Um grupo é um conjunto de contas de usuário e computador, contatos e outros grupos que podem ser gerenciados como uma única unidade. Os usuários e os computadores que pertencem a um determinado grupo são denominados membros do grupo.
Os grupos em Serviços de Domínio Active Directory (AD DS) são objetos de diretório que residem em um domínio e em objetos de contêiner de unidade organizacional (OU). O AD DS fornece um conjunto de grupos padrão na instalação. Também oferece uma opção para a criação de grupos.
Use os grupos no AD DS para:
-
Simplificar a administração atribuindo permissões em um recurso compartilhado a um grupo, em vez de a usuários individuais. A atribuição de permissões a um grupo designa o mesmo acesso ao recurso para todos os membros desse grupo.
-
Delegar a administração atribuindo direitos de usuário uma vez a um grupo por meio da Diretiva de Grupo. Dessa forma você poderá adicionar membros a um grupo que deverão ter os mesmos direitos no grupo.
-
Criar listas de distribuição de email.
Os grupos são categorizados por seu escopo e tipo. O escopo de um grupo determina a extensão até a qual o grupo é aplicado em um domínio ou floresta. O tipo de grupo determina se você pode usar um grupo para atribuir permissões de um recurso compartilhado (para grupos de segurança) ou para listas de distribuição de email apenas (para grupos de distribuição).
Também há grupos para os quais não é possível modificar ou exibir associações. Esses grupos são referenciados como identidades especiais. Eles representam usuários diferentes em momentos distintos, dependendo das circunstâncias. Por exemplo, o grupo Todos é uma identidade especial que representa todos os usuários atuais da rede, inclusive convidados e usuários de outros domínios.
As seções a seguir fornecem informações adicionais sobre contas de grupo no AD DS.
Noções básicas sobre grupos padrão
Os grupos padrão, assim como o grupo Admins. do Domínio, são grupos de segurança criados automaticamente quando você cria um domínio Active Directory. Use esses grupos predefinidos para ajudar a controlar o acesso aos recursos compartilhados e delegar funções administrativas amplas de domínio.
Muitos grupos diferentes recebem automaticamente a um conjunto de direitos de usuário que autorizam seus membros a executar ações específicas em um domínio, como logon em um sistema local ou backup de arquivos e pastas. Por exemplo, um membro do grupo Operadores de Backup tem o direito de executar operações de backup para todos os controladores no domínio.
Quando você adiciona um usuário a um grupo, o usuário recebe o seguinte:
-
Todos os direitos de usuário atribuídos a esse grupo
-
Todas as permissões atribuídas a esse grupo em qualquer recurso compartilhado
Os grupos padrão se localizam nos contêineres Interno e Usuários. Os grupos padrão no contêiner Interno têm um escopo do grupo de Local Interno. O escopo e o tipo de grupo não podem ser alterados. O contêiner Usuários contém grupos definidos com escopo global e grupos definidos com escopo local de domínio. Você pode mover grupos localizados nesses contêineres para outros grupos ou OUs no domínio, mas não pode movê-los para outros domínios.
Para obter mais informações, consulte Grupos padrão (
Noções básicas sobre o escopo do grupo
Os grupos são caracterizados por um escopo que identifica a extensão até a qual são aplicados na árvore de domínio ou floresta. Há três escopos de grupo: domínio local, global e universal.
Noções básicas sobre grupos de domínio local
Os membros de grupos de domínio locais podem incluir outros grupos e contas do Windows Server 2003, Windows 2000, Windows NT, Windows Server 2008 e domínios do Windows Server 2008 R2. Os membros desses grupos somente podem receber permissões em um domínio.
Os grupos com escopo de domínio local o ajudam a definir e gerenciar o acesso aos recursos em um único domínio. Esses grupos podem ter estes membros:
-
Grupos com escopo global
-
Grupos com escopo universal
-
Contas
-
Outros grupos com escopo de domínio local
-
Uma combinação dos itens acima
Por exemplo, para fornecer a cinco usuários o acesso a uma determinada impressora, você pode adicionar todas as cinco contas de usuário à lista de permissões da impressora. No entanto, se mais tarde você quiser dar a esses cinco usuários acesso a uma nova impressora, novamente será necessário especificar todas as cinco contas na lista de permissões da nova impressora.
Com um pouco de planejamento, você poderá simplificar essa tarefa administrativa de rotina criando um grupo com escopo de domínio local e atribuindo permissão para o acesso à impressora. Coloque as contas dos cinco usuários em um grupo com escopo global e adicione-o ao grupo que tem o escopo de domínio local. Quando quiser atribuir acesso à nova impressora aos cinco usuários, dê ao grupo com escopo de domínio local permissão para acessar a nova impressora. Todos os membros do grupo com escopo global recebem automaticamente o acesso à nova impressora.
Noções básicas sobre grupos globais
Os membros de grupos globais podem ser outros grupos e contas somente do domínio no qual o grupo está definido. Os membros desses grupos podem receber permissões em qualquer domínio na floresta.
Use grupos com escopo global para gerenciar objetos de diretório que exigem manutenção diária, como contas de usuário e computador. Como os grupos com escopo global não são replicados fora de seu próprio domínio, é possível alterar contas em um grupo que tenham escopo global, frequentemente sem gerar tráfego de replicação para o catálogo global.
Embora as atribuições de direitos e permissões sejam válidas somente no domínio no qual foram estabelecidas, ao aplicar grupos com escopo global uniformemente nos domínios apropriados, você pode consolidar referências a contas com propósitos similares. Isso simplifica e racionaliza o gerenciamento de grupo nos domínios. Por exemplo, em uma rede com dois domínios, Europa e Estados Unidos, se houver um grupo com escopo global denominado GLAccounting no domínio Estados Unidos, também deverá haver um grupo com o mesmo nome no domínio Europa (a menos que a função de contabilização não exista no domínio Europa).
 | Importante |
|
É altamente recomendável usar grupos globais ou universais, em vez de grupos de domínio local quando você especifica permissões nos objetos de diretório de domínio replicados para o catálogo global. |
Noções básicas sobre grupos universais
Os membros de grupos universais podem ser outros grupos e contas de qualquer domínio na árvore de domínios ou floresta. Os membros desses grupos podem receber permissões em qualquer domínio na árvore ou floresta.
Use grupos com escopo universal para consolidar grupos que abrangem domínios. Para fazer isso, adicione as contas aos grupos com escopo global e aninhe esses grupos em outros que tenham escopo universal. Quando você usar essa estratégia, as alterações de associação nos grupos que tenham escopo global não afetarão os grupos com escopo universal.
Por exemplo, em uma rede com dois domínios, Europa e Estados Unidos, e um grupo com escopo global denominado GLAccounting em cada um, crie um grupo com escopo universal denominado UAccounting que tenha como seus membros os dois grupos GLAccounting, Estados Unidos\GLAccounting e Europa\GLAccounting. Você poderá usar o grupo UAccounting em qualquer lugar para a empresa. As alterações na associação dos grupos GLAccounting individuais não causarão a replicação do grupo UAccounting.
Não altere a associação de um grupo com escopo universal frequentemente. As alterações à associação desse tipo de grupo fazem com que toda a associação ao grupo seja replicada a todos os catálogos globais na floresta.
Noções básicas sobre tipos de grupo
Há dois tipos de grupo no AD DS: grupos de distribuição e grupos de segurança. Use os grupos de distribuição para criar listas de distribuição de email e os grupos de segurança para atribuir permissões a recursos compartilhados.
Somente use grupos de distribuição com aplicativos de email (como o Microsoft Exchange Server 2007) para enviar emails a grupos de usuários. Os grupos de distribuição não são habilitados para segurança, o que significa que não podem ser listados em listas de controle de acesso discricionário (DACLs). Se você precisar de um grupo para controlar o acesso aos recursos compartilhados, crie um grupo de segurança.
Quando usados com cuidado, os grupos de segurança constituem uma maneira eficiente para atribuir acesso aos recursos na rede. Ao usar grupos de segurança, você pode:
-
Atribuir direitos de usuário a grupos de segurança no AD DS.
Os direitos de usuário são atribuídos a um grupo de segurança para determinar quais membros desse grupo podem operar no escopo de um domínio (ou floresta). Os direitos de usuário são atribuídos automaticamente a alguns grupos de segurança no momento da instalação do AD DS para ajudar os administradores a definirem a função administrativa de uma pessoa no domínio. Por exemplo, um usuário adicionado ao grupo Operadores de Backup no Active Directory pode fazer backup e restaurar arquivos e diretórios em cada controlador no domínio.
-
Atribua permissões a grupos de segurança nos recursos.
As permissões são diferentes dos direitos de usuário. As permissões determinam quem pode acessar um recurso compartilhado e o nível de acesso, como Controle Total. Use grupos de segurança para gerenciar o acesso e as permissões a um recurso compartilhado. Algumas permissões definidas em objetos de domínio são atribuídas automaticamente para permitir vários níveis de acesso aos grupos de segurança padrão, como Operadores de Conta ou Admins. do Domínio.
Assim como os grupos de distribuição, os grupos de segurança podem ser usados como entidades de email. O envio de um email ao grupo envia a mensagem a todos os membros desse grupo.
Identidades especiais
Além dos grupos nos contêineres Usuários e Interno, os servidores executando o Windows Server 2008 R2, o Windows Server 2008 ou o Windows Server 2003 incluem várias identidades especiais. Por questões de conveniência, essas identidades geralmente são referenciadas como grupo. Esses grupos especiais não têm associações específicas que possam ser modificadas. No entanto, eles podem representar usuários diferentes em momentos distintos, dependendo das circunstâncias. Os seguintes grupos representam identidades especiais:
-
Logon Anônimo
Esse grupo representa usuários e serviços que acessam um computador e seus recursos por meio da rede, sem utilizar um nome de conta, senha ou nome de domínio. Em computadores executando o Windows NT e versões anteriores, o grupo Logon Anônimo é um membro padrão do grupo Todos. Em computadores executando o Windows Server 2008 R2, o Windows Server 2008 ou o Windows Server 2003, o grupo Logon Anônimo não é, por padrão, membro do grupo Todos.
-
Todos
Esse grupo representa todos os usuários de rede atuais, inclusive convidados e usuários de outros domínios. Sempre que um usuário faz logon na rede, ele é adicionado automaticamente ao grupo Todos.
-
Rede
Esse grupo representa os usuários atualmente acessando um determinado recurso pela rede, em oposição aos usuários que acessam um recurso por meio de logon local no computador em que o recurso se localiza. Sempre que um usuário acessa um determinado recurso pela rede, esse usuário é adicionado automaticamente ao grupo Rede.
-
Interativo
Esse grupo representa todos os usuários atualmente conectados a um determinado computador e que estão acessando um determinado recurso localizado nesse computador, em oposição aos usuários que acessam o recurso pela rede. Sempre que um usuário acessa um determinado recurso no computador ao qual está conectado no momento, ele é adicionado automaticamente ao grupo Interativo.
Embora as identidades especiais possam ter direitos e permissões atribuídos aos recursos, não é possível modificar ou exibir as associações. Os escopos de grupo não se aplicam às identidades especiais. Os usuários são atribuídos automaticamente a essas identidades especiais sempre que fazem logon ou acessam um determinado recurso.
Noções básicas sobre onde os grupos podem ser criados
No AD DS, os grupos são criados em domínios. Use Usuários e Computadores do Active Directory para criar grupos. Com as permissões necessárias, você pode criar grupos no domínio raiz da floresta, em qualquer domínio na floresta ou em uma OU.
Além do domínio no qual é criado, um grupo também se caracteriza por seu escopo. O escopo de um grupo determina o seguinte:
-
O domínio do qual é possível adicionar membros
-
O domínio no qual os direitos e as permissões atribuídos ao grupo são válidos
Escolha o domínio ou a OU em particular no qual criar um grupo com base na administração necessária para o grupo. Por exemplo, se o diretório tiver várias OUs, cada uma delas com um administrador diferente, talvez você queira criar grupos com escopo global nessas OUs, para que os administradores possam gerenciar associações ao grupo para os usuários em suas respectivas OUs. Se os grupos forem necessários para o controle de acesso fora da OU, aninhe-os na OU em grupos com escopo universal (ou outros grupos com escopo global) que possam ser usados em outros lugares na floresta.
Se o nível funcional do domínio for definido como nativo do Windows 2000 ou superior, o domínio contiver uma hierarquia de OUs e a administração for delegada aos administradores em cada OU, talvez seja mais eficiente aninhar grupos com escopo global. Por exemplo, se a OU1 contiver OU2 e OU3, um grupo com escopo global na OU1 poderá ter como membros grupos com escopo global na OU2 e na OU3. Na OU1, o administrador pode adicionar ou remover membros de grupo, e os administradores da OU2 e OU3 podem adicionar ou remover membros de grupos de contas de suas próprias OUs, sem ter direitos administrativos no grupo com escopo global na OU1.
 | Observação |
|
É possível mover os grupos em um domínio. No entanto, somente os grupos com escopo universal podem ser movidos de um domínio para outro. Os direitos e as permissões atribuídos a um grupo com escopo universal são perdidos quando o grupo é movido para outro domínio e novas atribuições devem ser feitas. |