Windows Server 2008 R2 : Compreender Usuários e Grupos Locais (parte 1) – Administrar Usuários e Grupos Locais

Mesmo se você estiver utilizando o Active Directory, você ainda precisa entender como os usuários locais e grupos de trabalho. Usuários e grupos locais fornecem um papel fundamental não apenas para manutenção, mas também para administração central.

nesta seção, você verá como gerenciar usuários e grupos locais em instalações completas do Windows Server 2008 R2 e instalações do núcleo do servidor. Você também aprenderá os usuários/grupos locais padrão e as configurações padrão nesses servidores e como essas configurações afetam sua infraestrutura.

1. Aprenda usuários e grupos locais padrão

se você está trabalhando com uma instalação completa do Windows Server 2008 R2 ou com o Server Core, gerenciar grupos locais oferece algumas grandes semelhanças. Começando com as instalações padrão, ambos os sistemas têm os mesmos usuários e grupos padrão instalados.

no seu servidor Windows Server 2008 R2, por padrão, você tem duas contas de usuário criadas, administrador e convidado.

  • o administrador é a conta interna padrão para administrar a máquina local. A conta de administrador é, por padrão, a única conta habilitada.

  • convidado é a conta interna padrão para acesso de convidado ao sistema; no entanto, a conta está desativada por padrão.

a Tabela 1 descreve vários outros grupos instalados por padrão que você precisa saber.

Quadro 1. Grupos Locais padrão
Grupo Definição e Uso
os Administradores Este grupo tem acesso irrestrito para o computador local. Esta conta é a conta principal para realizar qualquer tarefa em um servidor. Por padrão, a conta de administrador é o único membro desse grupo.
Operadores de Cópia de segurança Este grupo, como o nome sugere, é projetado para o backup e restauração de arquivos no servidor.
serviço de certificado DCOM Access este grupo tem permissão para se conectar às autoridades de certificação para inscrição em sua infraestrutura De Chave Pública preferida.
operadores criptográficos este grupo é permitido e autorizado a realizar operações de criptografia em seu servidor. Essas configurações incluem as configurações de criptografia na política IPsec do Firewall do Windows, entre outras configurações.
usuários com distribuídos este grupo pode ativar e iniciar objetos DCOM no servidor. Os objetos DCOM são usados para as comunicações dos aplicativos.
Leitores de Log de Eventos Este grupo pode trabalhar com e ler os logs de eventos locais no servidor.
os visitantes usuários deste grupo por padrão têm o mesmo acesso que o grupo de Usuários, exceto para a conta de convidado, que é ainda mais restrita. Por padrão, a única conta neste grupo é a conta de convidado desativada.
IIS_IUSRS esta é a conta de grupo padrão para uso com serviços de Informações da Internet.
Operadores de Configuração de Rede Usuários deste grupo têm alguns privilégios administrativos sobre gerenciando a configuração de recursos de rede no servidor.
usuários de log de desempenho este grupo permite que seus usuários agendem o registro de contadores de desempenho, habilitem provedores de rastreamento e coletem rastreamentos de eventos para o servidor local. As tarefas podem ser executadas localmente ou remotamente.
usuários do monitor de desempenho este grupo pode acessar os dados do contador de desempenho local localmente ou por meio de administração remota.
usuários avançados este grupo tem recursos administrativos limitados no sistema e é incluído principalmente para compatibilidade com versões anteriores com sistemas operacionais anteriores.
operadores de Impressão esses usuários podem trabalhar e administrar impressoras no sistema de servidor local.
usuários de área de Trabalho Remota os usuários deste grupo têm o direito de fazer logon remotamente no servidor.
replicador este grupo foi projetado para replicação de arquivos.
os usuários têm acesso administrativo limitado ao sistema para evitar que os membros façam alterações inadvertidamente que possam causar alterações em todo o sistema; no entanto, os usuários desse grupo podem executar e acessar a maioria dos aplicativos.

colocar contas de usuário nesses grupos locais concederá a esses usuários acesso às permissões e responsabilidades adequadas para os grupos. O conceito básico por trás do uso de grupos permite atribuir permissões apenas uma vez ao grupo, concedendo permissões a todos os membros do grupo. Isso oferece uma maneira fácil para você delegar administração para o seu servidor. Por exemplo, se você deseja que um usuário execute um backup diário do seu servidor, você simplesmente precisa adicioná-los ao grupo Operadores de Backup, e eles seriam concedidos os direitos necessários para executar operações de backup e restauração.

2. Administrar usuários e Grupos Locais

Gerenciar grupos de usuários locais em seu servidor é apenas uma questão de carregar o snap-in correto para o Microsoft Management Console (MMC). Você pode gerenciar uma instalação completa do Windows Server 2008 R2 ou uma instalação do Server Core. No entanto, se você deseja gerenciar os usuários e grupos locais em sua instalação do Server Core com o MMC, você precisará fazer isso remotamente. Existem comandos do sistema que permitem gerenciar o Server Core localmente e você verá esses comandos mais adiante nesta seção. Para acessar os grupos de usuários Locais, você pode acessar o painel de controle para gerenciar as contas ou pode preferir uma análise mais completa dos usuários. Você verá os usuários locais e as ferramentas de gerenciamento de grupo para uma instalação completa do Server e do Server Core nas etapas a seguir.

  1. Selecione Iniciar => Executar, digite MMC e pressione Enter. Isso carrega um MMC em branco, conforme mostrado na Figura 1.

    Figura 1. MMC em branco

  2. para executar o trabalho em qualquer MMC em branco, você precisa carregar o snap-in apropriado. Para carregar snap-ins, selecione Arquivo => Adicionar / Remover Snap-In. Isso carregará a caixa de diálogo Adicionar ou Remover Snap-Ins, conforme ilustrado na Figura 2.

    Figura 2. Adicionando snap-ins

    para gerenciar seus usuários e grupos locais, selecione o snap-in usuários e Grupos Locais e clique no botão Adicionar. Isso abrirá a caixa de diálogo Escolher Máquina de destino, conforme ilustrado na Figura 3.

    Figura 3. Máquina de destino

    Na Escolha da Máquina de Destino caixa de diálogo, você pode selecionar o local do computador para gerenciar os usuários na máquina que você estiver executando o console ou selecione o botão de opção Outro Computador e digite o endereço IP ou o nome do computador que você deseja gerenciar. Essa opção permitirá que você gerencie os usuários e grupos locais em um servidor remoto, como o Server Core, se tiver as permissões apropriadas. Depois de fazer sua seleção, clique em Concluir para retornar à caixa de diálogo Adicionar ou Remover Snap-Ins.

  3. na caixa de diálogo Adicionar ou Remover Snap-Ins, clique em OK para carregar o snap-in em seu MMC. A figura 4 mostra um MMC de usuários locais e grupo.

    Figura 4. Gerenciando usuários e grupos locais

    depois de carregar seus snap-ins no MMC, você pode salvar seu MMC personalizado para uso futuro. Para fazer isso, selecione Arquivo = > salvar.

depois de carregar o MMC para gerenciar usuários e Grupos Locais, você pode trabalhar facilmente com seus usuários e grupos. Criar IDs e grupos de usuários, alterar senhas ou outras propriedades podem ser feitos facilmente com a interface.

2.1. Criar uma Conta de Usuário Local

Quando você criar uma conta de usuário local, você está concedendo o acesso de conta para o servidor local, que é um processo simples:

  1. Dentro de Usuários Locais E de Grupo da MMC que você criou no procedimento anterior, clique com o botão direito do mouse no recipiente Usuários.

  2. Selecione Novo usuário, que exibirá a caixa de diálogo Novo Usuário, conforme mostrado na Figura 5.

    Figura 5. Caixa de diálogo novo Usuário

  3. Digite o nome de usuário, nome completo, e uma descrição opcional, assim como a senha. A senha por padrão deve seguir os requisitos de complexidade de senha listados na barra lateral” Requisitos de Senha Padrão”. Além disso, você pode marcar a conta desativada, se souber que a conta não estará em uso por um período de tempo. Você também tem as seguintes opções sobre a configuração da senha inicial:

    o Usuário deve alterar a senha no próximo logon esta é a configuração padrão e você deve considerar manter essa caixa de seleção ativada ao criar uma nova conta de usuário. A única vez que você deve limpar esta caixa de seleção é quando a conta que você está criando será uma conta de Serviço para um aplicativo. Essa configuração permite que o usuário defina sua própria senha pessoal quando fizer logon no sistema pela primeira vez. Tudo o que você precisa fazer como administrador é definir uma senha temporária inicial para o usuário. Você pode querer saber as senhas para seus usuários caso um usuário saia da empresa ou esteja de férias. Na realidade, desde que você saiba a senha do administrador, você tem o Direito Administrativo de redefinir uma senha temporariamente e obter acesso a uma conta. Embora seja bom ter essa habilidade, você deve exercê-la com cautela e somente quando a situação o justificar.

    o Usuário não pode alterar a senha por padrão esta configuração fica esmaecida e fica disponível somente quando você limpa o Usuário deve alterar a senha na próxima configuração de logon, mencionada anteriormente. Isso permite que você verifique se a senha da conta não muda. Isso também é bom para contas de Serviço para aplicativos carregados em seu servidor. Essa configuração também ignorará qualquer Política de conta de senha da máquina local.

    a senha nunca expira por padrão essa configuração também está esmaecida e, como a configuração anterior, ela fica disponível apenas quando o Usuário deve alterar a senha na próxima configuração de logon é apagada. A configuração, como o nome indica, bloqueia a senha. Essa configuração também ignorará qualquer Política de senha da máquina local.

  4. Depois de preencher o formulário, clique em Criar para criar a conta. Se sua senha não atender aos requisitos de complexidade da senha, você verá a tela na Figura 6.

    Figura 6. Erro de complexidade de senha

    Requisitos de Senha Padrão

    os requisitos de senha padrão são os mesmos para as contas de usuário local e as contas de usuário do Active Directory . Os requisitos de senha padrão para um servidor Windows Server 2008 R2 são os seguintes:

    • Não pode conter o nome da conta de utilizador ou partes do nome completo do usuário que exceder de dois caracteres consecutivos

    • ter pelo menos seis caracteres de comprimento

    • Conter caracteres de três dos seguintes quatro categorias:

      letras maiúsculas (A–Z)

      letras minúsculas (a–z)

      Base de 10 dígitos (0-9)

      caracteres Não alfabéticos (por exemplo !, $, #, %)

  5. Se você não tiver mais contas de usuários locais para criar, clique em Fechar. Caso contrário, repita as etapas 3 e 4 para continuar criando contas locais em seu servidor.

2.2. Crie um grupo local

depois de criar suas contas de usuário, você provavelmente desejará criar grupos para adicionar seus usuários. Os grupos, como você deve saber, são usados para conceder permissões geralmente a arquivos ou impressoras localizados no servidor Windows Server 2008 R2. Esses grupos locais podem receber direitos e permissões para recursos apenas no servidor local.

  1. dentro dos usuários locais e do Grupo MMC que você criou anteriormente, clique com o botão direito do mouse no contêiner grupos.

  2. Selecione Novo grupo, que exibirá a caixa de diálogo Novo Grupo, conforme mostrado na Figura 7.

    Figura 7. Caixa de diálogo novo Grupo

    Digite o nome do novo grupo e uma descrição. Para adicionar membros imediatamente ao seu grupo, clique no botão Adicionar na parte inferior da tela. Clicar no botão Adicionar exibe a caixa de diálogo Selecionar Usuários, conforme mostrado na Figura 8.

    Figura 8. Caixa de diálogo Selecionar Usuários

    para adicionar usuários, você pode digitá-los na caixa de texto Nome. Para verificar a ortografia dos nomes de usuário que deseja adicionar, você pode clicar em Verificar Nomes, que verificará os nomes de usuário para você. Você também pode clicar no botão Avançado, que expandirá a caixa de diálogo para permitir que você liste todas as contas de usuário no sistema. Esta caixa de diálogo tem uma opção Find Now para permitir que você liste rapidamente todos os usuários no sistema. Se você clicar em Localizar Agora, verá uma tela semelhante à Figura 9.

    Figura 9. Avançadas de seleção de usuários

  3. Depois clique em Localizar Agora, você verá uma lista de usuários no sistema, bem como sistema local do usuário e contas de grupo. Selecione o usuário ou usuários que deseja estar em seu grupo. Para selecionar vários usuários, você pode manter pressionada a tecla Ctrl no teclado enquanto clica. Você também pode selecionar uma lista usando a tecla Shift. Se você clicar no item superior da sua lista, mantenha pressionada a tecla Shift e clique no item inferior da sua lista, você selecionará todos os itens entre e incluindo Sua Seleção superior e inferior.

Especial Grupos de Identidade

Você pode perceber que quando você fosse adicionar usuários ao grupo, você tinha várias contas e grupos que você não criou. Esses são grupos de identidade especiais e você não pode controlar a associação desses grupos. Seus usuários se tornam membros desses grupos através do curso de ações que executam em seus servidores ou como eles acessam servidores, e a associação a esses grupos é temporária e normalmente muda, dada a forma como o usuário trabalhará com o sistema. Os grupos do sistema podem ser usados para ajudar a definir permissões com base em como os usuários acessam ou interagem com o servidor. A tabela 2 lista alguns dos grupos de sistema que você pode encontrar enquanto trabalha com o servidor.

os grupos que não estão listados na tabela são normalmente grupos de Sistema reservados para o uso do sistema operacional e os Serviços em execução no seu servidor Windows Server 2008 R2. Em particular, você precisa prestar atenção especial a uma conta de identidade especial, a conta do sistema. A conta do sistema representa o Sistema Operacional Windows Server 2008 R2. Como você trabalha com os arquivos em seu servidor e os direitos do usuário, você pode encontrar a conta do sistema, e você deve deixar esta conta não modificada. Se você fizer uma alteração nas permissões ou direitos que a conta do sistema possui em seu servidor, poderá desativar seu servidor, o que pode resultar na reinstalação do sistema operacional.

Quadro 2. Especial Grupos de Identidade
Grupo Descrição
início de sessão Anónimo Isso representa quando os usuários não usar credenciais de qualquer tipo para acessar o sistema.
Usuários Autenticados os usuários são colocados automaticamente neste grupo quando fazem logon localmente no sistema. Aproveitar esse grupo é uma ótima maneira de garantir que apenas usuários válidos e autenticados possam ter acesso aos recursos.
Proprietário Criador Quando um usuário cria um objeto, como um arquivo ou pasta no servidor, eles são colocados no grupo Proprietário Criador para esse objeto. De um modo geral, o usuário proprietário do Criador tem controle total sobre o objeto criado.
Dialup quando um usuário se conecta ao servidor por meio de uma conexão dial-up, como uma conexão VPN remota, eles são adicionados a este grupo.
todos todos são membros deste grupo, independentemente de como acessam o servidor.
Interativo Quando um usuário faz logon localmente para o servidor (em outras palavras, eles têm acesso físico ao servidor de log e fisicamente ao servidor), os usuários são colocados neste grupo.
Rede Quando um usuário acessa o servidor remotamente através de uma conexão de rede, como quando eles se conectar a um compartilhamento de arquivo, elas são colocadas neste grupo.
Logon Interativo Remoto Quando um usuário acessa o servidor remotamente com um ID de utilizador local e ativamente iniciar sessão no sistema remoto para executar tarefas, tais como quando um administrador faz logon para o servidor a partir de uma estação de trabalho remota, elas são colocadas neste grupo.
sistema este é o ID do grupo de Conta usado pelo Sistema Operacional Windows Server 2008 R2.
usuário do Terminal Server quando os usuários acessam o servidor usando serviços de área de Trabalho Remota, eles são colocados automaticamente neste grupo.

2.3. Gerenciar seus usuários e Grupos Locais

depois de terminar de criar seus grupos de usuários, você precisará manter e gerenciar as contas locais. Para começar a gerenciar grupos locais, basta clicar com o botão direito do mouse no usuário ou grupo que deseja gerenciar. Eles compartilham algumas tarefas comuns. Ao clicar com o botão direito do mouse em um usuário ou grupo, você pode excluir, renomear, abrir ajuda ou visualizar as propriedades exclusivas do objeto.

quando você clica com o botão direito do mouse no usuário, pode definir uma nova senha para o usuário. A única vez que você deve definir a senha para uma conta existente é se o usuário esqueceu ou perdeu sua senha. O usuário perderá o acesso a informações como arquivos criptografados, senhas armazenadas da Internet (embora o usuário possa recriá-las com a nova senha), e-mail criptografado com a chave pública do Usuário e quaisquer certificados armazenados (novamente, novos certificados podem ser emitidos para ainda conceder acesso). O risco potencial aqui é perder dados em arquivos que foram criptografados pelo sistema de arquivos criptografados (EFS). Se você fez backup de suas chaves de recuperação, poderá recuperar dados; no entanto, se não houver backup das chaves, você não poderá acessar os dados.

quando você clica com o botão direito do mouse em uma conta de usuário, é apresentada a opção de definir a senha. Ao selecionar a opção, você receberá o aviso mostrado na Figura 10.

Figura 10. Definir Aviso de senha

ao clicar com o botão direito do mouse em um grupo e selecionar Adicionar ao grupo, isso iniciará o mesmo processo para adicionar membros ao seu grupo, conforme usado no procedimento anterior quando você criou o grupo. Além disso, ao selecionar a opção Propriedades depois de clicar com o botão direito do mouse no grupo, ela o levará às propriedades onde você pode usar a caixa de diálogo Adicionar membros.

quando você seleciona a opção Propriedades depois de clicar com o botão direito do mouse, abrirá uma lista de propriedades que você pode modificar para a conta de usuário, conforme mostrado na Figura 11.

as propriedades listadas aqui são parte documentação e parte configuração da conta. As guias listadas permitirão que você configure informações básicas de nome de usuário e descrição e associação de grupo. Você também pode definir propriedades para informações de conexões de Serviços de área de Trabalho Remota, perfis de usuário, informações de diretório inicial e acesso de discagem.

Figura 11. Propriedades do Usuário

2.4. Gerenciar usuários e grupos locais no Server Core

você pode não ter acesso a um Console de gerenciamento da Microsoft e pode ser necessário fazer modificações nos usuários e grupos locais em uma instalação do Windows Server 2008 R2 Server Core. Você pode adicionar, excluir e modificar todos os aspectos dos usuários e grupos locais por meio do prompt de comando. Especificamente, o comando net é como você trabalha com usuários e grupos diretamente no Server Core. O comando net também funcionará em uma instalação completa do servidor Windows Server 2008 R2.

o comando net tem muitas funções, incluindo Iniciar e parar serviços e configurar o endereço IP no servidor. Você verá nesta seção Como usar o comando net para trabalhar com seus usuários e grupos locais.

todos os comandos net começam com net; para usuários, isso será seguido pelo Usuário e, para grupos locais, será seguido por localgroup. Por exemplo, para ver a lista atual de seus usuários ou grupos locais, digite um dos seguintes procedimentos simples comandos e pressione Enter:

  • Uso net user para ver uma lista de usuários locais.

  • Use net localgroup para ver uma lista de grupos locais.

para adicionar um usuário ou grupo local ao sistema, os comandos seguem sintaxe semelhante. Os comandos incluirão o switch / add. Por exemplo, para adicionar um usuário chamado Harold com uma palavra-passe para o seu sistema, você usaria o seguinte comando:

net user Harold /add

Para adicionar um grupo local chamado de Escritores para o seu servidor, você usaria o seguinte comando:

net localgroup Writers /add

Para adicionar Harold para o grupo de Escritores, você usaria o seguinte comando:

net localgroup Writers Harold /add

para ver a associação atual para os escritores do grupo local, você usaria o seguinte comando: 

net localgroup Writers

Write a Comment

O seu endereço de email não será publicado.