Clique Aqui Para Baixar um Trecho do Livro

Transcrição

Autores: Júlio Battisti e Eduardo Popovici
Livro: Windows Server 2012 R2 - Curso Completo
Este arquivo contém algumas páginas de demonstração do
conteúdo do livro. O livro, com cerca de 2100 páginas, pode ser
adquirido através do seguinte endereço:
http://www.juliobattisti.com.br/indjb/livros/ server2012/

Este arquivo é de livre distribuição. Compartilhe este arquivo com
seus amigos, colegas e conhecidos.

Compartilhe através do Facebook, Twitter, Google+, etc.

Desta maneira você me ajuda a divulgar o livro e eu te ajudo e
consigo criar novos E-books e novas demonstrações com
conteúdo útil para compartilhar com você e com seus amigos.

Não esqueça de acessar as áreas de artigos e tutoriais do meu
site, onde você encontra mais de 75.000 páginas de conteúdo
inteiramente gratuito:

o
http://juliobattisti.com.br/artigos
o
http://juliobattisti.com.br/tutoriais
Confira também o nosso canal de vídeos no Youtube, com
centenas de vídeo aulas gratuitas e novos vídeos sendo
adicionados, todos os dias:
o
https://www.youtube.com/user/JBLivrosCursos

Comente, compartilhe, indique para os amigos.

Nossa página no Facebook (diariamente farei publicações com Ebooks gratuitos para download, vídeo aulas gratuitas e muito
mais:
o https://www.facebook.com/juliobattistilivrosecursos
Autor:
E-mail:
Skype:
Site:
Júlio Battisti
[email protected]
[email protected]
http://www.juliobattisti.com.br
Autor:
E-mail:
Skype:
Site:
Eduardo Popovici
[email protected]
eduardo_popovici
http://www.htbraz.com.br
75.000 Páginas de Conteúdo Gratuito em: http://www.juliobattisti.com.br/artigos
:: Capítulo 09 - Administração de Usuários, Grupos e
Unidades Organizacionais do Active Directory
Introdução:
Neste capítulo você aprenderá sobre os seguintes assuntos:







O conceito de contas de usuários, contas de computadores e grupos de usuários.
Criação e administração de contas de usuários e de computadores.
Criação e administração de grupos de usuários.
Criação e administração de Unidades Organizacionais.
O modelo de permissões do Windows Server 2012 R2.
Definição de políticas de senhas e contas para o Active Directory
Comandos para o gerenciamento de contas e grupos do Active Directory
Em muitos livros sobre o Windows Server 2012 R2, você irá encontrar o capítulo sobre Contas de
Usuários, Grupos e Unidades Organizacionais, quase no final do livro. Eu optei por trazer este
capítulo para praticamente o início do livro, pois utilizamos os conceitos de usuários, grupos e
permissões de acesso em quase todos os assuntos do livro. Por isso consideramos importante que,
logo após instalado e configurado o Active Directory, o primeiro assunto a ser tratado fosse sobre
contas de usuários, grupos, computadores e sobre permissões de acesso. Que são justamente os
assuntos deste e dos próximos capítulos.
Quando você trabalha na rede da empresa, o Windows Server 2012 R2 precisa de uma maneira para
poder identificar quem é o usuário logado e quais ações ele está realizando ao acessar os recursos de
um ou mais servidores da rede (arquivos em pastas compartilhadas, impressoras compartilhadas,
acesso a Internet, etc.). O Windows Server 2012 R2 também precisa identificar cada usuário para
liberar ou não o acesso a recursos protegidos por permissões de acesso. Por exemplo, se você tem
uma pasta compartilhada chamada Docs, no servidor SRV01. Nesta pasta o Administrador
configurou as permissões de acesso, de tal maneira que somente o usuário José da Silva possa
acessar esta pasta. O Windows Server 2012 R2 precisa saber quem é o usuário que está “tentando”
acessar a pasta. Se for o José da Silva, o Windows Server 2012 R2 libera o acesso, caso contrário o
acesso é negado. Simples assim.
O Windows Server 2012 R2 identifica cada usuário pelas informações de logon. Quem informações
são essas? Um nome com o qual o usuário foi cadastrado na rede e a respectiva senha. Por exemplo,
o nosso usuário José da Silva poderia ser cadastrado como jsilva, já a Maria Aparecida poderia ser
cadastrada como mariaap, e assim por diante. Ou seja, o primeiro passo para que um usuário possa
ter acesso aos recursos da rede é cadastrar o usuário. Cadastrar o usuário significa criar uma conta
de usuário e um senha no Active Directory. Na primeira parte deste capítulo você aprenderá sobre
contas de usuários. Inicialmente apresentarei alguns detalhes teóricos sobre contas de usuário e após
a teoria, mostrarei a parte prática, ou seja, como criar e administrar contas de usuários.
Nota: Nos dias atuais são exigidos níveis de segurança cada vez mais sofisticados. Para muitas
empresas, a identificação do usuários somente através de um logon e de uma senha não é mais
suficiente. Hoje existem vários outros recursos, que tornam a identificação mais segura, tais como o
uso de Certificados Digitais, Cartões inteligentes, reconhecimento biométrico (digitais, íris, traços
do rosto, etc.). O Windows Server 2012 R2 dá suporte a todas estas tecnologias.
Uma vez entendido o conceito de usuários, você aprenderá sobre grupos de usuários. Mostaremos
que existem diferentes tipos de grupos e com diferentes escopos de utilização. No Capítulo 5 fiz
uma discussão teórica completa (de fundamental importância para a eficiente administração das
permissões de acesso aos recursos) sobre as estratégias de utilização de grupos de usuários, para
atribuição de permissões aos recursos da rede: pastas e impressoras compartilhadas, aplicativos
Web, bancos de dados e assim por diante. Neste capítulo você aprenderá a parte prática de criação
de grupos. Nos Capítulos 11 e 12 você aprenderá a utilizar a estratégia explicada no Capítulo 5,
para atribuir permissões de acesso a usuários e grupos, a recursos tais como pastas e impressoras
compartilhadas.
Entendidos os conceitos de contas de usuários e grupos de usuários, é hora de aprender sobre
unidades organizacionais. Vamos mostrar o que é uma Unidade organizacional, como ela difere de
um domínio, quando usar Unidades Organizacionais e quando utilizar domínios. Também
mostraremos a parte prática de criação e administração de Unidades Organizacionais, delegação de
permissões de administração, bem como operações de mover contas de usuários e grupos de uma
unidade organizacional para outra.
Com os conceitos apresentados neste capítulo, você terá avançado mais um passo no entendimento
do Active Directory e dos diversos elementos que o compõem.
Contas de usuários – Teoria, Tipos e Padrões de Nomes
Conceito e teoria sobre Contas de Usuários:
Quando você trabalha em uma rede de computadores, segurança é um dos itens de maior
importância. A Administração da rede deve ser capaz de permitir que cada usuário somente tenha
acesso aos recursos – sejam eles arquivos, impressoras ou serviços – os quais sejam necessários
para a realização do seu trabalho. Por exemplo, um usuário que trabalha no departamento de
bagagem não deve ser capaz de acessar informações sobre salários contidas nos arquivos de um
Computador do departamento de Recursos Humanos.
No Capítulo 2 você aprendeu sobre redes de computadores e os diferentes papéis que o Windows
Server 2012 R2 pode desempenhar em uma rede. Mostrei que, em uma configuração típica, o
Windows Server 2012 R2 pode estar configurado como um servidor de arquivos, onde existem
pastas compartilhadas que os usuários acessam através da rede.
No Capítulo 5 você aprendeu sobre o conceito de Domínio. Quando você cria um domínio, os
servidores e também as estações de trabalho dos usuários, devem ser configuradas para fazer parte
do domínio. Quando um usuário liga a sua estação de trabalho (quer ele esteja configurada com o
Windows 2000 Professional, XP Professional, Windows Vista, Windows 7 ou Windows 8), o
Windows é inicializado e em seguida é apresentada a tela de logon no domínio, conforme exemplo
indicado na Figura 9.1, onde temos o exemplo do usuário jsilva fazendo o logon no domínio ABC,
usando uma estação de trabalho com o Windows Server 2003.
Figura 9.1 - A tela de Logon do Usuário jsilva no domínio GROZA.
As informações sobre as contas de usuários, senhas e grupos ficam gravadas no banco de dados do
Active Directory, nos servidores configurados como DCs do domínio. Quando o usuário liga a sua
estação de trabalho e digita o seu nome de usuário e senha, estas informações são repassadas,
através da rede, para um DC do domínio, onde as informações são verificadas. Se o nome de
usuário existir, a senha estiver correta e a conta do usuário não estiver bloqueada, o logon será
liberado e a área de trabalho do Windows será carregada. Uma vez que o usuário fez o logon no
domínio, ele passou a estar identificado, ou seja, todas as ações que o usuário executar estarão
associadas com a sua conta de usuário. Por exemplo, se o usuário jsilva fizer o logon no domínio
GROZA e tentar acessar um arquivo para o qual ele não tem permissão, ficará registrado nos logs
de auditoria do servidor as seguintes informações (isso se o administrador configurou a auditoria de
acesso a pastas e arquivos, conforme mostraremos no Capítulo 13):



Identificação do usuário – no exemplo jsilva.
Data e hora da tentativa de acesso.
Nome do arquivo e/ou pasta que o usuário tentou acessar.
Observe que a conta do usuário é utilizada como a sua identidade na rede.
Em um domínio, além de servidores configurados como DCs, você pode ter servidores
configurados como Servidores Membro (Member Servers). Um Member Server não tem o Active
Directory instalado e, portanto, não tem uma cópia de toda a lista de usuários e grupos do domínio e
nem das demais informações contidas no Active Directory.
Um Member Server normalmente é um servidor que desempenha um papel específico, tal como
servidor de arquivos, servidor de impressão, servidor de acesso remoto, servidor Web e assim por
diante. Como o servidor faz parte do domínio (ele é um Member Server), as contas de usuários e
grupos do domínio podem receber permissões para acessar os recursos disponibilizados pelo
Member Server.
Um detalhe interessante é que é possível criar uma lista de usuários e grupos de usuários no próprio
Member Server. Estas contas somente são válidas para o logon localmente no servidor onde foram
criadas e são conhecidas como contas locais. Por exemplo, ao instalar o Windows Server 2012 R2
em um Member Server, automaticamente, durante a instalação, é criada a conta Administrador, com
permissões de administrador em todos os recursos do Member Server.
As contas e grupos locais, criados em um Member Server, somente podem receber permissões de
acesso aos recursos do servidor onde foram criadas, já que estas contas não são “visíveis” em outro
servidor que não o próprio servidor onde foram criadas. Embora seja possível criar contas e grupos
locais, esta não é uma prática recomendada. Sempre que possível você deve utilizar as contas e
grupos do domínio. Uma exceção é a conta local Administrador, a qual é criada automaticamente
com a instalação do Windows Server 2012 R2. Esta conta tem permissões totais em todos os
recursos do servidor. Um procedimento normalmente adotado é definir a mesma senha para todas as
contas Administrador de todos os Member Servers do domínio. Normalmente esta senha é de
conhecimento apenas dos administradores do domínio. A conta local Administrador pode ser
utilizada para fazer configurações no servidor quando, por algum motivo, não for possível fazer o
logon no domínio.
Dica: É uma boa idéia incluir no documento de política de segurança da empresa, como tratar da
senha das contas de Administrador local. Uma opção é escrever esta senha em um papel, colocar em
um envelope lacrado e deixar em um cofre de segurança, ao qual somente pode ter acesso o
Administrador da rede em companhia com alguém da administração da empresa.
Uma conta pode ser criada em um DC – situação em que a conta é válida e reconhecida em todo o
domínio; ou a conta pode ser criada em um Member Server, situação em que a conta somente é
válida e reconhecida no Member Server onde ela foi criada.
Contas criadas em um DC são chamadas de “Domain User Accounts” (Contas de Usuários do
Domínio). Essas contas permitem que o usuário faça o logon em qualquer computador do domínio e
receba permissões para acessar recursos em qualquer computador do domínio.
Contas criadas em um Servidor Membro são chamadas de “Local User Accounts” (Contas de
Usuários Locais). Essas contas somente permitem que o usuário faça o logon e receba permissões
para acessar recursos do servidor onde a conta foi criada. Sempre que possível evite criar Contas
Locais em servidores que fazem parte de um domínio. Utilizar as contas do Domínio, as quais ficam
armazenadas no Active Directory torna a administração bem mais fácil.
Até o Windows Server 2003, quando é exibida a tela de logon em um Member Server, o usuário
pode escolher entre fornecer uma conta e senha do domínio ou uma conta e senha local. Na lista
Log on to o usuário seleciona o nome do domínio no qual ele quer fazer o logon ou o nome do
servidor local, para fazer o logon com uma conta local. A partir do Windows Server 2008,
Windows Server 2012 R2, Windows Vista, Windows 7 e no Windows 8, o usuário pode clicar no
botão Trocar Usuário e informar o nome do usuário da seguinte forma:
NomeDoDomínio\NomeDoUsuário. Para fazer o logon com uma conta do domínio. Por exemplo,
ABC\jsilva, significa o usuário jsilva do domínio ABC. Ou, se quiser usar uma conta local, pode
usar a sintaxe: NomeDoComputador\NomeDaConta. Por exemplo, SRV01\maria, significa o
usuário maria, do computador SRV01.
Dica: A criação e administração de contas de usuários e grupos locais é feita utilizando-se o
console Gerenciamento do Computador, descrito no Capítulo 7. As etapas para a criação e
administração de contas e grupos locais são semelhantes as etapas para a criação e administração de
contas do Active Directory. Nos exemplos deste capítulo utilizarei contas e grupos do domínio. A
única diferença para as contas locais é que para estas haverá um número menor de campos
disponíveis quando da criação da conta e as ferramentas utilizadas são diferentes. Para contas locais
o console Gerenciamento do Computador e para contas do domínio usamos o console Usuários e
Computadores do Active Directory.
No Windows Server 2012 R2, é possível limitar os recursos de rede aos quais cada usuário tem
acesso, através do uso de permissões de acesso. Por exemplo, o administrador pode definir uma lista
de usuários com acesso a uma pasta compartilhada, podendo definir, inclusive, níveis de acesso
diferentes. Um determinado grupo tem acesso completo (leitura, gravação e exclusão), já um
segundo tem acesso mais restrito (leitura e gravação) e um terceiro grupo tem acesso ainda mais
restrito (leitura). Para que seja possível atribuir permissões, cada usuário deve ser cadastrado no
domínio. Cadastrar o usuário significa criar uma “Conta de Usuário”. Com uma conta o usuário
pode efetuar o logon e receber permissões para acessar os mais variados recursos disponibilizados
na rede. Reunindo esta história toda, cada usuário deve ser cadastrado. Cadastrar o usuário significa
criar uma conta de usuário no Active Directory (veja exemplos práticos mais adiante). Uma vez que
a conta foi criada, o usuário pode utilizá-la para fazer o logon em qualquer computador da rede.
Tipos de Contas de Usuário:
No Windows Server 2012 R2 existem diferentes tipos de contas de usuário, as quais descrevo a
seguir.

Usuário: É o tipo tradicional de conta, utilizada para que o usuário faça o logon no domínio,
seja identificado e possa ter acesso aos recursos para os quais sua conta recebeu permissões
de acesso. São as contas locais ou contas do Domínio, já descritas anteriormente.

InetOrgPerson: Só o nome já assusta. Este tipo de conta é utilizado quando você precisa
migrar contas de um diretório baseado no padrão LDAP, mas que não seja um diretório
Microsoft, como por exemplo, uma base de dados do Unix ou Linux, que seja baseada no
padrão LDAP. Este tipo de conta pode receber permissões de acesso, possui Identificador
Interno de Segurança e atende aos requisitos da RFC 2798.

Contato: Este tipo de conta é utilizada praticamente como uma conta de e-mail. É
normalmente o tipo de conta usada nos Grupos de Distribuição, utilizados para enviar
mensagens para um grupo de usuários. Este tipo de conta não tem Identificador de
Segurança (SID – Security ID) e não pode receber permissão de acesso a recursos, tais como
pastas ou impressoras compartilhadas.
Antes de partir para a parte prática, apresentarei mais algumas recomendações e detalhes
relacionados com contas de usuários:
Definindo um Padrão de Nomes Para as Contas de Usuários:
Outro detalhe que você deve observar é a definição de um padrão para o nome das contas de
usuários. Você deve estabelecer um padrão para a criação de nomes, pois não podem existir dois
usuários com o mesmo nome de logon dentro do mesmo domínio. Por exemplo, se existir no
mesmo Domínio, dois funcionários com o nome José da Silva e os dois resolverem utilizar como
logon “jsilva”, o administrador terá um problema para resolver, pois não é possível ter dois usuários
com o mesmo nome de logon, dentro do mesmo domínio. Para isso é importante que seja definido
um padrão e no caso de nomes iguais deve ser definido uma maneira de diferenciá-los. Por
exemplo, você poderia usar como padrão a primeira letra do nome e o último sobrenome. No caso
de nomes iguais, acrescentam-se números. No exemplo citado, o primeiro José da Silva cadastrado
ficaria como jsilva, já o segundo a ser cadastrado ficaria como jsilva1. Caso no futuro houvesse
mais um José da Silva dentro do mesmo domínio, este seria o jsilva2 e assim por diante.
Observações Sobre o Nome das Contas de Usuários:
Quando o administrador cria nomes de logon para os usuários, devem ser levados em consideração
os seguintes detalhes:

O nome de logon deve ser único no domínio. Veja o exemplo do item anterior, onde mostrei
que não seria possível criar dois usuários com nome de logon jsilva, dentro do mesmo
domínio.

O nome de logon também não pode ser igual ao nome de um grupo do domínio. Por
exemplo, se já existe um grupo chamado Contabilidade, você não poderá criar uma conta de
usuário com o campo nome de logon preenchido como Contabilidade.

O nome de logon pode conter espaços em branco e pontos, porém não pode ser formado
somente por espaços e pontos. É conveniente evitar o uso de espaços em branco, pois contas
com espaços em branco no nome, terão que ser escritas entre aspas, quando você utiliza
scripts para administração do Windows Server 2012 R2.

Podem ter no máximo 128 caracteres.

Os seguintes caracteres não podem ser utilizados: “ / \ : ; [ ] | = , + * ? < >

O Windows Server 2012 R2 não diferencia entre maiúsculas e minúsculas para o nome de
logon. Por exemplo, para o Windows Server 2012 R2 jsilva, JSILVA ou Jsilva representa o
mesmo usuário. Porém diferencia maiúsculas e minúsculas para senhas.
Questões Relacionadas com a Definição da Senha do Usuário:
Sempre que você for cadastrar um usuário também deve ser cadastrada uma senha para ele. No
Windows 2000 Server, por padrão, era aceito que o administrador definisse uma senha em branco.
Caso fosse necessário, o administrador poderia definir um número mínimo de caracteres para as
senhas dos usuários. No Windows Server 2012 R2, a preocupação com a segurança está presente
desde o momento da instalação.
No Windows Server 2012 R2, por padrão, são definidas as seguintes políticas de segurança em
relação as senhas de usuários:

Quando o usuário vai trocar a senha, não pode ser utilizada uma senha igual as 24 últimas
(haja criatividade para inventar senhas).

A senha expira (isto é, deve ser alterada) a cada 42 dias.

O tempo mínimo padrão de vida de senha é um dia. Ou seja, você trocou a senha hoje, não
poderá trocá-lo novamente daqui a uma ou duas horas, somente após 24 horas.

Tamanho mínimo de sete caracteres.
A opção “A senha deve satisfazer a requisitos de complexidade (Password must meet complexity
requirementes)” é habilitada por padrão nos DCs e desabilitada nos servidores Member Server, para
as contas locais.
Com a opção A senha deve satisfazer a requisitos de complexidade é habilitada por padrão no
domínio, uma série de requisitos devem ser atendidos para que a senha seja aceita. A seguir
descrevo estes critérios:

A senha não pode conter parte ou todo o nome da conta. Por exemplo, se o nome da conta
for jsilva, a senha não poderá conter a sílaba “sil” ou a palavra “silva”.

Ter pelo menos seis caracteres. O número mínimo de caracteres pode ser aumentado,
configurando-se as políticas de segurança para senhas, conforme mostrarei mais adiante.

Deve conter caracteres de pelo menos três dos quatro grupos a seguir: letras maiúsculas de
A até Z, letras minúsculas de a até z, dígitos de 0 a 9 ou caracteres especiais (:, !, @, #, $, %,
etc.).
IMPORTANTE: Para as senhas, o Windows Server 2012 R2 distingue letras maiúsculas de
minúsculas. Por exemplo a senha “Abc123” é diferente da senha “abc123”.
Estes requisitos de complexidade são verificados quando a senha é criada pela primeira vez, durante
o cadastramento do usuário e toda vez que a senha for alterada. Com estes requisitos definidos, as
senhas a seguir seriam válidas:




AbCsenha1
AbcSenha#
Abc123
Abc;;senha
Já as senhas a seguir não seriam válidas:


abcsenha123 (contém somente caracteres de dois dos quatro grupos: letras minúsculas e
números).
abc;senha
(contém somente caracteres de dois dos quatro grupos: letras minúsculas e
caracteres especiais).
Nota: Mais no final deste capítulo, você aprenderá a configurar as definições das políticas de
segurança para senhas do domínio.
Agora que a teoria sobre as contas de usuários e senhas já foi apresentada, vou mostrar como criar e
administrar contas de usuários. Você aprenderá as diversas tarefas relacionadas com a
administração das contas de usuários em um domínio do Windows Server 2012 R2.
Criação e Administração de Contas de Usuários
Neste item você aprenderá as ações práticas para a criação e administração de contas de usuários de
um domínio. Você aprenderá a criar novas contas, configurar as diversas propriedades das contas já
existentes, ativar e desativar contas, desbloquear contas, excluir e renomear contas. Todas estas
ações são executadas com o console Usuários e Computadores do Active Directory. Vamos iniciar
os exemplos pela criação de uma nova conta.
Criando uma Nova Conta de Usuário no Domínio:
Exemplo Prático: Para criar uma nova conta de usuário no domínio, siga os passos indicados a
seguir:
1.
Faça o logon como Administrador do domínio ou com uma conta pertencente ao grupo
Opers. de contas. O grupo Opers. de contas é criado automaticamente durante a instalação do
Active Directory. Membros deste grupo podem realizar tarefas relacionadas a criação e
administração de contas de usuários no domínio. Mais adiante, no item sobre Grupos, descreverei
os grupos que são criados automaticamente quando da instalação do Active Directory, os chamados
Built-in Groups.
2.
Abra o console Usuários e Computadores do Active Directory, o qual é acessado através da
opção Ferramentas Administrativas do Painel de Controle.
3.
Será aberto o console Usuários e Computadores do Active Directory, indicado na Figura 9.2:
Figura 9.2 - O console Usuários e Computadores do Active Directory.
4.
Clique na setinha para a direita ao lado do nome do domínio no qual você irá criar a conta.
No nosso exemplo, estou utilizando o domínio abc.com, que foi criado no Capítulo 8.
5.
Abaixo do nome do domínio é exibida uma lista de opções criadas automaticamente quando
o Active Directory é instalado, as quais passamos a descrever a seguir:

Builtin: Nesta opção estão os chamados grupos Builtin, ou seja, aqueles grupos criados
automaticamente quando o Active Directory é instalado. Estes grupos são utilizados para
funções de administração do domínio. Por exemplo, os membros do grupo Administradores
tem permissões administrativas em todo o domínio, já membros do grupo Opers. de contas
tem permissões para criar e administrar contas de usuários no domínio e assim por diante.
Os grupos que ficam nesta opção são grupos Locais do domínio. Mais adiante neste
capítulo, reforçaremos as diferenças entre grupos Locais, Globais e Universais, conceitos
estes que já foram detalhados no Capítulo 5. Também descreveremos os principais grupos
Builtin e suas funções.

Computers: Nesta opção ficam as contas de todos os computadores do domínio, a não ser
que tenham sido criadas outras unidades organizacionais e contas tenham sido movidas para
estas unidades organizacionais. Ainda neste capítulo você aprenderá a trabalhar com
Unidades Organizacionais.

Domain Controllers (Controladores de Domínio): Nesta opção ficam as contas de
computadores dos DCs do domínio.

ForeignSecurityPrincipals: Nesta opção ficam objetos relacionados a relações de
confiança criadas manualmente pelo administrador.

Managed Service Accounts: As “Contas de Serviço Gerenciado” foram introduzidas no
Windows Server 2008 R2 e estão presentes também no Windows 8 e no Windows Server
2012 R2. A conta de serviço gerenciado foi criada para ser utilizada para a execução de
serviços e tarefas, como serviços do Windows e pools de aplicativos do IIS, para
compartilhar suas próprias contas de domínio, ao mesmo tempo em que elimina a
necessidade de um administrador para administrar manualmente as senhas dessas contas. É
uma conta de domínio gerenciado que oferece o gerenciamento automático de senha, o que
facilita a utilização destas contas para a execução de serviços e tarefas agendadas. Nesta
pasta, por padrão, fica a lista das contas de serviço gerenciado criadas no domínio.

Users: Nesta opção ficam as contas que foram criadas automaticamente pelo Active
Directory, bem como os grupos Globais criados automaticamente. Um exemplo de conta
criada automaticamente é a conta Administrador, a qual tem permissões de administrador
em todos os recursos de todos os servidores do domínio. Por padrão é nesta opção que
criamos novas contas de usuários. Conforme mostrarei mais adiante você também pode criar
novas unidades organizacionais e criar contas de usuários dentro destas unidades
organizacionais. Você também pode mover uma conta de usuário ou grupo para uma
unidade organizacional, conforme veremos na prática, mais adiante.
6.
Clique na opção Users para selecioná-la. Serão exibidas as contas de usuários e grupos
globais criados automaticamente durante a instalação do Active Directory, conforme exemplo da
Figura 9.3.
7.
Para criar um novo usuário você pode utilizar uma das seguintes opções:

Clicar com o botão direito do mouse em Users e no menu de opções que é exibido clicar em
Novo -> Usuário.

Selecionar o comando Ação -> Novo -> Usuário.

Clicar no botão Criar um novo usuário no container atual (
). Este é o botão com o
desenho de um único bonequinho, com raios alaranjados saindo do seu olhar.
Figura 9.3 - A opção Users.
8.
Para o nosso exemplo clique com o botão direito do mouse em Users e, no menu de opções
que é exibido, clique em Novo -> Usuário. Será aberta a janela Novo objeto – Usuário, na qual você
deve preencher o nome, sobrenome, nome completo, Nome de logon do usuário e Nome de logon
do usuário anterior ao Windows 2000, conforme exemplo da figura 9.4. O nome de logon é o nome
que o usuário utiliza para efetuar o logon no domínio (jsilva, maria, etc.). Já Nome de logon do
usuário anterior ao Windows 2000 é o nome que o usuário utiliza para efetuar o logon em
computadores com versões mais antigas do Windows, tais como o Windows NT Server 4.0,
Windows 95/98/Me. Por simplicidade estes dois nomes devem ser iguais, observe que a medida que
você digitar o primeiro, o segundo será automaticamente preenchido. Preencha os dados da nova
conta, conforme exemplo indicado na Figura 9.4 e clique em Avançar.
Figura 9.4 - Criando a conta do usuário jsilvap.
9.
Nesta etapa você tem que definir a senha e configurar algumas características da conta.
Lembre que, por padrão, os requisitos de complexidade para senha estão habilitados, conforme
descrito anteriormente. No campo Senha, informe uma senha que atenda aos requisitos de
complexidade descritos anteriormente. Digite a senha novamente no campo Confirmar senha.
10.
11.
Além da senha você pode configurar as quatro opções descritas a seguir:

O usuário deve alterar a senha no próximo logon: Se esta opção estiver marcada, a
primeira vez que o usuário fizer o logon, será solicitado que ele altere a sua senha. Esta
opção é utilizada para que o usuário possa colocar uma senha que somente ele conhece.
Quando o usuário é cadastrado, a senha é digitada pelo Administrador ou pelo usuário
responsável pela criação de contas no domínio (que é quem faz o cadastro das contas), o
qual fica sabendo a senha do usuário. No próximo logon o usuário é obrigado a alterar a
senha de tal maneira que somente ele saiba qual a nova senha que será definida para a sua
conta.

O usuário não pode alterar a senha: Se esta opção estiver marcada, a senha somente pode
ser alterada pelo Administrador ou por um usuário com permissão de Operador de contas
(usuário que pertence ao grupo Opers. de contas). Esta opção normalmente é utilizada para
empregados temporários e para estagiários. Para as contas utilizadas pelos funcionários da
empresa, esta opção normalmente é desabilitada.

A senha nunca expira: Ao marcar esta opção, independente das políticas de segurança para
senhas (as quais veremos ainda neste capítulo), o usuário nunca precisará trocar a sua senha.
Caso contrário de tempos em tempos (conforme configurado nas políticas de segurança de
senhas), o usuário deve trocar a senha.

Conta desabilitada: O Administrador marca esta opção para desativar/bloquear a conta de
um usuário. Usuários com a conta bloqueada não podem mais efetuar logon e,
consequentemente, não podem mais acessar recursos da rede. Esta opção normalmente é
utilizada para desativar, temporariamente, a conta de empregados que estão em férias.
Quando o empregado retorna ao serviço, o Administrador libera a sua conta, simplesmente
desmarcando esta opção.
Defina as opções para a conta que está sendo criada, conforme exemplo da Figura 9.5:
Figura 9.5 - Definindo a Senha e as Opções da Nova Conta.
12.
Clique em Avançar para seguir para a próxima etapa.
13.
Esta etapa é apenas informativa. Você pode utilizar o botão Voltar para voltar a uma
determinada etapa e fazer alterações. Clique em Concluir.
14.
A conta jsilvap será criada e já será listada na opção Users. Observe que o que aparece na
listagem é o nome completo do usuário. No nosso exemplo está sendo exibido o usuário José da
Silva Pereira, conforme indicado na Figura 9.6. Nesta figura eu ativei o modo de visualização
ícones grandes. Para tal utilizei o comando Exibir -> Ícones Grandes.
Muito bem, agora o usuário José da Silva Pereira foi cadastrado com o nome de logon jsilvap e
poderá fazer o logon nas estações de trabalho do domínio.
Dica: Por padrão, quando uma nova conta de usuário é criada, ela não tem permissão para fazer
logon localmente nos Member Servers e nem nos DCs do domínio. A permissão para fazer o logon
localmente nos servidores do domínio é um direito que por padrão somente é atribuído a alguns
grupos especiais, tais como Administradores (Administrators), Opers. de contas (Account
Operators) e assim por diante. Em um dos próximos itens você aprenderá a configurar os direitos de
usuários e a atribuir estes direitos para uma ou mais contas ou grupos de usuários.
Figura 9.6 – O Novo Usuário já é Exibido na Lista de Usuários.
Configurando as Propriedades de Uma Conta de Usuário do Domínio:
Durante a criação de uma conta de usuário, apenas algumas propriedades da conta são configuradas.
Depois que a conta é criada, você pode acessar as propriedades da conta para configurar dezenas de
outras propriedades. Por exemplo, você pode definir em que horas durante o dia é permitido para a
conta fazer o logon no domínio, em quais computadores a conta pode ser utilizada para fazer o
logon, qual o script de logon associado a conta e assim por diante.
Neste item descreverei as principais propriedades que podem ser configuradas para uma conta de
usuário do domínio. Vou dividir as configurações em etapas. Em cada etapa mostrarei como
configurar determinadas propriedades relacionadas com um tópico específico. Por exemplo, como
configurar as horas de logon, como configurar as informações pessoais e assim por diante. Em
todos os exemplos, será solicitado que você acesse as propriedades da conta. Para acessar as
propriedades de uma conta, você deve seguir os passos que indico logo a seguir. Nos demais
exemplos, não irei repetir estes passos, apenas usarei a expressão “Acesse as propriedades da conta
a ser configurada”.
Como Acessar as Propriedades de uma Conta:
Exemplo Prático: Para acessar as propriedades da conta a ser configurada siga os passos indicados
a seguir:
1.
Faça o logon como Administrador do domínio ou com uma conta pertencente ao grupo
Opers. de contas. Membros deste grupo podem realizar tarefas relacionadas a criação e
administração de contas de usuários no domínio.
2.
Abra o console Usuários e Computadores do Active Directory. Este console é acessado
através da opção Ferramentas Administrativas do Painel de Controle.
3.
Será aberto o console Usuários e Computadores do Active Directory.
4.
Clique no seta para a direita ao lado do nome do domínio da conta a ser configurada.
5.
Abaixo do nome do domínio é exibida uma lista de opções criadas automaticamente quando
o Active Directory é instalado. Clique na opção Users (ou na Unidade Organizacional onde a conta
está contida, caso a conta esteja em uma Unidade Organizacional. Ainda neste capítulo você
aprenderá a criar, administrar e gerenciar unidades organizacionais e também aprenderá a mover
contas de usuários para uma unidade organizacional).
6.
Para acessar as propriedades de uma conta basta dar um clique duplo no nome da conta. A
janela de propriedades da conta será exibida, com a guia Geral selecionada, conforme indicado na
Figura 9.7:
Figura 9.7 - A Janela de Propriedades de uma Conta de Usuário do Domínio.
7.
Observe que estão disponíveis uma série de guias, com diversas propriedades em cada guia.
Após ter configurado as propriedades da conta, clique em OK. Nos exemplos a seguir mostrarei
como configurar diversas destas propriedades.
Configurando Informações Gerais e de Endereço Para a Conta do Usuário:
A seguir você acompanhará um exemplo prático sobre a configuração das propriedades da guia
Geral, Endereço, Telefones e Organização (Empresa).
Exemplo Prático: Para configurar informações gerais e de endereço para uma conta de usuário do
domínio, siga os passos indicados a seguir:
1.
Acesse as propriedades da conta a ser configurada, usando os passos descritos
anteriormente, neste capítulo.
2.
A guia Geral será exibida por padrão. Nesta guia, além das informações de nome,
sobrenome e nome completo, definidas durante a criação da conta, você pode preencher uma
descrição para o usuário, informações sobre a seção/ou empresa, bem como informações de telefone
de contato, e-mail e Página da Web, conforme exemplo da Figura 9.8:
Figura 9.8 - Definindo as Propriedades da Guia Geral.
Dica: Você pode informar mais do que um número de telefone ou de endereço de site. Para isso
basta clicar no botão Outros... ao lado do respectivo campo. Será aberta uma janela onde você pode
adicionar novos valores. Por exemplo, ao clicar no botão Outros, ao lada do campo Telefone, será
aberta a janela Telefone (Outros). Para adicionar um novo número basta digitá-lo no campo Novo
valor e depois clicar no botão Adicionar. Repita estes passos para cada novo número a ser
adicionado. Para finalizar a entrada de novos números é só clicar no botão OK. Para alterar um
número clique no respectivo número e depois no botão Editar. O número a ser editado será
selecionado. Faça as alterações desejadas e clique no espaço em branco abaixo do último número.
As alterações serão salvas. Para remover um número clique no número a ser excluído e depois no
botão Remover. Feitas as configurações desejadas clique em OK para fechar a janela para entrada
de novos valores.
3.
Para preencher os campos sobre o endereço do usuário, clique na guia Endereço. Preencha
os campos conforme exemplo da Figura 9.9:
Figura 9.9 - Inserindo Informações do Endereço do Usuário.
4.
Para preencher os campos com dados sobre telefones de contato do usuário, clique na guia
Telefones. Nesta guia você pode informar os números do telefone residencial, pager, celular, fax e
telefone IP do usuário. Podem ser inseridos mais de um número para cada tipo de telefone. Para isso
você usa o botão Outros..., já descrito anteriormente.
5.
Para preencher os campos com dados da empresa, clique na guia Organização. Nesta guia
você pode informar o Cargo, Departamento e o nome da empresa. Nesta guia você também pode
informar quem é o Gerente ou Chefe Imediato do usuário. Para isso é só clicar no botão Alterar,
logo abaixo do campo Nome. Será aberta a janela Selecione Usuário ou Contato. Esta é uma janela
que iremos utilizar diversas vezes no decorrer do livro, sempre que formos selecionar um ou mais
usuários ou grupos. Nesta janela, você pode digitar o nome do usuário ou grupo, diretamente no
campo “Digite o nome do objeto a ser selecionado”. Por exemplo, se o gerente do usuário jsilvap
fosse o usuário maria, basta digitar o nome maria no campo Digite o nome do objeto a ser
selecionado. Se você não lembra do nome, você pode clicar no botão Avançado para fazer uma
pesquisa na base de usuários do Active Directory. No nosso exemplo, vamos digitar o nome do
usuário que será o gerente do jsilvap. Mais adiante, ainda neste capítulo, vou mostrar como usar os
demais recursos da janela Selecione Usuário ou Contato. Para o nosso exemplo, a gerente do
usuário jsilvap é o usuário Administrador, conforme exemplo indicado na Figura 9.10. Caso você
digite o nome de um usuário que não existe, será emitida uma mensagem de erro.
Figura 9.10 – Informando quem é o Chefe Imediato do Usuário.
6.
Após digitar o nome do usuário que é o chefe imediato, clique em OK para fechar a janela
Selecione Usuário ou Contato. Você estará de volta à guia Organização, com o nome do chefe já
preenchido. Se o usuário que está sendo configurado, tiver sido configurado como Chefe imediato
de um ou mais usuários, a lista dos usuários dos quais ele é Chefe, será exibida na parte de baixo da
janela, na lista Supervisiona. Preenchida as informações do endereço clique em OK para salvá-las.
As informações das guias Geral, Endereço, Telefones e Organização são utilizadas como uma
espécie de cadastro, de banco de dados dos usuários cadastrados na rede. Embora não seja
obrigatório, é recomendado que sejam preenchidas estas informações. Isso facilita a pesquisa no
Active Directory. Por exemplo, é possível fazer uma pesquisa para localizar todos os usuários da
seção de Tecnologia da Informação de um determinado escritório, ou todos os usuários de uma
determinada cidade e assim por diante.
Mais adiante você aprenderá a utilizar a ferramenta de pesquisa no Active Directory. Estas
informações também poderão ser utilizadas pelos sistemas da empresa, pois conforme já descrevi
no Capítulo 2, é possível criar aplicações integradas com o Active Directory, ou seja, que usam a
base de dados do Active Directory para autenticação e também para informações sobre os usuários.
Por exemplo, um aplicativo de aprovação de despesas de viagens, diárias, etc., sendo integrado com
o Active Directory, pode ser configurado para enviar um email com a solicitação de viagem,
diretamente para o chefe imediato do funcionário. E como a aplicação vai saber quem é o Chefe
Imediato do Funcionário?? Irá pesquisar no Active Directory, com base nas informações lá
cadastradas. Este é apenas um exemplo simples de como a integração com o Active Directory pode
facilitar, e muito, a criação de aplicações integradas e de fácil manutenção, bem diferente do caos
que se instala quando, para cada aplicação da empresa, é utilizado um diretório (isso é, um base de
dados de usuários) diferente.
Configurando Informações Sobre a Conta do Usuário:
Agora vamos começar a ver outras propriedades das contas de usuário. Na guia Conta você tem
acesso a uma série de opções relacionadas com a conta do usuário. Por exemplo, nesta guia tem
uma opção para bloquear/desbloquear a conta do usuário, outra opção para definir um prazo de
expiração para a conta, os horários em que o usuário pode fazer o logon, em quais computadores ele
pode fazer o logon e assim por diante. Você aprenderá a utilizar as opções desta guia, no exemplo
prático a seguir:
Exemplo Prático: Para configurar informações da guia Conta, siga os passos indicados a seguir:
1.
Faça o logon com uma conta com permissão de Administrador ou com uma conta
pertencente ao grupo Opers. de contas. Acesse as propriedades da conta a ser configurada.
2.
Na janela de Propriedades da conta, dê um clique na guia Conta. Nesta guia estão
disponíveis uma série de configurações, conforme indicado na Figura 9.11:
Figura 9.11 - Opções de Configurações da Guia Conta.
Na parte de cima da janela é exibido o nome de logon do usuário, o domínio no qual o usuário foi
cadastrado e o nome de logon anterior ao Windows 2000. Observe que para o Windows 2000
Server, Windows Server 2003, Windows Server 2008 e para o Windows Server 2012 R2, o nome
de logon completo do usuário é composto pelo nome DNS do domínio e a conta do usuário, como
no exemplo a seguir: abc.com\jsilva (também pode ser informado como [email protected]). Já para
versões anteriores, como o NT Server 4.0, que são baseadas no serviço WINS para a resolução de
nomes, é usado o nome NetBIOS do domínio, como no exemplo a seguir: ABC\jsilva. Observe que
em ambos os casos o padrão é o nome do domínio (nome DNS no Windows 2000, Windows Server
2003, Windows Server 2008 ou Windows Server 2012 R2 e nome NetBIOS no NT Server 4.0 ou
anterior), uma barra invertida e o nome de logon do usuário.
Nota: As opções Horas de logon... e Fazer logon em... serão explicadas no próximo item. As
demais opções desta guia são explicadas a seguir:

Desbloquear conta: Por padrão, é definido nas políticas de senha do domínio, um número
máximo de tentativas de logon sem sucesso que o usuário pode fazer, dentro de um período
de tempo. Se este limite for ultrapassado, a conta será bloqueada automaticamente. Por
exemplo, pode ser definido que se o usuário fizer três tentativas de logon sem sucesso,
dentro de 20 minutos, a conta fique bloqueada por 24 horas. Ou também é possível definir
que, uma vez bloqueada, a conta somente possa ser desbloqueada pelo administrador.
Quando uma conta está bloqueada, a opção Desbloquear conta aparece habilitada e marcada.
Para desbloquear a conta, basta que o administrador desmarque esta opção. Aqui temos uma
novidade do Windows Server 2008 e que está presente também no Windows Server 2012
R2. Nas versões anteriores, até o Windows Server 2003, o Administrador não podia
bloquear uma conta, simplesmente marcando esta opção. Ele podia somente desativar a
conta, conforme veremos mais adiante, mas a única maneira de bloquear uma conta era
fazendo o número definido de tentativas de logon sem sucesso, dentro do período
configurado no domínio. Já no Windows Server 2008 e Windows Server 2012 R2 o
Administrador pode bloquear uma conta, usando esta opção. As configurações sobre quantas
tentativas de logon sem sucesso tem que ser feitas em quanto tempo, são configuradas nas
políticas de segurança de senha do domínio, as quais veremos ainda neste capítulo.
Na lista Opções da conta, o administrador pode configurar uma série de opções, descritas a seguir:

O usuário deve alterar a senha no próximo logon: Se esta opção estiver marcada, na
próxima vez que o usuário fizer o logon, será solicitado que ele altere a sua senha. Esta
opção é utilizada para que o usuário possa colocar uma senha que somente ele conhece.
Quando o usuário é cadastrado, a senha é digitada pelo Administrador, o qual fica sabendo a
senha do usuário. O Administrador, ao criar a conta, deve marcar esta opção, para que, no
próximo logon o usuário seja obrigado a alterar a senha de tal maneira que somente ele, o
usuário, saiba qual a senha está definida para a sua conta.

O usuário não pode alterar a senha: Se esta opção estiver marcada, a senha somente pode
ser alterada pelo Administrador ou por membros do grupo Opers. de contas. Normalmente
utilizada para empregados temporários e para estagiários. Para as contas utilizadas pelos
funcionários da empresa, esta opção normalmente é desabilitada.

A senha nunca expira: Ao marcar esta opção, independentemente das políticas de
segurança do domínio, o usuário nunca precisará trocar a sua senha. Caso contrário de
tempos em tempos (conforme configurado nas políticas de segurança do domínio ), o
usuário deve trocar a senha.

Armazenar senha c/ criptografia reversível: Esta opção somente deve ser marcada se o
usuário precisa fazer o logon no domínio, a partir de estações de trabalho padrão Apple.

Conta desabilitada: O Administrador marca esta opção para desativar a conta de um
usuário. Usuários com a conta desabilitada não podem mais efetuar logon e,
consequentemente, não podem mais acessar recursos da rede. Esta opção normalmente é
utilizada para desativar, temporariamente, a conta de empregados que estão em férias.
Quando o empregado retorna ao serviço, o Administrador libera a sua conta, simplesmente
desmarcando esta opção.
3.

Cartão inteligente necessário p/ logon interativo: Se esta opção estiver marcada, o
usuário somente poderá fazer o logon se estiver utilizando um Smart Card (Cartão
Inteligente). O uso de Smart Cards aumenta bastante a segurança no logon, uma vez que
mesmo de posse da senha do usuário, outra pessoa não conseguirá fazer o logon se não tiver
também o Smart Card do usuário. É um nível de segurança adicional. Um dos fatores que
impedem (ou estão atrasando) o uso em larga escala de Smart Cards é o custo dos leitores de
Smart Card e o pouco conhecimento sobre o assunto. Mas com as necessidades cada vez
maiores de segurança, a tendência é que a adoção dos Smart Cards para o logon seja cada
vez mais comum nas empresas. Quando esta opção for utilizada, a senha da conta do usuário
é automaticamente e aleatoriamente criada pelo Windows Server 2012 R2, usando requisitos
de complexidade e a opção Password never expires (A senha nunca expira) é selecionada.

Conta sensível à segurança não pode ser delegada: Esta é uma opção que deve ser
utilizada com muito cuidado, pois pode gerar problemas em relação à segurança. Com esta
opção marcada, um hacker poderia tentar fazer se passar por um serviço válido para
executar o serviço em nome da conta. Com isso o “falso serviço” teria todas as permissões
atribuídas a conta. Já imaginou se isso acontecesse com a conta Administrator
(Administrador)? O falso serviço simplesmente teria permissões totais em todo o domínio,
ou seja, um verdadeiro desastre. Com esta opção marcada, somente contas com menores
“poderes”, poderiam ser delegadas para serem utilizadas por serviços instalados no servidor.
Esta opção permite um controle mais rigoroso sobre uma determinada conta, não permitindo
que outros serviços executem ações em nome desta conta.

Use tipos de criptografia DES/Kerberos para esta conta): Habilita suporte para o tipo de
criptografia conhecido como DES, o qual suporta diversos níveis de criptografia, incluindo
MPPE Standard (40-bit), MPPE Standard (56-bit), MPPE Strong (128-bit) IPSec DES (40bit), IPSec 56-bits DES e IPSec Triple DES (3DES). Falaremos mais sobre criptografia e os
mecanismos de autenticação do Windows Server 2012 R2, na parte sobre segurança, nos
Capítulos 19 e 20.

Esta conta oferece suporte à criptografia Kerberos AES de 128 bits e Esta conta
oferece suporte à criptografia Kerberos AES de 256 bits: As opções de criptografia
Kerberos AES (de 128 e 256 bits) estão disponíveis somente quando o nível funcional do
domínio é definido como Windows Server 2012 R2, Windows Server 2008 ou Windows
Server 2003. A criptografia AES (Padrão Avançado de Criptografia) é um novo algoritmo
de criptografia padronizado pelo NIST (Instituto Nacional de Normas e Tecnologia).
Espera-se que seja amplamente usada nos próximos anos. Para obter mais informações sobre
a
autenticação
Kerberos,
consulte
a
Explicação
sobre
o
Kerberos
(http://go.microsoft.com/fwlink/?LinkId=85494) - essa página está disponível somente em
Inglês.

Não exige pré-autenticação Kerberos: O Kerberos é um protocole de autenticação
conforme mostraremos nos Capítulos 19 e 20. Ao marcar esta opção você permite que a
conta seja autenticada por servidores utilizando diferentes versões e implementações do
protocolo Kerberos.
Selecione as opções desejadas para a conta que está sendo configurada.
Na parte de baixo da janela você pode definir se a conta nunca expira (Nunca) ou se a conta deve
expirar em um determinada data (Ao final do dia:). Expirar significa que a partir da data de
expiração, não será mais possível utilizar a conta que expirou, para fazer o logon no domínio, a não
ser que o administrador acesse as propriedades da conta e defina uma nova data de expiração. Um
exemplo prático onde você utiliza esta opção é para contas utilizadas por estagiários. Vamos supor
que você contrata os estagiários por períodos definidos. Com isso você pode cadastrar o estagiário e
já configurar esta conta para que expire na data de encerramento do contrato do estágio. Feito isso,
exatamente no dia do encerramento do estágio a conta será desativada. Agora vamos supor que um
novo estagiário tenha sido contratado para substituir o que saiu. Basta ativar novamente a conta,
renomeá-la e alterar os dados da conta, informando os dados do novo usuário. Informe a conta
renomeada para o estagiário utilizar para logon no domínio. Com isso não é preciso reconfigurar as
permissões de acesso, uma vez que a conta é a mesma (apenas foi renomeada), o estagiário que
chega tem exatamente as mesmas permissões de acesso do que o estagiário que saiu. O que faz
sentido, já que ele está substituindo o anterior. Prático, fácil e rápido.
4.
Para definir um prazo de expiração para a conta clique na opção Ao final do dia. A lista ao
lado desta opção será exibida. Abra esta lista. Será exibido um calendário com o mês corrente. Você
pode clicar no botão com a seta para a esquerda para voltar um mês e no botão com a seta para a
direita para avançar um mês.
5.
Para selecionar uma data de expiração basta clicar na respectiva data. A data na qual você
clicou é exibida na lista ao lado do campo Ao final do dia.
6.
Feitas as configurações desejadas é só clicar em OK para aplicá-las.
Muito bem, já aprendemos a configura mais algumas propriedades de uma conta de usuário do
domínio. Vamos seguir nosso estudo.
Definindo o Horário de Logon e os Computadores na Qual a Conta Pode Fazer o Logon:
Por padrão, ao criar uma conta, é permitido que ela seja utilizada para fazer o logon nas 24 horas do
dia, nos sete dias da semana. Também é permitido que ele faça o logon em qualquer estação de
trabalho. Conforme descrevemos anteriormente, por padrão, as contas de usuários não tem
permissão para fazer o logon interativamente, isto é, diretamente em servidores e DCs do domínio,
a menos que pertençam a um grupo que tem estas permissões (Administradores, Opers. de contas,
Opers. de servidores e assim por diante).
Neste item mostraremos como definir o horário em que uma conta pode fazer o logon, bem como
limitar os computadores nos quais a conta pode fazer o logon. Por exemplo, vamos supor que você
tem um estagiário (sempre os estagiários) que somente deve poder fazer o logon das 8:00 às 12:00,
de segunda a sexta-feira e somente em duas estações de trabalho da seção na qual ele trabalha. Você
pode configurar estas limitações, facilmente, através das propriedades da conta de usuário do
estagiário.
Exemplo Prático: Para limitar os horários em que uma conta pode fazer o logon e os computadores
nas quais a conta pode fazer o logon, siga os passos indicados a seguir:
1.
Acesse as propriedades da conta a ser configurada.
2.
Dê um clique na guia Conta.
3.
Clique no botão Horário de logon...
4.
Será exibida a janela Horário de logon para [nome por extenso da conta], conforme indicado
na Figura 9.12. Observe que, por padrão, é permitido o logon nas 24 horas do dia e nos sete dias da
semana.
Figura 9.12 - A janela para definir o horário de logon para a conta.
5.
Quadradinho azul indica horário permitido e quadradinho branco, horário não permitido.
Para alterar a cor de um faixa de horário, basta clicar na primeira hora da faixa, manter o botão
esquerdo do mouse pressionado e ir arrastando para selecionar um ou mais quadradinhos. A medida
que você vai arrastando os quadradinhos vão sendo selecionados. Depois de selecionados basta dar
um clique na opção desejada: Logon permitido ou Logon negado, que o Windows Server 2012 R2
altera a cor do quadradinho de acordo com a opção selecionada.
6.
Utilize a técnica de arrastar, para configurar os horários permitidos conforme exemplo da
Figura 9.13, onde foi habilitado o logon somente no período das 8:00 as 12:00, de segunda à sextafeira. Neste exemplo você pode primeiro clicar na palavra domingo. Todas as horas do domingo
serão selecionadas. Depois clique em Logon negado para negar o logon em todas as horas do
domingo. Repita a operação para o Sábado. Em seguida você pode marcar a faixa de horário das 13
as 24 horas de segunda à sexta-feira e depois clicar em Logon Negado. Depois marque da 0 até as 7
horas e clique em Logon negado. Com isso você está limitando o logon somente ao horário
proposto, ou seja, de segunda à sexta-feira, das 8:00 as 12:00.
7.
Dê um clique no botão OK para aplicar as alterações. Você estará de volta a guia Conta.
Dica: Para selecionar um dia todo, por exemplo domingo, basta clicar no botão domingo. Isso é
muito mais fácil do que arrastar o mouse sobre todos os quadradinhos do domingo. O mesmo é
válido para o botão das horas. Se você clicar no botão 8, você selecionará o quadradinho
correspondente as 8:00 horas de todos os dias.
Figura 9.13 - Logon permitido somente de segunda à sexta-feira, das 8:00 às 12:00 horas.
Agora você aprenderá a limitar os computadores nos quais o usuário pode efetuar o logon. Esse
procedimento normalmente é adotado para empregados temporários ou estagiários, de tal forma que
o Administrador posso controlar em quais computadores esses usuários podem efetuar o logon. Por
padrão, ao ser criada uma conta, não é aplicada restrição em relação as estações de trabalho da rede
na qual a conta pode fazer o logon. Neste item você limitará as estações nas quais uma conta pode
fazer o logon
8.
Você ainda deve estar na guia Conta. Dê um clique no botão Fazer logon em...
9.
Será exibida a janela Estações de Trabalho para Logon. Conforme indicado na Figura 9.14.
Por padrão é permitido o logon em todas as estações de trabalho (Todos os computadores).
Figura 9.14 - O Logon permitido, por padrão, em todas as estações de trabalho.
10.
Clique na opção Os seguintes computadores. No campo Nome do computador, digite o
nome da estação de trabalho e clique no botão Adicionar. Repita estes passos para adicionar os
demais computadores para os quais a conta terá permissão de logon, conforme exemplo da Figura
9.15, onde foi dada permissão de logon em três computadores: micro01, micro02 e micro03.
Figura 9.15 - Definindo permissão de logon em três computadores.
Nota: Para remover um computador da lista basta clicar no nome do computador para selecioná-lo
e em seguida clicar no botão Remover. Para alterar o nome de um computador clique no nome a ser
alterado, clique no botão Editar, digite o novo nome e clique em qualquer espaço em branco.
11.
Após ter inserido o nome dos computadores em que a conta terá permissão de logon, clique
em OK.
7.
Você estará de volta a guia Conta da janela de propriedades da conta do usuário. Clique em
OK para fechar a janela de propriedades da conta e salvar as alterações. Pronto, agora esta limitada
a fazer o logon somente nos computadores listados na janela Estações de Trabalho de Logon e
também teve seus horários de logon limitados ao horário das 08:00 às 12:00, de segunda a sextafeira.
Conclusão:
Este trecho de demonstração foi extraído do Capítulo 9 do livro:
“Windows Server 2012 R2 e Active Directory - Curso Completo”
http://juliobattisti.com.br/indjb/livros/server2012/
Neste endereço você encontra informações completas sobre o livro, índice completo e detalhado, e
pode aproveitar uma super promoção com um ótimo preço + 42 super bônus + Bônus Surpresa
revelado somente no final do vídeo.
Tudo Para Você Tornar-se um Administrador de Redes Altamente Qualificado Para o
Mercado de Trabalho e Levar a Sua Carreira Para o Próximo Nível
Domine Desde o Planejamento de uma Rede Baseada no Windows Server 2012 até a
Implementação do Active Directory e dos Demais Serviços (DNS, DHCP, GPOs, Terminal
Services, Servidores de Arquivos e Impressão, VPN, Acesso Remoto, Direct Access, PowerShell,
IIS e muito mais...)
Este Livro Será sua Fonte Permanente de Consulta e Referência!
O Mais Completo, Didático e Prático Livro sobre o Windows Server 2012 R2 e o Active
Directory, em Português.
Veja a Seguir os Principais Tópicos Abordados no Livro:
- Planejar a instalação de uma rede com servidores Windows Server 2012 R2.
- Entender o Papel do Windows Server 2012 R2 em uma Rede.
- Revisar a Teoria sobre Redes e o TCP/IP.
- As novidades do Windows Server 2012 R2.
- Instalar e Ativar o Windows Server 2012 R2.
- Aprenda a teoria e toda a prática relacionada com o Active Directory.
- Instalação do Active Directory e Criação de Domínios e Árvores de Domínios.
- Configurações Básicas e Avançadas do Active Directory.
- Criação e Administração de Contas de Usuários e Grupos e Pastas.
- Configuração de Permissões NTFS e de Compartilhamento.
- Instalação, Configuração e Administração de Impressoras em Rede.
- Servidor de Arquivos: Instalação, Configuração e Administração.
- Servidor de Impressão: Instalação, Configuração e Administração.
- Servidor DNS: Instalação, Configuração e Administração.
- Servidor DHCP: Instalação, Configuração e Administração.
- Servidor Web IIS: Instalação, Configuração e Administração.
- Servidor de Acesso Remoto - VPN: Instalação, Configuração e Administração.
- Servidor de Acesso Remoto - DirectAccess: Instalação e Configuração.
- Configurar o Firewall do Windows, Criação de Regras de Entrada e de Saída.
- Criptografia, Compactação e Cotas em Volumes NTFS.
- Saiba Como Implementar uma Política de Backup/Restore dos Dados.
- Configurações de Auditoria e de Monitoração do Desempenho do Sistema.
- Domínios, Active Directory e uso de Ferramentas Administrativas do domínio.
- Instalação, configuração e administração do DNS, DHCP e WINS.
- Novidades tais como NAP, DirectAccess, AD RMS, PowerShell e Hyper-V.
- Configurações de Rede e do Protocolo TCP/IP, Roteamento e Sub-redes.
- Entenda a Registry do Windows Server 2008 e Entenda o Processo de boot.
- Implementação e Administração de GPOs – Group Policy Objects.
- Segurança: IPSec, Configurações Avançadas do Firewall e muito mais.
- Armazenamento Básico x Dinâmico e Gerenciamento de Discos e Volumes.
- Todas as novidades relacionadas com o Terminal Services.
- E muito, muito, muito mais mesmo...
Acesse o endereço a seguir e veja todos os detalhes:
ÚLTIMOS LANÇAMENTOS DO AUTOR JÚLIO BATTISTI:
http://www.juliobattisti.com.br/indjb/livros/ex
cel2010av/
http://juliobattisti.com.br/loja/detalheprod
uto.asp?CodigoLivro=LIV0001314
http://juliobattisti.com.br/loja/detalheproduto.asp?
CodigoLivro=LIV0001320
uto.asp?CodigoLivro=LIV0001241
CodigoLivro=LIV0001236
uto.asp?CodigoLivro=EXC0000031
CodigoLivro=SOP0000066
uto.asp?CodigoLivro=EXC0000022
CodigoLivro=BDD0000044
O QUE VOCÊ ENCONTRA EM http://juliobattisti.com.br
 65.000 páginas de conteúdo gratuito
 http://juliobattisti.com.br/tutoriais
 http://juliobattisti.com.br/artigos
 Cursos Online de Excel Qualidade.
 http://juliobattisti.com.br/cursosonline
 Com Certificado
 Com Suporte a Dúvidas
 Preço Justo e Qualidade
 Mais de 200 vídeo aulas sobre Excel,
VBA, Access, Word, Programação,
PHP, Criação de Sites, Português,
Matemática e muito mais...
 http://juliobattisti.com.br/loja
 Uma seleção de mais de 2000 livros
sobre informática, Excel, Access, VBA,
Dashboards, Gráficos, AutoCAD,
Criação de Sites, administração,
matemática, física, cálculo, autocad,
programação, servidores Windows e
Linux, Redes, Segurança e muito mais
 Uma seleção de mais de 500 E-books
informática, Excel, Access, VBA,
Dashboards, Gráficos, AutoCAD,
Criação de Sites, administração,
matemática, física, cálculo, Autocad,
programação, servidores Windows e
Linux, Redes, Segurança e muito mais
 MEUS CONTATOS ->>>
 [email protected]
 [email protected]
 (51) 9627-34340
 (51) 3717-3796
 Santa Cruz do Sul - RS

Clique Aqui Para Baixar um Trecho do Livro

Transcrição

Documentos relacionados

Acessando o LimerSoft SisVendas Desktop através de Tablets e

Fechadura Biométrica SHS-1321

Apresentação do PowerPoint

CONFIGURAÇÃO DE NOME (SSID) E SENHA DA REDE SEM FIO

Lexmark X543dn -- Lexmark Portugal

Windows Mobile 5.0 for

o controle de acesso

prova objetiva

HP Pavilion Gaming 15

MX-C301W MX-C301