AS EMPRESAS ESTÃO "DESESPERADAS" POR ESTE TIPO DE PROFISSIONAL... - VOCÊ É UM DELES?
MEGA FORMAÇÃO EM INFRAESTRUTURA DE TI - O Conhecimento que Vira Dinheiro - CLIQUE AQUI
« Lição anterior | Δ Página principal | ¤ Capítulos | Próxima lição » |
WINDOWS 2003 SERVER - CURSO COMPLETO Autor: Júlio Battisti |
|||
---|---|---|---|
Lição 056 - Capítulo 05 - Fundamentos em: Principais objetos de um domínio | |||
Pré-Requisitos: Definição dos conceitos de diretório e domínios. Até aqui apresentei os conceitos básicos sobre diretórios, domínios, unidades organizacionais e árvores de diretórios. A partir deste item passarei a descrever os objetos que fazem parte do Active Directory. Na seqüência falarei sobre os serviços que dão suporte ao Active Directory, tais como os serviços de replicação e o conceito de relações de confiança entre diretórios. Contas de usuários, computadores e grupos de usuários Contas de usuários Todo usuário que quer ter acesso aos recursos dos computadores do domínio (pastas compartilhadas, impressoras compartilhadas, etc) deve ser cadastrado no Active Directory. Cadastrar o usuário, significa criar uma conta de usuário e uma senha. Ao cadastrar um usuário, outrs informações tais como seção, nome completo, endereço, telefone, etc, podem ser cadastradas, conforme veremos no Capítulo 9. Você também pode criar contas nos servidores membros e nas estações de trabalho com Windows 2000 Professional ou Windows XP Professional. As contas criadas nestes computadores são ditas contas locais, ou seja, somente existem no computador onde foram criadas. Vamos imaginar que você está trabalhando em uma estação de trabalho com o Windows XP Professional instalado. Esta estação foi configurada para fazer parte do domínio abc.com.br. Como a estação de trabalho faz parte do domínio, você terá acesso a lista de usuários e grupos do domínio. Com isso você poderá, por exemplo, atribuir permissão de acesso para um usuário do domínio (ou um grupo de usuários) em uma pasta compartilhada na sua estação de trabalho. Nesta mesma estação você também poderá criar contas de usuários e grupos locais, os quais ficam gravados na base de usuários local e só existe neste computador. Estes usuários e grupos (criados localmente), somente podem receber permissões de acesso para os recursos do computador onde foram criados. Você não conseguirá atribuir permissão de acesso em uma pasta compartilhada no servidor, para um usuário local da sua estação de trabalho. Embora seja tecnicamente possível a criação de usuários e grupos locais, nos Servidores Membros e nas estações de trabalho, esta prática não é recomendada. Quando você trabalha em um domínio, o ideal é que contas de usuários e grupos sejam criadas somente no domínio, isto é, nos DCs. Importante: O Administrador pode utilizar o recurso de GPOs – Group Polices Objects para impedir que os usuários possam criar contas de usuários e grupos locais, em suas estações de trabalho. O assunto GPOs será visto no Capítulo 80. Algumas recomendações e observações sobre contas de usuários:
Outro detalhe que você deve observar, é a utilização de um padrão para o nome das contas de usuários. Você deve estabelecer um padrão para a criação de nomes, pois não podem existir dois usuários com o mesmo nome de logon dentro do mesmo Domínio. Por exemplo se existir no mesmo Domínio, dois “José da Silva” e os dois resolverem utilizar como logon “jsilva”, somente o primeiro conseguirá, o segundo terá que se conformar em escolhor um outro nome de logon. Para isso é importante que seja definido um padrão e no caso de nomes iguais deve ser definido uma maneira de diferenciá-los. Por exemplo poderíamos usar como padrão a primeira letra do nome e o último sobrenome. No caso de nomes iguais, acrescenta-se números. No nosso exemplo o primeiro José da Silva cadastrado ficaria como jsilva, já o segundo a ser cadastrado ficaria como jsilva1. Caso no futuro tivéssemos mais um José da Silva dentro da mesma Unidade Organizacional, este seria o jsilva2 e assim por diante. Quando for criar nomes de logon para os usuários, leve em consideração os seguintes detalhes:
Sempre que você for cadastrar um usuário também deve ser cadastrada uma senha para o usuário. Conforme mostrarei no Capítulo 9, o administrador pode especificar um número mínimo de caracteres aceito para a senha. O número máximo de caracteres da senha é 128. IMPORTANTE = Para as senhas, o Windows Server 2003 distingue letras maiúsculas de minúsculas. Por exemplo a senha “Abc123” é diferente da senha “abc123”. Contas de Computador Estações de trabalho que rodam o Windows NT Workstation 4.0, Windows 2000 Professional ou Windows XP Professional e que fazem parte do domínio, devem ter uma conta de computador no Active Directory. Servidores, quer sejam Member Servers ou DCs, rodando Windows NT Server 4.0, Windows 2000 Server ou Windows Server 2003, também tem contas de computador no Active Directory. A conta de computador pode ser criada antes da instalação do computador ser adicionado ao domínio ou no momento em que o computador é configurado para fazer parte do domínio. A conta do computador deve ter o mesmo nome do computador na rede. Por exemplo, um computador com o nome de microxp01, terá uma conta no Active Directory, com o nome: microxp01. Nota! Computadores rodando Windows 95/98/Me, mesmo tendo acesso a lista de usuários e grups do domínio, não terão contas de computador criadas no Active Directory. Grupos de usuários Um grupo de usuários é uma coleção de contas de usuários. Por exemplo, podemos criar um grupo chamado Contabilidade, do qual farão parte todos os usuários do departamento de Contabilidade (todas as contas de usuários dos funcionários do departamente de Contabilidade). A principal função dos grupos de usuários é facilitar a administração e a atribuição de permissões para acesso a recursos, tais como: pastas compartilhadas, impressoras remotas, serviços diversos, etc. Ao invés de dar permissões individualmente, para cada um dos usuários que necessitam acessar um determinado recurso, você cria um grupo, inclui os usuários no grupo e atribui permissões para o grupo. Para que um usuário tenha permissão ao recurso, basta incluir o usuário no grupo, pois todos os usuários de um determinado grupo, herdam as permissões dos grupos aos quais o usuário pertence. Quando um usuário troca de seção, por exemplo, basta trocar o usuário de grupo. Vamos supor que o usuário jsilva trabalha na seção de contabilidade e pertence ao grupo Contabilidade. Com isso ele tem acesso a todos os recursos para os quais o grupo Contabilidade tem acesso. Ao ser transferido para a seção de Marketing, basta retirar o usuário jsilva do grupo Contabilidade e adicioná-lo ao grupo Marketing. Com isso o jsilva deixa de ter as permissões atribuídas ao grupo Contabilidade e passa a ter as mesmas permissões que tem o grupo Marketing. Este exemplo simples já consegue demonstrar o quanto a utilização de grupos pode facilitar a atribuição de permissões. Vamos analisar mais um exemplo. Suponha que exista um sistema chamado SEAT, para o qual somente um número restrito de usuários deve ter acesso, sendo que são usuários de diferentes seções. A maneira mais simples de definir as permissões de acesso ao sistema SEAT é criar um grupo chamado Seat e dar permissões para esse grupo. Assim cada usuário que precisar acessar o sistema SEAT, deve ser incluído no grupo Seat. Quando o usuário não deve mais ter acesso ao sistema SEAT, basta removê-lo do grupo Seat. Simples, fácil e muito prático. Na Figura 5.5 apresento uma ilustração para o conceito de Grupo de usuários. O Grupo Contabilidade possui direito para um recurso compartilhado, o qual pode ser acessado através da rede. Todos os usuários que pertencem ao grupo contabilidade, também possuem permissão para o recurso compartilhado, uma vez que os usuários de um grupo, herdam as permissões do grupo.
Quando estiver trabalhando com grupos de usuários, considere os fatos a seguir:
Nota! É importante lembrar que, neste capítulo, estão sendo apresentados os conceitos teóricos do Active Directory. A parte prática será vista nos demais capítulos. Por exemplo, no Capítulo 9 você aprenderá a criar usuários, grupos de usuários e a adicionar contas de usuários como membro de um ou mais grupos. Agora vou falar sobre os tipos de grupos existentes no Windows Server 2003. Os grupos são classificados de acordo com diferentes critérios, tais como: tipo, escopo e visibilidade. Podemos ter dois tipos de grupos no Windows Server 2003 : Grupos de segurança ( Security Groups) e Grupos de distribuição (Distribution Groups). Classificação dos grupos quanto ao tipo: Grupos de segurança: Normalmente utilizado para atribuir permissões de acesso aos recursos da rede. Por exemplo, ao criar um grupo Contabilidade, o qual conterá todas as contas dos funcionários do departamente de contabilidade, o qual será utilizado para atribuir permissões de acesso a uma pasta compartilhada, devo criar este grupo como sendo do tipo Grupo de segurança. Um grupo de segurança também pode ser utilizado como um grupo de distribuição, embora essa não seja uma situação muito comum. Esses grupos, assim coma as contas de usuários são armazenados no Banco de dados do Active Directory. Grupos de distribuição: São utilizados para funções não relacionadas com segurança ( atribuição de permissões) . Normalmente são utilizados em conjunto com servidores de email, tais como o Exchange 2000, para o envio de email para um grupo de usuários. Uma das utilizações típicas para um Grupo de distribuição é o envio de mensagens de e-mail para um grupo de usuários de uma só vez. Somente programas que foram programados para trabalhar com o Active Directory, poderão utilizar Grupos de distribuição (como é o caso do Exchange 2000 citado anteriormente). Provavelmente as novas versões dos principais sistemas de correio eletrônico estarão habilitadas para trabalhar com o Active Directory. Não é possível utilizar grupos de distribuição para funções relacionadas com segurança. Nota: É possível converter um grupo do tipo Segurança para distribuição e vice-versa. Para tal é preciso que o domínio esteja, pelo menos, no modo Windows 2000 Nativo. Para domínios que ainda estejam no modo Windows 2000 Mixed, esta conversão não será possível. Classificação dos grupos quanto ao Escopo: Quando criamos um grupo de usuários, devemos selecionar um tipo (descrito anteriormente) e um escopo. O Escopo permite que o grupo seja utilizado de diferentes maneiras para a atribuição de permissões. O escopo de um grupo, determina em partes do domínio ou de uma floresta de domínios, o grupo é visível, ou seja, pode ser utilizado para receber permissões de acesso aos recursos da rede. Existem três escopos para grupos de usuários, conforme descrito a seguir: Universal, Global e Local do domínio. Vamos apresentar as diversas características e usos de cada tipo de grupo. Grupos universais (Universal group): Como o próprio nome sugere são grupos que podem ser utilizados em qualquer parte de um domínio ou da árvore de domínios e podem conter como membros, grupos e usuários de quaisquer domínios. Em resumo:
Conforme detalharei no Capítulo 6, um domínio baseado no Active Directory pode estar em diferentes modos (Windows 2000 Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades em relação aos grupos Universais:
Quando devemos utilizar grupos universais: Quando você deseja consolidar diversos grupos globais. Você pode fazer isso criando um grupo Universal e adicionando os diversos grupos globais como membros do grupo Universal. Importante: Os grupos Universais devem ser muito bem planejados. Não devem ser feitas alterações frequentes nos membros de um grupo Universal, uma vez que este tipo de ação causa um volume elevado de replicação no Active Directory. Mais adiante quando for apresentado o conceito de Catálogo Global e de replicação no Active Directory, você verá o quão justificada é esta recomendação. Grupo global: Um grupo Global é “global” quanto aos locais onde ele pode receber permissões de acesso, ou seja, um grupo Global pode receber permissões de acesso em recursos (pastas compartilhadas, impressoras, etc) de qualquer domínio. Em resumo, considere as afirmações a seguir:
Conforme detalharei no Capítulo 6, um domínio baseado no Active Directory pode estar em diferentes modos (Windows 2000 Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades em relação aos grupos Globais:
Quando devemos utilizar grupos universais: Os grupos Globais devem ser utilizados para o gerenciamento dos objetos que sofrem alterações constantemente, quase que diariamente, tais como contas de usuários e de computadores. As alterações feitas em um grupo Global são replicadas somente dentro do domínio onde foi criado o grupo Global e não através de toda a árvore de domínios. Com isso o volume de replicação é reduzido, o que permite a utilização de grupos Globais para a administração de objetos que mudam frequentemente. Grupos locais do domínio (Domain local group): São grupos que somente podem receber permissões para os recursos do domínio onde foram criados, porém podem ter como membros, grupos e usuários de outros domínios. Em resumo:
Conforme detalharei no Capítulo 6, um domínio baseado no Active Directory pode estar em diferentes modos (Windows 2000 Nativo, Misto ou Windows Server 2003). Para cada modo existem diferentes possibilidades em relação aos grupos Globais:
Quando devemos utilizar grupos Locais: Os grupos Locais são utilizados para atribuir permissões de acesso aos recursos da rede. Conforme discutirei mais adiante, a Microsoft recomenda uma estratégia baseada nos seguintes passos:
|
|||
« Lição anterior | Δ Página principal | ¤ Capítulos | Próxima lição » |
UNIVERSIDADE DO WINDOWS SERVER E AD |
UNIVERSIDADE PRÁTICA DO WINDOWS SERVER E DO ACTIVE DIRECTORY - Planejamento, Instalação, Configurações, Administração e Segurança no Windows Server: 2019, 2016, 2012 e 2008. |
Acesso Vitalício, Novas Aulas toda Semana, Suporte à Dúvidas e Certificado de Conclusão. |
Para Todos os Detalhes, Acesse:
https://juliobattisti.com.br/windows-server-curso-completo.asp |
MEGA FORMAÇÃO EM INFRAESTRUTURA DE TI (Online, Vitalício, Prático e Atualizado)! |
|
NÃO PROCURE VAGAS, SEJA PROCURADO! |
Para Todos os Detalhes, Acesse:
https://juliobattisti.com.br/curso-infra-ti.asp
|
Contato: Telefone: (51) 3717-3796 | E-mail: webmaster@juliobattisti.com.br | Whatsapp: (51) 99627-3434
Júlio Battisti Livros e Cursos Ltda | CNPJ: 08.916.484/0001-25 | Rua Vereador Ivo Cláudio Weigel, 537 - Universitário, Santa Cruz do Sul/RS, CEP: 96816-208
Todos os direitos reservados, Júlio Battisti 2001-2025 ®
LIVRO: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2016 - CURSO COMPLETO E PRÁTICO
DOMINE A PROGRAMAÇÃO VBA NO EXCEL - 878 PÁGINAS - CLIQUE AQUI