Diferentes grupos na AD

[pUbLIS]

Pessoal... alguém me consegue explicar as diferenças entre os diversos grupos de utilizadores e computadores existentes na AD?

Julgo que sejam só estes:
- Local Domain Group
- Global Group
- Universal Group
- Security Group
- Distribution Group

Não consigo perceber muito bem quando é que utilizamos uns, e quando é que utilizamos outros... já para não falar que não percebo bem qual a diferença de grupos para OU's.

Se alguém me puder iluminar neste assunto, agradeço imenso.

Abraço

 

[pUbLIS]

Encontrei este resumo noutro forum... http://www.proprofs.com/forums/index.php?showtopic=10177
Tem lá outra definição maior e mais completa, inclusivé sobre o group nesting, mas achei por bem começar pelo mais simples.
Isto está correcto?

- Global groups contain members from a specific domain and can include resources from any domain.
- Domain local groups contain members from any domain and resources from a specific domain.
- Universal groups contain members from any domain and resources from any domain. Universal group membership is also replicated to global catalog servers, which generally results in more network traffic.

- Global groups should be used to combine users that have similar roles and responsibilities.
- Domain local groups should be used to grant access to network resources.
- Universal groups should be created to provide access to resources from multiple domains to users from multiple domains.

 

[miraportuga]

Quanto ao Security e Distribution Group, imagina os universal, domain local e global com 2 funçoes.
Distribution Group servem para enviar emails para os utilizadores dentro do mesmo, seja este grupo domain local, global ou universal.
Security Group serve para configurares permissoes, e podem ser domain local, global ou universal.

Cumps

 

[pUbLIS]

Quanto ao Security e Distribution Group, imagina os universal, domain local e global com 2 funçoes.
Distribution Group servem para enviar emails para os utilizadores dentro do mesmo, seja este grupo domain local, global ou universal.
Security Group serve para configurares permissoes, e podem ser domain local, global ou universal.

Cumps

humm..
Então e adicionamos o quê ao Distribution Group? utilizadores, máquinas ou outros grupos (local domain, global ou universal), é isso?

no Security Group serve para configurar permissões ao quê? shares, por exemplo? Mas isso já não é configurado pelas permissões NTFS e de Share? Ao configurarmos as permissões NTFS e de Share não podemos atribuir logo a um grupo de users/computadores sem ser security group?

 

[miraportuga]

humm..
Então e adicionamos o quê ao Distribution Group? utilizadores, máquinas ou outros grupos (local domain, global ou universal), é isso?

no Security Group serve para configurar permissões ao quê? shares, por exemplo? Mas isso já não é configurado pelas permissões NTFS e de Share? Ao configurarmos as permissões NTFS e de Share não podemos atribuir logo a um grupo de users/computadores sem ser security group?

Ditribution Group funciona como uma mailing list, á qual adicionas users.

A Security Group serve para permissoes como te disse, de NTFS ou partilha. Se reparares nas partilhas tanto podes adicionar Utilizadores como Grupos. Imagina, tens um departamento de marketing e queres que esse departamento tenha acesso a uma partilha, é mais facil meteres todos os users do departamento de marketing dentro dum grupo e depois dar permissoes ao grupo, ou, dares permiessoes a cada utilizador do departamento de marketing? Isto ja para nao falar que é muito mais facil controlar as coisas se estiverem em Grupos.

Cumps

 

[pUbLIS]

http://www.trainsignaltraining.com/windows-server-2008-active-directory-user-groups/2008-04-07/

Depois de ver esta imagem do WS2008, já fiquei a perceber um pouco melhor..

Então se é Local Domain, Global ou Universal tem apenas a ver com a scope.. depois temos de decidir se é Security ou Distribution.
Por norma, a grande maioria dos grupos será Security, certo?

Já agora.. O que significa o termo scope ao certo? É o nível ao qual o grupo está afecto dentro da forest, certo?

 

[miraportuga]

Depois de ver esta imagem do WS2008, já fiquei a perceber um pouco melhor..

Então se é Local Domain, Global ou Universal tem apenas a ver com a scope.. depois temos de decidir se é Security ou Distribution.
Por norma, a grande maioria dos grupos será Security, certo?

Já agora.. O que significa o termo scope ao certo? É o nível ao qual o grupo está afecto dentro da forest, certo?

Sim, maioria dos grupos será Security.
O scope tem a ver com aquilo que o grupo vai ter acesso ou direito por assim dizer. Tal como esta na explicaçao que encontraste.

Domain local pode ter objectos de um certo dominio.
Global pode ter objectos dos trusted domains, ou seja da mesma floresta
Universal pode ter objectos de várias florestas

Cumps

 

[pUbLIS]

- Global groups contain members from a specific domain and can include resources from any domain.
- Domain local groups contain members from any domain and resources from a specific domain.
- Universal groups contain members from any domain and resources from any domain. Universal group membership is also replicated to global catalog servers, which generally results in more network traffic.

Resumindo...

Domain Local Groups
Membros: Trusted domains (Floresta)
Recursos: Dominio

Global Groups
Membros: Dominio
Recursos: Trusted domains (Floresta)

Universal Groups
Membros: Várias Florestas
Recursos: Várias Florestas

Isto está correcto?
Porque razão os DLG não são todos ao nivel do domínio, os GG ao nível da forest e os UG das várias florestas?
Seria bem mais simples. Qual é a razão para esta diferença entre os DLG e GG?

 

[miraportuga]

Resumindo...

Domain Local Groups
Membros: Trusted domains (Floresta)
Recursos: Dominio

Global Groups
Membros: Dominio
Recursos: Trusted domains (Floresta)

Universal Groups
Membros: Várias Florestas
Recursos: Várias Florestas

Isto está correcto?
Porque razão os DLG não são todos ao nivel do domínio, os GG ao nível da forest e os UG das várias florestas?
Seria bem mais simples. Qual é a razão para esta diferença entre os DLG e GG?

Agora que olho melhor para isso, parece-me que isso nao esta totalmente bem, ou seja.

Domain Local Groups
Membros: Dominio
Recursos: Dominio

Global Groups
Membros: Floresta
Recursos: Floresta

Universal Groups
Membros: Vários florestas
Recursos: Vários florestas

Depois há várias formas de implementar grupos, normalmente há sempre um grupo dentro de outro pois torna-se mais simples a gestão dos utilizadores/grupos

Cumps

 

[pUbLIS]

Ah.. assim já começo a apanhar a lógica da coisa.
Pois.. realmente essa de implementar grupos dentro de grupos é a próxima fase.. primeiro quero entender os vários grupos e as suas caracteristicas, e depois vem o nesting de grupos, que sinceramente, também não percebi.

Agora que já tenho mais algumas bases, vou voltar a ler e ver no que dá.

Tens alguma dica sobre nesting?

 

[miraportuga]

Quanto ao nesting, isto dá para teres uma idea link

Cumps

 

[pUbLIS]

Depois de ter lido sobre o AGDLP, acabo por não perceber a necessidade de meter uma global group dentro da domain local...

Para controlar o acesso do user Alice ao recurso sales folder

AGDLP diz que devemos..

1) Criar um Global Group (G) no child domain onde está a conta de utilizador (uk.example.local);
2) Inserir a conta de utilizador (A) no Global Group (G);
3) Criar um Domain Local Group (DL) no child domain onde está o recurso (us.example.local);
4) Inserir a Global Group (G) no Domain Local Group (DL);
5) Atribuir Permissões (P) ao Domain Local Group (DL);

Será que me consegues explicar o porquê dos passos 3, 4? Não podem ser atribuidas permissões directamente ao Global Group, já que este funciona com a scope a nível da floresta tanto para utilizadores como para recurso?

Abraço

 

[miraportuga]

Ora bem, deixa cá ver se consigo explicar isto de maneira a ser perceptivel a "coisa".

Imagina que estás neste momento a configurar o servidor(partilhas, permissoes, grupos, serviços, etc), uma das partilhas vai ser acedida por x pessoas. Uma maneira facil de o fazer seria. Crias um grupo(e usando o teu desenho, e a pasta sales) chamado SalesR e SalesRW(Sales Read, Sales Read and Write). Depois metes os users conforme as permissoes em cada grupo.

Agora tenho um outro dominio da floresta que quer acesso á mesma partilha, entao crio um Domain Local group no outro dominio com os users que quero que tenham acesso á share e meto-os num global group. Depois para partilhar a pasta basta juntar o Domain Local Group "SalesR" ou "SalesRW" conforme queiras e tá a coisa feita.

Ou seja, podias simplesmente adicionar o global na tab de partilha e segurança da partilha, mas agora imagina uma dessas tab's com 20 grupos, não se tornava nada fácil de gerir.
Outro problema que poderias encontrar seria por exemplo. Um user conseguia aceder a uma serie de partilhas que supostamente nao tem acesso, o que farias? Verificar as permissoes efectivas pasta a pasta podia ser "doloroso", era muito mais fácil ires ás propriedades do user ver a que a que grupos ele pertencia.

Quero chegar apenas ao facto que em termos de gestão da AD torna-se muito mais facil o uso de DL dentro de G.
Em termos de segurança os Domain local teem apenas acesso ao dominio, os global teem acesso aos trusted domain da floresta, se por acaso cometes um erro aqui poderias estar a dar muito mais permissoes a um user do que se ele estivesse apenas num domain local.

Cumps

 

[pUbLIS]

Imagina que estás neste momento a configurar o servidor(partilhas, permissoes, grupos, serviços, etc), uma das partilhas vai ser acedida por x pessoas. Uma maneira facil de o fazer seria. Crias um grupo(e usando o teu desenho, e a pasta sales) chamado SalesR e SalesRW(Sales Read, Sales Read and Write). Depois metes os users conforme as permissoes em cada grupo.

Que tipo de grupo é o SalesR ou o SalesRW? G? DL?

Agora tenho um outro dominio da floresta que quer acesso á mesma partilha, entao crio um Domain Local group no outro dominio com os users que quero que tenham acesso á share e meto-os num global group. Depois para partilhar a pasta basta juntar o Domain Local Group "SalesR" ou "SalesRW" conforme queiras e tá a coisa feita.

Crias um DL, adicionas-lhes os users que queres que tenham acesso e depois metes num Global??
Não é suposto ser ao contrário? Um G dentro do DL?

Ou seja, podias simplesmente adicionar o global na tab de partilha e segurança da partilha, mas agora imagina uma dessas tab's com 20 grupos, não se tornava nada fácil de gerir.
Outro problema que poderias encontrar seria por exemplo. Um user conseguia aceder a uma serie de partilhas que supostamente nao tem acesso, o que farias? Verificar as permissoes efectivas pasta a pasta podia ser "doloroso", era muito mais fácil ires ás propriedades do user ver a que a que grupos ele pertencia.

Pois.. aqui realmente é compreensivel.
Então e são criadas várias DL consoante o tipo de acesso que se quer ao recurso, assim como a G? Se houverem várias pessoas no sales, umas com Read e outras com Read & Write, como é que organizo? Assim?

|LD_SalesR (permissões Read configuradas ao share)
|_____G_SalesR (utilizadores Sales com permissão Read)

|LD_SalesRW (permissões Read & Write configuradas ao share)
|_____G_SalesRW (utilizadores Sales com permissão Read & Write)

São atribuidas

Quero chegar apenas ao facto que em termos de gestão da AD torna-se muito mais facil o uso de DL dentro de G.

DL dentro de G ou G dentro de DL?

 

[miraportuga]

Q: Que tipo de grupo é o SalesR ou o SalesRW? G? DL?

A: Domain Local


Q: Crias um DL, adicionas-lhes os users que queres que tenham acesso e depois metes num Global??Não é suposto ser ao contrário? Um G dentro do DL?

A: Sim, é um G dentro dum DL, desculpa lá a confusao, é o que dá dizer as coisas de cabeça, quando ja nao pego nisto á uns tempos, continuando. As coisas podem ser feitas um bocado como der mais jeito em termos de organização, dependendo de cada pessoa, e obedecendo ás regras dos grupos(DL: para o dominio local, G: para trusted domains).
O que a microsoft costuma aconselhar é AGDLP, AGUDLP e mais dois ou 3 que nao me recordo agora. A= Accounts, G= Global Group, DL= Domain Local Group, P= Permissions, U= Universal
Quando tiver um bocado de tempo paço o manual da microsoft no scanner nesta parte e mostro-te.

Q: Então e são criadas várias DL consoante o tipo de acesso que se quer ao recurso, assim como a G? Se houverem várias pessoas no sales, umas com Read e outras com Read & Write, como é que organizo? Assim?
A: Esta é uma das variadas hipoteses que tens de organizar uma AD, isto vai de cada pessoa para pessoa, esta forma dá muito trabalho ao inicio, pois dependendo do numero de shares e afins poderás ter 200 grupos ou mais, mas nao final em termos de gestao torna-se mais simples. Isto é uma coisa que depois com o tempo, e prática uma pessoa usa aquilo que lhe parece mais simples de gerir e entender.

Q: DL dentro de G ou G dentro de DL?
A: É uma G dentro duma DL.

Recapitulando e corringindo alguma coisa que disse mal lá atrás.

Segues as regras do AGDLP ou AGUDLP e tudo correrá bem, portanto.

os users do dominio que nao tem a share sao metidos numa Global, metes a global numa DL(criado no dominio que tem a share) e depois adicionas este grupo(DL) ás permissoes e metes as permissoes neste grupo.
Assim é que está correcto, peço desculpa por qualquer coisinha lá atrás mas fiz confusão.

Cumps

 

[pUbLIS]

Não precisas de digitalizar nada.. eu tenho o manual à minha frente. Já o li e acabei por não perceber muito bem isto dos grupos. Por isso comecei a googlar e a perguntar por aqui.

os users do dominio que nao tem a share sao metidos numa Global, metes a global numa DL(criado no dominio que tem a share) e depois adicionas este grupo(DL) ás permissoes e metes as permissoes neste grupo.

Ok.. acho que isto já começa a fazer algum sentido hehe..
Já agora.. e se os users estiverem no mesmo dominio que os recursos? Acaba por existir a necessidade de criar a G à mesma, e colocá-la dentro da DL, certo? Nem que mais não seja para simplificar a gestão da AD.

Quando dizem que o nesting serve para (entre outras coisas) permitir a expansão da AD, o que é que isto significa na prática?

Acho que ainda não te agradeci pela ajuda que tens prestado... 5 estrelas.
Obrigadão

ps. espero que não te importes.. roubei-te a userbar

 

[miraportuga]

Não precisas de digitalizar nada.. eu tenho o manual à minha frente. Já o li e acabei por não perceber muito bem isto dos grupos. Por isso comecei a googlar e a perguntar por aqui.



Ok.. acho que isto já começa a fazer algum sentido hehe..
Já agora.. e se os users estiverem no mesmo dominio que os recursos? Acaba por existir a necessidade de criar a G à mesma, e colocá-la dentro da DL, certo? Nem que mais não seja para simplificar a gestão da AD.

Quando dizem que o nesting serve para (entre outras coisas) permitir a expansão da AD, o que é que isto significa na prática?

Acho que ainda não te agradeci pela ajuda que tens prestado... 5 estrelas.
Obrigadão

ps. espero que não te importes.. roubei-te a userbar

Q: Já agora.. e se os users estiverem no mesmo dominio que os recursos? Acaba por existir a necessidade de criar a G à mesma, e colocá-la dentro da DL, certo? Nem que mais não seja para simplificar a gestão da AD.
A: É assim, isso vai depender de ti, de como queres fazer as coisas. No entanto se estás num dominio e apenas num dominio não há necessidade de fazer Global Groups. Fazes só domain e adicionas os users lá. E seguindo a maneira que te disse, do criar 2 grupos para cada share, se por acaso depois houver outro dominio/subdominio na floresta, basta criar um Global Group, meter os users desse outro dominio lá(seguindo o exemplo de um dominio querer aceder á share do outro) e meter o Global no SalesR ou SalesRW conforme queiras dar as permissoes.

Q: Quando dizem que o nesting serve para (entre outras coisas) permitir a expansão da AD, o que é que isto significa na prática?
A: Não sei se será o correcto mas seria possivelmenta o que eu responderia, nesting não seria mais que os "AGDLP", "AGUDLP", etc. Ou seja criar e juntar grupos de maneira a que os users tenham as permissoes minimas para ter acesso a X recurso(isto num ambiente multi-dominio)

Acho que ainda não te agradeci pela ajuda que tens prestado... 5 estrelas.
Obrigadão

Estamos cá é para ir ajudando

Cumps

 

[Kain]

basicamente o nesting e isso. Vai permitir a expansao da AD porque ao teres DL com permissoes sobre objectos basta criares um G para um novo dominio e adicionar a esse DL.

E algo relativamente simples que quase sempre parece demasiado complicado no papel.

 

[LOB]

Talvez fugindo um pouco ao assunto...

Mas queria saber se dá para um user num certo dominio pertencer a uns security groups e noutro dominio pertencer a outros.

Se sim, alguém me pode dar umas luzes de como o fazer?

Obrigado e cumprimentos
MR