Autor: Jlio Battisti www.juliobattisti.com.

br

Tutorial de Active Directory Parte 5

Introduo
Prezados leitores, esta a quinta parte de uma srie de tutoriais sobre o Active Directory. O
Active Directory foi a grande novidade introduzida no Windows 2000 Server e que tambm faz
parte do Windows Server 2003. Mais do que fazer parte, o Active Directory o elemento
principal de uma rede baseada no Windows 2000 Server ou Windows Server 2003, a partir do
qual possvel criar redes de grandes propores, como por exemplo a rede da empresa onde
eu trabalho, a qual tem mais de 20 mil estaes de trabalho em rede. Toda a rede baseada
no Windows 2000 Server e no Active Directory. Nesta srie de tutoriais, mostrarei ao amigo
leitor o que exatamente o Active Directory, quais as suas funes, quais os elementos que
compem o Active Directory e qual a utilizao de Cada um.

Para um curso completo sobre o Active Directory,no Windows 2000 Server, consulte
o livro de minha autoria, indicado a seguir:
MANUAL DE ESTUDOS PARA O EXAME 70-217 752 pginas

Um curso completo de Active Directory no Windows 2000 Server

Para acessar o ndice do livro, use o endereo a seguir:

http://www.juliobattisti.com.br/livros/70-217.asp

Para comprar o livro, use o endereo a seguir:

http://www.juliobattisti.com.br/loja/vendalivro.asp?CODIGO=70217

Para um curso completo sobre o Active Directory,no Windows Server 2003, consulte
o livro de minha autoria, indicado a seguir:
WINDOWS Server 2003 CURSO COMPLETO 1568 pginas

Aprenda sobre o DNS, DHCP, WINS, RRAS, Active Directory, etc.

Para acessar o ndice do livro, use o endereo a seguir:

http://www.juliobattisti.com.br/livros/windows2003.asp

Para comprar o livro, use o endereo a seguir:

http://www.juliobattisti.com.br/loja/vendalivro.asp?CODIGO=WIN3K

Esta srie de tutoriais especialmente indicada para quem est iniciando os seus estudos
sobre o Active Directory e precisa entender, em detalhes, como funcionam as redes baseadas
no Windows 2000 Server ou Windows Server 2003 e no Active Directory.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Conhecendo os principais Objetos de um domnio

Nas partes anteriores desta srie de tutoriais sobre o Active Directory apresentei os conceitos
bsicos sobre diretrios, domnios, unidades organizacionais e rvores de diretrios. A partir
desta parte passarei a descrever os objetos que fazem parte do Active Directory. Na seqncia
falarei sobre os servios que do suporte ao Active Directory, tais como os servios de
replicao e o conceito de relaes de confiana entre diretrios.

Contas de usurios

Todo usurio que precisa ter acesso aos recursos dos computadores do domnio (pastas
compartilhadas, impressoras compartilhadas, etc) deve ser cadastrado no Active Directory.
Cadastrar o usurio, significa criar uma conta de usurio e uma senha. Ao cadastrar um
usurio, outras informaes tais como seo, nome completo, endereo, telefone, etc, podem
ser cadastradas.

Uma conta de usurio um objeto do Active Directory, o qual contm diversas informaes
sobre o usurio, conforme descrito anteriormente. importante salientar que a conta somente
precisa ser criada uma vez, em um dos Controladores de domnio (DCs). Uma vez criada, a
conta ser replicada para todos os demais DCs do domnio.

Voc tambm pode criar contas nos servidores membros e nas estaes de trabalho com
Windows 2000 Professional ou Windows XP Professional. As contas criadas nestes
computadores so ditas contas locais, ou seja, somente existem no computador onde foram
criadas. Vamos imaginar que voc est trabalhando em uma estao de trabalho com o
Windows XP Professional instalado. Esta estao foi configurada para fazer parte do domnio
abc.com.br. Como a estao de trabalho faz parte do domnio, voc ter acesso a lista de
usurios e grupos do domnio. Com isso voc poder, por exemplo, atribuir permisso de
acesso para um usurio do domnio (ou um grupo de usurios do domnio) em uma pasta
compartilhada, na sua estao de trabalho. Nesta mesma estao voc tambm poder criar
contas de usurios e grupos locais, os quais ficam gravados na base de usurios local, a qual
s existe no computador onde ela criada. Cada computador ter a sua prpria base local de
usurios e grupos, alm de ter acesso a lista de usurios e grupos do domnio (caso a estao
de trabalho esteja configurada para fazer parte de um domnio). Estes usurios e grupos
(criados localmente), somente podem receber permisses de acesso para os recursos do
computador onde foram criados. Voc no conseguir atribuir permisso de acesso em uma
pasta compartilhada no servidor, para um usurio local da sua estao de trabalho, pois as
contas e grupos locais, criados no seu computador, no so visveis nos demais
computadores e servidores da rede.

Embora seja tecnicamente possvel a criao de usurios e grupos locais, nos Servidores
Membros e nas estaes de trabalho, esta prtica no recomendada. Quando voc trabalha
em um domnio, o ideal que contas de usurios e grupos sejam criadas somente no domnio,
isto , nos DCs.

Importante: O Administrador pode utilizar o recurso de GPOs Group Polices Objects para
impedir que os usurios possam criar contas de usurios e grupos locais, em suas estaes de
trabalho. O assunto GPOs abordado, em detalhes, no Captulo 18 do seguinte Livro, de
minha autoria: Windows Server 2003 Curso Completo, 1568 pginas. Maiores detalhes sobre
o livro, acesse o seguinte endereo:
http://www.juliobattisti.com.br/loja/vendalivro.asp?CODIGO=WIN3K

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Algumas recomendaes e observaes sobre contas de usurios:

Todo usurio que acessa a rede deve ter a sua prpria conta. No recomendado que
dois ou mais usurios compartilhem a mesma conta e a respectiva senha. A conta a
identidade do usurio para a rede. Por exemplo, quando o usurio jsilva faz o logon no
domnio, a sua conta a sua identidade para o sistema. Todas as aes realizadas pelo
usurio esto associadas a sua conta. O Windows Server 2003 tem um sistema de
auditoria de segurana, no qual o Administrador pode configurar quais aes devem ser
registradas no Log de auditoria. Por exemplo, o administrador pode definir que toda
tentativa de alterar um determinado arquivo seja registrada no log de auditoria. Se o
usurio jsilva tentar alterar o referido arquivo, ficar registrado no logo de auditoria que
o usurio jsilva, no dia tal, hora tal, tentou alterar o arquivo tal. Se dois ou mais
usurios esto compartilhando a mesma conta, fica difcil identificar qual o usurio que
estava logado no momento em que uma determinada ao foi executada. Para o
sistema o jsilva. Agora quem dos diversos usurios que utilizam a conta jsilva que
estava logado e tentou alterar o referido arquivo? Fica difcil saber, para no dizer
impossvel. Por isso a recomendao para que cada usurio seja cadastrado e tenha a
sua prpria conta e senha.

Com base nas contas de usurios e grupos, o administrador pode habilitar ou negar
permisses de acesso aos recursos da rede. Por exemplo, o administrador pode
restringir o acesso a pastas e arquivos compartilhados na rede, definindo quais usurios
podem ter acesso e qual o nvel de acesso de cada usurio leitura, leitura e alterao,
excluso e assim por diante. Mais um bom motivo para que cada usurio tenha a sua
prpria conta e senha.

Padro para nomeao de contas:

Outro detalhe que voc deve observar, a utilizao de um padro para o nome das contas de
usurios. Voc deve estabelecer um padro para a criao de nomes, pois no podem existir
dois usurios com o mesmo nome de logon dentro do mesmo Domnio. Por exemplo se existir
no mesmo Domnio, dois Jos da Silva e os dois resolverem utilizar como logon jsilva,
somente o primeiro conseguir, o segundo ter que se conformar em escolher um outro nome
de logon. Para isso importante que seja definido um padro para a nomeao de contas. No
caso de nomes iguais deve ser definido uma maneira de diferenci-los. Por exemplo
poderamos usar como padro a primeira letra do nome e o ltimo sobrenome. No caso de
nomes iguais, acrescenta-se nmeros. No nosso exemplo o primeiro Jos da Silva cadastrado
ficaria como jsilva, j o segundo a ser cadastrado ficaria como jsilva1. Caso no futuro
tivssemos mais um Jos da Silva dentro da mesma Unidade Organizacional, este seria o
jsilva2 e assim por diante.

Quando for criar nomes de logon para os usurios, leve em considerao os seguintes
detalhes:

Nomes de Usurios do Domnio devem ser nicos dentro do Domnio.

Podem ter no mximo 20 caracteres.
Os seguintes caracteres no podem ser utilizados: / \ : ; [ ] | = , + * ? < >

Sempre que voc for cadastrar um usurio tambm deve ser cadastrada uma senha para o
usurio. O administrador pode especificar um nmero mnimo de caracteres aceito para a
senha. O nmero mximo de caracteres da senha 128.

IMPORTANTE: Para as senhas, o Windows Server 2003 distingue letras maisculas de

minsculas. Por exemplo a senha Abc123 diferente da senha abc123.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Contas de Computador

Estaes de trabalho que rodam o Windows NT Workstation 4.0, Windows 2000 Professional ou
Windows XP Professional e que fazem parte do domnio, devem ter uma conta de computador
no Active Directory. Servidores, quer sejam Member Servers ou DCs, rodando Windows NT
Server 4.0, Windows 2000 Server ou Windows Server 2003, tambm tem contas de
computador no Active Directory.

A conta de computador pode ser criada antes do computador ser adicionado ao domnio ou no
momento em que o computador configurado para fazer parte do domnio. A conta do
computador deve ter o mesmo nome do computador na rede. Por exemplo, um computador
com o nome de microxp01, ter uma conta no Active Directory, com o nome: microxp01.

No Esquea: Computadores rodando Windows 95/98/Me, mesmo tendo acesso a lista de

usurios e grupos do domnio, no tero contas de computador criadas no Active Directory.

Grupos de usurios

Um grupo de usurios uma coleo de contas de usurios. Por exemplo, podemos criar um
grupo chamado Contabilidade, do qual faro parte todos os usurios do departamento de
Contabilidade (todas as contas de usurios dos funcionrios do departamento de
Contabilidade).

A principal funo dos grupos de usurios facilitar a administrao e a atribuio de

permisses para acesso a recursos, tais como: pastas compartilhadas, impressoras remotas,
servios diversos, etc.

Ao invs de dar permisses individualmente, para cada um dos usurios que necessitam
acessar um determinado recurso, voc cria um grupo, inclui os usurios no grupo e atribui
permisses para o grupo. Para que um usurio tenha permisso ao recurso, basta incluir o
usurio no grupo, pois todos os usurios de um determinado grupo, herdam as permisses do
grupo.

Quando um usurio troca de seo, por exemplo, basta trocar o usurio de grupo. Vamos
supor que o usurio jsilva trabalha na seo de contabilidade e pertence ao grupo
Contabilidade. Com isso ele tem acesso a todos os recursos para os quais o grupo
Contabilidade tem acesso. Ao ser transferido para a seo de Marketing, basta retirar o usurio
jsilva do grupo Contabilidade e adicion-lo ao grupo Marketing. Com isso o jsilva deixa de ter
as permisses atribudas ao grupo Contabilidade e passa a ter as mesmas permisses que tem
o grupo Marketing. Este exemplo simples j consegue demonstrar o quanto a utilizao de
grupos pode facilitar a administrao de atribuio de permisses.

Vamos analisar mais um exemplo. Suponha que exista um sistema chamado SEAT, para o qual
somente um nmero restrito de usurios deve ter acesso, sendo que so usurios de
diferentes sees. A maneira mais simples de definir as permisses de acesso ao sistema SEAT
criar um grupo chamado SEAT (ou outro nome qualquer que voc escolha para o grupo, tais
como Usurios do SEAT, ou Acesso ao SEAT, etc.) e dar permisses para esse grupo. Assim
cada usurio que precisar acessar o sistema SEAT, deve ser includo no grupo SEAT. Quando o
usurio no deve mais ter acesso ao sistema SEAT, basta remov-lo do grupo SEAT. Simples,
fcil e muito prtico.

Na Figura a seguir apresento uma ilustrao para o conceito de Grupo de usurios. O Grupo
Contabilidade possui direito para um recurso compartilhado, o qual pode ser acessado atravs
da rede. Todos os usurios que pertencem ao grupo contabilidade, tambm possuem
permisso para acessar o recurso compartilhado, com os mesmos nveis de acesso do grupo
Contabilidade, uma vez que os usurios de um grupo, herdam as permisses do grupo.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Figura - O Usurio herda as permisses do grupo.

Quando estiver trabalhando com grupos de usurios, considere os fatos a seguir:

Grupos so uma coleo de contas de usurios.

Os membros de um grupo, herdam as permisses atribudas ao grupo.
Os usurios podem ser membros de vrios grupos
Grupos podem ser membros de outros grupos.
Contas de computadores podem ser membros de um grupo (novidade do Windows
Server 2003).

Agora vou falar sobre os tipos de grupos existentes no Windows Server 2003. Os grupos so
classificados de acordo com diferentes critrios, tais como: tipo, escopo e visibilidade.

Podemos ter dois tipos de grupos no Windows Server 2003 : Grupos de segurana ( Security
Groups) e Grupos de distribuio (Distribution Groups).

Classificao dos grupos quanto ao tipo

Grupos de segurana: Normalmente utilizados para atribuir permisses de acesso aos

recursos da rede. Por exemplo, ao criar um grupo Contabilidade, o qual conter todas
as contas dos funcionrios do departamento de contabilidade, o grupo ser utilizado
para atribuir permisses de acesso a uma pasta compartilhada. Devo criar este grupo
como sendo do tipo Grupo de segurana. Um grupo de segurana tambm pode ser
utilizado como um grupo de distribuio, embora essa no seja uma situao muito
comum. Esses grupos, assim como as contas de usurios so armazenados no Banco
de dados do Active Directory.

Grupos de distribuio: So utilizados para funes no relacionadas com segurana

(atribuio de permisses) . Normalmente so utilizados em conjunto com servidores
de e-mail, tais como o Exchange Server 2000 ou o Exchange Server 2003, para o envio
de e-mail para um grupo de usurios. Uma das utilizaes tpicas para um Grupo de
distribuio o envio de mensagens de e-mail para um grupo de usurios de uma s
vez. Somente programas que foram programados para trabalhar com o Active
Directory, podero utilizar Grupos de distribuio (como o caso do Exchange 2000
Server citado anteriormente). Provavelmente as novas verses dos principais sistemas
de correio eletrnico estaro habilitadas para trabalhar com o Active Directory. No
possvel utilizar grupos de distribuio para funes relacionadas com segurana.

Importante: possvel converter um grupo do tipo Segurana para distribuio e vice-versa.

Para tal preciso que o domnio esteja, pelo menos, no modo Windows 2000 Nativo. Para
domnios que ainda estejam no modo Windows 2000 Mixed, esta converso no ser possvel.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Nas prximas partes deste tutorial falarei sobre Modos de um Domnio e Modos de uma rvore
de Domnios.

Classificao dos grupos quanto ao Escopo

Quando criamos um grupo de usurios, devemos selecionar um tipo (descrito anteriormente) e

um escopo. O Escopo permite que o grupo seja utilizado de diferentes maneiras para a
atribuio de permisses. O escopo de um grupo, determina em que partes do domnio ou de
uma floresta de domnios, o grupo visvel, ou seja, pode ser utilizado para receber
permisses de acesso aos recursos da rede.

Existem trs escopos para grupos de usurios, conforme descrito a seguir: Universal, Global e
Local do domnio. Vamos apresentar as diversas caractersticas e usos de cada tipo de grupo.

Grupos universais (Universal group):

Como o prprio nome sugere so grupos que podem ser utilizados em qualquer parte de um
domnio ou de uma rvore de domnios e podem conter como membros, grupos e usurios de
quaisquer domnios. Em resumo:

Pode conter: Contas de usurios, outros grupos universais, e grupos globais de

qualquer domnio.
Pode ser membro de: Grupos locais do domnio ou grupos universais de qualquer
domnio.
Pode receber permisses: para recursos localizados em qualquer domnio.

Conforme detalharei nas prximas partes deste tutorial, um domnio baseado no Active
Directory pode estar em diferentes modos (Windows 2000 Nativo, Misto ou Windows Server
2003). Para cada modo existem diferentes possibilidades em relao aos grupos Universais:

Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000

Nativo ou Windows Server 2003, os seguintes elementos podem ser includos como
membros de um grupo universal: Usurios, grupos Globais e grupos Universais de
qualquer domnio da floresta.

Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000

Misto, no possvel criar grupos Universais.

Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000

Nativo ou Windows Server 2003, um grupo Universal pode ser colocado como membro
de um outro grupo Universal e permisses podem ser atribudas em qualquer domnio.

Um grupo pode ser convertido de Universal para Global ou de Universal para Local do
domnio. Nos dois casos esta converso somente pode ser feita se o grupo Universal
no tiver como um de seus membros, outro grupo Universal.

Quando devemos utilizar grupos universais:

Quando voc deseja consolidar diversos grupos globais. Voc pode fazer isso criando
um grupo Universal e adicionando os diversos grupos globais como membros do grupo
Universal.

Importante: Os grupos Universais devem ser muito bem planejados. No devem ser
feitas alteraes freqentes nos membros de um grupo Universal, uma vez que este
tipo de ao causa um volume elevado de replicao no Active Directory. Mais adiante
quando for apresentado o conceito de Catlogo Global e de replicao no Active
Directory, voc ver o quo justificada esta recomendao.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Grupo global:

Um grupo Global global quanto aos locais onde ele pode receber permisses de acesso, ou
seja, um grupo Global pode receber permisses de acesso em recursos (pastas
compartilhadas, impressoras, etc) de qualquer domnio. Em resumo, considere as afirmaes a
seguir:

Pode conter: Contas de usurios e grupos globais do mesmo domnio, ou seja,

somente pode conter membros do domnio no qual o grupo global criado.
Pode ser membro de: Grupos universais e Grupos locais do domnio, de qualquer
domnio e de grupos globais do mesmo domnio.
Pode receber permisses: para recursos localizados em qualquer domnio.

Conforme detalharei nas prximas partes deste tutorial, um domnio baseado no Active
Directory pode estar em diferentes modos (Windows 2000 Nativo, Misto ou Windows Server
2003). Para cada modo existem diferentes possibilidades em relao aos grupos Globais:

Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000

Nativo ou Windows Server 2003, os seguintes elementos podem ser includos como
membros de um grupo Global: contas de usurios e grupos globais do mesmo domnio.
Por exemplo, se voc cria um grupo global chamado WebUsers, no domnio abc.com.br,
este grupo poder conter como membros, grupos globais do domnio abc.com.br e
usurios do domnio abc.com.br

Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000

Misto, somente contas de usurios do prprio domnio que podem ser membros de
um grupo Global. Por exemplo, se voc cria um grupo global chamado WebUsers, no
domnio abc.com.br e este domnio est no modo Misto, ento somente contas de
usurios do domnio abc.com.br que podero ser membros do grupo WebUsers.

Um grupo pode ser convertido de Global para Universal, desde que o grupo Global no
seja membro de nenhum outro grupo Global..

Quando devemos utilizar grupos globais:

Os grupos Globais devem ser utilizados para o gerenciamento dos objetos que sofrem
alteraes constantemente, quase que diariamente, tais como contas de usurios e de
computadores. As alteraes feitas em um grupo Global so replicadas somente dentro do
domnio onde foi criado o grupo Global e no atravs de toda a rvore de domnios. Com isso o
volume de replicao reduzido, o que permite a utilizao de grupos Globais para a
administrao de objetos que mudam freqentemente.

Grupos locais do domnio (Domain local group):

So grupos que somente podem receber permisses para os recursos do domnio onde foram
criados, porm podem ter como membros, grupos e usurios de outros domnios. Em resumo:

Pode conter membros de qualquer domnio.

Somente pode receber permisses para o domnio no qual o grupo foi criado.
Pode conter: Contas de usurios, grupos universais e grupos globais de qualquer
domnio. Outros grupos Locais do prprio domnio.
Pode ser membro de: Grupos locais do prprio domnio.

Conforme detalharei nas prximas partes deste tutorial, um domnio baseado no Active
Directory pode estar em diferentes modos (Windows 2000 Nativo, Misto ou Windows Server
2003). Para cada modo existem diferentes possibilidades em relao aos grupos Globais:

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Quando o nvel de funcionalidade do Domnio est configurado como Windows 2000

Nativo ou Windows Server 2003, os seguintes elementos podem ser includos como
membros de um grupo Local: contas de usurios, grupos universais e grupos globais de
qualquer domnio. Outros grupos locais do prprio domnio.
Um grupo pode ser convertido de Local para Universal, desde que o grupo no tenha
como seu membro um outro grupo Local.

Quando devemos utilizar grupos Locais:

Os grupos Locais so utilizados para atribuir permisses de acesso aos recursos da rede.
Conforme discutirei nas prximas partes deste tutorial, a Microsoft recomenda uma estratgia
baseada nos seguintes passos:

Criar as contas de usurios.

Adicionar as contas de usurios a grupos Globais (confere com o que foi dito
anteriormente, onde falei que os grupos Globais so utilizados para gerenciar os
objetos do dia-a-dia, tais como contas de usurios).
Adicione os grupos globais ou Universais (se for o caso) como membros dos grupos
Locais.
Atribua permisses de acesso para os grupos Locais.

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor
Autor: Jlio Battisti www.juliobattisti.com.br

Concluso
Nesta parte do tutorial apresentei alguns dos principais objetos que fazem parte do Active
Directory: Contas de usurios, grupos de usurios e contas de computador. Voc tambm
aprendeu detalhes sobre os tipos e escopos de grupos disponveis e quais as limitaes para os
escopos de grupos, dependendo do nvel de funcionalidade que est configurado no domnio.

IMPORTANTE: Se voc preferir, poder ter acesso a todas as partes do tutorial, j no formato
.PDF, com permisso de impresso. Esta srie de tutoriais, corresponde ao Mdulo 2, de um
dos seguintes e-books de minha autoria:

Manual de Estudos Para o Exame MCDST 70-271 892 pginas

7 Um Manual Completo Para o Exame 70-271

0 Um curso completo de Active Directory no Windows 2000 Server

- Para acessar o ndice do manual, use o endereo a seguir:

2 http://www.juliobattisti.com.br/cursos/70271/indice.asp

7 Para comprar o livro, use o endereo a seguir:

http://www.juliobattisti.com.br/ebooksdoautor/default.asp
1
Manual de Estudos Para o Exame MCSE 70-290 1020 pginas

7 Um Manual Completo Para o Exame 70-290

0 Um Curso de Administrao do Windows Server 2003

- Para acessar o ndice do manual, use o endereo a seguir:

2 http://www.juliobattisti.com.br/cursos/70290/indice.asp

9 Para comprar o livro, use o endereo a seguir:

http://www.juliobattisti.com.br/ebooksdoautor/default.asp
0

Proibida a reproduo e utilizao em sala de aula, sem autorizao por escrito do autor