Sie sind auf Seite 1von 92

Guia de

Utilizao e
Administrao
do AD

fevereiro 6

2014

O guia de utilizao do AD mostra os principais procedimentos para administrao do


Active Directory da Microsoft e tambm como trabalhar com a permisso de arquivos no
ambiente do servidor de arquivos departamental

Guia de Utilizao para


Administrao do AD

27/02/2015 14:22:46

Pgina 1

Indice
CONCEITOS ................................................................................................................................................................................. 3
COMO OBTER AS FERRAMENTAS DE ADMINISTRAO DE SERVIDOR REMOTO (RSAT) .............................................................. 4
TRABALHANDO COM USURIOS ................................................................................................................................................ 5
CRIAR UMA CONTA DE USURIO. ............................................................................................................................................................ 5
Nomes de Logon do Usurio ...................................................................................................................................................... 6
Criando uma conta manualmente.............................................................................................................................................. 7
CRIAR MLTIPLAS CONTAS DE USURIO. ................................................................................................................................................. 11
Utilizando CSVDE para Criar Mltiplas Contas de Usurio ....................................................................................................... 12
Utilizando LDIFDE para Criar Mltiplas Contas de Usurio ...................................................................................................... 13
TRABALHANDO COM GRUPOS ................................................................................................................................................. 15
GRUPOS DE USURIOS ........................................................................................................................................................................ 15
Utilizando Grupos no Active Directory ..................................................................................................................................... 15
Introduo a Grupos no Active Directory ................................................................................................................................. 16
Criando um grupo de usurios ................................................................................................................................................. 17
TRABALHANDO COM COMPUTADORES.................................................................................................................................... 35
TRABALHANDO COM PERMISSES ........................................................................................................................................... 45
MIGRANDO PERFIL LOCAL ........................................................................................................................................................ 63
FAQ .......................................................................................................................................................................................... 91

27/02/2015 14:22:46

Pgina 2

Administrando o Active Directory


Conceitos
O Active Directory (AD) um servio de diretrio que armazena e mantm dados necessrios aos recursos da rede.
O AD mantm basicamente quatro tipos de objetos em sua estrutura, so eles:

Usurios
Computadores
Grupos
Unidades Organizacionais

Um usurio um objeto armazenado no Active Directory que permite uma identificao nica para uma pessoa ou
conta administrativa. A identificao nica possibilita que os usurios forneam seus nomes e senhas somente uma
vez durante o logon na estao de trabalho e assim obter acesso autenticado aos recursos de rede.
Um computador um objeto que o AD mantm para as estaes de trabalho que fazem parte da estrutura de
diretrios. Um usurio do AD poder efetuar logon nas estaes de trabalho que forem parte do diretrio. Ainda
possvel estabelecer a configurao, o comportamento da segurana e diversos outros itens das estaes de trabalho
de forma centralizada quando o computador membro do AD.
Um grupo geralmente uma coleo de contas de usurio. Voc pode utilizar grupos para gerenciar eficientemente
o acesso aos recursos do domnio, o que ajuda a simplificar a manuteno e administrao da rede. Voc pode
utilizar grupos separadamente ou colocar um grupo dentro de outro para melhor simplificar a administrao.
J uma Unidade Organizacional (OU) um objeto que proporciona uma maneira de organizar o diretrio em
subdivises. Dessa forma possvel trabalhar com uma quantidade menor de objetos em cada ramo. As OU servem
ainda para estabelecer polticas para os objetos membros de forma mais granular. Outra funcionalidade das OUs
que os administradores do AD possam delegar controle das mesmas de forma a descentralizar a administrao do
diretrio.

27/02/2015 14:22:46

Pgina 3

Viso geral do Gerenciador de Usurios e Computadores do Active Directory

Como obter as Ferramentas de Administrao de Servidor Remoto (RSAT)


Faa o download e siga as instrues de instalao das ferramentas de administrao remota conforme o seu
sistema operacional.
Windows 7
http://www.microsoft.com/pt-br/download/details.aspx?id=7887

Windows Vista
http://www.microsoft.com/pt-br/download/details.aspx?id=21090

Windows XP
http://www.microsoft.com/pt-br/download/details.aspx?id=6315

Aps a instalao execute o aplicativo Usurios e computadores do Active Directory, ele foi instalado na pasta
Ferramentas Administrativas. Se voc ainda no est visualizando essa pasta no Menu Iniciar da sua estao
consulte o link (http://windows.microsoft.com/pt-br/windows-vista/what-are-administrative-tools) para saber como visualiz-la.

27/02/2015 14:22:46

Pgina 4

Voc deve ter feito logon na estao com o usurio e senha fornecidos para a administrao do AD para executar o
Usurios e computadores do Active Directory.
Caso voc tenha efetuado logon na estao de trabalho com um usurio diferente necessrio executar o aplicativo
com as credenciais fornecidas para a administrao do AD. Para isso abra a pasta Ferramentas Administrativas e
localize o atalho para o Usurios e computadores do Active Directory com a tecla SHIFT pressionada clique com
o boto direito do mouse sobre o atalho. O menu de contexto apresentado, selecione a opo Executar como
usurio diferente (Windows 7), Executar como (Windows XP) e digite o usurio e senha com permisso de
administrao do AD. No Windows Vista voc deve executar o Usurios e computadores do Active Directory
atravs do comando runas /user:domnio\usurio mmc dsa.msc , onde domnio\usurio so as credenciais que
voc recebeu para a administrao do AD.

Trabalhando com Usurios

Um administrador deve executar certas tarefas para assegurar que os usurios possam efetuar o logon na rede e
obter acesso aos recursos em um domnio. Algumas destas tarefas administrativas so:

Criar uma conta de usurio


Criar mltiplas contas de usurio
Criar grupos de usurios

Criar uma conta de usurio.


No AD, uma identidade nica permite que usurios digitem seus nomes e senhas somente uma vez durante o logon
na estao de trabalho para autenticao e obter acesso aos recursos da rede em um domnio. Um administrador
pode criar trs tipos de contas de usurio, cada uma tendo uma funo especfica:

Uma conta de usurio de domnio habilita um usurio a efetuar o logon no domnio para obter acesso aos
recursos da rede.

Uma conta de usurio local habilita um usurio efetuar o logon em um computador especfico para obter
acesso aos recursos nesse computador.

Uma conta de usurio embutida (built-in) habilita um usurio a executar tarefas administrativas ou obter
acesso temporrio aos recursos da rede.
Vamos trabalhar com as contas de usurio de domnio.
27/02/2015 14:22:46

Pgina 5

Nomes de Logon do Usurio


No AD, cada conta de usurio tem um nome de logon do usurio, e um nome de logon do usurio pr-Windows
2000, que o nome da conta do gerenciador de contas de segurana (SAM, security account manager). As
informaes da conta de usurio so utilizadas para autenticar e autorizar usurios em qualquer lugar da floresta
(domnios que mantem uma relao), possibilitando aos usurios um processo de logon nico. Ao criar contas, voc
entra com o prefixo de nome de logon do usurio e seleciona o sufixo de nome principal do usurio.

Quando criar a conta de usurio, voc deve tambm se assegurar de que a mesma siga regras de exclusividade.

Em uma rede do AD, um usurio pode efetuar o logon com um nome principal do usurio ou um nome de logon do
usurio (pr-Windows 2000). Os controles do domnio podem utilizar um desses nomes de logon para autenticar a
solicitao de logon.
Nome Principal do Usurio (Principal Name)
O nome principal do usurio o nome de logon utilizado somente para efetuar o logon na rede do AD. Este nome
tambm conhecido como um nome de logon do usurio.
H duas partes para um nome de logon do usurio, e elas so separadas por um sinal de @; por exemplo,
joao.exemplo@ad.ufrgs.br. Um nome de logon do usurio tem os dois seguintes componentes:

O prefixo do nome principal do usurio, que no exemplo joao.exemplo@ad.ufrgs.br joao.exemplo.


O sufixo de nome principal do usurio, que no exemplo usurio ad.ufrgs.br. Por padro, o sufixo o nome
do domnio raiz da rede.

Nome de Logon do Usurio (Pr-Windows 2000)


Se um usurio efetua o logon na rede a partir de um computador cliente executando uma verso do Windows mais
antiga que o Windows 2000, o usurio precisa efetuar o logon utilizando o nome de logon do usurio (pr-Windows
2000).
Um nome de logon do usurio (pr-Windows 2000) um nome da conta de usurio, tal como joao.exemplo no
exemplo joao.exemplo@ad.ufrgs.br. Quando um usurio efetua o logon utilizando um nome de logon do usurio
27/02/2015 14:22:46

Pgina 6

(pr-Windows 2000), o usurio precisa tambm fornecer o domnio no qual a conta de usurio existe, de forma que
o controlador de domnio de autenticao possa localizar a conta de usurio.
Se os usurios se conectarem ao recurso da rede com uma conta de usurio diferente daquela que em que foi
efetuado o logon, os usurios precisam fornecer o domnio e o nome de logon do usurio (pr-Windows 2000) para
autenticao, por exemplo, ad\joao.exemplo.
Regras de Exclusividade para Nomes de Logon do Usurio.
Nomes de logon do usurio para contas de usurio do domnio precisam seguir regras de exclusividade no AD.
Quando criar nomes de logon do usurio, considere as seguintes regras de exclusividade:

O nome completo precisa ser exclusivo dentro do recipiente no qual voc criou a conta de usurio. O nome
completo utilizado como o nome relativo distinto.
Nome principal do usurio precisa ser exclusivo dentro da floresta.
O nome de logon do usurio (pr-Windows 2000) precisa ser exclusivo dentro do domnio.

Criando uma conta manualmente


No Usurios e computadores do Active Directory selecione a OU em que voc deseja adicionar o objeto usurio.
Aps aponte para o menu Ao, aponte para a opo Novo e clique em Usurio.

27/02/2015 14:22:46

Pgina 7

A tela abaixo mostrada.

27/02/2015 14:22:46

Pgina 8

Vamos preencher os campos com os dados e clicar em Avanar >.

Agora vamos informar uma senha para esse usurio e marcar as opes necessrias conforme a necessidade e clicar
em Avanar >.
Por padro a opo O usurio deve alterar a senha no prximo logon marcada dessa forma o usurio obrigado a
informar uma senha particular no primeiro logon que ele executar.

27/02/2015 14:22:46

Pgina 9

A opo Conta desabilitada tambm bastante usada ela serve quando se voc pretende criar contas previamente
e s habilitar quando o usurio realmente iniciar a utilizao. Dessa forma voc prioriza a segurana deixando a
conta desabilitada at que seja necessria a sua utilizao.

Para completar o processo clique no boto Concluir.

A conta do usurio criada na OU selecionada.

27/02/2015 14:22:46

Pgina 10

Criar mltiplas contas de usurio.


Voc pode criar mltiplas contas de usurio no Active Directory importando dados de um arquivo de texto para
preencher os atributos das contas de usurio. Este processo e conhecido como importao em lote. A importao
em lote a importao de mltiplos registros de um arquivo texto no banco de dados do AD. A vantagem da
importao em lote que voc no precisa criar cada conta de usurio separadamente. Em vez disto, voc pode
importar um arquivo existente que contenha as informaes do usurio requeridas para criar todas as contas de
usurio.
Para criar contas de usurio em uma operao em lote, temos os utilitrios administrativos, tais como o CSVDE
(Comma Separated Value Directory Exchange) e o LDIFDE (Lightweight Directory Access Protocol Data Interchange
Format Directory Exchange). Estes utilitrios o habilitam a administrar grandes nmeros de contas de usurio e
outros objetos do Active Directory, como grupos, computadores e impressoras em uma operao em lote. Estes
utilitrios so instalados automaticamente quando voc instala as ferramentas de administrao remota. (XP?
Vista?)

27/02/2015 14:22:46

Pgina 11

Para cada objeto do usurio o arquivo deve ter:

O caminho para a OU da conta de usurio, tipo de objeto, e nome de logon do usurio (pr-Windows 2000)
O nome principal do usurio e se a conta de usurio est ativada ou desativada
Pode incluir informaes pessoais do usurio
No pode incluir uma senha

O arquivo de texto pode ser obtido atravs de um aplicativo de banco de dados que j contenha as informaes
sobre as contas de usurio, ou pode ser tambm construdo com outros aplicativos, tais como o Microsoft Excel,
Microsoft Word e ainda com o LibreOffice Calc ou o LibreOffice Write.
Dependendo do formato do arquivo de texto, voc utiliza o comando csvde ou o ldifde para importar os dados das
contas de usurio do arquivo e criar simultaneamente mltiplas contas de usurio no AD. Voc utiliza o comando
csvde para importar o arquivo de texto que utiliza um formato delimitado por vrgula (formato CSVDE). Voc utiliza o
ldifde como comando para importar o arquivo de texto que utiliza um formato de valor separado por linha
(formato LDIF).
Utilizando CSVDE para Criar Mltiplas Contas de Usurio
O formato CSVDE pode ser utilizado somente para adicionar novos objetos de usurio, e outros tipos de objetos,
para o Active Directory. Voc no pode utilizar o formato CSVDE para excluir ou modificar o AD. Antes de importar
um arquivo CSVDE, voc precisa garantir que o arquivo que voc est importando est formatado devidamente, de
forma que a importao seja um sucesso. Salve o arquivo como um arquivo de texto delimitado por vrgula. Voc
pode exportar dados para uma planilha eletrnica do Excel ou importar dados de uma planilha eletrnica dentro do
AD.

Preparando para Importar um arquivo CSVDE


Formate o arquivo que contenha as seguintes informaes:
A linha de atributo
a primeira linha do arquivo. Especifica o nome de cada atributo que voc precisa definir para as novas contas de
usurio. Note que voc pode colocar os atributos em qualquer ordem, mas voc precisa separa os atributos com
vrgulas. A seguir um exemplo da linha de atributo:
DN,objectClass,sAMAccoutName,userPrincipalName,displayName,userAccountControl
A linha da conta de usurio
Para cada conta de usurio que voc criar, o arquivo de importao contm uma linha que especifica o valor para
cada atributo na linha de atributo.
As seguintes regras so adotadas para os valores em uma linha da conta de usurio:

Os valores dos atributos precisam seguir a seqncia da linha de atributos


Se no existe um valor para um atributo, deixe-o em branco, mas inclua todas as vrgulas.
Se um valor contm vrgulas, inclua o valor entre aspas.

A seguir um exemplo de uma linha da conta de usurio:

27/02/2015 14:22:46

Pgina 12

cn=Joo do Exemplo,ou=ICTA,dc=ad,dc=ufrgs,dc=br,user,joao.exemplo,joao.exemplo@ad.ufrgs.br,Joo do
Exemplo,514
A tabela a seguir fornece os atributos e valores presentes no exemplo anterior.
Atributo

Valor

Nome distinto (DN, distinguished name)

Cn=Joo do Exemplo,OU=ICTA, dc=ad,dc=ufrgs,dc=br


(Isto especifica o caminho para a OU que contm a conta de
usurio.)

ObjectClass

User

SAMAccontName

joao.exemplo

UserPrincipalName

joao.exemplo@ad.ufrgs.br

DisplayName

Joo do Exemplo

UserAccountControl

512 (O valor 512 ativa a conta de usurio e o valor 514 desativa a


conta de usurio.)

Utilizando o comando csvde


Depois do arquivo ser devidamente formatado, voc pode utilizar o comando csvde para importar o arquivo e criar
mltiplas contas de usurio no AD.
Para importar o arquivo, abra uma janela do prompt de comando, e digite o seguinte:
csvde i f nomedoarquivo
Na sintaxe anterior, i indica que voc est importando um arquivo de dentro do AD, e f indica que o prximo
parmetro o nome do arquivo que voc est importando.
O comando csvde fornece as informaes de status de sucesso ou falha no processo, e tambm fornece o nome do
arquivo para visualizar informaes de erro detalhadas. Mesmo se as informaes de status indicarem que o
processo foi bem sucedido, utilize Usurios e Computadores do Active Directory (Active Directory Users and
Computers) para verificar algumas das contas de usurio que voc criou para garantir que elas tm todas as
informaes que voc forneceu.

Utilizando LDIFDE para Criar Mltiplas Contas de Usurio

O LDIF (Lightweight Directory Access Protocol Data Interchance Format) outro formato de arquivo que utilizado
para executar a importao em lote para diretrios que obedecem ao padro LDAP. O formato de arquivo LDIF tem
um utilitrio de linha de comando chamado de ldifde que permite voc crie, modifique e exclua objetos no Active
Directory. Um arquivo LDIF consiste de uma srie de registros que so separados por linhas em branco. Um registro
27/02/2015 14:22:46

Pgina 13

descreve um nico objeto de diretrio ou um conjunto de modificaes para os atributos de um objeto existente e
consiste de uma ou mais linhas no arquivo.
DN:CN=Joo do Exemplo,OU=ICTA,DC=ad,DC=ufrgs,DC=br
ObjectClass:user
SAMAccountName:joao.exemplo
UserPrincipalName:joao.exemplo@ad.ufrgs.br
DisplayName: Joo do Exemplo
UserAccountControl : 512

Preparando um Arquivo LDIF para Importao


Formate um arquivo LDIF de forma que este contenha um registro que consiste de uma seqncia de linhas
descrevendo uma entrada para uma conta de usurio no Active Directory, ou uma seqncia de linhas descrevendo
um conjunto de mudanas para uma conta de usurio. A entrada da conta de usurio especfica o nome de cada
atributo que voc quer definir para a nova conta de usurio. O esquema do Active Directory define os nomes de
atributo. Para cada conta de usurio que voc criar, o arquivo contm uma linha que especfica o valor de cada
atributo na linha de atributo. As seguintes regras so adotadas para os valores de cada atributo:

Qualquer linha que comear com uma cerquinha (#) uma linha de comentrio, e ignorada quando voc
executa o arquivo LDIF.
Se um valor estiver ausente para um atributo, ele precisa ser representado como Descrio de Atributo :
FILL SEP.

A seguir um exemplo de uma entrada em um arquivo de importao LDIF:


#Criado por Administrador ICTA
DN: CN=Joo do Exemplo, OU=ICTA,DC=ad,DC=ufrgs,DC=br
objectClass: user
sAMAccountName: joao.exemplo
userPrincipalName: joao.exemplo@ad.ufrgs.br
displayName: Joo do Exemplo
userAcoountControl: 514
A tabela a seguir fornece os atributos e valores presentes no exemplo.
Atributo

Valor de atributo

Nome distinto DN (distinguished name)

CN=Joo do Exemplo, OU=ICTA,DC=ad,DC=ufrgs,DC=br


(Isto especifica o caminho para o recipiente do objeto.)

ObjectClass

User

SAMAccountName

joao.exemplo

27/02/2015 14:22:46

Pgina 14

userPrincipalName

joao.exemplo@ad.ufrgs.br

displayName

Joo do Exemplo

userAcoountControl

514 (O valor 512 ativa a conta de usurio, e o valor 514 desativa a conta
de usurio.)

Utilizando o Comando ldifde


Depois que o arquivo est devidamente formatado, use o comando ldifde para importar o arquivo e criar mltiplas
contas de usurio no Active Directory.
Para importar o arquivo, v ao prompt de comando, digite:
ldifde i f nomedoarquivo
Na sintaxe anterior, i indica que voc est importando um arquivo de dentro do Active Directory. Se este parmetro
no especificado, a modo padro para o LDIFDE exportado. O parmetro f indica o nome do arquivo que voc
est importando.

Trabalhando com Grupos

Grupos de usurios
Agrupar contas de usurio para gerenciar eficientemente o acesso aos recursos do domnio, tal como pastas
compartilhadas da rede, arquivos, diretrios, e impressoras. Utilizando grupos, um administrador determina as
permisses para os recursos compartilhados somente uma vez ao invs de vrias vezes. Voc tambm pode fazer
computadores e outros grupos membros de um grupo.

Utilizando Grupos no Active Directory


Os grupos simplificam a administrao. Antes de voc poder efetivamente utilizar grupos, voc precisa entender a
sua funo e os tipos de grupos que voc pode criar. Active Directory fornece suporte para diferentes tipos de
grupos, e tambm fornece opes para determinar o seu escopo, que como o grupo pode ser utilizado em
mltiplos domnios.

Introduo a Grupos no Active Directory


Utilizando Grupos Globais

27/02/2015 14:22:46

Pgina 15

Utilizando Grupos Locais de Domnio


Utilizando Grupos Universais

Introduo a Grupos no Active Directory


Os grupos no Active Directory permitem que voc gerencie o acesso do usurio aos recursos do domnio pela
determinao de permisses uma nica vez para cada grupo em vez de vrias vezes para usurios individuais. H
dois tipos de grupos no Active Directory: grupos de segurana e grupos de distribuio. Ambos suportam um dos trs
escopos de grupo, que so: local de domnio, global ou universal.
Os usurios podem ser membros de mltiplos grupos. Voc utiliza grupos de segurana para determinar permisses
a grupos de usurios e computadores. Grupos de distribuio no podem ser utilizados para propsitos de
segurana. Grupos de Segurana e distribuio tm um atributo de escopo. O escopo de um grupo determina quem
pode ser um membro de um grupo, e onde voc pode utilizar aquele grupo na rede.
Um modo de utilizar grupos efetivamente atravs do aninhamento. Aninhar significa que voc pode adicionar um
grupo a outro grupo. O aninhamento de grupo herda as permisses do grupo do qual esse um membro, assim
simplificando a determinao de permisses para vrios grupos de uma vez.
Utilizando Grupos Globais
Utilize um grupo global para organizar usurios que compartilham as mesmas tarefas no trabalho e precisam de
requisitos similares de acesso rede.
A seguir um resumo das regras de participao de grupo global:

Participao: Pode conter contas de usurio e grupos globais do mesmo domnio.


Pode ser um membro de: O grupo global pode ser um membro dos grupos universal e local de domnio em
qualquer domnio e grupos globais no mesmo domnio.
Escopo. Um grupo global visvel dentro de seu domnio e todos os domnios confiados, que incluem todos
os domnios da floresta.
Pode ser determinada permisso para: Todos os domnios da floresta.

Devido aos grupos globais terem uma visibilidade ampla da floresta, eles no podem ser criados especificamente
para acesso a recursos especficos do domnio. Grupos globais so uma boa escolha para organizar usurios ou
grupos de usurios. Um tipo diferente de grupo mais apropriado para controlar o acesso aos recursos dentro do
domnio.
Utilizando Grupos Locais de Domnio
Utilize um grupo local de domnio para determinar permisses para recursos que so localizados no mesmo domnio
no qual voc criou o grupo local de domnio.
A seguir um resumo das regras de participao do grupo local de domnio:

Participao: Pode conter contas de usurio, grupos globais e grupos universais de qualquer domnio na
floresta, e grupos locais de domnio do mesmo domnio.
Pode ser um membro de: O grupo local de domnio pode ser um membro de grupos locais de domnio no
mesmo domnio.
Escopo: O grupo local de domnio visvel somente no seu domnio.
Pode ser determinada permisso para: O domnio em que o grupo local de domnio existe.

27/02/2015 14:22:46

Pgina 16

Voc pode adicionar todos os grupos globais que precisam compartilhar os mesmos recursos dentro do grupo local
de domnio apropriado.
Utilizando Grupos Universais
Utilize grupos universais para aninhar grupos globais de modo que voc possa determinar permisses para recursos
existentes em mltiplos domnios.
A seguir um resumo das regras de participao do grupo universal:

Participao: Pode conter contas de usurio, grupos globais e outros grupos universais de qualquer domnio
na floresta.
Pode ser um membro de: O grupo universal no aplicvel no modo misto. No modo nativo, o grupo
universal pode ser um membro dos grupos local de domnio e universal em qualquer domnio.
Escopo: Grupos universais so visveis em todos os domnios da floresta.
Pode ser determinada permisso para: Todos os domnios da floresta.

Criando um grupo de usurios

Para adicionar um grupo selecione a OU em que voc deseja acrescentar um determinado grupo. Aps no menu
Ao aponte para a opo Novo e aps selecione a opo Grupo.
27/02/2015 14:22:46

Pgina 17

A tela com as opes de criao de grupo apresentada.

27/02/2015 14:22:46

Pgina 18

Digite o nome do grupo e selecione o escopo e o tipo que voc deseja e clique no boto OK.

O grupo adicionado na OU.

27/02/2015 14:22:46

Pgina 19

Para acrescentar membros a esse grupo abra o mesmo e clique na aba membros.

27/02/2015 14:22:46

Pgina 20

27/02/2015 14:22:46

Pgina 21

Para adicionar um membro clique no boto Adicionar e na tela de busca de usurios digite o nome do membro que
ser adicionado ao grupo e selecione o boto Verificar Nomes.

Se o membro que voc procurou foi encontrado clique no boto OK para adicion-lo.

Se na tela de pesquisa voc digitar uma sentena que corresponde a mais de um resultado uma tela com os objetos
encontrados visualizada e voc seleciona o objeto que voc deseja.

27/02/2015 14:22:46

Pgina 22

Voc pode realizar o aninhamento de grupos para diminuir as tarefas de administrao. No exemplo estamos
aninhando o grupo ICTA PPGCTA Bolsistas ao grupo criado no exemplo chamado ICTA Bolsistas.

27/02/2015 14:22:46

Pgina 23

O AD da UFRGS mantm grupos especiais chamados grupos G esses grupos so criados automaticamente atravs
de outros sistemas da UFRGS e importados de forma automtica para o AD. Dessa forma possvel aninhar grupos
G, baseados em grupos j existentes nos sistemas acadmicos, dentro dos grupos criados na sua OU.
Os grupos iniciados por G2... so os vnculos que os usurios tem com a UFRGS, os iniciados por G3... so os
cursos e os iniciados por G4... so os rgos que o usurio est inserido.
Para encontrar esses grupos vamos usar a ferramenta de localizao do AD, para isso no Usurios e computadores
do Active Directory no menu Ao clique em Localizar.

27/02/2015 14:22:46

Pgina 24

A tela de localizao apresentada. A seguir no campo Em: altere da OU da sua unidade para a OU UFRGS-Grupos
para isso clique no boto procurar e selecione a OU UFRGS-Grupos e clique no boto OK.

27/02/2015 14:22:46

Pgina 25

Agora no campo descrio digite uma sentena de busca. Ex: icta e clique no boto Localizar Agora, a lista com os
grupos que tem essa descrio mostrada.

27/02/2015 14:22:46

Pgina 26

Se voc deseja aninhar um grupo G a um grupo que voc criou selecione com duplo clique o grupo G que ser
aninhado.

Nesse exemplo vamos usar o grupo G400623 para aninhar com o grupo ICTA - Biblioteca Funcionrios. Selecione
a aba Membro de e clique no boto Adicionar.

27/02/2015 14:22:46

Pgina 27

Aps digite o grupo que voc criou e deseja adicionar, no nosso exemplo o grupo icta biblioteca funcionarios,
clique no boto OK para finalizar. Aps feche a janela Localizar.

27/02/2015 14:22:46

Pgina 28

Se voc quiser conferir o alinhamento selecione o grupo criado por voc dentro da sua OU e clique na aba
Membros voc ver o grupo G adicionado como membro.
.

27/02/2015 14:22:46

Pgina 29

27/02/2015 14:22:46

Pgina 30

Outra forma de adicionar um grupo G selecionando o grupo criado dentro da sua OU.

Seleciona a aba Membros e clique no boto adicionar.

27/02/2015 14:22:46

Pgina 31

Na tela Selecionar Usurios, Contatos.... clique no boto Tipos de objeto e marque apenas Grupos e clique OK.

27/02/2015 14:22:46

Pgina 32

Para localizar um grupo G clique no boto Avanado e preencha um sentena de busca no campo Descrio:,
aps clique no boto Localizar agora.

27/02/2015 14:22:46

Pgina 33

No Resultado da pesquisa: selecione o grupo G que voc deseja adicionar ao grupo da sua OU e clique no boto
OK na tela de seleo clique novamente em OK.

Pronto o grupo G agora est aninhado ao grupo da sua OU, clique no boto OK para confirmar a operao.

27/02/2015 14:22:46

Pgina 34

Trabalhando com Computadores


Computadores so estaes de trabalho que pertencem ao AD. Nas estaes vinculadas ao AD possvel realizar um
logon interativo com os usurios pertencentes ao AD e com isso atribuir polticas para esses computadores.
Para que isso ocorra a estao de trabalho deve se tornar membro do domnio.
Os requisitos para realizar esse processo so:

Criao de um objeto computador dentro da OU da unidade.


Ter uma conta de administrador da OU em que essa estao ser adicionada
Ser um membro do grupo de administradores locais da estao

Para adicionar um objeto computador no AD vamos abrir o Usurios e Computadores do Active Directoty e
selecionar a OU em que queremos adicionar o objeto. No menu Ao selecionar a opo Novo e aps
Computador.

A tela de criao do objeto mostrada.

27/02/2015 14:22:46

Pgina 35

Vamos preencher com o nome da estao que ser adicionada ao AD e clicar no boto Alterar.... Observe que o
nome segue o padro de nomes para o AD da UFRGS sendo o mesmo a Unidade-Nmero patrimnio

Ao clicar no boto Alterar... vamos selecionar o usurio membro do domnio que poder adicionar o computador
ao AD e selecionar o boto OK.

27/02/2015 14:22:46

Pgina 36

Para adicionar o objeto s clicar no boto OK.

27/02/2015 14:22:46

Pgina 37

Agora vamos a estao de trabalho para tornar ela definitivamente membro do domnio.
Faa logon na estao de trabalho como um usurio membro do grupo de Administradores Locais.

27/02/2015 14:22:46

Pgina 38

Aps o logon vamos clicar no cone Iniciar, em Painel de Controle, em Sistema e Segurana e em Sistema.

27/02/2015 14:22:46

Pgina 39

Em Nome do computador, domnio e configuraes de grupo de trabalho, vamos clicar em Alterar configuraes.

27/02/2015 14:22:46

Pgina 40

Vamos clicar no boto Alterar. Selecionar em Membro de a opo Domnio e digitar o nome do domnio
ad.ufrgs.br, aps clicar em OK.

27/02/2015 14:22:46

Pgina 41

Aps necessrio indicar o usurio que tem permisso para adicionar essa estao ao AD. Digite as credenciais com
autorizao e clique no boto OK.

Se o processo finalizado de forma correta a caixa de dilogo apresentada. Clique em OK e

27/02/2015 14:22:46

Pgina 42

Uma nova caixa de dilogo apresentada solicitando que voc reinicie a estao, clique em OK.

Para finalizar clique no boto Fechar.

E finalmente em Reiniciar Agora.

27/02/2015 14:22:46

Pgina 43

O processo de adio da estao de trabalho est completo.


No prximo logon o padro a colocao de um usurio membro do domnio.

Caso seja necessrio o logon com uma conta local da estao o nome do usurio deve iniciar com .\

27/02/2015 14:22:46

Pgina 44

possvel colocar um usurio ou grupos do domnio no grupo Administradores local. Nesse cenrio o administrador
poder usar um membro do domnio como

Trabalhando com Permisses


As permisses de arquivos e pastas so uma importante forma de obter segurana em um sistema onde vrios
usurios compartilham um mesmo espao de armazenamento. Com elas o gerente pode determinar o nvel de
controle que os usurios tero sobre os arquivos localizados nos diretrios e determinar quem pode o que.
As principais permisses so:

Controle Total
o permite ao usurio controlar as permisses dos arquivos.
Modificar
o permite ao usurio ler e escrever arquivos e pastas
Ler & Executar
o permite ao usurio ler os arquivos e executar programas
o permite ao usurio ver as pastas e executar programas
Listar contedo de pasta
o permite ao usurio ver o contedo de uma pasta, aplicado apenas as pastas

27/02/2015 14:22:46

Pgina 45

Leitura
o permite ao usurio ler os arquivos
Gravar
o permite ao usurio alterar os arquivos e excluir
o permite ao usurio alterar as pastas e excluir

Outra atribuio dos arquivos e pastas a herana, se ela est habilitada as permisses so herdadas da pasta pai.
Se a herana no est ativa as permisses s sero alteradas para as pasta filho que tem a herana ativa.
Agora que j sabemos trabalhar com usurios e grupos vamos atribuir permisses aos arquivos e pastas disponveis
no sistema de arquivos da unidade.
O script de inicializao faz automaticamente a atribuio da letra O: para a unidade no nosso exemplo o sistema
de arquivos DFS \\ad.ufrgs.br\icta.

Para verificar as permisses vamos clicar com o boto direito sobre a unidade O: e selecionar Propriedades.

27/02/2015 14:22:46

Pgina 46

Aps a tela de Propriedades apresentada e vamos clicar na aba Segurana, selecione o usurio ger_icta e
verifique que ele tem a permisso Controle Total. J clicando no grupo ICTA Acesso ao compartilhamento a
permisso Ler & Executar. Com essas permisses os usurios que esto no grupo s podero ler os arquivos e
navegar pelas pastas, no permitido a eles salvar arquivos.

27/02/2015 14:22:46

Pgina 47

27/02/2015 14:22:46

Pgina 48

27/02/2015 14:22:46

Pgina 49

Vamos alterar as permisses para que os usurios de determinados grupos possam salvar arquivos nas pastas.
Clicando na unidade O: vemos as pastas Blibioteca, Comisses e Conselho.

27/02/2015 14:22:46

Pgina 50

Na pasta conselho vamos alterar as permisses para que as pessoas do grupo ICTA Conselho Funcionrios
possam salvar documentos nessa pasta, considerando que e essa pasta de uso exclusivo os membros do grupo
ICTA Acesso ao compartilhamento vo apenas ter a permisso Listar contedo de pasta.
Para isso com clique com o boto direto do mouse na pasta Conselho, aps selecione a opo Propriedades,
selecione a aba segurana e finalmente clique no boto Editar.

27/02/2015 14:22:46

Pgina 51

Clique no boto Adicionar e na caixa de pesquisa digite o grupo ICTA Conselho Funcionrios e clique no boto
OK.

Agora marque a opo Modificar para esse usurio e clique em OK.

27/02/2015 14:22:46

Pgina 52

Desta forma os usurios do grupos ICTA Acesso ao compartilhamento podero ler arquivos dentro desse diretrio
vamos alterar para que estes possam apenas listas as pastas. Para isso vamos clicar no boto Avanadas.

27/02/2015 14:22:46

Pgina 53

A tela com as permisses atuais para a pasta mostrada de uma outra forma. Observe na lista a coluna Herdar de;
para as permisses herdadas a coluna indica a pasta raiz como o pai, j para a permisso que acabamos de criar
para o grupo ICTA Conselho Funcionrios a informao No herdado. Como a permisso para o grupo ICTA
Acesso ao compartilhamento herdada temos que alterar a herana para essa pasta.

27/02/2015 14:22:46

Pgina 54

Para isso clicamos no boto Alterar permisses e desmarcamos a opo Incluir permisses herdveis prvinientes
do pai deste objeto.

27/02/2015 14:22:46

Pgina 55

Para aceitar essa opo na tea de aviso clique no boto Adicionar. Agora todas as opes so marcadas como No
herdado.

Clique no grupo ICTA Acesso ao compartilhamento e no boto Editar.

27/02/2015 14:22:46

Pgina 56

Altere em Aplicar em: para Esta pasta e subpastas e clique no boto OK.

27/02/2015 14:22:46

Pgina 57

Agora apenas membros do grupo ICTA Conselho Funcionrios podem ler arquivos e salvar dentro dessa pasta.
Clique no boto OK at fechar todas as janelas.

27/02/2015 14:22:46

Pgina 58

Vamos aplica a mesma permisso na pasta comisses s que usando o grupo ICTA Comisses Funcionrios
com permisso Ler & Executar.

27/02/2015 14:22:46

Pgina 59

J nas pastas filho da pasta comisses vamos aplicar a permisso Modificar para os grupos relativos a casa pasta.

Na pasta COMEX adicionamos o grupo ICTA COMEX Funcionrios com a permisso Modificar.

27/02/2015 14:22:46

Pgina 60

Uma situao o uso de pastas para leitura de arquivos. Em uma pasta um determinado grupo tem permisso para
modificar a mesma, mas outro determinado grupo deve ter apenas acesso de leitura a uma pasta. Um exemplo a
publicao de atas do conselho da unidade que podem ser lidas por todos os membros que tem acesso ao
compartilhamento.
Para isso voc pode criar uma pasta chamada Atas dentro da pasta Conselho.

27/02/2015 14:22:46

Pgina 61

Aps vamos alterar a permisso fazendo com que o grupo ICTA Acesso ao compartilhamento tenha a permisso
Leitura nessa pasta.

27/02/2015 14:22:46

Pgina 62

Migrando dados do perfil


Em uma estao de trabalho que j estava sendo utilizada pelos usurios talvez seja necessrio realizar a migrao
dos arquivos do perfil do usurio.
Aps a estao ingressar no domnio os usurios devem usar o nmero de carto UFRGS para efetuar o logon na
mesma. Nesse caso os arquivos de trabalho desse usurio ainda permanecem no perfil de usurio da conta local.
Como a estao no estava em um domnio todos os usurios cadastrados anteriormente so locais, ou seja
pertencem somente a aquela estao.
Para executar a migrao dos arquivos do perfil necessrio termos um usurio cadastrado como Administrador
Local da estao de trabalho que ser realizada a migrao.
Aps inserir a estao no domnio efetue o logon com a conta de usurio do AD e efetue o logoff. Esse processo de
logon/logoff serve apenas para criar o perfil do novo usurio na estao de trabalho.
Agora faa logon com uma conta que tenha permisso de Administrao Local. V at o menu Iniciar, selecione a
pasta Acessrios, depois Ferramentas do Sistema e finalmente clique no programa Transferncia Fcil do
Windows.

27/02/2015 14:22:46

Pgina 63

A tela de apresentao da ferramenta mostrada. Clique em Avanar.

27/02/2015 14:22:46

Pgina 64

Vamos selecionar agora como queremos guardar o arquivo de transferncia que vamos gerar nesse processo, como
a transferncia ser executada na mesma estao de trabalho vamos selecionar a opo Um Disco rgido externo ou
unidade flash USB.

27/02/2015 14:22:46

Pgina 65

Aps vamos informar que esse o computador que ir originar o arquivo de transferncia selecionando a opo
Este o meu computador antigo e clicando em Avanar.

27/02/2015 14:22:46

Pgina 66

A ferramenta ir analisar o seu computador em busca dos perfis de usurio que esto armazenados na estao.

27/02/2015 14:22:46

Pgina 67

Aps a anlise selecione apenas o perfil da conta de usurio local que voc deseja migrar e clique em Avanar.

27/02/2015 14:22:46

Pgina 68

solicitado uma senha para proteo do arquivo. Como iremos apagar o arquivo aps a migrao no necessrio a
colocao de uma senha. Clique no boto Salvar.

27/02/2015 14:22:46

Pgina 69

Agora escola um local (pode ser no prprio HD local) para salvar o arquivo de transferncia. No esquea de
identificar o arquivo com um nome que voc possa identificar de qual perfil foi originado esse arquivo de
transferncia. Aps clique no boto Salvar para executar o processo de gerao.

27/02/2015 14:22:46

Pgina 70

O processo executado e ao trmino clique no boto Avanar.

27/02/2015 14:22:46

Pgina 71

27/02/2015 14:22:46

Pgina 72

Para finalizar uma tela com as instrues de recuperao mostrada clique no boto Avana e depois no boto
Fechar.

27/02/2015 14:22:46

Pgina 73

Abra novamente a ferramenta Transferncia Fcil do Windows. Na tela abaixo selecione Este o meu computador
novo.

27/02/2015 14:22:46

Pgina 74

Selecione Sim para informar que voc j salvou o arquivo de transferncia fcil.

27/02/2015 14:22:46

Pgina 75

Selecione o arquivo no local que voc salvou a origem de dados e clique Abrir.

27/02/2015 14:22:46

Pgina 76

A tela com as informaes sobre qual o perfil que foi originalmente salvo mostrada. Selecione apenas as
informaes do perfil original. Como vamos transferir esses dados para outro perfil vamos clicar em Opes
avanadas.

Agora vamos selecionar o perfil criado para o usurio AD e clicar em Salvar. A tela anterior mostrada e clicamos
em Transferir.

27/02/2015 14:22:46

Pgina 77

A tarefa executada.

Ao final clique no boto Fechar. Faa o logoff da conta administrativa e o logon com a conta do AD.

27/02/2015 14:22:46

Pgina 78

Aps o logon verifique se todos os arquivos e configuraes do usurio foram migradas de forma correta.
Voc pode fazer o mesmo procedimento no Windows Vista. Execute o programa Transferncia Fcil do Windows.

27/02/2015 14:22:46

Pgina 79

A tela inicial mostrada, clique em Avavnar.

27/02/2015 14:22:46

Pgina 80

Selecione a opo Iniciar uma nova transferncia.

Selecione Meu computador antigo.


27/02/2015 14:22:46

Pgina 81

Selecione Usar um CD, DVD ou outro tipo de mdia removvel.

Selecione, Disco rgido externo ou local da rede.


27/02/2015 14:22:46

Pgina 82

Selecione o local onde voc ir salvar o arquivo com o perfil do usurio e um nome que identifique qual perfil est
sendo migrado. No necessrio atribuir uma senha. Clique em Avanar.

27/02/2015 14:22:46

Pgina 83

Selecione, Opes avanadas para selecionar qual o perfil que ser migrado. O computador ir analisar os
diretrios de perfil.

Selecione apenas o perfil que voc deseja realizar a migrao.

27/02/2015 14:22:46

Pgina 84

O processo de gerao do arquivo iniciado.

Ao trmino clique no boto Fechar.


27/02/2015 14:22:46

Pgina 85

Agora vamos iniciar novamente o programa Transferncia Fcil do Windows, vamos clicar na tela inicial no boto
Avanar e depois na opo Continuar uma transferncia em andamento.

Selecione, No, j copiei arquivos e configuraes..... Na prxima tela selecione Em um disco rgido.....

27/02/2015 14:22:46

Pgina 86

Clique no boto Procurar e selecione o arquivo que contm os dados originais e clique em Abrir.

27/02/2015 14:22:46

Pgina 87

Aps selecionar o arquivo clique no boto Avanar.

27/02/2015 14:22:46

Pgina 88

Selecione para qual o perfil do AD que voc deseja migrar o perfil original e clique no boto Avanar.

Clique no boto Transferir.

27/02/2015 14:22:46

Pgina 89

O processo executado ao trmino clique no boto Fechar.

27/02/2015 14:22:46

Pgina 90

Uma mensagem informando que voc deve fazer o logoff mostrada, clique em Sim para executar a ao. Aps
efetue o logon com a conta de usurio do AD e verifique se os arquivos e configuraes foram transferidas para o
perfil.

FAQ
Erro
No foi possvel estabelecer uma relao de confiana entre o servidor e esta estao de trabalho.
Soluo
Remover a estao do domnio e refazer o processo de ingresso no domnio.

27/02/2015 14:22:46

Pgina 91

Das könnte Ihnen auch gefallen