As contas de usuários contém as credenciais que identificam um usuário. Elas permitem que um usuário efetue logon em um domínio e tenha acesso aos recursos disponíveis nesse domínio. Permitem também que um usuário efetue logon localmente e tenha acesso aos recursos de um computador. O Windows 2000 possui 3 tipos de contas de usuários:

 

• Contas de usuários locais: essas contas são armazenadas localmente no gerente de contas de segurança (SAM) de um computador. Essas contas são válidas somente no computador em que foram criadas. Caso o usuário deseje utilizar um outro computador, deverá possuir uma outra nesse outro computador.

 

• Contas de usuários de domínios: essas contas são armazenadas no banco de dados do AD, em um Controlador de Domínio. Permitem que o usuário efetue logon em um domínio e acesse todos seus recursos disponíveis. Os usuários podem obter acesso aos recursos disponíveis no domínio a partir de qualquer computador da rede.

 

• Contas de usuários internas: são as contas criadas automaticamente durante a instalação do Windows 2000 e do AD. Essas contas são: Administrador e Convidado e não podem ser excluídas. Podem ser locais ou de domínio.

 

Para a criação de contas de usuário, temos algumas considerações:

 

• As contas de usuários devem ser exclusivas, ou seja, em um mesmo computador não podemos ter duas contas de usuário com o mesmo nome. Isso é válido para o AD também.

 

• O tamanho máximo para o nome do usuário é de 20 caracteres maiúsculos ou minúsculos. Os seguintes caracteres não podem ser utilizados: “  / \ [ ] : ; | = , + * ? < >

 

• Atribua senhas complexas para as contas de usuário, principalmente para a conta Administrador.

 

• Para as contas de domínio, podemos definir a hora em que o usuário poderá efetuar logon, os computadores no qual o usuário poderá efetuar logon, data de expiração da conta de usuário, se usuário deverá alterar a senha no seu próximo logon, se o usuário não poderá alterar sua senha, se a senha nunca expirará e se a conta estará desativada. Temos ainda muitas outras opções para contas de usuário de domínio, as quais veremos mais adiante.

 

• Para as contas locais, podemos definir se o usuário deverá alterar a senha no seu próximo logon, se o usuário não poderá alterar sua senha, se a senha nunca expirará, se a conta estará desativada e de quais grupos o usuário participará.

 

• Para criarmos as contas de usuário de domínio, deveremos fazê-lo em um Controlador de Domínio (DC), através dos Usuários e Computadores do AD, localizado em Ferramentas Administrativas. Lembrando que para ser um Controlador de Domínio, o computador deverá possuir o Windows 2000 Server ou superior e o AD instalado.

 

• Podemos também criar as contas de usuários de domínio no Windows 2000 Professional. Para isso, deveremos estar logados no domínio e ter instalado o utilitário que cria os ícones das Ferramentas Administrativas, Adminpak.msi. A partir daí, além de podermos criar contas de usuário de domínio, poderemos também administrar remotamente um Controlador de Domínio. Lógico que para administrarmos remotamente os Controladores de Domínio (DC), deveremos possuir privilégios suficientes.

 

• As contas de usuários de domínio são duplicadas automaticamente para todos os Controladores de Domínio existentes.

 

Exemplo prático – Criar uma conta de usuário local.

 

• Abra o Painel de Controle;

 

• Clique em Ferramentas Administrativas;

 

• Clique em Gerenciamento do Computador;

 

• Dê dois cliques em Usuários e grupos locais;

 

• Clique em Usuários;

 

• Clique no menu Ação e escolha Novo usuário;

 

• Digite o nome de usuário;

 

• Digite o nome completo;

 

• Digite a descrição;

 

• Digite e confirme a senha;

 

• Defina se o usuário deverá alterar a senha no próximo logon;

 

• Defina se o usuário não pode alterar a senha;

 

• Defina se a senha nunca expira;

 

• Defina se a conta está desativada;

 

• Clique em Criar e em Fechar.

 

 

Exemplo prático – Criar uma conta de usuário de domínio.

 

Lembramos que essa tarefa deve ser executada em um Controlador de Domínio ou em um cliente Windows 2000 conectado ao domínio, e com o Adminpak.msi instalado.

 

• Abra o console Usuários e computadores do AD;

 

• Clique em Usuários;

 

• Clique no menu Ação, Novo e Usuário;

 

• Digite o primeiro nome do usuário, as iniciais, o último nome e o nome completo;

 

• Digite o nome de logon do usuário e escolha o domínio;

 

• Clique em Avançar;

 

• Defina e confirme a senha;

 

• Defina se o usuário deverá alterar a senha no próximo logon;

 

• Defina se o usuário não pode alterar a senha;

 

• Defina se a senha nunca expira;

 

• Defina se a conta está desativada;

 

• Clique em Avançar;

 

• Clique em Concluir.

 

 

Após termos instalado as Ferramentas Administrativas no Windows 2000 Professional, contaremos com o comando Executar como (Run as). Esse comando permite que um usuário execute as Ferramentas Administrativas sem estar logado com uma conta com direitos administrativos. Ou seja, não precisamos efetuar logon no Windows 2000 Professional com uma conta de Administrador. Informamos a conta com permissões e direitos administrativos somente quando formos executar as Ferramentas Administrativas.

 

Exemplo prático – Instalar as Ferramentas Administrativas no Windows 2000.

 

• Insira o CD de instalação do Windows 2000 Server no drive de CD;

 

• Vá até a pasta \I386 do CD;

 

• Localize o arquivo Adminpak.msi e dê dois cliques nele;

 

• Aguarde alguns instantes e clique em Next (Avançar);

 

• Aguarde até que o utilitário seja instalado e clique em Finish (Concluir).

 

 

Exemplo prático – Utilizar o comando Executar como.

 

• Abra o Painel de Controle;

 

• Clique em Ferramentas Administrativas;

 

• Aperte a tecla SHIFT e clique com o botão direito sobre Gerenciamento do Computador e escolha a opção Executar como;

 

• Marque a opção Executar o programa usando o seguinte usuário;

 

• Digite o nome de usuário, a senha e o domínio e clique em OK.

 

 

Após criarmos uma conta de usuário de domínio, poderemos fazer algumas configurações avançadas, vejamos quais são:

 

• Geral: informações pessoais do usuário.

 

• Endereço: endereço do usuário.

 

• Conta: nome da conta de usuário, opções da conta e data de expiração da conta.

 

• Perfil: atribui o caminho do perfil e a pasta base do usuário.

 

• Telefone: telefones do usuário.

 

• Organização: informações sobre a empresa.

 

• Participante de: grupos do qual o usuário pertence.

 

• Discagem: define as permissões de acesso remoto, opções de retorno de chamada (Callback) e rotas e endereços IP estáticos.

 

• Ambiente: especifica um ou mais aplicativos a serem iniciados e os dispositivos aos quais conectar durante o logon de um usuário do Terminal Services.

 

• Sessões: especifica algumas configurações do Terminal Services, como finalizar uma sessão, tempo limite da sessão, tempo de inatividade até que uma sessão seja encerrada, entre outras.

 

• Controle remoto: especifica algumas configurações de controle remoto do Terminal Services.

 

• Gerenciador de serviços de terminal: define o perfil do usuário no Terminal Services.

 

 

Exemplo prático – Configurar as propriedades de uma conta de usuário de domínio.

 

• Abra o console Usuários e computadores do AD;

 

• Clique em Usuários;

 

• Clique com o botão direito do mouse sobre o usuário desejado e clique em Propriedades;

 

• Faça todas as configurações desejadas e clique em OK.

 

Podemos ainda copiar contas de usuário de domínio. Com isso simplificamos a tarefa de criação de contas. Serão copiadas algumas configurações da conta. Permissões e direitos atribuídos a uma conta não serão copiados. Um detalhe importante, é que só podemos copiar contas de usuário de domínio em um Controlador de Domínio.

 

Exemplo prático – Copiar uma conta de usuário de domínio.

 

• Abra o console Usuários e computadores do AD;

 

• Clique em Usuários;

 

• Clique com o botão direito sobre uma conta de usuário e escolha Copiar;

 

• Digite o primeiro nome do usuário, as iniciais, o último nome e o nome completo;

 

• Digite o nome de logon do usuário e escolha o domínio;

 

• Clique em Avançar;

 

• Defina e confirme a senha;

 

• Defina se o usuário deverá alterar a senha no próximo logon;

 

• Defina se o usuário não pode alterar a senha;

 

• Defina se a senha nunca expira;

 

• Defina se a conta está desativada;

 

• Clique em Avançar;

 

• Clique em Concluir.

 

Um ponto importante relacionado às contas de usuários é que podemos renomeá-las. Um exemplo prático: O usuário João é desligado de uma empresa. No seu lugar entra um outro usuário, chamado Pedro. O usuário Pedro deverá ter acesso a todos os arquivos que o usuário João acessava, e também deverá ser membro de todos os grupos que o usuário João participava. Qual é a melhor solução para esse caso?

 

Sem dúvidas, a melhor solução seria renomear a conta de usuário João, e alterar a senha dessa conta. Com isso, o usuário Pedro terá as mesmas permissões que o usuário João possuía. Dessa forma, o administrador da rede terá bem menos trabalho do que criar uma nova conta para o usuário Pedro e dar todas as permissões necessárias para o usuário.

 

As contas de usuário possuem um identificador interno (SID), o qual é utilizado pelo Windows 2000. Os SID’s são únicos, não existem 2 SID’s iguais. Portanto, quando excluímos uma conta de usuário, não adianta recriar a conta com o mesmo nome e senha, pois esta será considerada uma nova conta de usuário, mesmo que possua o mesmo nome e senha da conta de usuário excluída. Com isso, todas as permissões da conta deverão ser reconfiguradas.

 

Um exemplo prático: O usuário João foi desligado da empresa. O departamento de RH entra em contato com o administrador da rede e solicita que a conta de usuário do João seja excluída. O administrador da rede exclui a conta do usuário João. Alguns dias depois, o usuário João é contratado novamente pela empresa. O administrador da rede recria a conta do usuário João, com o mesmo nome e senha da conta anterior. Alguns instantes depois, o usuário João entra em contato com o administrador da rede e informa-o que não consegue acessar os arquivos e pastas necessários. Qual a solução desse problema?

 

A solução é simples: as permissões da conta de usuário do João devem ser configuradas novamente, pois ao excluirmos uma conta de usuário, todas as permissões dessa conta também são excluídas, ou seja, essa conta foi recriada com um novo SID.

 

Conclusão

 

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.

Autor: Fabiano Santana – MVP, MCP, MCDST, MCSA Security, MCSE Security