Um grupo é uma colecção de contas de utilizador e computador, contactos e outros grupos, que poderá gerir como uma unidade única. Os utilizadores e computadores pertencentes a um grupo específico denominam-se membros do grupo.

Os grupos nos Serviços de Domínio do Active Directory (AD DS) são objectos de directório que residem num domínio e em objectos de contentor de unidades organizacionais (UO). O AD DS fornece um conjunto de grupos predefinidos na instalação. Fornece também uma opção de criação de grupos.

Pode utilizar grupos no AD DS para:

  • Simplificar a administração atribuindo permissões num recurso partilhado para um grupo e não a utilizadores individuais. A atribuição de permissões a um grupo atribui o mesmo acesso ao recurso a todos os membros desse grupo.

  • Delegar a administração atribuindo direitos de utilizador a um grupo através da Política de Grupo. Em seguida, pode adicionar membros ao grupo que pretende que tenha os mesmos direitos que o grupo.

  • Criar listas de distribuição de correio electrónico.

Os grupos caracterizam-se pelo âmbito e pelo tipo. O âmbito de um grupo determina o grau de aplicação do grupo num domínio ou numa floresta. O tipo de grupo determina se pode ser utilizado na atribuição de permissões a partir de um recurso partilhado (para grupos de segurança) ou só para listas de distribuição de correio electrónico (para grupos de distribuição).

Existem também grupos cujas associações não pode modificar nem ver. Estes grupos denominam-se identidades especiais. Representam utilizadores diferentes em alturas diferentes, consoante as circunstâncias. Por exemplo, o grupo Todos é uma identidade especial que representa todos os utilizadores actuais da rede, incluindo convidados e utilizadores de outros domínios.

As secções seguintes fornecem informações adicionais sobre as contas de grupo no AD DS.

Grupos predefinidos

Os grupos predefinidos, tais como o grupo Admins do Domínio, são grupos de segurança criados automaticamente quando cria um domínio do Active Directory. Pode utilizar estes grupos predefinidos para ajudar a controlar o acesso a recursos partilhados e delegar funções administrativas específicas ao nível do domínio.

Um conjunto de direitos de utilizador é atribuído automaticamente a diversos grupos, autorizando os membros do grupo a executarem acções específicas num domínio, tais como o início de sessão num sistema local ou a cópia de segurança de ficheiros e pastas. Por exemplo, um membro do grupo Operadores de Cópia de Segurança tem o direito de executar operações de cópia de segurança para todos os controladores de domínio no domínio.

Quando adiciona um utilizador a um grupo, o utilizador recebe o seguinte:

  • Todos os direitos de utilizador atribuídos ao grupo

  • Todas as permissões atribuídas ao grupo em qualquer recurso partilhado

Grupos predefinidos localizados nos contentores Integrados e Utilizadores. Os grupos predefinidos no contentor Integrados têm um âmbito de grupo de Local Incorporado. Não é possível alterar o respectivo âmbito de grupo e tipo de grupo. O contentor Utilizadores contém grupos definidos com âmbito global e grupos definidos com âmbito de local de domínio. Pode mover grupos localizados nestes contentores para outros grupos ou UOs no domínio, mas não pode movê-los para outros domínios.

Para mais informações sobre grupos predefinidos, consulte Grupos predefinidos (https://go.microsoft.com/fwlink/?LinkId=131422 (esta página poderá estar em inglês)).

Âmbito do grupo

Os grupos são caracterizados por um âmbito que identifica o grau de aplicação na árvore do domínio ou na floresta. Existem três âmbitos de grupo: local de domínio, global e universal.

Grupos locais de domínio

Os membros dos grupos locais de domínio podem incluir outros grupos e contas de domínios do Windows NT, Windows 2000, Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2. Só é possível atribuir permissões aos membros destes grupos num domínio.

Os grupos de âmbito de local de domínio ajudam-no a definir e a gerir o acesso aos recursos de um domínio. Estes grupos podem ter os seguintes membros:

  • Contas de qualquer domínio

  • Grupos globais de qualquer domínio

  • Grupos universais de qualquer domínio

  • Grupos locais de domínio, mas apenas do mesmo domínio que o grupo local de domínio principal

  • Uma mistura de qualquer um dos membros indicados anteriormente

Por exemplo, para dar acesso a cinco utilizadores a uma impressora específica, pode adicionar as cinco contas de utilizador à lista de permissões da impressora. No entanto, se posteriormente pretender dar acesso aos cinco utilizadores para uma impressora nova, terá de especificar novamente as cinco contas na lista de permissões da nova impressora.

Se elaborar um plano, pode simplificar esta tarefa administrativa de rotina criando um grupo com âmbito de local de domínio e atribuir-lhe permissão de acesso à impressora. Coloque as cinco contas de utilizador num grupo com âmbito global e adicione este grupo ao grupo com âmbito local de domínio. Quando pretender dar acesso aos cinco utilizadores para a nova impressora, atribua permissão de acesso à nova impressora ao grupo com âmbito de local de domínio. Todos os membros do grupo com âmbito global recebem automaticamente acesso à nova impressora.

Grupos globais

Os membros de grupos globais podem incluir contas do mesmo domínio que o grupo global principal e grupos globais do mesmo domínio que o grupo global principal. Só é possível atribuir permissões aos membros destes grupos em qualquer domínio da floresta.

Utilize os grupos com âmbito global para gerir objectos de directório que exigem manutenção diária, tal como contas de utilizador e computador. Como os grupos com âmbito global não são replicados fora do respectivo domínio, pode alterar frequentemente as contas num grupo com âmbito global sem gerar tráfego de replicação no catálogo global.

Embora as atribuições de direitos e permissões sejam válidos apenas no domínio no qual foram atribuídos, a aplicação uniforme de grupos com âmbito global nos domínios adequados permite-lhe consolidar referências a contas com fins semelhantes. Isto simplifica e racionaliza a gestão de grupos entre domínios. Por exemplo, numa rede com dois domínios (Europa e EstadosUnidos), se existir um grupo com âmbito global denominado Contabilidadegeral no domínio EstadosUnidos, também deverá existir um grupo denominado Contabilidadegeral no domínio Europa (excepto se a função de contabilidade não existir no domínio Europa).

Importante

Recomendamos que utilize grupos globais ou grupos universais em vez de grupos locais de domínio quando especificar permissões em objectos de directório de domínio replicados para o catálogo global.

Grupos universais

Os membros de grupos universais podem ter os seguintes membros:

  • Contas de qualquer domínio da floresta na qual reside o Grupo Universal

  • Grupos globais de qualquer domínio da floresta na qual reside o Grupo Universal

  • Grupos universais de qualquer domínio da floresta na qual reside o Grupo Universal

Só é possível atribuir permissões aos membros destes grupos em qualquer árvore de domínio ou floresta. Utilize os grupos com âmbito universal para consolidar grupos que abrangem domínios. Para tal, adicione as contas a grupos com âmbito global e aninhe estes grupos em grupos com âmbito universal. Se utilizar esta estratégia, quaisquer alterações de associação nestes grupos com âmbito global não afectam os grupos com âmbito universal.

Por exemplo, numa rede com dois domínios (Europa e EstadosUnidos) e um grupo com âmbito global denominado Contabilidadegeral em cada domínio, crie um grupo com âmbito universal denominado Contabilidadeunica que tenha como membros os dois grupos Contabilidadegeral: EstadosUnidos\Contabilidadegeral e Europa\Contabilidadegeral. Em seguida, pode utilizar o grupo Contabilidadeunica em toda a empresa. Qualquer alteração na associação dos grupos Contabilidadegeral individuais não causa a replicação do grupo Contabilidadeunica.

Não altere frequentemente a associação de um grupo com âmbito universal. Qualquer alteração à associação deste tipo de grupo faz com que toda a associação do grupo seja replicada em todos os catálogos globais na floresta.

Tipos de grupo

Existem dois tipos de grupos no AD DS: grupos de distribuição e grupos de segurança. Pode utilizar grupos de distribuição para criar listas de distribuição de correio electrónico. Pode utilizar grupos de segurança para atribuir permissões a recursos partilhados.

Só pode utilizar os grupos de distribuição com aplicações de correio electrónico (como o Microsoft Exchange Server 2007) para enviar mensagens de correio electrónico a grupos de utilizadores. Os grupos de distribuição não têm segurança activada, pelo que não é possível serem listados em DACLs (listas de controlo de acesso discricionárias). Se necessitar de um grupo para controlar o acesso a recursos partilhados, crie um grupo de segurança.

Se forem utilizados adequadamente, os grupos de segurança fornecem uma forma eficaz de atribuir acesso a recursos na rede. A utilização de grupos de segurança permite-lhe:

  • Atribuir direitos de utilizador a grupos de segurança no AD DS.

    Os direitos de utilizador são atribuídos a um grupo de segurança para determinarem o que os membros desse grupo podem fazer no âmbito de um domínio (ou de uma floresta). Os direitos de utilizador são atribuídos automaticamente a alguns grupos de segurança aquando da instalação do AD DS para ajudar os administradores a definirem a função administrativa de uma pessoa num domínio. Por exemplo, um utilizador adicionado ao grupo Operadores de Cópia de Segurança no AD DS pode criar cópias de segurança e restaurar ficheiros e directórios em cada controlador de domínio no domínio.

  • Atribuir permissões a grupos de segurança em recursos.

    As permissões são diferentes dos direitos de utilizador. As permissões determinam quem pode aceder a recursos partilhados. Também determinam o nível de acesso, como por exemplo, Controlo total. Pode utilizar grupos de segurança para gerir o acesso e as permissões a um recurso partilhado. Algumas permissões definidas em objectos de domínio são atribuídas automaticamente para permitir diversos níveis de acesso a grupos de segurança predefinidos, tal como o grupo Operadores de Contas ou o grupo Admins do Domínio.

À semelhança dos grupos de distribuição, os grupos de segurança podem também ser utilizados como entidades de correio electrónico. Ao enviar uma mensagem de correio electrónico para um grupo de segurança, envia a mensagem para todos os membros do grupo.

Identidades especiais

Para além dos grupos nos contentores Utilizadores e Integrados, os servidores com o Windows Server 2008 R2, o Windows Server 2008 ou o Windows Server 2003 incluem diversas identidades especiais. Por conveniência, estas identidades são geralmente referidas como grupos. Estes grupos especiais não têm associações específicas que possam ser modificadas. No entanto, podem representar utilizadores diferentes em alturas diferentes, consoante as circunstâncias. Os grupos seguintes representam identidades especiais:

  • Início de Sessão Anónimo

    Este grupo representa utilizadores e serviços que acedem a um computador e respectivos recursos através da rede sem utilizarem um nome de conta, uma palavra-passe ou um nome de domínio. Nos computadores com o Windows NT e versões anteriores, o grupo Início de Sessão Anónimo é um membro predefinido do grupo Todos. Nos computadores com o Windows Server 2008 R2, o Windows Server 2008 ou o Windows Server 2003, o grupo Início de Sessão Anónimo não é um membro do grupo Todos por predefinição.

  • Todos

    Este grupo representa todos os utilizadores actuais da rede, incluindo convidados e utilizadores de outros domínios. Sempre que um utilizador inicia sessão na rede, o utilizador é adicionado automaticamente ao grupo Todos.

  • Rede

    Este grupo representa os utilizadores que estão a aceder a um recurso específico na rede em oposição aos utilizadores que acedem a um recurso mediante o início de sessão local no computador no qual o recurso está localizado. Sempre que um utilizador acede a um recurso específico na rede, o utilizador é adicionado automaticamente ao grupo Rede.

  • Interactivo

    Este grupo representa todos os utilizadores com início de sessão activo num computador específico e que estão a aceder a um determinado recurso localizado nesse computador, em oposição aos utilizadores que acedem ao recurso na rede. Sempre que um utilizador acede a um recurso específico no computador no qual tem sessão iniciada, o utilizador é adicionado automaticamente ao grupo Interactivo.

Embora seja possível atribuir direitos e permissões para recursos às identidades especiais, não é possível modificar nem ver as associações de identidades especiais. Os âmbitos de grupo não são aplicáveis às identidades especiais. Os utilizadores são atribuídos automaticamente a estas identidades especiais sempre que iniciam sessão ou acedem a um recurso específico.

Onde é possível criar grupos

No AD DS, os grupos são criados em domínios. Pode utilizar o Centro de Administração do Active Directory para criar grupos. Se tiver as permissões necessárias, poderá criar grupos no domínio raiz da floresta, em qualquer outro domínio da floresta ou numa UO.

Para além do domínio onde foi criado, um grupo caracteriza-se também pelo respectivo âmbito. O âmbito de um grupo determina o seguinte:

  • O domínio a partir do qual os membros podem ser adicionados

  • O domínio no qual os direitos e as permissões atribuídos ao grupo são válidos

Escolha o domínio específico ou a UO onde pretende criar um grupo com base na administração exigida para o grupo. Por exemplo, se o directório tiver diversas UOs com administradores diferentes, poderá querer criar grupos com âmbito global nessas UOs para que os administradores possam gerir associações de grupo para os utilizadores das respectivas UOs. Se forem exigidos grupos para controlar o acesso fora da UO, pode aninhar os grupos da UO nos grupos com âmbito universal (ou outros grupos com âmbito global) que pode utilizar noutras localizações na floresta.

Se o nível funcional do domínio for definido como Windows 2000 nativo ou superior, o domínio contiver uma hierarquia de UOs e a administração for delegada aos administradores em cada UO, poderá ser mais eficiente aninhar grupos com âmbito global. Por exemplo, se a UO1 contiver UO2 e UO3, um grupo com âmbito global na UO1 pode ter grupos de membros com âmbito global na UO2 e UO3. Na UO1, o administrador pode adicionar e remover membros de grupo da UO1 e os administradores da UO2 e UO3 podem adicionar ou remover membros de grupo para as contas das respectivas UOs sem terem direitos administrativos para o grupo com âmbito global da UO1.

Nota

Pode mover grupos num domínio. No entanto, só os grupos com âmbito universal podem ser movidos entre domínios. Os direitos e permissões atribuídos a um grupo com âmbito universal perdem-se quando o grupo é movido para outro domínio, sendo necessário efectuar novas atribuições.

Referências adicionais


Sumário