administrando o ad

7/26/2019 administrando o AD

1/92

Guia deUtilizao e

Administrao

do AD

fevereiro 6

2014O guia de utilizao do AD mostra os principais procedimentos para administrao doActive Directory da Microsoft e tambm como trabalhar com a permisso de arquivos noambiente do servidor de arquivos departamental


2/92

27/02/2015 14:22:46 Pgina 1

Guia de Utilizao para

Administrao do AD


3/92

27/02/2015 14:22:46 Pgina 2

Indice

CONCEITOS ................................................................................................................................................................................. 3

COMO OBTER AS FERRAMENTAS DE ADMINISTRAO DE SERVIDOR REMOTO (RSAT) .............................................................. 4

TRABALHANDO COM USURIOS ................................................................................................................................................ 5CRIAR UMA CONTA DE USURIO. ............................................................................................................................................................ 5

Nomes de Logon do Usurio ...................................................................................................................................................... 6

Criando uma conta manualmente.............................................................................................................................................. 7

CRIAR MLTIPLAS CONTAS DE USURIO. ................................................................................................................................................. 11

Utilizando CSVDE para Criar Mltiplas Contas de Usurio ....................................................................................................... 12

Utilizando LDIFDE para Criar Mltiplas Contas de Usurio ...................................................................................................... 13

TRABALHANDO COM GRUPOS ................................................................................................................................................. 15

GRUPOS DE USURIOS........................................................................................................................................................................ 15

Utilizando Grupos no Active Directory ..................................................................................................................................... 15

Introduo a Grupos no Active Directory ................................................................................................................................. 16

Criando um grupo de usurios ................................................................................................................................................. 17

TRABALHANDO COM COMPUTADORES .................................................................................................................................... 35

TRABALHANDO COM PERMISSES ........................................................................................................................................... 45

MIGRANDO PERFIL LOCAL ........................................................................................................................................................ 63

FAQ .......................................................................................................................................................................................... 91


4/92

27/02/2015 14:22:46 Pgina 3

Administrando o Active Directory

Conceitos

O Active Directory (AD) um servio de diretrio que armazena e mantm dados necessrios aos recursos da rede.

O AD mantm basicamente quatro tipos de objetos em sua estrutura, so eles:

Usurios

Computadores

Grupos

Unidades Organizacionais

Um usurio um objeto armazenado no Active Directory que permite uma identificao nicapara uma pessoa ou

conta administrativa. A identificao nica possibilita que os usurios forneam seus nomes e senhas somente uma

vez durante o logon na estao de trabalho e assim obter acesso autenticado aos recursos de rede.

Um computador um objeto que o AD mantm para as estaes de trabalho que fazem parte da estrutura de

diretrios. Um usurio do AD poder efetuar logon nas estaes de trabalho que forem parte do diretrio. Ainda

possvel estabelecer a configurao, o comportamento da segurana e diversos outros itens das estaes de trabalho

de forma centralizada quando o computador membro do AD.

Um grupo geralmente uma coleo de contas de usurio. Voc pode utilizar grupos para gerenciar eficientemente

o acesso aos recursos do domnio, o que ajuda a simplificar a manuteno e administrao da rede. Voc podeutilizar grupos separadamente ou colocar um grupo dentro de outro para melhor simplificar a administrao.

J uma Unidade Organizacional (OU) um objeto que proporciona uma maneira de organizar o diretrio em

subdivises. Dessa forma possvel trabalhar com uma quantidade menor de objetos em cada ramo. As OU servem

ainda para estabelecer polticas para os objetos membros de forma mais granular. Outra funcionalidade das OUs

que os administradores do AD possam delegar controle das mesmas de forma a descentralizar a administrao do

diretrio.


5/92

27/02/2015 14:22:46 Pgina 4

Viso geral do Gerenciador de Usurios e Computadores do Active Directory

Como obter as Ferramentas de Administrao de Servidor Remoto (RSAT)

Faa o download e siga as instrues de instalao das ferramentas de administrao remota conforme o seu

sistema operacional.

Windows 7

http://www.microsoft.com/pt-br/download/details.aspx?id=7887

Windows Vista


Windows XP


Aps a instalao execute o aplicativo Usurios e computadores do Active Directory, ele foi instalado na pasta

Ferramentas Administrativas. Se voc ainda no est visualizando essa pasta no Menu Iniciar da sua estao

consulte o link (http://windows.microsoft.com/pt-br/windows-vista/what-are-administrative-tools)para saber como visualiz-la.
http://www.microsoft.com/pt-br/download/details.aspx?id=7887http://www.microsoft.com/pt-br/download/details.aspx?id=7887http://www.microsoft.com/pt-br/download/details.aspx?id=21090http://www.microsoft.com/pt-br/download/details.aspx?id=21090http://www.microsoft.com/pt-br/download/details.aspx?id=6315http://www.microsoft.com/pt-br/download/details.aspx?id=6315http://windows.microsoft.com/pt-br/windows-vista/what-are-administrative-toolshttp://windows.microsoft.com/pt-br/windows-vista/what-are-administrative-toolshttp://windows.microsoft.com/pt-br/windows-vista/what-are-administrative-toolshttp://windows.microsoft.com/pt-br/windows-vista/what-are-administrative-toolshttp://www.microsoft.com/pt-br/download/details.aspx?id=6315http://www.microsoft.com/pt-br/download/details.aspx?id=21090http://www.microsoft.com/pt-br/download/details.aspx?id=7887


6/92

27/02/2015 14:22:46 Pgina 5

Voc deve ter feito logon na estao com o usurio e senha fornecidos para a administrao do AD para executar o

Usurios e computadores do Active Directory.

Caso voc tenha efetuado logon na estao de trabalho com um usurio diferente necessrio executar o aplicativo

com as credenciais fornecidas para a administrao do AD. Para isso abra a pasta Ferramentas Administrativas e

localize o atalho para o Usurios e computadores do Active Directory com a tecla SHIFT pressionada clique com

o boto direito do mouse sobre o atalho. O menu de contexto apresentado, selecione a opo Executar como

usurio diferente (Windows 7), Executar como (Windows XP) e digite o usurio e senha com permisso de

administrao do AD. No Windows Vista voc deve executar o Usurios e computadores do Active Directory

atravs do comando runas /user:domnio\usurio mmc dsa.msc , onde domnio\usurio so as credenciais que

voc recebeu para a administrao do AD.

Trabalhando com Usurios

Um administrador deve executar certas tarefas para assegurar que os usurios possam efetuar o logon na rede e

obter acesso aos recursos em um domnio. Algumas destas tarefas administrativas so:

Criar uma conta de usurio

Criar mltiplas contas de usurio

Criar grupos de usurios

Criar uma conta de usurio.

No AD, uma identidade nica permite que usurios digitem seus nomes e senhas somente uma vez durante o logon

na estao de trabalho para autenticao e obter acesso aos recursos da rede em um domnio. Um administrador

pode criar trs tipos de contas de usurio, cada uma tendo uma funo especfica:

Uma conta de usurio de domnio habilita um usurio a efetuar o logon no domnio para obter acesso aos

recursos da rede.

Uma conta de usurio local habilita um usurio efetuar o logon em um computador especfico para obter

acesso aos recursos nesse computador.

Uma conta de usurio embutida (built-in) habilita um usurio a executar tarefas administrativas ou obter

acesso temporrio aos recursos da rede.

Vamos trabalhar com as contas de usurio de domnio.


7/92

27/02/2015 14:22:46 Pgina 6

Nomes de Logon do Usurio

No AD, cada conta de usurio tem um nome de logon do usurio, e um nome de logon do usurio pr-Windows

2000, que o nome da conta do gerenciador de contas de segurana (SAM, security account manager). As

informaes da conta de usurio so utilizadas para autenticar e autorizar usurios em qualquer lugar da floresta

(domnios que mantem uma relao), possibilitando aos usurios um processo de logon nico. Ao criar contas, voc

entra com o prefixo de nome de logon do usurio e seleciona o sufixo de nome principal do usurio.

Quando criar a conta de usurio, voc deve tambm se assegurar de que a mesma siga regras de exclusividade.

Em uma rede do AD, um usurio pode efetuar o logon com um nome principal do usurio ou um nome de logon do

usurio(pr-Windows 2000). Os controles do domnio podem utilizar um desses nomes de logon para autenticar a

solicitao de logon.

Nome Principal do Usurio (Principal Name)

O nome principal do usurio o nome de logon utilizado somente para efetuar o logon na rede do AD. Este nome

tambm conhecido como um nome de logon do usurio.

H duas partes para um nome de logon do usurio, e elas so separadas por um sinal de @; por exemplo,

[email protected]. Um nome de logon do usurio tem os dois seguintes componentes:

Oprefixo do nome principal do usurio, que no exemplo [email protected] joao.exemplo.

O sufixo de nome principal do usurio, que no exemplo usurio ad.ufrgs.br. Por padro, o sufixo o nome

do domnio raiz da rede.

Nome de Logon do Usurio (Pr-Windows 2000)

Se um usurio efetua o logon na rede a partir de um computador cliente executando uma verso do Windows mais

antiga que o Windows 2000, o usurio precisa efetuar o logon utilizando o nome de logon do usurio (pr-Windows

2000).

Um nome de logon do usurio (pr-Windows 2000) um nome da conta de usurio, tal como joao.exemplono

exemplo [email protected]. Quando um usurio efetua o logon utilizando um nome de logon do usurio


8/92

27/02/2015 14:22:46 Pgina 7

(pr-Windows 2000), o usurio precisa tambm fornecer o domnio no qual a conta de usurio existe, de forma que

o controlador de domnio de autenticao possa localizar a conta de usurio.

Se os usurios se conectarem ao recurso da rede com uma conta de usurio diferente daquela que em que foi

efetuado o logon, os usurios precisam fornecer o domnio e o nome de logon do usurio (pr-Windows 2000) para

autenticao, por exemplo, ad\joao.exemplo.

Regras de Exclusividade para Nomes de Logon do Usurio.

Nomes de logon do usurio para contas de usurio do domnio precisam seguir regras de exclusividade no AD.

Quando criar nomes de logon do usurio, considere as seguintes regras de exclusividade:

O nome completo precisa ser exclusivo dentro do recipiente no qual voc criou a conta de usurio. O nome

completo utilizado como o nome relativo distinto.

Nome principal do usurio precisa ser exclusivo dentro da floresta.

O nome de logon do usurio (pr-Windows 2000) precisa ser exclusivo dentro do domnio.

Criando uma conta manualmente

No Usurios e computadores do Active Directory selecione a OU em que voc des eja adicionar o objeto usurio.

Aps aponte para o menu Ao, aponte para a opo Novo e clique em Usurio.


9/92

27/02/2015 14:22:46 Pgina 8

A tela abaixo mostrada.


10/92

27/02/2015 14:22:46 Pgina 9

Vamos preencher os campos com os dados e clicar em Avanar >.

Agora vamos informar uma senha para esse usurio e marcar as opes necessrias conforme a necessidade e clicar

em Avanar >.

Por padro a opo O usurio deve alterar a senha no prximo logon marcada dessa forma o usurio obrigado a

informar uma senha particular no primeiro logon que ele executar.


11/92

27/02/2015 14:22:46 Pgina 10

A opo Conta desabilitada tambm bastante usada ela serve quando se voc pretende criar contas previamente

e s habilitar quando o usurio realmente iniciar a utilizao. Dessa forma voc prioriza a segurana deixando a

conta desabilitada at que seja necessria a sua utilizao.

Para completar o processo clique no boto Concluir.

A conta do usurio criada na OU selecionada.


12/92

27/02/2015 14:22:46 Pgina 11

Criar mltiplas contas de usurio.Voc pode criar mltiplas contas de usurio no Active Directory importando dados de um arquivo de texto para

preencher os atributos das contas de usurio. Este processo e conhecido como importao em lote. A importao

em lote a importao de mltiplos registros de um arquivo texto no banco de dados do AD. A vantagem da

importao em lote que voc no precisa criar cada conta de usurio separadamente. Em vez disto, voc pode

importar um arquivo existente que contenha as informaes do usurio requeridas para criar todas as contas de

usurio.

Para criar contas de usurio em uma operao em lote, temos os utilitrios administrativos, tais como o CSVDE

(Comma Separated Value Directory Exchange) e o LDIFDE (Lightweight Directory Access Protocol Data Interchange

Format Directory Exchange). Estes utilitrios o habilitam a administrar grandes nmeros de contas de usurio eoutros objetos do Active Directory, como grupos, computadores e impressoras em uma operao em lote. Estes

utilitrios so instalados automaticamente quando voc instala as ferramentas de administrao remota. (XP?

Vista?)


13/92

27/02/2015 14:22:46 Pgina 12

Para cada objeto do usurio o arquivo deve ter:

O caminho para a OU da conta de usurio, tipo de objeto, e nome de logon do usurio (pr-Windows 2000)

O nome principal do usurio e se a conta de usurio est ativada ou desativada

Pode incluir informaes pessoais do usurio

No pode incluir uma senha

O arquivo de texto pode ser obtido atravs de um aplicativo de banco de dados que j contenha as informaes

sobre as contas de usurio, ou pode ser tambm construdo com outros aplicativos, tais como o Microsoft Excel,

Microsoft Word e ainda com o LibreOffice Calc ou o LibreOffice Write.

Dependendo do formato do arquivo de texto, voc utiliza o comando csvdeou o ldifdepara importar os dados das

contas de usurio do arquivo e criar simultaneamente mltiplas contas de usurio no AD. Voc utiliza o comando

csvde para importar o arquivo de texto que utiliza um formato delimitado por vrgula(formato CSVDE). Voc utiliza o

ldifde como comando para importar o arquivo de texto que utiliza um formato de valor separado por linha

(formato LDIF).

Utilizando CSVDE para Criar Mltiplas Contas de UsurioO formato CSVDE pode ser utilizado somente para adicionar novos objetos de usurio, e outros tipos de objetos,

para o Active Directory. Voc no pode utilizar o formato CSVDE para excluir ou modificar o AD. Antes de importar

um arquivo CSVDE, voc precisa garantir que o arquivo que voc est importando est formatado devidamente, de

forma que a importao seja um sucesso. Salve o arquivo como um arquivo de texto delimitado por vrgula. Voc

pode exportar dados para uma planilha eletrnica do Excel ou importar dados de uma planilha eletrnica dentro do

AD.

Preparando para Importar um arquivo CSVDEFormate o arquivo que contenha as seguintes informaes:

A linha de atributo

a primeira linha do arquivo. Especifica o nome de cada atributo que voc precisa definir para as novas contas de

usurio. Note que voc pode colocar os atributos em qualquer ordem, mas voc precisa separa os atributos com

vrgulas. A seguir um exemplo da linha de atributo:

DN,objectClass,sAMAccoutName,userPrincipalName,displayName,userAccountControl

A linha da conta de usurio

Para cada conta de usurio que voc criar, o arquivo de importao contm uma linha que especifica o valor para

cada atributo na linha de atributo.

As seguintes regras so adotadas para os valores em uma linha da conta de usurio:

Os valores dos atributos precisam seguir a seqncia da linha de atributos

Se no existe um valor para um atributo, deixe-o em branco, mas inclua todas as vrgulas.

Se um valor contm vrgulas, inclua o valor entre aspas.

A seguir um exemplo de uma linha da conta de usurio:


14/92

27/02/2015 14:22:46 Pgina 13

cn=Joo do Exemplo,ou=ICTA,dc=ad,dc=ufrgs,dc=br,user,joao.exemplo,[email protected],Joo do

Exemplo,514

A tabela a seguir fornece os atributos e valores presentes no exemplo anterior.

Atributo Valor

Nome distinto (DN, distinguished name) Cn=Joo do Exemplo,OU=ICTA, dc=ad,dc=ufrgs,dc=br

(Isto especifica o caminho para a OU que contm a conta de

usurio.)

ObjectClass User

SAMAccontName oao.exemplo

UserPrincipalName [email protected]

DisplayName Joo do Exemplo

UserAccountControl 512 (O valor 512 ativa a conta de usurio e o valor 514 desativa a

conta de usurio.)

Utilizando o comando csvde

Depois do arquivo ser devidamente formatado, voc pode utilizar o comando csvde para importar o arquivo e criar

mltiplas contas de usurio no AD.

Para importar o arquivo, abra uma janela do prompt de comando, e digite o seguinte:

csvdeif nomedoarquivo

Na sintaxe anterior, i indica que voc est importando um arquivo de dentro do AD, e f indica que o prximo

parmetro o nome do arquivo que voc est importando.

O comando csvde fornece as informaes de status de sucesso ou falha no processo, e tambm fornece o nome do

arquivo para visualizar informaes de erro detalhadas. Mesmo se as informaes de status indicarem que o

processo foi bem sucedido, utilize Usurios e Computadores do Active Directory (Active Directory Users and

Computers) para verificar algumas das contas de usurio que voc criou para garantir que elas tm todas asinformaes que voc forneceu.

Utilizando LDIFDE para Criar Mltiplas Contas de Usurio

O LDIF (Lightweight Directory Access Protocol Data Interchance Format) outro formato de arquivo que utilizado

para executar a importao em lote para diretrios que obedecem ao padro LDAP. O formato de arquivo LDIF tem

um utilitrio de linha de comando chamado de ldifde que permite voc crie, modifique e exclua objetos no Active

Directory. Um arquivo LDIF consiste de uma srie de registrosque so separados por linhas em branco. Um registro


15/92

27/02/2015 14:22:46 Pgina 14

descreve um nico objeto de diretrio ou um conjunto de modificaes para os atributos de um objeto existente e

consiste de uma ou mais linhas no arquivo.

DN:CN=Joo do Exemplo,OU=ICTA,DC=ad,DC=ufrgs,DC=br

ObjectClass:user

SAMAccountName:joao.exemplo

UserPrincipalName:[email protected]

DisplayName: Joo do Exemplo

UserAccountControl : 512

Preparando um Arquivo LDIF para Importao

Formate um arquivo LDIF de forma que este contenha um registro que consiste de uma seqncia de linhas

descrevendo uma entrada para uma conta de usurio no Active Directory, ou uma seqncia de linhas descrevendo

um conjunto de mudanas para uma conta de usurio. A entrada da conta de usurio especfica o nome de cada

atributo que voc quer definir para a nova conta de usurio. O esquema do Active Directory define os nomes de

atributo. Para cada conta de usurio que voc criar, o arquivo contm uma linha que especfica o valor de cada

atributo na linha de atributo. As seguintes regras so adotadas para os valores de cada atributo:

Qualquer linha que comear com uma cerquinha (#) uma linha de comentrio, e ignorada quando voc

executa o arquivo LDIF.

Se um valor estiver ausente para um atributo, ele precisa ser representado como Descrio de Atributo:

FILL SEP.

A seguir um exemplo de uma entrada em um arquivo de importao LDIF:

#Criado por Administrador ICTA

DN: CN=Joo do Exemplo, OU=ICTA,DC=ad,DC=ufrgs,DC=br

objectClass: user

sAMAccountName: joao.exemplo

userPrincipalName: [email protected]

displayName: Joo do Exemplo

userAcoountControl: 514

A tabela a seguir fornece os atributos e valores presentes no exemplo.

Atributo Valor de atributo

Nome distinto DN (distinguished name) CN=Joo do Exemplo, OU=ICTA,DC=ad,DC=ufrgs,DC=br

(Isto especifica o caminho para o recipiente do objeto.)

ObjectClass User

SAMAccountName oao.exemplo


16/92

27/02/2015 14:22:46 Pgina 15

userPrincipalName [email protected]

displayName Joo do Exemplo

userAcoountControl 514 (O valor 512 ativa a conta de usurio, e o valor 514 desativa a conta

de usurio.)

Utilizando o Comando ldifde

Depois que o arquivo est devidamente formatado, use o comando ldifde para importar o arquivo e criar mltiplas

contas de usurio no Active Directory.

Para importar o arquivo, v ao prompt de comando, digite:

ldifdeif nomedoarquivo

Na sintaxe anterior,i indica que voc est importando um arquivo de dentro do Active Directory. Se este parmetrono especificado, a modo padro para o LDIFDE exportado. O parmetro f indica o nome do arquivo que voc

est importando.

Trabalhando com Grupos

Grupos de usurios

Agrupar contas de usurio para gerenciar eficientemente o acesso aos recursos do domnio, tal como pastas

compartilhadas da rede, arquivos, diretrios, e impressoras. Utilizando grupos, um administrador determina as

permisses para os recursos compartilhados somente uma vez ao invs de vrias vezes. Voc tambm pode fazer

computadores e outros grupos membros de um grupo.

Utilizando Grupos no Active Directory

Os grupos simplificam a administrao. Antes de voc poder efetivamente utilizar grupos, voc precisa entender a

sua funo e os tipos de grupos que voc pode criar. Active Directory fornece suporte para diferentes tipos de

grupos, e tambm fornece opes para determinar o seu escopo, que como o grupo pode ser utilizado em

mltiplos domnios.

Introduo a Grupos no Active Directory Utilizando Grupos Globais


17/92

27/02/2015 14:22:46 Pgina 16

Utilizando Grupos Locais de Domnio

Utilizando Grupos Universais

Introduo a Grupos no Active Directory

Os grupos no Active Directory permitem que voc gerencie o acesso do usurio aos recursos do domnio pela

determinao de permisses uma nica vez para cada grupo em vez de vrias vezes para usurios individuais. H

dois tipos de grupos no Active Directory: grupos de segurana e grupos de distribuio. Ambos suportam um dos trsescopos de grupo, que so: local de domnio, global ou universal.

Os usurios podem ser membros de mltiplos grupos. Voc utiliza grupos de segurana para determinar permisses

a grupos de usurios e computadores. Grupos de distribuio no podem ser utilizados para propsitos de

segurana. Grupos de Segurana e distribuio tm um atributo de escopo. O escopo de um grupo determina quem

pode ser um membro de um grupo, e onde voc pode utilizar aquele grupo na rede.

Um modo de utilizar grupos efetivamente atravs do aninhamento.Aninhar significa que voc pode adicionar um

grupo a outro grupo. O aninhamento de grupo herda as permisses do grupo do qual esse um membro, assim

simplificando a determinao de permisses para vrios grupos de uma vez.

Utilizando Grupos Globais

Utilize um grupo global para organizar usurios que compartilham as mesmas tarefas no trabalho e precisam de

requisitos similares de acesso rede.

A seguir um resumo das regras de participao de grupo global:

Participao: Pode conter contas de usurio e grupos globais do mesmo domnio.

Pode ser um membro de: O grupo global pode ser um membro dos grupos universal e local de domnio em

qualquer domnio e grupos globais no mesmo domnio.

Escopo. Um grupo global visvel dentro de seu domnio e todos os domnios confiados, que incluem todosos domnios da floresta.

Pode ser determinada permisso para:Todos os domnios da floresta.

Devido aos grupos globais terem uma visibilidade ampla da floresta, eles no podem ser criados especificamente

para acesso a recursos especficos do domnio. Grupos globais so uma boa escolha para organizar usurios ou

grupos de usurios. Um tipo diferente de grupo mais apropriado para controlar o acesso aos recursos dentro do

domnio.

Utilizando Grupos Locais de Domnio

Utilize um grupo local de domnio para determinar permisses para recursos que so localizados no mesmo domnio

no qual voc criou o grupo local de domnio.

A seguir um resumo das regras de participao do grupo local de domnio:

Participao: Pode conter contas de usurio, grupos globais e grupos universais de qualquer domnio na

floresta, e grupos locais de domnio do mesmo domnio.

Pode ser um membro de:O grupo local de domnio pode ser um membro de grupos locais de domnio no

mesmo domnio.

Escopo: O grupo local de domnio visvel somente no seu domnio.

Pode ser determinada permisso para: O domnio em que o grupo local de domnio existe.


18/92

27/02/2015 14:22:46 Pgina 17

Voc pode adicionar todos os grupos globais que precisam compartilhar os mesmos recursos dentro do grupo local

de domnio apropriado.

Utilizando Grupos Universais

Utilize grupos universais para aninhar grupos globais de modo que voc possa determinar permisses para recursos

existentes em mltiplos domnios.

A seguir um resumo das regras de participao do grupo universal:

Participao: Pode conter contas de usurio, grupos globais e outros grupos universais de qualquer domnio

na floresta.

Pode ser um membro de: O grupo universal no aplicvel no modo misto. No modo nativo, o grupo

universal pode ser um membro dos grupos local de domnio e universal em qualquer domnio.

Escopo: Grupos universais so visveis em todos os domnios da floresta.

Pode ser determinada permisso para: Todos os domnios da floresta.

Criando um grupo de usurios

Para adicionar um grupo selecione a OU em que voc deseja acrescentar um determinado grupo. Aps no menuAo aponte para a opo Novo e aps selecione a opo Grupo.


19/92

27/02/2015 14:22:46 Pgina 18

A tela com as opes de criao de grupo apresentada.


20/92

27/02/2015 14:22:46 Pgina 19

Digite o nome do grupo e selecione o escopo e o tipo que voc deseja e clique no boto OK.

O grupo adicionado na OU.


21/92

27/02/2015 14:22:46 Pgina 20

Para acrescentar membros a esse grupo abra o mesmo e clique na aba membros.


22/92

27/02/2015 14:22:46 Pgina 21


23/92

27/02/2015 14:22:46 Pgina 22

Para adicionar um membro clique no boto Adicionar e na tela de busca de usurios digite o nome do membro que

ser adicionado ao grupo e selecione o boto Verificar Nomes.

Se o membro que voc procurou foi encontrado clique no boto OK para adicion-lo.

Se na tela de pesquisa voc digitar uma sentena que corresponde a mais de um resultado uma tela com os objetos

encontrados visualizada e voc seleciona o objeto que voc deseja.


24/92

27/02/2015 14:22:46 Pgina 23

Voc pode realizar o aninhamento de grupos para diminuir as tarefas de administrao. No exemplo estamos

aninhando o grupo ICTA PPGCTA Bolsistas ao grupo criado no exemplo chamado ICTA Bolsistas.


25/92

27/02/2015 14:22:46 Pgina 24

O AD da UFRGS mantm grupos especiais chamados grupos G esses grupos so criados automaticamente atravs

de outros sistemas da UFRGS e importados de forma automtica para o AD. Dessa forma possvel aninhar grupos

G, baseados em grupos j existentes nos sistemas acadmicos, dentro dos grupos criados na sua OU.

Os grupos iniciados por G... so os vnculos que os usurios tem com a UFRGS, os iniciados por G3... so os

cursos e os iniciados por G... so os rgos que o usurio est inserido.

Para encontrar esses grupos vamos usar a ferramenta de localizao do AD, para isso no Usurios e computadores

do Active Directory no menu Ao clique em Localizar.


26/92

27/02/2015 14:22:46 Pgina 25

A tela de localizao apresentada. A seguir no campo Em: altere da OU da sua unidade para a OU UFRGS-Grupos

para isso clique no boto procurar e selecione a OU UFRGS-Grupos e clique no boto OK.


27/92

27/02/2015 14:22:46 Pgina 26

Agora no campo descrio digite uma sentena de busca. Ex: icta e clique no boto Localizar Agora, a lista com os

grupos que tem essa descrio mostrada.


28/92

27/02/2015 14:22:46 Pgina 27

Se voc deseja aninhar um grupo G a um grupo que voc criou selecione com duplo clique o grupo G que ser

aninhado.

Nesse exemplo vamos usar o grupo G63 para aninhar com o grupo ICTA - BibliotecaFuncionrios. Selecione

a aba Membro de e clique no boto Adicionar.


29/92

27/02/2015 14:22:46 Pgina 28

Aps digite o grupo que voc criou e deseja adicionar, no nosso exemplo o grupo icta biblioteca funcionarios,

clique no boto OK para finalizar. Aps feche a janela Localizar.


30/92

27/02/2015 14:22:46 Pgina 29

Se voc quiser conferir o alinhamento selecione o grupo criado por voc dentro da sua OU e clique na aba

Membros voc ver o grupo G adicionado como membro.

.


31/92

27/02/2015 14:22:46 Pgina 30


32/92

27/02/2015 14:22:46 Pgina 31

Outra forma de adicionar um grupo G selecionando o grupo criado dentro da sua OU.

Seleciona a aba Membros e clique no boto adicionar.


33/92

27/02/2015 14:22:46 Pgina 32

Na tela Selecionar Usurios, Contatos.... clique no boto Tipos de objeto e marque apenas Grupos e clique OK.


34/92

27/02/2015 14:22:46 Pgina 33

Para localizar um grupo G clique no boto Avanado e preencha um sentena de busca no campo Descrio:,

aps clique no boto Localizar agora.


35/92

27/02/2015 14:22:46 Pgina 34

No Resultado da pesquisa: selecione o grupo G que voc deseja adi cionar ao grupo da sua OU e clique no boto

OK na tela de seleo clique novamente em OK.

Pronto o grupo G agora est aninhado ao grupo da sua OU, clique no boto OK para confirmar a operao.


36/92

27/02/2015 14:22:46 Pgina 35

Trabalhando com Computadores

Computadores so estaes de trabalho que pertencem ao AD. Nas estaes vinculadas ao AD possvel realizar um

logon interativo com os usurios pertencentes ao AD e com isso atribuir polticas para esses computadores.

Para que isso ocorra a estao de trabalho deve se tornar membro do domnio.

Os requisitos para realizar esse processo so:

Criao de um objeto computador dentro da OU da unidade.

Ter uma conta de administrador da OU em que essa estao ser adicionada

Ser um membro do grupo de administradores locais da estao

Para adicionar um objeto computador no AD vamos abrir o Usurios e Computadores do Active Directoty e

selecionar a OU em que queremos adicionar o objeto. No menu Ao selecionar a opo Novo e aps

Computador.

A tela de criao do objeto mostrada.


37/92

27/02/2015 14:22:46 Pgina 36

Vamos preencher com o nome da estao que ser adicionada ao AD e clicar no boto Alterar.... Observe que o

nome segue o padro de nomes para o AD da UFRGS sendo o mesmo a Unidade-Nmero patrimnio

Ao clicar no boto Alterar... vamos selecionar o usurio membro do domnio que poder adicionar o computador

ao AD e selecionar o boto OK.


38/92

27/02/2015 14:22:46 Pgina 37

Para adicionar o objeto s clicar no boto OK.


39/92

27/02/2015 14:22:46 Pgina 38

Agora vamos a estao de trabalho para tornar ela definitivamente membro do domnio.

Faa logon na estao de trabalho como um usurio membro do grupo de Administradores Locais.


40/92

27/02/2015 14:22:46 Pgina 39

Aps o logon vamos clicar no cone Iniciar, em Painel de Controle, em Sistema e Segurana e em Sistema.


41/92

27/02/2015 14:22:46 Pgina 40

Em Nome do computador, domnio e configuraes de grupo de trabalho, vamos clicar em Alterar configuraes.


42/92

27/02/2015 14:22:46 Pgina 41

Vamos clicar no boto Alterar. Selecionar em Membro de a opo Domnio e digitar o nome do domnio

ad.ufrgs.br, aps clicar em OK.


43/92

27/02/2015 14:22:46 Pgina 42

Aps necessrio indicar o usurio que tem permisso para adicionar essa estao ao AD. Digite as credenciais com

autorizao e clique no boto OK.

Se o processo finalizado de forma correta a caixa de dilogo apresentada. Clique em OK e


44/92

27/02/2015 14:22:46 Pgina 43

Uma nova caixa de dilogo apresentada solicitando que voc reinicie a estao, clique em OK.

Para finalizar clique no boto Fechar.

E finalmente em Reiniciar Agora.


45/92

27/02/2015 14:22:46 Pgina 44

O processo de adio da estao de trabalho est completo.

No prximo logon o padro a colocao de um usurio membro do domnio.

Caso seja necessrio o logon com uma conta local da estao o nome do usurio deve iniciar com .\


46/92

27/02/2015 14:22:46 Pgina 45

possvel colocar um usurio ou grupos do domnio no grupo Administradores local. Nesse cenrio o administrador

poder usar um membro do domnio como

Trabalhando com Permisses

As permisses de arquivos e pastas so uma importante forma de obter segurana em um sistema onde vrios

usurios compartilham um mesmo espao de armazenamento. Com elas o gerente pode determinar o nvel de

controle que os usurios tero sobre os arquivos localizados nos diretrios e determinar quem pode o que.

As principais permisses so:

Controle Total

o permite ao usurio controlar as permisses dos arquivos.

Modificar

o permite ao usurio ler e escrever arquivos e pastas

Ler & Executar

o permite ao usurio ler os arquivos e executar programas

o permite ao usurio ver as pastas e executar programas

Listar contedo de pasta

o permite ao usurio ver o contedo de uma pasta, aplicado apenas as pastas


47/92

27/02/2015 14:22:46 Pgina 46

Leitura

o permite ao usurio ler os arquivos

Gravar

o permite ao usurio alterar os arquivos e excluir

o permite ao usurio alterar as pastas e excluir

Outra atribuio dos arquivos e pastas a herana, se ela est habilitada as permisses so herdadas da pasta pai.Se a herana no est ativa as permisses s sero alteradas para as pasta filho que tem a herana ativa.

Agora que j sabemos trabalhar com usurios e grupos vamos atribuir permisses aos arquivos e pastas disponveis

no sistema de arquivos da unidade.

O script de inicializao faz automaticamente a atribuio da letra O: para a unidade no nosso exemplo o sistema

de arquivos DFS \\ad.ufrgs.br\icta.

Para verificar as permisses vamos clicar com o boto direito sobre a unidade O: e selecionar Propriedades.


48/92

27/02/2015 14:22:46 Pgina 47

Aps a tela de Propriedades apresentada e vamos clicar na aba Segurana, selecione o usurio ger_icta e

verifique que ele tem a permisso Controle Total. J clicando no grupo ICTA Acesso ao compartilhamento a

permisso Ler &Executar. Com essas permisses os usurios que esto no grupo s podero ler os arquivos e

navegar pelas pastas, no permitido a eles salvar arquivos.


49/92

27/02/2015 14:22:46 Pgina 48


50/92

27/02/2015 14:22:46 Pgina 49


51/92

27/02/2015 14:22:46 Pgina 50

Vamos alterar as permisses para que os usurios de determinados grupos possam salvar arquivos nas pastas.

Clicando na unidade O: vemos as pastas Blibioteca, Comisses e Conselho.


52/92

27/02/2015 14:22:46 Pgina 51

Na pasta conselho vamos alterar as permisses para que as pessoas do grupo ICTA Conselho Funcionrios

possam salvar documentos nessa pasta, considerando que e essa pasta de uso exclusivo os membros do grupo

ICTA Acesso ao compartilhamento vo apenas ter a permisso Listar contedo de pasta.

Para isso com clique com o boto direto do mouse na pasta Conselho, aps selecione a opo Propriedades,

selecione a aba segurana e finalmente clique no boto Editar.


53/92

27/02/2015 14:22:46 Pgina 52

Clique no boto Adicionar e na caixa de pesquisa digite o grupo ICTA ConselhoFuncionrios e clique no boto

OK.

Agora marque a opo Modificar para esse usurio e clique em OK.


54/92

27/02/2015 14:22:46 Pgina 53

Desta forma os usurios do grupos ICTA Acesso ao compartilhamento podero ler arquivos dentro desse diretrio

vamos alterar para que estes possam apenas listas as pastas. Para isso vamos clicar no boto Avanadas.


55/92

27/02/2015 14:22:46 Pgina 54

A tela com as permisses atuais para a pasta mostrada de uma outra forma. Observe na lista a coluna Herdar de;

para as permisses herdadas a coluna indica a pasta raiz como o pai, j para a permisso que acabamos de criar

para o grupo ICTA ConselhoFuncionrios a informao No herdado.Como a permisso para o grupo ICTAAcesso ao compartilhamento herdada temos que alterar a herana para essa pasta.


56/92

27/02/2015 14:22:46 Pgina 55

Para isso clicamos no boto Alterar permisses e desmarcamos a opo Incluir permisses herdveis prvinientes

do pai deste objeto.


57/92

27/02/2015 14:22:46 Pgina 56

Para aceitar essa opo na tea de aviso clique no boto Adicionar. Agora todas as opes so marcadas como No

herdado.

Clique no grupo ICTA Acesso ao compartilhamento e no boto Editar.


58/92

27/02/2015 14:22:46 Pgina 57

Altere em Aplicar em: para Esta pasta e subpastas e clique no boto OK.


59/92

27/02/2015 14:22:46 Pgina 58

Agora apenas membros do grupo ICTA ConselhoFuncionrios podem ler arquivos e salvar dentro dessa pasta.

Clique no boto OK at fechar todas as janelas.


60/92

27/02/2015 14:22:46 Pgina 59

Vamos aplica a mesma permisso na pasta comisses s que usando o grupo ICTA Comisses Funcionrios

com permisso Ler & Executar.


61/92

27/02/2015 14:22:46 Pgina 60

J nas pastas filho da pasta comisses vamos aplicar a permisso Modificar para os grupos relativos acasa pasta.

Na pasta COMEX adicionamos o grupo ICTA COMEXFuncionrios com a permisso Modificar.


62/92

27/02/2015 14:22:46 Pgina 61

Uma situao o uso de pastas para leitura de arquivos. Em uma pasta um determinado grupo tem permisso para

modificar a mesma, mas outro determinado grupo deve ter apenas acesso de leitura a uma pasta. Um exemplo a

publicao de atas do conselho da unidade que podem ser lidas por todos os membros que tem acesso aocompartilhamento.

Para isso voc pode criar uma pasta chamada Atas dentro da pasta Conselho.


63/92

27/02/2015 14:22:46 Pgina 62

Aps vamos alterar a permisso fazendo com que o grupo ICTA Acesso ao compartilhamento tenha a permisso

Leitura nessa pasta.


64/92

27/02/2015 14:22:46 Pgina 63

Migrando dados do perfil

Em uma estao de trabalho que j estava sendo utilizada pelos usurios talvez seja necessrio realizar a migrao

dos arquivos do perfil do usurio.

Aps a estao ingressar no domnio os usurios devem usar o nmero de carto UFRGS para efetuar o logon na

mesma. Nesse caso os arquivos de trabalho desse usurio ainda permanecem no perfil de usurio da conta local.

Como a estao no estava em um domnio todos os usurios cadastrados anteriormente so locais, ou seja

pertencem somente a aquela estao.

Para executar a migrao dos arquivos do perfil necessrio termos um usurio cadastrado como Administrador

Local da estao de trabalho que ser realizada a migrao.

Aps inserir a estao no domnio efetue o logon com a conta de usurio do AD e efetue o logoff. Esse processo de

logon/logoff serve apenas para criar o perfil do novo usurio na estao de trabalho.

Agora faa logon com uma conta que tenha permisso de Administrao Local. V at o menu Iniciar, selecione a

pasta Acessrios, depois Ferramentas do Sistema e finalmente clique no programa Transferncia Fcil do

Windows.


65/92

27/02/2015 14:22:46 Pgina 64

A tela de apresentao da ferramenta mostrada. Clique em Avanar.


66/92

27/02/2015 14:22:46 Pgina 65

Vamos selecionar agora como queremos guardar o arquivo de transferncia que vamos gerar nesse processo, como

a transferncia ser executada na mesma estao de trabalho vamos selecionar a opo Um Disco rgido externo ou

unidade flash USB.


67/92

27/02/2015 14:22:46 Pgina 66

Aps vamos informar que esse o computador que ir originar o arquivo de transferncia selecionando a opo

Este o meu computador antigo e clicando em Avanar.


68/92

27/02/2015 14:22:46 Pgina 67

A ferramenta ir analisar o seu computador em busca dos perfis de usurio que esto armazenados na estao.


69/92

27/02/2015 14:22:46 Pgina 68

Aps a anlise selecione apenas o perfil da conta de usurio local que voc deseja migrar e clique em Avanar.


70/92

27/02/2015 14:22:46 Pgina 69

solicitado uma senha para proteo do arquivo. Como iremos apagar o arquivo aps a migrao no necessrio a

colocao de uma senha. Clique no boto Salvar.


71/92

27/02/2015 14:22:46 Pgina 70

Agora escola um local (pode ser no prprio HD local) para salvar o arquivo de transferncia. No esquea deidentificar o arquivo com um nome que voc possa identificar de qual perfil foi originado esse arquivo de

transferncia. Aps clique no boto Salvar para executar o processo de gerao.


72/92

27/02/2015 14:22:46 Pgina 71

O processo executado e ao trmino clique no boto Avanar.


73/92

27/02/2015 14:22:46 Pgina 72


74/92

27/02/2015 14:22:46 Pgina 73

Para finalizar uma tela com as instrues de recuperao mostrada clique no boto Avana e depois no boto

Fechar.


75/92

27/02/2015 14:22:46 Pgina 74

Abra novamente a ferramenta Transferncia Fcil do Windows. Na tela abaixo selecione Este o meu computadornovo.


76/92

27/02/2015 14:22:46 Pgina 75

Selecione Sim para informar que voc j salvou o arquivo de transferncia fcil.


77/92

27/02/2015 14:22:46 Pgina 76

Selecione o arquivo no local que voc salvou a origem de dados e clique Abrir.


78/92

27/02/2015 14:22:46 Pgina 77

A tela com as informaes sobre qual o perfil que foi originalmente salvo mostrada. Selecione apenas as

informaes do perfil original. Como vamos transferir esses dados para outro perfil vamos clicar em Opes

avanadas.

Agora vamos selecionar o perfil criado para o usurio AD e clicar em Salvar. A tela anterior mostrada e clicamos

em Transferir.


79/92

27/02/2015 14:22:46 Pgina 78

A tarefa executada.

Ao final clique no boto Fechar. Faa o logoff da conta administrativa e o logon com a conta do AD.


80/92

27/02/2015 14:22:46 Pgina 79

Aps o logon verifique se todos os arquivos e configuraes do usurio foram migradas de forma correta.

Voc pode fazer o mesmo procedimento no Windows Vista. Execute o programa Transferncia Fcil do Windows.


81/92

27/02/2015 14:22:46 Pgina 80

A tela inicial mostrada, clique em Avavnar.


82/92

27/02/2015 14:22:46 Pgina 81

Selecione a opo Iniciar uma nova transferncia.

Selecione Meu computador antigo.


83/92

27/02/2015 14:22:46 Pgina 82

Selecione Usar um CD, DVD ou outro tipo de mdia removvel.

Selecione, Disco rgido externo ou local da rede.


84/92

27/02/2015 14:22:46 Pgina 83

Selecione o local onde voc ir salvar o arquivo com o perfil do usurio e um nome que identifique qual perfil est

sendo migrado. No necessrio atribuir uma senha. Clique em Avanar.


85/92

27/02/2015 14:22:46 Pgina 84

Selecione, Opes avanadas para selecionar qual o perfil que ser migrado. O computador ir analisar os

diretrios de perfil.

Selecione apenas o perfil que voc deseja realizar a migrao.


86/92

27/02/2015 14:22:46 Pgina 85

O processo de gerao do arquivo iniciado.

Ao trmino clique no boto Fechar.


87/92

27/02/2015 14:22:46 Pgina 86

Agora vamos iniciar novamente o programa Transferncia Fcil do Windows, vamos clicar na tela inicial no boto

Avanar e depois na opo Continuar uma transferncia em andamento.

Selecione, No, j copiei arquivos e configuraes..... Na prxima tela selecione Em um disco rgido.....


88/92

27/02/2015 14:22:46 Pgina 87

Clique no boto Procurar e selecione o arquivo que contm os dados originais e clique em Abrir.


89/92

27/02/2015 14:22:46 Pgina 88

Aps selecionar o arquivo clique no boto Avanar.


90/92

27/02/2015 14:22:46 Pgina 89

Selecione para qual o perfil do AD que voc deseja migrar o perfil original e clique no boto Avanar.

Clique no boto Transferir.


91/92

27/02/2015 14:22:46 Pgina 90

O processo executado ao trmino clique no boto Fechar.


92/92

Uma mensagem informando que voc deve fazer o logoff mostrada, clique em Sim para executar a ao. Aps

efetue o logon com a conta de usurio do AD e verifique se os arquivos e configuraes foram transferidas para o

perfil.

FAQ

Erro

No foi possvel estabelecer uma relao de confiana entre o servidor e esta estao de trabalho.

Soluo

Remover a estao do domnio e refazer o processo de ingresso no domnio.

administrando o ad

Documents