Âmbito do grupo
Âmbito do grupo
Qualquer grupo, quer seja um grupo de segurança ou um grupo de distribuição, é caracterizado por um âmbito que identifica a extensão à qual o grupo é aplicado na árvore de domínio ou floresta. O limite, ou alcance, de um âmbito do grupo é também determinado pela definição do nível de funcionalidade do domínio no qual reside. Existem três âmbitos de grupo: universal, global e local de domínio.
A tabela seguinte descreve as diferenças entre os âmbitos de cada grupo.
Âmbito do grupo |
O grupo pode incluir membros como… |
O grupo pode receber permissões em… |
O âmbito do grupo pode ser convertido para… |
Universal |
|
Qualquer domínio ou floresta |
|
Global |
|
As permissões de membros podem ser atribuídas em qualquer domínio |
Universal (desde que não seja membro de qualquer outro grupo global) |
Local de domínio |
|
As permissões de membros podem ser atribuídas apenas dentro do mesmo domínio que o grupo local de domínio principal |
Universal (desde que não existam outros grupos locais de domínio como membros) |
Nota
A informação nesta tabela implica que o nível de funcionalidade do domínio esteja definido para o nível nativo do Windows 2000, Windows Server 2003, ou Windows Server 2003 provisório. Quando o nível de funcionalidade do domínio está definido para Windows 2000 misto, não é possível criar grupos de segurança com âmbito universal, apesar de continuarem a ser permitidos grupos de distribuição com âmbito universal.
Quando deve utilizar grupos com âmbito local de domínio
Os grupos com âmbito local de domínio ajudam a definir e gerir o acesso a recursos num único domínio. Por exemplo, para conceder acesso a cinco utilizadores a uma determinada impressora, é possível adicionar as cinco contas de utilizador à lista de permissões da impressora. No entanto, se mais tarde pretender dar acesso a uma nova impressora aos cinco utilizadores, terá de especificar novamente as cinco contas na lista de permissões para a nova impressora.
Com algum planeamento, é possível simplificar esta tarefa administrativa de rotina, criando um grupo com âmbito local de domínio e atribuindo-lhe permissão para aceder à impressora. Coloque as cinco contas de utilizador num grupo com âmbito global e adicione este grupo ao grupo com âmbito local de domínio. Quando pretender atribuir acesso à nova impressora aos cinco utilizadores, atribua o grupo com permissão de âmbito local de domínio para aceder à nova impressora. Todos os membros do grupo com âmbito global recebem acesso automaticamente à nova impressora.
Quando deve utilizar grupos com âmbito global
Utilize grupos com âmbito global para gerir objectos de directório que necessitam de manutenção diária, tais como as contas de utilizador e de computador. Como os grupos com âmbito global não são replicados fora do próprio domínio, as contas existentes num grupo com âmbito global podem ser alteradas frequentemente sem que seja gerado tráfego de replicação para o catálogo global. Para mais informações sobre os grupos e a replicação, consulte Como funciona a replicação.
Embora as atribuições de direitos e permissões só sejam válidas no domínio ao qual estão atribuídas, através da aplicação uniforme de grupos com âmbito global ao longo dos domínios apropriados é possível consolidar referências a contas com objectivos semelhantes. Tal simplifica e racionaliza a gestão de grupos nos domínios. Por exemplo, numa rede com dois domínios, Europa e Estados Unidos, se houver um grupo com âmbito global denominado ContabilidadeRazão no domínio EstadosUnidos, crie um grupo denominado ContabilidadeRazão no domínio Europa (a menos que a função de contabilidade não exista no domínio Europa).
Recomendamos que utilize os grupos globais ou universais em vez de grupos locais de domínio quando especificar as permissões nos objectos de directório de domínio replicados no catálogo global. Para mais informações, consulte Global catalog replication.
Nota
Se o nível de funcionalidade do domínio estiver definido para o Windows 2000 misto, os membros de grupos globais poderão incluir apenas contas do mesmo domínio.
Quando deve utilizar grupos com âmbito universal
Utilize os grupos com âmbito universal para consolidar grupos que abrangem vários domínios. Para o fazer, adicione as contas a grupos com âmbito global e aninhe estes grupos em grupos com âmbito universal. Se utilizar esta estratégia, quaisquer alterações aos membros dos grupos com âmbito global não irão afectar os grupos com âmbito universal.
Por exemplo, numa rede com dois domínios, Europa e Estados Unidos, e um grupo com âmbito global denominado ContabilidadeRazão em cada domínio, crie um grupo com âmbito universal denominado ContabilidadeU que tenha como respectivos membros os dois grupos ContabilidadeRazão, Estados Unidos\ContabilidadeRazão e Europa\ContabilidadeRazão. O grupo ContabilidadeU pode então ser utilizado em qualquer local da empresa. Quaisquer alterações aos membros dos grupos ContabilidadeRazão individuais não irão causar a replicação do grupo ContabilidadeU.
Não altere frequentemente os membros de um grupo com âmbito universal, uma vez que quaisquer alterações a estes membros de grupos provocam a respectiva replicação em todos os catálogos globais na floresta. Para mais informações sobre os grupos universais e a replicação, consulte Catálogos globais e locais.
Nota
Se o nível de funcionalidade do domínio estiver definido para o Windows 2000 misto, não é possível criar grupos de segurança com âmbito universal.
Alterar o âmbito de um grupo
Ao criar um novo grupo, por predefinição o grupo é configurado como grupo de segurança com âmbito global, independentemente do nível de funcionalidade do domínio actual. Apesar de a alteração de um âmbito de grupo não ser permitida em domínios com o nível de funcionalidade definido para o Windows 2000 misto, as conversões seguintes são permitidas em domínios com o nível de funcionalidade definido para o Windows 2000 nativo ou Windows Server 2003:
- Global para universal. Esta conversão só é permitida se o grupo que pretende alterar não for um membro de outro grupo de âmbito global.
- Local de domínio para universal. Esta conversão só é permitida se o grupo que pretende alterar não tiver outro grupo local de domínio como membro.
- Universal para global. Esta conversão só é permitida se o grupo que pretende alterar não tiver outro grupo universal como membro.
- Universal para local de domínio. Não existem restrições para esta operação.
Para mais informações, consulte Alterar o âmbito do grupo.
Grupos em computadores clientes e servidores autónomos
Algumas funcionalidades de grupo, tais como grupos universais, aninhamento de grupos e a distinção entre grupos de segurança e grupos de distribuição, encontram-se disponíveis apenas nos controladores de domínio e nos servidores membro do Active Directory. As contas de grupo no Windows 2000 Professional, Windows XP Professional, Windows 2000 Server e os servidores autónomos com o Windows Server 2003 funcionam da mesma forma que no Windows NT 4.0:
- Apenas os grupos locais podem ser criados localmente no computador.
- Um grupo local criado num destes computadores poderá receber permissões apenas nesse computador.
Para mais informações, consulte Grupos locais predefinidos.