Autores: Júlio Battisti e Eduardo Popovici · O Windows Server 2012 R2 precisa saber quem é o usuário que está “tentando” acessar a pasta. Se for o José da Silva, o Windows

75.000 Páginas de Conteúdo Gratuito em: http://www.juliobattisti.com.br/artigos

Autores: Júlio Battisti e Eduardo Popovici

Livro: Windows Server 2012 R2 - Curso Completo

Este arquivo contém algumas páginas de demonstração do conteúdo do livro. O livro, com cerca de 2100 páginas, pode ser

adquirido através do seguinte endereço:

http://www.juliobattisti.com.br/indjb/livros/ server2012/

Este arquivo é de livre distribuição. Compartilhe este arquivo com

seus amigos, colegas e conhecidos.

Compartilhe através do Facebook, Twitter, Google+, etc.

Desta maneira você me ajuda a divulgar o livro e eu te ajudo e consigo criar novos E-books e novas demonstrações com conteúdo útil para compartilhar com você e com seus amigos.

Não esqueça de acessar as áreas de artigos e tutoriais do meu site, onde você encontra mais de 75.000 páginas de conteúdo inteiramente gratuito:

o http://juliobattisti.com.br/artigos o http://juliobattisti.com.br/tutoriais

Confira também o nosso canal de vídeos no Youtube, com centenas de vídeo aulas gratuitas e novos vídeos sendo adicionados, todos os dias:

o https://www.youtube.com/user/JBLivrosCursos

Comente, compartilhe, indique para os amigos.

Nossa página no Facebook (diariamente farei publicações com E-books gratuitos para download, vídeo aulas gratuitas e muito mais:

o https://www.facebook.com/juliobattistilivrosecursos

Autor: Júlio Battisti E-mail: [email protected] Skype: [email protected] Site: http://www.juliobattisti.com.br

Autor: Eduardo Popovici E-mail: [email protected] Skype: eduardo_popovici Site: http://www.htbraz.com.br


:: Capítulo 09 - Administração de Usuários, Grupos e Unidades Organizacionais do Active Directory

Introdução: Neste capítulo você aprenderá sobre os seguintes assuntos:

O conceito de contas de usuários, contas de computadores e grupos de usuários. Criação e administração de contas de usuários e de computadores. Criação e administração de grupos de usuários. Criação e administração de Unidades Organizacionais. O modelo de permissões do Windows Server 2012 R2. Definição de políticas de senhas e contas para o Active Directory Comandos para o gerenciamento de contas e grupos do Active Directory

Em muitos livros sobre o Windows Server 2012 R2, você irá encontrar o capítulo sobre Contas de Usuários, Grupos e Unidades Organizacionais, quase no final do livro. Eu optei por trazer este capítulo para praticamente o início do livro, pois utilizamos os conceitos de usuários, grupos e permissões de acesso em quase todos os assuntos do livro. Por isso consideramos importante que, logo após instalado e configurado o Active Directory, o primeiro assunto a ser tratado fosse sobre contas de usuários, grupos, computadores e sobre permissões de acesso. Que são justamente os assuntos deste e dos próximos capítulos. Quando você trabalha na rede da empresa, o Windows Server 2012 R2 precisa de uma maneira para poder identificar quem é o usuário logado e quais ações ele está realizando ao acessar os recursos de um ou mais servidores da rede (arquivos em pastas compartilhadas, impressoras compartilhadas, acesso a Internet, etc.). O Windows Server 2012 R2 também precisa identificar cada usuário para liberar ou não o acesso a recursos protegidos por permissões de acesso. Por exemplo, se você tem uma pasta compartilhada chamada Docs, no servidor SRV01. Nesta pasta o Administrador configurou as permissões de acesso, de tal maneira que somente o usuário José da Silva possa acessar esta pasta. O Windows Server 2012 R2 precisa saber quem é o usuário que está “tentando” acessar a pasta. Se for o José da Silva, o Windows Server 2012 R2 libera o acesso, caso contrário o acesso é negado. Simples assim. O Windows Server 2012 R2 identifica cada usuário pelas informações de logon. Quem informações são essas? Um nome com o qual o usuário foi cadastrado na rede e a respectiva senha. Por exemplo, o nosso usuário José da Silva poderia ser cadastrado como jsilva, já a Maria Aparecida poderia ser cadastrada como mariaap, e assim por diante. Ou seja, o primeiro passo para que um usuário possa ter acesso aos recursos da rede é cadastrar o usuário. Cadastrar o usuário significa criar uma conta de usuário e um senha no Active Directory. Na primeira parte deste capítulo você aprenderá sobre contas de usuários. Inicialmente apresentarei alguns detalhes teóricos sobre contas de usuário e após a teoria, mostrarei a parte prática, ou seja, como criar e administrar contas de usuários. Nota: Nos dias atuais são exigidos níveis de segurança cada vez mais sofisticados. Para muitas empresas, a identificação do usuários somente através de um logon e de uma senha não é mais suficiente. Hoje existem vários outros recursos, que tornam a identificação mais segura, tais como o uso de Certificados Digitais, Cartões inteligentes, reconhecimento biométrico (digitais, íris, traços do rosto, etc.). O Windows Server 2012 R2 dá suporte a todas estas tecnologias.


Uma vez entendido o conceito de usuários, você aprenderá sobre grupos de usuários. Mostaremos que existem diferentes tipos de grupos e com diferentes escopos de utilização. No Capítulo 5 fiz uma discussão teórica completa (de fundamental importância para a eficiente administração das permissões de acesso aos recursos) sobre as estratégias de utilização de grupos de usuários, para atribuição de permissões aos recursos da rede: pastas e impressoras compartilhadas, aplicativos Web, bancos de dados e assim por diante. Neste capítulo você aprenderá a parte prática de criação de grupos. Nos Capítulos 11 e 12 você aprenderá a utilizar a estratégia explicada no Capítulo 5, para atribuir permissões de acesso a usuários e grupos, a recursos tais como pastas e impressoras compartilhadas. Entendidos os conceitos de contas de usuários e grupos de usuários, é hora de aprender sobre unidades organizacionais. Vamos mostrar o que é uma Unidade organizacional, como ela difere de um domínio, quando usar Unidades Organizacionais e quando utilizar domínios. Também mostraremos a parte prática de criação e administração de Unidades Organizacionais, delegação de permissões de administração, bem como operações de mover contas de usuários e grupos de uma unidade organizacional para outra. Com os conceitos apresentados neste capítulo, você terá avançado mais um passo no entendimento do Active Directory e dos diversos elementos que o compõem.


Contas de usuários – Teoria, Tipos e Padrões de Nomes Conceito e teoria sobre Contas de Usuários: Quando você trabalha em uma rede de computadores, segurança é um dos itens de maior importância. A Administração da rede deve ser capaz de permitir que cada usuário somente tenha acesso aos recursos – sejam eles arquivos, impressoras ou serviços – os quais sejam necessários para a realização do seu trabalho. Por exemplo, um usuário que trabalha no departamento de bagagem não deve ser capaz de acessar informações sobre salários contidas nos arquivos de um Computador do departamento de Recursos Humanos. No Capítulo 2 você aprendeu sobre redes de computadores e os diferentes papéis que o Windows Server 2012 R2 pode desempenhar em uma rede. Mostrei que, em uma configuração típica, o Windows Server 2012 R2 pode estar configurado como um servidor de arquivos, onde existem pastas compartilhadas que os usuários acessam através da rede. No Capítulo 5 você aprendeu sobre o conceito de Domínio. Quando você cria um domínio, os servidores e também as estações de trabalho dos usuários, devem ser configuradas para fazer parte do domínio. Quando um usuário liga a sua estação de trabalho (quer ele esteja configurada com o Windows 2000 Professional, XP Professional, Windows Vista, Windows 7 ou Windows 8), o Windows é inicializado e em seguida é apresentada a tela de logon no domínio, conforme exemplo indicado na Figura 9.1, onde temos o exemplo do usuário jsilva fazendo o logon no domínio ABC, usando uma estação de trabalho com o Windows Server 2003.

Figura 9.1 - A tela de Logon do Usuário jsilva no domínio GROZA. As informações sobre as contas de usuários, senhas e grupos ficam gravadas no banco de dados do Active Directory, nos servidores configurados como DCs do domínio. Quando o usuário liga a sua estação de trabalho e digita o seu nome de usuário e senha, estas informações são repassadas, através da rede, para um DC do domínio, onde as informações são verificadas. Se o nome de usuário existir, a senha estiver correta e a conta do usuário não estiver bloqueada, o logon será liberado e a área de trabalho do Windows será carregada. Uma vez que o usuário fez o logon no domínio, ele passou a estar identificado, ou seja, todas as ações que o usuário executar estarão associadas com a sua conta de usuário. Por exemplo, se o usuário jsilva fizer o logon no domínio GROZA e tentar acessar um arquivo para o qual ele não tem permissão, ficará registrado nos logs


de auditoria do servidor as seguintes informações (isso se o administrador configurou a auditoria de acesso a pastas e arquivos, conforme mostraremos no Capítulo 13):

Identificação do usuário – no exemplo jsilva. Data e hora da tentativa de acesso. Nome do arquivo e/ou pasta que o usuário tentou acessar.

Observe que a conta do usuário é utilizada como a sua identidade na rede. Em um domínio, além de servidores configurados como DCs, você pode ter servidores configurados como Servidores Membro (Member Servers). Um Member Server não tem o Active Directory instalado e, portanto, não tem uma cópia de toda a lista de usuários e grupos do domínio e nem das demais informações contidas no Active Directory. Um Member Server normalmente é um servidor que desempenha um papel específico, tal como servidor de arquivos, servidor de impressão, servidor de acesso remoto, servidor Web e assim por diante. Como o servidor faz parte do domínio (ele é um Member Server), as contas de usuários e grupos do domínio podem receber permissões para acessar os recursos disponibilizados pelo Member Server. Um detalhe interessante é que é possível criar uma lista de usuários e grupos de usuários no próprio Member Server. Estas contas somente são válidas para o logon localmente no servidor onde foram criadas e são conhecidas como contas locais. Por exemplo, ao instalar o Windows Server 2012 R2 em um Member Server, automaticamente, durante a instalação, é criada a conta Administrador, com permissões de administrador em todos os recursos do Member Server. As contas e grupos locais, criados em um Member Server, somente podem receber permissões de acesso aos recursos do servidor onde foram criadas, já que estas contas não são “visíveis” em outro servidor que não o próprio servidor onde foram criadas. Embora seja possível criar contas e grupos locais, esta não é uma prática recomendada. Sempre que possível você deve utilizar as contas e grupos do domínio. Uma exceção é a conta local Administrador, a qual é criada automaticamente com a instalação do Windows Server 2012 R2. Esta conta tem permissões totais em todos os recursos do servidor. Um procedimento normalmente adotado é definir a mesma senha para todas as contas Administrador de todos os Member Servers do domínio. Normalmente esta senha é de conhecimento apenas dos administradores do domínio. A conta local Administrador pode ser utilizada para fazer configurações no servidor quando, por algum motivo, não for possível fazer o logon no domínio. Dica: É uma boa idéia incluir no documento de política de segurança da empresa, como tratar da senha das contas de Administrador local. Uma opção é escrever esta senha em um papel, colocar em um envelope lacrado e deixar em um cofre de segurança, ao qual somente pode ter acesso o Administrador da rede em companhia com alguém da administração da empresa. Uma conta pode ser criada em um DC – situação em que a conta é válida e reconhecida em todo o domínio; ou a conta pode ser criada em um Member Server, situação em que a conta somente é válida e reconhecida no Member Server onde ela foi criada. Contas criadas em um DC são chamadas de “Domain User Accounts” (Contas de Usuários do Domínio). Essas contas permitem que o usuário faça o logon em qualquer computador do domínio e receba permissões para acessar recursos em qualquer computador do domínio.


Contas criadas em um Servidor Membro são chamadas de “Local User Accounts” (Contas de Usuários Locais). Essas contas somente permitem que o usuário faça o logon e receba permissões para acessar recursos do servidor onde a conta foi criada. Sempre que possível evite criar Contas Locais em servidores que fazem parte de um domínio. Utilizar as contas do Domínio, as quais ficam armazenadas no Active Directory torna a administração bem mais fácil. Até o Windows Server 2003, quando é exibida a tela de logon em um Member Server, o usuário pode escolher entre fornecer uma conta e senha do domínio ou uma conta e senha local. Na lista Log on to o usuário seleciona o nome do domínio no qual ele quer fazer o logon ou o nome do servidor local, para fazer o logon com uma conta local. A partir do Windows Server 2008, Windows Server 2012 R2, Windows Vista, Windows 7 e no Windows 8, o usuário pode clicar no botão Trocar Usuário e informar o nome do usuário da seguinte forma: NomeDoDomínio\NomeDoUsuário. Para fazer o logon com uma conta do domínio. Por exemplo, ABC\jsilva, significa o usuário jsilva do domínio ABC. Ou, se quiser usar uma conta local, pode usar a sintaxe: NomeDoComputador\NomeDaConta. Por exemplo, SRV01\maria, significa o usuário maria, do computador SRV01. Dica: A criação e administração de contas de usuários e grupos locais é feita utilizando-se o console Gerenciamento do Computador, descrito no Capítulo 7. As etapas para a criação e administração de contas e grupos locais são semelhantes as etapas para a criação e administração de contas do Active Directory. Nos exemplos deste capítulo utilizarei contas e grupos do domínio. A única diferença para as contas locais é que para estas haverá um número menor de campos disponíveis quando da criação da conta e as ferramentas utilizadas são diferentes. Para contas locais o console Gerenciamento do Computador e para contas do domínio usamos o console Usuários e Computadores do Active Directory. No Windows Server 2012 R2, é possível limitar os recursos de rede aos quais cada usuário tem acesso, através do uso de permissões de acesso. Por exemplo, o administrador pode definir uma lista de usuários com acesso a uma pasta compartilhada, podendo definir, inclusive, níveis de acesso diferentes. Um determinado grupo tem acesso completo (leitura, gravação e exclusão), já um segundo tem acesso mais restrito (leitura e gravação) e um terceiro grupo tem acesso ainda mais restrito (leitura). Para que seja possível atribuir permissões, cada usuário deve ser cadastrado no domínio. Cadastrar o usuário significa criar uma “Conta de Usuário”. Com uma conta o usuário pode efetuar o logon e receber permissões para acessar os mais variados recursos disponibilizados na rede. Reunindo esta história toda, cada usuário deve ser cadastrado. Cadastrar o usuário significa criar uma conta de usuário no Active Directory (veja exemplos práticos mais adiante). Uma vez que a conta foi criada, o usuário pode utilizá-la para fazer o logon em qualquer computador da rede. Tipos de Contas de Usuário: No Windows Server 2012 R2 existem diferentes tipos de contas de usuário, as quais descrevo a seguir.

Usuário: É o tipo tradicional de conta, utilizada para que o usuário faça o logon no domínio, seja identificado e possa ter acesso aos recursos para os quais sua conta recebeu permissões de acesso. São as contas locais ou contas do Domínio, já descritas anteriormente.

InetOrgPerson: Só o nome já assusta. Este tipo de conta é utilizado quando você precisa

migrar contas de um diretório baseado no padrão LDAP, mas que não seja um diretório Microsoft, como por exemplo, uma base de dados do Unix ou Linux, que seja baseada no padrão LDAP. Este tipo de conta pode receber permissões de acesso, possui Identificador Interno de Segurança e atende aos requisitos da RFC 2798.


Contato: Este tipo de conta é utilizada praticamente como uma conta de e-mail. É

normalmente o tipo de conta usada nos Grupos de Distribuição, utilizados para enviar mensagens para um grupo de usuários. Este tipo de conta não tem Identificador de Segurança (SID – Security ID) e não pode receber permissão de acesso a recursos, tais como pastas ou impressoras compartilhadas.

Antes de partir para a parte prática, apresentarei mais algumas recomendações e detalhes relacionados com contas de usuários: Definindo um Padrão de Nomes Para as Contas de Usuários: Outro detalhe que você deve observar é a definição de um padrão para o nome das contas de usuários. Você deve estabelecer um padrão para a criação de nomes, pois não podem existir dois usuários com o mesmo nome de logon dentro do mesmo domínio. Por exemplo, se existir no mesmo Domínio, dois funcionários com o nome José da Silva e os dois resolverem utilizar como logon “jsilva”, o administrador terá um problema para resolver, pois não é possível ter dois usuários com o mesmo nome de logon, dentro do mesmo domínio. Para isso é importante que seja definido um padrão e no caso de nomes iguais deve ser definido uma maneira de diferenciá-los. Por exemplo, você poderia usar como padrão a primeira letra do nome e o último sobrenome. No caso de nomes iguais, acrescentam-se números. No exemplo citado, o primeiro José da Silva cadastrado ficaria como jsilva, já o segundo a ser cadastrado ficaria como jsilva1. Caso no futuro houvesse mais um José da Silva dentro do mesmo domínio, este seria o jsilva2 e assim por diante. Observações Sobre o Nome das Contas de Usuários: Quando o administrador cria nomes de logon para os usuários, devem ser levados em consideração os seguintes detalhes:

O nome de logon deve ser único no domínio. Veja o exemplo do item anterior, onde mostrei que não seria possível criar dois usuários com nome de logon jsilva, dentro do mesmo domínio.

O nome de logon também não pode ser igual ao nome de um grupo do domínio. Por

exemplo, se já existe um grupo chamado Contabilidade, você não poderá criar uma conta de usuário com o campo nome de logon preenchido como Contabilidade.

O nome de logon pode conter espaços em branco e pontos, porém não pode ser formado

somente por espaços e pontos. É conveniente evitar o uso de espaços em branco, pois contas com espaços em branco no nome, terão que ser escritas entre aspas, quando você utiliza scripts para administração do Windows Server 2012 R2.

Podem ter no máximo 128 caracteres.

Os seguintes caracteres não podem ser utilizados: “ / \ : ; [ ] | = , + * ? < >

O Windows Server 2012 R2 não diferencia entre maiúsculas e minúsculas para o nome de

logon. Por exemplo, para o Windows Server 2012 R2 jsilva, JSILVA ou Jsilva representa o mesmo usuário. Porém diferencia maiúsculas e minúsculas para senhas.


Questões Relacionadas com a Definição da Senha do Usuário: Sempre que você for cadastrar um usuário também deve ser cadastrada uma senha para ele. No Windows 2000 Server, por padrão, era aceito que o administrador definisse uma senha em branco. Caso fosse necessário, o administrador poderia definir um número mínimo de caracteres para as senhas dos usuários. No Windows Server 2012 R2, a preocupação com a segurança está presente desde o momento da instalação. No Windows Server 2012 R2, por padrão, são definidas as seguintes políticas de segurança em relação as senhas de usuários:

Quando o usuário vai trocar a senha, não pode ser utilizada uma senha igual as 24 últimas (haja criatividade para inventar senhas).

A senha expira (isto é, deve ser alterada) a cada 42 dias.

O tempo mínimo padrão de vida de senha é um dia. Ou seja, você trocou a senha hoje, não

poderá trocá-lo novamente daqui a uma ou duas horas, somente após 24 horas.

Tamanho mínimo de sete caracteres. A opção “A senha deve satisfazer a requisitos de complexidade (Password must meet complexity requirementes)” é habilitada por padrão nos DCs e desabilitada nos servidores Member Server, para as contas locais. Com a opção A senha deve satisfazer a requisitos de complexidade é habilitada por padrão no domínio, uma série de requisitos devem ser atendidos para que a senha seja aceita. A seguir descrevo estes critérios:

A senha não pode conter parte ou todo o nome da conta. Por exemplo, se o nome da conta for jsilva, a senha não poderá conter a sílaba “sil” ou a palavra “silva”.

Ter pelo menos seis caracteres. O número mínimo de caracteres pode ser aumentado,

configurando-se as políticas de segurança para senhas, conforme mostrarei mais adiante.

Deve conter caracteres de pelo menos três dos quatro grupos a seguir: letras maiúsculas de A até Z, letras minúsculas de a até z, dígitos de 0 a 9 ou caracteres especiais (:, !, @, #, $, %, etc.).

IMPORTANTE: Para as senhas, o Windows Server 2012 R2 distingue letras maiúsculas de minúsculas. Por exemplo a senha “Abc123” é diferente da senha “abc123”. Estes requisitos de complexidade são verificados quando a senha é criada pela primeira vez, durante o cadastramento do usuário e toda vez que a senha for alterada. Com estes requisitos definidos, as senhas a seguir seriam válidas:

AbCsenha1 AbcSenha# Abc123 Abc;;senha

Já as senhas a seguir não seriam válidas:


abcsenha123 (contém somente caracteres de dois dos quatro grupos: letras minúsculas e

números). abc;senha (contém somente caracteres de dois dos quatro grupos: letras minúsculas e

caracteres especiais). Nota: Mais no final deste capítulo, você aprenderá a configurar as definições das políticas de segurança para senhas do domínio. Agora que a teoria sobre as contas de usuários e senhas já foi apresentada, vou mostrar como criar e administrar contas de usuários. Você aprenderá as diversas tarefas relacionadas com a administração das contas de usuários em um domínio do Windows Server 2012 R2.


Criação e Administração de Contas de Usuários Neste item você aprenderá as ações práticas para a criação e administração de contas de usuários de um domínio. Você aprenderá a criar novas contas, configurar as diversas propriedades das contas já existentes, ativar e desativar contas, desbloquear contas, excluir e renomear contas. Todas estas ações são executadas com o console Usuários e Computadores do Active Directory. Vamos iniciar os exemplos pela criação de uma nova conta. Criando uma Nova Conta de Usuário no Domínio: Exemplo Prático: Para criar uma nova conta de usuário no domínio, siga os passos indicados a seguir: 1. Faça o logon como Administrador do domínio ou com uma conta pertencente ao grupo Opers. de contas. O grupo Opers. de contas é criado automaticamente durante a instalação do Active Directory. Membros deste grupo podem realizar tarefas relacionadas a criação e administração de contas de usuários no domínio. Mais adiante, no item sobre Grupos, descreverei os grupos que são criados automaticamente quando da instalação do Active Directory, os chamados Built-in Groups. 2. Abra o console Usuários e Computadores do Active Directory, o qual é acessado através da opção Ferramentas Administrativas do Painel de Controle. 3. Será aberto o console Usuários e Computadores do Active Directory, indicado na Figura 9.2:

Figura 9.2 - O console Usuários e Computadores do Active Directory. 4. Clique na setinha para a direita ao lado do nome do domínio no qual você irá criar a conta. No nosso exemplo, estou utilizando o domínio abc.com, que foi criado no Capítulo 8. 5. Abaixo do nome do domínio é exibida uma lista de opções criadas automaticamente quando o Active Directory é instalado, as quais passamos a descrever a seguir:

Builtin: Nesta opção estão os chamados grupos Builtin, ou seja, aqueles grupos criados automaticamente quando o Active Directory é instalado. Estes grupos são utilizados para funções de administração do domínio. Por exemplo, os membros do grupo Administradores tem permissões administrativas em todo o domínio, já membros do grupo Opers. de contas tem permissões para criar e administrar contas de usuários no domínio e assim por diante.


Os grupos que ficam nesta opção são grupos Locais do domínio. Mais adiante neste capítulo, reforçaremos as diferenças entre grupos Locais, Globais e Universais, conceitos estes que já foram detalhados no Capítulo 5. Também descreveremos os principais grupos Builtin e suas funções.

Computers: Nesta opção ficam as contas de todos os computadores do domínio, a não ser

que tenham sido criadas outras unidades organizacionais e contas tenham sido movidas para estas unidades organizacionais. Ainda neste capítulo você aprenderá a trabalhar com Unidades Organizacionais.

Domain Controllers (Controladores de Domínio): Nesta opção ficam as contas de

computadores dos DCs do domínio.

ForeignSecurityPrincipals: Nesta opção ficam objetos relacionados a relações de confiança criadas manualmente pelo administrador.

Managed Service Accounts: As “Contas de Serviço Gerenciado” foram introduzidas no

Windows Server 2008 R2 e estão presentes também no Windows 8 e no Windows Server 2012 R2. A conta de serviço gerenciado foi criada para ser utilizada para a execução de serviços e tarefas, como serviços do Windows e pools de aplicativos do IIS, para compartilhar suas próprias contas de domínio, ao mesmo tempo em que elimina a necessidade de um administrador para administrar manualmente as senhas dessas contas. É uma conta de domínio gerenciado que oferece o gerenciamento automático de senha, o que facilita a utilização destas contas para a execução de serviços e tarefas agendadas. Nesta pasta, por padrão, fica a lista das contas de serviço gerenciado criadas no domínio.

Users: Nesta opção ficam as contas que foram criadas automaticamente pelo Active

Directory, bem como os grupos Globais criados automaticamente. Um exemplo de conta criada automaticamente é a conta Administrador, a qual tem permissões de administrador em todos os recursos de todos os servidores do domínio. Por padrão é nesta opção que criamos novas contas de usuários. Conforme mostrarei mais adiante você também pode criar novas unidades organizacionais e criar contas de usuários dentro destas unidades organizacionais. Você também pode mover uma conta de usuário ou grupo para uma unidade organizacional, conforme veremos na prática, mais adiante.

6. Clique na opção Users para selecioná-la. Serão exibidas as contas de usuários e grupos globais criados automaticamente durante a instalação do Active Directory, conforme exemplo da Figura 9.3. 7. Para criar um novo usuário você pode utilizar uma das seguintes opções:

Clicar com o botão direito do mouse em Users e no menu de opções que é exibido clicar em Novo -> Usuário.

Selecionar o comando Ação -> Novo -> Usuário.

Clicar no botão Criar um novo usuário no container atual ( ). Este é o botão com o

desenho de um único bonequinho, com raios alaranjados saindo do seu olhar.


Figura 9.3 - A opção Users. 8. Para o nosso exemplo clique com o botão direito do mouse em Users e, no menu de opções que é exibido, clique em Novo -> Usuário. Será aberta a janela Novo objeto – Usuário, na qual você deve preencher o nome, sobrenome, nome completo, Nome de logon do usuário e Nome de logon do usuário anterior ao Windows 2000, conforme exemplo da figura 9.4. O nome de logon é o nome que o usuário utiliza para efetuar o logon no domínio (jsilva, maria, etc.). Já Nome de logon do usuário anterior ao Windows 2000 é o nome que o usuário utiliza para efetuar o logon em computadores com versões mais antigas do Windows, tais como o Windows NT Server 4.0, Windows 95/98/Me. Por simplicidade estes dois nomes devem ser iguais, observe que a medida que você digitar o primeiro, o segundo será automaticamente preenchido. Preencha os dados da nova conta, conforme exemplo indicado na Figura 9.4 e clique em Avançar.

Figura 9.4 - Criando a conta do usuário jsilvap. 9. Nesta etapa você tem que definir a senha e configurar algumas características da conta. Lembre que, por padrão, os requisitos de complexidade para senha estão habilitados, conforme descrito anteriormente. No campo Senha, informe uma senha que atenda aos requisitos de complexidade descritos anteriormente. Digite a senha novamente no campo Confirmar senha.


10. Além da senha você pode configurar as quatro opções descritas a seguir:

O usuário deve alterar a senha no próximo logon: Se esta opção estiver marcada, a primeira vez que o usuário fizer o logon, será solicitado que ele altere a sua senha. Esta opção é utilizada para que o usuário possa colocar uma senha que somente ele conhece. Quando o usuário é cadastrado, a senha é digitada pelo Administrador ou pelo usuário responsável pela criação de contas no domínio (que é quem faz o cadastro das contas), o qual fica sabendo a senha do usuário. No próximo logon o usuário é obrigado a alterar a senha de tal maneira que somente ele saiba qual a nova senha que será definida para a sua conta.

O usuário não pode alterar a senha: Se esta opção estiver marcada, a senha somente pode

ser alterada pelo Administrador ou por um usuário com permissão de Operador de contas (usuário que pertence ao grupo Opers. de contas). Esta opção normalmente é utilizada para empregados temporários e para estagiários. Para as contas utilizadas pelos funcionários da empresa, esta opção normalmente é desabilitada.

A senha nunca expira: Ao marcar esta opção, independente das políticas de segurança para

senhas (as quais veremos ainda neste capítulo), o usuário nunca precisará trocar a sua senha. Caso contrário de tempos em tempos (conforme configurado nas políticas de segurança de senhas), o usuário deve trocar a senha.

Conta desabilitada: O Administrador marca esta opção para desativar/bloquear a conta de

um usuário. Usuários com a conta bloqueada não podem mais efetuar logon e, consequentemente, não podem mais acessar recursos da rede. Esta opção normalmente é utilizada para desativar, temporariamente, a conta de empregados que estão em férias. Quando o empregado retorna ao serviço, o Administrador libera a sua conta, simplesmente desmarcando esta opção.

11. Defina as opções para a conta que está sendo criada, conforme exemplo da Figura 9.5:

Figura 9.5 - Definindo a Senha e as Opções da Nova Conta. 12. Clique em Avançar para seguir para a próxima etapa.


13. Esta etapa é apenas informativa. Você pode utilizar o botão Voltar para voltar a uma determinada etapa e fazer alterações. Clique em Concluir. 14. A conta jsilvap será criada e já será listada na opção Users. Observe que o que aparece na listagem é o nome completo do usuário. No nosso exemplo está sendo exibido o usuário José da Silva Pereira, conforme indicado na Figura 9.6. Nesta figura eu ativei o modo de visualização ícones grandes. Para tal utilizei o comando Exibir -> Ícones Grandes. Muito bem, agora o usuário José da Silva Pereira foi cadastrado com o nome de logon jsilvap e poderá fazer o logon nas estações de trabalho do domínio. Dica: Por padrão, quando uma nova conta de usuário é criada, ela não tem permissão para fazer logon localmente nos Member Servers e nem nos DCs do domínio. A permissão para fazer o logon localmente nos servidores do domínio é um direito que por padrão somente é atribuído a alguns grupos especiais, tais como Administradores (Administrators), Opers. de contas (Account Operators) e assim por diante. Em um dos próximos itens você aprenderá a configurar os direitos de usuários e a atribuir estes direitos para uma ou mais contas ou grupos de usuários.

Figura 9.6 – O Novo Usuário já é Exibido na Lista de Usuários. Configurando as Propriedades de Uma Conta de Usuário do Domínio: Durante a criação de uma conta de usuário, apenas algumas propriedades da conta são configuradas. Depois que a conta é criada, você pode acessar as propriedades da conta para configurar dezenas de outras propriedades. Por exemplo, você pode definir em que horas durante o dia é permitido para a conta fazer o logon no domínio, em quais computadores a conta pode ser utilizada para fazer o logon, qual o script de logon associado a conta e assim por diante. Neste item descreverei as principais propriedades que podem ser configuradas para uma conta de usuário do domínio. Vou dividir as configurações em etapas. Em cada etapa mostrarei como configurar determinadas propriedades relacionadas com um tópico específico. Por exemplo, como configurar as horas de logon, como configurar as informações pessoais e assim por diante. Em todos os exemplos, será solicitado que você acesse as propriedades da conta. Para acessar as propriedades de uma conta, você deve seguir os passos que indico logo a seguir. Nos demais exemplos, não irei repetir estes passos, apenas usarei a expressão “Acesse as propriedades da conta a ser configurada”.


Como Acessar as Propriedades de uma Conta: Exemplo Prático: Para acessar as propriedades da conta a ser configurada siga os passos indicados a seguir: 1. Faça o logon como Administrador do domínio ou com uma conta pertencente ao grupo Opers. de contas. Membros deste grupo podem realizar tarefas relacionadas a criação e administração de contas de usuários no domínio. 2. Abra o console Usuários e Computadores do Active Directory. Este console é acessado através da opção Ferramentas Administrativas do Painel de Controle. 3. Será aberto o console Usuários e Computadores do Active Directory. 4. Clique no seta para a direita ao lado do nome do domínio da conta a ser configurada. 5. Abaixo do nome do domínio é exibida uma lista de opções criadas automaticamente quando o Active Directory é instalado. Clique na opção Users (ou na Unidade Organizacional onde a conta está contida, caso a conta esteja em uma Unidade Organizacional. Ainda neste capítulo você aprenderá a criar, administrar e gerenciar unidades organizacionais e também aprenderá a mover contas de usuários para uma unidade organizacional). 6. Para acessar as propriedades de uma conta basta dar um clique duplo no nome da conta. A janela de propriedades da conta será exibida, com a guia Geral selecionada, conforme indicado na Figura 9.7:

Figura 9.7 - A Janela de Propriedades de uma Conta de Usuário do Domínio.


7. Observe que estão disponíveis uma série de guias, com diversas propriedades em cada guia. Após ter configurado as propriedades da conta, clique em OK. Nos exemplos a seguir mostrarei como configurar diversas destas propriedades. Configurando Informações Gerais e de Endereço Para a Conta do Usuário: A seguir você acompanhará um exemplo prático sobre a configuração das propriedades da guia Geral, Endereço, Telefones e Organização (Empresa). Exemplo Prático: Para configurar informações gerais e de endereço para uma conta de usuário do domínio, siga os passos indicados a seguir: 1. Acesse as propriedades da conta a ser configurada, usando os passos descritos anteriormente, neste capítulo. 2. A guia Geral será exibida por padrão. Nesta guia, além das informações de nome, sobrenome e nome completo, definidas durante a criação da conta, você pode preencher uma descrição para o usuário, informações sobre a seção/ou empresa, bem como informações de telefone de contato, e-mail e Página da Web, conforme exemplo da Figura 9.8:

Figura 9.8 - Definindo as Propriedades da Guia Geral. Dica: Você pode informar mais do que um número de telefone ou de endereço de site. Para isso basta clicar no botão Outros... ao lado do respectivo campo. Será aberta uma janela onde você pode adicionar novos valores. Por exemplo, ao clicar no botão Outros, ao lada do campo Telefone, será aberta a janela Telefone (Outros). Para adicionar um novo número basta digitá-lo no campo Novo valor e depois clicar no botão Adicionar. Repita estes passos para cada novo número a ser


adicionado. Para finalizar a entrada de novos números é só clicar no botão OK. Para alterar um número clique no respectivo número e depois no botão Editar. O número a ser editado será selecionado. Faça as alterações desejadas e clique no espaço em branco abaixo do último número. As alterações serão salvas. Para remover um número clique no número a ser excluído e depois no botão Remover. Feitas as configurações desejadas clique em OK para fechar a janela para entrada de novos valores. 3. Para preencher os campos sobre o endereço do usuário, clique na guia Endereço. Preencha os campos conforme exemplo da Figura 9.9:

Figura 9.9 - Inserindo Informações do Endereço do Usuário. 4. Para preencher os campos com dados sobre telefones de contato do usuário, clique na guia Telefones. Nesta guia você pode informar os números do telefone residencial, pager, celular, fax e telefone IP do usuário. Podem ser inseridos mais de um número para cada tipo de telefone. Para isso você usa o botão Outros..., já descrito anteriormente. 5. Para preencher os campos com dados da empresa, clique na guia Organização. Nesta guia você pode informar o Cargo, Departamento e o nome da empresa. Nesta guia você também pode informar quem é o Gerente ou Chefe Imediato do usuário. Para isso é só clicar no botão Alterar, logo abaixo do campo Nome. Será aberta a janela Selecione Usuário ou Contato. Esta é uma janela que iremos utilizar diversas vezes no decorrer do livro, sempre que formos selecionar um ou mais usuários ou grupos. Nesta janela, você pode digitar o nome do usuário ou grupo, diretamente no campo “Digite o nome do objeto a ser selecionado”. Por exemplo, se o gerente do usuário jsilvap fosse o usuário maria, basta digitar o nome maria no campo Digite o nome do objeto a ser selecionado. Se você não lembra do nome, você pode clicar no botão Avançado para fazer uma pesquisa na base de usuários do Active Directory. No nosso exemplo, vamos digitar o nome do usuário que será o gerente do jsilvap. Mais adiante, ainda neste capítulo, vou mostrar como usar os


demais recursos da janela Selecione Usuário ou Contato. Para o nosso exemplo, a gerente do usuário jsilvap é o usuário Administrador, conforme exemplo indicado na Figura 9.10. Caso você digite o nome de um usuário que não existe, será emitida uma mensagem de erro.

Figura 9.10 – Informando quem é o Chefe Imediato do Usuário. 6. Após digitar o nome do usuário que é o chefe imediato, clique em OK para fechar a janela Selecione Usuário ou Contato. Você estará de volta à guia Organização, com o nome do chefe já preenchido. Se o usuário que está sendo configurado, tiver sido configurado como Chefe imediato de um ou mais usuários, a lista dos usuários dos quais ele é Chefe, será exibida na parte de baixo da janela, na lista Supervisiona. Preenchida as informações do endereço clique em OK para salvá-las. As informações das guias Geral, Endereço, Telefones e Organização são utilizadas como uma espécie de cadastro, de banco de dados dos usuários cadastrados na rede. Embora não seja obrigatório, é recomendado que sejam preenchidas estas informações. Isso facilita a pesquisa no Active Directory. Por exemplo, é possível fazer uma pesquisa para localizar todos os usuários da seção de Tecnologia da Informação de um determinado escritório, ou todos os usuários de uma determinada cidade e assim por diante. Mais adiante você aprenderá a utilizar a ferramenta de pesquisa no Active Directory. Estas informações também poderão ser utilizadas pelos sistemas da empresa, pois conforme já descrevi no Capítulo 2, é possível criar aplicações integradas com o Active Directory, ou seja, que usam a base de dados do Active Directory para autenticação e também para informações sobre os usuários. Por exemplo, um aplicativo de aprovação de despesas de viagens, diárias, etc., sendo integrado com o Active Directory, pode ser configurado para enviar um email com a solicitação de viagem, diretamente para o chefe imediato do funcionário. E como a aplicação vai saber quem é o Chefe Imediato do Funcionário?? Irá pesquisar no Active Directory, com base nas informações lá


cadastradas. Este é apenas um exemplo simples de como a integração com o Active Directory pode facilitar, e muito, a criação de aplicações integradas e de fácil manutenção, bem diferente do caos que se instala quando, para cada aplicação da empresa, é utilizado um diretório (isso é, um base de dados de usuários) diferente. Configurando Informações Sobre a Conta do Usuário: Agora vamos começar a ver outras propriedades das contas de usuário. Na guia Conta você tem acesso a uma série de opções relacionadas com a conta do usuário. Por exemplo, nesta guia tem uma opção para bloquear/desbloquear a conta do usuário, outra opção para definir um prazo de expiração para a conta, os horários em que o usuário pode fazer o logon, em quais computadores ele pode fazer o logon e assim por diante. Você aprenderá a utilizar as opções desta guia, no exemplo prático a seguir: Exemplo Prático: Para configurar informações da guia Conta, siga os passos indicados a seguir: 1. Faça o logon com uma conta com permissão de Administrador ou com uma conta pertencente ao grupo Opers. de contas. Acesse as propriedades da conta a ser configurada. 2. Na janela de Propriedades da conta, dê um clique na guia Conta. Nesta guia estão disponíveis uma série de configurações, conforme indicado na Figura 9.11:

Figura 9.11 - Opções de Configurações da Guia Conta. Na parte de cima da janela é exibido o nome de logon do usuário, o domínio no qual o usuário foi cadastrado e o nome de logon anterior ao Windows 2000. Observe que para o Windows 2000 Server, Windows Server 2003, Windows Server 2008 e para o Windows Server 2012 R2, o nome de logon completo do usuário é composto pelo nome DNS do domínio e a conta do usuário, como no exemplo a seguir: abc.com\jsilva (também pode ser informado como [email protected]). Já para versões anteriores, como o NT Server 4.0, que são baseadas no serviço WINS para a resolução de nomes, é usado o nome NetBIOS do domínio, como no exemplo a seguir: ABC\jsilva. Observe que em ambos os casos o padrão é o nome do domínio (nome DNS no Windows 2000, Windows Server


2003, Windows Server 2008 ou Windows Server 2012 R2 e nome NetBIOS no NT Server 4.0 ou anterior), uma barra invertida e o nome de logon do usuário. Nota: As opções Horas de logon... e Fazer logon em... serão explicadas no próximo item. As demais opções desta guia são explicadas a seguir:

Desbloquear conta: Por padrão, é definido nas políticas de senha do domínio, um número máximo de tentativas de logon sem sucesso que o usuário pode fazer, dentro de um período de tempo. Se este limite for ultrapassado, a conta será bloqueada automaticamente. Por exemplo, pode ser definido que se o usuário fizer três tentativas de logon sem sucesso, dentro de 20 minutos, a conta fique bloqueada por 24 horas. Ou também é possível definir que, uma vez bloqueada, a conta somente possa ser desbloqueada pelo administrador. Quando uma conta está bloqueada, a opção Desbloquear conta aparece habilitada e marcada. Para desbloquear a conta, basta que o administrador desmarque esta opção. Aqui temos uma novidade do Windows Server 2008 e que está presente também no Windows Server 2012 R2. Nas versões anteriores, até o Windows Server 2003, o Administrador não podia bloquear uma conta, simplesmente marcando esta opção. Ele podia somente desativar a conta, conforme veremos mais adiante, mas a única maneira de bloquear uma conta era fazendo o número definido de tentativas de logon sem sucesso, dentro do período configurado no domínio. Já no Windows Server 2008 e Windows Server 2012 R2 o Administrador pode bloquear uma conta, usando esta opção. As configurações sobre quantas tentativas de logon sem sucesso tem que ser feitas em quanto tempo, são configuradas nas políticas de segurança de senha do domínio, as quais veremos ainda neste capítulo.

Na lista Opções da conta, o administrador pode configurar uma série de opções, descritas a seguir:

O usuário deve alterar a senha no próximo logon: Se esta opção estiver marcada, na próxima vez que o usuário fizer o logon, será solicitado que ele altere a sua senha. Esta opção é utilizada para que o usuário possa colocar uma senha que somente ele conhece. Quando o usuário é cadastrado, a senha é digitada pelo Administrador, o qual fica sabendo a senha do usuário. O Administrador, ao criar a conta, deve marcar esta opção, para que, no próximo logon o usuário seja obrigado a alterar a senha de tal maneira que somente ele, o usuário, saiba qual a senha está definida para a sua conta.

O usuário não pode alterar a senha: Se esta opção estiver marcada, a senha somente pode

ser alterada pelo Administrador ou por membros do grupo Opers. de contas. Normalmente utilizada para empregados temporários e para estagiários. Para as contas utilizadas pelos funcionários da empresa, esta opção normalmente é desabilitada.

A senha nunca expira: Ao marcar esta opção, independentemente das políticas de

segurança do domínio, o usuário nunca precisará trocar a sua senha. Caso contrário de tempos em tempos (conforme configurado nas políticas de segurança do domínio ), o usuário deve trocar a senha.

Armazenar senha c/ criptografia reversível: Esta opção somente deve ser marcada se o

usuário precisa fazer o logon no domínio, a partir de estações de trabalho padrão Apple.

Conta desabilitada: O Administrador marca esta opção para desativar a conta de um usuário. Usuários com a conta desabilitada não podem mais efetuar logon e, consequentemente, não podem mais acessar recursos da rede. Esta opção normalmente é utilizada para desativar, temporariamente, a conta de empregados que estão em férias.


Quando o empregado retorna ao serviço, o Administrador libera a sua conta, simplesmente desmarcando esta opção.

Cartão inteligente necessário p/ logon interativo: Se esta opção estiver marcada, o

usuário somente poderá fazer o logon se estiver utilizando um Smart Card (Cartão Inteligente). O uso de Smart Cards aumenta bastante a segurança no logon, uma vez que mesmo de posse da senha do usuário, outra pessoa não conseguirá fazer o logon se não tiver também o Smart Card do usuário. É um nível de segurança adicional. Um dos fatores que impedem (ou estão atrasando) o uso em larga escala de Smart Cards é o custo dos leitores de Smart Card e o pouco conhecimento sobre o assunto. Mas com as necessidades cada vez maiores de segurança, a tendência é que a adoção dos Smart Cards para o logon seja cada vez mais comum nas empresas. Quando esta opção for utilizada, a senha da conta do usuário é automaticamente e aleatoriamente criada pelo Windows Server 2012 R2, usando requisitos de complexidade e a opção Password never expires (A senha nunca expira) é selecionada.

Conta sensível à segurança não pode ser delegada: Esta é uma opção que deve ser

utilizada com muito cuidado, pois pode gerar problemas em relação à segurança. Com esta opção marcada, um hacker poderia tentar fazer se passar por um serviço válido para executar o serviço em nome da conta. Com isso o “falso serviço” teria todas as permissões atribuídas a conta. Já imaginou se isso acontecesse com a conta Administrator (Administrador)? O falso serviço simplesmente teria permissões totais em todo o domínio, ou seja, um verdadeiro desastre. Com esta opção marcada, somente contas com menores “poderes”, poderiam ser delegadas para serem utilizadas por serviços instalados no servidor. Esta opção permite um controle mais rigoroso sobre uma determinada conta, não permitindo que outros serviços executem ações em nome desta conta.

Use tipos de criptografia DES/Kerberos para esta conta): Habilita suporte para o tipo de

criptografia conhecido como DES, o qual suporta diversos níveis de criptografia, incluindo MPPE Standard (40-bit), MPPE Standard (56-bit), MPPE Strong (128-bit) IPSec DES (40-bit), IPSec 56-bits DES e IPSec Triple DES (3DES). Falaremos mais sobre criptografia e os mecanismos de autenticação do Windows Server 2012 R2, na parte sobre segurança, nos Capítulos 19 e 20.

Esta conta oferece suporte à criptografia Kerberos AES de 128 bits e Esta conta

oferece suporte à criptografia Kerberos AES de 256 bits: As opções de criptografia Kerberos AES (de 128 e 256 bits) estão disponíveis somente quando o nível funcional do domínio é definido como Windows Server 2012 R2, Windows Server 2008 ou Windows Server 2003. A criptografia AES (Padrão Avançado de Criptografia) é um novo algoritmo de criptografia padronizado pelo NIST (Instituto Nacional de Normas e Tecnologia). Espera-se que seja amplamente usada nos próximos anos. Para obter mais informações sobre a autenticação Kerberos, consulte a Explicação sobre o Kerberos (http://go.microsoft.com/fwlink/?LinkId=85494) - essa página está disponível somente em Inglês.

Não exige pré-autenticação Kerberos: O Kerberos é um protocole de autenticação

conforme mostraremos nos Capítulos 19 e 20. Ao marcar esta opção você permite que a conta seja autenticada por servidores utilizando diferentes versões e implementações do protocolo Kerberos.

3. Selecione as opções desejadas para a conta que está sendo configurada.


Na parte de baixo da janela você pode definir se a conta nunca expira (Nunca) ou se a conta deve expirar em um determinada data (Ao final do dia:). Expirar significa que a partir da data de expiração, não será mais possível utilizar a conta que expirou, para fazer o logon no domínio, a não ser que o administrador acesse as propriedades da conta e defina uma nova data de expiração. Um exemplo prático onde você utiliza esta opção é para contas utilizadas por estagiários. Vamos supor que você contrata os estagiários por períodos definidos. Com isso você pode cadastrar o estagiário e já configurar esta conta para que expire na data de encerramento do contrato do estágio. Feito isso, exatamente no dia do encerramento do estágio a conta será desativada. Agora vamos supor que um novo estagiário tenha sido contratado para substituir o que saiu. Basta ativar novamente a conta, renomeá-la e alterar os dados da conta, informando os dados do novo usuário. Informe a conta renomeada para o estagiário utilizar para logon no domínio. Com isso não é preciso reconfigurar as permissões de acesso, uma vez que a conta é a mesma (apenas foi renomeada), o estagiário que chega tem exatamente as mesmas permissões de acesso do que o estagiário que saiu. O que faz sentido, já que ele está substituindo o anterior. Prático, fácil e rápido. 4. Para definir um prazo de expiração para a conta clique na opção Ao final do dia. A lista ao lado desta opção será exibida. Abra esta lista. Será exibido um calendário com o mês corrente. Você pode clicar no botão com a seta para a esquerda para voltar um mês e no botão com a seta para a direita para avançar um mês. 5. Para selecionar uma data de expiração basta clicar na respectiva data. A data na qual você clicou é exibida na lista ao lado do campo Ao final do dia. 6. Feitas as configurações desejadas é só clicar em OK para aplicá-las. Muito bem, já aprendemos a configura mais algumas propriedades de uma conta de usuário do domínio. Vamos seguir nosso estudo. Definindo o Horário de Logon e os Computadores na Qual a Conta Pode Fazer o Logon: Por padrão, ao criar uma conta, é permitido que ela seja utilizada para fazer o logon nas 24 horas do dia, nos sete dias da semana. Também é permitido que ele faça o logon em qualquer estação de trabalho. Conforme descrevemos anteriormente, por padrão, as contas de usuários não tem permissão para fazer o logon interativamente, isto é, diretamente em servidores e DCs do domínio, a menos que pertençam a um grupo que tem estas permissões (Administradores, Opers. de contas, Opers. de servidores e assim por diante). Neste item mostraremos como definir o horário em que uma conta pode fazer o logon, bem como limitar os computadores nos quais a conta pode fazer o logon. Por exemplo, vamos supor que você tem um estagiário (sempre os estagiários) que somente deve poder fazer o logon das 8:00 às 12:00, de segunda a sexta-feira e somente em duas estações de trabalho da seção na qual ele trabalha. Você pode configurar estas limitações, facilmente, através das propriedades da conta de usuário do estagiário. Exemplo Prático: Para limitar os horários em que uma conta pode fazer o logon e os computadores nas quais a conta pode fazer o logon, siga os passos indicados a seguir: 1. Acesse as propriedades da conta a ser configurada. 2. Dê um clique na guia Conta. 3. Clique no botão Horário de logon...


4. Será exibida a janela Horário de logon para [nome por extenso da conta], conforme indicado na Figura 9.12. Observe que, por padrão, é permitido o logon nas 24 horas do dia e nos sete dias da semana.

Figura 9.12 - A janela para definir o horário de logon para a conta. 5. Quadradinho azul indica horário permitido e quadradinho branco, horário não permitido. Para alterar a cor de um faixa de horário, basta clicar na primeira hora da faixa, manter o botão esquerdo do mouse pressionado e ir arrastando para selecionar um ou mais quadradinhos. A medida que você vai arrastando os quadradinhos vão sendo selecionados. Depois de selecionados basta dar um clique na opção desejada: Logon permitido ou Logon negado, que o Windows Server 2012 R2 altera a cor do quadradinho de acordo com a opção selecionada. 6. Utilize a técnica de arrastar, para configurar os horários permitidos conforme exemplo da Figura 9.13, onde foi habilitado o logon somente no período das 8:00 as 12:00, de segunda à sexta-feira. Neste exemplo você pode primeiro clicar na palavra domingo. Todas as horas do domingo serão selecionadas. Depois clique em Logon negado para negar o logon em todas as horas do domingo. Repita a operação para o Sábado. Em seguida você pode marcar a faixa de horário das 13 as 24 horas de segunda à sexta-feira e depois clicar em Logon Negado. Depois marque da 0 até as 7 horas e clique em Logon negado. Com isso você está limitando o logon somente ao horário proposto, ou seja, de segunda à sexta-feira, das 8:00 as 12:00. 7. Dê um clique no botão OK para aplicar as alterações. Você estará de volta a guia Conta. Dica: Para selecionar um dia todo, por exemplo domingo, basta clicar no botão domingo. Isso é muito mais fácil do que arrastar o mouse sobre todos os quadradinhos do domingo. O mesmo é válido para o botão das horas. Se você clicar no botão 8, você selecionará o quadradinho correspondente as 8:00 horas de todos os dias.


Figura 9.13 - Logon permitido somente de segunda à sexta-feira, das 8:00 às 12:00 horas. Agora você aprenderá a limitar os computadores nos quais o usuário pode efetuar o logon. Esse procedimento normalmente é adotado para empregados temporários ou estagiários, de tal forma que o Administrador posso controlar em quais computadores esses usuários podem efetuar o logon. Por padrão, ao ser criada uma conta, não é aplicada restrição em relação as estações de trabalho da rede na qual a conta pode fazer o logon. Neste item você limitará as estações nas quais uma conta pode fazer o logon 8. Você ainda deve estar na guia Conta. Dê um clique no botão Fazer logon em... 9. Será exibida a janela Estações de Trabalho para Logon. Conforme indicado na Figura 9.14. Por padrão é permitido o logon em todas as estações de trabalho (Todos os computadores).

Figura 9.14 - O Logon permitido, por padrão, em todas as estações de trabalho.


10. Clique na opção Os seguintes computadores. No campo Nome do computador, digite o nome da estação de trabalho e clique no botão Adicionar. Repita estes passos para adicionar os demais computadores para os quais a conta terá permissão de logon, conforme exemplo da Figura 9.15, onde foi dada permissão de logon em três computadores: micro01, micro02 e micro03.

Figura 9.15 - Definindo permissão de logon em três computadores. Nota: Para remover um computador da lista basta clicar no nome do computador para selecioná-lo e em seguida clicar no botão Remover. Para alterar o nome de um computador clique no nome a ser alterado, clique no botão Editar, digite o novo nome e clique em qualquer espaço em branco. 11. Após ter inserido o nome dos computadores em que a conta terá permissão de logon, clique em OK. 7. Você estará de volta a guia Conta da janela de propriedades da conta do usuário. Clique em OK para fechar a janela de propriedades da conta e salvar as alterações. Pronto, agora esta limitada a fazer o logon somente nos computadores listados na janela Estações de Trabalho de Logon e também teve seus horários de logon limitados ao horário das 08:00 às 12:00, de segunda a sexta-feira.


Conclusão: Este trecho de demonstração foi extraído do Capítulo 9 do livro: “Windows Server 2012 R2 e Active Directory - Curso Completo”

http://juliobattisti.com.br/indjb/livros/server2012/ Neste endereço você encontra informações completas sobre o livro, índice completo e detalhado, e pode aproveitar uma super promoção com um ótimo preço + 42 super bônus + Bônus Surpresa revelado somente no final do vídeo. Tudo Para Você Tornar-se um Administrador de Redes Altamente Qualificado Para o Mercado de Trabalho e Levar a Sua Carreira Para o Próximo Nível Domine Desde o Planejamento de uma Rede Baseada no Windows Server 2012 até a Implementação do Active Directory e dos Demais Serviços (DNS, DHCP, GPOs, Terminal Services, Servidores de Arquivos e Impressão, VPN, Acesso Remoto, Direct Access, PowerShell, IIS e muito mais...) Este Livro Será sua Fonte Permanente de Consulta e Referência! O Mais Completo, Didático e Prático Livro sobre o Windows Server 2012 R2 e o Active Directory, em Português. Veja a Seguir os Principais Tópicos Abordados no Livro: - Planejar a instalação de uma rede com servidores Windows Server 2012 R2. - Entender o Papel do Windows Server 2012 R2 em uma Rede. - Revisar a Teoria sobre Redes e o TCP/IP. - As novidades do Windows Server 2012 R2. - Instalar e Ativar o Windows Server 2012 R2. - Aprenda a teoria e toda a prática relacionada com o Active Directory. - Instalação do Active Directory e Criação de Domínios e Árvores de Domínios. - Configurações Básicas e Avançadas do Active Directory.


- Criação e Administração de Contas de Usuários e Grupos e Pastas. - Configuração de Permissões NTFS e de Compartilhamento. - Instalação, Configuração e Administração de Impressoras em Rede. - Servidor de Arquivos: Instalação, Configuração e Administração. - Servidor de Impressão: Instalação, Configuração e Administração. - Servidor DNS: Instalação, Configuração e Administração. - Servidor DHCP: Instalação, Configuração e Administração. - Servidor Web IIS: Instalação, Configuração e Administração. - Servidor de Acesso Remoto - VPN: Instalação, Configuração e Administração. - Servidor de Acesso Remoto - DirectAccess: Instalação e Configuração. - Configurar o Firewall do Windows, Criação de Regras de Entrada e de Saída. - Criptografia, Compactação e Cotas em Volumes NTFS. - Saiba Como Implementar uma Política de Backup/Restore dos Dados. - Configurações de Auditoria e de Monitoração do Desempenho do Sistema. - Domínios, Active Directory e uso de Ferramentas Administrativas do domínio. - Instalação, configuração e administração do DNS, DHCP e WINS. - Novidades tais como NAP, DirectAccess, AD RMS, PowerShell e Hyper-V. - Configurações de Rede e do Protocolo TCP/IP, Roteamento e Sub-redes. - Entenda a Registry do Windows Server 2008 e Entenda o Processo de boot. - Implementação e Administração de GPOs – Group Policy Objects. - Segurança: IPSec, Configurações Avançadas do Firewall e muito mais. - Armazenamento Básico x Dinâmico e Gerenciamento de Discos e Volumes. - Todas as novidades relacionadas com o Terminal Services. - E muito, muito, muito mais mesmo... Acesse o endereço a seguir e veja todos os detalhes: http://juliobattisti.com.br/indjb/livros/server2012/


ÚLTIMOS LANÇAMENTOS DO AUTOR JÚLIO BATTISTI:

http://www.juliobattisti.com.br/indjb/livros/ex

cel2010av/

http://juliobattisti.com.br/indjb/livros/server2012/

http://juliobattisti.com.br/loja/detalheprod

uto.asp?CodigoLivro=LIV0001314

http://juliobattisti.com.br/loja/detalheproduto.asp?

CodigoLivro=LIV0001320


uto.asp?CodigoLivro=LIV0001241


CodigoLivro=LIV0001236



uto.asp?CodigoLivro=EXC0000031


CodigoLivro=SOP0000066


uto.asp?CodigoLivro=EXC0000022


CodigoLivro=BDD0000044


O QUE VOCÊ ENCONTRA EM http://juliobattisti.com.br

65.000 páginas de conteúdo gratuito http://juliobattisti.com.br/tutoriais

http://juliobattisti.com.br/artigos

Cursos Online de Excel Qualidade.

Com Certificado

Com Suporte a Dúvidas

Preço Justo e Qualidade

http://juliobattisti.com.br/cursosonline

Mais de 200 vídeo aulas sobre Excel, VBA, Access, Word, Programação, PHP, Criação de Sites, Português, Matemática e muito mais...

http://juliobattisti.com.br/loja

Uma seleção de mais de 2000 livros sobre informática, Excel, Access, VBA, Dashboards, Gráficos, AutoCAD, Criação de Sites, administração, matemática, física, cálculo, autocad, programação, servidores Windows e Linux, Redes, Segurança e muito mais


Uma seleção de mais de 500 E-books informática, Excel, Access, VBA, Dashboards, Gráficos, AutoCAD, Criação de Sites, administração, matemática, física, cálculo, Autocad, programação, servidores Windows e Linux, Redes, Segurança e muito mais


MEUS CONTATOS ->>> [email protected]

[email protected]

(51) 9627-34340

(51) 3717-3796

Santa Cruz do Sul - RS

Documents

Autores: Júlio Battisti e Eduardo Popovici · O Windows Server 2012 R2 precisa saber quem é o usuário que está “tentando” acessar a pasta. Se for o José da Silva, o Windows