!on em um computador com base na identidade de sua conta de usurio" 6 2ermitir acesso dos usurios a processos e servios para um conte1to de se!urana espec ico"

6 Gerenciar o acesso dos usurios a recursos' como objetos do AD DS e respectivas propriedades' pastas compartil5adas' ar/uivos' diretrios e ilas de impressora"

<ma conta de usurio permite /ue um usurio aa lo!on em computadores e domnios com uma identidade /ue possa ser autenticada pelo domnio" Ao criar uma conta de usurio' voc3 deve ornecer um nome de lo!on de usurio /ue deve ser e1clusivo no domnioL loresta em /ue a conta de usurio * criada" 2ara ma1imi#ar a se!urana' voc3 deve evitar /ue vrios usurios compartil5em uma Fnica conta e' em ve# disso' !arantir /ue cada usurio /ue a# lo!on na rede ten5a uma conta de usurio e uma sen5a e1clusiva"

(bser!ao: -mbora as contas do AD DS sejam o oco deste curso' voc3 tamb*m pode arma#enar contas de usurio no banco de dados SAM $!erenciador de contas de se!urana& local de cada computador' 5abilitando o lo!on e o acesso local aos recursos locais" A maioria das contas de usurio locais est al*m do escopo deste curso"

Criao de contas de !s!"rio


<ma conta de usurio inclui o nome de usurio e a sen5a' /ue servem como as credenciais de lo!on de um usurio" <m objeto de usurio tamb*m inclui vrios outros atributos /ue descrevem e !erenciam o usurio" Boc3 pode usar o snap7in <surios e 4omputadores do Active Directory' 4entral Administrativa do Active Directory' +indo,s 2o,erS5ell ou a erramenta de lin5a de comando dsadd-e6e para criar um objeto de usurio" Ao criar contas de usurio locais' considere as se!uintes propriedades: 6 A propriedade de conta de usurio :ome completo * usada para criar vrios atributos de um objeto de usurio' particularmente' as propriedades 4: $nome comum& e nome para e1ibio" 0 4: de um usurio * o nome e1ibido no painel de

detal5es do snap7in e deve ser e1clusivo dentro do cont3iner ou da unidade or!ani#acional" Se estiver criando um objeto de usurio para uma pessoa com o mesmo nome de um usurio e1istente na mesma unidade or!ani#acional ou no mesmo cont3iner' voc3 precisar inserir um nome e1clusivo no campo 7ome completo" 6 A propriedade Go!on <2: do usurio consiste em um pre i1o de nome de lo!on de usurio e um su i1o <2: /ue ser acrescentado ao nome de lo!on de usurio aps o smbolo M" o 0s nomes de usurio no AD DS podem conter caracteres especiais' incluindo pontos' 5 ens e apstro os" -sses caracteres especiais permitem !erar nomes de usurio precisos' como 0NOare e Smit57Pates" 2or*m' certos aplicativos podem ter outras restri.es' portanto' recomendamos /ue voc3 use apenas numerais e letras padro at* testar completamente os aplicativos em seu ambiente corporativo para veri icar a compatibilidade com caracteres especiais" o Boc3 pode !erenciar a lista de su i1os <2: disponveis usando o snap7in Domnios e =ela.es de 4on iana do Active Directory" 4li/ue com o boto direito do mouse na rai# do snap7in' cli/ue em 8ropriedadese use a !uia u&i6os 987 para adicionar ou remover su i1os" 0 nome D:S de seu domnio do AD DS est sempre disponvel como su i1o' e voc3 no pode remov37lo"

(bser!ao: ; importante /ue voc3 implemente uma estrat*!ia de nomeao de conta de usurio' principalmente em !randes redes onde os usurios podem compartil5ar o mesmo nome completo" <ma combinao de sobrenome e nome' e onde or necessrio' caracteres adicionais' deve resultar em um nome de conta de usurio e1clusivo" -speci icamente' somente o nome <2: deve ser e1clusivo na sua loresta do AD DS" 0 :ome completo somente precisa ser e1clusivo dentro da unidade or!ani#acional em /ue reside' en/uanto o :ome de usurio SamAccount:ame deve ser e1clusivo dentro desse domnio"

Con#i$!rao dos atrib!tos da conta de !s!"rio

Ao criar uma conta de usurio no AD DS' voc3 tamb*m con i!ura todas as propriedades de conta ou os atributos associados"

(bser!ao: 0s atributos associados a uma conta de usurio so de inidos como parte do es/uema AD DS' /ue os membros do !rupo de se!urana Administradores de -s/uema podem modi icar" Geralmente' o es/uema no * alterado com re/u3ncia" 2or*m' /uando um aplicativo de nvel empresarial $como o Microso t% -1c5an!e Server ?@A@& * introdu#ido' vrias altera.es de es/uema so necessrias" -ssas altera.es permitem /ue objetos' incluindo objetos de usurio' ten5am atributos adicionais"

Ao criar um novo objeto de usurio' voc3 no precisa de inir vrios atributos al*m dos necessrios para permitir /ue o usurio aa lo!on usando a conta" 4omo um objeto de usurio pode ser associado a vrios atributos' * importante /ue voc3 entenda o /ue so esses atributos e como voc3 pode us7los em sua or!ani#ao"

Cate$orias de atrib!to
0s atributos de um objeto de usurio esto includos em vrias cate!orias abran!entes" -ssas cate!orias so e1ibidas no painel de nave!ao da cai1a de dilo!o 8ropriedades do 9surio no 4entral Administrativa do Active Directory e incluem o se!uinte: 6 :onta" Al*m das propriedades de nome do usurio $7ome' 0nicial do segundo nome' obrenome' 7ome completo& e dos diversos nomes de lo!on do usurio $Logon 987 do usurio' Logon do usurio am#ccount7ame&' voc3 pode

con i!urar as se!uintes propriedades adicionais: o ;orrio de logon" -ssa propriedade de ine /uando a conta pode ser usada para acessar os computadores de domnio" Boc3 pode usar a e1ibio de estilo de calendrio semanal para de inir o 5orrio de lo!on permitido e o 5orrio de lo!on ne!ado" o <a=er logon em" <se essa propriedade para de inir /uais computadores um usurio pode usar para a#er lo!on no domnio" -speci i/ue o nome do computador e adicione7o a uma lista de computadores permitidos" o Vencimento da conta" -sse valor * Ftil /uando voc3 desejar criar contas de usurio de uso temporrio" 2or e1emplo' voc3 talve# /ueira criar contas de usurio para esta!irios /ue sejam usadas apenas por um ano" Boc3 pode usar esse valor para de inir antecipadamente uma data de validade da conta" A conta no poder ser usada aps a data de validade at* ser recon i!urada manualmente por um administrador" o ( usurio de!er alterar a sen+a no pr6imo logon" -ssa propriedade permite orar um usurio a de inir a prpria sen5a na pr1ima ve# /ue ele i#er lo!on" 8sso * normalmente al!o /ue voc3 pode 5abilitar aps rede inir a sen5a de um usurio" o :arto inteligente necessrio para logon interati!o" -sse valor rede ine a sen5a do usurio a um se/u3ncia aleatria comple1a de caracteres e de ine uma propriedade /ue e1i!e /ue o usurio utili#e um carto inteli!ente para se autenticar durante o lo!on" o # sen+a nunca e6pira" -ssa * uma propriedade normalmente usada com contas de servio' ou seja' as contas /ue no so usadas por usurios normais' mas pelos servios" Ao de inir esse valor' lembre7se de atuali#ar a sen5a manualmente periodicamente' por*m' voc3 no * orado a a#er essa atuali#ao em um intervalo predeterminado" 4onse/uentemente' a conta nunca poder ser blo/ueada devido ( e1pirao da sen5a' um recurso particularmente importante para contas de servio" o ( usurio no pode alterar a sen+a" -m !eral' essa opo tamb*m * usada para contas de servio"

o #rma=ene sen+a c, criptogra&ia re!ers"!el" -ssa poltica o erece suporte a aplicativos /ue usam protocolos /ue necessitam con5ecer a sen5a do usurio para ins de autenticao" 0 arma#enamento de sen5as /ue usam cripto!ra ia reversvel * essencialmente o mesmo /ue arma#enar vers.es das sen5as com te1to sem ormatao" 2or esse motivo' essa poltica nunca deve ser 5abilitada' a menos /ue os re/uisitos do aplicativo sejam maiores /ue a necessidade de prote!er as in orma.es de sen5a" -ssa poltica * necessria ao usar a autenticao 4OA2 atrav*s de acesso remoto ou o 8AS $Servio de Autenticao da 8nternet&" -la tamb*m * necessria ao usar a autenticao Di!est no 88S $Servios de 8n orma.es da 8nternet&" o # conta > con&i!el para delegao" Boc3 pode usar essa propriedade para permitir /ue uma conta de servio represente um usurio padro para acessar recursos de rede em nome de um usurio" 6 (rgani=ao" 8sso inclui propriedades do usurio' como o 7ome para e6ibio' o ?scritrio' o ?ndereo de email' vrios nFmeros de tele one de contato' estrutura administrativa' departamento e nomes de empresa' endereos etc" 6 @embro de" -ssa seo permite /ue voc3 de ina as associa.es de !rupo do usurio" 6 8er&il" -ssa seo permite /ue voc3 con i!ure um local para os dados pessoais do usurio e de ina um local para salvar o per il de rea de trabal5o do usurio /uando ele i#er lo!o " 6 ?6tens'es" -ssa seo e1p.e vrias propriedades de usurio adicionais' cuja maioria normalmente no re/uer con i!urao manual"

Criao de per#is de !s!"rio

Quando os usurios a#em lo!o ' as con i!ura.es de sua rea de trabal5o e de seus aplicativos so salvos em uma subpasta criada na pasta 4:R<sers do disco r!ido local /ue corresponde ao seu nome de usurio" -ssa pasta cont*m seu per il de usurio" Dentro dessa pasta' so criadas subpastas contendo documentos e con i!ura.es /ue representam o per il do usurio' incluindo Documentos' Bdeos' 8ma!ens e Do,nloads" Se um usurio provavelmente i#er lo!on de maneira interativa em mais de uma estao de trabal5o cliente' * pre ervel /ue essas con i!ura.es e esses documentos estejam disponveis nessas outras esta.es de trabal5o cliente" 4omo administrador' voc3 tem vrios m*todos /ue podem ser usados para asse!urar /ue os usurios possam acessar seus per is de vrias esta.es de trabal5o"

Con#i$!rao das propriedades de conta de !s!"rio para $erenciar per#is


A utili#ao das con i!ura.es de conta de usurio no 4entral Administrativa do Active Directory permite /ue voc3 de ina as propriedades a se!uir relativas ao per il da rea de trabal5o de um usurio: 6 :amin+o do per&il" -sse camin5o pode ser local ou' mais normalmente' um camin5o <:4" As con i!ura.es de rea de trabal5o do usurio so arma#enadas no per il" Aps voc3 de inir um per il de usurio usando um camin5o <:4' /ual/uer computador de domnio /ue atender ao lo!on de um usurio disponibili#ar suas con i!ura.es de rea de trabal5o" 8sso * con5ecido como perfil mvel"

(bser!ao: 4omo prtica recomendada' use uma subpasta da pasta base do usurio para o camin5o de per il do usurio"

cript de logon" -sse script * o nome de um ar/uivo em lotes contendo comandos e1ecutados /uando o usurio i#er lo!on" :ormalmente' voc3 usa esses comandos para criar mapeamentos de unidade" -m ve# de usar um ar/uivo em lotes de script de lo!on' os administradores normalmente implementam os scripts de lo!on usando G20s $0bjetos de 2oltica de Grupo& ou as pre er3ncias da 2oltica de Grupo" Se voc3 usar um script de lo!on' esse valor dever estar apenas no ormato de um nome de ar/uivo $com e1tenso&" 0s scripts devem ser arma#enados na pasta 4:R+indo,sRSSSB0GRdomainRscripts de todos os controladores de domnio"

6 8asta base" -sse valor permite criar uma rea de arma#enamento pessoal na /ual os usurios podem salvar seus documentos pessoais" Boc3 pode especi icar um camin5o local ou' mais normalmente' um camin5o <:4 para a pasta do usurio" Boc3 tamb*m deve especi icar uma letra de unidade usada para mapear uma unidade de rede para o camin5o <:4 especi icado" -m se!uida' voc3 poder con i!urar os documentos pessoais de um usurio para essa pasta base redirecionada"

%so da Pol&tica de 'r!po para $erenciar per#is


4omo alternativa para usar as con i!ura.es de conta de usurio individual' voc3 tamb*m pode usar G20s para !erenciar essas con i!ura.es" Boc3 pode de inir as con i!ura.es de =edirecionamento de 2asta usando o -ditor de Gerenciamento de 2oltica de Grupo para abrir um G20 para edio e' em se!uida' nave!ar at* o n 4on i!urao do <surioR2olticasR4on i!ura.es do +indo,s" -ssas con i!ura.es cont3m os subns da tabela a se!uir"

ubns do n :on&igura'es do )indo*s


6 AppData $=oamin!& 6 8ma!ens 6 Do,nloads

6 6 6

Trea de 9rabal5o Menu 8niciar Documento

6 6 6 6

MFsica Bdeos >avoritos 4ontatos

6 6 6

GinCs 2es/uisas Ho!os Salvos

Boc3 pode usar esses subns para de inir todos os aspectos de per il de rea de trabal5o de um usurio e as con i!ura.es de aplicativo" 2ara um determinado subn' como Documentos' voc3 pode escol5er entre o redirecionamento Psico e Avanado" :o redirecionamento Psico' todos os usurios a etados pelo G20 t3m a pasta Documentos redirecionada para uma subpasta nomeada individual ora de uma pasta rai# comum de inida por um nome <:4' por e1emplo' RRG0:7 SB=AR<suriosR" 0 redirecionamento avanado permite /ue voc3 use a associao de !rupo de se!urana para determinar onde as con i!ura.es e os documentos de um usurio sero arma#enados"

Demonstrao( 'erenciamento de contas de !s!"rio


-sta demonstrao mostra a voc3 como: 6 Abrir o 4entral Administrativa do Active Directory" 6 -1cluir uma conta de usurio" 6 4riar uma nova conta de usurio" 6 Mover a conta de usurio"

)tapas da demonstrao Abrir o Central Administrativa do Active Directory


6 -m G0:7D4A' abra o :entral #dministrati!a do #cti!e Director$"

)*cl!ir !ma conta de !s!"rio


6 Gocali#e -d Meado,s na unidade or!ani#acional Mana!ers e e1clua a conta"

Criar !ma nova conta de !s!"rio


6 4rie uma nova conta de usurio denominada ?d @eado*s" Beri i/ue se a conta oi criada com uma sen5a orte"

+over a conta de !s!"rio


6 Mova a conta -d Meado,s para a unidade or!ani#acional 89"

Lio 2: Gerenciamento de contas de grupo


-mbora possa ser prtico atribuir permiss.es e recursos a contas de usurio individuais em redes pe/uenas' isso ica impraticvel e ine iciente em !randes redes corporativas" 2or e1emplo' se vrios usurios precisarem do mesmo nvel de acesso a uma pasta' ser mais e iciente criar um !rupo contendo as contas de usurio necessrias e' depois' atribuir o !rupo (s permiss.es e1i!idas" 4omo bene cio adicional' isso permite /ue voc3 altere as permiss.es de ar/uivo de um usurio' adicionando7os ou removendo7os de !rupos' em ve# de editar as permiss.es de ar/uivo diretamente" Antes de implementar !rupos em sua or!ani#ao' voc3 deve entender o escopo dos vrios tipos de !rupo do +indo,s Server e como us7los mel5or para !erenciar o acesso aos recursos ou atribuir direitos e capacidades de !erenciamento"

Objetivos da lio
Ao concluir esta lio' voc3 ser capa# de:

6 Descrever os tipos de !rupo" 6 Descrever os escopos do !rupo" 6 -1plicar como implementar o !erenciamento do !rupo" 6 Descrever os !rupos padro" 6 Descrever as identidades especiais" 6 Gerenciar !rupos no +indo,s Server"

,ipos de $r!po

-m uma rede corporativa baseada no +indo,s Server ?@A?' 5 dois tipos de !rupo: se!urana e distribuio" Ao criar um !rupo' escol5a o tipo e o escopo de !rupo" 0s !rupos de distribuio' /ue no so 5abilitados para se!urana' so usados principalmente por aplicativos de email" 8sso si!ni ica /ue eles no t3m S8Ds' portanto' eles no podem obter permisso para recursos" 0 envio de uma mensa!em a um !rupo de distribuio a# com /ue ela seja enviada a todos os membros do !rupo" 0s !rupos de se!urana so entidades de se!urana com S8Ds" 2ortanto' voc3 pode usar esses !rupos em entradas de permisso de A4Gs $listas de controle de acesso& para controlar a se!urana do acesso aos recursos" Boc3 tamb*m pode usar !rupos de se!urana como meio de distribuio para aplicativos de email" Se voc3 desejar usar um !rupo para !erenciar a se!urana' ele deve ser um !rupo de se!urana"

(bser!ao: 0 tipo de !rupo padro * se!urana"

4omo voc3 pode usar !rupos de se!urana para acesso a recursos e distribuio de emails' vrias or!ani#a.es usam apenas !rupos de se!urana" 2or*m' recomendamos /ue se um !rupo or usado apenas para distribuio de emails' voc3 crie o !rupo como um !rupo de distribuio" 4aso contrrio' o !rupo receber um S8D' /ue ser adicionado ao toCen de acesso de se!urana do usurio' podendo resultar em um aumento de taman5o desnecessrio do toCen de se!urana"

(bser!ao: 4onsidere /ue' /uando voc3 adicionar um usurio a um !rupo de se!urana' o toCen de acesso do usurio' /ue autentica os processos do usurio' somente ser atuali#ado /uando o usurio entrar no servio" 2ortanto' se o usurio j estiver conectado' ele dever a#er lo!o e lo!on novamente para atuali#ar seu toCen de acesso com /ual/uer associao de !rupo alterada"

(bser!ao: 0 bene cio da utili#ao de !rupos de distribuio ica mais evidente nas implanta.es do -1c5an!e Server de !rande escala' principalmente onde 5 uma necessidade de anin5ar esses !rupos de distribuio pela empresa"

)scopos de $r!po

0 +indo,s Server ?@A? d suporte ao escopo de !rupo" 0 escopo de um !rupo determina o intervalo de recursos ou permiss.es de um !rupo e a associao de

!rupo" O /uatro escopos de !rupo: 6 Gocal" -sse tipo de !rupo * destinado a servidores ou esta.es de trabal5o autUnomas' em servidores membro de domnio /ue no so controladores de domnio ou em esta.es de trabal5o membro de domnio" 0s !rupos locais so verdadeiramente locais' ou seja' eles s esto disponveis no computador em /ue e1istem" As caractersticas importantes de um !rupo local so: o Boc3 s pode atribuir recursos e permiss.es em recursos locais' ou seja' no computador local" o 0s membros podem ser de /ual/uer local da loresta AD DS e podem incluir: V Qual/uer entidade de se!urana do domnio: usurios' computadores' !rupos !lobais ou !rupos locais de domnio" V <surios' computadores e !rupos !lobais de /ual/uer domnio na loresta" V <surios' computadores e !rupos !lobais de /ual/uer domnio con ivel" V Grupos universais de inidos em /ual/uer domnio na loresta" 6 Domnio Gocal" -sse tipo de !rupo * principalmente usado para !erenciar o acesso aos recursos ou para atribuir responsabilidades $direitos& de !erenciamento $direitos&" 0s !rupos de domnios locais e1istem nos controladores de domnio de uma loresta AD DS e' conse/uentemente' o escopo do !rupo * locali#ado para o domnio em /ue residem" As caractersticas importantes dos !rupos de domnios locais so: o Boc3 s pode atribuir recursos e permiss.es em recursos do domnio local' ou seja' em todos os computadores do domnio local" o 0s membros podem ser de /ual/uer local da loresta AD DS e podem incluir: V Qual/uer entidade de se!urana do domnio: usurios' computadores' !rupos !lobais ou !rupos locais de domnio" V <surios' computadores e !rupos !lobais de /ual/uer domnio na loresta"

V <surios' computadores e !rupos !lobais de /ual/uer domnio con ivel" V Grupos universais de inidos em /ual/uer domnio na loresta" 6 Global" -sse tipo de !rupo * principalmente usado para consolidar usurios com caractersticas semel5antes" 2or e1emplo' os !rupos !lobais so !eralmente usados para consolidar os usurios /ue a#em parte de um departamento ou de um local !eo!r ico" As caractersticas importantes dos !rupos !lobais so: o Boc3 pode atribuir recursos e permiss.es em /ual/uer local da loresta" o 0s membros s podem ser do domnio local e podem incluir: V <surios' computadores e !rupos !lobais do domnio local" 6 <niversal" -sse tipo de !rupo * muito Ftil em redes de vrios domnios' pois combina as caractersticas dos !rupos de domnios locais e dos !rupos !lobais" -speci icamente' as caractersticas importantes dos !rupos universais so: o Boc3 pode atribuir recursos e permiss.es em /ual/uer local da loresta' assim como ocorre com os !rupos !lobais" o 0s membros podem ser de /ual/uer local da loresta AD DS e podem incluir: V <surios' computadores e !rupos !lobais de /ual/uer domnio na loresta" V Grupos universais de inidos em /ual/uer domnio na loresta" o As propriedades dos !rupos universais so propa!adas para o catlo!o !lobal e disponibili#adas pela rede corporativa em todos os controladores de domnio /ue 5ospedam a uno de catlo!o !lobal" 8sso torna as listas de associao dos !rupos universais mais acessveis' o /ue pode ser Ftil em cenrios de vrios domnios" 2or e1emplo' se um !rupo universal or usado para ins de distribuio de e7mail' o processo para determinar a lista de associao normalmente ser mais rpido nas redes distribudas de vrios domnios"

-mplementao do $erenciamento de $r!pos

A adio de !rupos a outros !rupos * um processo denominado aninhamento" 0 anin5amento cria uma 5ierar/uia de !rupos /ue do suporte (s suas un.es corporativas e re!ras de !erenciamento" <ma prtica recomendada para o anin5amento de !rupos * con5ecida como 8GDGA /ue * um acrUnimo para o se!uinte: 6 8dentidades 6 Grupos !lobais 6 Grupos de domnios locais 6 Acesso

As identidades $contas de usurio e de computador& so membros dos !rupos !lobais' /ue representam un.es corporativas" -sses !rupos de un.es $!rupos !lobais& so membros dos !rupos de domnios locais' /ue representam as re!ras de !erenciamento' por e1emplo' determinando /uem tem permisso de leitura para um conjunto espec ico de pastas" -sses !rupos de re!ras $!rupos de domnios locais& obt3m acesso aos recursos" :o caso de uma pasta compartil5ada' o acesso * concedido adicionando o !rupo de domnios locais ( A4G da pasta' com uma permisso /ue ornece o nvel de acesso apropriado" -m uma loresta de vrios domnios' 5 tamb*m !rupos universais' /ue so ajustados entre os !rupos !lobais e os !rupos de domnios locais" 0s !rupos !lobais de vrios domnios so membros de um Fnico !rupo universal" -sse !rupo universal

* membro dos !rupos de domnios locais em vrios domnios" Boc3 talve# se lembre do anin5amento como 8G<DGA"

)*emplo de -'D.A
-sta i!ura do slide representa uma implementao de !rupo /ue re lete a e1ibio t*cnica de prticas recomendadas de !erenciamento de !rupo $8GDGA& e a e1ibio comercial do !erenciamento baseado em re!ras e un.es" 4onsidere o cenrio a se!uir" A ora de vendas da 4ontoso' Gtd acabou de concluir seu ano iscal" 0s ar/uivos de vendas do ano anterior esto em uma pasta denominada Sales" A ora de vendas necessita de acesso de leitura a essa pasta" Al*m disso' uma e/uipe de auditores do +ood!rove PanC' um investidor potencial' necessita de acesso de leitura ( pasta Sales para e1ecutar a auditoria" -1ecute as etapas a se!uir para implementar a se!urana necessria a este cenrio: A" Atribua responsabilidades do car!o ou outras caractersticas comerciais comuns aos usurios para os !rupos de un.es implementados como !rupos de se!urana !lobais" >aa isso separadamente em cada domnio" 0s vendedores da 4ontoso so adicionados a um !rupo de un.es SalesW os auditores do +ood!rove PanC so adicionados a um !rupo de uno Auditores" ?" 4rie um !rupo para !erenciar o acesso (s pastas Sales com permisso de leitura" 8mplemente isso no domnio contendo o recurso /ue est sendo !erenciado" :esse caso' a pasta Sales reside no domnio 4ontoso" 2ortanto' crie o !rupo de re!ras de !erenciamento de acesso aos recursos como um !rupo de domnios locais denominado A4GXSales >oldersX=ead" 3" Adicione os !rupos de un.es ao !rupo de re!ras de !erenciamento de acesso aos recursos para representar a re!ra de !erenciamento" -sses !rupos podem ser provenientes de /ual/uer domnio na loresta ou de um domnio con ivel' como o +ood!rove PanC" 0s !rupos !lobais dos domnios e1ternos con iveis' ou de /ual/uer domnio na mesma loresta' podem ser membros de um !rupo de domnios locais"

Y"

Atribua a permisso /ue implementa o nvel de acesso necessrio" :esse caso' conceda a permisso 2ermitir Ger ao !rupo de domnios locais"

-ssa estrat*!ia resulta em dois Fnicos pontos de !erenciamento' redu#indo a sobrecar!a de !erenciamento" <m ponto de !erenciamento de ine /uem est em Sales' o outro ponto de !erenciamento de ine /uem * Auditor" 4omo * provvel /ue essas un.es ten5am acesso a uma variedade de recursos al*m da pasta Sales' 5 um outro ponto de !erenciamento Fnico para determinar /uem tem acesso de leitura ( pasta Sales" Al*m disso' a pasta Sales talve# no seja a Fnica pasta em um Fnico servidorW ela pode ser um conjunto de pastas em vrios servidores e' cada uma delas atribui a permisso 2ermitir Ger ao Fnico !rupo de domnios locais"

'r!pos padro

0 servidor do +indo,s Server ?@A? cria vrios !rupos automaticamente" -les so denominados grupos locais padroe incluem !rupos con5ecidos' como Administradores' 0peradores de PacCup e <surios da Trea de 9rabal5o =emota" O !rupos adicionais criados em um domnio' ambos nos cont3ineres Puiltin e <surios' incluindo Admins" do Domnio' Administradores de -mpresa e Administradores de -s/uema" A lista a se!uir e1ibe um resumo dos recursos para o subconjunto de !rupos padro com permiss.es e direitos de usurio si!ni icativos relacionados ao !erenciamento do AD DS: 6 Administradores de -mpresa $no cont3iner <surios do domnio rai# da loresta&"

-sse !rupo * membro do !rupo Administradores em cada domnio da loresta' o /ue l5e concede acesso completo ( con i!urao de todos os controladores de domnio" -le tamb*m possui a partio de con i!urao do diretrio e tem controle total do conte1to de nomenclatura de domnio em todos os domnios de loresta" 6 Administradores de -s/uema $cont3iner <surios do domnio rai# da loresta&" -sse !rupo possui e tem controle total do es/uema do Active Directory" 6 Administradores $cont3iner interno de cada domnio&" 0s membros desse !rupo t3m controle completo sobre todos os controladores de domnio e dados no conte1to de nomenclatura de domnio" -les podem alterar a associao de todos os outros !rupos administrativos no domnio' e o !rupo Administradores no domnio rai# da loresta pode alterar a associao de Administradores de -mpresa' Administradores de -s/uema e Admins" do Domnio" 0 !rupo Administradores no domnio rai# da loresta * comprovadamente o !rupo de administrao de servio mais poderoso da loresta" 6 Admins" do Domnio $cont3iner <surios de cada domnio&" -sse !rupo * adicionado ao !rupo Administradores de seu domnio" 2ortanto' ele 5erda todos os recursos do !rupo Administradores" 2or padro' ele tamb*m * adicionado ao !rupo local Administradores de cada computador membro de domnio' dando a Admins" do Domnio a propriedade de todos os computadores de domnio" 6 0pers de servidores $cont3iner interno de cada domnio&" 0s membros desse !rupo podem e1ecutar tare as de manuteno nos controladores de domnio" -les t3m o direito de a#er lo!on localmente' iniciar e parar servios' e1ecutar opera.es de bacCup e restaurao' ormatar discos' criar ou e1cluir compartil5amentos e desli!ar controladores de domnio" 2or padro' esse !rupo no tem membros" 6 0peradores de 4onta $cont3iner interno de cada domnio&" 0s membros desse !rupo podem criar' modi icar e e1cluir contas de usurios' !rupos e computadores locali#ados em /ual/uer unidade or!ani#acional do domnio $e1ceto na unidade or!ani#acional 4ontroladores de Domnio& e no cont3iner <surios e 4omputadores" 0s membros do !rupo 0perador de 4onta no podem modi icar as contas /ue so membros dos !rupos Administradores ou Admins" do Domnio nem modi icar esses !rupos" 0s membros do !rupo 0perador de 4onta tamb*m

podem a#er lo!on localmente nos controladores de domnio" 2or padro' esse !rupo no tem membros" 6 0peradores de PacCup $cont3iner interno de cada domnio&" 0s membros desse !rupo podem e1ecutar opera.es de bacCup e restaurao nos controladores de domnio' a#er lo!on localmente e desli!ar os controladores de domnio" 2or padro' esse !rupo no tem membros" 6 0peradores de 8mpresso $cont3iner interno de cada domnio&" 0s membros desse !rupo podem manter a ilas de impresso nos controladores de domnio" -les tamb*m podem a#er lo!on localmente e desli!ar os controladores de domnio"

Boc3 precisa !erenciar cuidadosamente os !rupos padro /ue ornecem privil*!ios administrativos' pois eles !eralmente t3m privil*!ios mais amplos do /ue necessrio para a maioria dos ambientes dele!ados e por/ue eles aplicam proteo com re/u3ncia aos seus membros" 0 !rupo 0peradores de 4onta * um bom e1emplo disso" Se voc3 e1aminar os recursos do !rupo 0peradores de 4onta na lista anterior' poder veri icar /ue os membros desse !rupo t3m direitos muito amplos" -les podem inclusive a#er lo!on localmente em um controlador de domnio" -m redes muito pe/uenas' esses direitos provavelmente seriam apropriados para um ou dois indivduos /ue normalmente seriam os administradores de domnio de /ual/uer orma" -m !randes empresas' os direitos e as permiss.es concedidas ao !rupo 0peradores de 4onta !eralmente so bem mais amplos" Al*m disso' o !rupo 0peradores de 4onta *' assim como os outros !rupos administrativos' um !rupo prote!ido" 0s !rupos prote!idos so de inidos pelo sistema operacional e no podem ser desprote!idos" 0s membros de um !rupo prote!ido tornam7se prote!idos por associao" 0 resultado da proteo * /ue as permiss.es $A4Gs& dos membros so modi icadas' para /ue eles no 5erdem mais as permiss.es de sua unidade or!ani#acional e recebam uma cpia de uma A4G bastante restritiva" 2or e1emplo' se voc3 adicionar He >ord ao !rupo 0peradores de 4onta' a conta dele icar prote!ida

e o suporte t*cnico' /ue pode rede inir todas as outras sen5as de usurio na unidade or!ani#acional >uncionrios' no poder rede inir a sen5a de He >ord" 9ente evitar adicionar usurios aos !rupos /ue no t3m membros por padro $0peradores de 4onta' 0peradores de PacCup' 0pers de servidores e 0peradores de 8mpresso&" -m ve# disso' crie !rupos personali#ados aos /uais voc3 atribuir permiss.es e direitos de usurio para atender aos seus re/uisitos administrativos e de ne!cios" 2or e1emplo' se Scott Mitc5ell puder e1ecutar opera.es de bacCup em um controlador de domnio' mas no conse!uir e1ecutar opera.es de restaurao /ue possam levar a uma reverso ou corrupo do banco de dados e no conse!uir desli!ar um controlador de domnio' no o colo/ue no !rupo 0peradores de PacCup" -m ve# disso' crie um !rupo e atribua a ele somente o direito de usurio >a#er PacCup de Ar/uivos e Diretrios e' em se!uida' adicione Scott como um membro"

-dentidades especiais

0 +indo,s e o AD DS tamb*m do suporte a identidades especiais' /ue so !rupos para os /uais a associao * controlada pelo sistema operacional" Boc3 no pode e1ibir os !rupos em /ual/uer lista $no snap7in <surios e 4omputadores do Active Directory' por e1emplo&' no pode e1ibir ou modi icar a associao dessas identidades especiais nem pode adicion7los a outros !rupos" 2or*m' voc3 pode usar esses !rupos para atribuir direitos e permiss.es" As identidades especiais mais importantes' !eralmente denominadas grupos $por

conveni3ncia&' so descritas na lista a se!uir: 6 Go!on AnUnimo" -ssa identidade representa as cone1.es com um computador e seus recursos /ue so eitas sem /ue sejam ornecidos nome de usurio e sen5a" Antes do +indo,s Server ?@@3' esse !rupo era membro do !rupo 9odos" A partir do +indo,s Server ?@@3' esse !rupo no * mais membro padro do !rupo 9odos" 6 <surios Autenticados" =epresenta as identidades /ue oram autenticadas" -sse !rupo no inclui a conta 4onvidado' mesmo /ue ela ten5a uma sen5a" 6 9odos" -ssa identidade inclui o !rupo <surios Autenticados e a conta 4onvidado" $:os computadores /ue e1ecutam vers.es do sistema operacional +indo,s Server /ue antecedem o +indo,s Server ?@@3' esse !rupo inclui a identidade Go!on AnUnimo"& 6 8nterativo" =epresenta os usurios /ue esto acessando um recurso durante sua cone1o local com o computador /ue est 5ospedando o recurso' ao contrrio dos usurios /ue esto acessando o recurso na rede" Quando um usurio acessa um determinado recurso em um computador ao /ual est conectado localmente' ele * automaticamente adicionado ao !rupo 8nterativo para esse recurso" 0 !rupo 8nterativo tamb*m inclui os usurios /ue a#em lo!on atrav*s de uma cone1o de Trea de 9rabal5o =emota" 6 =ede" =epresenta os usurios /ue esto acessando um recurso na rede' ao contrrio dos usurios /ue esto conectados localmente no computador /ue est 5ospedando o recurso" Quando um usurio acessa /ual/uer recurso espec ico na rede' ele * automaticamente adicionado ao !rupo =ede para esse recurso"

A import)ncia dessas identidades especiais * /ue voc3 pode us7las para ornecer acesso aos recursos com base no tipo de autenticao ou cone1o' em ve# de usar a conta de usurio" 2or e1emplo' voc3 pode criar uma pasta em um sistema /ue permita aos usurios e1ibir conteFdo da pasta /uando eles estiverem conectados localmente no sistema' mas /ue no permita /ue esses mesmos usurios e1ibam o conteFdo de uma unidade mapeada na rede" 2ara /ue isso seja possvel' atribua permiss.es ( identidade especial interativa"

Demonstrao( 'erenciamento de $r!pos


-sta demonstrao mostra a voc3 como: 6 4riar um novo !rupo" 6 Adicionar membros ao !rupo" 6 Adicionar um usurio ao !rupo" 6 Alterar o tipo e escopo do !rupo" 6 Modi icar a propriedade Gerenciado por do !rupo"

)tapas da demonstrao Criar !m novo $r!po


A" ?" -m G0:7D4A' abra o :entral #dministrati!a do #cti!e Director$" 4rie um novo !rupo de se!urana !lobal na unidade or!ani#acional 89 denominado 0A @anagers"

Adicionar membros ao $r!po


6 Adicione vrios usurios ao novo !rupo"

Adicionar !m !s!"rio ao $r!po


6 Adicione ?d @eado*s ao !rupo 0A @anagers"

Alterar o tipo e o escopo do $r!po


6 :as propriedades do !rupo 0A @anagers' altere o escopo do !rupo para 9ni!ersal e o tipo de !rupo para Distribuio"

+odi#icar a propriedade 'erenciado por do $r!po


6 Adicione ?d @eado*s ( lista Gerenciado por e' em se!uida' conceda a ele a permisso ( gerente pode atuali=ar a lista de membros"

Lio 3: Gerenciamento de contas de computador


<ma conta de computador comea seu ciclo de vida /uando voc3 o cria e in!ressa no seu domnio" Depois disso' as tare as administrativas dirias incluiro o se!uinte: 6 4on i!urao das propriedades do computador" 6 Movimentao do computador entre unidades or!ani#acionais" 6 Gerenciamento do prprio computador" 6 =enomeao' rede inio' desabilitao' 5abilitao e' inalmente' e1cluso do objeto de computador"

; importante /ue voc3 saiba como e1ecutar essas vrias tare as de !erenciamento de computador para poder con i!urar e manter os objetos de computador dentro de sua or!ani#ao"

Objetivos da lio
Ao concluir esta lio' voc3 ser capa# de: 6 -1plicar a inalidade do cont3iner 4omputadores do AD DS" 6 Descrever como con i!urar o local das contas de computador" 6 -1plicar como controlar /uem tem permisso para criar contas de computador" 6 Descrever as contas de computador e o canal de se!urana" 6 -1plicar como rede inir o canal de se!urana"

O /!e 0 o cont1iner Comp!tadores2

Antes de voc3 criar um objeto de computador no servio de diretrio' * necessrio /ue ten5a um local para coloc7lo" Quando voc3 criar um domnio' o cont3iner 4omputadores ser criado por padro $4:Z4omputers&" -sse cont3iner no * uma unidade or!ani#acionalW ele * um objeto da classe 4ont3iner" O di erenas sutis' mas importantes entre um cont3iner e uma unidade or!ani#acional" Boc3 no pode criar uma unidade or!ani#acional dentro de um cont3iner' portanto' no pode subdividir a unidade or!ani#acional 4omputadores" Boc3 tamb*m no pode vincular um G20 a um cont3iner" 2ortanto' recomendamos /ue voc3 crie unidades or!ani#acionais personali#adas para 5ospedar os objetos de computador' em ve# de usar o cont3iner 4omputadores"

)speci#icao do local das contas de comp!tador

A maioria das or!ani#a.es cria' no mnimo' duas unidades or!ani#acionais para os objetos de computador: uma para os servidores e outra para 5ospedar as contas dos computadores cliente' como reas de trabal5o' laptops e outros sistemas de usurio" -ssas duas unidades or!ani#acionais so adicionais ( unidade or!ani#acional 4ontroladores de Domnio criada por padro durante a instalao do AD DS" 0s objetos de computador so criados nas duas unidades or!ani#acionais" :o 5 nen5uma di erena t*cnica entre um objeto de computador na unidade or!ani#acional de um cliente e um objeto de computador na unidade or!ani#acional de um servidor ou de um controlador de domnioW os objetos de computador so objetos de computador" 2or*m' unidades or!ani#acionais separadas !eralmente so criadas para ornecer escopos e1clusivos de !erenciamento' para /ue voc3 possa dele!ar o !erenciamento dos objetos de cliente a uma e/uipe e o !erenciamento dos objetos de servidor ( outra" Seu modelo administrativo posteriormente talve# precise dividir as unidades or!ani#acionais de cliente e de servidor" Brias or!ani#a.es criam subunidades or!ani#acionais sob a unidade or!ani#acional de servidor para coletar e !erenciar tipos espec icos de servidores" 2or e1emplo' voc3 pode criar uma unidade or!ani#acional para servidores de ar/uivo e impresso e uma unidade or!ani#acional para servidores de banco de dados" Desse modo' voc3 poder dele!ar permiss.es para !erenciar os objetos de computador na unidade or!ani#acional apropriada ( e/uipe de administradores de cada tipo de servidor" Da mesma orma' as or!ani#a.es distribudas !eo!ra icamente com e/uipes de suporte de rea de trabal5o locais !eralmente dividem uma unidade or!ani#acional pai para os clientes em subunidades or!ani#acionais para cada site" -ssa aborda!em permite /ue a e/uipe de suporte de cada site crie objetos de computador no site para computadores cliente e in!resse os computadores no domnio usando esses objetos de computador" 8ndependentemente desses e1emplos espec icos' o mais importante * /ue a estrutura de sua unidade or!ani#acional re lita seu modelo administrativo' de modo /ue as suas unidades or!ani#acionais possam ornecer pontos de !erenciamento Fnicos para a dele!ao da administrao"

Al*m disso' ao usar unidades or!ani#acionais separadas' voc3 poder criar vrias con i!ura.es de lin5a de base usando G20s di erentes /ue so vinculados (s unidades or!ani#acionais de cliente e de servidor" 4om a 2oltica de Grupo' voc3 pode especi icar a con i!urao para cole.es de computadores' vinculando G20s /ue cont3m instru.es de con i!urao a unidades or!ani#acionais" ; comum as or!ani#a.es separarem os clientes em unidades or!ani#acionais de rea de trabal5o e de laptop" Boc3 pode vincular os G20s /ue especi icam a con i!urao da rea de trabal5o ou do laptop (s unidades or!ani#acionais apropriadas"

(bser!ao: Boc3 pode usar a erramenta de lin5a de comando %edircmp-e6e para recon i!urar o cont3iner de computador padro" 2or e1emplo' se desejar alterar o cont3iner de computador padro para uma unidade or!ani#acional denominada mycomputers' use esta sinta1e: redircmp ouZmycomputers'D4Zcontoso'dcZcom

Controle de permiss3es para criar contas de comp!tador

2ara in!ressar um computador em um domnio do Active Directory' /uatro condi.es devem ser satis eitas: 6 <m objeto de computador deve e1istir no servio de diretrio" 6 Boc3 deve ter permiss.es apropriadas no objeto de computador /ue l5e permitam in!ressar um computador sico no domnio usando um nome /ue corresponda ao e1istente no objeto no AD DS" 6 Boc3 deve ser membro do !rupo local Administradores no computador" 8sso l5e permitir alterar o domnio do computador ou a associao do !rupo de trabal5o"

6 Boc3 no deve ter e1cedido o nFmero m1imo de contas de computador /ue * possvel adicionar ao domnio" 2or padro' os usurios somente podem adicionar' no m1imo' de# computadores ao domnioW esse valor * con5ecido como a cota de conta da mquina e * controlado pelo valor de MS7DS7Mac5ineQuota" Boc3 pode modi icar esse valor usando o snap7in do ADS8-dit"

(bser!ao: Boc3 no precisa criar um objeto de computador no servio de diretrio' mas isso * recomendvel" Brios administradores in!ressam computadores em um domnio sem primeiro criar um objeto de computador" 2or*m' /uando voc3 a# isso' o +indo,s Server tenta in!ressar o domnio em um objeto e1istente" Quando o +indo,s Server no locali#a o objeto' ele reali#a ailbacC e cria um objeto de computador no cont3iner padro 4omputador"

0 processo de criao antecipada de uma conta de computador * denominado prconfigurao de um computador" O duas vanta!ens principais de pr*7con i!urar um computador: 6 A conta * colocada na unidade or!ani#acional correta e' portanto' * dele!ada de acordo com a poltica de se!urana de inida pela A4G da unidade or!ani#acional" 6 0 computador estar dentro do escopo dos G20s vinculados ( unidade or!ani#acional' antes de o computador in!ressar no domnio"

Aps receber permisso para criar objetos de computador' voc3 poder a#er isso clicando com o boto direito do mouse na unidade or!ani#acional e' no menu 7o!o' clicando em :omputador" -m se!uida' insira o nome do computador' se!uindo a conveno de nomenclatura de sua empresa' e selecione o usurio ou o !rupo /ue ter permisso para in!ressar o computador no domnio com essa conta" 0 dois nomes computador' :ome de 4omputador e :ome de 4omputador $anterior ao +indo,s ?@@@&' devem ser id3nticos" Muito raramente 5 uma justi icativa para con i!ur7los separadamente"

Dele$ao de permiss3es
2or padro' os !rupos Administradores de -mpresa' Admins" do Domnio' Administradores e 0peradores de 4onta t3m permisso para criar objetos de computador em /ual/uer nova unidade or!ani#acional" 2or*m' con orme discutido anteriormente' recomendamos /ue voc3 restrinja a associao ri!orosamente nos tr3s primeiros !rupos e no adicione Administradores ao !rupo 0peradores de 4onta" :esse caso' dele!ue a permisso para criar objetos de computador $denominada 4riar 4omputador objetos& aos administradores ou ( e/uipe de suporte apropriada" -ssa permisso' /ue * atribuda ao !rupo de uma unidade or!ani#acional' permite /ue os membros do !rupo criem objetos de computador nessa unidade or!ani#acional" 2or e1emplo' voc3 pode permitir /ue sua e/uipe de suporte de rea de trabal5o crie objetos de computador na unidade or!ani#acional de clientes e /ue seus administradores de servidor de ar/uivos criem objetos de computador na unidade or!ani#acional de servidores de ar/uivos" 2ara dele!ar permiss.es para criar contas de computador' voc3 pode usar o Assistente para Dele!ao de 4ontrole a im de escol5er uma tare a personali#ada para dele!ar" Ao dele!ar permiss.es para !erenciar contas de computador' voc3 pode conceder permiss.es adicionais al*m das necessrias para criar contas de computador" 2or e1emplo' voc3 pode decidir permitir /ue um administrador dele!ado !erencie as propriedades das contas de computador e1istentes' e1cluir a conta de computador ou mover a conta de computador"

(bser!ao: Se desejar permitir /ue um administrador dele!ado mova contas de computador' observe /ue ele re/uer a permisso apropriada tanto no cont3iner do AD DS $onde o computador j e1iste& /uanto no cont3iner de destino $para o /ual mover o computador&" -speci icamente' ele deve ter as permiss.es -1cluir 4omputador no cont3iner de ori!em e as permiss.es 4riar 4omputador no cont3iner de destino"

Contas de comp!tador e canais de se$!rana

9odo computador membro de um domnio do AD DS mant*m uma conta de computador com um nome de usurio $SamAccount:ame& e uma sen5a' da mesma orma /ue uma conta de usurio" 0 computador arma#ena sua sen5a na orma de um se!redo GSA $autoridade de se!urana local& e altera a sen5a no domnio a cada 3@ dias apro1imadamente" 0 servio :etGo!on usa as credenciais para a#er lo!on no domnio' /ue estabelece o canal de se!urana com um controlador de domnio" As contas de computador e as rela.es se!uras entre computadores e seu domnio so robustas" :o entanto' al!uns cenrios podem ocorrer em /ue um computador no consi!a mais se autenticar com o domnio" Al!uns e1emplos desses cenrios so apresentados a se!uir: 6 Aps reinstalar o sistema operacional em uma estao de trabal5o' a estao de trabal5o no conse!ue se autenticar' embora o t*cnico ten5a usado o mesmo nome de computador da instalao anterior" 4omo a nova instalao !erou um novo S8D e o novo computador no sabe a sen5a ori!inal da conta de computador no domnio' ela no pertence ao domnio e no pode se autenticar no domnio"

6 <m computador no oi usado por um lon!o perodo' talve# por/ue o usurio estivesse de *rias ou trabal5ando lon!e do escritrio" 0s computadores mudam de sen5a a cada 3@ dias' e o AD DS lembra7se das sen5as atual e anterior" Se o computador no or usado dentro desse perodo' poder ocorrer al5a da autenticao" 6 0 se!redo GSA de um computador ica ora de sincroni#ao com a sen5a con5ecida do domnio" Boc3 pode ima!inar /ue o computador ten5a es/uecido a

sen5a" -mbora no ten5a es/uecido a sen5a' ele simplesmente discorda do domnio em relao ( sen5a real" Quando isso ocorrer' o computador no poder ser autenticado' e o canal de se!urana no poder ser criado"

4ede#inio do canal de se$!rana

0casionalmente' a relao de se!urana entre uma conta de computador e seu domnio pode ser interrompida' o /ue resulta em vrios sintomas e erros" 0s sinais mais comuns de problemas com a conta de computador so: 6 As mensa!ens no lo!on indicam /ue um controlador de domnio no pode ser contatado' /ue a conta de computador pode estar ausente' /ue a sen5a na conta de computador est incorreta ou /ue a relao de con iana $outro modo de denominar a relao de segurana& entre o computador e o domnio oi perdida" 6 As mensa!ens de erro ou os eventos no lo! de eventos indicam problemas semel5antes ou su!erem al5as de sen5as' rela.es de con iana' canais de se!urana ou rela.es com o domnio ou com um controlador de domnio" <m desses erros * o [:-9G0G0: 8D do -vento 3?A@: >al5a na autenticao\ /ue aparece no lo! de eventos do computador" 6 <ma conta de computador est ausente no AD DS"

Quando o canal de se!urana al5ar' voc3 deve rede ini7lo" Brios administradores a#em isso removendo o computador do domnio' colocando7o em um !rupo de

trabal5o e' em se!uida' rein!ressando7o no domnio" 2or*m' essa no * uma prtica recomendada' pois tem a possibilidade de e1cluir a conta de computador completamente" A e1cluso da conta de computador remove o S8D do computador e' principalmente' suas associa.es de !rupo" Quando voc3 rein!ressa7o no domnio e1ecutando esse procedimento' embora o computador ten5a o mesmo nome' a conta tem um novo S8D e todas as associa.es de !rupo do objeto de computador anterior devem ser recriadas para incluir o novo S8D" 2ortanto' se a relao de con iana com o domnio tiver sido perdida' no remova um computador do domnio e depois rein!resse7o" -m ve# disso' rede ina o canal de se!urana" 8sso !arantir /ue a conta de computador e1istente poder ser reutili#ada" 2ara rede inir o canal de se!urana entre um membro de domnio e o domnio' use o snap7in <surios e 4omputadores do Active Directory' DSMod"e1e' :etDom"e1e ou :G9est"e1e" Se voc3 rede inir a conta' o S8D do computador permanecer o mesmo e manter suas associa.es de !rupo" 2ara rede inir o canal de se!urana usando o 4entral Administrativa do Active Directory: A" 4li/ue com o boto direito do mouse em um computador e cli/ue em %ede&inir :onta" ?" 3" 4li/ue em im para con irmar sua escol5a" =ein!resse o computador no domnio e reinicie o computador"

2ara rede inir o canal de se!urana usando DSMod: A" -m um prompt de comando' di!ite o se!uinte comando:
dsmod computer ComputerDN reset

?"

=ein!resse o computador no domnio e reinicie o computador"

2ara rede inir o canal de se!urana usando :etDom"e1e' di!ite o se!uinte comando em um prompt de comando' onde as credenciais pertencem ao !rupo local Administradores do computador: netdom reset MachineName Ldomain DomainName L<ser0 UserName L2ass,ord0 ] Pass ord K J^ -sse comando rede ine o canal de se!urana tentando rede inir a sen5a no computador e no domnio' portanto' ele no e1i!e rein!resso ou reiniciali#ao" 2ara rede inir o canal de se!urana usando :G9est"e1e' no computador /ue perdeu sua relao de con iana' di!ite o se!uinte comando em um prompt de comando:

NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER

Boc3 tamb*m pode usar o +indo,s 2o,erS5ell com mdulo Active Directory para rede inir uma conta de computador" 0 e1emplo a se!uir demonstra como rede inir o canal de se!urana entre o computador local e o domnio no /ual * eito seu in!resso" Boc3 deve e1ecutar este comando no computador local:

Test ComputerSecureC !""e# Rep!$r

(bser!ao: Boc3 tamb*m pode rede inir a sen5a de um computador remoto com o +indo,s 2o,erS5ell: invoCe7command 7computername +orCstationA 7scriptblocC ]reset7 computermac5inepass,ord^

Lio 4: Delegao da administrao

-mbora uma Fnica pessoa possa !erenciar uma rede pe/uena com al!umas contas de usurio e de computador' ( medida /ue a rede aumentar' o volume de trabal5o relacionado ao !erenciamento da rede tamb*m aumentar" -m um certo momento' as e/uipes com especiali#a.es espec icas evoluem' cada uma com responsabilidade por al!um aspecto espec ico do !erenciamento de rede" :os ambientes do AD DS' * prtica comum criar unidades or!ani#acionais para or!ani#ar os objetos em rede em uma estrutura departamental ou !eo!r ica e 5abilitar a con i!urao da dele!ao administrativa" ; importante /ue voc3 saiba por /ue e como criar unidades or!ani#acionais e como dele!ar tare as administrativas aos usurios nos objetos dentro dessas unidades or!ani#acionais"

Objetivos da lio
Ao concluir esta lio' voc3 ser capa# de: 6 Descrever as permiss.es do AD DS" 6 Determinar as permiss.es e etivas de AD DS de um usurio em um objeto AD DS" 6 Dele!ar o controle administrativo de um objeto AD DS a um usurio ou !rupo de usurios especi icado"

Permiss3es do AD DS

9odos os objetos AD DS' como usurios' computadores e !rupos' podem ser prote!idos usando uma lista de permiss.es" As permiss.es em um objeto so c5amadas de A4-s $entradas de controle de acesso& e so atribudas a usurios'

!rupos ou computadores' /ue tamb*m so con5ecidos como entidades de se!urana" As A4-s so salvas na DA4G $lista de controle de acesso discricionrio& do objeto' /ue a# parte da A4G do objeto" A A4G cont*m a SA4G $lista de controle de acesso do sistema& /ue inclui con i!ura.es de auditoria" 4ada objeto no AD DS tem sua prpria A4G" Se voc3 tiver permiss.es su icientes' poder modi icar as permiss.es para controlar o nvel de acesso em um objeto AD DS espec ico" A dele!ao do controle administrativo envolve a atribuio de permiss.es /ue !erenciem o acesso a objetos e propriedades no AD DS" Da mesma maneira /ue voc3 pode permitir /ue um !rupo altere ar/uivos em uma pasta' voc3 tamb*m pode permitir /ue um !rupo' por e1emplo' rede ina sen5as em objetos de usurio" A DA4G de um objeto tamb*m permite /ue voc3 atribua permiss.es (s propriedades espec icas de um objeto" 2or e1emplo' voc3 pode permitir $ou ne!ar& permisso para alterar as op.es de tele one e email" 8sso' na verdade' no * apenas uma propriedade" -la orma um conjunto de propriedades /ue inclui vrias propriedades espec icas" A utili#ao de conjuntos de propriedades permite /ue voc3 !erencie acilmente os conjuntos de propriedades mais usados com re/u3ncia" -ntretanto' voc3 tamb*m pode atribuir permiss.es mais !ranulares e permitir ou ne!ar permisso para alterar apenas al!umas in orma.es' como o nFmero de tele one do celular ou o endereo" A atribuio da permisso de suporte t*cnico para rede inir as sen5as de cada objeto de usurio individual * entediante" Mesmo assim' no AD DS' no * uma prtica recomendada atribuir permiss.es a objetos individuais" -m ve# disso' voc3 deve atribuir permiss.es no nvel de unidade or!ani#acional" As permiss.es /ue voc3 atribui a uma unidade or!ani#acional so 5erdadas por todos os objetos da unidade or!ani#acional" 2ortanto' se voc3 der a permisso de suporte t*cnico para rede inir as sen5as dos objetos de usurio e ane1ar essa permisso ( unidade or!ani#acional /ue cont*m os usurios' todos os objetos de usurio dentro dessa unidade or!ani#acional 5erdaro essa permisso" -m apenas uma Fnica etapa' voc3 ter dele!ado essa tare a administrativa"

0s objetos il5o 5erdam as permiss.es do cont3iner pai ou da unidade or!ani#acional" -sse cont3iner ou essa unidade or!ani#acional 5erda suas permiss.es da unidade or!ani#acional do cont3iner pai" Se or uma unidade or!ani#acional ou um cont3iner de primeiro nvel' ele 5erdar as permiss.es do prprio domnio" 0 motivo de os objetos il5o 5erdarem as permiss.es de seus pais * /ue' por padro' cada novo objeto * criado com a opo 0ncluir permiss'es +erd!eis pro!enientes do pai deste objeto 5abilitada"

Permiss3es e#etivas do AD DS

As permiss.es e etivas so as permiss.es resultantes para uma entidade de se!urana $como um usurio ou um !rupo&' com base no e eito cumulativo de cada A4- 5erdada e e1plcita" 2or e1emplo' a sua capacidade de rede inir a sen5a de um usurio pode estar vinculada ( sua associao em um !rupo com permisso =ede inir Sen5a em uma unidade or!ani#acional vrios nveis acima do objeto de usurio" A permisso 5erdada atribuda a um !rupo ao /ual voc3 pertence resulta na permisso e etiva 2ermitir: =ede inir Sen5a" Suas permiss.es e etivas podem ser complicadas /uando voc3 considerar as permiss.es 2ermitir e :e!ar' as A4-s e1plcitas e 5erdadas e o ato de voc3 poder pertencer a vrios !rupos' cada um dos /uais podendo obter permiss.es di erentes" As permiss.es' independentemente de serem atribudas ( sua conta de usurio ou a um !rupo ao /ual voc3 pertence' so e/uivalentes" 8sso si!ni ica /ue uma A4- aplica7 se basicamente a voc3' o usurio" 4omo prtica recomendada' !erencie as permiss.es atribuindo7as a !rupos' mas tamb*m * possvel atribuir A4-s a usurios ou computadores individuais" <ma permisso atribuda diretamente a voc3' o usurio' no * mais importante nem menos importante do /ue uma permisso

atribuda a um !rupo ao /ual voc3 pertence" As permiss.es 2ermitir' /ue permitem acesso' so cumulativas" Quando voc3 pertencer a vrios !rupos' e /uando esses !rupos tiverem obtido permiss.es /ue permitam uma variedade de tare as' voc3 poder e1ecutar todas as tare as atribudas a todos esses !rupos e as tare as atribudas diretamente ( sua conta de usurio" As permiss.es :e!ar' /ue ne!am acesso' substituem as permiss.es 2ermitir e/uivalentes" Se voc3 estiver em um !rupo com permisso para rede inir sen5as e tamb*m estiver em outro !rupo cuja permisso para rede inir sen5as ten5a sido ne!ada' a permisso :e!ar l5e impedir de rede inir sen5as"

(bser!ao: <se raramente as permiss.es :e!ar" :a verdade' * desnecessrio atribuir as permiss.es :e!ar' pois se voc3 no atribuir uma permisso 2ermitir' os usurios no podero e1ecutar a tare a" Antes de atribuir uma permisso :e!ar' certi i/ue7se de /ue voc3 no consi!a atin!ir seu objetivo removendo uma permisso 2ermitir" 2or e1emplo' se desejar dele!ar uma permisso 2ermitir a um !rupo' mas isentar apenas um membro desse !rupo' voc3 poder usar uma permisso :e!ar nessa conta de usurio espec ica en/uanto o !rupo ainda mant*m a permisso 2ermitir"

9oda permisso * !ranular" At* mesmo se osse ne!ado a voc3 a capacidade de rede inir sen5as' ainda seria possvel voc3 obter essa capacidade atrav*s de outras permiss.es 2ermitir para alterar o nome de lo!on ou o endereo de email do usurio" 4omo os objetos il5o 5erdam as permiss.es 5erdveis dos objetos pai' por padro' e como as permiss.es e1plcitas podem substituir as permiss.es 5erdveis' uma permisso e1plcita 2ermitir na verdade substituir uma permisso 5erdada :e!ar" 8n eli#mente' a interao comple1a das permiss.es de usurio' de !rupo' e1plcitas' 5erdadas' 2ermitir e :e!ar podem tornar as permiss.es e etivas entediantes" Boc3 pode usar as permiss.es relatadas pelo comando D #:L ou listadas na !uia #cesso ?&eti!o da cai1a de dilo!o :on&igura'es de egurana #!anadas para comear a avaliar as permiss.es e etivas' mas isso ainda * uma tare a manual"

Demonstrao( Dele$ao do controle administrativo


-sta demonstrao mostra a voc3 como: 6 Dele!ar uma tare a padro" 6 Dele!ar uma tare a personali#ada" 6 -1ibir permiss.es do AD DS resultantes dessas dele!a.es"

)tapas da demonstrao Dele$ar !ma tare#a padro


A" ?" Abra 9surios e :omputadores do #cti!e Director$" <se o Assistente para Dele!ao de 4ontrole para conceder ao !rupo 89 as se!uintes tare as de !erenciamento padro na unidade or!ani#acional 89: o o o :riarB e6cluir e gerenciar contas de usurio %ede&inir sen+as de usurio e &orar alterao no pr6imo logon Ler todas as in&orma'es dos usurios

Dele$ar !ma tare#a personali5ada


6 <se o Assistente para Dele!ao de 4ontrole para conceder ao !rupo 89 as se!uintes permiss.es na unidade or!ani#acional 89: o :ontrole total em objetos de computador o :riar objetos de computador o ?6cluir objetos de computador

)*ibir permiss3es do AD DS res!ltantes dessas dele$a3es


A" Oabilite a e1ibio %ecursos a!anados em <surios e 4omputadores do Active

Directory" ?" 3" -1iba as 8ropriedades da unidade or!ani#acional 89" <se a !uia egurana para veri icar as permiss.es atribudas" >ec5e todas as janelas"

La oratrio: Gerenciamento de o !etos dos "er#ios de Dom$nio do %cti#e Director&


Cen"rio
A A" Datum 4orporation * uma empresa !lobal de en!en5aria e manu atura com sede em Gondres' 8n!laterra" <m escritrio de 89 e um data center esto locali#ados em Gondres para dar suporte ao escritrio de Gondres e a outros locais" =ecentemente' a A" Datum implantou uma in raestrutura do +indo,s Server ?@A? com clientes +indo,s E" Boc3 tem trabal5ado para a A" Datum como especialista de suporte de desCtop e inspecionou os computadores desCtop para solucionar problemas de aplicativo e de rede" Boc3 aceitou uma promoo recentemente para a e/uipe de suporte de servidores" <ma de suas primeiras atribui.es oi con i!urar o servio de in raestrutura para uma nova ilial" 2ara comear a implantao da nova ilial' voc3 est preparando objetos AD DS" 4omo parte dessa preparao' voc3 precisa criar uma unidade or!ani#acional para a ilial e dele!ar permisso para !erenci7la" Depois disso' voc3 precisar criar usurios e !rupos para a nova ilial" >inalmente' voc3 precisar rede inir o canal de se!urana para uma conta de computador /ue perdeu conectividade com o domnio na ilial"

Objetivos
Depois de concluir este laboratrio' voc3 ser capa# de: 6 Dele!ar a administrao de uma ilial"

6 4riar e con i!urar contas de usurio no AD DS" 6 Gerenciar objetos de computador no AD DS"

Con#i$!rao do laborat rio


9empo previsto: _@ minutos

M/uinas virtuais :ome de usurio Sen5a

?YYA@P7G0:7D4A ?YYA@P7G0:74GA ADA9<MRAdministrator 2a``,@rd

:este laboratrio' voc3 usar o ambiente de m/uina virtual disponvel" Antes de iniciar o laboratrio' voc3 deve concluir as se!uintes etapas: A" :o computador 5ost' em 0niciar' aponte para <erramentas #dministrati!as e cli/ue em Gerenciador ;$perCV" ?" :o Gerenciador do Oyper7B%' cli/ue em 2441DECL(7CD:1 e' no painel A.es' cli/ue em 0niciar"

3" Y"

:o painel A.es' cli/ue em :onectar" A!uarde a iniciali#ao da m/uina virtual" -ntre usando as se!uintes credenciais: a" b" c" :ome de usurio: #dministrador Sen5a: 8aFF*Drd Domnio: #D#A9@

a"

=epita as etapas ? a Y para 2441DECL(7C:L1"

)*erc&cio 6( Dele$ao da administrao de !ma #ilial

Cenrio A A" Datum dele!a o !erenciamento de cada ilial a um !rupo espec ico" 8sso permite /ue um uncionrio /ue trabal5a no local seja con i!urado como um administrador /uando necessrio" 4ada ilial tem um !rupo de administradores de ilial capa# de e1ecutar administrao completa dentro da unidade or!ani#acional >ilial" 9amb*m 5 um !rupo de suporte t*cnico de ilial capa# de !erenciar os usurios da unidade or!ani#acional >ilial' mas no outros objetos" Boc3 precisa criar esses !rupos para a nova ilial e dele!ar permiss.es aos !rupos" As principais tare as deste e1erccio so: A" ?" 3" Y" Dele!ar a administrao para Administradores de >ilial Dele!ar um administrador de usurio para o Suporte 9*cnico da >ilial Adicionar um membro a Administradores da >ilial Adicionar um membro ao !rupo Suporte 9*cnico da >ilial

,are#a 6( Dele$ar a administrao para Administradores de Filial

A"

-m G0:7D4A' abra 9surios e :omputadores do #cti!e Director$ e crie no domnio #datum-com uma nova unidade or!ani#acional denominada <ilial 1"

?"

4rie os se!uintes !rupos de se!urana !lobal na unidade or!ani#acional <ilial 1: o o o uporte A>cnico da <ilial 1 #dministradores da <ilial 1 9surios da <ilial 1

3"

Mova ;oll$ Dic.son da unidade or!ani#acional 0A para a unidade or!ani#acional <ilial 1"

Y"

Mova os se!uintes usurios para a unidade or!ani#acional <ilial 1:

o o o o o a"

De!elopmentGEart Duncan @anagersG?d @eado*s @ar.etingG:onnie Vrettos %esearc+GEarbara Hig+etti alesG#rlene ;u&&

Mova o computador L(7C:L1 para a unidade or!ani#acional <ilial 1 e' em se!uida' reinicie o computador L(7C:L1"

_" D"

-ntre em G0:74GA como #D#A9@G#dministrador com a sen5a 8aFF*Drd" -m G0:7D4A' em <surios e 4omputadores do Active Directory' use o Assistente para Dele!ao de 4ontrole para dele!ar a administrao da unidade or!ani#acional <ilial 1 ao !rupo de se!urana #dministradores da <ilial 1' dele!ando as se!uintes tare as comuns e personali#adas: a" Dele!ue as se!uintes tare as comuns: V V :riarB e6cluir e gerenciar contas de usurio %ede&inir sen+as de usurio e &orar mudana de sen+a no pr6imo logon V V V V b" Ler todas as in&orma'es dos usurios :riarB e6cluir e gerenciar grupos @odi&icar os membros de um grupo Gerenciar !"nculos de Direti!as de Grupo

Dele!ue as se!uintes tare as personali#adas: V :riar e e6cluir objetos de computador na unidade organi=acional atual V :ontrolar totalmente os objetos de computador na unidade organi=acional atual

,are#a 7( Dele$ar !m administrador de !s!"rio para o S!porte ,0cnico da Filial

A"

-m G0:7D4A' em <surios e 4omputadores do Active Directory' use o Assistente para Dele!ao de 4ontrole para dele!ar a administrao da unidade or!ani#acional <ilial 1 ao !rupo de se!urana uporte A>cnico da <ilial 1"

?"

Dele!ue as se!uintes tare as comuns: o %ede&inir sen+as de usurio e &orar mudana de sen+a no pr6imo logon o o Ler todas as in&orma'es dos usurios @odi&icar os membros de um grupo

,are#a 8( Adicionar !m membro a Administradores da Filial

A"

-m G0:7D4A' adicione ;oll$ Dic.son ao !rupo !lobal #dministradores da <ilial 1"

?"

Adicione o !rupo !lobal #dministradores da <ilial 1 ao !rupo de domnio local (pers de ser!idor" Saia de G0:7D4A"

3"

-ntre como #D#A9@G;oll$ com a sen5a 8aFF*Drd" Boc3 pode a#er lo!on localmente em um controlador de domnio' pois Oolly pertence indiretamente ao !rupo de domnio local 0pers de servidores"

Y"

:o Gerenciador de Servidor' abra 9surios e :omputadores do #cti!e Director$" 4on irme as credenciais atuais de Oolly na cai1a de dilo!o :ontrole de :onta de 9surio"

a"

9ente e1cluir alesG#aren ?.elund" Boc3 no conse!ue por/ue Oolly no tem as permiss.es necessrias"

_"

9ente e1cluir <ilial 1G?d @eado*s" Boc3 conse!ue por/ue Oolly tem as permiss.es necessrias"

,are#a 9( Adicionar !m membro ao $r!po S!porte ,0cnico da Filial

A"

-m G0:7D4A' adicione Eart Duncan ao !rupo !lobal uporte A>cnico da <ilial 1"

?"

>ec5e <surios e 4omputadores do Active Directory e' em se!uida' ec5e o Gerenciador de Servidor"

3"

Abra o Gerenciador de er!idor e' em se!uida' abra 9surios e :omputadores do #cti!e Director$" :a cai1a de dilo!o :ontrole de :onta de 9surio' especi i/ue #D#A9@G#dministrador e 8aFF*Drd como as credenciais e1i!idas"

(bser!ao: 2ara modi icar a lista de associao 0pers de servidores' voc3 deve ter permiss.es al*m das disponveis no !rupo Administradores da >ilial A"

Y"

Adicione o !rupo !lobal uporte A>cnico da <ilial 1 ao !rupo de domnio local (pers de ser!idores" Saia de G0:7D4A"

a"

-ntre como #D#A9@GEart com a sen5a 8aFF*Drd" Boc3 pode a#er lo!on localmente em um controlador de domnio' pois Part pertence indiretamente ao !rupo de domnio local 0pers de servidores"

_"

Abra o Gerenciador de er!idor e' em se!uida' abra 9surios e :omputadores do #cti!e Director$" 4on irme suas credenciais atuais na cai1a de dilo!o :ontrole de :onta de 9surio"

D"

9ente e1cluir <ilial 1G:onnie Vrettos" Boc3 no conse!ue por/ue Part no tem as permiss.es necessrias"

E" b"

=ede ina a sen5a de 4onnie para 8aFF*Drd" Depois de con irmar a rede inio bem7sucedida da sen5a' saia de G0:7D4A"

A@" -ntre em G0:7D4A como #D#A9@G#dministrador com a sen5a 8aFF*Drd"

%esultados: Depois de concluir este e1erccio' voc3 deve ter criado uma unidade or!ani#acional com 31ito e dele!ado a administrao dela ao !rupo apropriado"

)*erc&cio 7( Criao e con#i$!rao de contas de !s!"rio no AD DS

Cenrio Boc3 recebeu uma lista de novos usurios para a ilial e precisa comear a criar contas de usurio para eles" As principais tare as deste e1erccio so: A" ?" 3" Y" 4riar um modelo de usurio para a ilial De inir as con i!ura.es de modelo 4riar um novo usurio para a ilial' com base no modelo -ntrar como um usurio para testar as con i!ura.es de conta

,are#a 6( Criar !m modelo de !s!"rio para a #ilial

A"

-m G0:7D4A' crie uma pasta denominada ::Gbranc+1Cuserdata' e compartil5e7 a"

?"

Modi i/ue as permiss.es de pasta compartil5ada' para /ue o !rupo Aodos ten5a as permiss.es 8ermitir :ontrole Aotal"

3"

:o Gerenciador de Servidor' abra 9surios e :omputadores do #cti!e Director$ e crie um novo usurio com as se!uintes propriedades na unidade or!ani#acional <ilial 1:

o o o o

:ome completo: IEranc+Itemplate :ome de lo!on do usurio: IEranc+Itemplate Sen5a: 8aFF*Drd :onta desati!ada

,are#a 7( De#inir as con#i$!ra3es de modelo

6 -m G0:7D4A' modi i/ue as se!uintes propriedades da conta IEranc+Itemplate: o 4idade: loug+ o Grupo: 9surios da <ilial 1 o 2asta base: GGlonCdc1Gbranc+1CuserdataGJusernameJ

,are#a 8( Criar !m novo !s!"rio para a #ilial: com base no modelo

A"

-m G0:7D4A' copie a conta de usurio IEranc+Itemplate e con i!ure as se!uintes propriedades: o o o o o :ome: ?d Sobrenome: @eado*s Sen5a: 8aFF*Drd ( usurio de!e alterar a sen+a no pr6imo logon est desmarcada" :onta desati!ada est desmarcada"

?"

Beri i/ue se as propriedades a se!uir oram copiadas durante a criao da conta: o o 4idade: loug+ 4amin5o da pasta base: GGlonCdc1Gbranc+1CuserdataG?d

o 3"

Grupo: 9surios da <ilial 1

Saia de G0:7D4A"

,are#a 9( )ntrar como !m !s!"rio para testar as con#i$!ra3es de conta

A" ?"

Alterne para L(7C:L1 e desconecte7se" -ntre em L(7C:L1 como #D#A9@G?d com a sen5a 8aFF*Drd" Boc3 conse!uiu entrar com 31ito"

3"

Beri i/ue se voc3 tem um mapeamento da unidade c para a pasta base de -d em G0:7D4A"

Y"

Saia de G0:74GA"

%esultados: Depois de concluir este e1erccio' voc3 ter criado e testado com 31ito uma conta de usurio criada a partir de um modelo"

)*erc&cio 8( 'erenciamento de objetos de comp!tador no AD DS

Cenrio <ma estao de trabal5o perdeu sua conectividade com o domnio e no conse!ue autenticar os usurios corretamente" Quando os usurios tentam acessar recursos dessa estao de trabal5o' o acesso * ne!ado" Boc3 precisa rede inir a conta de computador para recriar a relao de con iana entre o cliente e o domnio" As principais tare as deste e1erccio so: A" ?" 3" =ede inir uma conta de computador 0bservar o comportamento /uando um cliente i#er lo!on =ein!ressar o domnio para reconectar a conta de computador

,are#a 6( 4ede#inir !ma conta de comp!tador

A" ?" 3" Y" a"

-m G0:7D4A' entre como #D#A9@G;oll$ com a sen5a 8aFF*Drd" Abra 9surios e :omputadores do #cti!e Director$" 4on irme suas credenciais na cai1a de dilo!o :ontrole de :onta de 9surio" :ave!ue at* <ilial 1" =ede ina a conta de computador L(7C:L1"

,are#a 7( Observar o comportamento /!ando !m cliente #i5er lo$on

A"

Alterne para L(7C:L1 e tente entrar como #D#A9@G?d com a sen5a 8aFF*Drd" <ma mensa!em * e1ibida e in orma /ue ocorreu <al+a na relao de con&iana entre esta estao de trabal+o e o dom"nio primrio"

?"

4li/ue em (K para con irmar a mensa!em"

,are#a 8( 4ein$ressar o dom&nio para reconectar a conta de comp!tador

A" ?"

-ntre em L(7C:L1 como #D#A9@G#dministrador com a sen5a 8aFF*Drd" Abra o 2ainel de 4ontrole' alterne para a e1ibio Lcones grandes e abra istema"

3"

-1iba as :on&igura'es a!anadas do sistema e cli/ue na !uia 7ome do :omputador"

Y"

:a cai1a de dilo!o 8ropriedades do istema' use o boto 0D de %ede para rein!ressar o computador no domnio"

a"

2reenc5a o assistente usando as con i!ura.es a se!uir:

o o o o _" D"

:ome de usurio: administrador Sen5a: 8aFF*Drd Domnio: #D#A9@ Deseja 5abilitar uma conta de usurio de domnio nesse computador: 7o

Quando solicitado' reinicie o computador" -ntre como #D#A9@G?d com a sen5a 8aFF*Drd" Boc3 oi bem7sucedido' pois o computador oi rein!ressado com 31ito"

%esultados: Depois de concluir este e1erccio' voc3 ter rede inido uma relao de con iana com 31ito"

Para se preparar para o pr *imo m d!lo

Quando tiver concludo o laboratrio' retorne as m/uinas virtuais para o estado inicial" 2ara a#er isso' e1ecute estas etapas:

A" ?"

:o computador 5ost' inicie o Gerenciador ;$perCV" :a lista @5uinas Virtuais' cli/ue com o boto direito do mouse em 2441DEC L(7C:L1 e cli/ue em %e!erter"

3" Y"

:a cai1a de dilo!o %e!erter @5uina Virtual' cli/ue em %e!erter" =epita as etapas ? e 3 para ?YYA@P7G0:7D4A"

'e#iso e in(orma)es complementares do mdulo


Per$!ntas de reviso

8ergunta: <ma empresa com iliais em vrias cidades tem membros de uma e/uipe de vendas /ue viajam com re/u3ncia entre domnios" 4ada um desses domnios tem impressoras prprias /ue so !erenciadas usando !rupos de domnios locais" 4omo voc3 pode ornecer acesso a esses membros para as vrias impressoras dos domniosd 8ergunta: Boc3 * responsvel por !erenciar as contas e o acesso aos recursos pelos membros do seu !rupo" <m usurio do seu !rupo * trans erido para outro departamento dentro da empresa" 0 /ue voc3 deve a#er com a conta do usuriod 8ergunta: Qual * a principal di erena entre o cont3iner 4omputadores e uma unidade or!ani#acionald 8ergunta: Quando voc3 deve rede inir uma conta de computadord 2or /ue * mel5or rede inir a conta de computador em ve# de separ7la e depois rein!ress7la no domniod 8ergunta: <m !erente de projeto de seu departamento est iniciando um projeto de !rupo /ue continuar no pr1imo ano" Brios usurios do seu departamento e de outros estaro dedicados ao projeto durante esse perodo" A e/uipe de projeto deve ter acesso aos mesmos recursos compartil5ados" 0 !erente de projeto deve ser capa# de !erenciar as contas de usurio e as contas de !rupo no AD DSW entretanto' voc3 no deseja dar a permisso de !erente de projeto para /ue nada al*m disso seja !erenciado no AD DS" Qual * a mel5or maneira de a#er issod 8ergunta: Boc3 est trabal5ando como um t*cnico de 89 na 4ontoso' Gtd"' !erenciando a in raestrutura baseada no +indo,s Server" Boc3 deve descobrir um m*todo para in!ressar novos computadores baseados no +indo,s E em um domnio durante o processo de instalao' sem a interveno de um usurio ou de um administrador" Qual * a mel5or maneira de a#er issod

Ferramentas
<erramenta
<surios e 4omputadores do

9so
Gerenciar !rupos

(nde encontrar
>erramentas Administrativas

Active Directory Mdulo Active Directory para +indo,s 2o,erS5ell <tilitrios do DS Mdulo Active Directory para +indo,s 2o,erS5ell Djoin"e1e =edircmp"e1e Gerenciar !rupos Gerenciamento de contas de computador Associao o line de domnio Alterar o cont3iner de computador padro DSA4GS -1ibir e modi icar as permiss.es do AD DS Gin5a de comando Gin5a de comando Gin5a de comando Gerenciar !rupos 8nstalado como recurso do +indo,s Gin5a de comando >erramentas Administrativas

Pr"tica recomendada Prticas recomendadas para gerenciamento das contas de usurio


6 :o dei1e os usurios compartil5arem contas de usurio" Sempre crie uma conta de usurio para cada indivduo' at* mesmo se essa pessoa no permanecer muito tempo na sua or!ani#ao" 6 8nstrua os usurios sobre a import)ncia da se!urana da sen5a" 6 4erti i/ue7se de escol5er uma estrat*!ia de nomenclatura para as contas de usurio /ue l5e permita identi icar o usurio ao /ual a conta est relacionada" 4erti i/ue7se tamb*m de /ue a sua estrat*!ia de nomenclatura utili#e nomes e1clusivos dentro do seu domnio"

Prticas recomendadas para gerenciamento de grupos


6 Ao !erenciar o acesso aos recursos' tente usar o !rupo de domnio local e os !rupos de un.es" 6 Somente use !rupos universais /uando necessrio' pois eles sobrecarre!am o tr e!o de replicao" 6 <se o +indo,s 2o,erS5ell com o Mdulo Active Directory para os trabal5os em

lotes nos !rupos" 6 -vite adicionar usurios a !rupos internos e padro"

Prticas recomendadas relacionadas ao gerenciamento das conta de computador


6 Sempre provisione uma conta de computador antes de in!ressar computadores em um domnio e' em se!uida' colo/ue7a na unidade or!ani#acional apropriada" 6 =edirecione o cont3iner de computador padro para outro local" 6 =ede ina a conta de computador' em ve# de separ7la e rein!ress7la" 6 8nte!re a uncionalidade Associao 0 line de Domnio (s instala.es autUnomas"