04 Administrando Usußrios e Grupos

Módulo 4: Configurando e Administrando Usuários e Grupos
Módulo 4: Configurando e Administrando Usuários e

Grupos
Visão Geral
Introdução a Usuários e Grupos

Nomes de Logon do Usuário
Criando Múltiplas Contas de Usuário
Administrando Contas de Usuário
Utilizando Grupos no Active Directory
Estratégias para Utilizar Grupos em um Domínio
Resolução de Problemas de Contas de Usuário e Grupos do Domínio
Práticas Recomendadas
O Active Directory™ é um serviço de diretório que armazena e mantém dados necessários

aos recursos da rede. Uma conta de usuário é um objeto armazenado no Active Directory
que permite uma única assinatura para um usuário. Uma única assinatura significa que os
usuários precisam entrar com seus nomes e senhas somente uma vez durante o logon na
estação de trabalho para obter acesso autenticado aos recursos de rede. Uma conta de
usuário de domínio fornece a habilidade de efetuar o logon no domínio para obter acesso
aos recursos de rede, ou para efetuar o logon em um computador individual para obter
acesso nesse computador.
Um grupo é geralmente uma coleção de contas de usuário. Você pode utilizar grupos para
gerenciar eficientemente o acesso aos recursos do domínio, o que ajuda a simplificar a
manutenção e administração da rede. Você pode utilizar grupos separadamente ou colocar
um grupo dentro de outro para melhor simplificar a administração.
Depois de completar este módulo, você será capaz de:

Identificar o propósito de utilizar contas de usuário e grupos no Microsoft® Windows
Server 2003.
Identificar diferentes tipos de nomes de logon de usuário e criar um sufixo de nome
principal do usuário.
Criar múltiplas contas de usuário importando informações do usuário dentro do Active
Directory™.
Administrar contas de usuário.
Utilizar grupos para gerenciar o acesso aos recursos do domínio.
Implementar estratégias para o uso de grupos de segurança para gerenciar o acesso aos
recursos do domínio.
Resolver problemas comuns com a administração de contas de usuário e grupos.
Adotar as práticas recomendadas para a administração de contas de usuário e grupos.
-76-
Users
Users Group
Group Shared
Shared Resources
Resources
Permissions
Crie Contas de Usuário para Cada Pessoa que Utiliza Regularmente a Rede
Crie Múltiplas Contas de Usuário para os Novos Usuários em um Único Lote de
Operações
Agrupe Contas de Usuário para Gerenciar o Acesso do Usuário aos Recursos
Compartilhados
Aninhe Grupos Dentro de Outros Grupos para Reduzir a Administração
Um administrador deve executar certas tarefas em andamento para assegurar que os

usuários possam efetuar o logon na rede e obter acesso aos recursos em um domínio.
Algumas destas tarefas administrativas são:
Criar uma única assinatura para uma conta de usuário. No Active Directory™, uma
única assinatura permite que usuários digitem seus nomes e senhas somente uma vez
durante o logon na estação de trabalho e receber autenticação para obter acesso aos
recursos da rede em um domínio. Um administrador pode criar três tipos de contas de
usuário, cada uma tendo uma função específica:
• Uma conta de usuário local habilita um usuário efetuar o logon em um computador
específico para obter acesso aos recursos nesse computador.
• Uma conta de usuário de domínio habilita um usuário a efetuar o logon no domínio
para obter acesso aos recursos da rede.
• Uma conta de usuário embutida (“built-in”) habilita um usuário a executar tarefas
administrativas ou obter acesso temporário aos recursos da rede.
Criar múltiplas contas de usuário no Active Directory™ para novos usuários em um
único lote de operações. Por exemplo, um administrador pode criar contas de usuário
importando dados volumosos dentro do Active Directory a partir de um arquivo
contendo dados do usuário.
Agrupar contas de usuário para gerenciar eficientemente o acesso aos recursos do
domínio, tal como pastas compartilhadas da rede, arquivos, diretórios, e impressoras.
Utilizando grupos, um administrador precisa determinar permissões para os recursos
compartilhados somente uma vez ao invés de várias vezes. Você também pode fazer
computadores e outros grupos membros de um grupo.
Colocar grupos dentro de outros grupos reduz a administração quando estiver criando
um modelo para uma estrutura hierárquica.
-77-
Introdução a Nomes de Logon do Usuário

Criando um Sufixo de Nome Principal do Usuário
No Active Directory™, cada conta de usuário tem um nome de logon do usuário, e um

nome de logon do usuário pré-Windows Server 2003, que é o nome da conta do gerenciador
de contas de segurança (SAM, security account manager). As informações da conta de
usuário são utilizadas para autenticar e autorizar usuários em qualquer lugar da floresta,
possibilitando aos usuários um processo de logon único. Ao criar contas, você entra com o
prefixo de nome de logon do usuário e seleciona o sufixo de nome principal do usuário.
Quando criar a conta de usuário, você deve também se assegurar de que a mesma siga regras
de exclusividade.
Introdução a Nomes de Logon do Usuário
suzanf@contoso.msft
suzanf@contoso.msft
Prefix
Prefix @
@ Suffix
Suffix
contoso
contoso suzanf
suzanf
domain
domain + user
user name
name
Nome Principal do Usuário

• O sufixo padroniza o nome do domínio raiz, mas ele pode ser alterado e outros
sufixos adicionados
Nome de Logon do Usuário (Pré-Windows Server 2003)
• Um usuário seleciona o domínio quando efetua o logon
Regras de Exclusividade para o Nome de Logon do Usuário
• Nome completo precisa ser exclusivo dentro do recipiente
• Nome principal do usuário é exclusivo dentro da floresta
• Nome de logon do usuário (pré-Windows Server 2003) é exclusivo dentro do
domínio
Em uma rede do Windows Server 2003, um usuário pode efetuar o logon com um nome
principal do usuário ou um nome de logon do usuário (pré-Windows Server 2003). Os
controles do domínio podem utilizar um desses nomes de logon para autenticar a solicitação
de logon.
-78-
Nome Principal do Usuário
O nome principal do usuário é o nome de logon utilizado somente para efetuar o logon na
rede do Windows Server 2003. Este nome é também conhecido como um nome de logon do
usuário.
Há duas partes para um nome de logon do usuário, e elas são separadas por um sinal de @;
por exemplo, suzanf@contoso.msft. Um nome de logon do usuário tem os dois seguintes
componentes:
O prefixo do nome principal do usuário, que no exemplo suzanf@contoso.msft é suzanf.
O sufixo de nome principal do usuário, que no exemplo suzanf@contoso.msft é
contoso.msft. Por padrão, o sufixo é o nome do domínio raiz da rede. Você pode utilizar
outros domínios na rede para configurar sufixos adicionais para usuários. Um exemplo
de quando você poderia querer configurar um sufixo é quando você precisa criar nomes
de logon do usuário que correspondam com o endereço de e-mail do usuário.
As vantagens de utilizar os nomes principais do usuário são:

O nome principal do usuário não pode ser mudado quando você move uma conta de
usuário para diferentes domínios, porque o nome é exclusivo dentro do Active
Directory™.
Um nome principal do usuário pode ser o mesmo nome do endereço de e-mail do
usuário, porque tem o mesmo formato do endereço de e-mail padrão.
Nome de Logon do Usuário (Pré-Windows Server 2003)

Se um usuário efetua o logon na rede a partir de um computador cliente executando uma
versão do Windows mais antiga que o Windows Server 2003, o usuário precisa efetuar o
logon utilizando o nome de logon do usuário (pré-Windows Server 2003).
Um nome de logon do usuário (pré-Windows Server 2003) é um nome da conta de usuário,
tal como suzanf no exemplo suzanf@contoso.msft. Quando um usuário efetua o logon
utilizando um nome de logon do usuário (pré-Windows Server 2003), o usuário precisa
também fornecer o domínio no qual a conta de usuário existe, de forma que o controlador de
domínio de autenticação possa localizar a conta de usuário.
Se os usuários se conectarem ao recurso da rede com uma conta de usuário diferente
daquela que em que foi efetuado o logon, os usuários precisam fornecer o domínio e o nome
de logon do usuário (pré-Windows Server 2003) para autenticação, por exemplo,
contoso\suzanf.
Regras de Exclusividade para Nomes de Logon do Usuário.

Nomes de logon do usuário para contas de usuário do domínio precisam seguir regras de
exclusividade no Active Directory™. Quando criar nomes de logon do usuário, considere as
seguintes regras de exclusividade:
O nome completo precisa ser exclusivo dentro do recipiente no qual você criou a conta
de usuário. O nome completo é utilizado como o nome relativo distinto.
Nome principal do usuário precisa ser exclusivo dentro da floresta.
O nome de logon do usuário (pré-Windows Server 2003) precisa ser exclusivo dentro do
domínio.
-79-
Criando um Sufixo de Nome Principal do Usuário

Active Directory Domains and Trusts
Action View
Active Directory Domains and Trusts Properties
Tree Name Type
UPN Suffixes domain.DNS
contoso.msft
Active Directory Domains and Trusts
nwtraders.msft
The names of thedomain.DNS
current domain and the root domain
contoso.msft
Connect to Domain Controller…
nwtraders.msft are the default user principal name (UPN) suffixes.
Operations Master…
Adding alternative domain names provides additional
View logon security and simplifies user logon names.
Refresh
If you want alternative UPN suffixes to appear during
Export List…
user creation, add them to the following list.
Properties
Alternative UPN suffixes:
Help
contoso.msft Add
Remove
Opens property sheet for the current selection.

Add
Add New
New Suffixes
Suffixes
OK Cancel Apply
Você seleciona um sufixo de nome principal do usuário quando cria uma conta em Usuários
e Computadores do Active Directory (Active Directory Users and Computers). Se o sufixo
que você precisa não existir em Usuários e Computadores do Active Directory (Active
Directory Users and Computers), você pode adiciona-los. Um sufixo de nome principal do
usuário permite simplificar sua administração e o processo de logon do usuário fornecendo
um único sufixo de nome principal do usuário para todos os usuários.
Você precisa ser um membro do grupo interno Administradores da Empresa (Enterprise
Admins) para adicionar sufixos em Domínios e Confianças do Active Directory (Active
Directory Domains and Trusts).
Para adicionar novos sufixos, execute os seguintes passos:
1. Em Domínios e Confianças do Active Directory, na árvore do console, clique com o
botão direito em Domínios e Confianças do Active Directory (Active Directory
Domains and Trusts), e clique em Propriedades (Properties).
2. Na guia Sufixos UPN (UPN Suffixes), digite um sufixo UPN alternativo para o
domínio, e então clique em Adicionar (Add).
Observação: Se você criou uma conta de usuário utilizando um programa diferente do

Usuários e Computadores Active Directory, você não está limitado aos sufixos de nome
principal do usuário armazenado no Active Directory™. Você pode definir um sufixo
quando criar uma conta.
-80-
O Processo de Importação Volumosa

Utilizando CSVDE para Criar Múltiplas Contas de Usuário
Utilizando LDIFDE para Criar Múltiplas Contas de Usuário
Você pode utilizar o Windows Server 2003 para criar múltiplas contas de usuário no Active
Directory importando dados de um arquivo de texto para preencher os atributos das contas
de usuário. Este processo e conhecido como importação volumosa. A importação volumosa
é a importação de múltiplos registros dos bancos de dados no banco de dados do Active
Directory. A vantagem da importação volumosa é que você não precisa criar cada conta de
usuário separadamente. Em vez disto, você pode importar um arquivo existente que
contenha as informações do usuário requeridas para criar todas as contas de usuário.
Para criar contas de usuário em uma operação em lote, o Windows Server 2003 fornece
utilitários administrativos, tais como a Troca de Diretório com Valor Separado por Vírgula
(CSVDE, Comma Separated Value Directory Exchange) e a Troca de Diretório no Formato
de Intercâmbio de Dados do Protocolo Leve de Acesso a Diretório (LDIFDE, Lightweight
Directory Access Protocol Data Interchange Format Directory Exchange). Estes utilitários o
habilitam para administrar grandes números de contas de usuário e outros objetos do Active
Directory, como grupos, computadores e impressoras em uma operação. Estes utilitários são
instalados automaticamente em todos os computadores que executam Windows Server 2003
Server.
O Processo de Importação Volumosa
nf
suza
dy l
ju
User
User information
information
Text File Active Directory
Para Cada Objeto do Usuário, o Arquivo:

Precisa incluir o caminho para a OU da conta de usuário, tipo de objeto, e nome de
logon do usuário (pré-Windows Server 2003)
Deve incluir o nome principal do usuário e se a conta de usuário está ativada ou
desativada
Pode incluir informações pessoais do usuário
Não pode incluir uma senha
O processo de importação volumosa permite a você criar automaticamente múltiplas contas

de usuário no Active Directory. Este processo requer o uso de um arquivo de texto que
contenha as informações sobre as contas de usuário que você quer criar. O arquivo de texto
-81-
pode ser um aplicativo de banco de dados que já contenha as informações sobre as contas de
usuário, ou pode ser também outros aplicativos, tais como o Microsoft Excel ou Microsoft
Word.
Dependendo do formato do arquivo de texto, você utiliza o comando csvde ou o ldifde para
importar os dados das contas de usuário do arquivo e criar simultaneamente múltiplas
contas de usuário no Active Directory. Você utiliza o comando csvde para importar o
arquivo de texto que utiliza um formato delimitado por vírgula (formato CSVDE). Você
utiliza no ldifde o comando para importar o arquivo de texto que utiliza um formato de
valor separado por linha (formato LDIF). A Maioria das aplicações de banco de dados
podem criar arquivos de texto que podem ser importados em um destes formatos.
Quando criar múltiplas contas de usuário, as informações do arquivo no CSVDE ou
LDIFDE:
Devem incluir o caminho para a conta de usuário no Active Directory, o tipo de objeto,
que é a conta de usuário, e o nome de logon do usuário (pré-Windows Server 2003).
Devem incluir o nome principal do usuário, porque este é o nome de logon recomendado
para usuários efetuando o logon no computador que executa o Windows Server 2003.
Você deveria também incluir se a conta de usuário está ativada ou desativada. Se você
não especificar um valor, a conta é desabilitada.
Podem incluir informações pessoais, por exemplo, números de telefones ou endereços
residenciais. O arquivo precisa conter as informações necessárias para criar atributos
para a conta de usuário. Atributos, que também são referências para propriedades, são
categorias de informações para os objetos do Active Directory. Os valores destes
atributos definem as características dos objetos. Você deve incluir o máximo possível de
informações de contas de usuário, a fim de possibilitar mais itens para pesquisa aos
usuários.
Não podem incluir senhas. A importação volumosa deixa a senha em branco para as
contas de usuário. Por padrão, a primeira vez que usuários efetuarem o logon, eles
precisam de suas senhas. Este não é um problema se os usuários efetuarem o logon
imediatamente, mas isso pode ser um problema se os usuários não efetuarem o logon por
algum tempo. Pelo fato de uma senha em branco permitir uma autorização pessoal para
obter acesso na rede sabendo um único nome de logon do usuário, desative a conta de
usuário até que o usuário inicie o logon.
Utilizando CSVDE para Criar Múltiplas Contas de Usuário
O formato CSVDE pode ser utilizado somente para adicionar novos objetos de usuário, e
outros tipos de objetos, para o Active Directory. Você não pode utilizar o formato CSVDE
para excluir ou modificar no Active Directory. Antes de importar um arquivo CSVDE, você
precisa garantir que o arquivo que você está importando está formatado devidamente, de
forma que a importação seja um sucesso. Tipicamente, para editar e formatar um arquivo de
texto, você utiliza um aplicativo que tem boas capacidades de edição, tais como o Excel ou
o Word. Então, salve o arquivo como um arquivo de texto delimitado por vírgula. Você
pode exportar dados do Diretório Ativo para uma planilha eletrônica do Excel ou importar
dados de uma planilha eletrônica dentro do Active Directory.
-82-
New Object - User objectClass

objectClass
DN
DN == Full
Full Name
Name ++ Path
Path
Create in: asia.contoso.msft/Human Resources
First name: Suzan Initials:
Last name: Fine

Full name: Suzan Fine displayName
displayName
User logon name:
suzanf @contoso.msft userPrincipalName
userPrincipalName
User logon name (pre-Windows 2000):
ASIA\ suzanf samAccountName
samAccountName
Format
Format Example
Example
Attribute
Attributeline
linecontaining
containingthe
thenames
namesofof<the
the attributes:
attributes:
Back Next > Cancel
DN,objectClass,samAccountName,userPrincipalName,displayName,
DN,objectClass,samAccountName,userPrincipalName,displayName,
userAccountControl
userAccountControl
User
Useraccount
accountline
linecontaining
containingvalues
valuesfor
forattributes:
attributes:
"cn=Suzan Fine,ou=Human Resources,dc=asia,dc=contoso,dc=msft",
"cn=Suzan Fine,ou=Human Resources,dc=asia,dc=contoso,dc=msft",
user,suzanf,suzanf@contoso.msft,Suzan
user,suzanf,suzanf@contoso.msft,SuzanFine,512
Fine,512
Preparando para Importar um Arquivo CSVDE

Formate o arquivo que contenha as seguintes informações:
A linha de atributo, que é a primeira linha do arquivo. Especifica o nome de cada
atributo que você precisa definir para as novas contas de usuário. Note que você pode
colocar os atributos em qualquer ordem, mas você precisa separa os atributos com
vírgulas. A seguir um exemplo da linha de atributo:
DN,objectClass,sAMAccoutName,userPrincipalName,displayName,
userAccountControl
A linha da conta de usuário. Para cada conta de usuário que você criar, o arquivo de
importação contém uma linha que especifica o valor para cada atributo na linha de
atributo.
As seguintes regras são adotadas para os valores em uma linha da conta de usuário:
• Os valores do atributo precisam seguir a seqüência da linha de atributos
• Se não existe um valor para um atributo, deixe-o em branco, mas inclua todas as
vírgulas.
• Se um valor contém vírgulas, inclua o valor entre aspas.
A seguir um exemplo de uma linha da conta de usuário:

“cn=Suzan Fine,ou=Recursos Humanos,dc=asia,dc=contoso,
dc=msft”,user,suzanf,suzanf@contoso.msft,Suzan Fine,512
A tabela a seguir fornece os atributos e valores presentes no exemplo anterior.
Atributo Valor
Nome distinto (DN, distinguished name) Cn=Suzan Fine,OU=Recursos Humanos,
dc=asia,dc=contoso,dc=msft
(Isto especifica o caminho para a OU que
-83-
contém a conta de usuário.)
ObjectClass User
SAMAccontName Suzanf
UserPrincipalName suzanf@contoso.msft
DisplayName Suzan Fine
UserAccountControl 512 (O valor 512 ativa a conta de usuário
e o valor 514 desativa a conta de usuário.)
Para mais informações sobre nomes distintos, consulte o apêndice C, “Nomes LDAP”
(“LDAP Names”), no CD Materiais do Aluno.
Observação: Para uma lista de atributos comuns e seus nomes de exibição, consulte o
apêndice D, “Atributos de Contas de Usuário Comuns”, no CD Materiais do Aluno.
Utilizando o comando csvde

Depois do arquivo ser devidamente formatado, você pode utilizar o comando csvde para
importar o arquivo e criar múltiplas contas de usuário no Active Directory.
Para importar o arquivo, abra uma janela do prompt de comando, e digite o seguinte:
csvde –i –f nomedoarquivo
Na sintaxe anterior, –i indica que você está importando um arquivo de dentro do Active
Directory, e –f indica que o próximo parâmetro é o nome do arquivo que você está
importando.
O comando csvde fornece as informações de status de sucesso ou falha no processo, e
também fornece o nome do arquivo para visualizar informações de erro detalhadas. Mesmo
se as informações de status indicarem que o processo foi bem sucedido, utilize Usuários e
Computadores do Active Directory (Active Directory Users and Computers) para verificar
algumas das contas de usuário que você criou para garantir que elas têm todas as
informações que você forneceu.
Utilizando o LDIFDE para criar múltiplas contas de usuário
New Object - User objectClass

objectClass
DN
DN == Full
Full Name
Name ++ Path
Path
Create in: asia.contoso.msft/Human Resources
First name: Suzan Initials:
Last name: Fine

Full name: Suzan Fine displayName
displayName
User logon name:
suzanf @contoso.msft userPrincipalName
userPrincipalName
User logon name (pre-Windows 2000):
ASIA\ suzanf samAccountName
samAccountName
Format
FormatExample
Example
DN:CN=Suzan
DN:CN=Suzan Fine,OU=Human
Fine,OU=Human Resources,DC=asia,DC=contoso,DC=msft
Resources,DC=asia,DC=contoso,DC=msft
< Back Next > Cancel
objectClass: user
objectClass: user
samAccountName:
samAccountName: suzanf
suzanf
userPrincipalName:
userPrincipalName:suzanf@contoso.msft
suzanf@contoso.msft
displayName:
displayName:Suzan
Suzan Fine
Fine
userAccountControl:
userAccountControl:512512
-84-
DN:CN=Suzan Fine,OU=Recursos Humanos,DC=asia,DC=contoso,DC=msft
ObjectClass:user
SAMAccountName:suzanf
UserPrincipalName:suzanf@contoso.msft
DisplayName: Suzan Fine
UserAccountControl : 512
Formato de Intercâmbio de Dados do Protocolo Leve de Acesso a Diretório (LDIF,

Lightweight Directory Access Protocol Data Interchance Format) é outro formato de arquiv
que é utilizado para executar a importação volumosa para diretórios que obedecem ao
padrão LDAP. O formato de arquivo LDIF tem um utilitário de linha de comando chamado
de ldifde que permite você crie, modifique e exclua objetos no Active Directory. Um
arquivo LDIF consiste de uma série de registros que são separados por linhas em branco.
Um registro descreve um único objeto de diretório ou um conjunto de modificações para os
atributos de um objeto existente e consiste de uma ou mais linhas no arquivo.
Preparando um Arquivo LDIF para Importação

Formate um arquivo LDIF de forma que este contenha um registro que consiste de uma
seqüência de linhas descrevendo uma entrada para uma conta de usuário no Active
Directory, ou uma seqüência de linhas descrevendo um conjunto de mudanças para uma
conta de usuário. A entrada da conta de usuário específica o nome de cada atributo que você
quer definir para a nova conta de usuário. O esquema do Active Directory define os nomes
de atributo. Para cada conta de usuário que você criar, o arquivo contém uma linha que
específica o valor de cada atributo na linha de atributo. As seguintes regras são adotadas
para os valores de cada atributo:
Qualquer linha que começar com uma cancela (#) é uma linha de comentário, e é
ignorada quando você executa o arquivo LDIF.
Se um valor estiver ausente para um atributo, ele precisa ser representado como
Descrição de Atributo “:” FILL SEP.
A seguir um exemplo de uma entrada em um arquivo de importação LDIF:
#Criado por Suzan Fine
DN: CN=Suzan Fine, OU=Recursos
Humanos,DC=asia,DC=contoso,DC=msft
objectClass: user
sAMAccountName: suzanf
userPrincipalName: suzanf@contoso.msft
displayName: Suzan Fine
userAcoountControl: 512
A tabela a seguir fornece os atributos e valores presentes no exemplo.
Atributo Valor de atributo

Nome distinto DN (distinguished CN=Suzan Fine, OU=Recursos
name) Humanos,DC=asia,DC=contoso,DC=msft
(Isto especifica o caminho para o
recipiente do objeto.)
-85-
ObjectClass User
SAMAccountName Suzanf
userPrincipalName suzanf@contoso.msft
displayName Suzan Fine
userAcoountControl 512 (O valor 512 ativa a conta de usuário,
e o valor 514 desativa a conta de usuário.)
Utilizando o Comando ldifde

Depois que o arquivo está devidamente formatado, use o comando ldifde para importar o
arquivo e criar múltiplas contas de usuário no Active Directory.
Para importar o arquivo, prompt de comando, digite:
ldifde –i –f nomedoarquivo
Na sintaxe anterior, –i indica que você está importando um arquivo de dentro do Active
Directory. Se este parâmetro não é especificado, a modo padrão para o LDIFDE é
exportado. O parâmetro –f indica o nome do arquivo que você está importando.
Observação: Programas utilizam as Interfaces de Serviço do Active Directory (ADSI,

Active Directory Service Interfaces) para obter acesso no Active Directory. O ADSI em
conjunto com o Windows Script Host ativam scripts de operações em lote utilizando o
Microsoft Visual Basic ®, Editor de script (VBScript) ou Java. Para mais informações sobre
a criação de scripts ADSI, consulte o apêndice E, “Utilizando Interfaces de Serviço do
Active Directory (ADSI) Programando para Automatizar Tarefas Administrativas”, no CD
Materiais do Aluno.
Executando Tarefas Administrativas Comuns

Localizando contas de usuário
Depois que você ativar contas de usuário no Active Directory, você precisa executar tarefas
administrativas para garantir que todos os usuários tenham os recursos que eles precisam, e
que a segurança da rede permaneça intacta. Pelo fato de poder haver um grande número de
contas de usuário, você pode utilizar o utilitário find para ajudar a localizar uma conta de
usuário em particular.
Executando Tarefas Administrativas Comuns
Depois de criar as contas de usuário, você deve executar com freqüência tarefas
administrativas para garantir que a rede reflita o envolvimento das necessidades das
organizações que ela suporta. Estas tarefas administrativas incluem desativar e ativar contas
de usuário, redefinir senhas, mover contas de usuário dentro de um domínio, excluir contas
de usuário, renomear contas de usuário e desbloquear contas de usuário.
-86-
Active Directory Users and Computers

Console Window Help
Action View
Tree Accounting 4 objects
Active Directory Users and Computers Name Type
contoso.msft Anne Paper User
Accounting Copy…
Builtin Add members to a group…
Computers
Domain Controllers Disable Account
Users Reset Password…
Move…
Open home page
Send mail
All Tasks
Delete
Rename
Refresh
Creates a new user, copying information from the selected user.
Properties 9 Account
Account is
is locked
locked out
out
Help
Desativando e Ativando Contas de Usuário

Desative contas de usuário quando eles não precisarem de suas contas por um longo
período, mas precisarão utiliza-las mais tarde. Você desativa uma conta de usuário como
uma precaução contra um potencial uso impróprio da conta de usuário. Por exemplo, se o
usuário falta por dois meses, desative a conta quando o usuário sair e então ative a conta
quando ele retornar.
Para ativar ou desativar contas de usuário, execute o seguinte passo:
Em Usuários e Computadores do Active Directory (Active Directory Users and
Computers), clique com o botão direito na conta de usuário apropriada, e clique em
Ativar Conta (Enable Account) ou Desativar Conta (Disable Account) dependendo
do atual status da conta.
Redefinindo Senhas
Você redefine uma senha quando a senha expirar antes que o usuário mude-a ou se o
usuário esquecê-la. Você não precisar conhecer uma senha de usuário antes de redefini-la.
Você deve exigir ao usuário mudar sua senha na próxima vez que ele efetuar o logon.
Para redefinir senhas de contas de usuário, execute os seguintes passos:
Em Usuários e Computadores do Active Directory (Active Directory Users and
Computers), clique com o botão direito na conta de usuário apropriada, e então clique
em Redefinir Senha (Reset Password).
Movendo Contas de Usuário Dentro de um Domínio

Você pode mover contas de usuário entre OUs no mesmo domínio quando necessário. Por
exemplo, quando um funcionário move de um departamento para outro e outro
administrador administrará a conta de usuário do funcionário. As seguintes condições são
adotadas quando você move contas de usuário entre OUs:
Permissões de objeto atribuídas diretamente à conta de usuário se movem com a conta
de usuário.
Permissões que eram previamente herdadas do objeto pai não são mais aplicadas. No
lugar delas, são aplicadas as permissões herdadas do novo objeto pai.
-87-
Você pode mover múltiplas contas de usuário ao mesmo tempo.
Para mover uma conta de usuário do domínio dentro de um domínio, execute os seguintes
passos:
1. Em Usuários e Computadores do Active Directory (Active Directory Users and
Computers), clique com o botão direito na(s) conta(s) de usuário a serem movidas e
então clique em Mover (Move).
2. Na caixa de diálogo Mover (Move), dê um clique duplo na árvore o domínio, clique na
OU para o qual você deseja mover os objetos e clique em OK.
Excluindo contas de usuário

Exclua uma conta de usuário quando um funcionário deixar a organização e você não for
mais utilizar a conta. Excluindo-as , você não terá contas não utilizadas no Active Directory,
que podem causar um risco na segurança se um usuário não autorizado for capaz de efetuar
o logon utilizando um a conta obsoleta.
Para excluir contas de usuário, execute os seguintes passos:

Em Usuários e Computadores do Active Directory, clique com o botão direito na conta
de usuário apropriada, e então clique em Excluir (Delete).
Renomeando Contas de Usuário
Renomeie uma conta de usuário se você quer manter todos os direitos, permissões e
participações em grupos que são associadas a esta conta, e então a reatribua a um usuário
diferente. Por exemplo, se há um novo contador na companhia, renomeie a conta pela
mudança do primeiro nome, último nome, e os nomes de logon do usuário para aqueles do
novo contador. Também, você pode precisar mudar outras propriedades para um novo
usuário, tais como redefinir a senha, e mudar o número de telefone e endereço.
Para renomear contas de usuário, execute o seguinte passo:
Em Usuários e Computadores do Active Directory, clique com o botão direito na conta
apropriada, e então clique em Renomear (Rename).
Desbloqueando Contas de Usuário

Você pode ser solicitado a desbloquear uma conta de usuário se uma configuração de
Diretiva de Grupo bloquear a conta quando o usuário tentar violá-la. Por exemplo, usuários
são bloqueados se eles excedem o limite que uma configuração de Diretiva de Grupo
permite para tentativas falhas de logon. Quando uma conta de usuário está bloqueada, o
Windows Server 2003 exibe uma mensagem de erro quando o usuário tenta efetuar o logon.
Para desbloquear uma conta, execute o seguinte passo:

Em Usuários e Computadores do Active Directory, na caixa de diálogo Propriedades
(Properties) para a conta de usuário, na guia Conta (Account), desmarque a caixa de
verificação Conta bloqueada (Account is locked out).
-88-
Localizando Contas de Usuário
Search
Search entire
entire Active
Active Directory,
Directory,
aa specific
Find Users, Contacts, and Groups specific domain,
domain, or
or an
an OU
OU
File Edit View Help
Find: Users, Contacts, and Groups In: Entire Directory Browse...

Entire Directory
Users, Contacts, and Groups Advanced
contoso
Find Now
Field Accounting
Stop
Clear All
Add Remove
Select
Select attributes
attributes Specify
Specify value
value of
of
<Add Set
Settocondition
criteria from above condition
this list>
for
for searching
searching the
the attribute
attribute
Administer
Administer user
user accounts
accounts
Name Type in
in the results box
the results
Description box
Joe Pak User
Don Hall User
Anne Paper User
31 item(s) found
Como todas as contas de usuário residem no Active Directory, o administrador pode

procurar pela conta de usuário que ele precisa administrar. Procurar no Active Directory por
contas de usuário significa que você não precisa navegar através de centenas ou milhares de
objetos em Usuários e Computadores do Active Directory. Você pode também procurar por
outros objetos do Active Directory, tal como computadores, impressoras e pastas
compartilhadas. Depois de localizar esses objetos, você pode administrá-los a partir da caixa
de resultados de procura.
Executando Operações de Procura Básicas

Para iniciar uma operação de procura básica, execute os seguintes passos:
1. Em Usuários e Computadores do Active Directory, no menu Ação (Action), clique em
Localizar (Find).
2. Na caixa de diálogo Localizar Usuários, Contatos e Grupos (Find Users, Contacts,
and Groups), selecione o tipo de objeto que você deseja procurar.
3. Entre com o texto de procura nas caixas de critério de procura na caixa de diálogo
Localizar Usuários, Contatos e Grupos (Find Users, Contacts, and Groups). Os
tipos de critérios de procura que estão disponíveis variam dependendo do tipo de objeto
que você selecionou.
A tabela a seguir descreve as opções básicas na caixa de diálogo Localizar Usuários,

Contatos e Grupos (Find Users, Contacts, and Groups).
Opção Descrição
Localizar (Find) A opção que você utiliza para selecionar o
tipo de objeto que você pode pesquisar.
• Use a opção Usuários, Contatos, e
-89-
Grupos (Find Users, Contacts, and
Groups) para localizar usuários,
contatos ou grupos pelo nome ou
descrição.
• Use a opção Computadores
(Computers) para localizar
computadores pelo nome, proprietário,
ou cargo, tal como estação de trabalho,
servidor ou controlador de domínio.
• Use a opção Impressoras (Printers)
para localizar impressoras pelo nome,
localização, ou modelo.
• Use a opção Pastas Compartilhadas
(Shared Folders) para localizar pastas
pelo nome ou palavras-chaves.
• Use a opção Unidades de
Organização (Organization Units)
para localizar OUs pelo nome.
• Use a opção Pesquisa Personalizada
(Custom Search) para pesquisar por
uma gama ampla de tipos de objetos,
tais como Computador , Contato,
Grupo, OU e Usuário em vez de
selecionar um tipo de objeto ao
mesmo tempo. Você pode especificar
atributos adicionais para utilizar e
localizar estes tipos de objetos.
• Use a opção Clientes de Instalação
Remota (Remote Instalation
Clients) para localizar instalações
remotas de computadores clientes
pelos servidores GUID ou RIS.
Em (In) A opção que você utiliza para selecionar o
local que você deseja pesquisar.
• Use a opção Todo o Diretório (Entire
Directory) para localizar objetos
pesquisando o catalogo global.
Use a opção nome do domínio para
localizar objetos em um domínio
específico.
Executando uma Operação de Pesquisa Avançada
A ferramenta Usuários e Computadores do Active Directory fornece a opção Avançado

(Advanced) na caixa de diálogo Localizar Usuários, Contatos e Grupos (Find Users,
Contacts, and Groups) para permitir aos administradores personalizar pesquisas e filtrar
-90-
dados recuperados do Active Directory. A opção Avançado (Advanced) permite que você
especifique os critérios de pesquisa que definem os recursos pelos quais você está
pesquisando. Utilizando a opção Avançado (Advanced), você pode procurar recursos
utilizando qualquer atributo que é válido para o tipo de objeto. Por exemplo, você pode
pesquisar no Active Directory por todas as impressoras em um local específico. Você pode
então utilizar os resultados da pesquisa para editar as propriedades de cada objeto
impressora.
A tabela a seguir descreve as opções avançadas na caixa de diálogo Localizar Usuários,
Contatos e Grupos (Find Users, Contacts, and Groups).
Opção Descrição
Campo (Field) Uma lista de atributos para que você possa
pesquisar no tipo de recurso que você
selecionou. Diferentes tipos de recursos
têm diferentes atributos que podem ser
utilizados para uma operação de pesquisa.
Por exemplo, um objeto usuário teria um
atributo chamado Telefone Residencial,
mas este atributo não aplica-se a um
objeto computador.
Condição (Condition) Os métodos que estão disponíveis para
melhor definir a pesquisa para um
atributo.
• Use a opção Começa com (Starts
with) para especificar que valor do
atributo selecionado começa com um
determinado caractere ou conjunto de
caracteres.
• Use a opção Termina com (Ends
with) para especificar que o valor do
atributo selecionado termina com um
determinado caractere ou conjunto de
caracteres.
• Use a opção É (exatamente) (Is
(exactly)) para especificar que o valor
do atributo selecionado deveria ser o
mesmo de um determinado caractere
ou conjunto de caracteres.
• Use a opção Não é (Is not) para
especificar que o valor do atributo
selecionado não deveria ser o mesmo
de um determinado caractere ou
conjunto de caracteres.
• Use a opção Presente (Present) para
especificar que o atributo selecionado
foi definido para o objeto,
-91-
indiferentemente do valor do atributo.
• Use a opção Não presente (Not
Present) para especificar que o
atributo selecionado não foi definido
para o objeto.
Valor (Value) O caractere ou conjunto de caracteres que
você utiliza com a condição.
Ainda, se os usuários desejarem localizar objetos no Active Directory, eles podem clicar em
Iniciar (Start), e então clicar em Localizar (Search). As opções de pesquisa no Windows
Explorer e em Meus Locais de Rede (My Network Places) podem ser utilizadas para
localizar objetos no Active Directory.
Administrando Contas de Usuário na Caixa de Resultados

Depois de uma pesquisa bem sucedida, os resultados da pesquisa são mostrados. Você pode
então executar funções administrativas nos objetos que estão listados. As funções que estão
disponíveis dependem do tipo de objeto localizado. Por exemplo, se você pesquisou por
contas de usuário, você pode renomear e excluir a conta de usuário, desativá-la, redefinir
sua senha, mover a conta de usuário para outra OU, ou modificar os atributos da conta de
usuário.
Para administrar uma conta de usuário a partir dos resultados da pesquisa, clique com o
botão direito na conta de usuário, e então clique em Propriedades (Properties).
Quando você clica como botão direito no objeto na caixa de resultados, aparece a mesma
tela de propriedades que é chamada através do Usuários e Computadores Active Directory.
Então, você pode gerenciar os objetos pela seleção de uma opção apropriada relacionada à
função que você deseja executar no objeto. As funções que estão disponíveis dependem do
tipo de objeto que você localizou.
Laboratório A: Configurando e Administrando Contas de Usuário
Objetivos
Depois de completar este laboratório, você será capaz de:

Criar e utilizar um sufixo de nome principal do usuário alternativo.
Criar múltiplas contas de usuário de domínio.
Administrar contas de usuário de domínio.
Configuração do Laboratório
Para completar este laboratório, você precisa executar o arquivo de lote

Labfiles\Lrights.bat para definir direito de usuário Log on Locally (Efetuar Logon Local)
para o grupo Usuários, de forma que qualquer usuário tenha o direito de efetuar o logon
localmente neste computador.
-92-
Exercício 1: Criando Contas de Usuário Utilizando um Sufixo de Nome

Principal do Usuário Alternativo
Cenário
Depois de adquirir uma nova organização, Contoso, Ltd., a Matriz da Northwind Traders
decide adicionar todas as contas de usuário da Contoso, Ltd. para o domínio da Northwind
Traders. Para manter a identidade da Contoso, Ltd. separada da Northwind Traders, um
sufixo de nome principal do usuário será criado e utilizado para as contas de usuário dos
funcionários anteriores da Contoso, Ltd.
Objetivo
Neste exercício, você criará um sufixo de nome principal do usuário e utilizará esse sufixo
para criar uma conta de usuário de teste. Então, você verificará que um usuário pode efetuar
o logon utilizando o nome principal do usuário.
Tarefas Passos Detalhados

1. Criar o seguinte sufixo de nome a. Efetue o logon como Administrador
principal do usuário: com a senha senha.
• contoso.msft b. Abra Domínios e Confianças do
Active Directory no menu
Ferramentas Administrativas
(Administrative Tools).
c. Na árvore do console, clique com o
botão direito em Domínios e
Confianças do Active Directory e
então clique em Propriedades
(Properties)
d. Na caixa de diálogo Domínios e
Confianças do Active Directory
(Active Directory Domains and
Trusts), na caixa Sufixos UPN
alternativos (Alternative UPN
suffixes), digite contoso.msft clique
em Adicionar (Add), e então clique
em OK.
e. Feche o Domínio e Confianças do
Active Directory.
2. Dentro de domínio.nwtraders.msft a. Abra Usuários e Computadores do
(onde domínio é seu nome de domínio Active Directory (Active Directory
determinado), crie a seguinte OU Users and Computers) a partir do
• Contoso menu Ferramentas Administrativas
(Administrative Tools)
b. Na árvore do console, clique com o
botão direito
domínio.nwtraders.msft, aponte para
-93-
Novo (New), e então clique em
Unidade Organizacional
(Organizational Unit)
c. Na caixa de diálogo Novo Objeto –
Unidade Organizacional (New
Object – Organizational Unit), digite
Contoso e então clique em OK.
3. Dentro da OU Contoso, crie uma a. Na árvore do console, expanda
conta de usuário com as seguintes domínio.nwtraders.msft, e então
propriedades: clique em Contoso.
• Nome completo: UPNTeste b. Clique com o botão direito em
• Nome de logon do usuário: Contoso, aponte para Novo (New), e
UPNTeste@contoso.msft então clique em Usuário (User).
c. Na página Novo Objeto – Usuário
(New Object – User), em ambas as
caixas Nome Completo (Full Name)
e Nome de logon do usuário (User
logon name), digite UPNTeste
d. Clique na lista próxima a Nome de
logon do usuário (User logon name)
para examinar a lista de sufixos de
nome principal do usuário, clique em
@contoso.msft, e então clique em
Avançar (Next).
e. Clique em Avançar (Next), e então
clique em Concluir (Finish).
f. Feche Usuários e Computadores do
Active Directory (Active Directory
Users and Computers).
4. Efetuar o logon utilizando o nome de a. Efetuar o logoff, pressione
logon do usuário CTRL+ALT+DELETE para iniciar o
UPNTeste@contoso.msft para processo de logon, clique em Opções
verificar que a conta funciona, e então (Options) para mostrar a caixa
efetue o logoff. Efetuar logon em (Log on to), e
então na caixa Nome de usuário
(User name), exclua o texto existente.
Note que a caixa Efetuar logon
em (Log on to) está ativada.
b. Na caixa Nome de usuário (User
name) digite
UPNTeste@contoso.msft
Note que a caixa Efetuar logon
em (Log on to) é desabilitada
quando um nome principal de
usuário é digitado porque as
informações de domínio não são
-94-
necessárias.
c. Clique em OK para completar o
processo de logon.
d. Depois de você ter completado com
sucesso o logon como UPNTeste,
efetue o logoff.
Exercício 2: Criando Contas de Usuário Utilizando a Importação

Volumosa
Cenário
Devido à Northwind Traders ter adquirido uma nova organização, ela precisou adicionar um
novo departamento de Embalagem. Então, você precisa criar novas contas de usuário para o
departamento de Embalagem. As informações sobre os funcionários nesse departamento
foram fornecidas para sua organização em um arquivo exportado de um banco de dados,
assim você decide que a solução mais eficiente é utilizar um método de importação
volumosa para criar as contas de usuário.
Objetivo
Neste exercício, você utilizará o utilitário csvde para criar as contas de usuário para os
funcionários do departamento de Embalagem.
Para acelerar o processo de formatar as informações, o arquivo PackA.txt contém as
informações dos usuários já no formato separado por vírgula para reduzir o trabalho
necessário para utilizar o utilitário de importação volumosa csvde.

1. Dentro do domínio.nwtraders.msft, a. Efetue o logon como Administrador
crie o seguinte OU: com a senha senha.
• Embalagem b. Abra Usuários e Computadores do
Users and Computers) a partir do
menu Ferramentas Administrativas
(Administrative Tools)
c. Na árvore do console, clique com o
botão direito em
Novo (New), e então clique na caixa
de diálogo Unidade Organizacional
(Organizational Unit).
d. Na caixa de diálogo Novo Objeto –
Object – Organizational Unit) na
caixa nome, digite Embalagem e
clique em OK.
2. Na pasta Labfiles, abra o arquivo a. Na caixa Executar (Run), digite
PackA.txt, consulte os comentários, e Labfiles\PackA.txt e então clique em
-95-
então determine que atributos de OK para abrir o arquivo PackA.txt no
importação volumosa são utilizados. Bloco de Notas (Notepad). (Caso não
encontre, verifique com o instrutor a
localização correta de Labfiles.)
Extrapolando os dados em PackA.txt, quais são os sete atributos de importação
volumosa utilizados? Para uma lista de atributos, consulte o apêndice D,
“Atributos Comuns de Contas de Usuário” (“Common User Account
Atributes”), no CD Materiais do Aluno.
3. Editar o nome distinto e o nome a. No Bloco de Notas (Notepad), use a

principal do usuário no arquivo característica substituir todas as
PackA.txt assim você pode importar ocorrências de domain com seu nome
as contas de usuário para dentro do de domínio determinado.
seu domínio usando o utilitário csvde.
4. Adicionar a linha de atributo ao a. Adicione os sete atributos de
arquivo PackA.txt de acordo com os importação volumosa na ordem
dados de importação volumosa da correta, separados por vírgulas, na
conta de usuário. primeira linha do arquivo.
5. Editar o arquivo PackA.txt para a. Editar a coluna userAccountControl
desativar todas as contas de usuário para desativar todas as contas de
sem departamento. Salvar este usuário com no department.
arquivo como Pack.txt. Dica: O arquivo Labfiles\PackAttr.txt
contém a lista necessária de atributos.
b. Salve o arquivo editado como
LabFiles\Pack.txt.
c. Feche a janela Pack.txt - Bloco de
Notas (Pack.txt - Notepad).
6. Use o utilitário csvde para executar a. Abra a janela do prompt de comando.
uma importação volumosa de b. No prompt de comando, digite, cd
Pack.txt. Labfiles e então pressione ENTER.
c. No prompt de comando, digite csvde
/? e então pressione ENTER.
d. Examine as opções –i e –f nas
instruções de utilização.
e. No prompt de comando, digite
csvde –i –f Pack.txt e então pressione
ENTER.
O utilitário csvde mostra que 26
entradas foram modificadas com
sucesso.
f. Feche a janela prompt de comando.
-96-
Exercício 3: Administrando Contas de Usuário
Cenário
O suporte técnico da Northwind Traders recebeu várias solicitações administrativas para as
contas de usuário na nova UO Embalagem. A solicitação incluía ativar uma conta de
usuário, desativar uma conta de usuário, redefinir uma senha para uma conta de usuário e
mover uma conta de usuário.
Objetivo
Neste exercício, você utilizará Usuários e Computadores do Active Directory (Active
Directory Users and Computers) para executar as solicitações administrativas.

1. Dentro da OU Embalagem, ative a a. Em Usuários e Computadores do
seguinte conta de usuário: Active Directory (Active Directory
• Amie Baldwin Users and Computers), na árvore
console, expanda
domínio.nwtraders.msft, e então clique
em Embalagem.
b. Clique com o botão direito em
Embalagem, e então clique em
Atualizar (Refresh) para mostrar as
contas de usuário.
c. No painel de detalhes, clique em Amie
Baldwin, clique em Ativar Conta
(Enable Account), e então clique em
OK para fechar a mensagem
confirmando que a conta de usuário
Amie Baldwin tenha sido ativada.
Note que o ícone da conta de
usuário Amie Baldwin mostra o
status de conta de usuário ativada.
2. Dentro da UO Embalagem, desative a a. Clique em Embalagem, clique com o

seguinte conta de usuário: botão direito em Matthew Dunn,
• Matthew Dunn clique em Desativar Conta (Disable
Account), e clique em OK para fechar
a mensagem confirmando que a conta
de usuário Matthew Dunn foi
desabilitada.
Note que o ícone da conta de
usuário Matthew Dunn mostra o
status de conta de usuário
desativada.
3. Redefinir uma senha da seguinte conta a. Clique com o botão direito em Scott
-97-
de usuário para Sc1234: Culp, e então clique em Redefinir
• Scott Culp Senha (Reset Password).
Então, garantir que Scott mudará sua b. Na caixa de diálogo Redefinir Senha
senha a próxima vez que ele efetuar o (Reset Password),em ambas as caixas
logon. Nova Senha (New Account) e
Confirmar senha (Confirm
password) digite Sc1234
c. Selecione a caixa de verificação
Usuário precisa mudar a senha no
próximo logon (User must change
password at next logon) clique em
OK, e então clique em OK novamente
para fechar a mensagem confirmando
que a conta de usuário foi modificada.
4. Mover a seguinte conta de usuário a. Clique com o botão direito em Derek
para a OU: Graham, e então clique em Mover
• Derek Graham (Move).
Verificar que a conta tenha sido b. Na caixa de diálogo Mover (Move),
movida, e então efetuar o logoff. clique em Contoso e então clique em
OK.
c. Clique em Contoso e então verifique
que a conta para Derek Graham está
listada no painel de detalhes.
d. Feche Usuários e Computadores do
Users and Computers), feche todas as
janelas abertas, e então efetue o logoff.
Introdução a Grupos no Active Directory

Utilizando Grupos Globais
Utilizando Grupos Locais de Domínio
Utilizando Grupos Universais
Os grupos simplificam a administração. Antes de você poder efetivamente utilizar grupos,

você precisa entender a sua função e os tipos de grupos que você pode criar. Active
Directory fornece suporte para diferentes tipos de grupos, e também fornece opções para
determinar o seu escopo, que é como o grupo pode ser utilizado em múltiplos domínios.
Introdução a Grupos no Active Directory
Os grupos no Active Directory permitem que você gerencie o acesso do usuário aos
recursos do domínio pela determinação de permissões uma única vez para cada grupo em
vez de várias vezes para usuários individuais. Há dois tipos de grupos no Active Directory:
grupos de segurança e grupos de distribuição. Ambos suportam um dos três escopos de
-98-
grupo, que são: local de domínio, global ou universal. O tipo e o escopo de grupo que você
pode escolher dependem do modo de domínio.
Os usuários podem ser membros de múltiplos grupos. Você utiliza grupos de segurança para
determinar permissões a grupos de usuários e computadores. Grupos de distribuição não
podem ser utilizados para propósitos de segurança. Grupos de Segurança e distribuição têm
um atributo de escopo. O escopo de um grupo determina quem pode ser um membro de um
grupo, e onde você pode utilizar aquele grupo na rede.
Um modo de utilizar grupos efetivamente é através do aninhamento. Aninhar significa que
você pode adicionar um grupo a outro grupo. O aninhamento de grupo herda as permissões
do grupo do qual esse é um membro, assim simplificando a determinação de permissões
para vários grupos de uma vez e reduzindo o tráfico causado pela replicação de mudanças
de participações em grupo. Em um modo de domínio misto, não pode haver aninhamento
algum no mesmo grupo.
Groups Simplify Assigning Permission to Resources

Group
Users Can Be Members of Multiple Groups

Group
Group
Groups Can Be Nested Inside Other Groups

Group Group
Group
Group
Group
Observação: Os grupos podem ter até 5.000 membros. As participações do usuário em

grupos primários, tal como Usuários do Domínio, não são armazenadas na lista de
participações de grupo.
Para mais informação sobre grupos, consulte o módulo 5, “Gerenciando o Acesso aos
Recursos Utilizando Grupos” (“Managing Access to Resources by Using Groups”) no curso
2152A, Implementando o Microsoft Windows Server 2003 Profissional e Server.
Utilizando Grupos Globais
Utilize um grupo global para organizar usuários que compartilham as mesmas tarefas no
trabalho e precisam de requisitos de acesso a rede similares.
A seguir um resumo das regras de participação de grupo global:

Participação: O modo misto pode conter contas de usuário do mesmo domínio. O modo
nativo pode conter contas de usuário e grupos globais do mesmo domínio.
Pode ser um membro de: No modo misto, o grupo global pode ser um membro somente
de grupos locais de domínio. No modo nativo, o grupo global pode ser um membro dos
-99-
grupos universal e local de domínio em qualquer domínio e grupos globais no mesmo
domínio.
Escopo. Um grupo global é visível dentro de seu domínio e todos os domínios
confiados, que incluem todos os domínios da floresta.
Pode ser determinada permissão para: Todos os domínios da floresta.
Devido aos grupos globais terem uma visibilidade ampla da floresta, eles não podem ser
criados especificamente para acesso a recursos específicos do domínio. Grupos globais são
uma boa escolha para organizar usuários ou grupos de usuários. Um tipo diferente de grupo
é mais apropriado para controlar o acesso aos recursos dentro do domínio.
Utilizando Grupos Locais de Domínio
Utilize um grupo local de domínio para determinar permissões para recursos que são
localizados no mesmo domínio no qual você criou o grupo local de domínio.
A seguir um resumo das regras de participação do grupo local de domínio:
Participação: O modo misto pode conter contas de usuário e grupos globais de qualquer
domínio. O modo nativo pode conter contas de usuário, grupos globais e grupos
universais de qualquer domínio na floresta, e grupos locais de domínio do mesmo
domínio.
Pode ser um membro de: No modo misto, o grupo local de domínio não pode ser um
membro de qualquer grupo. No modo nativo, o grupo local de domínio pode ser um
membro de grupos locais de domínio no mesmo domínio.
Escopo: O grupo local de domínio é visível somente no seu domínio.
Pode ser determinada permissão para: O domínio em que o grupo local de domínio
existe.
Você pode adicionar todos os grupos globais que precisam compartilhar os mesmos
recursos dentro do grupo local de domínio apropriado.
Utilizando Grupos Universais
Utilize grupos universais para aninhar grupos globais de modo que você possa determinar
permissões para recursos existentes em múltiplos domínios. Um domínio do Windows
Server 2003 precisa estar em modo nativo para utilizar grupos universais.
A seguir um resumo das regras de participação do grupo universal:

Participação: Você não pode criar grupos universais no modo misto. O modo nativo
pode conter contas de usuário, grupos globais e outros grupos universais de qualquer
domínio na floresta.
Pode ser um membro de: O grupo universal não é aplicável no modo misto. No modo
nativo, o grupo universal pode ser um membro dos grupos local de domínio e universal
em qualquer domínio.
Escopo: Grupos universais são visíveis em todos os domínios da floresta.
Pode ser determinada permissão para: Todos os domínios da floresta.
-100-
Utilizando Grupos Globais e Locais

Discussão de Classe: Utilizando Grupos em um Domínio Único
Para utilizar grupos efetivamente, você precisa de uma estratégia para empregar diferentes
escopos de grupo. O escopo de um grupo identifica a extensão para a qual o grupo é
aplicado na árvore da floresta. No Active Directory, há três diferentes tipos de escopos de
grupo: universal, global e local de domínio.
Este tópico se destina a escopo de grupos em um único domínio da rede. Em um único
domínio, grupos globais e grupos locais de domínio são os dois escopos de grupos que estão
disponíveis. Utilizando as melhores estratégias para grupos globais e locais de domínio, os
usuários obterão mais efetivamente acesso para os recursos em uma rede de domínio único.
Observação: Para mais informações sobre o uso de grupos em múltiplos domínios de redes,
consulte o módulo 10 “Criando e Administrando Árvores e Florestas”.
Utilizando Grupos Globais e Locais de Domínio
1. Adicione Contas de Usuário do Domínio dentro de Grupos Globais

2. (Opcional) Adicione Grupos Globais dentre de outro Grupo Local
3. Adicione Grupos Globais dentro de Grupos Locais de Domínio
4. Atribua Permissões Reduzidas para o Grupo Local de Domínio
A estratégia recomendada para uso de ambos os grupos global e local de domínio é

adicionar contas de usuário do domínio (A) dentro do grupo global (G), adicionar grupos
locais dentro de grupos locais de domínio (DL), e então determinar permissões de recursos
(P) para os grupos locais de domínio. Essa estratégia, A G DL P, fornece maior flexibilidade
enquanto reduz a complexidade de determinar permissões de acesso para a rede.
Utilizando a Estratégia A G DL P
Como exemplo de uso da estratégia A G DL P, considere uma organização que tenha
usuários na UO Contas a Pagar e na UO Contas a Receber, UO que precisa obter acesso
para os dados da contabilidade no banco de dados da Contabilidade. Dentro da UO Contas a
Pagar e da UU Contas a Receber, você cria um grupo global para usuários que
compartilham a responsabilidade de examinar os dados da contabilidade. Esse grupo global
precisa obter acesso para os dados da contabilidade no banco de dados da contabilidade.
Depois de o grupo ser criado, você adiciona esse grupo dentro de um grupo local de
domínio, e então as permissões apropriadas nos dados da contabilidade determinados para o
grupo local de domínio.
O exemplo a seguir ilustra como implementar a estratégia A G DL P:

1. Organize usuários baseados nas necessidades administrativas, tais como suas localidades
e atividades de trabalho, e então crie um grupo global e adicione contas de usuário
-101-
dentro desse. Crie um grupo global chamado Contas a Pagar e adicione todas as contas
de usuário dentro desse.
2. Crie um grupo local de domínio dentro do qual você possa adicionar todos os grupos
globais que precisam dos mesmos acessos para um recurso. Adicione o grupo global
Contas a Pagar dentro do grupo local de domínio da Contabilidade.
3. Determine as permissões requeridas para o grupo local de domínio. Determine as
permissões necessárias para utilizar os dados da contabilidade no grupo local de
domínio Contabilidade. Desse modo, se você adicionar grupos globais adicionais no
grupo local de domínio Contabilidade, todos os usuários podem obter acesso para os
dados da contabilidade.
Utilizando a Estratégia A G G DL P
Considere outra situação na qual usuários em múltiplos departamentos precisam do mesmo
tipo de acesso para recursos múltiplos. Em uma tal situação, o aninhamento de grupos
globais é uma boa escolha. Por exemplo, se todos os usuários nos departamentos de Contas
a Pagar e Contas a Receber no Setor de Contabilidade precisarem acessar os dados da
contabilidade, use o grupo global existente em cada departamento.
O exemplo a seguir ilustra a estratégia A G G DL P:

1. Crie os grupos globais Contas a Pagar e Contas a Receber, e adicione contas de usuário
apropriadas dentro de cada grupo global.
2. Crie um grupo global Setor de Contabilidade representando todos os usuários deste
Setor. Adicione os grupos globais Contas a Pagar e Contas a Receber dentro do grupo
global Setor de Contabilidade.
3. Adicione o grupo global Setor de Contabilidade dentro dos grupos locais de domínio
apropriados que controlam o acesso aos recursos.
4. Determine as permissões necessárias para utilizar os dados da contabilidade no grupo
local de domínio Contabilidade.
Discussão em Classe: Utilizando Grupos em um Domínio Único
O centro de operações da Contoso, Ltd. tem um domínio único que é localizado em Paris.
Contoso, Ltd. tem gerentes que precisam obter acesso ao banco de dados de inventário para
executar seus trabalhos.
• O que você deve fazer para garantir que os gerentes tenham o acesso exigido para o
banco de dados do inventário?
a) Colocar todos os gerentes dentro de um grupo global.
b) Criar um grupo local de domínio para o acesso do banco de dados do
inventário.
c) Adicionar o grupo global dentro do grupo local de domínio e determinar
permissões para obter acesso para o banco de dados do inventário no grupo de
usuário local.
A Contoso, Ltd. quer reagir mais rapidamente às demandas de mercado. Ela determinou que
os dados da contabilidade precisam estar disponíveis para toda a equipe do setor. A
-102-
Contoso, Ltd. precisa criar uma estrutura de grupo para todo o Setor de Contabilidade que
inclua os departamentos de Contas a Pagar e Contas a receber.
• O que você deve fazer para garantir que os gerentes tenham o acesso requerido e que
haja um mínimo de tarefas administrativas?
Laboratório B: Configurando e Administrando Grupos em um Domínio

Único
Objetivos
Depois de completar esse laboratório, você será capaz de:

Criar e aninhar grupos globais:
Criar grupos locais de domínio.
Implementar e testar a estratégia de grupo recomendada.
Pré-requisitos
Antes de trabalhar neste laboratório, você precisa:

Conhecer a diferença entre o modo misto e nativo do domínio.
Entender a estratégia recomendada para uso de grupos para gerenciar o acesso aos
recursos do domínio.
Configuração do Laboratório
Para completar este laboratório, você precisa executar o arquivo de lote

Labfiles\Groups.bat para criar pastas e arquivos de texto para os departamentos de
Recursos Humanos de forma que você possa determinar permissões para esses recursos.
Exercício 1: Criando a Estrutura de Grupos Globais
Cenário
O Setor de Recursos Humanos na Northwind Traders tem crescido recentemente para
incluir os três seguintes departamentos: Benefícios, Folha de Pagamento e Treinamento. O
vice-presidente de Recursos Humanos tem anunciado iniciativa de divisão de nível para
fazer a estrutura administrativa de todos os departamentos serem uniformes. Então, você
precisa criar uma nova estrutura de grupo global e local de domínio para os gerentes no
Setor de Recursos Humanos. Essa estrutura precisa incluir manutenção de grupos no nível
do departamento enquanto ainda mantém um único grupo corrente para todos os gerentes no
nível de divisão. O acesso a recursos será garantido por grupos locais de domínio
apropriados para ambos os dados de nível de departamento e dados de nível de divisão.
Objetivo
Neste exercício, você criará a estrutura de UO para o Setor de Recursos Humanos, que
inclui criar um UO para cada um dos três departamentos. Você criará então grupos globais
para gerentes em cada um dos departamentos, e depois criará um grupo global para todos os
-103-
gerentes no Setor de Recursos Humanos. Você aninhará então os três grupos globais de
departamentos dentro do Grupo Global do Setor de Recursos Humanos.

Qual modo de domínio seria utilizado em seu domínio para atingir o objetivo
determinado e por que?
1. Dentro de domínio.nwtraders.msft a. Efetue o logon como Administrador

(onde domínio é seu nome de domínio com a senha senha.
designado), crie a seguinte estrutura de b. Abra Usuários e Computadores do
UO: Active Directory (Active Directory
Recursos Humanos Users and Computers) a partir do
Recursos Humanos\Benefícios menu das Ferramentas
Recursos Humanos\Folha de Administrativas (Administrative
Pagamento Tools).
Recursos Humanos\Treinamento c. Na árvore do console, clique com o
botão direito e em
Novo (New) e então clique em
Unidade Organizacional
(Organizational Unit).
d. Na caixa de diálogo Novo Objeto –
Object – Organizational Unit), na
caixa nome, digite Recursos Humanos
e clique em OK.
e. Expanda domínio.nwtraders.msft, e
então clique em Recursos Humanos.
f. Clique com o botão direito em
Recursos Humanos aponte para Novo
(New), e então clique em Unidade
Organizacional (Organizational
Unit).
g. Na caixa de diálogo Novo Objeto –
Object – Organizational Unit), na
caixa Nome (Name) digite Benefícios
então clique em OK.
h. Repita os passos f e g, mudando o
passo g para criar as unidades
organizacionais Folha de Pagamento
e Treinamento abaixo da UO
Recursos Humanos.
2. Dentro das UOs correspondentes aos a. Expanda Recursos Humanos, clique
nomes dos grupos, crie o seguinte com o botão direito em Benefícios,
grupo global de segurança para cada aponte para Novo (New) e então
-104-
departamento: clique em Grupo (Group).
Gerentes de Benefícios b. Na caixa de diálogo Novo Objeto –
Gerentes de Folha de Pagamento Grupo (New Object – Group), na
Gerentes de Treinamento caixa Nome do grupo (Group name),
digite Gerentes de Benefícios.
c. Garanta que Escopo do grupo
(Group escopo) esteja definido para
Global e Tipo de grupo (Group
type) esteja definido para Segurança
(Security) e então clique em OK.
d. Repita os passos de a até c, alterando
os passos a e c conforme necessário,
para criar Gerentes de Folha de
Pagamento sob a UO Folha de
Pagamento e para criar Gerentes de
Treinamento sob a UO Treinamento.
3. Criar o grupo de segurança global a. Clique com o botão direito em
Gerentes de RH para o setor na UO Recursos Humanos, aponte para
Recursos Humanos. Novo (New) e então clique em Grupo
(Group).
b. Na caixa de diálogo Novo Objeto –
Grupo (New Object – Group), na
caixa Nome do grupo (Group name),
digite Gerentes de RH.
c. Garanta que Escopo do grupo
(Group escopo) esteja definido para
Global e Tipo de grupo (Group
type) esteja definido para Segurança
(Security) e então clique em OK.
4. Tornar o grupo dos gerentes de cada a. Clique em Recursos Humanos, no
departamento um membro do grupo painel de detalhes, clique com o botão
Gerentes de RH direito no grupo global Gerentes de
RH e então clique em Propriedades
(Properties).
b. Na caixa de diálogo Propriedades de
Gerentes de RH (Gerentes de RH
Properties), na guia Membros
(Members), clique em Adicionar
(Add).
c. Na caixa de diálogo Selecione
Usuários, Contatos, Computadores
ou Grupos (Select Users, Contacts,
Computers, and Groups), na caixa
Nome (Name), role até o fim da lista e
clique em Gerentes de Benefícios e
então clique em Adicionar (Add).
-105-
d. Repita o passo c para adicionar os
Gerentes de Folha de Pagamento e
Gerentes de Treinamento e então
clique em OK.
e. Na caixa de diálogo Propriedades de
Gerentes de RH (Gerentes de RH
Properties), na guia Members
(Membros), garanta que os três
grupos globais dos departamentos
sejam listados como membros do
grupo global Gerentes de RH e então
clique em OK.
Se uma conta de usuário é adicionada ao grupo Gerentes de Benefícios, você
também precisará atualizar a participação do grupo Gerentes de RH?
Exercício 2: Criando Grupos Locais de Domínio e Atribuindo Permissões

aos Recursos
Cenário
A estrutura de grupo local para o setor de Recursos Humanos foi criada. Os grupos locais de
domínio precisam ser criados e utilizados para atribuir aos gerentes de Recursos Humanos
acesso aos recursos. Permissões serão concedidas apenas a grupos locais de domínio.
Objetivo
Neste exercício, você criará os grupos locais de domínio Dados de Benefícios, Dados de
Folha de Pagamento e Dados de Treinamento para cada departamento. Você atribuirá
permissões aos grupos locais de domínio para acessar os recursos departamentais. Ter
grupos locais de domínio separados para cada departamento fornece maior flexibilidade na
atribuição de acesso aos recursos.

1. Dentro das UOs correspondentes aos a. Em Usuários e Computadores do
nomes de grupo, criar os seguintes Active Directory (Active Directory
grupos de segurança locais de Users and Computers), expanda
domínio para cada departamento: Recursos Humanos, clique com o
Dados de Benefícios botão direito em Benefícios, aponte
Dados de Folha de Pagamento para Novo (New) e então clique em
Dados de Treinamento Grupo (Group).
caixa Nome do grupo (Group
name), digite Dados de Benefícios.
c. Defina Escopo do grupo (Group
escope) para Local de domínio
(Domain Local) e garanta que Tipo
-106-
de grupo (Group type) esteja
definido para Segurança (Security) e
d. Repita os passos de a até c, alterando
os passos a e c conforme necessário,
para criar Dados de Folha de
Pagamento sob a UO Folha de
Pagamento e para criar Dados de
Treinamento sob a UO Treinamento.
2. Dentro da UO Recursos Humanos, a. Clique com o botão direito em
criar o seguinte grupo de segurança Recursos Humanos, aponte para
local de domínio: Novo (New) e então clique em Grupo
Dados de RH (Group).
caixa Nome do grupo (Group
Name), digite Dados de RH.
c. Defina Escopo do grupo (Group
escope) para Local de domínio
(Domain Local) e garanta que Tipo
de grupo (Group type) esteja
definido para Segurança (Security) e
3. Atribuir ao grupo de domínio local em a. Na caixa Executar (Run), digite
cada departamento a permissão de C:\Hr e então clique em OK.
controle total para a pasta b. Na janela C:\Hr, clique com o botão
correspondente sob C:\Hr. direito na pasta Benefits e então
clique em Propriedades
(Properties).
c. Na caixa de diálogo Propriedades de
Benefits (Benefits Properties), na
guia Segurança (Security), clique em
Adicionar (Add).
d. Na caixa de diálogo Selecione
Nome (Name), role até o fim da lista
e clique em Dados de Benefícios,
clique em Adicionar (Add) e então
clique em OK.
Benefits (Benefits Properties), na
caixa Permissões (Permissions),
marque a caixa de verificação para
permitir Controle Total (Full Control)
-107-
e então clique em OK.
f. Repita os passos de b até e, alterando-
os conforme necessário, para atribuir
permissões de Controle Total (Full
Control) na pasta Payroll para Dados
de Folha de Pagamento e na pasta
Training para Dados de
Treinamento.
4. Remover permissões herdadas e a. Na janela C:\HR, alterne para a pasta
atribuir permissões de leitura na pasta C:\.
C:\Hr para Dados de RH. b. Clique com o botão direito na pasta
HR e então clique em Propriedades
(Properties).
HR (HR Properties), na guia
Segurança (Security), clique em
Adicionar (Add).
e clique em Adicionar (Add) e então
clique em OK.
e. Clique para desmarcar a caixa de
verificação Permitir que permissões
herdadas dos pais se propaguem
para este objeto (Allow inheritable
permissions from parent to
propagate to this object), clique em
Remover (Remove) para fechar a
caixa de diálogo solicitando copiar ou
remover as permissões herdadas e
então clique em OK para fechar a
caixa de diálogo Propriedades de
HR (HR Properties)
f. Feche a janela C:\.
Exercício 3: Utilizando Grupos Globais e Locais de Domínio
Cenário
Os Gerentes terão controle total dos recursos de arquivos dentro dos seus departamentos. Os
Gerentes também terão acesso de leitura aos recursos em outros departamentos. As contas
de usuários apenas pertencerão diretamente ao grupo global para seu departamento. Conecte
aos grupos global e local do domínio para atingir este resultado. Testes serão executados
para verificar o acesso apropriado aos recursos.
-108-
Objetivo
Neste exercício, você adicionará o grupo global do nível de divisão aos grupos locais de
domínio para permitir o acesso aos recursos. Você permitirá que os gerentes tenham
controle total dos recursos dentro de seus departamentos e acesso de leitura a recursos de
arquivo em outros departamentos. Você criará uma conta de usuário de teste e verificará se
um gerente no departamento de Benefícios tem acesso de leitura a todos os dados dos
recursos humanos e acesso de controle total aos dados do próprio departamento do gerente.

1. Adicionar o grupo global de cada a. Em Usuários e Computadores do
departamento como um membro do Active Directory (Active Directory
grupo local de domínio Users and Computers), expanda a UO
correspondente. Recursos Humanos.
b. Clique na UO Benefícios, no painel
de detalhes, clique com o botão direito
em Dados de Benefícios e então
clique em Propriedades
(Properties).
Dados de Benefícios (Dados de
Benefícios Properties), na guia
Membros (Members), clique em
Adicionar (Add).
e clique em Gerentes de Benefícios,
clique em Adicionar (Add), clique
em OK e então clique em OK
novamente para fechar a caixa de
diálogo Propriedades de Dados de
Benefícios (Dados de Benefícios
Properties).
e. Repita os passos de b até d, alterando
os passos de b até d conforme
necessário, para adicionar Gerentes
de Folha de Pagamento e Dados de
Folha de Pagamento e adicionar
Gerentes de Treinamento a Dados
de Treinamento.
2. Adicione o grupo global Gerentes de a. Na árvore do console, clique na UO
RH como um membro do grupo local Recursos Humanos, no painel de
de domínio Dados de RH. detalhes, clique em Dados de RH e
então clique em Propriedades
-109-
(Properties).
b. Na caixa de diálogo Propriedades de
Dados de RH (Dados de RH
Properties), na guia Members
(Membros), clique em Adicionar
(Add).
c. Na caixa de diálogo Selecione
e clique em Gerentes de RH, clique
em Adicionar (Add), clique em OK e
então clique em OK novamente para
fechar a caixa de diálogo
Propriedades de Dados de RH
(Dados de RH Properties).
3. Para testar a estrutura do grupo, na a. Clique na UO Benefícios, clique com
UO Benefícios, criar uma conta de o botão direito em Benefícios, aponte
usuário com as seguintes para Novo (New) e então clique em
propriedades: Usuário (User).
Nome completo: BenefíciosTeste b. Na página Novo Objeto – Usuário
Nome de logon do usuário: (New Object – User), em ambas as
BenefíciosTeste@domínio.nwtraders.msft caixas Nome completo (Full name) e
Adicionar esta conta de usuário ao Nome de logon do usuário (User
grupo global Gerentes de Benefícios logon name), digite BenefíciosTeste
e então clique em Avançar (Next).
c. Clique em Avançar (Next) e então
clique em Concluir (Finish).
d. Clique com o botão direito em
BenefíciosTeste e então clique em
Propriedades (Properties).
BenefíciosTeste (BenefíciosTeste
Properties), na guia Membro De
(Member Of), clique em Adicionar
(Add).
f. Na caixa de diálogo Selecione
Grupos (Select Groups), sob a
coluna Nome (Name), clique em
Gerentes de Benefícios, clique em
Adicionar (Add), clique em OK e
então clique em OK novamente para
fechar a caixa de diálogo
Propriedades de BenefíciosTeste
(BenefíciosTeste Properties).
-110-
g. Feche Usuários e Computadores do
Users and Computers).
4. Efetuar o logoff e então efetuar o a. Efetue o logoff e então efetue o logon
logon como BenefíciosTeste. como BenefíciosTeste sem digitar
Verificar se você pode obter acesso de uma senha.
controle total ao recurso b. Na caixa Executar (Run), digite
C:\Hr\Benefits\Benefits.txt, e acesso C:\Hr\Benefits\Benefits.txt e então
somente de leitura para clique em OK.
C:\Hr\Payroll\Payroll\Payroll.txt. c. Na janela Benefits.txt – Bloco de
Notas (Benefits.txt – Notepad), na
caixa de texto, digite Algumas
Modificações e então salve e feche o
documento.
d. Na caixa Executar (Run), digite
C:\Hr\Payroll\Payroll.txt e então
clique em OK.
e. Na janela Payroll.txt – Bloco de Notas
(Payroll.txt – Notepad), na caixa de
texto, digite Algumas Modificações e
então salve e feche o documento.
A caixa de diálogo Salvar Como
(Save As) aparece, o que indica
que você não tem permissões para
salvar alterações neste
documento.
f. Clique em Cancelar (Cancel) para
fechar a caixa de diálogo Salvar
Como (Save As).
g. Feche a janela Payroll.txt – Bloco de
Notas (Payroll.txt – Notepad) e então
clique em Não (No) para fechar a
caixa de diálogo indicando que suas
alterações não serão salvas.
Você tem acesso de controle total para C:\Hr\Benefits\Benefits.txt mas acesso
somente de leitura C:\Hr\Payroll \Payroll.txt?
5. Efetuar o logoff. a. Feche todas as janelas abertas e então

efetue o logoff.
Impossível Criar uma Conta de Usuário ou Grupo

Impossível Atualizar Atributos de uma Conta de Usuário
O Usuário não Pode Acessar Recursos
-111-
Você pode encontrar problemas ao configurar e administrar contas e grupos de domínio. A
lista a seguir descreve alguns destes problemas potenciais e estratégias para resolvê-los:
Impossível criar uma conta de usuário ou grupo. A possível causa pode ser uma violação
das regras de exclusividade. Recrie a conta de usuário ou o grupo de acordo com as
regras de exclusividade.
Impossível atualizar atributos de uma conta de usuário. Você pode não ter permissão
para atualizar contas de usuário. Verifique as permissões atribuídas a você. Se você não
tem as permissões, efetue o logon como um administrador e então atribua as permissões
apropriadas. Você também pode pedir ao administrador desta UO para atribuir a você
permissões apropriadas.
Usuários não podem acessar recursos. A possível causa é que a conta de usuário é um
membro de um grupo aninhado cujo acesso a um recurso foi explicitamente negado.
Recomende que os Usuários Utilizem Seu Nome Principal de Usuário para

Efetuarem o Logon
Utilize o Nome de Domínio Raiz da Floresta em um Ambiente de Múltiplos
Domínios
Desabilite Contas de Usuário Importadas Até que Sejam Necessárias
Crie Grupos Globais Baseando em Funções de Trabalho
A seguinte lista fornece as práticas recomendadas para a administração de contas de usuário

e grupos:
Recomende que os usuários utilizem seu nome principal de usuário, por exemplo,
suzanf@contoso.msft, ao invés de nomes de logon de nível inferior, como nomes de
usuário e nomes de domínio, ao efetuarem o logon a partir de um computador
executando o Windows Server 2003. Utilizando seu nome principal de usuário para
efetuar o logon, a conta de usuário pode ser movida de um domínio para outro sem
afetar o usuário.
Utilize o nome de domínio raiz da floresta para o sufixo no nome principal do usuário
para contas de usuário em um ambiente de múltiplos domínios de forma que o nome
pode ser mais curto e mais simples. Também considere a utilização de um sufixo de
nome principal do usuário que corresponda ao endereço de e-mail do usuário, que pode
incluir a criação de um sufixo de nome principal do usuário alternativo.
Ao criar múltiplas contas de usuário utilizando um método de importação volumosa,
desabilite as contas se os usuários não forem utilizá-las imediatamente. Devido à senha
para uma conta de usuário importada estar inicialmente em branco, qualquer pessoa não-
autorizada com conhecimento do nome da conta de usuário poderia efetuar o logon,
definir uma nova senha e então obter acesso à rede.
Crie grupos globais baseando em funções de trabalho. Quando você cria um grupo
global baseado em uma função de trabalho e outra pessoa se encarrega deste trabalho,
você precisa alterar apenas a participação do grupo. Você não precisa alterar quaisquer
permissões que são atribuídas à conta de usuário individual.
-112-
Revisão

1. Sua empresa adquiriu uma pequena subsidiária e você quer utilizar Usuários e
Computadores do Active Directory (Active Directory Users and Computers) para criar
contas de usuário de domínio para os novos funcionários. Por razões empresariais, a
subsidiária quer reter sua identidade anterior com seus clientes. Como você cria nomes
principais de usuário para novos funcionários que correspondam aos endereços de e-
mail dos usuários sem alterar os endereços de e-mail dos usuários?
2. Sua organização recentemente contratou muitos funcionários novos para trabalhar em

seu novo escritório filial, que está abrindo no próximo mês. Você precisa configurar
contas de usuário para estes funcionários de forma que eles possam utilizar e
compartilhar recursos de rede. Você sabe que o departamento de Recursos Humanos tem
dados de todos os novos funcionários. Qual é a forma mais eficiente de realizar uma
importação volumosa das contas de usuário?
3. Qual é o propósito de adicionar um grupo dentro de outro grupo?
4. Que estratégia você aplicaria quando você utilizasse grupos locais de domínio e globais?
-113-

04 Administrando Usußrios e Grupos

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

04 Administrando Usußrios e Grupos

Enviado por

Direitos autorais:

Formatos disponíveis

Módulo 4: Configurando e Administrando Usuários e Grupos

Módulo 4: Configurando e Administrando Usuários e

 Introdução a Usuários e Grupos

O Active Directory™ é um serviço de diretório que armazena e mantém dados necessários

Depois de completar este módulo, você será capaz de:

Um administrador deve executar certas tarefas em andamento para assegurar que os

Nomes de Logon do Usuário

 Introdução a Nomes de Logon do Usuário

No Active Directory™, cada conta de usuário tem um nome de logon do usuário, e um

Introdução a Nomes de Logon do Usuário

 Nome Principal do Usuário

As vantagens de utilizar os nomes principais do usuário são:

Nome de Logon do Usuário (Pré-Windows Server 2003)

Regras de Exclusividade para Nomes de Logon do Usuário.

Criando um Sufixo de Nome Principal do Usuário

Opens property sheet for the current selection.

Observação: Se você criou uma conta de usuário utilizando um programa diferente do

Criando Múltiplas Contas de Usuário

 O Processo de Importação Volumosa

O Processo de Importação Volumosa

Text File Active Directory

Para Cada Objeto do Usuário, o Arquivo:

O processo de importação volumosa permite a você criar automaticamente múltiplas contas

Utilizando CSVDE para Criar Múltiplas Contas de Usuário

New Object - User objectClass

First name: Suzan Initials:

Last name: Fine

Preparando para Importar um Arquivo CSVDE

A seguir um exemplo de uma linha da conta de usuário:

A tabela a seguir fornece os atributos e valores presentes no exemplo anterior.

Utilizando o comando csvde

Utilizando o LDIFDE para criar múltiplas contas de usuário

New Object - User objectClass

First name: Suzan Initials:

Last name: Fine

Formato de Intercâmbio de Dados do Protocolo Leve de Acesso a Diretório (LDIF,

Preparando um Arquivo LDIF para Importação

A tabela a seguir fornece os atributos e valores presentes no exemplo.

Atributo Valor de atributo

Utilizando o Comando ldifde

Observação: Programas utilizam as Interfaces de Serviço do Active Directory (ADSI,

Administrando Contas de Usuário

 Executando Tarefas Administrativas Comuns

Executando Tarefas Administrativas Comuns

Active Directory Users and Computers

Desativando e Ativando Contas de Usuário

Movendo Contas de Usuário Dentro de um Domínio

Excluindo contas de usuário

Para excluir contas de usuário, execute os seguintes passos:

Renomeando Contas de Usuário

Desbloqueando Contas de Usuário

Para desbloquear uma conta, execute o seguinte passo:

Localizando Contas de Usuário

Find: Users, Contacts, and Groups In: Entire Directory Browse...

Como todas as contas de usuário residem no Active Directory, o administrador pode

Executando Operações de Procura Básicas

A tabela a seguir descreve as opções básicas na caixa de diálogo Localizar Usuários,

Executando uma Operação de Pesquisa Avançada

A ferramenta Usuários e Computadores do Active Directory fornece a opção Avançado

Administrando Contas de Usuário na Caixa de Resultados

Laboratório A: Configurando e Administrando Contas de Usuário

Depois de completar este laboratório, você será capaz de:

 Para completar este laboratório, você precisa executar o arquivo de lote

Exercício 1: Criando Contas de Usuário Utilizando um Sufixo de Nome

Introdução a Usuários e Grupos

Introdução a Nomes de Logon do Usuário

Nome Principal do Usuário

O Processo de Importação Volumosa

Executando Tarefas Administrativas Comuns

Para completar este laboratório, você precisa executar o arquivo de lote

Introdução a Grupos no Active Directory

Groups Simplify Assigning Permission to Resources

Users Can Be Members of Multiple Groups

Groups Can Be Nested Inside Other Groups

Utilizando Grupos Globais e Locais

Para completar este laboratório, você precisa executar o arquivo de lote

Impossível Criar uma Conta de Usuário ou Grupo

Recomende que os Usuários Utilizem Seu Nome Principal de Usuário para

Introdução a Usuários e Grupos