Outras das grandes vantagens de se utilizar uma rede estruturada por um AD e um domínio é o facto de o utilizador ou grupo de utilizadores poder usar contas e grupos de utilizadores de domínio.
Todos os utilizadores de um domínio podem ter acesso aos recursos dos computadores do domínio de forma segura desde que cumpram os requisitos para tal, como uma correta autenticação e uma correta autorização, e desde que o grupo de utilizadores a que pertencem permita o acesso a esses recursos. Uma conta de utilizador é um objeto do AD, o qual contém diversas informações sobre o utilizador. É importante salientar que a conta apenas precisa de ser criada uma vez, num dos Controladores de Domínio (CD). Uma vez criada, a conta será replicada para todos os demais CD. Só podem ser criados utilizadores e grupos de utilizadores de domínio em CD. A implementação da segurança num AD começa pela observação de um conjunto de boas-práticas na criação de contas de utilizadores e/ou grupos de utilizadores (MINASI, 2014; pp. 378-388).
Boas-práticas para a criação e utilização de contas de utilizadores:
Todo o utilizador que acede a uma rede deve ter a sua própria conta. Não é recomendado que dois utilizadores partilhem a mesma conta (GREENE, 2014; pp. 412-424);
Com base nas contas e grupos de utilizadores, o administrador pode habilitar ou negar permissões de acesso aos recursos da rede. Por exemplo, o administrador pode restringir o acesso a pastas e arquivos partilhados, na rede, definindo quais os utilizadores que podem ter acesso e qual o nível de acesso de cada utilizador – leitura, leitura e alteração, exclusão ou controlo total. É por este motivo que cada utilizador deve ter a sua própria conta (GREENE, 2014; pp. 412-424); Não podem existir dois utilizadores com o mesmo nome de logon no
mesmo domínio. Para a criação de nomes de logon destinados aos utilizadores, devem ter-se em consideração os seguintes requisitos (GREENE, 2014; pp. 412-424):
125 o Podem ter no máximo 256 carateres;
o Não podem ser utilizados os carateres que se seguem: “ / \ : ; { } | = , + * ? < >;
o Não podem ser formados somente por pontos ou espaços em branco.
Um grupo de utilizadores é uma coleção de contas de utilizadores. Assim por exemplo, podemos formar um grupo de utilizadores denominado desenvolvimento, do qual farão parte todos os utilizadores do Departamento de Desenvolvimento da biblioteca ou centro de informação (MINASI, 2014; pp. 378- 388).
A principal função dos grupos de utilizadores é facilitar a administração e atribuição de permissões para acesso a recursos, tais como pastas partilhadas, impressoras remotas, serviços e aplicações. Ao invés de dar acesso individual de permissões a cada utilizador que necessite de aceder a um determinado recurso, cria-se um grupo, que inclui os utilizadores no grupo, e atribui-se permissões para todo o grupo. Para que um utilizador tenha então permissão de acesso ao recurso, basta incluir esse utilizador no grupo, pois todos os utilizadores de um determinado grupo herdam as permissões dos grupos a que pertencem (BOOTH, 2014; p. 377).
Caso um utilizador seja transferido de departamento, basta trocar o utilizador de grupo (excluindo-o do antigo e adicionando-o ao novo).
Quando estivermos a trabalhar com grupos de utilizadores, devemos ter em consideração os seguintes factos:
Os grupos são uma coleção de contas de utilizadores;
Os membros de um grupo herdam as permissões atribuídas ao grupo; Os utilizadores podem ser membros de vários grupos;
Os grupos podem ser membros de outros grupos;
126 Existem diferentes tipos de grupos, tendo em conta diferentes características, tais como os recursos a que podem aceder e a sua localização (MINASI, 2014; pp 382-396).
Podemos distinguir dois tipos de grupos de utilizadores no Windows Server 2012 R2:
Grupos de segurança: normalmente utilizados para atribuir permissões de acesso aos recursos da rede. Estes grupos são armazenados na BD do AD (MINASI, 2014; pp. 412-424);
Grupos de distribuição: são utilizados para funções não relacionadas com segurança. Geralmente utilizados em servidores de correio eletrónico, tais como o Exchange Server. Uma das utilizações típicas para um grupo de distribuição é o envio de uma vez só de mensagens de correio eletrónico para um grupo de utilizadores. Somente programas que foram programados para trabalhar com o AD poderão utilizar grupos de distribuição.
Dentro do tipo de grupos de segurança, existem três diferentes grupos com características de utilização próprias (MINASI, 2014; pp. 412-424):
Grupos universais: são grupos que podem ser utilizados em qualquer parte do domínio ou da árvore de domínios e que podem conter como membros utilizadores e grupos de utilizadores de quaisquer domínios. Assim:
o Podem conter: contas de utilizadores, outros grupos universais e grupos globais de qualquer domínio;
o Podem ser membros: grupos locais de domínio ou grupos universais de qualquer domínio;
o Podem receber permissões: para recursos localizados em qualquer domínio;
o Devem ser utilizados grupos universais nas seguintes condições:
Quando se pretende consolidar diversos grupos globais. Pode fazer-se isto criando um grupo universal e adicionando-lhe vários grupos globais;
127 Grupos globais: um grupo global é considerado “global” quanto aos locais onde pode receber permissões de acesso, ou seja, um grupo global pode receber permissões de acesso a recursos de qualquer domínio. Deste modo:
o Podem conter: contas de utilizadores e grupos globais do mesmo domínio, isto é, só podem conter membros do domínio em que é criado;
o Podem ser membros: grupos universais e grupos Locais de domínio, de qualquer domínio. Podem ser membros de qualquer grupo global do mesmo domínio;
o Pode receber permissões: para recursos localizados em qualquer domínio;
o Devem ser utilizados grupos globais nas seguintes condições: para a administração dos objetos que sofrem alterações constantemente, quase diariamente, tais como contas de utilizadores e de computadores. As alterações feitas num grupo global são replicadas somente dentro do domínio onde foi criado e não através de toda a árvore de domínios. Com isto, o volume de replicação é reduzido, o que permite a utilização de grupos globais para a administração de objetos que mudam frequentemente;
Grupos locais de domínio: são grupos que podem somente receber permissões para os recursos do domínio onde são criados, porém podem ter como membros grupos e utilizadores de outros domínios. Estes:
o Podem conter: membros de qualquer domínio;
o Podem somente: receber permissões para recursos no Domínio onde são criados.
o Podem conter: contas de utilizadores, grupos universais e grupos globais de qualquer domínio. Outros grupos locais do próprio domínio;
128 o Devem ser utilizados nas seguintes condições: para disponibilizar determinados recursos de um domínio a vários utilizadores de vários domínios.