Júlio Battisti Livros e Cursosa sua sala de aula na internet

Agora vamos falar um pouco de teoria sobre grupos de usuários. Em seguida vamos praticar, criando alguns grupos e adicionando alguns membros aos grupos criados.

Um grupo de usuários é uma coleção de contas de usuários. Por exemplo, podemos criar um grupo chamado Contabilidade, do qual farão parte todos os usuários do departamento de Contabilidade.

A principal função dos grupos de usuários é facilitar a administração e a atribuição de permissões para acesso a recursos, tais como: pastas compartilhadas, impressoras remotas, serviços diversos, etc. Ao invés de darmos permissões individualmente, para cada um dos usuários que necessitam acessar um determinado recurso, podemos criar um grupo e atribuir permissões para o grupo. Para que um usuário tenha permissão ao recurso, basta inclui-lo no grupo que tem permissão de acesso ao recurso, pois todos os usuários de um determinado grupo herdam as permissões dos grupos aos quais pertence.

Quando um usuário troca de seção, por exemplo, basta trocar o usuário de grupo. Vamos supor que o usuário jsilva trabalha na seção de Contabilidade e pertence ao grupo Contabilidade. Ao ser transferido para a seção de Marketing, basta movermos o usuário do grupo Contabilidade para o grupo Marketing. Com isso, ele deixa de ter as permissões atribuídas ao grupo Contabilidade e passa a ter as mesmas permissões que têm o grupo Marketing. Veja o quanto a utilização de grupos pode facilitar a atribuição e o gerenciamento de permissões.

Podemos inclusive ter situações mais específicas. Vamos supor que exista um sistema chamado SEAT, para o qual somente um número restrito de usuários deve ter acesso, sendo que são usuários de diferentes seções. A maneira mais simples de gerenciar esta questão é criar um grupo chamado SEAT e dar permissões para esse grupo. Assim cada usuário que precisar acessar o sistema SEAT, deve ser incluído no grupo SEAT. Quando o usuário não deva mais ter acesso ao sistema SEAT, basta removê-lo do grupo SEAT.

Na Figura 6.10 vemos uma ilustração para o conceito de Grupo de usuários. O Grupo Contabilidade possui direito para um recurso compartilhado, o qual pode ser acessado através da rede. Todos os usuários que pertencem ao grupo Contabilidade, também possuem permissão para o recurso compartilhado, uma vez que os usuários de um grupo herdam as permissões do grupo.

Figura 6.10 O usuário herda as permissões do grupo.

Quando estiver trabalhando com grupos de usuários, considere o seguinte:

® Grupo de usuários é uma coleção de contas de usuários.

® Os membros de um grupo herdam as permissões atribuídas ao grupo.

® Os usuários podem ser membros de vários grupos.

® Grupos podem ser membros de outros grupos.

Agora vamos dar uma olhada nos tipos de grupos existentes no Windows 2000 Server e também no Windows Server 2003.

Podemos ter dois tipos de grupos: Grupos de segurança (Security groups) e Grupos de distribuição (Distribution groups).

® Grupos de segurança: Utilizados para atribuir permissões de acesso a recursos da rede. Um Grupo de segurança também pode ser utilizado como um Grupo de distribuição, embora essa não seja uma situação muito comum. Esses grupos, assim como as contas de usuários são armazenados no Banco de Dados do Active Directory.

® Grupos de distribuição: São utilizados para funções não relacionadas com segurança. Uma das utilizações típicas para um Grupo de distribuição é o envio de mensagens de e-mail para um grupo de usuários de uma só vez. Somente aplicativos que foram programados para trabalhar com o Active Directory, poderão utilizar Grupos de distribuição. Provavelmente, as novas versões dos principais sistemas de Correio Eletrônico estarão habilitadas para trabalhar com o Active Directory. Não podemos utilizar grupos de distribuição para funções relacionadas com segurança.

Escopo de grupos de usuários:

Quando criamos um grupo de usuários, devemos selecionar um tipo e um escopo. O Escopo permite que o grupo seja utilizado em diferentes locais, para a atribuição de permissões. O Escopo de um grupo determina em que partes da rede poderemos usar o grupo para atribuir permissões para o grupo, permissões estas que serão herdadas por todos os membros do grupo. Existem três escopos para grupos de usuários, conforme descrito a seguir:

® Grupos globais (Global group):

• Somente pode conter membros do Domínio no qual o grupo é criado.
• Pode receber permissões para recursos localizados em qualquer Domínio.

® Grupos locais do domínio (Domain local group):

• Pode conter membros de qualquer Domínio.
• Somente pode receber permissões para recursos do Domínio no qual o grupo é criado.

® Grupos universais (Universal group):

• Pode conter membros de qualquer Domínio.
• Pode receber permissões para recursos localizados em qualquer Domínio.

O Escopo de um grupo, também determina quem pode ser membro do grupo. Tanto usuários como outros grupos podem ser membros de um determinado grupo. Considere as regras a seguir:

® Grupo global:

• Pode conter: Contas de usuários e grupos globais do mesmo Domínio.
• Pode ser membro de: Grupos universais e Grupos locais do Domínio em qualquer Domínio ou Grupos globais no mesmo Domínio.

® Grupo local do domínio:

• Pode conter: Contas de usuários, Grupos universais e grupos globais de qualquer Domínio ou Grupos locais do domínio do mesmo Domínio.
• Pode ser membro de: Grupos locais no domínio do mesmo Domínio.

® Grupo universal:

• Pode conter: Contas de usuários, Grupos universais, e Grupos globais de qualquer Domínio.
• Pode ser membro de: Grupos locais do domínio ou Grupos universais de qualquer Domínio.

Vamos aprender a criar grupos. Vamos criar os grupos indicados na tabela 6.2.

Tabela 6.2 Grupos de Usuários

Exemplo prático: Para criar os grupos Grupo1 e Grupo2, indicados na Tabela 6.2, faça o seguinte:

1. Efetue o logon como Administrador ou com uma conta com permissão de Administrador.

2. Abra o console Usuários e Computadores do Active Directory (Iniciar -> Programas -> Ferramentas administrativas -> Usuários e Computadores do Active Directory). Será inicializado o console para “Usuários e Computadores do Active Directory”.

3. Dê um clique no sinal de mais ao lado de groza.com (provavelmente o nome do seu domínio seja diferente, dê um clique no sinal de mais ao lado do nome do seu Domínio). Abaixo de groza.com surgem diversas opções.

4. Dê um clique na opção Users (ou Usuários se o Snap-in já estiver traduzido para o Português). No painel da direita é exibida uma listagem com o nome de todos os usuários e grupos do Domínio groza.com.

Na prática, a opção Users nada mais é do que uma Unidade Organizacional, a qual pode conter contas de usuários e de grupos de usuários.

5. Dê um clique com o botão direito do mouse, na opção Users.

6. No menu que surge, aponte para a opção Novo -> Grupo (New – Group).

7. Surge um assistente para ajudá-lo a criar um novo Grupo. Digite as informações para criar o grupo Grupo1, conforme indicado na Figura 6.11.

Figura 6.11 Criando o grupo Grupo1.

8. Dê um clique no botão OK para criar o grupo. Você estará de volta ao console “Usuários e Computadores do Active Directory”.

Observe no painel da esquerda que já aparece o grupo chamado Grupo1. Neste momento o grupo está criado, porém não temos nenhum usuário pertencente ao grupo. No próximo exemplo, aprenderemos a adicionar usuários ao grupo.

9.     Repita os passos de 5 à 8 para criar o grupo Grupo2.

10.   Mantenha o console Usuários e Computadores do Active Directory aberto.

Agora temos que adicionar os usuários user1, user2 e user3 ao grupo Grupo1 e os usuários user3, user4 e user5 ao grupo Grupo2. Observe que o usuário user3 pertence aos dois grupos.

Exemplo prático: Para adicionar os usuários aos respectivos grupos, conforme indicado na Tabela 6.2, siga os passos indicados a seguir:

1. Você deve estar com o console Usuários e Computadores do Active Directory aberto. Se não estiver, abra-o e navegue até a opção Users.

2. No painel da direita, localize Grupo1 e dê um clique duplo para abrir as propriedades do grupo. Surge a janela indicada na Figura 6.12, onde a guia Geral vem selecionada por padrão. Preencha os campos Descrição e Comentários, conforme indicado na figura.

Figura 6.12 Alterando as propriedades do Grupo1.

3. Dê um clique na guia Membros. Vamos utilizar esta guia para adicionar os usuários user1, user2 e user3 como membros de Grupo1. Observe que a guia Membros ainda não possui nenhum usuário adicionado.

4. Para adicionar usuários ao grupo, dê um clique no botão Adicionar. Surge a janela “Selecione Usuários, Contatos ou Computadores”, conforme indicado na Figura 6.13. Nesta janela é exibida uma listagem com todos os usuários cadastrados no domínio.

Figura 6.13 Lista de Usuários, Contatos e Computadores do Domínio.

5. Para adicionar o usuário user1 (Usuário1 da Silva) localize-o na listagem, dê um clique sobre ele para marcá-lo e depois dê um clique no botão Adicionar. Você também pode dar um clique duplo sobre o nome do usuário, que este será adicionado diretamente.

6. Repita a operação do passo anterior, para os usuários user2 (Usuário2 da Silva) e user3 (Usuário3 da Silva).

7. Dê um clique no botão OK para fechar essa janela e voltar à guia Membros.

8. Sua janela deve estar conforme indicado na Figura 6.14, a qual indica que os usuários Usuário1 da Silva (user1), Usuário2 da Silva (user2) e Usuário3 da Silva (user3) foram adicionados como membros do grupo Grupo1.

Figura 6.14 Três usuários adicionados como membros do grupo Grupo1.

9. Dê um clique em OK para fechar a janela de propriedades do grupo Grupo1.

10. Repita as operações anteriores para adicionar os usuários user3, user4 e user5 ao grupo Grupo2.

11. Feche o console Usuários e Computadores do Active Directory.

A partir deste momento, qualquer permissão que for atribuída ao grupo Grupo1 será herdada por todos os membros deste grupo, no nosso exemplo, pelos usuários user1, user2 e user3.

Existem algumas contas de usuário que são criadas no momento em que o Windows é instalado. Essas contas são conhecidas como “Built-in Accounts”. A mais importante delas é a conta Administrador (Administrator na versão em Inglês). Essa conta tem poderes totais sobre o Domínio, não tendo nenhuma restrição de segurança. Muito cuidado com quem vai usar essa conta em um ambiente de produção. Precisa ser uma pessoa qualificada e que sabe o que está fazendo. A conta Administrador pode ser renomeada, porém não pode ser excluída nem bloqueada.

Outra conta que é criada quando da instalação do Windows 2000 Server é a conta de usuário “Convidado” (Guest). Esta conta, normalmente, é utilizada para acesso de usuários que não possuem uma conta cadastrada no domínio. Por padrão esta conta está desabilitada. O Administrador pode habilitar a conta Convidado. Porém isso deve ser feito com cuidado. Sempre que um usuário precise acessar algum recurso, o ideal é cadastrar o usuário e incluir o usuário no grupo (ou grupos), que tem permissão para acessar os recursos necessários.

Existem também alguns grupos criados durante a instalação do Windows, são os chamados “Built-in Groups”. O mais importante de todos é o grupo Administradores. Todo membro deste grupo tem plenos poderes no Domínio. No console “Usuários e Computadores do Active Directory (Iniciar –> Programas –> Ferramentas administrativas –> Usuários e Computadores do Active Directory), existe uma opção chamada Built-in. Ao clicar nessa opção será exibida uma listagem com diversos grupos criados durante a instalação do Windowsr. Observe na coluna tipo, que o tipo destes grupos é “Grupo de segurança – local interno” e na coluna descrição podemos ver um resumo das permissões de cada um dos grupos.

Exercício: Com os conhecimentos apresentados neste item, crie os usuários e grupos indicados na Tabelas 6.3 e 6.4, respectivamente. Utilizaremos estes usuários e grupos nos demais itens deste capítulo.

Tabela 6.3 Criando mais contas de usuários no Domínio groza.com.

Tabela 6.4 Criando mais grupos de usuários no Domínio groza.com.

Com isso tivemos uma noção geral sobre usuários e grupos no Windows. Agora podemos fechar o nosso parênteses sobre segurança no Windows 2000 Server e Windows Server 2003 e voltar a segurança no SQL Server 2005.

Know-how em: Criação e Gerenciamento de Login e Roles no SQL Server 2005

Pré-Requisitos:

• Fundamentos apresentados na Parte I.
• Noções básicas sobre o modelo de segurança do SQL Server 2005.
• Noções básicas sobre o modelo de segurança do Windows 2000 Server e Windows Server 2003.
• Saber utilizar o SQL Server Management Studio e a janela de execução de comandos T-SQL.

Metodologia:

• Apresentação dos comandos necessários para a criação e gerenciamento de logins e roles.

Técnica:

• Criação de logins e roles nos Bancos de Dados criados nos capítulos anteriores, utilizando o SQL Server Management Studio e a janela de execução de comandos T-SQL.

A partir de agora aprenderemos a adicionar logins e roles em instâncias do SQL Server 2005. Não me canso de repetir e salientar, role é apenas um novo nome que inventaram para grupos de usuários. Uma role é um grupo de usuários no SQL Server 2005.

Vamos fazer uma rápida apresentação do servidor e das configurações que vou utilizar para os exemplos deste tópico e do restante do capítulo. Estou trabalhando em um servidor com o Windows 2000 Server instalado. Este servidor não tem o Active Directory instalado. O nome deste servidor é SERVIDOR. Nele temos duas instâncias do SQL Server 2005 instaladas, que são as seguintes:

® SERVIDOR\SQL2005

® SERVIDOR\CURSOSJB

Utilizando as instruções do início do capítulo, certifique-se de que as instâncias estão utilizando os modos de segurança indicados na Tabela 6.5.

Tabela 6.5 Cada instância em um modo de segurança diferente.

Na instância SERVIDOR\SQL2005 somente poderemos adicionar logins do Windows, pois esta instância está no modo de segurança Windows Authentication mode. Já na instância SERVIDOR\CURSOSJB, poderemos adicionar logins do Windows e também do SQL Server 2005, pois estamos no modo de segurança SQL Server and Windows Authentication mode.

Utilizarei os termos logins e users com significados diferentes. Adicionar um login significa dar permissão a um usuário para que o usuário faça a conexão com o Servidor SQL Server 2005. Adicionar um user significa pegar um dos usuários com permissão de conexão (isto é, um dos logins) ao Servidor SQL Server e dar permissão de acesso a um Schema ou a um Banco de Dados. Então resumidamente: um login dá permissão de conexão com o servidor SQL Server 2005, e user dá permissão de acesso a um ou mais Bancos de Dados. Na prática estes são os termos utilizados pelo SQL Server 2005. No SQL Server Management Studio, nas opções de cada instância, temos uma opção Security. Dentro da opção Security temos uma opção Logins, que é onde iremos adicionar os usuários com permissão de login. Já dentro de cada Banco de Dados temos uma opção Security -> Users, que é onde adicionaremos os usuários com permissão de acesso ao Banco de Dados. Na Figura 6.15 podemos ver estas duas opções.

Figura 6.15 Logins para a instância, users para o Banco de Dados.

Seguindo a nossa metodologia, vamos aprender a adicionar usuários utilizando SQL Server Management Studio e comandos T-SQL.

Parece um trabalho enorme, mas veremos que é extremamente simples. Juro que este exemplo dá mais trabalho para elaborar do que para executar.