Noções básicas sobre grupos

GRUPOS

Um grupo é um conjunto de contas de usuários e computadores, contatos e outros

grupos que podem ser gerenciados como uma unidade. Os usuários e os
computadores que pertencem a um grupo específico são chamados de membros do
grupo.

Usar grupos pode simplificar a administração ao atribuir um conjunto comum de

permissões e direitos a várias contas simultaneamente, em vez de atribuir as
permissões e os direitos a cada conta individualmente. Para obter uma visão geral
sobre permissões e direitos, consulte Visão geral sobre o controle de acesso .

Os grupos podem ser baseados em diretório ou estar localizados em um computador

específico. Os grupos no Active Directory são objetos de diretório que residem em um
domínio e objetos de recipiente de unidade organizacional. O Active Directory fornece
um conjunto de grupos padrão na instalação e também permite a opção de criar
grupos. Para obter mais informações, consulte Grupos padrão

Os grupos locais, que existem em computadores locais e não no Active Directory, são
discutidos em Grupos locais padrão

Os grupos no Active Directory permitem:

• Simplificar a administração, atribuindo permissões sobre um recurso compartilhado

a um grupo e não a usuários individuais. Isso atribui o mesmo acesso ao recurso a
todos os membros do grupo.

• Delegue a administração atribuindo direitos de usuário uma vez para um grupo

usando uma <b>Diretiva de Grupo</b> e, em seguida, adicionando ao grupo os
membros aos quais deseja conceder os mesmos direitos do grupo.

• Crie listas de distribuição de email. Para obter mais informações, consulte Tipos de
grupos

Os grupos são caracterizados pelo escopo e pelo tipo. O escopo de um grupo

determina a extensão à qual o grupo é aplicado no domínio ou na floresta. Para obter
informações sobre escopos de grupo, consulte Escopo de grupo. O tipo de grupo
determina se um grupo pode ser usado para atribuir permissões a partir de um
recurso compartilhado (para grupos de segurança) ou se um grupo pode ser usado
somente para listas de distribuição de email (para grupos de distribuição). Para obter
informações sobre grupos de segurança e grupos de distribuição, consulte Tipos de
grupos .

Há também grupos para os quais você não pode modificar ou exibir as participações.
Esses grupos são chamados de identidades especiais e são usados para representar
diferentes usuários em diferentes ocasiões, dependendo das circunstâncias. Por
exemplo, o grupo <b>Todos</b> representa todos os usuários de rede atuais,
inclusive convidados e usuários de outros domínios. Para obter mais informações,
consulte Identidades especiais .
ESCOPO DE GRUPO

Os grupos, não importa se são um grupo de segurança ou um grupo de distribuição,

são caracterizados por um escopo que identifica a extensão em que o grupo é aplicado
à árvore do domínio ou floresta. Existem três escopos de grupo: universal, global e
domínio local.

• Os membros de grupos universais podem incluir outros grupos e contas de

qualquer domínio na árvore de domínio ou floresta e podem ter permissões para
qualquer domínio na árvore de domínio ou floresta.

• Os membros de grupos globais podem incluir outros grupos e contas somente do

domínio no qual o grupo está definido e podem ter permissões para qualquer
domínio na floresta.

• Os grupos de grupos de domínio local podem incluir outros grupos e contas de

domínios Windows Server 2003, Windows 2000 ou Windows NT e podem ter
permissões somente em um domínio.

A tabela a seguir resume os comportamentos dos diferentes escopos de grupo.

Escopo universal Escopo global Escopo de domínio local

Quando o nível funcional do Quando o nível funcional doQuando o nível funcional do domínio
domínio é definido como domínio é definido comoé definido como Windows 2000
Windows 2000 nativo ou Windows 2000 nativo ounativo ou Windows Server 2003, os
Windows Server 2003, os Windows Server 2003, osmembros de escopo de domínio
membros de grupos membros de grupos globaislocal podem incluir contas, grupos
universais podem incluir podem incluir contas eglobais e grupos universais de
contas, grupos globais e grupos globais do mesmoqualquer domínio, assim como
grupos universais de domínio. grupos de domínio local do mesmo
qualquer domínio. domínio.

Quando o nível funcional de
domínio é definido como
Windows 2000 misto, os
grupos de segurança com
escopo universal não podem
ser criados.
Quando o nível funcional doQuando o nível funcional do domínio
domínio é definido comoé definido como Windows 2000
Windows 2000 misto, osmisto, os membros de grupos de
membros de grupos globaisdomínio local podem incluir contas e
podem incluir subcontas dogrupos globais de qualquer domínio.
mesmo domínio.

Quando o nível funcional do Os grupos podem serOs grupos podem ser adicionados a
domínio é definido como adicionados a outros gruposoutros grupos de domínio local e
Windows 2000 nativo ou e receber permissões parareceber permissões somente no
Windows Server 2003, os qualquer domínio. mesmo domínio.
grupos podem ser
adicionados a outros grupos
e receber permissões para
qualquer domínio.

Os grupos podem ser Os grupos podem serOs grupos podem ser convertidos
convertidos em escopo de convertidos em escopoem escopo universal, desde que não
domínio local. Os grupos universal, desde que o grupotenham como membro outro grupo
podem ser convertidos em não seja membro de nenhumcom escopo de domínio local.
escopo global, desde que não outro grupo com escopo
existam outros grupos global.
universais como membros.
QUANDO USAR GRUPOS COM ESCOPO DE DOMÍNIO LOCAL

Os grupos com escopo de domínio local ajudam a definir e gerenciar o acesso a

recursos em um único domínio. Esses grupos podem ter como membros:

• Grupos com escopo global

• Grupos com escopo universal
• Contas
• Outros grupos com escopo de domínio local
• Uma combinação de quaisquer itens acima

Por exemplo, para fornecer aos usuários acesso a uma determinada impressora, você
pode adicionar todas as cinco contas de usuário à lista de permissões da impressora.
Se, no entanto, mais tarde desejar fornecer aos cinco usuários acesso a uma nova
impressora, terá de especificar novamente todas as cinco contas na lista de
permissões da nova impressora.

Com um pouco de planejamento, você pode simplificar essa tarefa administrativa

rotineira criando um grupo com escopo de domínio local e atribuindo-lhe permissão
para acessar a impressora. Inclua as cinco contas de usuário em um grupo com
escopo global e adicione esse grupo àquele que tem o escopo de domínio local.
Quando você desejar fornecer aos cinco usuários acesso a uma nova impressora,
atribua ao grupo com o escopo de domínio local permissão para acessar a nova
impressora. Todos os membros do grupo com escopo global automaticamente
recebem acesso à nova impressora.

QUANDO USAR GRUPOS COM ESCOPO GLOBAL

Use grupos com escopo global para gerenciar objetos de diretório que exijam
manutenção diária, como contas de usuário e de computador. Como os grupos com
escopo global não são replicados fora de seu próprio domínio, as contas em um grupo
que tem escopo global podem ser alteradas freqüentemente sem que isso gere
tráfego de replicação para o catálogo global. Para obter mais informações sobre
grupos e replicação, consulte Como a duplicação funciona.

Embora as atribuições de direitos e permissões sejam válidas somente no domínio no

qual são atribuídas, ao aplicar grupos com escopo global de forma uniforme nos
domínios apropriados, você pode consolidar referências a contas com finalidades
semelhantes. Isso simplificará e racionalizará o gerenciamento de grupos em
domínios. Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, se
houver um grupo com escopo global chamado ContabilidadeGL no domínio
EstadosUnidos, também deverá haver um grupo chamado ContabilidadeGL no domínio
Europa (a menos que a função de contabilidade não exista no domínio Europa)

É recomendável usar grupos globais ou grupos universais em vez de grupos de

domínio local ao especificar permissões para objetos de diretório de domínio
replicados para o catálogo global. Para obter mais informações, consulte Duplicação
do catálogo global .

QUANDO USAR GRUPOS COM ESCOPO UNIVERSAL

Use grupos com escopo universal para consolidar os grupos que estendam domínios.
Para fazer isso, adicione as contas a grupos com escopo global e aninhe esses grupos
em grupos que tenham escopo universal. Com essa estratégia, todas as alterações de
participação nos grupos com escopo global não afetarão os grupos com escopo
universal.
Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo
que tenha escopo global chamado ContabilidadeGL em cada domínio, crie um grupo
com escopo universal chamado ContabilidadeU para ter como seus membros os dois
grupos ContabilidadeGL: ContabilidadeEstadosUnidos\GL e ContabilidadeEuropa\GL. O
grupo ContabilidadeU pode ser usado em qualquer parte da empresa. Todas as
alterações na participação dos grupos individuais ContabilidadeGL não causarão a
replicação do grupo ContabilidadeU.

A participação de um grupo com escopo universal não deve ser alterada com
freqüência, pois todas as alterações feitas nessas participações de grupo podem fazer
com que toda a participação do grupo seja replicada em cada catálogo global na
floresta. Para obter mais informações sobre grupos universais e replicação, consulte
Catálogos globais e locais.

ALTERANDO O ESCOPO DE GRUPO

Por padrão, quando um novo grupo é criado, ele é configurado como um grupo de
segurança com escopo global, independentemente do nível funcional do domínio
atual. Embora a alteração de um escopo de grupo não seja permitida em domínios
com o nível funcional de domínio definido como Windows 2000 misto, as seguintes
conversões são permitidas em domínios com o nível funcional de domínio definido
como Windows 2000 nativo ou Windows Server 2003:

• Global em universal. Só será permitido se o grupo que você deseja alterar não for
membro de outro grupo com escopo global.

• Domínio local em universal. Só será permitido se o grupo que você deseja alterar
não tem outro grupo de domínio local como membro.

• Universal em global. Só será permitido se o grupo que você deseja alterar não tem
outro grupo universal como membro.

• Universal em domínio local. Não há restrições para esta operação.

Para obter mais informações, consulte Alterar o escopo do grupo

GRUPOS EM CLIENTES E SERVIDORES AUTÔNOMOS

Alguns recursos de grupo, como grupos universais, aninhamento de grupos e a

distinção entre grupos de segurança e grupos de distribuição estão disponíveis
somente nos controladores de domínio do Active Directory e em servidores membros.
As contas de grupo no Windows 2000 Professional, Windows XP Professional,
Windows 2000 Server e em servidores autônomos que executam o Windows
Server 2003 funcionam da mesma forma que no Windows NT 4.0.

• Somente grupos locais podem ser criados localmente no computador.

• Um grupo local criado em um desses computadores pode ter permissões somente

nesse computador.

Para obter mais informações, consulte Grupos locais padrão

TIPOS DE GRUPOS
Os grupos são usados para reunir contas de usuário, contas de computador e outras
contas de grupo em unidades gerenciáveis. Trabalhar com grupos em lugar de
usuários individuais ajuda a simplificar a manutenção e a administração da rede.
Há dois tipos de grupo no Active Directory: grupos de distribuição e grupos de
segurança. Você pode usar grupos de distribuição para criar listas de distribuição de
email e grupos de segurança para atribuir permissões para recursos compartilhados.

GRUPOS DE DISTRIBUIÇÃO

Os grupos de distribuição podem ser usados somente com aplicativos de email (como
o Exchange) para enviar mensagens para grupos de usuários. Os grupos de
distribuição não são habilitados para segurança, o que significa que não podem ser
listados em listas de controle de acesso discricional (DACLs). Se você precisa de um
grupo para controlar o acesso a recursos compartilhados, crie um grupo de segurança.

GRUPOS DE SEGURANÇA

Quando usados com cuidado, os grupos de segurança são uma forma eficaz de
atribuir acesso a recursos na rede. Com grupos de segurança, você pode:

• Atribuir direitos de usuário a grupos de segurança no Active Directory

Os direitos de usuário são atribuídos a grupos de segurança para determinar o que

os membros do grupo podem fazer no escopo de um domínio (ou floresta). Os
direitos de usuário são atribuídos automaticamente a alguns grupos de segurança
na instalação do Active Directory, para ajudar os administradores a definir a função
administrativa de um usuário no domínio. Por exemplo, um usuário adicionado ao
grupo <b>Operadores de cópia</b> no Active Directory tem o direito de fazer
backup e restaurar arquivos e diretórios localizados em todos os controladores de
domínio no domínio.

Isso é possível porque, por padrão, os direitos de usuário Fazer backup de arquivos
e diretórios e Restaurar arquivos e pastas são atribuídos automaticamente ao grupo
Operadores de Backup. Portanto, os membros deste grupo herdam os direitos de
usuário atribuídos ao grupo. Para obter mais informações sobre direitos de usuário,
consulte Direitos do usuário. Para obter mais informações sobre os direitos de
usuário atribuídos a grupos de segurança, consulte Grupos padrão.

Você pode atribuir direitos de usuário a grupos de segurança, usando Diretivas de

Grupo, para ajudar a delegar tarefas específicas. Seja criterioso ao atribuir tarefas
delegadas, porque um usuário sem treinamento que tenha direitos demais em um
grupo de segurança tem potencial para causar danos significativos à rede. Para
obter mais informações, consulte Delegando a administração. Para obter mais
informações sobre a atribuição de direitos de usuário a grupos, consulte Atribuir
direitos de usuário a um grupo no Active Directory.

• Atribuir permissões a grupos de segurança para recursos

As permissões não devem ser confundidas com direitos de usuário. As permissões

são atribuídas ao grupo de segurança no recurso compartilhado. As permissões
determinam quem pode acessar o recurso e o nível de acesso, como Controle Total.
Algumas permissões definidas em objetos de domínio são atribuídas
automaticamente para permitir vários níveis de acesso a grupos de segurança
padrão, como <b>Opers. de contas</b> ou <b>Admins. do domínio</b>. Para
obter mais informações sobre permissões, consulte Controle de acesso no Active
Directory.

Os grupos de segurança são listados em DACLs que definem permissões para

 recursos e objetos. Ao atribuir permissões para recursos (compartilhamentos de
arquivos, impressoras e assim por diante), os administradores devem atribuir essas
permissões a um grupo de segurança em vez de a usuários individuais. As
permissões são atribuídas uma vez ao grupo, em vez de várias vezes a cada
usuário. Cada conta adicionada a um grupo recebe os direitos atribuídos ao grupo
no Active Directory e as permissões definidas para aquele grupo no recurso.

Como os grupos de distribuição, os grupos de segurança também podem ser usados

como uma entidade de email. Quando você envia um email para o grupo, ele é
enviado para todos os participantes do grupo.

CONVERTER GRUPOS DE SEGURANÇA EM GRUPOS DE DISTRIBUIÇÃO E VICE- VERSA

Um grupo pode ser convertido de grupo de segurança em grupo de distribuição, e

vice-versa, a qualquer momento, mas somente se o nível funcional do domínio estiver
definido como Windows 2000 nativo ou superior. Os grupos não podem ser
convertidos quando o nível funcional do domínio estiver definido como Windows 2000
misto.

Para obter informações específicas sobre os procedimentos, consulte Converter um

grupo em outro tipo de grupo. Para obter mais informações sobre a funcionalidade de
domínio, consulte Funcionalidade de domínio e de floresta.

Observação

• Embora um contato possa ser adicionado a um grupo de segurança e a um grupo

de distribuição, não é possível atribuir direitos e permissões a contatos. É possível
enviar email aos contatos em um grupo.