Noções básicas sobre grupos

GRUPOS

Um grupo é um conjunto de contas de usuários e computadores, contatos e outros grupos que podem ser gerenciados como uma unidade. Os usuários e os computadores que pertencem a um grupo específico são chamados de membros do grupo. Usar grupos pode simplificar a administração ao atribuir um conjunto comum de permissões e direitos a várias contas simultaneamente, em vez de atribuir as permissões e os direitos a cada conta individualmente. Para obter uma visão geral sobre permissões e direitos, consulte Visão geral sobre o controle de acesso .

Os grupos podem ser baseados em diretório ou estar localizados em um computador específico. Os grupos no Active Directory são objetos de diretório que residem em um domínio e objetos de recipiente de unidade organizacional. O Active Directory fornece um conjunto de grupos padrão na instalação e também permite a opção de criar grupos. Para obter mais informações, consulte Grupos padrão

Os grupos locais, que existem em computadores locais e não no Active Directory, são discutidos em Grupos locais padrão

Os grupos no Active Directory permitem:

• Simplificar a administração, atribuindo permissões sobre um recurso compartilhado a um grupo e não a usuários individuais. Isso atribui o mesmo acesso ao recurso a todos os membros do grupo.

• Delegue a administração atribuindo direitos de usuário uma vez para um grupo usando uma <b>Diretiva de Grupo</b> e, em seguida, adicionando ao grupo os membros aos quais deseja conceder os mesmos direitos do grupo.

• Crie listas de distribuição de email. Para obter mais informações, consulte Tipos de grupos

Os grupos são caracterizados pelo escopo e pelo tipo. O escopo de um grupo determina a extensão à qual o grupo é aplicado no domínio ou na floresta. Para obter informações sobre escopos de grupo, consulte Escopo de grupo. O tipo de grupo determina se um grupo pode ser usado para atribuir permissões a partir de um recurso compartilhado (para grupos de segurança) ou se um grupo pode ser usado somente para listas de distribuição de email (para grupos de distribuição). Para obter informações sobre grupos de segurança e grupos de distribuição, consulte Tipos de grupos .

Há também grupos para os quais você não pode modificar ou exibir as participações. Esses grupos são chamados de identidades especiais e são usados para representar diferentes usuários em diferentes ocasiões, dependendo das circunstâncias. Por exemplo, o grupo <b>Todos</b> representa todos os usuários de rede atuais, inclusive convidados e usuários de outros domínios. Para obter mais informações, consulte Identidades especiais .

ESCOPO DE GRUPO

Os grupos, não importa se são um grupo de segurança ou um grupo de distribuição, são caracterizados por um escopo que identifica a extensão em que o grupo é aplicado à árvore do domínio ou floresta. Existem três escopos de grupo: universal, global e domínio local.

• Os membros de grupos universais podem incluir outros grupos e contas de qualquer domínio na árvore de domínio ou floresta e podem ter permissões para qualquer domínio na árvore de domínio ou floresta.

• Os membros de grupos globais podem incluir outros grupos e contas somente do domínio no qual o grupo está definido e podem ter permissões para qualquer domínio na floresta.

• Os grupos de grupos de domínio local podem incluir outros grupos e contas de domínios Windows Server 2003, Windows 2000 ou Windows NT e podem ter permissões somente em um domínio.

A tabela a seguir resume os comportamentos dos diferentes escopos de grupo.

Escopo universal Escopo global Escopo de domínio local

Quando o nível funcional do domínio é definido como Windows 2000 nativo ou Windows Server 2003, os membros de grupos universais podem incluir contas, grupos globais e grupos universais de qualquer domínio.

Quando o nível funcional do domínio é definido como Windows 2000 nativo ou Windows Server 2003, os membros de grupos globais podem incluir contas e grupos globais do mesmo domínio.

Quando o nível funcional do domínio é definido como Windows 2000 nativo ou Windows Server 2003, os membros de escopo de domínio local podem incluir contas, grupos globais e grupos universais de qualquer domínio, assim como grupos de domínio local do mesmo domínio.

Quando o nível funcional de domínio é definido como Windows 2000 misto, os grupos de segurança com escopo universal não podem ser criados.

Quando o nível funcional do domínio é definido como Windows 2000 misto, os membros de grupos globais podem incluir subcontas do mesmo domínio.

Quando o nível funcional do domínio é definido como Windows 2000 misto, os membros de grupos de domínio local podem incluir contas e grupos globais de qualquer domínio.

Quando o nível funcional do domínio é definido como Windows 2000 nativo ou Windows Server 2003, os grupos podem ser adicionados a outros grupos e receber permissões para qualquer domínio.

Os grupos podem ser adicionados a outros grupos e receber permissões para qualquer domínio.

Os grupos podem ser adicionados a outros grupos de domínio local e receber permissões somente no mesmo domínio.

Os grupos podem ser convertidos em escopo de domínio local. Os grupos podem ser convertidos em escopo global, desde que não existam outros grupos universais como membros.

Os grupos podem ser convertidos em escopo universal, desde que o grupo não seja membro de nenhum outro grupo com escopo global.

Os grupos podem ser convertidos em escopo universal, desde que não tenham como membro outro grupo com escopo de domínio local.

QUANDO USAR GRUPOS COM ESCOPO DE DOMÍNIO LOCAL

Os grupos com escopo de domínio local ajudam a definir e gerenciar o acesso a recursos em um único domínio. Esses grupos podem ter como membros:

• Grupos com escopo global• Grupos com escopo universal• Contas• Outros grupos com escopo de domínio

local• Uma combinação de quaisquer itens acima

Por exemplo, para fornecer aos usuários acesso a uma determinada impressora, você pode adicionar todas as cinco contas de usuário à lista de permissões da impressora. Se, no entanto, mais tarde desejar fornecer aos cinco usuários acesso a uma nova impressora, terá de especificar novamente todas as cinco contas na lista de permissões da nova impressora.

Com um pouco de planejamento, você pode simplificar essa tarefa administrativa rotineira criando um grupo com escopo de domínio local e atribuindo-lhe permissão para acessar a impressora. Inclua as cinco contas de usuário em um grupo com escopo global e adicione esse grupo àquele que tem o escopo de domínio local. Quando você desejar fornecer aos cinco usuários acesso a uma nova impressora, atribua ao grupo com o escopo de domínio local permissão para acessar a nova impressora. Todos os membros do grupo com escopo global automaticamente recebem acesso à nova impressora.

QUANDO USAR GRUPOS COM ESCOPO GLOBAL

Use grupos com escopo global para gerenciar objetos de diretório que exijam manutenção diária, como contas de usuário e de computador. Como os grupos com escopo global não são replicados fora de seu próprio domínio, as contas em um grupo que tem escopo global podem ser alteradas freqüentemente sem que isso gere tráfego de replicação para o catálogo global. Para obter mais informações sobre grupos e replicação, consulte Como a duplicação funciona.

Embora as atribuições de direitos e permissões sejam válidas somente no domínio no qual são atribuídas, ao aplicar grupos com escopo global de forma uniforme nos domínios apropriados, você pode consolidar referências a contas com finalidades semelhantes. Isso simplificará e racionalizará o gerenciamento de grupos em domínios. Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, se houver um grupo com escopo global chamado ContabilidadeGL no domínio EstadosUnidos, também deverá haver um grupo chamado ContabilidadeGL no domínio Europa (a menos que a função de contabilidade não exista no domínio Europa)

É recomendável usar grupos globais ou grupos universais em vez de grupos de domínio local ao especificar permissões para objetos de diretório de domínio replicados para o catálogo global. Para obter mais informações, consulte Duplicação do catálogo global .

QUANDO USAR GRUPOS COM ESCOPO UNIVERSAL

Use grupos com escopo universal para consolidar os grupos que estendam domínios. Para fazer isso, adicione as contas a grupos com escopo global e aninhe esses grupos em grupos que tenham escopo universal. Com essa estratégia, todas as alterações de participação nos grupos com escopo global não afetarão os grupos com escopo universal.

Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo que tenha escopo global chamado ContabilidadeGL em cada domínio, crie um grupo com escopo universal chamado ContabilidadeU para ter como seus membros os dois grupos ContabilidadeGL: ContabilidadeEstadosUnidos\GL e ContabilidadeEuropa\GL. O grupo ContabilidadeU pode ser usado em qualquer parte da empresa. Todas as

alterações na participação dos grupos individuais ContabilidadeGL não causarão a replicação do grupo ContabilidadeU.

A participação de um grupo com escopo universal não deve ser alterada com freqüência, pois todas as alterações feitas nessas participações de grupo podem fazer com que toda a participação do grupo seja replicada em cada catálogo global na floresta. Para obter mais informações sobre grupos universais e replicação, consulte Catálogos globais e locais.

ALTERANDO O ESCOPO DE GRUPO

Por padrão, quando um novo grupo é criado, ele é configurado como um grupo de segurança com escopo global, independentemente do nível funcional do domínio atual. Embora a alteração de um escopo de grupo não seja permitida em domínios com o nível funcional de domínio definido como Windows 2000 misto, as seguintes conversões são permitidas em domínios com o nível funcional de domínio definido como Windows 2000 nativo ou Windows Server 2003:

• Global em universal. Só será permitido se o grupo que você deseja alterar não for membro de outro grupo com escopo global.

• Domínio local em universal. Só será permitido se o grupo que você deseja alterar não tem outro grupo de domínio local como membro.

• Universal em global. Só será permitido se o grupo que você deseja alterar não tem outro grupo universal como membro.

• Universal em domínio local. Não há restrições para esta operação.

Para obter mais informações, consulte Alterar o escopo do grupo

GRUPOS EM CLIENTES E SERVIDORES AUTÔNOMOS

Alguns recursos de grupo, como grupos universais, aninhamento de grupos e a distinção entre grupos de segurança e grupos de distribuição estão disponíveis somente nos controladores de domínio do Active Directory e em servidores membros. As contas de grupo no Windows 2000 Professional, Windows XP Professional, Windows 2000 Server e em servidores autônomos que executam o Windows Server 2003 funcionam da mesma forma que no Windows NT 4.0.

• Somente grupos locais podem ser criados localmente no computador.

• Um grupo local criado em um desses computadores pode ter permissões somente nesse computador.

Para obter mais informações, consulte Grupos locais padrão

TIPOS DE GRUPOS

Os grupos são usados para reunir contas de usuário, contas de computador e outras contas de grupo em unidades gerenciáveis. Trabalhar com grupos em lugar de usuários individuais ajuda a simplificar a manutenção e a administração da rede. Há dois tipos de grupo no Active Directory: grupos de distribuição e grupos de segurança. Você pode usar grupos de distribuição para criar listas de distribuição de email e grupos de segurança para atribuir permissões para recursos compartilhados.

GRUPOS DE DISTRIBUIÇÃO

Os grupos de distribuição podem ser usados somente com aplicativos de email (como o Exchange) para enviar mensagens para grupos de usuários. Os grupos de distribuição não são habilitados para segurança, o que significa que não podem ser listados em listas de controle de acesso discricional (DACLs). Se você precisa de um grupo para controlar o acesso a recursos compartilhados, crie um grupo de segurança.

GRUPOS DE SEGURANÇA

Quando usados com cuidado, os grupos de segurança são uma forma eficaz de atribuir acesso a recursos na rede. Com grupos de segurança, você pode:

• Atribuir direitos de usuário a grupos de segurança no Active Directory

Os direitos de usuário são atribuídos a grupos de segurança para determinar o que os membros do grupo podem fazer no escopo de um domínio (ou floresta). Os direitos de usuário são atribuídos automaticamente a alguns grupos de segurança na instalação do Active Directory, para ajudar os administradores a definir a função administrativa de um usuário no domínio. Por exemplo, um usuário adicionado ao grupo <b>Operadores de cópia</b> no Active Directory tem o direito de fazer backup e restaurar arquivos e diretórios localizados em todos os controladores de domínio no domínio.

Isso é possível porque, por padrão, os direitos de usuário Fazer backup de arquivos e diretórios e Restaurar arquivos e pastas são atribuídos automaticamente ao grupo Operadores de Backup. Portanto, os membros deste grupo herdam os direitos de usuário atribuídos ao grupo. Para obter mais informações sobre direitos de usuário, consulte Direitos do usuário. Para obter mais informações sobre os direitos de usuário atribuídos a grupos de segurança, consulte Grupos padrão.

Você pode atribuir direitos de usuário a grupos de segurança, usando Diretivas de Grupo, para ajudar a delegar tarefas específicas. Seja criterioso ao atribuir tarefas delegadas, porque um usuário sem treinamento que tenha direitos demais em um grupo de segurança tem potencial para causar danos significativos à rede. Para obter mais informações, consulte Delegando a administração. Para obter mais informações sobre a atribuição de direitos de usuário a grupos, consulte Atribuir direitos de usuário a um grupo no Active Directory.

• Atribuir permissões a grupos de segurança para recursos

As permissões não devem ser confundidas com direitos de usuário. As permissões são atribuídas ao grupo de segurança no recurso compartilhado. As permissões determinam quem pode acessar o recurso e o nível de acesso, como Controle Total. Algumas permissões definidas em objetos de domínio são atribuídas automaticamente para permitir vários níveis de acesso a grupos de segurança padrão, como <b>Opers. de contas</b> ou <b>Admins. do domínio</b>. Para obter mais informações sobre permissões, consulte Controle de acesso no Active Directory.

Os grupos de segurança são listados em DACLs que definem permissões para recursos e objetos. Ao atribuir permissões para recursos (compartilhamentos de arquivos, impressoras e assim por diante), os administradores devem atribuir essas permissões a um grupo de segurança em vez de a usuários individuais. As permissões são atribuídas uma vez ao grupo, em vez de várias vezes a cada usuário. Cada conta adicionada a um grupo recebe os direitos atribuídos ao grupo no Active Directory e as permissões definidas para aquele grupo no recurso.

Como os grupos de distribuição, os grupos de segurança também podem ser usados como uma entidade de email. Quando você envia um email para o grupo, ele é enviado para todos os participantes do grupo.

CONVERTER GRUPOS DE SEGURANÇA EM GRUPOS DE DISTRIBUIÇÃO E VICE-VERSA

Um grupo pode ser convertido de grupo de segurança em grupo de distribuição, e vice-versa, a qualquer momento, mas somente se o nível funcional do domínio estiver definido como Windows 2000 nativo ou superior. Os grupos não podem ser convertidos quando o nível funcional do domínio estiver definido como Windows 2000 misto.

Para obter informações específicas sobre os procedimentos, consulte Converter um grupo em outro tipo de grupo. Para obter mais informações sobre a funcionalidade de domínio, consulte Funcionalidade de domínio e de floresta.

Observação

• Embora um contato possa ser adicionado a um grupo de segurança e a um grupo de distribuição, não é possível atribuir direitos e permissões a contatos. É possível enviar email aos contatos em um grupo.