-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
1/57
Mdulo 3: Gerenciamento de ob
jetos dos Servios deDomnio do Active Directory
Contedo:
Viso geral do mdulo
Lio 1: Gerenciamento de contas de usurio
Lio 2: Gerenciamento de contas de grupo
Lio 3: Gerenciamento de contas de computador
Lio 4: Delegao da administrao
Laboratrio: Gerenciamento de objetos dos er!ios de Dom"nio do #cti!eDirector$
%e!iso e in&orma'es complementares do mdulo
Viso geral do mdulo
As contas de usur
io so componentes undamentais da se!urana de r
ede"
Arma#enadas no AD DS $Servios de Dom
nio do Active Directory%&' elas identiicamos usurios para ins de autenticao e autori#ao" Devido ( sua import)ncia' uma
compreenso das contas de usurio e das tareas relacionadas ao supor
te a elas * um
aspecto undamental da administrao de uma rede corporativa do sistema
operacional +indo,s% Server"
-mbora usur
ios e computadores' e at* mesmo servios' mudem com o passar do
tempo' as un.es e as re!ras corpor
ativas tendem a per
manecer mais estveis" Suaempresa pr
ovavelmente tem uma uno inanceira /ue re/uer determinados
recur
sos na empresa" 0$s& usurio$s& /ue e1ecuta$
m& essa uno pode$
m& mudar com
o assar do tem o mas a un o ermanecer
r
elativamente a mesma" 2or esse
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
2/57
motivo' no * sensato !erenciar uma r
ede corporativa atribuindo direitos e
permiss.es a usurios' computadores ou identidades de servio individuais" -m ve#
disso' voc deve associar tar
eas de !erenciamento a !rupos" 4onse/uentemente' *
importante /ue voc saiba como usar
!rupos para identiicar un.es administr
ativas
e de usurio' para iltrar a 2ol
tica de Gr
upo' para atribuir polticas de sen5a e1clusivas
e par
a atr
ibuir
direitos e permiss.es"
0s computadores' assim como os usur
ios' so entidades de se!urana:
6 -les tm uma conta com nome de lo!on e sen5a /ue o +indo,s Server
alter
a
automaticamente periodicamente"
6 -les so autenticados com o domnio"
6 -les podem pertencer a !rupos' ter acesso a r
ecursos e voc pode coni!ur
7los
usando a 2oltica de Grupo"
0 !er
enciamento de computadores' tanto dos objetos no AD DS /uanto dos
dispositivos
sicos' * uma das tareas dirias da maior
ia dos pr
oissionais de 89"ovos computadores so adicionados ( sua or
!ani#ao' colocados oline par
a
reparos' trocados entr
e usurios ou un.es e desativados ou atuali#ados" 4ada uma
dessas atividades re/uer o !erenciamento da identidade do computador' /ue *
representada por seu ob
jeto' ou conta' e o AD DS" 4omo r
esultado' * impor
tante /ue
voc saiba como criar e !erenciar ob
jetos de computador"
-m or!ani#a.es pe/uenas' uma pessoa pode ser responsvel por e1ecutar todas
essas tareas administrativas dir
ias" 2or
*m' em !randes r
edes corpor
ativas' com
mil5ar
es de usurios e computador
es' isso * invivel" ; impor
tante /ue um
administr
ador de empresa saiba como dele!ar
tareas administrativas especicas a
usurios ou !rupos desi!nados para asse!urar /ue a administr
ao da empr
esa se
ja
eiciente e eetiva"
Objetivos
Ao concluir
este mdulo' voc ser capa# de:
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
3/57
6 Gerenciar contas de usurio com err
amentas !ricas"
6 Gerenciar contas de !rupo com er
r
amentas !ricas"
6 Gerenciar contas de computador"
6 Dele!ar
permiss.es para e1ecutar
a administrao do AD DS"
Lio 1 : Gerenciamento de contas de usurio
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
4/57
Antes de comear a cr
iar e !erenciar
contas de usur
io' !rupo e computador' *
importante /ue voc entenda /uais erramentas pode usar
para e1ecutar
essas
diver
sas tar
eas de !erenciamento"
Snap-ins administrativos do Active Directory
A maioria da administr
ao do AD DS * e1ecutada com os se!uintes snap7ins e
consoles:
6 err
amentas deAdministrao de Servidor
=emoto&" 0 =SA9
* um r
ecurso /ue pode serinstalado do n =ecursos do Ger
enciador de Servidor no +indo,
s Server%
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
5/57
?@?"
Boc tamb*m pode instalar o =SA9
em clientes +indo,s' incluindo o +indo,sBista% Ser
vice 2acC $
ou mais r
ecente&' o +indo,s e o +indo,s E" Depois /ue
voc bai1ar
os ar/uivos de instalao do =SA9
do site da Microsot' e1ecute o
Assistente de 4oni!urao' /ue o orientar atrav*s da instalao" Aps instalar o
=SA9
' ative a$s& erramenta$s& /ue dese
ja usar" 2ara isso' no 2ainel de 4ontr
ole' no
aplicativo 2ro!ramas e =ecursos' use o comando #ti!ar ou desati!ar recur
sos do
)indo*
s"
Leitura adicional: 2ara bai1ar os ar/uivos de instalao do =SA9
' consulte o4entro de Do,nload da Micr
osot em+ttp:
,,go-
microso&t-
com,&*lin.,/
Lin.0D23
"
Central Administrativa do Active Directory
0 +indo,s Server ?@? or
nece outr
a opo para !erenciar
os objetos do AD DS" 0
4entral Administrativa do Active Directory ornece uma G
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
6/57
Boc pode usar o mdulo do Active Dir
ectory para o +indo,s 2o,er
S5ell $mdulo
Active Directory& para criar e !erenciar
objetos no AD DS" 0 +indo,s 2o,er
S5ell no
s * uma lin!ua!em de scripts como tamb*m l5e per
mite e1ecutar
comandos /ue
reali#am tareas administrativas' como criar
novas contas de usurio' coni!urar
servios' e1cluir cai1as de correio e un.es semel5antes"
0 +indo,s 2o,erS5ell * instalado' por padr
o' no +indo,s Server ?@?' mas o
mdulo Active Directory apenas est presente /uando:
6 B
oc instala a uno de servidor
AD DS ou AD DS $
Active Directory i!5t,ei!5t
Directory Services&"
6 B
oc e1ecuta Dcpr
omo"e1e par
a elevar
um computador a um contr
olador de
domnio"
6 B
oc instala o =SA9"
Ferramentas de linha de comando do servio de diretr
io
Boc tamb*m pode usar as err
amentas de lin5a de comando de Ser
vio de Dir
etrio'
al*m do +indo,s 2o,erS5ell" -ssas erramentas permitem criar
' modiicar
' !erenciar
e e1cluir ob
jetos AD DS' como usur
ios' !rupos e computadores" Boc pode usar os
se!uintes comandos:
6 Dsadd"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
7/57
(bser!ao: ; possvel r
edir
ecionar os resultados do comando Ds5uer$para outros comandos do ser
vio de diretrio" 2or e1emplo' se voc di!itaro se!uinte em um prompt de comando' o nFmero de teleone do escr
itriode todos os usurios cu
jo nome comea com Ho5n sero retor
nados"ds/uer
y user Iname Ho5nJ K ds!et user Ioice
Criao de contas de !s!"rio
o AD DS' todos os usur
ios /ue e1i!em acesso aos recur
sos de rede devem ser
coni!urados com uma conta de usurio" 4om essa conta de usur
io' os usurios
podem se autenticar no dom
nio do AD DS e r
eceber acesso aos recursos de r
ede"
o +indo,s Server ?@?' uma cont
a de usurio* um objeto /ue cont*m todas as
inorma.es /ue deinem um usurio"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
8/57
6 Gerenciar o acesso dos usurios a recur
sos' como objetos do AD DS e respectivas
propr
iedades' pastas compartil5adas' ar/uivos' diretrios e ilas de impr
essora"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
9/57
detal5es do snap7in e deve ser e1clusivo dentro do continer
ou da unidade
or!ani#acional" Se estiver criando um ob
jeto de usurio para uma pessoa com o
mesmo nome de um usurio e1istente na mesma unidade or!ani#acional ou no
mesmo continer' voc pr
ecisar
inser
ir
um nome e1clusivo no campo 7ome
completo"
6 A propriedade o!on
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
10/57
Ao criar uma conta de usurio no AD DS' voc tamb*m coni!ura todas as
propr
iedades de conta ou os atributos associados"
(bser!ao: 0s atributos associados a uma conta de usurio so deinidoscomo parte do es/uema AD DS' /ue os membros do !rupo de se!ur
anaAdministrador
es de -s/uema podem modiicar"Geralmente' o es/uema no * alterado com re/uncia" 2or
*m' /uando umaplicativo de n
vel empresarial $
como o Microsot% -1c5an!e Ser
ver
?@@& *introdu#ido' vrias altera.es de es/uema so necessrias" -ssas alter
a.espermitem /ue ob
jetos' incluindo objetos de usurio' ten5am atributosadicionais"
Ao criar um novo ob
jeto de usurio' voc no precisa deinir vrios atributos al*m
dos necessrios para permitir /ue o usurio aa lo!on usando a conta" 4omo um
objeto de usur
io pode ser
associado a vrios atributos' * importante /ue voc
entenda o /ue so esses atributos e como voc pode us7los em sua or
!ani#ao"
Cate$orias de atrib!to
0s atributos de um objeto de usur
io esto includos em vrias cate!orias
abran!entes" -ssas cate!orias so e1ibidas no painel de nave!ao da cai1a de
dilo!o 8ropriedades do 9suriono 4entral Administrativa do Active Directory e
incluem o se!uinte:
6 onta" Al*m das propriedades de nome do usurio $
7ome' 0nicial do segundo
nome' obrenome' 7ome completo& e dos diversos nomes de lo!on do usurio
$
Logon 987 do usurio' Logon do usurio am#ccount7ame&' voc pode
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
11/57
coni!ur
ar
as se!uintes propriedades adicionais:
o ;or
rio de logon" -ssa propriedade deine /uando a conta pode ser usada
par
a acessar
os computadores de dom
nio" Boc pode usar
a e1ibio de estilo
de calendrio semanal par
a deinir
o 5orrio de lo!on per
mitido e o 5or
rio de
lo!on ne!ado"
o
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
12/57
o #rma=ene sen+a c, criptogra&ia re!er
s"!el" -ssa poltica oer
ece suporte a
aplicativos /ue usam protocolos /ue necessitam con5ecer a sen5a do usurio
par
a ins de autenticao" 0 arma#enamento de sen5as /ue usam cripto!raia
r
evers
vel * essencialmente o mesmo /ue ar
ma#enar vers.es das sen5as com
te1to sem ormatao" 2or esse motivo' essa poltica nunca deve ser 5abilitada' a
menos /ue os re/uisitos do aplicativo se
jam maiores /ue a necessidade de
pr
ote!er as inorma.es de sen5a" -ssa poltica * necessria ao usar
a
autenticao 4OA2 atrav*s de acesso remoto ou o 8AS $
Ser
vio de Autenticao
da 8nternet&" -la tamb*m * necessria ao usar a autenticao Di!est no 88S
$
Servios de 8norma.es da 8nternet&"
o # conta > con&i!el para delegao" Boc pode usar
essa propr
iedade para
per
mitir
/ue uma conta de servio r
epresente um usurio padro par
a acessarr
ecursos de r
ede em nome de um usur
io"
6 (r
gani=ao" 8sso inclui propriedades do usurio' como o 7ome para e6ibio' o
?scritrio' o ?ndereo de email' vrios nFmeros de teleone de contato' estrutura
administrativa' depar
tamento e nomes de empresa' endereos etc"
6 @embr
o de" -ssa seo permite /ue voc deina as associa.es de !r
upo do
usurio"
6 8er&il" -ssa seo permite /ue voc coni!ure um local para os dados pessoais do
usurio e deina um local para salvar o per
il de rea de trabal5o do usurio
/uando ele i#er lo!o"
6 ?6tens'es" -ssa seo e1p.e vr
ias propr
iedades de usurio adicionais' cu
ja
maior
ia nor
malmente no r
e/uer
coni!urao manual"
Criao de per#is de !s!"rio
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
13/57
Quando os usurios a#em lo!o' as coni!ura.es de sua rea de trabal5o e de seus
aplicativos so salvos em uma subpasta criada na pasta 4:R
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
14/57
(bser!ao: 4omo prtica recomendada' use uma subpasta da pasta basedo usur
io para o camin5o de per
il do usurio"
6 cr
ipt de logon" -sse script * o nome de um ar/uivo em lotes contendo
comandos e1ecutados /uando o usurio i#er lo!on" ormalmente' voc usa essescomandos para criar mapeamentos de unidade" -m ve# de usar um ar/uivo em
lotes de script de lo!on' os administr
adores nor
malmente implementam os scr
ipts
de lo!on usando G20s $
0bjetos de 2oltica de Grupo& ou as preerncias da
2ol
tica de Grupo" Se voc usar um script de lo!on' esse valor dever
estar apenas
no ormato de um nome de ar/uivo $com e1tenso&" 0s scr
ipts devem ser
ar
ma#enados na pasta 4:R+indo,sR
SSB0RdomainRscr
ipts de todos os
contr
oladores de domnio"
6 8asta base" -sse valor permite criar
uma r
ea de arma#enamento pessoal na /ual
os usurios podem salvar seus documentos pessoais" B
oc pode especiicar um
camin5o local ou' mais normalmente' um camin5o
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
15/57
6 Trea de 9
rabal5o
6 Menu 8niciar
6 Documento
6 MFsica
6 Bdeos
6 >avoritos
6 4ontatos
6 inCs
6 2es/uisas
6 Ho!os Salvos
Boc pode usar esses subns par
a deinir
todos os aspectos de peril de r
ea de
trabal5o de um usur
io e as coni!ura.es de aplicativo" 2ara um determinado
subn' como Documentos' voc pode escol5er
entre o redirecionamento Psico e
Avanado" o redirecionamento Psico' todos os usurios aetados pelo G20 tm a
pasta Documentos redirecionada para uma subpasta nomeada individual ora de
uma pasta rai# comum deinida por um nome
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
16/57
)*cl!ir !ma conta de !s!"rio
6 ocali#e -d Meado,s na unidade or!ani#acional Mana!ers e e1clua a conta"
Criar !ma nova conta de !s!"rio
6 4rie uma nova conta de usur
io denominada ?d @eado*
s" Berii/ue se a conta oi
criada com uma sen5a or
te"
+over a conta de !s!"rio
6 Mova a conta -d Meado,s par
a a unidade or!ani#acional 89
"
Lio 2: Gerenciamento de contas de grupo
-mbora possa ser prtico atribuir per
miss.es e recursos a contas de usurio
individuais em r
edes pe/uenas' isso ica impraticvel e ineiciente em !r
andes redes
cor
porativas" 2or e1emplo' se vrios usurios precisarem do mesmo n
vel de acesso a
uma pasta' ser
mais eiciente cr
iar
um !rupo contendo as contas de usurio
necessrias e' depois' atr
ibuir
o !rupo (s permiss.es e1i!idas" 4omo bene
cio
adicional' isso permite /ue voc altere as per
miss.es de ar/uivo de um usurio'
adicionando7os ou removendo7os de !r
upos' em ve# de editar
as permiss.es dear
/uivo diretamente"
Antes de implementar
!rupos em sua or!ani#ao' voc deve entender
o escopo dos
vr
ios tipos de !rupo do +indo,s Server e como us7los mel5or par
a !er
enciar o
acesso aos recur
sos ou atribuir dir
eitos e capacidades de !er
enciamento"
Objetivos da lio
Ao concluir
esta lio' voc ser capa# de:
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
17/57
6 Descrever os tipos de !rupo"
6 Descrever os escopos do !r
upo"
6 -1plicar como implementar o !erenciamento do !rupo"
6 Descrever os !rupos padro"
6 Descrever as identidades especiais"
6 Gerenciar !rupos no +indo,s Ser
ver"
,ipos de $r!po
-m uma rede cor
porativa baseada no +indo,s Server
?@?' 5 dois tipos de !rupo:
se!ur
ana e distribuio" Ao criar um !r
upo' escol5a o tipo e o escopo de !rupo"
0s !r
upos de distribuio' /ue no so 5abilitados para se!urana' so usados
principalmente por
aplicativos de email" 8sso si!niica /ue eles no tm S8Ds'portanto' eles no podem obter
permisso para recursos" 0 envio de uma
mensa!em a um !r
upo de distribuio a# com /ue ela se
ja enviada a todos os
membros do !rupo"
0s !r
upos de se!urana so entidades de se!urana com S8Ds" 2ortanto' voc pode
usar esses !rupos em entradas de per
misso de A4s $listas de controle de acesso&
para controlar a se!urana do acesso aos r
ecursos" Boc tamb*m pode usar
!ruposde se!ur
ana como meio de distribuio par
a aplicativos de email" Se voc dese
jar
usar um !rupo para !erenciar
a se!urana' ele deve ser um !rupo de se!ur
ana"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
18/57
(bser!ao: 0 tipo de !r
upo padro * se!urana"
4omo voc pode usar !rupos de se!urana para acesso a recursos e distr
ibuio de
emails' vrias or!ani#a.es usam apenas !r
upos de se!urana" 2or
*m'
recomendamos /ue se um !rupo or
usado apenas par
a distribuio de emails' voc
cr
ie o !r
upo como um !rupo de distribuio" 4aso contrrio' o !rupo r
eceber um
S8D' /ue ser
adicionado ao toCen de acesso de se!urana do usur
io' podendo
resultar em um aumento de taman5o desnecessrio do toCen de se!urana"
(bser!ao: 4onsidere /ue' /uando voc adicionar
um usur
io a um !rupo
de se!ur
ana' o toCen de acesso do usurio' /ue autentica os pr
ocessos dousur
io' somente ser
atuali#ado /uando o usurio entrar no servio" 2ortanto'se o usurio j estiver conectado'
ele dever a#er lo!o e lo!on novamentepara atuali#ar seu toCen de acesso com /ual/uer associao de !rupoalter
ada"
(bser!ao: 0 bene
cio da utili#ao de !rupos de distribuio ica maisevidente nas implanta.es do -1c5an!e Server
de !rande escala'principalmente onde 5 uma necessidade de anin5ar esses !rupos de
distribuio pela empresa"
)scopos de $r!po
0 +indo,s Server ?@? d suporte ao escopo de !rupo" 0 escopo de um !r
upo
determina o intervalo de r
ecursos ou permiss.es de um !rupo e a associao de
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
19/57
!rupo"
O /uatr
o escopos de !rupo:
6 ocal" -sse tipo de !rupo * destinado a servidores ou esta.es de trabal5o
autUnomas' em servidores membro de dom
nio /ue no so contr
oladores de
domnio ou em esta.es de trabal5o membro de domnio" 0s !r
upos locais so
verdadeiramente locais' ou se
ja' eles s esto disponveis no computador em /ue
e1istem" As caracter
sticas impor
tantes de um !r
upo local so:
o B
oc s pode atribuir r
ecursos e per
miss.es em r
ecursos locais' ou se
ja' no
computador local"
o 0s membros podem ser de /ual/uer local da loresta AD DS e podem incluir:
V Qual/uer
entidade de se!urana do dom
nio: usur
ios' computador
es'
!r
upos !lobais ou !r
upos locais de domnio"
V
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
20/57
V
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
21/57
A adio de !rupos a outros !rupos * um processo denominado aninhamento" 0
anin5amento cria uma 5ier
ar
/uia de !r
upos /ue do suporte (s suas un.es
cor
porativas e re!ras de !erenciamento"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
22/57
* membro dos !r
upos de dom
nios locais em vrios dom
nios" Boc talve# se lembre
do anin5amento como 8G
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
23/57
Y" Atribua a permisso /ue implementa o nvel de acesso necessr
io" esse caso'
conceda a per
misso 2ermitir er
ao !rupo de domnios locais"
-ssa estrat*!ia resulta em dois Fnicos pontos de !erenciamento' redu#indo a
sobrecar!a de !erenciamento"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
24/57
-sse !r
upo * membro do !rupo Administrador
es em cada domnio da loresta' o
/ue l5e concede acesso completo ( coni!urao de todos os controladores de
domnio" -le tamb*m possui a partio de coni!ur
ao do dir
etrio e tem
contr
ole total do conte1to de nomenclatur
a de domnio em todos os dom
nios de
loresta"
6 Administradores de -s/uema $continer
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
25/57
podem a#er
lo!on localmente nos controlador
es de dom
nio" 2or
padro' esse
!rupo no tem membros"
6 0per
adores de PacCup $
continer interno de cada dom
nio&" 0s membros desse
!rupo podem e1ecutar opera.es de bacCup e restaurao nos contr
oladores de
domnio' a#er lo!on localmente e desli!ar os controladores de dom
nio" 2orpadro' esse !rupo no tem membros"
6 0per
adores de 8mpresso $continer
inter
no de cada dom
nio&" 0s membros desse
!rupo podem manter a ilas de impr
esso nos controladores de dom
nio" -les
tamb*m podem a#er lo!on localmente e desli!ar os controladores de domnio"
Boc precisa !er
enciar cuidadosamente os !rupos padr
o /ue ornecem privil*!ios
administr
ativos' pois eles !er
almente tm privil*!ios mais amplos do /ue necessr
io
para a maior
ia dos ambientes dele!ados e por
/ue eles aplicam proteo com
re/uncia aos seus membros"
0 !rupo 0perador
es de 4onta * um bom e1emplo disso" Se voc e1aminar os
recur
sos do !r
upo 0peradores de 4onta na lista anterior' poder ver
iicar
/ue osmembros desse !rupo tm direitos muito amplos" -les podem inclusive a#er lo!on
localmente em um controlador
de dom
nio" -m redes muito pe/uenas' esses dir
eitos
provavelmente seriam apropriados para um ou dois indiv
duos /ue normalmente
seriam os administr
adores de domnio de /ual/uer orma" -m !r
andes empr
esas' os
direitos e as permiss.es concedidas ao !rupo 0perador
es de 4onta !er
almente so
bem mais amplos"
Al*m disso' o !r
upo 0peradores de 4onta *' assim como os outros !r
upos
administr
ativos' um !rupo prote!ido"
0s !r
upos prote!idos so deinidos pelo sistema operacional e no podem ser
despr
ote!idos" 0s membr
os de um !rupo prote!ido tornam7se prote!idos por
associao" 0 resultado da proteo * /ue as per
miss.es $
A4s& dos membros somodiicadas' para /ue eles no 5erdem mais as permiss.es de sua unidade
or!ani#acional e recebam uma cpia de uma A4 bastante restritiva" 2or
e1emplo' se
voc adicionar He >ord ao !r
upo 0perador
es de 4onta' a conta dele icar
prote!ida
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
26/57
e o suporte t*cnico' /ue pode redeinir todas as outras sen5as de usurio na unidade
or!ani#acional >uncionrios' no poder
redeinir
a sen5a de He >ord"
9
ente evitar adicionar usurios aos !r
upos /ue no tm membros por
padro
$
0per
adores de 4onta' 0per
adores de PacCup' 0per
s de servidores e 0perador
es de
8mpresso&" -m ve# disso' crie !rupos per
sonali#ados aos /uais voc atr
ibuir
permiss.es e dir
eitos de usurio para atender aos seus r
e/uisitos administr
ativos e de
ne!cios"
2or e1emplo' se Scott Mitc5ell puder
e1ecutar
opera.es de bacCup em um
controlador de dom
nio' mas no conse!uir
e1ecutar opera.es de restaur
ao /ue
possam levar
a uma r
everso ou corrupo do banco de dados e no conse!uirdesli!ar um controlador de dom
nio' no o colo/ue no !r
upo 0perador
es de
PacCup" -m ve# disso' crie um !rupo e atr
ibua a ele somente o direito de usurio
>a#er PacCup de Ar/uivos e Diretrios e' em se!uida' adicione Scott como um
membro"
dentidades especiais
0 +indo,s e o AD DS tamb*m do supor
te a identidades especiais' /ue so !r
upos
para os /uais a associao * contr
olada pelo sistema operacional" Boc no pode
e1ibir os !rupos em /ual/uer lista $
no snap7in
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
27/57
convenincia&' so descr
itas na lista a se!uir
:
6 o!on AnUnimo" -ssa identidade representa as cone1.es com um computador
e
seus r
ecursos /ue so eitas sem /ue se
jam ornecidos nome de usurio e sen5a"
Antes do +indo,s Ser
ver ?@@3' esse !r
upo era membro do !rupo 9
odos" A partir
do +indo,s Ser
ver ?@@3' esse !r
upo no * mais membr
o padro do !rupo
9
odos"
6
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
28/57
Demonstrao( 'erenciamento de $r!pos
-sta demonstrao mostra a voc como:
6 4riar
um novo !rupo"
6 Adicionar membros ao !rupo"
6 Adicionar um usurio ao !r
upo"
6 Alterar o tipo e escopo do !r
upo"
6 Modiicar a pr
opriedade Gerenciado pordo !rupo"
)tapas da demonstrao Criar !m novo $r!po
" -m 07D4' abr
a o entral #dministrati!a do #cti!e Director
$"
?" 4rie um novo !rupo de se!ur
ana !lobal na unidade or
!ani#acional 89
denominado 0A @anagers"
Adicionar membros ao $r!po
6 Adicione vrios usurios ao novo !r
upo"
Adicionar !m !s!"rio ao $r!po
6 Adicione ?d@eado*sao !rupo 0A @anagers"
Alterar o tipo e o escopo do $r!po
6 as propriedades do !rupo 0A @anagers' alter
e o escopo do !rupo par
a
9ni!er
sale o tipo de !rupo par
a Distribuio"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
29/57
+odi#
icar a propriedade 'erenciado por do $r!po
6 Adicione ?d @eado*s( lista Ger
enciado por e' em se!uida' conceda a ele a
per
misso ( gerente pode atuali=ar a lista de membros"
Lio 3: Gerenciamento de contas de computador
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
30/57
O /!e 0 o cont1iner Comp!tadores2
Antes de voc criar
um objeto de computador no servio de diretrio' * necessrio/ue ten5a um local para coloc7lo"
Quando voc criar
um dom
nio' o continer 4omputadores ser criado por
padro
$
4Z4omputers&" -sse continer
no * uma unidade or
!ani#acionalW ele * um ob
jeto
da classe 4ontiner"
O dierenas sutis' mas importantes entre um continer
e uma unidade
or!ani#acional" Boc no pode criar uma unidade or!ani#acional dentro de um
continer' por
tanto' no pode subdividir a unidade or!ani#acional 4omputador
es"
Boc tamb*m no pode vincular um G20 a um continer" 2ortanto' recomendamos
/ue voc crie unidades or!ani#acionais per
sonali#adas para 5ospedar
os objetos de
computador' em ve# de usar o continer 4omputadores"
)speci#icao do local das contas de comp!tador
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
31/57
A maioria das or!ani#a.es cria' no m
nimo' duas unidades or!ani#acionais para os
objetos de computador: uma par
a os ser
vidores e outr
a par
a 5ospedar
as contas dos
computadores cliente' como reas de tr
abal5o' laptops e outros sistemas de usurio"
-ssas duas unidades or!ani#acionais so adicionais ( unidade or
!ani#acional
4ontr
oladores de Domnio criada por padr
o durante a instalao do AD DS"
0s ob
jetos de computador so criados nas duas unidades or
!ani#acionais" o 5
nen5uma dier
ena t*cnica entre um objeto de computador na unidade
or!ani#acional de um cliente e um objeto de computador na unidade or
!ani#acional
de um ser
vidor
ou de um controlador
de domnioW os objetos de computador so
objetos de computador" 2or
*m' unidades or!ani#acionais separadas !er
almente so
cr
iadas para ornecer
escopos e1clusivos de !erenciamento' para /ue voc possadele!ar
o !erenciamento dos ob
jetos de cliente a uma e/uipe e o !erenciamento dos
objetos de servidor ( outra"
Seu modelo administr
ativo poster
iormente talve# precise dividir
as unidades
or!ani#acionais de cliente e de ser
vidor
" B
r
ias or!ani#a.es criam subunidades
or!ani#acionais sob a unidade or!ani#acional de servidor para coletar e !er
enciar
tipos espec
icos de servidor
es" 2or e1emplo' voc pode criar uma unidadeor!ani#acional par
a servidores de ar
/uivo e impresso e uma unidade or
!ani#acional
para servidores de banco de dados" Desse modo' voc poder dele!ar permiss.es
para !erenciar os objetos de computador
na unidade or
!ani#acional apropriada (
e/uipe de administrador
es de cada tipo de servidor
" Da mesma orma' as
or!ani#a.es distribu
das !eo!r
aicamente com e/uipes de suporte de rea de
trabal5o locais !eralmente dividem uma unidade or!ani#acional pai par
a os clientes
em subunidades or!ani#acionais par
a cada site" -ssa aborda!em per
mite /ue a
e/uipe de supor
te de cada site crie objetos de computador
no site par
a
computadores cliente e in!resse os computadores no dom
nio usando esses objetos
de computador"
8ndependentemente desses e1emplos espec
icos' o mais impor
tante * /ue a
estr
utura de sua unidade or!ani#acional relita seu modelo administrativo' de modo/ue as suas unidades or!ani#acionais possam ornecer pontos de !erenciamento
Fnicos para a dele!ao da administr
ao"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
32/57
Al*m disso' ao usar
unidades or
!ani#acionais separadas' voc poder cr
iar
vrias
coni!ura.es de lin5a de base usando G20s dierentes /ue so vinculados (s
unidades or!ani#acionais de cliente e de servidor" 4om a 2oltica de Grupo' voc
pode especiicar a coni!urao para cole.es de computadores' vinculando G20s
/ue contm instru.es de coni!urao a unidades or!ani#acionais" ; comum as
or!ani#a.es separarem os clientes em unidades or!ani#acionais de rea de trabal5o
e de laptop" Boc pode vincular os G20s /ue especiicam a coni!urao da rea de
trabal5o ou do laptop (s unidades or!ani#acionais apropriadas"
(bser!ao: Boc pode usar
a er
ramenta de lin5a de comando%edircmp-e6epara reconi!urar o continer de computador padro" 2or
e1emplo' se dese
jar alter
ar
o continer
de computador padr
o par
a umaunidade or!ani#acional denominada mycomputers' use esta sinta1e:redircmp ouZmycomputers'D4Zcontoso'dcZcom
Controle de permiss3es para criar contas de comp!tador
2ar
a in!r
essar
um computador
em um dom
nio do Active Directory' /uatr
o
condi.es devem ser satiseitas:
6
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
33/57
6 B
oc no deve ter e1cedido o nFmer
o m1imo de contas de computador /ue *
possvel adicionar
ao domnio" 2or padr
o' os usurios somente podem adicionar'
no m1imo' de# computador
es ao dom
nioW esse valor * con5ecido como a cota de
conta da mquinae * controlado pelo valor de MS7DS7Mac5ineQuota" B
oc pode
modiicar esse valor usando o snap7in do ADS8-dit"
(bser!ao: Boc no precisa criar um ob
jeto de computador
no serviode diretrio' mas isso * recomendvel" Brios administrador
es in!ressamcomputadores em um dom
nio sem primeiro criar um ob
jeto decomputador" 2or
*m' /uando voc a# isso' o +indo,s Server
tentain!ressar o dom
nio em um objeto e1istente" Quando o +indo,s Ser
ver
no locali#a o ob
jeto' ele reali#a ailbacC e cria um objeto de computador nocontiner padr
o 4omputador"
0 processo de cr
iao antecipada de uma conta de computador
* denominadopr-
conf
igur
ao de um comput
ador" O duas vanta!ens principais de pr*7coni!ur
ar
um
computador:
6 A conta * colocada na unidade or
!ani#acional correta e' portanto' * dele!ada de
acordo com a pol
tica de se!ur
ana deinida pela A4 da unidade or
!ani#acional"
6 0 computador estar
dentro do escopo dos G20s vinculados ( unidade
or!ani#acional' antes de o computador
in!r
essar
no dom
nio"
Aps receber
permisso para criar
objetos de computador' voc poder a#er
isso
clicando com o boto dir
eito do mouse na unidade or!ani#acional e' no menu 7o!o'
clicando em omputador" -m se!uida' insira o nome do computador
' se!uindo a
conveno de nomenclatura de sua empresa' e selecione o usurio ou o !r
upo /ue
ter permisso para in!ressar o computador no domnio com essa conta" 0 dois
nomes computador' ome de 4omputador e ome de 4omputador $
anterior ao+indo,s ?@@@&' devem ser
idnticos" Muito raramente 5 uma justiicativa para
coni!ur7los separadamente"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
34/57
Dele$ao de permiss3es
2or padr
o' os !rupos Administradores de -mpresa' Admins" do Dom
nio'
Administradores e 0per
adores de 4onta tm permisso par
a criar ob
jetos de
computador em /ual/uer nova unidade or
!ani#acional" 2or*m' conorme discutido
anter
iormente' recomendamos /ue voc restrin
ja a associao ri!or
osamente nos trsprimeiros !rupos e no adicione Administr
adores ao !r
upo 0perador
es de 4onta"
esse caso' dele!ue a per
misso para cr
iar
objetos de computador $
denominada
4riar 4omputador ob
jetos& aos administr
adores ou ( e/uipe de supor
te apr
opriada"
-ssa per
misso' /ue * atr
ibu
da ao !rupo de uma unidade or!ani#acional' permite
/ue os membros do !r
upo criem objetos de computador nessa unidade
or!ani#acional" 2or
e1emplo' voc pode permitir /ue sua e/uipe de supor
te de r
eade trabal5o cr
ie ob
jetos de computador na unidade or!ani#acional de clientes e /ue
seus administradores de servidor de ar/uivos criem ob
jetos de computador na
unidade or!ani#acional de servidores de ar
/uivos" 2ara dele!ar per
miss.es par
a criar
contas de computador' voc pode usar o Assistente para Dele!ao de 4ontr
ole a
im de escol5er uma tarea personali#ada para dele!ar"
Ao dele!ar permiss.es para !erenciar
contas de computador
' voc pode conceder
permiss.es adicionais al*m das necessrias para criar
contas de computador" 2or
e1emplo' voc pode decidir per
mitir /ue um administrador dele!ado !er
encie as
propr
iedades das contas de computador
e1istentes' e1cluir
a conta de computador
ou mover a conta de computador
"
(bser!ao: Se dese
jar permitir /ue um administrador
dele!ado movacontas de computador' observe /ue ele re/uer a permisso apr
opriada tantono continer
do AD DS $
onde o computador j e1iste& /uanto no continer dedestino $
para o /ual mover o computador
&" -speciicamente' ele deve ter
aspermiss.es -1cluir
4omputador no continer de ori!em e as per
miss.es 4riar4omputador no continer de destino"
Contas de comp!tador e canais de se$!rana
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
35/57
9
odo computador membro de um dom
nio do AD DS mant*m uma conta de
computador com um nome de usur
io $
SamAccountame& e uma sen5a' da mesma
orma /ue uma conta de usur
io" 0 computador arma#ena sua sen5a na orma de
um se!r
edo SA $autoridade de se!ur
ana local& e altera a sen5a no dom
nio a cada3@ dias apro1imadamente" 0 servio eto!on usa as credenciais par
a a#er lo!on no
dom
nio' /ue estabelece o canal de se!urana com um controlador de dom
nio"
As contas de computador e as rela.es se!ur
as entre computadores e seu domnio
so r
obustas" o entanto' al!uns cenr
ios podem ocorrer em /ue um computador
no consi!a mais se autenticar com o dom
nio" Al!uns e1emplos desses cenr
ios so
apresentados a se!uir:
6 Aps reinstalar o sistema oper
acional em uma estao de trabal5o' a estao de
trabal5o no conse!ue se autenticar
' embora o t*cnico ten5a usado o mesmo
nome de computador da instalao anterior" 4omo a nova instalao !erou um
novo S8D e o novo computador no sabe a sen5a ori!inal da conta de
computador no domnio' ela no pertence ao domnio e no pode se autenticar nodomnio"
6
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
36/57
sen5a" -mbora no ten5a es/uecido a sen5a' ele simplesmente discor
da do
domnio em relao ( sen5a real" Quando isso ocorrer' o computador
no poder
ser autenticado' e o canal de se!urana no poder ser criado"
4ede#inio do canal de se$!rana
0casionalmente' a relao de se!ur
ana entre uma conta de computador
e seu
dom
nio pode ser interrompida' o /ue r
esulta em vrios sintomas e er
r
os" 0s sinais
mais comuns de problemas com a conta de computador so:
6 As mensa!ens no lo!on indicam /ue um controlador de dom
nio no pode ser
contatado' /ue a conta de computador pode estar ausente' /ue a sen5a na conta
de computador est incorr
eta ou /ue a r
elao de coniana $
outro modo de
denominar
a relao de segur
ana& entre o computador e o dom
nio oi perdida"
6 As mensa!ens de err
o ou os eventos no lo! de eventos indicam problemas
semel5antes ou su!erem al5as de sen5as' rela.es de coniana' canais dese!urana ou rela.es com o dom
nio ou com um contr
olador de dom
nio" al5a na autenticao\ /ue
apar
ece no lo! de eventos do computador
"
6
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
37/57
trabal5o e' em se!uida' rein!ressando7o no dom
nio" 2or*m' essa no * uma prtica
recomendada' pois tem a possibilidade de e1cluir a conta de computador
completamente" A e1cluso da conta de computador
remove o S8D do computador
e' pr
incipalmente' suas associa.es de !r
upo" Quando voc rein!ressa7o no dom
nio
e1ecutando esse procedimento' embor
a o computador ten5a o mesmo nome' a
conta tem um novo S8D e todas as associa.es de !rupo do objeto de computador
anter
ior devem ser recriadas par
a incluir
o novo S8D" 2or
tanto' se a relao de
coniana com o dom
nio tiver sido perdida' no remova um computador
do
dom
nio e depois rein!resse7o" -m ve# disso' r
edeina o canal de se!urana" 8sso
!arantir /ue a conta de computador e1istente poder ser reutili#ada"
2ar
a r
edeinir o canal de se!urana entr
e um membro de domnio e o dom
nio' use osnap7in
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
38/57
2ar
a r
edeinir o canal de se!urana usando etDom"e1e' di!ite o se!uinte comando
em um prompt de comando' onde as cr
edenciais pertencem ao !rupo local
Administradores do computador:
netdom r
eset MachineNameLdomain DomainNameL
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
39/57
-mbora uma Fnica pessoa possa !erenciar uma rede pe/uena com al!umas contas
de usurio e de computador' ( medida /ue a rede aumentar' o volume de tr
abal5o
relacionado ao !erenciamento da rede tamb*m aumentar" -m um cer
to momento'
as e/uipes com especiali#a.es espec
icas evoluem' cada uma com responsabilidade
por al!um aspecto espec
ico do !erenciamento de rede" os ambientes do AD DS' *
prtica comum criar unidades or!ani#acionais para or!ani#ar
os objetos em r
ede em
uma estr
utura departamental ou !eo!r
ica e 5abilitar a coni!urao da dele!ao
administr
ativa" ; importante /ue voc saiba por /ue e como criar unidades
or!ani#acionais e como dele!ar tareas administrativas aos usurios nos objetos
dentro dessas unidades or
!ani#acionais"
Objetivos da lioAo concluir
esta lio' voc ser capa# de:
6 Descrever as permiss.es do AD DS"
6 Determinar as per
miss.es eetivas de AD DS de um usurio em um ob
jeto AD DS"
6 Dele!ar
o controle administr
ativo de um objeto AD DS a um usurio ou !rupo deusurios especiicado"
Permiss3es do AD DS
9
odos os objetos AD DS' como usur
ios' computadores e !rupos' podem serprote!idos usando uma lista de per
miss.es" As permiss.es em um ob
jeto so
c5amadas de A4-s $
entradas de contr
ole de acesso& e so atribu
das a usurios'
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
40/57
!rupos ou computadores' /ue tamb*m so con5ecidos como entidades de
se!ur
ana" As A4-s so salvas na DA4 $lista de controle de acesso discricionr
io& do
objeto' /ue a# par
te da A4 do ob
jeto" A A4 cont*m a SA4 $lista de contr
ole de
acesso do sistema& /ue inclui coni!ur
a.es de auditoria"
4ada objeto no AD DS tem sua prpr
ia A4" Se voc tiver permiss.es suicientes'
poder modiicar as per
miss.es par
a contr
olar
o n
vel de acesso em um objeto AD
DS espec
ico" A dele!ao do controle administrativo envolve a atribuio de
permiss.es /ue !erenciem o acesso a objetos e propriedades no AD DS" Da mesma
maneir
a /ue voc pode permitir
/ue um !rupo altere ar/uivos em uma pasta' voc
tamb*m pode per
mitir /ue um !r
upo' por e1emplo' redeina sen5as em ob
jetos de
usurio"
A DA4 de um objeto tamb*m permite /ue voc atr
ibua per
miss.es (s propriedades
espec
icas de um objeto" 2or e1emplo' voc pode per
mitir $ou ne!ar& permisso par
a
alter
ar
as op.es de teleone e email" 8sso' na verdade' no * apenas uma
propr
iedade" -la orma um conjunto de pr
opriedades /ue inclui vrias pr
opr
iedades
espec
icas" A utili#ao de conjuntos de propriedades permite /ue voc !erencie
acilmente os con
juntos de pr
opriedades mais usados com r
e/uncia" -ntr
etanto'voc tamb*m pode atribuir permiss.es mais !ranulares e permitir ou ne!ar
permisso para alterar apenas al!umas inorma.es' como o nFmer
o de teleone do
celular
ou o endereo"
A atribuio da permisso de suporte t*cnico par
a r
edeinir as sen5as de cada objeto
de usurio individual * entediante" Mesmo assim' no AD DS' no * uma prtica
recomendada atr
ibuir
permiss.es a ob
jetos individuais" -m ve# disso' voc deve
atribuir permiss.es no nvel de unidade or
!ani#acional"
As permiss.es /ue voc atribui a uma unidade or!ani#acional so 5erdadas por
todos os objetos da unidade or!ani#acional" 2or
tanto' se voc der a per
misso de
suporte t*cnico para redeinir as sen5as dos ob
jetos de usurio e ane1ar
essa
permisso ( unidade or!ani#acional /ue cont*m os usurios' todos os ob
jetos deusurio dentr
o dessa unidade or!ani#acional 5erdar
o essa per
misso" -m apenas
uma Fnica etapa' voc ter dele!ado essa tarea administrativa"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
41/57
0s ob
jetos il5o 5erdam as permiss.es do continer
pai ou da unidade
or!ani#acional" -sse continer
ou essa unidade or!ani#acional 5erda suas per
miss.es
da unidade or!ani#acional do continer pai" Se or uma unidade or!ani#acional ou
um continer de primeir
o n
vel' ele 5erdar
as permiss.es do prprio dom
nio" 0
motivo de os objetos il5o 5erdarem as per
miss.es de seus pais * /ue' por padro'
cada novo ob
jeto * criado com a opo 0ncluir permiss'es +erd!eis pr
o!enientes
do pai deste objeto 5abilitada"
Permiss3es e#etivas do AD DS
As permiss.es eetivas so as permiss.es resultantes para uma entidade dese!ur
ana $
como um usur
io ou um !r
upo&' com base no eeito cumulativo de cada
A4- 5erdada e e1plcita" 2or
e1emplo' a sua capacidade de redeinir a sen5a de um
usurio pode estar vinculada ( sua associao em um !rupo com per
misso =edeinir
Sen5a em uma unidade or!ani#acional vr
ios nveis acima do objeto de usur
io" A
permisso 5erdada atribuda a um !r
upo ao /ual voc pertence resulta na permisso
eetiva 2ermitir: =edeinir Sen5a" Suas permiss.es eetivas podem ser complicadas
/uando voc considerar as permiss.es 2ermitir e e!ar' as A4-s e1pl
citas e 5erdadase o ato de voc poder pertencer a vr
ios !r
upos' cada um dos /uais podendo obter
permiss.es dierentes"
As permiss.es' independentemente de serem atribudas ( sua conta de usurio ou a
um !rupo ao /ual voc pertence' so e/uivalentes" 8sso si!niica /ue uma A4- aplica7
se basicamente a voc' o usur
io" 4omo pr
tica recomendada' !er
encie as
permiss.es atribuindo7as a !rupos' mas tamb*m * possvel atr
ibuir
A4-s a usurios
ou computador
es individuais"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
42/57
atribu
da a um !rupo ao /ual voc per
tence"
As permiss.es 2er
mitir' /ue permitem acesso' so cumulativas" Quando voc
pertencer
a vrios !rupos' e /uando esses !rupos tiver
em obtido per
miss.es /ue
permitam uma variedade de tar
eas' voc poder e1ecutar
todas as tareas atribu
das
a todos esses !r
upos e as tareas atr
ibu
das diretamente ( sua conta de usur
io"
As permiss.es e!ar' /ue ne!am acesso' substituem as per
miss.es 2er
mitir
e/uivalentes" Se voc estiver em um !rupo com per
misso para redeinir
sen5as e
tamb*m estiver em outro !rupo cu
ja permisso par
a r
edeinir sen5as ten5a sido
ne!ada' a permisso e!ar l5e impedir
de redeinir
sen5as"
(bser!ao:
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
43/57
Demonstrao( Dele$ao do controle administrativo
-sta demonstrao mostra a voc como:
6 Dele!ar
uma tarea padro"
6 Dele!ar
uma tarea personali#ada"
6 -1ibir permiss.es do AD DS resultantes dessas dele!a.es"
)tapas da demonstrao Dele$ar !ma tare#a padro
" Abra 9surios e omputadores do #cti!e Director$"
?"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
44/57
Directory"
?" -1iba as 8ropriedadesda unidade or
!ani#acional 89"
3"
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
45/57
6 4riar
e coni!ur
ar
contas de usur
io no AD DS"
6 Gerenciar objetos de computador no AD DS"
Con#i$!rao do laboratrio
9
empo previsto: _@ minutos
M/uinas virtuais ?YY@P707D4 ?YY@P7074
ome de
usurio ADA9
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
46/57
Cenr
io
A A" Datum dele!a o !erenciamento de cada ilial a um !rupo espec
ico" 8sso permite
/ue um uncionr
io /ue trabal5a no local se
ja coni!urado como um administrador
/uando necessrio" 4ada ilial tem um !rupo de administradores de ilial capa# de
e1ecutar
administrao completa dentro da unidade or!ani#acional >ilial" 9
amb*m 5
um !rupo de suporte t*cnico de ilial capa# de !erenciar
os usurios da unidade
or!ani#acional >ilial' mas no outros ob
jetos" Boc precisa criar esses !rupos para a
nova ilial e dele!ar permiss.es aos !rupos"
As principais tareas deste e1erc
cio so:
" Dele!ar
a administrao para Administradores de >ilial
?" Dele!ar
um administr
ador de usur
io para o Suporte 9
*cnico da >ilial
3" Adicionar um membro a Administr
adores da >ilial
Y" Adicionar um membro ao !rupo Suporte 9
*cnico da >ilial
,are#
a 6( Dele$ar a administrao para Administradores de Filial
" -m 07D4' abr
a 9surios e omputadores do #cti!e Director
$e cr
ie no
domnio #datum-comuma nova unidade or
!ani#acional denominada
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
47/57
o De!elopment
Eart Duncan
o @anagers
?d @eado*
s
o @ar.eting
onnie Vrettos
o %esearc+
Earbara Hig+etti
o ales
#rlene ;u&&
" Mova o computador L(7CL1par
a a unidade or!ani#acional
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
48/57
,are#
a 7( Dele$ar !m administrador de !s!"rio para o S!porte ,
0cnico da
Filial
" -m 07D4' em
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
49/57
,are#
a 9( Adicionar !m membro ao $r!po S!porte ,0cnico da Filial
" -m 07D4' adicione Eart Duncanao !rupo !lobal uporte A>cnico daec5e
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
50/57
@" -ntr
e em 07D4 como #D#A9@
#dministradorcom a sen5a 8aFF*rd"
%esultados: Depois de concluir este e1er
c
cio' voc deve ter
criado uma unidadeor!ani#acional com 1ito e dele!ado a administr
ao dela ao !rupo apr
opriado"
)*erc&
cio 7( Criao e con#
i$!rao de contas de !s!"rio no AD DS
Cenr
io
Boc r
ecebeu uma lista de novos usur
ios para a ilial e precisa comear a criar
contas
de usurio para eles"
As principais tareas deste e1erc
cio so:
" 4riar
um modelo de usurio para a ilial
?" Deinir as coni!ura.es de modelo
3" 4riar
um novo usur
io para a ilial' com base no modelo
Y" -ntr
ar
como um usur
io para testar
as coni!ura.es de conta
,are#
a 6( Criar !m modelo de !s!"rio para a #ilial
" -m 07D4' crie uma pasta denominada :
branc+1Cuserdata' e compartil5e7
a"
?" Modii/ue as permiss.es de pasta compartil5ada' par
a /ue o !rupo Aodos
ten5a as permiss.es 8ermitirontr
ole Aotal"
3" o Ger
enciador de Servidor
' abr
a 9surios e omputadores do #cti!eDirector$e crie um novo usur
io com as se!uintes propriedades na unidade
or!ani#acional
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
51/57
o ome completo: IEranc+Itemplate
o ome de lo!on do usur
io: I
Eranc+Itemplate
o Sen5a: 8aFF*
rd
o onta desati!ada
,are#
a 7( De#inir as con#i$!ra3es de modelo
6 -m 07D4' modii/ue as se!uintes pr
opriedades da contaIEranc+Itemplate:
o 4idade: loug+
o Grupo: 9surios da
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
52/57
o Grupo: 9surios da
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
53/57
,are#
a 6( 4ede#inir !ma conta de comp!tador
" -m 07D4' entr
e como #D#A9@
;oll$com a sen5a 8aFF*
r
d"
?" Abra 9surios e omputadores do #cti!e Director$"
3" 4onirme suas credenciais na cai1
a de dilo!o ontrole de onta de 9surio"
Y" ave!ue at*
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
54/57
o ome de usur
io: administrador
o Sen5a: 8aFF*
rd
o Domnio: #D#A9@
o Dese
ja 5abilitar uma conta de usur
io de domnio nesse computador
: 7o
_" Quando solicitado' r
einicie o computador"
" -ntr
e como #D#A9@
?dcom a sen5a 8aFF*
rd" Boc oi bem7sucedido' pois
o computador oi rein!ressado com 1ito"
%esultados: Depois de concluir este e1er
c
cio' voc ter redeinido uma relao deconiana com 1ito"
Para se preparar para o pr*imo md!lo
Quando tiver conclu
do o laboratr
io' r
etorne as m/uinas virtuais para o estadoinicial" 2ara a#er isso' e1ecute estas etapas:
" o computador 5ost' inicie o Ger
enciador ;$perCV"
?" a lista @5uinas Virtuais' cli/ue com o boto dir
eito do mouse em 2441EC
L(7CL1e cli/ue em %e!erter"3" a cai1a de dilo!o %e!erter @5uina Virtual' cli/ue em %e!erter"
Y" =epita as etapas ? e 3 para ?YY@P707D4"
'e#
iso e in(
orma)es complementares do mdulo
Per$!ntas de reviso
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
55/57
8ergunta:
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
56/57
Active Dire
ctory
Mdulo Active Directory para
+indo,s 2o,erS5ell
Gerenciar !rupos 8nstalado como recurso do
+indo,s
erramentas Administrativas
D
join"e1e Associao o
line de domnio in5a de comando
=edircmp"e1e Alterar o cont
iner de
computador padro
in5a de comando
DSA4S -1ibir e mo
di
icar as permiss.es
do AD DS
in5a de comando
Pr"tica recomendada P
r
t
icas r
ecomend
ad
as par
a ger
enci
ament
o
d
as cont
as de usur
io
6 o dei1e os usur
ios compar
til5arem contas de usurio" Sempre crie uma conta
de usurio para cada indivduo' at* mesmo se essa pessoa no per
manecer muito
tempo na sua or
!ani#ao"
6 8nstr
ua os usur
ios sobre a impor
t)ncia da se!ur
ana da sen5a"
6 4er
tii/ue7se de escol5er uma estrat*!ia de nomenclatur
a par
a as contas de
usurio /ue l5e permita identiicar o usurio ao /ual a conta est relacionada"
4er
tii/ue7se tamb*m de /ue a sua estrat*!ia de nomenclatura utili#e nomes
e1clusivos dentr
o do seu dom
nio"
P
r
t
icas r
ecomend
ad
as par
a g
er
enciament
o d
e gr
upos
6 Ao !erenciar o acesso aos recur
sos' tente usar o !rupo de domnio local e os
!rupos de un.es"
6 Somente use !rupos universais /uando necessr
io' pois eles sobr
ecar
re!am otre!o de replicao"
6
-
5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf
57/57
lotes nos !rupos"
6 -vite adicionar usurios a !r
upos inter
nos e padr
o"
P
r
t
icas r
ecomend
ad
as r
elacionad
as ao ger
enciament
o d
as cont
ad
e comput
ad
or
6 Sempre provisione uma conta de computador antes de in!ressar computadores
em um domnio e' em se!uida' colo/ue7a na unidade or!ani#acional apr
opriada"
6 =edir
ecione o continer
de computador
padro para outro local"
6 =edeina a conta de computador
' em ve# de separ7la e rein!ress7la"
6 8nte!re a uncionalidade Associao 0line de Dom
nio (s instala.es autUnomas"