Como gerenciar grupos no AD. Parte 1: Criação e exclusão de grupos.
Nas florestas comuns do AD, os grupos controlam a autorização para dados confidenciais. Os grupos podem distribuir conteúdo ou ajudar a dar acesso a arquivos, serviços ou até mesmo à delegação do AD. Após a instalação, você terá vários grupos incorporados, como o grupo Domain Admins ou Account Operators.
O Active Directory Users and Computers (ADUC) e o Active Directory Administrative Center (ADAC) são programas que fornecem uma interface gráfica para interagir com grupos e ajudar a gerenciá-los. O ADAC difere do ADUC pelo fato de ter o Histórico do PowerShell, que permite ver os cmdlets do PowerShell por trás da GUI.
Para gerenciar grupos, é necessário fazer login em um DC, em um servidor com união de domínio ou em um dispositivo com o Remote Server Administration Tools (RSAT) instalado.
Quanto ao nível de acesso, você precisa ter uma conta de administrador de domínio, a conta Account Operators ou ter direitos para criar grupos em determinadas UOs por meio de delegação.
Escopos de grupo
Há três escopos de grupo:
- Grupos globais
- Grupos universais
- Grupos locais de domínio
Ao decidir qual grupo criar, você precisa saber quais são os tipos de grupo e como eles diferem. Os grupos globais e os grupos universais podem ser aninhados em grupos locais de domínio e os grupos globais podem ser aninhados em grupos universais. Portanto, é muito comum a criação de grupos globais para departamentos, grupos universais para grupos de distribuição e grupos locais de domínio para direitos de acesso.
Tipos de grupos
Há dois tipos de grupos:
- Grupos de distribuição
- Grupos de segurança
Os grupos de distribuição não têm um identificador de segurança (SID) e, portanto, não podem ser usados para permitir o acesso a recursos, exceto aos recursos do Microsoft Exchange Server. Por outro lado, os grupos de segurança têm SIDs. É possível converter um grupo de distribuição em um grupo de segurança e vice-versa.
Como criar um grupo
Há vários métodos para criar um grupo.
Criando um grupo com o ADUC
Abra o ADUC (dsa.msc). Navegue até a UO ou o contêiner onde você deseja criar o grupo. Clique com o botão direito do mouse na UO ou no contêiner em que deseja criar um novo grupo e selecione New-> Group.
Na tela Novo objeto - Grupo, especifique os seguintes valores:
- Especifique o Nome do Grupo.
- Especifique o escopo do grupo ou aceite o escopo global padrão.
- Especifique o tipo de grupo ou aceite o tipo de segurança padrão.
Clique em OK para criar o grupo.
Criando um grupo com o ADAC
Abra o ADAC (dsac.exe). Clique com o botão direito do mouse no nome do domínio e selecione New->Group no menu.
Na tela Criar grupo, especifique os seguintes valores:
- Especifique o nome do grupo
- Especifique o escopo do grupo ou aceite o escopo global padrão
- Especifique o tipo de grupo ou aceite o tipo de segurança padrão.
.
Clique em OK para criar o grupo.
Criando um grupo usando o prompt de comando
Use o seguinte comando cmd.exe para criar um grupo no AD:
dsadd.exe group "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"Criando um grupo usando o Windows PowerShell
Use o seguinte código do PowerShell:
Import-Module ActiveDirectoryNew-ADGroup -GroupCategory Security -GroupScope Global -Name "ITGroup" -Path "OU=OfficeCorp,DC=office,DC=local" -SamAccountName "ITGroupComo excluir um grupo no AD
Aqui estão vários métodos para fazer isso.
Excluindo um usuário usando o ADAC
Abra o ADUC (dsa.msc). Execute estas ações:
Navegue até a UO ou o contêiner onde reside o grupo que você pretende excluir.
No menu Action (Ação), selecione Find.... No campo Name (Nome), digite o nome do grupo que você pretende excluir e clique em Find Now (Localizar agora). Na lista de resultados da pesquisa, selecione o grupo.
Clique com o botão direito do mouse no grupo e selecione Excluir na lista. Clique em Yes (Sim) na janela de confirmação.
Excluindo um grupo com o ADAC
Abra o ADAC (dsac.exe). Execute uma destas séries de ações:
Navegue até a UO ou o contêiner onde reside o grupo que você pretende excluir. No painel do menu principal, em Pesquisa global, digite o nome do grupo que você pretende excluir e pressione Enter.
Na lista de resultados da Pesquisa global, selecione o grupo. Desta vez, clique com o botão direito do mouse no grupo e selecione Excluir na lista. Clique em Yes na janela pop-up de confirmação de exclusão.
Excluindo um grupo usando o prompt de comando
Use o seguinte comando para excluir um grupo no Active Directory:
dsrm.exe "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"Digite "y" para confirmação e pressione Enter.
Excluindo um grupo usando o Windows PowerShell
Use o seguinte código do PowerShell:
Import-Module ActiveDirectoryRemove-ADObject -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local"Digite "y" para confirmação e pressione Enter.
