Definir usuários, grupos e computadores

  • 10 minutos

No AD DS, você deve fornecer uma conta de usuário a todos os usuários que exigem acesso a recursos de rede. Com essa conta de usuário, os usuários podem se autenticar no domínio do AD DS e acessar recursos de rede.

No Windows Server, uma conta de usuário é um objeto que contém todas as informações que definem um usuário. Uma conta de utilizador inclui:

  • O nome de usuário.
  • Uma senha de usuário.
  • Associações de grupo.

Uma conta de usuário também contém configurações que você pode definir com base em seus requisitos organizacionais.

Uma captura de tela da conta de usuário Jane Dow no Centro Administrativo do Ative Directory.

O nome de usuário e a senha de uma conta de usuário servem como credenciais de entrada do usuário. Um objeto de usuário também inclui vários outros atributos que descrevem e gerenciam o usuário. Você pode usar as seguintes ferramentas para criar e gerenciar objetos de usuário no AD DS:

  • Centro Administrativo do Ative Directory.
  • Usuários e computadores do Ative Directory.
  • Centro de Administração do Windows.
  • Windows PowerShell.
  • A ferramenta de linha de comando dsadd.

O que são contas de serviço gerenciado?

Muitos aplicativos contêm serviços que você instala no servidor que hospeda o programa. Esses serviços normalmente são executados na inicialização do servidor ou são acionados por outros eventos. Os serviços geralmente são executados em segundo plano e não exigem nenhuma interação do usuário. Para que um serviço seja iniciado e autenticado, você usa uma conta de serviço. Uma conta de serviço pode ser uma conta local para o computador, como as contas internas de Serviço Local, Serviço de Rede ou Sistema Local. Você também pode configurar uma conta de serviço para usar uma conta baseada em domínio localizada no AD DS.

Para ajudar a centralizar a administração e atender aos requisitos do programa, muitas organizações optam por usar uma conta baseada em domínio para executar serviços de programa. Embora isso proporcione algum benefício em relação ao uso de uma conta local, há uma série de desafios associados, como os seguintes:

  • Pode ser necessário um esforço de administração extra para gerenciar a senha da conta de serviço com segurança.
  • Pode ser difícil determinar onde uma conta baseada em domínio está sendo usada como uma conta de serviço.
  • Pode ser necessário um esforço de administração extra para gerenciar o SPN (nome da entidade de serviço).

O Windows Server dá suporte a um objeto AD DS, chamado de conta de serviço gerenciado, que você usa para facilitar o gerenciamento de conta de serviço. Uma conta de serviço gerenciada é uma classe de objeto do AD DS que permite:

  • Gerenciamento simplificado de senhas.
  • Gestão simplificada do SPN.

O que são contas de serviço gerenciadas por grupo?

As contas de serviço gerenciado de grupo permitem que você estenda os recursos das contas de serviço gerenciado padrão para mais de um servidor em seu domínio. Em cenários de farm de servidores com clusters NLB (Balanceamento de Carga de Rede) ou servidores IIS, geralmente é necessário executar serviços de sistema ou programa na mesma conta de serviço. As contas de serviço gerenciado padrão não podem fornecer funcionalidade de conta de serviço gerenciado para serviços que estão sendo executados em mais de um servidor. Usando contas de serviço gerenciado de grupo, você pode configurar vários servidores para usar a mesma conta de serviço gerenciado e ainda manter os benefícios que as contas de serviço gerenciado oferecem, como manutenção automática de senha e gerenciamento simplificado de SPN.

Para oferecer suporte à funcionalidade de conta de serviço gerenciada por grupo, seu ambiente deve atender aos seguintes requisitos:

  • Você deve criar uma chave raiz do KDS em um controlador de domínio no domínio.

Para criar a chave raiz do KDS, execute o seguinte comando do Módulo Ative Directory para Windows PowerShell em um controlador de domínio do Windows Server

Add-KdsRootKey –EffectiveImmediately

Você cria contas de serviço gerenciadas de grupo usando New-ADServiceAccount o cmdlet do Windows PowerShell com o –PrinicipalsAllowedToRetrieveManagedPassword parâmetro.

Por exemplo:

New-ADServiceAccount -Name LondonSQLFarm -PrincipalsAllowedToRetrieveManagedPassword SEA-SQL1, SEA-SQL2, SEA-SQL3

O que são objetos de grupo?

Embora possa ser prático atribuir permissões e direitos a contas de usuário individuais em redes pequenas, isso se torna impraticável e ineficiente em redes de grandes empresas.

Por exemplo, se vários usuários precisarem do mesmo nível de acesso a uma pasta, é mais eficiente criar um grupo que contenha as contas de usuário necessárias e, em seguida, atribuir as permissões necessárias ao grupo.

Gorjeta

Como um benefício adicional, você pode alterar as permissões de arquivo dos usuários adicionando-os ou removendo-os de grupos em vez de editar as permissões de arquivo diretamente.

Antes de implementar grupos em sua organização, você deve entender o escopo de vários tipos de grupo do AD DS. Além disso, você deve entender como usar tipos de grupo para gerenciar o acesso a recursos ou atribuir direitos e responsabilidades de gerenciamento.

Uma captura de ecrã da caixa de diálogo Criar Grupo: Gestores de Vendas no Centro Administrativo do Windows.

Tipos de grupo

Em uma rede corporativa do Windows Server, há dois tipos de grupos, descritos na tabela a seguir.

Tipo de grupo Descrição
Segurança Os grupos de segurança são habilitados para segurança e você os usa para atribuir permissões a vários recursos. Você pode usar grupos de segurança em entradas de permissão em listas de controle de acesso (ACLs) para ajudar a controlar a segurança de acesso a recursos. Se você quiser usar um grupo para gerenciar a segurança, ele deve ser um grupo de segurança.
Distribuição Os aplicativos de email geralmente usam grupos de distribuição, que não são habilitados para segurança. Você também pode usar grupos de segurança como um meio de distribuição para aplicativos de e-mail.

Escopos de grupo

O Windows Server oferece suporte ao escopo de grupo. O escopo de um grupo determina o intervalo de habilidades ou permissões de um grupo e a associação ao grupo. Existem quatro âmbitos de grupo.

  • Local. Você usa esse tipo de grupo para servidores autônomos ou estações de trabalho, em servidores membros do domínio que não são controladores de domínio ou em estações de trabalho membros do domínio. Os grupos locais estão disponíveis apenas no computador onde existem. As características importantes de um grupo local são:

    • Você pode atribuir habilidades e permissões somente em recursos locais, ou seja, no computador local.
    • Os membros podem ser de qualquer lugar na floresta do AD DS.

  • Domínio-local. Você usa esse tipo de grupo principalmente para gerenciar o acesso a recursos ou para atribuir direitos e responsabilidades de gerenciamento. Existem grupos de domínio local em controladores de domínio em um domínio AD DS e, portanto, o escopo do grupo é local para o domínio em que reside. As características importantes dos grupos domínio-local são:

    • Você pode atribuir habilidades e permissões somente em recursos locais de domínio, o que significa em todos os computadores no domínio local.
    • Os membros podem ser de qualquer lugar na floresta do AD DS.

  • Global. Você usa esse tipo de grupo principalmente para consolidar usuários que têm características semelhantes. Por exemplo, poderá usar grupos globais para agrupar utilizadores que fazem parte de um departamento ou de uma localização geográfica. As características importantes dos grupos globais são:

    • Você pode atribuir habilidades e permissões em qualquer lugar da floresta.
    • Os membros podem ser apenas do domínio local e podem incluir usuários, computadores e grupos globais do domínio local.

  • Universal. Você usa esse tipo de grupo com mais freqüência em redes de vários domínios porque ele combina as características de grupos locais de domínio e grupos globais. Especificamente, as características importantes dos grupos universais são:

    • Você pode atribuir habilidades e permissões em qualquer lugar da floresta semelhante à forma como as atribui para grupos globais.
    • Os membros podem ser de qualquer lugar na floresta do AD DS.

O que são objetos de computador?

Os computadores, tal como os utilizadores, são entidades de segurança, na medida em que:

  • Têm uma conta com um nome de início de sessão e palavra-passe que o Windows altera automaticamente periodicamente.
  • Eles se autenticam com o domínio.
  • Eles podem pertencer a grupos e ter acesso a recursos, e você pode configurá-los usando a Diretiva de Grupo.

Uma conta de computador começa seu ciclo de vida quando você cria o objeto de computador e o associa ao seu domínio. Depois de associar a conta de computador ao seu domínio, as tarefas administrativas diárias incluem:

  • Configuração das propriedades do computador.
  • Mover o computador entre Unidades Organizacionais.
  • Gerir o próprio computador.
  • Renomear, redefinir, desabilitar, habilitar e, eventualmente, excluir o objeto de computador.

Uma captura de tela da caixa de diálogo Criar computador: SEA-CL5 no Centro Administrativo do Ative Directory.

Contêiner de computadores

Antes de criar um objeto de computador no AD DS, você deve ter um local para colocá-lo. O contentor Computadores é um contentor incorporado num domínio do AD DS. Esse contêiner é o local padrão para as contas de computador quando um computador ingressa no domínio.

Este contêiner não é uma UO. Em vez disso, é um objeto da classe Container. Seu nome comum é CN=Computers. Existem diferenças sutis, mas importantes, entre um contêiner e uma UO. Não é possível criar uma UO dentro de um contêiner, portanto, não é possível subdividir o contêiner Computadores. Também não é possível vincular um Objeto de Diretiva de Grupo a um contêiner. Portanto, recomendamos que você crie UOs personalizadas para hospedar objetos de computador, em vez de usar o contêiner Computadores.