Nas florestas comuns do AD, os grupos controlam a autorização para dados confidenciais. Os grupos podem distribuir conteúdo ou ajudar a dar acesso a arquivos, serviços ou até mesmo à delegação do AD. Após a instalação, você terá vários grupos incorporados, como o grupo Domain Admins ou Account Operators.
O Active Directory Users and Computers (ADUC) e o Active Directory Administrative Center (ADAC) são programas que fornecem uma interface gráfica para interagir com grupos e ajudar a gerenciá-los. O ADAC difere do ADUC pelo fato de ter o Histórico do PowerShell, que permite ver os cmdlets do PowerShell por trás da GUI.
Para gerenciar grupos, é necessário fazer login em um DC, em um servidor com união de domínio ou em um dispositivo com o Remote Server Administration Tools (RSAT) instalado.
Quanto ao nível de acesso, você precisa ter uma conta de administrador de domínio, a conta Account Operators ou ter direitos para criar grupos em determinadas UOs por meio de delegação.
Gerenciando membros de um grupo
É possível gerenciar os membros de um grupo de várias maneiras:
Gerenciando a associação ao grupo via ADUC
Adicionando um usuário a um grupo
Abra o ADUC (dsa.msc). Vá para a UO onde reside o usuário necessário. No menu Ação, selecione Find.... No campo Nome, digite o nome do usuário que deseja adicionar a um grupo e pressione Enter.
Clique com o botão direito do mouse no objeto de usuário necessário e selecione "Adicionar a um grupo..." no menu.
Na janela "Select Groups" (Selecionar grupos), digite o nome do grupo necessário; caso contrário, clique no botão "Advanced" (Avançado) para procurar o grupo necessário. Clique em "Check Names" (Verificar nomes). Clique em OK para adicionar o usuário ao grupo.
Removendo um usuário de um grupo
No menu Action (Ação), selecione "Find..." (Localizar...). No "Campo de nome", digite o nome do grupo necessário e pressione Enter. Clique com o botão direito do mouse no grupo e selecione Propriedades. Vá para a guia "Members" (Membros). Na janela "Propriedades do grupo", selecione o usuário que precisa ser removido e clique em Remover.
Clique em Yes na janela de confirmação. Clique em OK e pronto.
Realizar alterações na associação de grupos via ADAC
Adicionar um usuário a um grupo
Para adicionar um usuário a um grupo usando o ADAC no painel de navegação esquerdo, alterne para a visualização em árvore. Vá para a UO ou o contêiner em que o usuário reside. Use a Pesquisa global para localizar o usuário necessário. Digite o nome do objeto do usuário no campo de pesquisa e pressione Enter. Na lista de resultados da Pesquisa global, clique com o botão direito do mouse no objeto do usuário e selecione Adicionar ao grupo...
Na janela Select Groups (Selecionar grupos), digite o nome do grupo ao qual deseja adicionar a conta de usuário. Clique em "Check Names" (Verificar nomes). Clique em OK para concluir a adição do usuário.
Removendo um usuário de um grupo
Para remover um usuário de um grupo, acesse a UO ou o contêiner em que o grupo reside. Em Global Search (Pesquisa global), digite o nome do grupo e pressione Enter. Na lista de resultados da Pesquisa global, selecione o grupo. Clique com o botão direito do mouse e selecione Propriedades na lista. No painel de navegação esquerdo, clique em Members, conforme mostrado na captura de tela a seguir:
Na seção Members (Membros), selecione o usuário necessário e clique em Remove (Remover), e o usuário será removido sem nenhuma janela de confirmação.
Usando o Windows PowerShell
Use o seguinte cmdlet para adicionar um usuário a um grupo:
Add-ADGroupMember -Identity "CN=ITGroup,OU=OfficeCorp,DC=office,DC=local" -Members "GSoul"
Use as seguintes linhas de código do PowerShell para remover um usuário de um grupo no Active Directory:
Digite "y" para confirmar sua ação de remoção.