Exportar (0) Imprimir
Expandir Tudo
12 de 22 pessoas classificaram isso como útil - Avalie este tópico

Escopo de grupo

Escopo de grupo

Qualquer grupo, não importa se um grupo de segurança ou um grupo de distribuição, é caracterizado por um escopo que identifica a extensão em que o grupo é aplicado à árvore do domínio ou floresta. O limite, ou alcance, de um escopo de grupo, também é determinado pelo nível funcional do domínio em que ele reside. Existem três escopos de grupo: universal, global e domínio local.

A tabela a seguir descrever as diferenças entre os escopos de cada grupo.

 

Escopo de grupo

O grupo pode incluir como membros…

O grupo pode ser atribuído a permissões em…

O escopo de grupo pode ser convertido em…

Universal

  • Contas de qualquer domínio na floresta em que o grupo Universal reside
  • Grupos globais de qualquer domínio na floresta em que o grupo Universal reside
  • Grupos universais de qualquer domínio na floresta em que o grupo Universal reside

Qualquer domínio ou floresta

  • Domínio local
  • Global (desde que nenhum outro grupo universal exista como membro)

Global

  • Contas do mesmo domínio que o grupo global pai
  • Grupos globais do mesmo domínio que o grupo global pai

Permissões do membro podem ser atribuídas em qualquer domínio

Universal (desde que não seja membro de nenhum outro grupo global)

Domínio local

  • Contas de qualquer domínio
  • Grupos globais de qualquer domínio
  • Grupos universais de qualquer domínio
  • Grupos de domínio local, mas somente para o mesmo domínio que o grupo de domínio local pai

É possível atribuir permissões de membro somente no mesmo domínio que o grupo de domínio local pai

Universal (desde que nenhum outro grupo de domínio local exista como membro)

noteObservação
As informações dessa tabela implicam que o nível de domínio funcional seja definido como Windows 2000 nativo, Windows Server 2003 ou Windows Server 2003 temporário. Quando o nível de domínio funcional é definido como Windows 2000 misto, os grupos de segurança com escopo universal não podem ser criados, embora os grupos de distribuição com escopo universal ainda sejam permitidos.

Quando usar grupos com escopo de domínio local

Os grupos com escopo de domínio local ajudam a definir e gerenciar o acesso a recursos em um único domínio. Por exemplo, para fornecer aos usuários acesso a uma determinada impressora, você pode adicionar todas as cinco contas de usuário à lista de permissões da impressora. Se, no entanto, mais tarde desejar fornecer aos cinco usuários acesso a uma nova impressora, terá de especificar novamente todas as cinco contas na lista de permissões da nova impressora.

Com um pouco de planejamento, você pode simplificar essa tarefa administrativa rotineira criando um grupo com escopo de domínio local e atribuindo-lhe permissão para acessar a impressora. Inclua as cinco contas de usuário em um grupo com escopo global e adicione esse grupo àquele que tem o escopo de domínio local. Quando você desejar fornecer aos cinco usuários acesso a uma nova impressora, atribua ao grupo com o escopo de domínio local permissão para acessar a nova impressora. Todos os membros do grupo com escopo global automaticamente recebem acesso à nova impressora.

Quando usar grupos com escopo global

Use grupos com escopo global para gerenciar objetos de diretório que exijam manutenção diária, como contas de usuário e de computador. Como os grupos com escopo global não são replicados fora de seu próprio domínio, as contas em um grupo que tem escopo global podem ser alteradas freqüentemente sem que isso gere tráfego de replicação para o catálogo global. Para obter mais informações sobre grupos e replicação, consulte Como a duplicação funciona.

Embora as atribuições de direitos e permissões sejam válidas somente no domínio no qual são atribuídas, ao aplicar grupos com escopo global de forma uniforme nos domínios apropriados, você pode consolidar referências a contas com finalidades semelhantes. Isso simplifica e racionaliza o gerenciamento do grupo nos domínios. Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, se você tiver um grupo com escopo global chamado ContabilidadeGL no domínio EstadosUnidos, crie um grupo chamado ContabilidadeGL no domínio Europa (a menos que a função de contabilidade não exista no domínio Europa).

É recomendável usar grupos globais ou grupos universais em vez de grupos de domínio local ao especificar permissões para objetos de diretório de domínio replicados para o catálogo global. Para obter mais informações, consulte Duplicação do catálogo global.

noteObservação
Quando o nível funcional do domínio é definido como Windows 2000 misto, os membros de grupos globais podem incluir somente contas do mesmo domínio.

Quando usar grupos com escopo universal

Use grupos com escopo universal para consolidar os grupos que estendam domínios. Para fazer isso, adicione as contas a grupos com escopo global e aninhe esses grupos em grupos que tenham escopo universal. Quando você usa essa estratégia, as alterações na participação dos grupos que tenham escopo global não afetam os grupos com escopo universal.

Por exemplo, em uma rede com dois domínios, Europa e EstadosUnidos, e um grupo que tenha escopo global chamado ContabilidadeGL em cada domínio, crie um grupo com escopo universal chamado ContabilidadeU para ter como seus membros os dois grupos ContabilidadeGL: ContabilidadeEstadosUnidos\GL e ContabilidadeEuropa\GL. O grupo ContabilidadeU pode ser usado em qualquer parte da empresa. Todas as alterações na participação dos grupos individuais ContabilidadeGL não causarão a replicação do grupo ContabilidadeU.

Não altere a participação de um grupo com escopo universal com freqüência, pois todas as alterações feitas nessas participações de grupo podem fazer com que toda a participação do grupo seja replicada em cada catálogo global na floresta. Para obter mais informações sobre grupos universais e replicação, consulte Catálogos globais e locais.

noteObservação
Quando o nível funcional de domínio é definido como Windows 2000 misto, você não pode criar grupos de segurança com escopo universal.

Alterando o escopo de grupo

Por padrão, quando um novo grupo é criado, ele é configurado como um grupo de segurança com escopo global, independentemente do nível funcional do domínio atual. Embora a alteração de um escopo de grupo não seja permitida em domínios com o nível funcional de domínio do Windows 2000 misto, as seguintes conversões são permitidas em domínios com o nível funcional de domínio definido como Windows 2000 nativo ou Windows Server 2003:

  • Global em universal. Essa conversão só será permitida se o grupo que você deseja alterar não for membro de outro grupo com escopo global.
  • Domínio local em universal. Essa conversão só será permitida se o grupo que você deseja alterar não tiver outro grupo de domínio local como membro.
  • Universal em global. Essa conversão só será permitida se o grupo que você deseja alterar não tiver outro grupo de domínio universal como membro.
  • Universal em domínio local. Não há restrições para essa operação.

Para obter mais informações, consulte Alterar o escopo do grupo.

Grupos em clientes e servidores autônomos

Alguns recursos de grupo, como grupos universais, aninhamento de grupos e a distinção entre grupos de segurança e grupos de distribuição, estão disponíveis somente nos controladores de domínio do Active Directory e em servidores membros. As contas de grupo no Windows 2000 Professional, Windows XP Professional, Windows 2000 Server e em servidores autônomos que executam o Windows Server 2003 funcionam da mesma forma que no Windows NT 4.0.

  • Somente grupos locais podem ser criados localmente no computador.
  • Um grupo local criado em um desses computadores pode ter permissões somente nesse computador.

Para obter mais informações, consulte Grupos locais padrão.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.