Content on this page requires a newer version of Adobe Flash Player.

Get Adobe Flash player
Grupos de Usuários Imprimir E-mail

Neste artigo veremos alguns detalhes importantes sobre os grupos de usuários no Windows XP.

 

Um grupo de usuário, como o próprio nome já sugere, é um conjunto de contas de usuários agrupadas. Com a utilização de grupos, a administração do acesso aos recursos da rede é simplificada, pois podemos atribuir as permissões a um grupo, ao invés de ter que configurarmos as permissões usuário por usuário.

Para fins administrativos, podemos adicionar computadores e outros grupos em um grupo de usuários.

Um usuário pode participar de vários grupos ao mesmo tempo, pois um grupo nada mais é do que uma lista, com referências às contas de usuários reais.

Quando adicionamos um usuário em um grupo, os direitos e permissões desse grupo só passarão a ter efeito quando o usuário efetuar logoff e logon novamente, caso o usuário já esteja logado.

Os grupos podem ser:

  • Grupos locais: são criados em computadores que não são Controladores de Domínio, residem no Security Account Manager (SAM) do Windows e são utilizados para conceder permissões e direitos somente no computador em que foram criados.
  • Grupos de domínio: são criados somente em Controladores de Domínio, são armazenados no AD e são utilizados para conceder direitos e permissões para qualquer computador do domínio.

Algumas considerações sobre os grupos locais:

  • Os grupos de usuário, assim como as contas de usuário, possuem um identificador interno (SID), o qual é utilizado pelo Windows XP. Os SID’s são únicos, não existem 2 SID’s iguais. Portanto, quando excluímos um grupo de usuário, não adianta recriar o grupo com o mesmo nome, pois este será considerado um novo grupo de usuário, mesmo que possua o mesmo nome do grupo de usuário excluído. Com isso, todas as permissões do grupo deverão ser reconfiguradas.
  • Só podem conter contas de usuário locais do computador em que foram criados. Caso o computador seja membro do domínio, o grupo também poderá conter contas e grupos do domínio.
  • Para criar um grupo local devemos ser membros do grupo Administrators (Administradores) ou Power Users (Usuários Avançados).
  • Quando instalamos o Windows XP, alguns grupos internos são criados. A seguir detalharemos esses grupos.
  • Para conceder permissões para grupos locais, utilizamos a estratégia ALP, ou seja, colocamos as contas de usuário (A) em um grupo local (L) do computador e concedemos as permissões (P) e direitos para o grupo local.

WinXP-042

Os grupos locais criados automaticamente durante a instalação do Windows XP são os seguintes:

  • Administrators (Administradores): possui controle total sobre a estação de trabalho.
  • Guests (Convidados): possui acesso extremamente restrito na estação de trabalho.
  • Replicator (Duplicadores): permite a duplicação de arquivos em um domínio.
  • Network Configuration Operators (Operadores de configuração de rede): membros deste grupo podem ter alguns privilégios administrativos para gerenciar a configuração de recursos de rede.
  • Backup Operators (Operadores de cópia): os operadores de cópia podem substituir as restrições de segurança com o único objetivo de fazer o backup ou restaurar arquivos.
  • Users (Usuários): os usuários são impedidos de fazer alterações acidentais ou intencionais no âmbito do sistema. Sendo assim, eles podem executar aplicativos certificados, mas não podem executar a maioria dos aplicativos herdados.
  • Power Users (Usuários avançados): os usuários avançados possuem, em sua maioria, poderes administrativos com algumas restrições. Sendo assim, eles podem executar aplicativos herdados, além dos aplicativos certificados.
  • Remote Desktop Users (Usuários da área de trabalho remota): os membros deste grupo têm direito a fazer logon remotamente.
  • HelpServicesGroup: grupo para o centro de ajuda e suporte.

Exemplo prático – Criando um grupo de usuário local.

  • Abra o Control Panel (Painel de Controle).
  • Clique em Administrative Tools (Ferramentas Administrativas).
  • Clique em Computer Management (Gerenciamento do Computador).
  • Dê dois cliques em Local Users and Groups (Usuários e grupos locais).
  • Clique em Groups (Grupos).
  • Clique no menu Action (Ação) e escolha New Group (Novo grupo).
  • Digite o nome de grupo.
  • Digite a descrição do grupo.
  • Clique em Add (Adicionar).
  • Selecione os grupos e usuários que serão membros desse grupo e clique em OK.
  • Clique em Create (Criar) e Close (Fechar).

WinXP-043

Podemos também renomear e excluir um grupo de usuário local.

Exemplo prático – Renomeando um grupo de usuário local.

  • Abra o Control Panel (Painel de Controle).
  • Clique em Administrative Tools (Ferramentas Administrativas).
  • Clique em Computer Management (Gerenciamento do Computador).
  • Dê dois cliques em Local Users and Groups (Usuários e grupos locais).
  • Clique em Groups (Grupos).
  • Clique com o botão direito sobre o grupo de usuário desejado e clique em Rename (Renomear).
  • Digite o nome do grupo e pressione a tecla Enter.

Exemplo prático – Excluindo um grupo de usuário local.

  • Abra o Control Panel (Painel de Controle).
  • Clique em Administrative Tools (Ferramentas Administrativas).
  • Clique em Computer Management (Gerenciamento do Computador).
  • Dê dois cliques em Local Users and Groups (Usuários e grupos locais).
  • Clique em Groups (Grupos).
  • Clique com o botão direito sobre o grupo de usuário desejado e clique em Delete (Excluir). Clique em Yes (Sim).

Os grupos de domínio possuem tipos e escopos. Os tipos de grupos determinam se poderemos atribuir permissões a um grupo ou não. Os escopos definem se o grupo poderá ser utilizado em um único domínio ou em vários domínios.

Vejamos os tipos de grupos de domínio:

  • Grupos de segurança: são utilizados para conceder direitos e permissões a usuários. Podemos também enviar mensagens de e-mail para vários usuários, ou seja, quando enviamos um e-mail para o grupo, todos os participantes desse grupo receberão a mensagem.
  • Grupos de distribuição: são utilizados para enviar mensagens de e-mail para vários usuários, ou seja, quando enviamos um e-mail para o grupo, todos os participantes desse grupo receberão a mensagem. Não podemos conceder permissões para esse grupo.

WinXP-044

Vejamos os escopos de grupos de domínio:

  • Domínio Local: usamos esse escopo para conceder permissões a recursos localizados no mesmo domínio em que o grupo foi criado. Podem fazer parte de grupos com escopo domínio local: usuários, grupos universais e globais de qualquer domínio.
  • Global: usamos esse escopo para conceder permissões a recursos localizados em qualquer domínio. Podem fazer parte de grupos com escopo global: usuários e grupos globais criados no domínio em que o grupo global foi criado.
  • Universal: usamos esse escopo para conceder permissões a recursos localizados em qualquer domínio. Podem fazer parte de grupos com escopo universal: todos os usuários e grupos de qualquer domínio. Esse tipo de escopo só estará disponível quando o domínio estiver em modo nativo, ou seja, quando todos os Controladores de Domínio forem Windows 2000.

Exemplo prático – Criando um grupo de usuário de domínio.

Lembramos que essa tarefa deve ser executada em um Controlador de Domínio ou em um cliente Windows XP conectado ao domínio, e com o Adminpak.msi instalado. Esse exemplo será executado em um Domain Controller Windows Server 2003.

  • Abra o console Active Directory Users and Computers (Usuários e computadores do AD).
  • Clique em Users (Usuários).
  • Clique no menu Action (Ação), New (Novo) e Group (Grupo).
  • Defina o nome do grupo e a descrição.
  • Defina o escopo do grupo. Observe que em domínio em modo misto, o escopo universal não estará disponível.
  • Defina o tipo do grupo.
  • Clique em OK.

WinXP-045

Os Controladores de Domínio também possuem os grupos internos padrão. Esses grupos podem ser:

  • Grupos de domínio local internos: esses grupos não podem ser excluídos e só estão presentes em Controladores de Domínio. São utilizados para concedermos permissões aos usuários que irão executar tarefas nos Controladores de Domínio e AD.
  • Identidades especiais: são os grupos aos quais os usuários são membros por padrão ou se tornam membros quando executam alguma atividade na rede. Não podemos visualizar esses grupos especiais no AD.
  • Grupos globais pré-definidos: só estão presentes em Controladores de Domínio e servem para controlar todos os usuários de um domínio.

Para conceder permissões para grupos em um domínio único, utilizamos a estratégia AGDLP, ou seja, colocamos as contas de usuários (A) em grupos globais (G), colocamos os grupos globais dentro de grupos de domínio local (DL), e concedemos as permissões (P) ao grupo de domínio local.

 

 

Conclusão

 

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.

 

 

Autor: Fabiano Santana – MVP, MCP, MCDST, MCSA Security, MCSE Security