Microsoft.com
Bem-vindo Entrar
Resources for IT Professionals
Clique para classificar e enviar comentários
TechNet
TechNet Library
Artigos Técnicos
Colunas
Coluna Technet
 TechNet
COLUNA TECHNET

Esta semana quem escreve é Francisco Baddini, engenheiro eletrônico Microsoft MCSE e Compaq ASE. Badinni é responsável pelas revisões técnicas do site Technet Brasil e consultor de TI da Konsultec Empresas, parceiro Microsoft.

Por Francisco Baddini

Muitas vezes, práticas bastante simples de administração representam um real avanço e um sensível aumento na "qualidade de vida" dos responsáveis pelo ambiente de TI na empresa.

Um exemplo claro disto está na famosa palavrinha de 4 letras muito disseminada em cursos oficiais, desde o tempo do Windows NT: A.G.L.P !! Você se lembra ? Já ouviu falar dela ?

A.G.L.P. pode significar a diferença entre o controle de seus recursos de rede e muitos problemas, ou ainda entre a agilidade e a total falta desta no atendimento aos seus clientes internos e externos.

Com a chegada do Active Directory, você deve investir na integração: utilizar as ACLs (Access Control List, outra sigla comum no nosso mundo) em todo tipo de recurso de sua rede, começando por compartilhamentos de arquivos, passando por impressoras e estendendo a integração até o controle daqueles sites que você desejar (já que o ISA Server é totalmente integrado ao Active Directory), definir direitos de escrita ou leitura em tabelas no servidor SQL 2000, o acesso a menus e privilégios em seu sistema de gestão, aplicar Políticas de Acesso Remoto permitindo acesso a rede via VPN e muitas outras aplicações.

Mas do que afinal estou falando ?

A.G.L.P é na verdade uma forma muito simples de você não se perder durante o planejamento e a implementação das permissões de acesso aos recursos de sua rede e surpreendentemente a maioria dos administradores de redes baseadas em tecnologia NT desconhecem esta regra simples.

"A" vem de Account, ou seja, a conta do usuário no Active Directory.
"G" lembra Global, que é o tipo de grupo recomendado para atuar como um "container" de usuários.
"L" está associado a Local, o que no caso do Active Directory passou a ser chamado de Domain Local e que deve conter os grupos globais e ainda ser incluído diretamente nas permissões do recurso a ser gerenciado.
Finalmente, "P" define Permissões que são definidas para o recurso.

Agora guarde e aplique esta idéia:

Accounts (contas) devem ser inseridas em grupos Globais definidos a partir de perfis comuns de usuários, como por exemplo filiais ou departamentos (Financeiro, Produção, Expedição, etc.).

E, finalmente, a Permissão para o recurso em questão deve ser atribuída para este grupo local.

Para que você entenda melhor, vamos exemplificar em 5 etapas:

1) Para o controle de acesso de uma Impressora HP Laserjet 1200 do departamento comercial, crie um grupo Domain Local no Active Directory chamado Impressora HP Laserjet 1200 Comercial;
2) Crie grupos globais conforme uma estratégia bem definida e muito bem planejada – em nosso exemplo crie os grupos Financeiro e Produção e insira nos grupos os usuários correspondentes;
3) Agora atribua permissões de Imprimir (Print) para o grupo criado no passo 1 (Impressora HP Laserjet 1200 Comercial) e remova a permissão do grupo Todos (Everyone). Atribua também controle total para o grupo Administradores do domínio, para que os responsáveis possam atuar neste recurso quando necessário;
4) Agora ficou fácil: os grupos que forem definidos para utilização da impressora devem ser inseridos no grupo Impressora HP Laserjet 1200 Comercial;
5) Mais um detalhe: você pode negar acesso a algum usuário se precisar, pois a negação no acesso precede sobre a permissão de acesso. Se precisar atender a uma exceção, ficará fácil com este recurso.

Simples, não é ?

Seguindo esta prática no gerenciamento de seus recursos, fica realmente muito simples a administração de permissões. Você não precisará mais ficar alterando as permissões do recurso a cada vez que um usuário ou grupo novo é criado.

E a cada novo usuário na empresa, basta você inserir o mesmo no grupo global a qual o perfil deste usuário se encaixa e pronto: ele passará a ter as devidas permissões em todos os recursos disponibilizados em sua rede, sendo sua rede composta de 10 recursos, 100 recursos ou 10000 recursos !!

Para grandes organizações, o uso de um tipo novo de grupo, chamado Universal, também nos auxilia em muito no gerenciamento das permissões. Mas isso é assunto para um outro dia...


Grande abraço e até a próxima,

Engº. Francisco Baddini
fbaddini@wintecnologia.com.br

© 2009 Microsoft Corporation. Todos os direitos reservados. Termos de Uso | Marcas Comerciais | Declaração de Privacidade
Page view tracker