Professional Documents
Culture Documents
GRUPOS
Os grupos locais, que existem em computadores locais e não no Active Directory, são
discutidos em Grupos locais padrão
• Crie listas de distribuição de email. Para obter mais informações, consulte Tipos de
grupos
Há também grupos para os quais você não pode modificar ou exibir as participações.
Esses grupos são chamados de identidades especiais e são usados para representar
diferentes usuários em diferentes ocasiões, dependendo das circunstâncias. Por
exemplo, o grupo <b>Todos</b> representa todos os usuários de rede atuais,
inclusive convidados e usuários de outros domínios. Para obter mais informações,
consulte Identidades especiais .
ESCOPO DE GRUPO
Quando o nível funcional de Quando o nível funcional doQuando o nível funcional do domínio
domínio é definido como domínio é definido comoé definido como Windows 2000
Windows 2000 misto, os Windows 2000 misto, osmisto, os membros de grupos de
grupos de segurança com membros de grupos globaisdomínio local podem incluir contas e
escopo universal não podem podem incluir subcontas dogrupos globais de qualquer domínio.
ser criados. mesmo domínio.
Quando o nível funcional do Os grupos podem serOs grupos podem ser adicionados a
domínio é definido como adicionados a outros gruposoutros grupos de domínio local e
Windows 2000 nativo ou e receber permissões parareceber permissões somente no
Windows Server 2003, os qualquer domínio. mesmo domínio.
grupos podem ser
adicionados a outros grupos
e receber permissões para
qualquer domínio.
Os grupos podem ser Os grupos podem serOs grupos podem ser convertidos
convertidos em escopo de convertidos em escopoem escopo universal, desde que não
domínio local. Os grupos universal, desde que o grupotenham como membro outro grupo
podem ser convertidos em não seja membro de nenhumcom escopo de domínio local.
escopo global, desde que não outro grupo com escopo
existam outros grupos global.
universais como membros.
QUANDO USAR GRUPOS COM ESCOPO DE DOMÍNIO LOCAL
Por exemplo, para fornecer aos usuários acesso a uma determinada impressora, você
pode adicionar todas as cinco contas de usuário à lista de permissões da impressora.
Se, no entanto, mais tarde desejar fornecer aos cinco usuários acesso a uma nova
impressora, terá de especificar novamente todas as cinco contas na lista de
permissões da nova impressora.
Use grupos com escopo global para gerenciar objetos de diretório que exijam
manutenção diária, como contas de usuário e de computador. Como os grupos com
escopo global não são replicados fora de seu próprio domínio, as contas em um grupo
que tem escopo global podem ser alteradas freqüentemente sem que isso gere
tráfego de replicação para o catálogo global. Para obter mais informações sobre
grupos e replicação, consulte Como a duplicação funciona.
Use grupos com escopo universal para consolidar os grupos que estendam domínios.
Para fazer isso, adicione as contas a grupos com escopo global e aninhe esses grupos
em grupos que tenham escopo universal. Com essa estratégia, todas as alterações de
participação nos grupos com escopo global não afetarão os grupos com escopo
universal.
Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo
que tenha escopo global chamado ContabilidadeGL em cada domínio, crie um grupo
com escopo universal chamado ContabilidadeU para ter como seus membros os dois
grupos ContabilidadeGL: ContabilidadeEstadosUnidos\GL e ContabilidadeEuropa\GL. O
grupo ContabilidadeU pode ser usado em qualquer parte da empresa. Todas as
alterações na participação dos grupos individuais ContabilidadeGL não causarão a
replicação do grupo ContabilidadeU.
A participação de um grupo com escopo universal não deve ser alterada com
freqüência, pois todas as alterações feitas nessas participações de grupo podem fazer
com que toda a participação do grupo seja replicada em cada catálogo global na
floresta. Para obter mais informações sobre grupos universais e replicação, consulte
Catálogos globais e locais.
Por padrão, quando um novo grupo é criado, ele é configurado como um grupo de
segurança com escopo global, independentemente do nível funcional do domínio
atual. Embora a alteração de um escopo de grupo não seja permitida em domínios
com o nível funcional de domínio definido como Windows 2000 misto, as seguintes
conversões são permitidas em domínios com o nível funcional de domínio definido
como Windows 2000 nativo ou Windows Server 2003:
• Global em universal. Só será permitido se o grupo que você deseja alterar não for
membro de outro grupo com escopo global.
• Domínio local em universal. Só será permitido se o grupo que você deseja alterar
não tem outro grupo de domínio local como membro.
• Universal em global. Só será permitido se o grupo que você deseja alterar não tem
outro grupo universal como membro.
TIPOS DE GRUPOS
Os grupos são usados para reunir contas de usuário, contas de computador e outras
contas de grupo em unidades gerenciáveis. Trabalhar com grupos em lugar de
usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Há dois tipos de grupo no Active Directory: grupos de distribuição e grupos de
segurança. Você pode usar grupos de distribuição para criar listas de distribuição de
email e grupos de segurança para atribuir permissões para recursos compartilhados.
GRUPOS DE DISTRIBUIÇÃO
Os grupos de distribuição podem ser usados somente com aplicativos de email (como
o Exchange) para enviar mensagens para grupos de usuários. Os grupos de
distribuição não são habilitados para segurança, o que significa que não podem ser
listados em listas de controle de acesso discricional (DACLs). Se você precisa de um
grupo para controlar o acesso a recursos compartilhados, crie um grupo de segurança.
GRUPOS DE SEGURANÇA
Quando usados com cuidado, os grupos de segurança são uma forma eficaz de
atribuir acesso a recursos na rede. Com grupos de segurança, você pode:
Isso é possível porque, por padrão, os direitos de usuário Fazer backup de arquivos
e diretórios e Restaurar arquivos e pastas são atribuídos automaticamente ao grupo
Operadores de Backup. Portanto, os membros deste grupo herdam os direitos de
usuário atribuídos ao grupo. Para obter mais informações sobre direitos de usuário,
consulte Direitos do usuário. Para obter mais informações sobre os direitos de
usuário atribuídos a grupos de segurança, consulte Grupos padrão.
Observação