As contas de usuário são usadas para autenticar, autorizar ou negar o acesso a recursos e para fazer auditoria da atividade de usuários individuais na rede. Uma conta de grupo é um conjunto de contas de usuário que você pode usar para atribuir um conjunto de permissões e direitos a vários usuários simultaneamente. Um grupo também pode conter contatos, computadores e outros grupos. Você pode criar contas de usuário e de grupo no Active Directory para gerenciar usuários de domínio. Também é possível criar contas de usuário e de grupo em um computador local para gerenciar usuários específicos a esse computador.
Criar uma conta de usuário no Active Directory
Abra Usuários e Computadores do Active Directory.
Na árvore de console, clique com o botão direito do mouse na pasta à qual você deseja adicionar uma conta de usuário.
Ex: Usuários e Computadores do Active Directory/nó de domínio/pasta
Aponte para Novo e clique em Usuário.
Em Nome, digite o nome do usuário.
Em Iniciais, digite as iniciais do usuário.
Em Sobrenome, digite o sobrenome do usuário.
Modifique a opção Nome completo para adicionar iniciais ou inverter a ordem do nome e sobrenome.
Em Nome de Logon do Usuário, digite o nome de logon do usuário, clique no sufixo UPN na lista suspensa e, em seguida, clique em Avançar.
Se o usuário for usar um nome diferente para fazer logon em computadores que executem Windows 95, Windows 98 ou Windows NT, você pode trocar o nome de logon do usuário conforme aparece em Nome de Logon do Usuário (anterior ao Windows 2000) por esse outro nome.
Em Senha e Confirmar senha, digite a senha do usuário e selecione as opções de senha apropriadas:
O usuário deverá alterar a senha no próximo logon
O usuário não pode alterar a senha
A senha nunca expira
Conta desativada
Clique em Criar e, em seguida, clique em Fechar.
Escopo de grupo
Qualquer grupo, não importa se um grupo de segurança ou um grupo de distribuição, é caracterizado por um escopo que identifica a extensão em que o grupo é aplicado à árvore do domínio ou floresta. O limite, ou alcance, de um escopo de grupo, também é determinado pelo nível funcional do domínio em que ele reside. Existem três escopos de grupo: universal, global e domínio local.
Grupo Universal
* Inclua membros de Contas de qualquer domínio na floresta em que o grupo Universal reside
* Inclua membros de Grupos globais de qualquer domínio na floresta em que o grupo Universal reside
* Inclua membros de Grupos universais de qualquer domínio na floresta em que o grupo Universal reside
* O grupo pode ser atribuído a permissões em qualquer domínio ou floresta
* O grupo pode ser convertido em Grupo Domínio Local e Grupo Global (desde que nenhum outro grupo universal exista como membro)
Quando usar grupos com escopo universal
Use grupos com escopo universal para consolidar os grupos que estendam domínios. Para fazer isso, adicione as contas a grupos com escopo global e aninhe esses grupos em grupos que tenham escopo universal. Quando você usa essa estratégia, as alterações na participação dos grupos que tenham escopo global não afetam os grupos com escopo universal.
Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo que tenha escopo global chamado ContabilidadeGL em cada domínio, crie um grupo com escopo universal chamado ContabilidadeU para ter como seus membros os dois grupos ContabilidadeGL: ContabilidadeEstadosUnidos\GL e ContabilidadeEuropa\GL. O grupo ContabilidadeU pode ser usado em qualquer parte da empresa. Todas as alterações na participação dos grupos individuais ContabilidadeGL não causarão a replicação do grupo ContabilidadeU.
Grupo Global
* Inclua membros de Contas do mesmo domínio que o grupo global pai
* Inclua membros de Grupos globais do mesmo domínio que o grupo global pai
* O grupo pode ser atribuído a permissões do membro podem ser atribuídas em qualquer domínio
* Pode ser convertido para Grupo Universal (desde que não seja membro de nenhum outro grupo global)
Quando usar grupos com escopo global
Use grupos com escopo global para gerenciar objetos de diretório que exijam manutenção diária, como contas de usuário e de computador. Como os grupos com escopo global não são replicados fora de seu próprio domínio, as contas em um grupo que tem escopo global podem ser alteradas freqüentemente sem que isso gere tráfego de replicação para o catálogo global. Para obter mais informações sobre grupos e replicação, consulte Como a duplicação funciona.
Embora as atribuições de direitos e permissões sejam válidas somente no domínio no qual são atribuídas, ao aplicar grupos com escopo global de forma uniforme nos domínios apropriados, você pode consolidar referências a contas com finalidades semelhantes. Isso simplifica e racionaliza o gerenciamento do grupo nos domínios. Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, se você tiver um grupo com escopo global chamado ContabilidadeGL no domínio EstadosUnidos, crie um grupo chamado ContabilidadeGL no domínio Europa (a menos que a função de contabilidade não exista no domínio Europa).
Grupo Domínio local
* Inclua membros de Contas de qualquer domínio
* Inclua membros de Grupos globais de qualquer domínio
* Inclua membros de Grupos universais de qualquer domínio
* Inclua membros de Grupos de domínio local, mas somente para o mesmo domínio que o grupo de domínio local pai
* É possível atribuir permissões de membro somente no mesmo domínio que o grupo de domínio local pai
* Pode ser convertido para Grupos Universal (desde que nenhum outro grupo de domínio local exista como membro)
Quando usar grupos com escopo de domínio local
Os grupos com escopo de domínio local ajudam a definir e gerenciar o acesso a recursos em um único domínio. Por exemplo, para fornecer aos usuários acesso a uma determinada impressora, você pode adicionar todas as cinco contas de usuário à lista de permissões da impressora. Se, no entanto, mais tarde desejar fornecer aos cinco usuários acesso a uma nova impressora, terá de especificar novamente todas as cinco contas na lista de permissões da nova impressora.
Com um pouco de planejamento, você pode simplificar essa tarefa administrativa rotineira criando um grupo com escopo de domínio local e atribuindo-lhe permissão para acessar a impressora. Inclua as cinco contas de usuário em um grupo com escopo global e adicione esse grupo àquele que tem o escopo de domínio local. Quando você desejar fornecer aos cinco usuários acesso a uma nova impressora, atribua ao grupo com o escopo de domínio local permissão para acessar a nova impressora. Todos os membros do grupo com escopo global automaticamente recebem acesso à nova impressora.
Criar uma conta de grupo no Active Directory
Abra Usuários e Computadores do Active Directory.
Na árvore de console, clique com o botão direito do mouse na pasta à qual você deseja adicionar um novo grupo.
Ex: Usuários e Computadores do Active Directory/nó de domínio/pasta
Aponte para Novo e clique em Grupo.
Digite o nome do novo grupo.
Por padrão, o nome que você digita também é fornecido como o nome anterior ao Windows 2000 do novo grupo.
Escolha o Escopo do Grupo e o Tipo.