1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Diferentes grupos na AD

Discussão em 'Dúvidas e Suporte—Internet, Redes, Segurança' iniciada por pUbLIS, 14 de Outubro de 2008. (Respostas: 18; Visualizações: 3485)

  1. pUbLIS

    pUbLIS Power Member

    Pessoal... alguém me consegue explicar as diferenças entre os diversos grupos de utilizadores e computadores existentes na AD?

    Julgo que sejam só estes:
    - Local Domain Group
    - Global Group
    - Universal Group
    - Security Group
    - Distribution Group

    Não consigo perceber muito bem quando é que utilizamos uns, e quando é que utilizamos outros... já para não falar que não percebo bem qual a diferença de grupos para OU's.

    Se alguém me puder iluminar neste assunto, agradeço imenso.

    Abraço
     
    Última edição: 14 de Outubro de 2008
  2. pUbLIS

    pUbLIS Power Member

    Encontrei este resumo noutro forum... http://www.proprofs.com/forums/index.php?showtopic=10177
    Tem lá outra definição maior e mais completa, inclusivé sobre o group nesting, mas achei por bem começar pelo mais simples.
    Isto está correcto?

    - Global groups contain members from a specific domain and can include resources from any domain.
    - Domain local groups contain members from any domain and resources from a specific domain.
    - Universal groups contain members from any domain and resources from any domain. Universal group membership is also replicated to global catalog servers, which generally results in more network traffic.

    - Global groups should be used to combine users that have similar roles and responsibilities.
    - Domain local groups should be used to grant access to network resources.
    - Universal groups should be created to provide access to resources from multiple domains to users from multiple domains.
     
    Última edição: 14 de Outubro de 2008
  3. miraportuga

    miraportuga Power Member

    Quanto ao Security e Distribution Group, imagina os universal, domain local e global com 2 funçoes.
    Distribution Group servem para enviar emails para os utilizadores dentro do mesmo, seja este grupo domain local, global ou universal.
    Security Group serve para configurares permissoes, e podem ser domain local, global ou universal.

    Cumps
     
  4. pUbLIS

    pUbLIS Power Member

    humm..
    Então e adicionamos o quê ao Distribution Group? utilizadores, máquinas ou outros grupos (local domain, global ou universal), é isso?

    no Security Group serve para configurar permissões ao quê? shares, por exemplo? Mas isso já não é configurado pelas permissões NTFS e de Share? Ao configurarmos as permissões NTFS e de Share não podemos atribuir logo a um grupo de users/computadores sem ser security group?
     
  5. miraportuga

    miraportuga Power Member

    Ditribution Group funciona como uma mailing list, á qual adicionas users.

    A Security Group serve para permissoes como te disse, de NTFS ou partilha. Se reparares nas partilhas tanto podes adicionar Utilizadores como Grupos. Imagina, tens um departamento de marketing e queres que esse departamento tenha acesso a uma partilha, é mais facil meteres todos os users do departamento de marketing dentro dum grupo e depois dar permissoes ao grupo, ou, dares permiessoes a cada utilizador do departamento de marketing? Isto ja para nao falar que é muito mais facil controlar as coisas se estiverem em Grupos.

    Cumps
     
  6. pUbLIS

    pUbLIS Power Member

    [​IMG]
    http://www.trainsignaltraining.com/windows-server-2008-active-directory-user-groups/2008-04-07/

    Depois de ver esta imagem do WS2008, já fiquei a perceber um pouco melhor..

    Então se é Local Domain, Global ou Universal tem apenas a ver com a scope.. depois temos de decidir se é Security ou Distribution.
    Por norma, a grande maioria dos grupos será Security, certo?

    Já agora.. O que significa o termo scope ao certo? É o nível ao qual o grupo está afecto dentro da forest, certo?
     
    Última edição: 14 de Outubro de 2008
  7. miraportuga

    miraportuga Power Member

    Sim, maioria dos grupos será Security.
    O scope tem a ver com aquilo que o grupo vai ter acesso ou direito por assim dizer. Tal como esta na explicaçao que encontraste.

    Domain local pode ter objectos de um certo dominio.
    Global pode ter objectos dos trusted domains, ou seja da mesma floresta
    Universal pode ter objectos de várias florestas

    Cumps
     
  8. pUbLIS

    pUbLIS Power Member

    Resumindo...

    Domain Local Groups
    Membros: Trusted domains (Floresta)
    Recursos: Dominio

    Global Groups
    Membros: Dominio
    Recursos: Trusted domains (Floresta)

    Universal Groups
    Membros: Várias Florestas
    Recursos: Várias Florestas

    Isto está correcto?
    Porque razão os DLG não são todos ao nivel do domínio, os GG ao nível da forest e os UG das várias florestas?
    Seria bem mais simples. Qual é a razão para esta diferença entre os DLG e GG?
     
    Última edição: 14 de Outubro de 2008
  9. miraportuga

    miraportuga Power Member

    Agora que olho melhor para isso, parece-me que isso nao esta totalmente bem, ou seja.

    Domain Local Groups
    Membros: Dominio
    Recursos: Dominio

    Global Groups
    Membros: Floresta
    Recursos: Floresta

    Universal Groups
    Membros: Vários florestas
    Recursos: Vários florestas

    Depois há várias formas de implementar grupos, normalmente há sempre um grupo dentro de outro pois torna-se mais simples a gestão dos utilizadores/grupos

    Cumps
     
  10. pUbLIS

    pUbLIS Power Member

    Ah.. assim já começo a apanhar a lógica da coisa.
    Pois.. realmente essa de implementar grupos dentro de grupos é a próxima fase.. primeiro quero entender os vários grupos e as suas caracteristicas, e depois vem o nesting de grupos, que sinceramente, também não percebi.

    Agora que já tenho mais algumas bases, vou voltar a ler e ver no que dá.

    Tens alguma dica sobre nesting?
     
  11. miraportuga

    miraportuga Power Member

    Quanto ao nesting, isto dá para teres uma idea link

    Cumps
     
  12. pUbLIS

    pUbLIS Power Member

    Depois de ter lido sobre o AGDLP, acabo por não perceber a necessidade de meter uma global group dentro da domain local...

    Para controlar o acesso do user Alice ao recurso sales folder

    [​IMG]

    AGDLP diz que devemos..

    1) Criar um Global Group (G) no child domain onde está a conta de utilizador (uk.example.local);
    2) Inserir a conta de utilizador (A) no Global Group (G);
    3) Criar um Domain Local Group (DL) no child domain onde está o recurso (us.example.local);
    4) Inserir a Global Group (G) no Domain Local Group (DL);
    5) Atribuir Permissões (P) ao Domain Local Group (DL);

    Será que me consegues explicar o porquê dos passos 3, 4? Não podem ser atribuidas permissões directamente ao Global Group, já que este funciona com a scope a nível da floresta tanto para utilizadores como para recurso?

    Abraço
     
  13. miraportuga

    miraportuga Power Member

    Ora bem, deixa cá ver se consigo explicar isto de maneira a ser perceptivel a "coisa".

    Imagina que estás neste momento a configurar o servidor(partilhas, permissoes, grupos, serviços, etc), uma das partilhas vai ser acedida por x pessoas. Uma maneira facil de o fazer seria. Crias um grupo(e usando o teu desenho, e a pasta sales) chamado SalesR e SalesRW(Sales Read, Sales Read and Write). Depois metes os users conforme as permissoes em cada grupo.

    Agora tenho um outro dominio da floresta que quer acesso á mesma partilha, entao crio um Domain Local group no outro dominio com os users que quero que tenham acesso á share e meto-os num global group. Depois para partilhar a pasta basta juntar o Domain Local Group "SalesR" ou "SalesRW" conforme queiras e tá a coisa feita.

    Ou seja, podias simplesmente adicionar o global na tab de partilha e segurança da partilha, mas agora imagina uma dessas tab's com 20 grupos, não se tornava nada fácil de gerir.
    Outro problema que poderias encontrar seria por exemplo. Um user conseguia aceder a uma serie de partilhas que supostamente nao tem acesso, o que farias? Verificar as permissoes efectivas pasta a pasta podia ser "doloroso", era muito mais fácil ires ás propriedades do user ver a que a que grupos ele pertencia.

    Quero chegar apenas ao facto que em termos de gestão da AD torna-se muito mais facil o uso de DL dentro de G.
    Em termos de segurança os Domain local teem apenas acesso ao dominio, os global teem acesso aos trusted domain da floresta, se por acaso cometes um erro aqui poderias estar a dar muito mais permissoes a um user do que se ele estivesse apenas num domain local.

    Cumps
     
  14. pUbLIS

    pUbLIS Power Member

    Que tipo de grupo é o SalesR ou o SalesRW? G? DL?

    Crias um DL, adicionas-lhes os users que queres que tenham acesso e depois metes num Global??
    Não é suposto ser ao contrário? Um G dentro do DL?

    Pois.. aqui realmente é compreensivel.
    Então e são criadas várias DL consoante o tipo de acesso que se quer ao recurso, assim como a G? Se houverem várias pessoas no sales, umas com Read e outras com Read & Write, como é que organizo? Assim?

    |LD_SalesR (permissões Read configuradas ao share)
    |_____G_SalesR (utilizadores Sales com permissão Read)

    |LD_SalesRW (permissões Read & Write configuradas ao share)
    |_____G_SalesRW (utilizadores Sales com permissão Read & Write)

    São atribuidas

    DL dentro de G ou G dentro de DL?
     
  15. miraportuga

    miraportuga Power Member

    Q: Que tipo de grupo é o SalesR ou o SalesRW? G? DL?

    A: Domain Local


    Q: Crias um DL, adicionas-lhes os users que queres que tenham acesso e depois metes num Global??Não é suposto ser ao contrário? Um G dentro do DL?

    A: Sim, é um G dentro dum DL, desculpa lá a confusao, é o que dá dizer as coisas de cabeça, quando ja nao pego nisto á uns tempos, continuando. As coisas podem ser feitas um bocado como der mais jeito em termos de organização, dependendo de cada pessoa, e obedecendo ás regras dos grupos(DL: para o dominio local, G: para trusted domains).
    O que a microsoft costuma aconselhar é AGDLP, AGUDLP e mais dois ou 3 que nao me recordo agora. A= Accounts, G= Global Group, DL= Domain Local Group, P= Permissions, U= Universal
    Quando tiver um bocado de tempo paço o manual da microsoft no scanner nesta parte e mostro-te.

    Q: Então e são criadas várias DL consoante o tipo de acesso que se quer ao recurso, assim como a G? Se houverem várias pessoas no sales, umas com Read e outras com Read & Write, como é que organizo? Assim?
    A: Esta é uma das variadas hipoteses que tens de organizar uma AD, isto vai de cada pessoa para pessoa, esta forma dá muito trabalho ao inicio, pois dependendo do numero de shares e afins poderás ter 200 grupos ou mais, mas nao final em termos de gestao torna-se mais simples. Isto é uma coisa que depois com o tempo, e prática uma pessoa usa aquilo que lhe parece mais simples de gerir e entender.

    Q: DL dentro de G ou G dentro de DL?
    A: É uma G dentro duma DL.

    Recapitulando e corringindo alguma coisa que disse mal lá atrás.

    Segues as regras do AGDLP ou AGUDLP e tudo correrá bem, portanto.

    os users do dominio que nao tem a share sao metidos numa Global, metes a global numa DL(criado no dominio que tem a share) e depois adicionas este grupo(DL) ás permissoes e metes as permissoes neste grupo.
    Assim é que está correcto, peço desculpa por qualquer coisinha lá atrás mas fiz confusão.

    Cumps
     
  16. pUbLIS

    pUbLIS Power Member

    Não precisas de digitalizar nada.. eu tenho o manual à minha frente. Já o li e acabei por não perceber muito bem isto dos grupos. Por isso comecei a googlar e a perguntar por aqui.

    Ok.. acho que isto já começa a fazer algum sentido hehe..
    Já agora.. e se os users estiverem no mesmo dominio que os recursos? Acaba por existir a necessidade de criar a G à mesma, e colocá-la dentro da DL, certo? Nem que mais não seja para simplificar a gestão da AD.

    Quando dizem que o nesting serve para (entre outras coisas) permitir a expansão da AD, o que é que isto significa na prática?

    Acho que ainda não te agradeci pela ajuda que tens prestado... 5 estrelas.
    Obrigadão :)

    ps. espero que não te importes.. roubei-te a userbar :P
     
    Última edição: 15 de Outubro de 2008
  17. miraportuga

    miraportuga Power Member

    Q: Já agora.. e se os users estiverem no mesmo dominio que os recursos? Acaba por existir a necessidade de criar a G à mesma, e colocá-la dentro da DL, certo? Nem que mais não seja para simplificar a gestão da AD.
    A: É assim, isso vai depender de ti, de como queres fazer as coisas. No entanto se estás num dominio e apenas num dominio não há necessidade de fazer Global Groups. Fazes só domain e adicionas os users lá. E seguindo a maneira que te disse, do criar 2 grupos para cada share, se por acaso depois houver outro dominio/subdominio na floresta, basta criar um Global Group, meter os users desse outro dominio lá(seguindo o exemplo de um dominio querer aceder á share do outro) e meter o Global no SalesR ou SalesRW conforme queiras dar as permissoes.

    Q: Quando dizem que o nesting serve para (entre outras coisas) permitir a expansão da AD, o que é que isto significa na prática?
    A: Não sei se será o correcto mas seria possivelmenta o que eu responderia, nesting não seria mais que os "AGDLP", "AGUDLP", etc. Ou seja criar e juntar grupos de maneira a que os users tenham as permissoes minimas para ter acesso a X recurso(isto num ambiente multi-dominio)

    Acho que ainda não te agradeci pela ajuda que tens prestado... 5 estrelas.
    Obrigadão :)

    Estamos cá é para ir ajudando :P

    Cumps
     
  18. Kain

    Kain Power Member

    basicamente o nesting e isso. Vai permitir a expansao da AD porque ao teres DL com permissoes sobre objectos basta criares um G para um novo dominio e adicionar a esse DL.

    E algo relativamente simples que quase sempre parece demasiado complicado no papel.:x2:
     
  19. LOB

    LOB

    Talvez fugindo um pouco ao assunto...

    Mas queria saber se dá para um user num certo dominio pertencer a uns security groups e noutro dominio pertencer a outros.

    Se sim, alguém me pode dar umas luzes de como o fazer?

    Obrigado e cumprimentos
    MR
     

Partilhar esta Página