Tipos de grupo e utilização de âmbitos no Windows 2000

Traduções de Artigos Traduções de Artigos
Artigo: 231273 - Ver produtos para os quais este artigo se aplica.
Este artigo foi publicado anteriormente em PT231273
Expandir tudo | Reduzir tudo

Nesta página

Sumário

O Microsoft Windows 2000 expande o conceito de grupos de utilizadores do Microsoft Windows NT 4.0, adicionando grupos universais e de distribuição. No Windows NT 4.0, existem apenas grupos globais e locais, sendo ambos considerados grupos de segurança.

Mais Informação

No Windows 2000, existem dois tipos de grupos: segurança e distribuição. Para além disso, existem três âmbitos: universal, global e domínio local.

Tipos de grupos

Segurança

Os grupos de segurança são utilizados para controlar o acesso a recursos. Também pode ser utilizados como listas de distribuição de correio electrónico.

Distribuição

Os grupos de distribuição só podem ser utilizados para listas de distribuição de correio electrónico ou para agrupamentos administrativos simples. Estes grupos não podem ser utilizados para controlo de acesso, dado que não são "activados por segurança". Em domínios de modo nativo, um tipo de grupo pode ser convertido em qualquer altura. Em domínios de modo misto, o tipo de um grupo é determinado no momento da criação e não pode ser alterado.

Tipos de âmbito

Universal

Os grupos universais podem ser utilizados em qualquer local na mesma floresta do Windows 2000. Apenas estão disponíveis numa empresa em modo nativo. Os grupos universais podem ser uma abordagem mais simples para alguns administradores, dado que não existem limitações intrínsecas à respectiva utilização. Os utilizadores podem ser directamente atribuídos a grupos universais, podem ser aninhados e podem ser utilizados directamente com listas de controlo de acesso para denotar permissões de acesso em qualquer domínio da empresa.

Os grupos universais são armazenados no catálogo global (GC, global catalog); isso significa que todas as alterações feitas a estes grupos são replicadas em todos os servidores de catálogos globais de toda a empresa. As alterações a grupos universais devem, portanto, ser feitas apenas após uma cuidadosa avaliação dos benefícios de grupos universais comparativamente ao custo de uma maior carga de replicação do catálogo global. Se uma organização tiver apenas uma única rede local bem ligada, não deverá ser detectada qualquer quebra de rendimento, enquanto locais muito dispersos poderão registar um impacto significativo. Normalmente, as organizações com redes alargadas devem utilizar grupos universais apenas para grupos relativamente estáticos em que os membros raramente mudam.

Global

Os grupos globais são o âmbito principal de grupos em que os utilizadores são colocados em domínios em modo misto. Os grupos globais só podem ser colocados nos descritores de segurança de objectos de recurso que residam no mesmo domínio. Isso significa que não é possível restringir o acesso a um objecto baseado unicamente na condição de membro como utilizador de um grupo global de outro domínio.

A condição de membro de um grupo global de um utilizador é avaliada quando esse utilizador inicia sessão num domínio. Dado que a condição de membro de grupos globais está centrada em domínios, as alterações de membros de grupos globais não implicam uma replicação do catálogo global por toda a empresa.

Num domínio em modo nativo, os grupos globais podem estar aninhados uns nos outros. Esta situação pode ser útil quando os administradores têm unidades organizacionais aninhadas e pretendem delegar a funcionalidade administrativa de unidade organizacional (OU, Organizational Unit) uniformemente pelas subdivisões de uma árvore de OU. Nesta situação, a árvore de um grupo global pode ser utilizada como estrutura paralela para atribuir esses privilégios delegados

Domínio local

Os grupos de domínios locais podem ser utilizados para atribuição directa de políticas de acesso a recursos específicos que não são directamente armazenados no Active Directory (como, por exemplo, partilhas de servidor de ficheiros, filas de impressão, etc.).

Os grupos de domínios locais não devem ser utilizados para atribuir permissões a objectos do Active Directory, dado que os grupos de domínios locais não podem ser avaliados noutros domínios e elementos de maior parte dos objectos do Active Directory são replicados para outros domínios sob a forma de GC. As restrições de acesso impostas a objectos do Active Directory baseados na condição de membro de grupos de domínios locais não têm qualquer efeito em consultas do GC que ocorram em grupos fora do domínio de que provém o grupo de domínios locais.

Propriedades

Artigo: 231273 - Última revisão: 8 de março de 2004 - Revisão: 3.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Palavras-chave: 
kbinfo kbenv KB231273

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com