módulo 3 gerenciamento de objetos dos serviços de domínio do active directory.pdf

5/27/2018 Mdulo 3 Gerenciamento de objetos dos Servios de Domnio do Active Directory.pdf

1/57

Mdulo 3: Gerenciamento de ob

jetos dos Servios deDomnio do Active Directory

Contedo:

Viso geral do mdulo

Lio 1: Gerenciamento de contas de usurio

Lio 2: Gerenciamento de contas de grupo

Lio 3: Gerenciamento de contas de computador

Lio 4: Delegao da administrao

Laboratrio: Gerenciamento de objetos dos er!ios de Dom"nio do #cti!eDirector$

%e!iso e in&orma'es complementares do mdulo

Viso geral do mdulo

As contas de usur

io so componentes undamentais da se!urana de r

ede"

Arma#enadas no AD DS $Servios de Dom

nio do Active Directory%&' elas identiicamos usurios para ins de autenticao e autori#ao" Devido ( sua import)ncia' uma

compreenso das contas de usurio e das tareas relacionadas ao supor

te a elas * um

aspecto undamental da administrao de uma rede corporativa do sistema

operacional +indo,s% Server"

-mbora usur

ios e computadores' e at* mesmo servios' mudem com o passar do

tempo' as un.es e as re!ras corpor

ativas tendem a per

manecer mais estveis" Suaempresa pr

ovavelmente tem uma uno inanceira /ue re/uer determinados

recur

sos na empresa" 0$s& usurio$s& /ue e1ecuta$

m& essa uno pode$

m& mudar com

o assar do tem o mas a un o ermanecer

r

elativamente a mesma" 2or esse


2/57

motivo' no * sensato !erenciar uma r

ede corporativa atribuindo direitos e

permiss.es a usurios' computadores ou identidades de servio individuais" -m ve#

disso' voc deve associar tar

eas de !erenciamento a !rupos" 4onse/uentemente' *

importante /ue voc saiba como usar

!rupos para identiicar un.es administr

ativas

e de usurio' para iltrar a 2ol

tica de Gr

upo' para atribuir polticas de sen5a e1clusivas

e par

a atr

ibuir

direitos e permiss.es"

0s computadores' assim como os usur

ios' so entidades de se!urana:

6 -les tm uma conta com nome de lo!on e sen5a /ue o +indo,s Server

alter

a

automaticamente periodicamente"

6 -les so autenticados com o domnio"

6 -les podem pertencer a !rupos' ter acesso a r

ecursos e voc pode coni!ur

7los

usando a 2oltica de Grupo"

0 !er

enciamento de computadores' tanto dos objetos no AD DS /uanto dos

dispositivos

sicos' * uma das tareas dirias da maior

ia dos pr

oissionais de 89"ovos computadores so adicionados ( sua or

!ani#ao' colocados oline par

a

reparos' trocados entr

e usurios ou un.es e desativados ou atuali#ados" 4ada uma

dessas atividades re/uer o !erenciamento da identidade do computador' /ue *

representada por seu ob

jeto' ou conta' e o AD DS" 4omo r

esultado' * impor

tante /ue

voc saiba como criar e !erenciar ob

jetos de computador"

-m or!ani#a.es pe/uenas' uma pessoa pode ser responsvel por e1ecutar todas

essas tareas administrativas dir

ias" 2or

*m' em !randes r

edes corpor

ativas' com

mil5ar

es de usurios e computador

es' isso * invivel" ; impor

tante /ue um

administr

ador de empresa saiba como dele!ar

tareas administrativas especicas a

usurios ou !rupos desi!nados para asse!urar /ue a administr

ao da empr

esa se

ja

eiciente e eetiva"

Objetivos

Ao concluir

este mdulo' voc ser capa# de:


3/57

6 Gerenciar contas de usurio com err

amentas !ricas"

6 Gerenciar contas de !rupo com er

r

amentas !ricas"

6 Gerenciar contas de computador"

6 Dele!ar

permiss.es para e1ecutar

a administrao do AD DS"

Lio 1 : Gerenciamento de contas de usurio


4/57

Antes de comear a cr

iar e !erenciar

contas de usur

io' !rupo e computador' *

importante /ue voc entenda /uais erramentas pode usar

para e1ecutar

essas

diver

sas tar

eas de !erenciamento"

Snap-ins administrativos do Active Directory

A maioria da administr

ao do AD DS * e1ecutada com os se!uintes snap7ins e

consoles:

6 err

amentas deAdministrao de Servidor

=emoto&" 0 =SA9

* um r

ecurso /ue pode serinstalado do n =ecursos do Ger

enciador de Servidor no +indo,

s Server%


5/57

?@?"

Boc tamb*m pode instalar o =SA9

em clientes +indo,s' incluindo o +indo,sBista% Ser

vice 2acC $

ou mais r

ecente&' o +indo,s e o +indo,s E" Depois /ue

voc bai1ar

os ar/uivos de instalao do =SA9

do site da Microsot' e1ecute o

Assistente de 4oni!urao' /ue o orientar atrav*s da instalao" Aps instalar o

=SA9

' ative a$s& erramenta$s& /ue dese

ja usar" 2ara isso' no 2ainel de 4ontr

ole' no

aplicativo 2ro!ramas e =ecursos' use o comando #ti!ar ou desati!ar recur

sos do

)indo*

s"

Leitura adicional: 2ara bai1ar os ar/uivos de instalao do =SA9

' consulte o4entro de Do,nload da Micr

osot em+ttp:

,,go-

microso&t-

com,&*lin.,/

Lin.0D23

"

Central Administrativa do Active Directory

0 +indo,s Server ?@? or

nece outr

a opo para !erenciar

os objetos do AD DS" 0

4entral Administrativa do Active Directory ornece uma G


6/57

Boc pode usar o mdulo do Active Dir

ectory para o +indo,s 2o,er

S5ell $mdulo

Active Directory& para criar e !erenciar

objetos no AD DS" 0 +indo,s 2o,er

S5ell no

s * uma lin!ua!em de scripts como tamb*m l5e per

mite e1ecutar

comandos /ue

reali#am tareas administrativas' como criar

novas contas de usurio' coni!urar

servios' e1cluir cai1as de correio e un.es semel5antes"

0 +indo,s 2o,erS5ell * instalado' por padr

o' no +indo,s Server ?@?' mas o

mdulo Active Directory apenas est presente /uando:

6 B

oc instala a uno de servidor

AD DS ou AD DS $

Active Directory i!5t,ei!5t

Directory Services&"

6 B

oc e1ecuta Dcpr

omo"e1e par

a elevar

um computador a um contr

olador de

domnio"

6 B

oc instala o =SA9"

Ferramentas de linha de comando do servio de diretr

io

Boc tamb*m pode usar as err

amentas de lin5a de comando de Ser

vio de Dir

etrio'

al*m do +indo,s 2o,erS5ell" -ssas erramentas permitem criar

' modiicar

' !erenciar

e e1cluir ob

jetos AD DS' como usur

ios' !rupos e computadores" Boc pode usar os

se!uintes comandos:

6 Dsadd"


7/57

(bser!ao: ; possvel r

edir

ecionar os resultados do comando Ds5uer$para outros comandos do ser

vio de diretrio" 2or e1emplo' se voc di!itaro se!uinte em um prompt de comando' o nFmero de teleone do escr

itriode todos os usurios cu

jo nome comea com Ho5n sero retor

nados"ds/uer

y user Iname Ho5nJ K ds!et user Ioice

Criao de contas de !s!"rio

o AD DS' todos os usur

ios /ue e1i!em acesso aos recur

sos de rede devem ser

coni!urados com uma conta de usurio" 4om essa conta de usur

io' os usurios

podem se autenticar no dom

nio do AD DS e r

eceber acesso aos recursos de r

ede"

o +indo,s Server ?@?' uma cont

a de usurio* um objeto /ue cont*m todas as

inorma.es /ue deinem um usurio"


8/57

6 Gerenciar o acesso dos usurios a recur

sos' como objetos do AD DS e respectivas

propr

iedades' pastas compartil5adas' ar/uivos' diretrios e ilas de impr

essora"


9/57

detal5es do snap7in e deve ser e1clusivo dentro do continer

ou da unidade

or!ani#acional" Se estiver criando um ob

jeto de usurio para uma pessoa com o

mesmo nome de um usurio e1istente na mesma unidade or!ani#acional ou no

mesmo continer' voc pr

ecisar

inser

ir

um nome e1clusivo no campo 7ome

completo"

6 A propriedade o!on


10/57

Ao criar uma conta de usurio no AD DS' voc tamb*m coni!ura todas as

propr

iedades de conta ou os atributos associados"

(bser!ao: 0s atributos associados a uma conta de usurio so deinidoscomo parte do es/uema AD DS' /ue os membros do !rupo de se!ur

anaAdministrador

es de -s/uema podem modiicar"Geralmente' o es/uema no * alterado com re/uncia" 2or

*m' /uando umaplicativo de n

vel empresarial $

como o Microsot% -1c5an!e Ser

ver

?@@& *introdu#ido' vrias altera.es de es/uema so necessrias" -ssas alter

a.espermitem /ue ob

jetos' incluindo objetos de usurio' ten5am atributosadicionais"

Ao criar um novo ob

jeto de usurio' voc no precisa deinir vrios atributos al*m

dos necessrios para permitir /ue o usurio aa lo!on usando a conta" 4omo um

objeto de usur

io pode ser

associado a vrios atributos' * importante /ue voc

entenda o /ue so esses atributos e como voc pode us7los em sua or

!ani#ao"

Cate$orias de atrib!to

0s atributos de um objeto de usur

io esto includos em vrias cate!orias

abran!entes" -ssas cate!orias so e1ibidas no painel de nave!ao da cai1a de

dilo!o 8ropriedades do 9suriono 4entral Administrativa do Active Directory e

incluem o se!uinte:

6 onta" Al*m das propriedades de nome do usurio $

7ome' 0nicial do segundo

nome' obrenome' 7ome completo& e dos diversos nomes de lo!on do usurio

$

Logon 987 do usurio' Logon do usurio am#ccount7ame&' voc pode


11/57

coni!ur

ar

as se!uintes propriedades adicionais:

o ;or

rio de logon" -ssa propriedade deine /uando a conta pode ser usada

par

a acessar

os computadores de dom

nio" Boc pode usar

a e1ibio de estilo

de calendrio semanal par

a deinir

o 5orrio de lo!on per

mitido e o 5or

rio de

lo!on ne!ado"

o


12/57

o #rma=ene sen+a c, criptogra&ia re!er

s"!el" -ssa poltica oer

ece suporte a

aplicativos /ue usam protocolos /ue necessitam con5ecer a sen5a do usurio

par

a ins de autenticao" 0 arma#enamento de sen5as /ue usam cripto!raia

r

evers

vel * essencialmente o mesmo /ue ar

ma#enar vers.es das sen5as com

te1to sem ormatao" 2or esse motivo' essa poltica nunca deve ser 5abilitada' a

menos /ue os re/uisitos do aplicativo se

jam maiores /ue a necessidade de

pr

ote!er as inorma.es de sen5a" -ssa poltica * necessria ao usar

a

autenticao 4OA2 atrav*s de acesso remoto ou o 8AS $

Ser

vio de Autenticao

da 8nternet&" -la tamb*m * necessria ao usar a autenticao Di!est no 88S

$

Servios de 8norma.es da 8nternet&"

o # conta > con&i!el para delegao" Boc pode usar

essa propr

iedade para

per

mitir

/ue uma conta de servio r

epresente um usurio padro par

a acessarr

ecursos de r

ede em nome de um usur

io"

6 (r

gani=ao" 8sso inclui propriedades do usurio' como o 7ome para e6ibio' o

?scritrio' o ?ndereo de email' vrios nFmeros de teleone de contato' estrutura

administrativa' depar

tamento e nomes de empresa' endereos etc"

6 @embr

o de" -ssa seo permite /ue voc deina as associa.es de !r

upo do

usurio"

6 8er&il" -ssa seo permite /ue voc coni!ure um local para os dados pessoais do

usurio e deina um local para salvar o per

il de rea de trabal5o do usurio

/uando ele i#er lo!o"

6 ?6tens'es" -ssa seo e1p.e vr

ias propr

iedades de usurio adicionais' cu

ja

maior

ia nor

malmente no r

e/uer

coni!urao manual"

Criao de per#is de !s!"rio


13/57

Quando os usurios a#em lo!o' as coni!ura.es de sua rea de trabal5o e de seus

aplicativos so salvos em uma subpasta criada na pasta 4:R


14/57

(bser!ao: 4omo prtica recomendada' use uma subpasta da pasta basedo usur

io para o camin5o de per

il do usurio"

6 cr

ipt de logon" -sse script * o nome de um ar/uivo em lotes contendo

comandos e1ecutados /uando o usurio i#er lo!on" ormalmente' voc usa essescomandos para criar mapeamentos de unidade" -m ve# de usar um ar/uivo em

lotes de script de lo!on' os administr

adores nor

malmente implementam os scr

ipts

de lo!on usando G20s $

0bjetos de 2oltica de Grupo& ou as preerncias da

2ol

tica de Grupo" Se voc usar um script de lo!on' esse valor dever

estar apenas

no ormato de um nome de ar/uivo $com e1tenso&" 0s scr

ipts devem ser

ar

ma#enados na pasta 4:R+indo,sR

SSB0RdomainRscr

ipts de todos os

contr

oladores de domnio"

6 8asta base" -sse valor permite criar

uma r

ea de arma#enamento pessoal na /ual

os usurios podem salvar seus documentos pessoais" B

oc pode especiicar um

camin5o local ou' mais normalmente' um camin5o


15/57

6 Trea de 9

rabal5o

6 Menu 8niciar

6 Documento

6 MFsica

6 Bdeos

6 >avoritos

6 4ontatos

6 inCs

6 2es/uisas

6 Ho!os Salvos

Boc pode usar esses subns par

a deinir

todos os aspectos de peril de r

ea de

trabal5o de um usur

io e as coni!ura.es de aplicativo" 2ara um determinado

subn' como Documentos' voc pode escol5er

entre o redirecionamento Psico e

Avanado" o redirecionamento Psico' todos os usurios aetados pelo G20 tm a

pasta Documentos redirecionada para uma subpasta nomeada individual ora de

uma pasta rai# comum deinida por um nome


16/57

)*cl!ir !ma conta de !s!"rio

6 ocali#e -d Meado,s na unidade or!ani#acional Mana!ers e e1clua a conta"

Criar !ma nova conta de !s!"rio

6 4rie uma nova conta de usur

io denominada ?d @eado*

s" Berii/ue se a conta oi

criada com uma sen5a or

te"

+over a conta de !s!"rio

6 Mova a conta -d Meado,s par

a a unidade or!ani#acional 89

"

Lio 2: Gerenciamento de contas de grupo

-mbora possa ser prtico atribuir per

miss.es e recursos a contas de usurio

individuais em r

edes pe/uenas' isso ica impraticvel e ineiciente em !r

andes redes

cor

porativas" 2or e1emplo' se vrios usurios precisarem do mesmo n

vel de acesso a

uma pasta' ser

mais eiciente cr

iar

um !rupo contendo as contas de usurio

necessrias e' depois' atr

ibuir

o !rupo (s permiss.es e1i!idas" 4omo bene

cio

adicional' isso permite /ue voc altere as per

miss.es de ar/uivo de um usurio'

adicionando7os ou removendo7os de !r

upos' em ve# de editar

as permiss.es dear

/uivo diretamente"

Antes de implementar

!rupos em sua or!ani#ao' voc deve entender

o escopo dos

vr

ios tipos de !rupo do +indo,s Server e como us7los mel5or par

a !er

enciar o

acesso aos recur

sos ou atribuir dir

eitos e capacidades de !er

enciamento"

Objetivos da lio

Ao concluir

esta lio' voc ser capa# de:


17/57

6 Descrever os tipos de !rupo"

6 Descrever os escopos do !r

upo"

6 -1plicar como implementar o !erenciamento do !rupo"

6 Descrever os !rupos padro"

6 Descrever as identidades especiais"

6 Gerenciar !rupos no +indo,s Ser

ver"

,ipos de $r!po

-m uma rede cor

porativa baseada no +indo,s Server

?@?' 5 dois tipos de !rupo:

se!ur

ana e distribuio" Ao criar um !r

upo' escol5a o tipo e o escopo de !rupo"

0s !r

upos de distribuio' /ue no so 5abilitados para se!urana' so usados

principalmente por

aplicativos de email" 8sso si!niica /ue eles no tm S8Ds'portanto' eles no podem obter

permisso para recursos" 0 envio de uma

mensa!em a um !r

upo de distribuio a# com /ue ela se

ja enviada a todos os

membros do !rupo"

0s !r

upos de se!urana so entidades de se!urana com S8Ds" 2ortanto' voc pode

usar esses !rupos em entradas de per

misso de A4s $listas de controle de acesso&

para controlar a se!urana do acesso aos r

ecursos" Boc tamb*m pode usar

!ruposde se!ur

ana como meio de distribuio par

a aplicativos de email" Se voc dese

jar

usar um !rupo para !erenciar

a se!urana' ele deve ser um !rupo de se!ur

ana"


18/57

(bser!ao: 0 tipo de !r

upo padro * se!urana"

4omo voc pode usar !rupos de se!urana para acesso a recursos e distr

ibuio de

emails' vrias or!ani#a.es usam apenas !r

upos de se!urana" 2or

*m'

recomendamos /ue se um !rupo or

usado apenas par

a distribuio de emails' voc

cr

ie o !r

upo como um !rupo de distribuio" 4aso contrrio' o !rupo r

eceber um

S8D' /ue ser

adicionado ao toCen de acesso de se!urana do usur

io' podendo

resultar em um aumento de taman5o desnecessrio do toCen de se!urana"

(bser!ao: 4onsidere /ue' /uando voc adicionar

um usur

io a um !rupo

de se!ur

ana' o toCen de acesso do usurio' /ue autentica os pr

ocessos dousur

io' somente ser

atuali#ado /uando o usurio entrar no servio" 2ortanto'se o usurio j estiver conectado'

ele dever a#er lo!o e lo!on novamentepara atuali#ar seu toCen de acesso com /ual/uer associao de !rupoalter

ada"

(bser!ao: 0 bene

cio da utili#ao de !rupos de distribuio ica maisevidente nas implanta.es do -1c5an!e Server

de !rande escala'principalmente onde 5 uma necessidade de anin5ar esses !rupos de

distribuio pela empresa"

)scopos de $r!po

0 +indo,s Server ?@? d suporte ao escopo de !rupo" 0 escopo de um !r

upo

determina o intervalo de r

ecursos ou permiss.es de um !rupo e a associao de


19/57

!rupo"

O /uatr

o escopos de !rupo:

6 ocal" -sse tipo de !rupo * destinado a servidores ou esta.es de trabal5o

autUnomas' em servidores membro de dom

nio /ue no so contr

oladores de

domnio ou em esta.es de trabal5o membro de domnio" 0s !r

upos locais so

verdadeiramente locais' ou se

ja' eles s esto disponveis no computador em /ue

e1istem" As caracter

sticas impor

tantes de um !r

upo local so:

o B

oc s pode atribuir r

ecursos e per

miss.es em r

ecursos locais' ou se

ja' no

computador local"

o 0s membros podem ser de /ual/uer local da loresta AD DS e podem incluir:

V Qual/uer

entidade de se!urana do dom

nio: usur

ios' computador

es'

!r

upos !lobais ou !r

upos locais de domnio"

V


20/57

V


21/57

A adio de !rupos a outros !rupos * um processo denominado aninhamento" 0

anin5amento cria uma 5ier

ar

/uia de !r

upos /ue do suporte (s suas un.es

cor

porativas e re!ras de !erenciamento"


22/57

* membro dos !r

upos de dom

nios locais em vrios dom

nios" Boc talve# se lembre

do anin5amento como 8G


23/57

Y" Atribua a permisso /ue implementa o nvel de acesso necessr

io" esse caso'

conceda a per

misso 2ermitir er

ao !rupo de domnios locais"

-ssa estrat*!ia resulta em dois Fnicos pontos de !erenciamento' redu#indo a

sobrecar!a de !erenciamento"


24/57

-sse !r

upo * membro do !rupo Administrador

es em cada domnio da loresta' o

/ue l5e concede acesso completo ( coni!urao de todos os controladores de

domnio" -le tamb*m possui a partio de coni!ur

ao do dir

etrio e tem

contr

ole total do conte1to de nomenclatur

a de domnio em todos os dom

nios de

loresta"

6 Administradores de -s/uema $continer


25/57

podem a#er

lo!on localmente nos controlador

es de dom

nio" 2or

padro' esse

!rupo no tem membros"

6 0per

adores de PacCup $

continer interno de cada dom

nio&" 0s membros desse

!rupo podem e1ecutar opera.es de bacCup e restaurao nos contr

oladores de

domnio' a#er lo!on localmente e desli!ar os controladores de dom

nio" 2orpadro' esse !rupo no tem membros"

6 0per

adores de 8mpresso $continer

inter

no de cada dom

nio&" 0s membros desse

!rupo podem manter a ilas de impr

esso nos controladores de dom

nio" -les

tamb*m podem a#er lo!on localmente e desli!ar os controladores de domnio"

Boc precisa !er

enciar cuidadosamente os !rupos padr

o /ue ornecem privil*!ios

administr

ativos' pois eles !er

almente tm privil*!ios mais amplos do /ue necessr

io

para a maior

ia dos ambientes dele!ados e por

/ue eles aplicam proteo com

re/uncia aos seus membros"

0 !rupo 0perador

es de 4onta * um bom e1emplo disso" Se voc e1aminar os

recur

sos do !r

upo 0peradores de 4onta na lista anterior' poder ver

iicar

/ue osmembros desse !rupo tm direitos muito amplos" -les podem inclusive a#er lo!on

localmente em um controlador

de dom

nio" -m redes muito pe/uenas' esses dir

eitos

provavelmente seriam apropriados para um ou dois indiv

duos /ue normalmente

seriam os administr

adores de domnio de /ual/uer orma" -m !r

andes empr

esas' os

direitos e as permiss.es concedidas ao !rupo 0perador

es de 4onta !er

almente so

bem mais amplos"

Al*m disso' o !r

upo 0peradores de 4onta *' assim como os outros !r

upos

administr

ativos' um !rupo prote!ido"

0s !r

upos prote!idos so deinidos pelo sistema operacional e no podem ser

despr

ote!idos" 0s membr

os de um !rupo prote!ido tornam7se prote!idos por

associao" 0 resultado da proteo * /ue as per

miss.es $

A4s& dos membros somodiicadas' para /ue eles no 5erdem mais as permiss.es de sua unidade

or!ani#acional e recebam uma cpia de uma A4 bastante restritiva" 2or

e1emplo' se

voc adicionar He >ord ao !r

upo 0perador

es de 4onta' a conta dele icar

prote!ida


26/57

e o suporte t*cnico' /ue pode redeinir todas as outras sen5as de usurio na unidade

or!ani#acional >uncionrios' no poder

redeinir

a sen5a de He >ord"

9

ente evitar adicionar usurios aos !r

upos /ue no tm membros por

padro

$

0per

adores de 4onta' 0per

adores de PacCup' 0per

s de servidores e 0perador

es de

8mpresso&" -m ve# disso' crie !rupos per

sonali#ados aos /uais voc atr

ibuir

permiss.es e dir

eitos de usurio para atender aos seus r

e/uisitos administr

ativos e de

ne!cios"

2or e1emplo' se Scott Mitc5ell puder

e1ecutar

opera.es de bacCup em um

controlador de dom

nio' mas no conse!uir

e1ecutar opera.es de restaur

ao /ue

possam levar

a uma r

everso ou corrupo do banco de dados e no conse!uirdesli!ar um controlador de dom

nio' no o colo/ue no !r

upo 0perador

es de

PacCup" -m ve# disso' crie um !rupo e atr

ibua a ele somente o direito de usurio

>a#er PacCup de Ar/uivos e Diretrios e' em se!uida' adicione Scott como um

membro"

dentidades especiais

0 +indo,s e o AD DS tamb*m do supor

te a identidades especiais' /ue so !r

upos

para os /uais a associao * contr

olada pelo sistema operacional" Boc no pode

e1ibir os !rupos em /ual/uer lista $

no snap7in


27/57

convenincia&' so descr

itas na lista a se!uir

:

6 o!on AnUnimo" -ssa identidade representa as cone1.es com um computador

e

seus r

ecursos /ue so eitas sem /ue se

jam ornecidos nome de usurio e sen5a"

Antes do +indo,s Ser

ver ?@@3' esse !r

upo era membro do !rupo 9

odos" A partir

do +indo,s Ser

ver ?@@3' esse !r

upo no * mais membr

o padro do !rupo

9

odos"

6


28/57

Demonstrao( 'erenciamento de $r!pos

-sta demonstrao mostra a voc como:

6 4riar

um novo !rupo"

6 Adicionar membros ao !rupo"

6 Adicionar um usurio ao !r

upo"

6 Alterar o tipo e escopo do !r

upo"

6 Modiicar a pr

opriedade Gerenciado pordo !rupo"

)tapas da demonstrao Criar !m novo $r!po

" -m 07D4' abr

a o entral #dministrati!a do #cti!e Director

$"

?" 4rie um novo !rupo de se!ur

ana !lobal na unidade or

!ani#acional 89

denominado 0A @anagers"

Adicionar membros ao $r!po

6 Adicione vrios usurios ao novo !r

upo"

Adicionar !m !s!"rio ao $r!po

6 Adicione ?d@eado*sao !rupo 0A @anagers"

Alterar o tipo e o escopo do $r!po

6 as propriedades do !rupo 0A @anagers' alter

e o escopo do !rupo par

a

9ni!er

sale o tipo de !rupo par

a Distribuio"


29/57

+odi#

icar a propriedade 'erenciado por do $r!po

6 Adicione ?d @eado*s( lista Ger

enciado por e' em se!uida' conceda a ele a

per

misso ( gerente pode atuali=ar a lista de membros"

Lio 3: Gerenciamento de contas de computador


30/57

O /!e 0 o cont1iner Comp!tadores2

Antes de voc criar

um objeto de computador no servio de diretrio' * necessrio/ue ten5a um local para coloc7lo"

Quando voc criar

um dom

nio' o continer 4omputadores ser criado por

padro

$

4Z4omputers&" -sse continer

no * uma unidade or

!ani#acionalW ele * um ob

jeto

da classe 4ontiner"

O dierenas sutis' mas importantes entre um continer

e uma unidade

or!ani#acional" Boc no pode criar uma unidade or!ani#acional dentro de um

continer' por

tanto' no pode subdividir a unidade or!ani#acional 4omputador

es"

Boc tamb*m no pode vincular um G20 a um continer" 2ortanto' recomendamos

/ue voc crie unidades or!ani#acionais per

sonali#adas para 5ospedar

os objetos de

computador' em ve# de usar o continer 4omputadores"

)speci#icao do local das contas de comp!tador


31/57

A maioria das or!ani#a.es cria' no m

nimo' duas unidades or!ani#acionais para os

objetos de computador: uma par

a os ser

vidores e outr

a par

a 5ospedar

as contas dos

computadores cliente' como reas de tr

abal5o' laptops e outros sistemas de usurio"

-ssas duas unidades or!ani#acionais so adicionais ( unidade or

!ani#acional

4ontr

oladores de Domnio criada por padr

o durante a instalao do AD DS"

0s ob

jetos de computador so criados nas duas unidades or

!ani#acionais" o 5

nen5uma dier

ena t*cnica entre um objeto de computador na unidade

or!ani#acional de um cliente e um objeto de computador na unidade or

!ani#acional

de um ser

vidor

ou de um controlador

de domnioW os objetos de computador so

objetos de computador" 2or

*m' unidades or!ani#acionais separadas !er

almente so

cr

iadas para ornecer

escopos e1clusivos de !erenciamento' para /ue voc possadele!ar

o !erenciamento dos ob

jetos de cliente a uma e/uipe e o !erenciamento dos

objetos de servidor ( outra"

Seu modelo administr

ativo poster

iormente talve# precise dividir

as unidades

or!ani#acionais de cliente e de ser

vidor

" B

r

ias or!ani#a.es criam subunidades

or!ani#acionais sob a unidade or!ani#acional de servidor para coletar e !er

enciar

tipos espec

icos de servidor

es" 2or e1emplo' voc pode criar uma unidadeor!ani#acional par

a servidores de ar

/uivo e impresso e uma unidade or

!ani#acional

para servidores de banco de dados" Desse modo' voc poder dele!ar permiss.es

para !erenciar os objetos de computador

na unidade or

!ani#acional apropriada (

e/uipe de administrador

es de cada tipo de servidor

" Da mesma orma' as

or!ani#a.es distribu

das !eo!r

aicamente com e/uipes de suporte de rea de

trabal5o locais !eralmente dividem uma unidade or!ani#acional pai par

a os clientes

em subunidades or!ani#acionais par

a cada site" -ssa aborda!em per

mite /ue a

e/uipe de supor

te de cada site crie objetos de computador

no site par

a

computadores cliente e in!resse os computadores no dom

nio usando esses objetos

de computador"

8ndependentemente desses e1emplos espec

icos' o mais impor

tante * /ue a

estr

utura de sua unidade or!ani#acional relita seu modelo administrativo' de modo/ue as suas unidades or!ani#acionais possam ornecer pontos de !erenciamento

Fnicos para a dele!ao da administr

ao"


32/57

Al*m disso' ao usar

unidades or

!ani#acionais separadas' voc poder cr

iar

vrias

coni!ura.es de lin5a de base usando G20s dierentes /ue so vinculados (s

unidades or!ani#acionais de cliente e de servidor" 4om a 2oltica de Grupo' voc

pode especiicar a coni!urao para cole.es de computadores' vinculando G20s

/ue contm instru.es de coni!urao a unidades or!ani#acionais" ; comum as

or!ani#a.es separarem os clientes em unidades or!ani#acionais de rea de trabal5o

e de laptop" Boc pode vincular os G20s /ue especiicam a coni!urao da rea de

trabal5o ou do laptop (s unidades or!ani#acionais apropriadas"

(bser!ao: Boc pode usar

a er

ramenta de lin5a de comando%edircmp-e6epara reconi!urar o continer de computador padro" 2or

e1emplo' se dese

jar alter

ar

o continer

de computador padr

o par

a umaunidade or!ani#acional denominada mycomputers' use esta sinta1e:redircmp ouZmycomputers'D4Zcontoso'dcZcom

Controle de permiss3es para criar contas de comp!tador

2ar

a in!r

essar

um computador

em um dom

nio do Active Directory' /uatr

o

condi.es devem ser satiseitas:

6


33/57

6 B

oc no deve ter e1cedido o nFmer

o m1imo de contas de computador /ue *

possvel adicionar

ao domnio" 2or padr

o' os usurios somente podem adicionar'

no m1imo' de# computador

es ao dom

nioW esse valor * con5ecido como a cota de

conta da mquinae * controlado pelo valor de MS7DS7Mac5ineQuota" B

oc pode

modiicar esse valor usando o snap7in do ADS8-dit"

(bser!ao: Boc no precisa criar um ob

jeto de computador

no serviode diretrio' mas isso * recomendvel" Brios administrador

es in!ressamcomputadores em um dom

nio sem primeiro criar um ob

jeto decomputador" 2or

*m' /uando voc a# isso' o +indo,s Server

tentain!ressar o dom

nio em um objeto e1istente" Quando o +indo,s Ser

ver

no locali#a o ob

jeto' ele reali#a ailbacC e cria um objeto de computador nocontiner padr

o 4omputador"

0 processo de cr

iao antecipada de uma conta de computador

* denominadopr-

conf

igur

ao de um comput

ador" O duas vanta!ens principais de pr*7coni!ur

ar

um

computador:

6 A conta * colocada na unidade or

!ani#acional correta e' portanto' * dele!ada de

acordo com a pol

tica de se!ur

ana deinida pela A4 da unidade or

!ani#acional"

6 0 computador estar

dentro do escopo dos G20s vinculados ( unidade

or!ani#acional' antes de o computador

in!r

essar

no dom

nio"

Aps receber

permisso para criar

objetos de computador' voc poder a#er

isso

clicando com o boto dir

eito do mouse na unidade or!ani#acional e' no menu 7o!o'

clicando em omputador" -m se!uida' insira o nome do computador

' se!uindo a

conveno de nomenclatura de sua empresa' e selecione o usurio ou o !r

upo /ue

ter permisso para in!ressar o computador no domnio com essa conta" 0 dois

nomes computador' ome de 4omputador e ome de 4omputador $

anterior ao+indo,s ?@@@&' devem ser

idnticos" Muito raramente 5 uma justiicativa para

coni!ur7los separadamente"


34/57

Dele$ao de permiss3es

2or padr

o' os !rupos Administradores de -mpresa' Admins" do Dom

nio'

Administradores e 0per

adores de 4onta tm permisso par

a criar ob

jetos de

computador em /ual/uer nova unidade or

!ani#acional" 2or*m' conorme discutido

anter

iormente' recomendamos /ue voc restrin

ja a associao ri!or

osamente nos trsprimeiros !rupos e no adicione Administr

adores ao !r

upo 0perador

es de 4onta"

esse caso' dele!ue a per

misso para cr

iar

objetos de computador $

denominada

4riar 4omputador ob

jetos& aos administr

adores ou ( e/uipe de supor

te apr

opriada"

-ssa per

misso' /ue * atr

ibu

da ao !rupo de uma unidade or!ani#acional' permite

/ue os membros do !r

upo criem objetos de computador nessa unidade

or!ani#acional" 2or

e1emplo' voc pode permitir /ue sua e/uipe de supor

te de r

eade trabal5o cr

ie ob

jetos de computador na unidade or!ani#acional de clientes e /ue

seus administradores de servidor de ar/uivos criem ob

jetos de computador na

unidade or!ani#acional de servidores de ar

/uivos" 2ara dele!ar per

miss.es par

a criar

contas de computador' voc pode usar o Assistente para Dele!ao de 4ontr

ole a

im de escol5er uma tarea personali#ada para dele!ar"

Ao dele!ar permiss.es para !erenciar

contas de computador

' voc pode conceder

permiss.es adicionais al*m das necessrias para criar

contas de computador" 2or

e1emplo' voc pode decidir per

mitir /ue um administrador dele!ado !er

encie as

propr

iedades das contas de computador

e1istentes' e1cluir

a conta de computador

ou mover a conta de computador

"

(bser!ao: Se dese

jar permitir /ue um administrador

dele!ado movacontas de computador' observe /ue ele re/uer a permisso apr

opriada tantono continer

do AD DS $

onde o computador j e1iste& /uanto no continer dedestino $

para o /ual mover o computador

&" -speciicamente' ele deve ter

aspermiss.es -1cluir

4omputador no continer de ori!em e as per

miss.es 4riar4omputador no continer de destino"

Contas de comp!tador e canais de se$!rana


35/57

9

odo computador membro de um dom

nio do AD DS mant*m uma conta de

computador com um nome de usur

io $

SamAccountame& e uma sen5a' da mesma

orma /ue uma conta de usur

io" 0 computador arma#ena sua sen5a na orma de

um se!r

edo SA $autoridade de se!ur

ana local& e altera a sen5a no dom

nio a cada3@ dias apro1imadamente" 0 servio eto!on usa as credenciais par

a a#er lo!on no

dom

nio' /ue estabelece o canal de se!urana com um controlador de dom

nio"

As contas de computador e as rela.es se!ur

as entre computadores e seu domnio

so r

obustas" o entanto' al!uns cenr

ios podem ocorrer em /ue um computador

no consi!a mais se autenticar com o dom

nio" Al!uns e1emplos desses cenr

ios so

apresentados a se!uir:

6 Aps reinstalar o sistema oper

acional em uma estao de trabal5o' a estao de

trabal5o no conse!ue se autenticar

' embora o t*cnico ten5a usado o mesmo

nome de computador da instalao anterior" 4omo a nova instalao !erou um

novo S8D e o novo computador no sabe a sen5a ori!inal da conta de

computador no domnio' ela no pertence ao domnio e no pode se autenticar nodomnio"

6


36/57

sen5a" -mbora no ten5a es/uecido a sen5a' ele simplesmente discor

da do

domnio em relao ( sen5a real" Quando isso ocorrer' o computador

no poder

ser autenticado' e o canal de se!urana no poder ser criado"

4ede#inio do canal de se$!rana

0casionalmente' a relao de se!ur

ana entre uma conta de computador

e seu

dom

nio pode ser interrompida' o /ue r

esulta em vrios sintomas e er

r

os" 0s sinais

mais comuns de problemas com a conta de computador so:

6 As mensa!ens no lo!on indicam /ue um controlador de dom

nio no pode ser

contatado' /ue a conta de computador pode estar ausente' /ue a sen5a na conta

de computador est incorr

eta ou /ue a r

elao de coniana $

outro modo de

denominar

a relao de segur

ana& entre o computador e o dom

nio oi perdida"

6 As mensa!ens de err

o ou os eventos no lo! de eventos indicam problemas

semel5antes ou su!erem al5as de sen5as' rela.es de coniana' canais dese!urana ou rela.es com o dom

nio ou com um contr

olador de dom

nio" al5a na autenticao\ /ue

apar

ece no lo! de eventos do computador

"

6


37/57

trabal5o e' em se!uida' rein!ressando7o no dom

nio" 2or*m' essa no * uma prtica

recomendada' pois tem a possibilidade de e1cluir a conta de computador

completamente" A e1cluso da conta de computador

remove o S8D do computador

e' pr

incipalmente' suas associa.es de !r

upo" Quando voc rein!ressa7o no dom

nio

e1ecutando esse procedimento' embor

a o computador ten5a o mesmo nome' a

conta tem um novo S8D e todas as associa.es de !rupo do objeto de computador

anter

ior devem ser recriadas par

a incluir

o novo S8D" 2or

tanto' se a relao de

coniana com o dom

nio tiver sido perdida' no remova um computador

do

dom

nio e depois rein!resse7o" -m ve# disso' r

edeina o canal de se!urana" 8sso

!arantir /ue a conta de computador e1istente poder ser reutili#ada"

2ar

a r

edeinir o canal de se!urana entr

e um membro de domnio e o dom

nio' use osnap7in


38/57

2ar

a r

edeinir o canal de se!urana usando etDom"e1e' di!ite o se!uinte comando

em um prompt de comando' onde as cr

edenciais pertencem ao !rupo local

Administradores do computador:

netdom r

eset MachineNameLdomain DomainNameL


39/57

-mbora uma Fnica pessoa possa !erenciar uma rede pe/uena com al!umas contas

de usurio e de computador' ( medida /ue a rede aumentar' o volume de tr

abal5o

relacionado ao !erenciamento da rede tamb*m aumentar" -m um cer

to momento'

as e/uipes com especiali#a.es espec

icas evoluem' cada uma com responsabilidade

por al!um aspecto espec

ico do !erenciamento de rede" os ambientes do AD DS' *

prtica comum criar unidades or!ani#acionais para or!ani#ar

os objetos em r

ede em

uma estr

utura departamental ou !eo!r

ica e 5abilitar a coni!urao da dele!ao

administr

ativa" ; importante /ue voc saiba por /ue e como criar unidades

or!ani#acionais e como dele!ar tareas administrativas aos usurios nos objetos

dentro dessas unidades or

!ani#acionais"

Objetivos da lioAo concluir

esta lio' voc ser capa# de:

6 Descrever as permiss.es do AD DS"

6 Determinar as per

miss.es eetivas de AD DS de um usurio em um ob

jeto AD DS"

6 Dele!ar

o controle administr

ativo de um objeto AD DS a um usurio ou !rupo deusurios especiicado"

Permiss3es do AD DS

9

odos os objetos AD DS' como usur

ios' computadores e !rupos' podem serprote!idos usando uma lista de per

miss.es" As permiss.es em um ob

jeto so

c5amadas de A4-s $

entradas de contr

ole de acesso& e so atribu

das a usurios'


40/57

!rupos ou computadores' /ue tamb*m so con5ecidos como entidades de

se!ur

ana" As A4-s so salvas na DA4 $lista de controle de acesso discricionr

io& do

objeto' /ue a# par

te da A4 do ob

jeto" A A4 cont*m a SA4 $lista de contr

ole de

acesso do sistema& /ue inclui coni!ur

a.es de auditoria"

4ada objeto no AD DS tem sua prpr

ia A4" Se voc tiver permiss.es suicientes'

poder modiicar as per

miss.es par

a contr

olar

o n

vel de acesso em um objeto AD

DS espec

ico" A dele!ao do controle administrativo envolve a atribuio de

permiss.es /ue !erenciem o acesso a objetos e propriedades no AD DS" Da mesma

maneir

a /ue voc pode permitir

/ue um !rupo altere ar/uivos em uma pasta' voc

tamb*m pode per

mitir /ue um !r

upo' por e1emplo' redeina sen5as em ob

jetos de

usurio"

A DA4 de um objeto tamb*m permite /ue voc atr

ibua per

miss.es (s propriedades

espec

icas de um objeto" 2or e1emplo' voc pode per

mitir $ou ne!ar& permisso par

a

alter

ar

as op.es de teleone e email" 8sso' na verdade' no * apenas uma

propr

iedade" -la orma um conjunto de pr

opriedades /ue inclui vrias pr

opr

iedades

espec

icas" A utili#ao de conjuntos de propriedades permite /ue voc !erencie

acilmente os con

juntos de pr

opriedades mais usados com r

e/uncia" -ntr

etanto'voc tamb*m pode atribuir permiss.es mais !ranulares e permitir ou ne!ar

permisso para alterar apenas al!umas inorma.es' como o nFmer

o de teleone do

celular

ou o endereo"

A atribuio da permisso de suporte t*cnico par

a r

edeinir as sen5as de cada objeto

de usurio individual * entediante" Mesmo assim' no AD DS' no * uma prtica

recomendada atr

ibuir

permiss.es a ob

jetos individuais" -m ve# disso' voc deve

atribuir permiss.es no nvel de unidade or

!ani#acional"

As permiss.es /ue voc atribui a uma unidade or!ani#acional so 5erdadas por

todos os objetos da unidade or!ani#acional" 2or

tanto' se voc der a per

misso de

suporte t*cnico para redeinir as sen5as dos ob

jetos de usurio e ane1ar

essa

permisso ( unidade or!ani#acional /ue cont*m os usurios' todos os ob

jetos deusurio dentr

o dessa unidade or!ani#acional 5erdar

o essa per

misso" -m apenas

uma Fnica etapa' voc ter dele!ado essa tarea administrativa"


41/57

0s ob

jetos il5o 5erdam as permiss.es do continer

pai ou da unidade

or!ani#acional" -sse continer

ou essa unidade or!ani#acional 5erda suas per

miss.es

da unidade or!ani#acional do continer pai" Se or uma unidade or!ani#acional ou

um continer de primeir

o n

vel' ele 5erdar

as permiss.es do prprio dom

nio" 0

motivo de os objetos il5o 5erdarem as per

miss.es de seus pais * /ue' por padro'

cada novo ob

jeto * criado com a opo 0ncluir permiss'es +erd!eis pr

o!enientes

do pai deste objeto 5abilitada"

Permiss3es e#etivas do AD DS

As permiss.es eetivas so as permiss.es resultantes para uma entidade dese!ur

ana $

como um usur

io ou um !r

upo&' com base no eeito cumulativo de cada

A4- 5erdada e e1plcita" 2or

e1emplo' a sua capacidade de redeinir a sen5a de um

usurio pode estar vinculada ( sua associao em um !rupo com per

misso =edeinir

Sen5a em uma unidade or!ani#acional vr

ios nveis acima do objeto de usur

io" A

permisso 5erdada atribuda a um !r

upo ao /ual voc pertence resulta na permisso

eetiva 2ermitir: =edeinir Sen5a" Suas permiss.es eetivas podem ser complicadas

/uando voc considerar as permiss.es 2ermitir e e!ar' as A4-s e1pl

citas e 5erdadase o ato de voc poder pertencer a vr

ios !r

upos' cada um dos /uais podendo obter

permiss.es dierentes"

As permiss.es' independentemente de serem atribudas ( sua conta de usurio ou a

um !rupo ao /ual voc pertence' so e/uivalentes" 8sso si!niica /ue uma A4- aplica7

se basicamente a voc' o usur

io" 4omo pr

tica recomendada' !er

encie as

permiss.es atribuindo7as a !rupos' mas tamb*m * possvel atr

ibuir

A4-s a usurios

ou computador

es individuais"


42/57

atribu

da a um !rupo ao /ual voc per

tence"

As permiss.es 2er

mitir' /ue permitem acesso' so cumulativas" Quando voc

pertencer

a vrios !rupos' e /uando esses !rupos tiver

em obtido per

miss.es /ue

permitam uma variedade de tar

eas' voc poder e1ecutar

todas as tareas atribu

das

a todos esses !r

upos e as tareas atr

ibu

das diretamente ( sua conta de usur

io"

As permiss.es e!ar' /ue ne!am acesso' substituem as per

miss.es 2er

mitir

e/uivalentes" Se voc estiver em um !rupo com per

misso para redeinir

sen5as e

tamb*m estiver em outro !rupo cu

ja permisso par

a r

edeinir sen5as ten5a sido

ne!ada' a permisso e!ar l5e impedir

de redeinir

sen5as"

(bser!ao:


43/57

Demonstrao( Dele$ao do controle administrativo

-sta demonstrao mostra a voc como:

6 Dele!ar

uma tarea padro"

6 Dele!ar

uma tarea personali#ada"

6 -1ibir permiss.es do AD DS resultantes dessas dele!a.es"

)tapas da demonstrao Dele$ar !ma tare#a padro

" Abra 9surios e omputadores do #cti!e Director$"

?"


44/57

Directory"

?" -1iba as 8ropriedadesda unidade or

!ani#acional 89"

3"


45/57

6 4riar

e coni!ur

ar

contas de usur

io no AD DS"

6 Gerenciar objetos de computador no AD DS"

Con#i$!rao do laboratrio

9

empo previsto: _@ minutos

M/uinas virtuais ?YY@P707D4 ?YY@P7074

ome de

usurio ADA9


46/57

Cenr

io

A A" Datum dele!a o !erenciamento de cada ilial a um !rupo espec

ico" 8sso permite

/ue um uncionr

io /ue trabal5a no local se

ja coni!urado como um administrador

/uando necessrio" 4ada ilial tem um !rupo de administradores de ilial capa# de

e1ecutar

administrao completa dentro da unidade or!ani#acional >ilial" 9

amb*m 5

um !rupo de suporte t*cnico de ilial capa# de !erenciar

os usurios da unidade

or!ani#acional >ilial' mas no outros ob

jetos" Boc precisa criar esses !rupos para a

nova ilial e dele!ar permiss.es aos !rupos"

As principais tareas deste e1erc

cio so:

" Dele!ar

a administrao para Administradores de >ilial

?" Dele!ar

um administr

ador de usur

io para o Suporte 9

*cnico da >ilial

3" Adicionar um membro a Administr

adores da >ilial

Y" Adicionar um membro ao !rupo Suporte 9

*cnico da >ilial

,are#

a 6( Dele$ar a administrao para Administradores de Filial

" -m 07D4' abr

a 9surios e omputadores do #cti!e Director

$e cr

ie no

domnio #datum-comuma nova unidade or

!ani#acional denominada


47/57

o De!elopment

Eart Duncan

o @anagers

?d @eado*

s

o @ar.eting

onnie Vrettos

o %esearc+

Earbara Hig+etti

o ales

#rlene ;u&&

" Mova o computador L(7CL1par

a a unidade or!ani#acional


48/57

,are#

a 7( Dele$ar !m administrador de !s!"rio para o S!porte ,

0cnico da

Filial

" -m 07D4' em


49/57

,are#

a 9( Adicionar !m membro ao $r!po S!porte ,0cnico da Filial

" -m 07D4' adicione Eart Duncanao !rupo !lobal uporte A>cnico daec5e


50/57

@" -ntr

e em 07D4 como #D#A9@

#dministradorcom a sen5a 8aFF*rd"

%esultados: Depois de concluir este e1er

c

cio' voc deve ter

criado uma unidadeor!ani#acional com 1ito e dele!ado a administr

ao dela ao !rupo apr

opriado"

)*erc&

cio 7( Criao e con#

i$!rao de contas de !s!"rio no AD DS

Cenr

io

Boc r

ecebeu uma lista de novos usur

ios para a ilial e precisa comear a criar

contas

de usurio para eles"

As principais tareas deste e1erc

cio so:

" 4riar

um modelo de usurio para a ilial

?" Deinir as coni!ura.es de modelo

3" 4riar

um novo usur

io para a ilial' com base no modelo

Y" -ntr

ar

como um usur

io para testar

as coni!ura.es de conta

,are#

a 6( Criar !m modelo de !s!"rio para a #ilial

" -m 07D4' crie uma pasta denominada :

branc+1Cuserdata' e compartil5e7

a"

?" Modii/ue as permiss.es de pasta compartil5ada' par

a /ue o !rupo Aodos

ten5a as permiss.es 8ermitirontr

ole Aotal"

3" o Ger

enciador de Servidor

' abr

a 9surios e omputadores do #cti!eDirector$e crie um novo usur

io com as se!uintes propriedades na unidade

or!ani#acional


51/57

o ome completo: IEranc+Itemplate

o ome de lo!on do usur

io: I

Eranc+Itemplate

o Sen5a: 8aFF*

rd

o onta desati!ada

,are#

a 7( De#inir as con#i$!ra3es de modelo

6 -m 07D4' modii/ue as se!uintes pr

opriedades da contaIEranc+Itemplate:

o 4idade: loug+

o Grupo: 9surios da


52/57

o Grupo: 9surios da


53/57

,are#

a 6( 4ede#inir !ma conta de comp!tador

" -m 07D4' entr

e como #D#A9@

;oll$com a sen5a 8aFF*

r

d"

?" Abra 9surios e omputadores do #cti!e Director$"

3" 4onirme suas credenciais na cai1

a de dilo!o ontrole de onta de 9surio"

Y" ave!ue at*


54/57

o ome de usur

io: administrador

o Sen5a: 8aFF*

rd

o Domnio: #D#A9@

o Dese

ja 5abilitar uma conta de usur

io de domnio nesse computador

: 7o

_" Quando solicitado' r

einicie o computador"

" -ntr

e como #D#A9@

?dcom a sen5a 8aFF*

rd" Boc oi bem7sucedido' pois

o computador oi rein!ressado com 1ito"

%esultados: Depois de concluir este e1er

c

cio' voc ter redeinido uma relao deconiana com 1ito"

Para se preparar para o pr*imo md!lo

Quando tiver conclu

do o laboratr

io' r

etorne as m/uinas virtuais para o estadoinicial" 2ara a#er isso' e1ecute estas etapas:

" o computador 5ost' inicie o Ger

enciador ;$perCV"

?" a lista @5uinas Virtuais' cli/ue com o boto dir

eito do mouse em 2441EC

L(7CL1e cli/ue em %e!erter"3" a cai1a de dilo!o %e!erter @5uina Virtual' cli/ue em %e!erter"

Y" =epita as etapas ? e 3 para ?YY@P707D4"

'e#

iso e in(

orma)es complementares do mdulo

Per$!ntas de reviso


55/57

8ergunta:


56/57

Active Dire

ctory

Mdulo Active Directory para

+indo,s 2o,erS5ell

Gerenciar !rupos 8nstalado como recurso do

+indo,s

erramentas Administrativas

D

join"e1e Associao o

line de domnio in5a de comando

=edircmp"e1e Alterar o cont

iner de

computador padro

in5a de comando

DSA4S -1ibir e mo

di

icar as permiss.es

do AD DS

in5a de comando

Pr"tica recomendada P

r

t

icas r

ecomend

ad

as par

a ger

enci

ament

o

d

as cont

as de usur

io

6 o dei1e os usur

ios compar

til5arem contas de usurio" Sempre crie uma conta

de usurio para cada indivduo' at* mesmo se essa pessoa no per

manecer muito

tempo na sua or

!ani#ao"

6 8nstr

ua os usur

ios sobre a impor

t)ncia da se!ur

ana da sen5a"

6 4er

tii/ue7se de escol5er uma estrat*!ia de nomenclatur

a par

a as contas de

usurio /ue l5e permita identiicar o usurio ao /ual a conta est relacionada"

4er

tii/ue7se tamb*m de /ue a sua estrat*!ia de nomenclatura utili#e nomes

e1clusivos dentr

o do seu dom

nio"

P

r

t

icas r

ecomend

ad

as par

a g

er

enciament

o d

e gr

upos

6 Ao !erenciar o acesso aos recur

sos' tente usar o !rupo de domnio local e os

!rupos de un.es"

6 Somente use !rupos universais /uando necessr

io' pois eles sobr

ecar

re!am otre!o de replicao"

6


57/57

lotes nos !rupos"

6 -vite adicionar usurios a !r

upos inter

nos e padr

o"

P

r

t

icas r

ecomend

ad

as r

elacionad

as ao ger

enciament

o d

as cont

ad

e comput

ad

or

6 Sempre provisione uma conta de computador antes de in!ressar computadores

em um domnio e' em se!uida' colo/ue7a na unidade or!ani#acional apr

opriada"

6 =edir

ecione o continer

de computador

padro para outro local"

6 =edeina a conta de computador

' em ve# de separ7la e rein!ress7la"

6 8nte!re a uncionalidade Associao 0line de Dom

nio (s instala.es autUnomas"

módulo 3 gerenciamento de objetos dos serviços de domínio do active directory.pdf

Documents