Pré-Requisitos: Conhecimento dos conceitos básicos do Active Directory e de contas de usuários.

Metodologia: Apresentar em detalhes as ações práticas com grupos de usuários no Active Directory.

Técnica: Exemplos práticos, passo-a-passo.

Neste item você aprenderá sobre os chamados Built-in Groups (Grupos Built-in), que são os grupos criados automaticamente pelo Active Directory quando o domínio é criado. Também aprenderá a executar uma série de ações práticas, relacionadas com grupos.

Built-in Groups.

Quando um domínio é criado (com a instalação do Active Directory no primeiro DC do domínio), uma série de grupos são criados. Estes grupos podem ser acessados usando o console Active Directory Users and Computers (Usuários e Computadores do Domínio). Na opção Builtin são exibidos os grupos locais do domínio, criados automaticamente durante a criação do domínio, conforme indicado na Figura

Figura 9.28 Grupos locais do domínio, criados automaticemente.

Outros grupos também são criados automaticamente. Estes grupos ficam na opção Users. Nesta opção são criados grupos Locais, Globais e universais, conforme destacado na Figura 9.29:

Figura 9.29 Grupos locais, globais e universais, criados automaticemente na opção Users.

A seguir descrevo os diversos grupos que são criados automaticamente pelo Active Directory, os chamados Built-in groups.

Grupos locais criados na opção Builtin:

• Account Operators (Operadores de conta): Membros deste grupo podem criar, modificar e excluir contas de usuários, grupos e computadores localizadas nas opções Users e Computers e também localizadas em Unidades organizacionais do domínio. A exceção são as contas de DCs localizadas na opção Domain Controllers, para as quais somente membros do grupo Administradores tem permissão. Membros do grupo Account Operators não poderão modificar a conta Administrator (Administrador) e nem o grupos Domain Admins (Administradores do Domínio). Também não tem permissão para modificar as contas que pertencem ao grupo Domain Admins. Observe que o objetivo é impedir que membros deste grupo possam se incluir no grupo Administradores ou modificar uma conta que já está neste grupo (por exemplo alterando a senha de uma destas contas), para poder fazer o logon com permissão de administrador. Os membros deste grupo podem fazer o logon local nos DCs do domínio e também tem permissão para desligar estes servidores. Membros do grupo Account Operators tem um nível de permissão elevado, principalmente pelo fato de poder alterar contas de usuários, por isso a administrador deve ter cuidado ao adicionar membros a este grupo. Por padrão os membros deste grupo também tem os seguintes direitos de usuário: Allow log on locally; Shut down the system.

Conforme detalharei nos capítulos sobre segurança, os direitos de usuários são uma série especial de permissões (tais como fazer o logon localmente, desligar o servidor, incluir um computador no domínio e assim por diante), as quais são atribuídas a grupos e usuários. O administrador pode atribuir diferentes direitos para grupos e usuários.

• Administrators (Administradores): Podem tudo. Membros deste grupo tem controle e permissão total, em todos os DCs do domínio. Por padrão, o grupo Domain Admins (Administradores do Domínio) e o grupo Enterprise Admins (“maravilhosamente” traduzido como Administradores de empresa), são membros do grupo local Administrators. A conta Administrator (Administrador) também é membro deste grupo, por padrão. Por padrão os membros deste grupo também tem os seguintes direitos de usuário: Access this computer from the network; Adjust memory quotas for a process; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Allow log on locally; Manage auditing and security log; Modify firmware environment values; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shut down the system; Take ownership of files or other objects. Como os membros deste grupo tem controle total em todos os DCs do domínio, seja cuidadoso e somente adicione novos membros a este grupo quando realmente for necessário.
• Backup Operators (Operadores de Cópia): Os membros deste grupo podem fazer o backup de pastas e arquivos, mesmo que não tenham permissão de acesso (permissões NTFS – Capítulo 11) as pastas e arquivos. Isso permite que a administração das cópias de segurança (backup) seja realizada centralizadamente, sem que tenha que ser atribuída permissão de acesso para o administrador do backup, em todos os recursos que fazem parte do backup. Por padrão este grupo não tem nenhum membro. O administrador deverá adicionar membros a este grupo. Por padrão os membros deste grupo também tem os seguintes direitos de usuário: Back up files and directories; Allow log on locally; Restore files and directories; Shut down the system.
• Guests: Por padrão, o grupo Domain Guests (Convidados do Domínio) e a conta Guest (Convidado) são membros deste grupo. Por padrão nenhum direito de usuário é atribuído a este grupo.
• Incoming Forest Trust Builders (não me arrisco a traduzir. Somente é exibido no domínio root de uma árvore de domínios). Membros deste grupo tem permissão para criar relações de confiança one-way (unilateral) com  domínio root de outras florestas. Por exemplo, membros deste grupo, pertencente a um domínio da floresta A, podem criar uma relação de confiança one-way (unilateral) com um domínio pertencente a uma floresta X, de tal maneira que as contas do domínio na floresta A, podem receber permissões de acesso aos recursos do domínio na floresta X, ou seja, o domínio na floresta X, passou a confiar nas contas do domínio da floresta A. Este grupo, por padrão, não tem nenhum membro e também não tem nenhum direito de usuário atribuído ao grupo.
• Network Configuration Operators (Operadores de Configurações de Rede): Membros deste grupo podem fazer alterações nas configurações do TCP/IP nos DCs do domínio e também podem usar o comando ipconfig/renew e o comando ipconfig/release. Por padrão este grupo não tem nenhum membro e nenhum direito de usuário é atribuído a este grupo.
• Performance Monitor Users (Usuários do Console de Desempenho): Membros deste grupo tem permissão para usar o Console de Desempenho para monitorar os contadores de desempenho dos DCs, tanto localmente quanto a partir de uma estação de trabalho da rede. Estas permissões, por padrão, são atribuídas a este grupo e aos grupos Administrators (Administradores) e Performance Log Users (Usuários dos Logs de Desempenho). Por padrão este grupo não tem nenhum membro e nenhum direito de usuário é atribuído a este grupo.
• Performance Log Users (Usuários dos Logs de Desempenho): Membros deste grupo tem permissão para usar o Console de Desempenho para monitorar os contadores e logs de desempenho, bem como alertas de desempenho nos DCs, tanto localmente quanto a partir de uma estação de trabalho da rede. Estas permissões, por padrão, são atribuídas a este grupo e aos grupos Administrators (Administradores) e Performance Log Users (Usuários dos Logs de Desempenho).  Por padrão este grupo não tem nenhum membro e nenhum direito de usuário é atribuído a este grupo.
• Pre-Windows 2000 Compatible Access (Acesso Compatível Anterior ao Windows 2000): Membros deste grupo tem permissão de acesso de leitura (Read) em todos os objetos do tipo usuários e grupos do domínio. Este grupo é disponibilizado por questões de compatibilidade com estações de trabalho rodando o Windows NT 4.0 ou versão anterior. Por padrão, o objeto Everyone (Todos) é membro deste grupo. Somente adicione usuários a este grupo, se eles estiverem utilizando uma estação de trabalho com o NT 4.0 ou versão anterior. Por padrão os membros deste grupo também tem os seguintes direitos de usuário: Access this computer from the network; Bypass traverse checking.
• Print Operators (Operadores de Impressão): Membros deste grupo tem permissão para gerenciar, criar, compartilhar e excluir impressoras conectadas em DCs do domínio. Eles também tem permissão para gerenciar impressoras que foram publicadas no Active Directory (No Capítulo 12 você aprenderá a publicar e a pesquisar impressoras no Active Directory). Os membros deste grupo também tem permissão para fazer o logon localmente e para desligar os DCs do domínio. Por padrão este grupo não tem nenhum membro. Por padrão os membros deste grupo também tem os seguintes direitos de usuário: Allow log on locally; Shut down the system.
• Remote Desktop (Desktop Remoto): Membros deste grupo tem permissão para fazer o logon remotamente nos DCs do domínio. É a mesma funcionalidade de desktop remoto, introduzida inicialmente no Windows XP. Você aprenderá a utilizar esta funcionalidade no Capítulo 21. Por padrão este grupo não tem nenhum membro e nenhum direito de usuário é atribuído a este grupo.
• Replicator (Replicadores): Este grupo dá suporte as funcionalidades de replicação do Active Directory e é utilizado pelo serviço de replicação de arquivos que roda nos DCs do domínio. Não adicione usuários a este grupo. Por padrão este grupo não tem nenhum membro e nenhum direito de usuário é atribuído a este grupo.
• Server Operators (Opers. De Servidores): Os membros deste grupo podem realizar uma série de operações nos DCs do domínio, tais como: logar localmente, criar e deletar compartilhamentos, inicializar e parar serviços, fazer o backup e o restore de arquivos, formatar um disco rígido e desligar o servidor. Por padrão este grupo não tem nenhum membro. Por padrão os membros deste grupo também tem os seguintes direitos de usuário: Back up files and directories; Change the system time; Force shutdown from a remote system; Allow log on locally; Restore files and directories; Shut down the system.

Users (Usuários): Os membros deste grupo tem permissão para executar as tarefas mais comuns do dia-a-dia, tais como: executar programas,usar impressoras locais e da rede e bloquear o servidor. Por padrão os seguintes grupos são membros deste grupo: Domain Users (Usuários do domínio), Authenticated Users (Usuários autenticados) e  Interactive (Interativo – este é um grupo especial interno do Windows Server 2003, o qual não é exibido no console Active Directory Users and Computers). Com isso qualquer conta do domínio fará parte deste grupo. Por padrão nenhum direito de usuário é atribuído a este grupo.

A seguir descrevo os grupos que são criados, automaticamente, na opção Users. Nesta opção são criados grupos locais, globais e universais, dependendo do modo de funcionalidade do domínio.

Grupos criados na opção Users:

• Cert  Publishers (Publicadores de certificados): Grupo local. Membros deste grupo tem permissões para publicar certificados para contas de usuários e computadores. Por padrão este grupo não tem nenhum membro e nenhum direito de usuário é atribuído ao grupo.

No Capítulo 19 você aprenderá um pouco mais sobre Certificados.

• Dns Admins (Administradores do DNS): Grupo local. Este grupo somente é criado quando o DNS é instalado no servidor. Membros deste grupo tem acesso administrativo ao servidor DNS, ou seja, podem executar quaisquer ações nas configurações do servidor DNS. Por padrão este grupo não tem nenhum membro e nenhum direito de usuário é atribuído ao grupo.
• DnsUpdateProxy (não me arrisco a traduzir): Grupo global. Este grupo somente é criado quando o DNS é instalado no servidor. Membros deste grupo são clientes DNS que podem fazer atualizações dinâmicas em nome de outros clientes, como por exemplo um servidor DHCP. Por padrão este grupo não tem nenhum membro e nenhum direito de usuário é atribuído ao grupo.

No Capítulo 16, quando você estudar o DNS e oDHCP em detalhes, será apresentada uma descrição detalhada desta interação entre o DNS e o DHCP.

• Domain Admins (Admins. Do domínio): Grupo global. Membros deste grupo tem controle total nos recursos do domínio. Por padrão, este grupo é membro do grupo local Administrators (Administradores) em todos os DCs, em todas as estações de trabalho e em todos os member servers. Esta inclusão é feita, automaticamente, quando a estação de trabalho ou o member server é configurado para fazer parte do domínio. Por padrão a conta Administrator (Administrador) faz parte deste grupo. Tenha cuidado ao incluir uma nova conta neste grupo, pois você dará “poderes” totais a esta conta. Por padrão os membros deste grupo também tem os seguintes direitos de usuário: Access this computer from the network; Adjust memory quotas for a process; Back up files and directories: Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force a shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Allow log on locally; Manage auditing and security log; Modify firmware environment values; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shut down the system; Take ownership of files or other objects.
• Domain Computers (Computadores do domínio): Grupo Global. Este grupo contém as contas de todas as estações de trabalho e servidores (member servers) que fazem parte do domínio. Por padrão, qualquer conta de computador criada no domínio, fará parte deste grupo. Por padrão nenhum direito de usuário é atribuído ao grupo.
• Domain Controllers (Controladores de Domínio): Grupo Global. Este grupo contém as contas de todos os DCs do domínio. Por padrão nenhum direito de usuário é atribuído ao grupo.
• Domain Guests (Convidados do domínio): Grupo Global. Este grupo contém a conta Guest como seu único membro. Por padrão nenhum direito de usuário é atribuído ao grupo.
• Domain Users (Usuários do Domínio): Grupo Global. Este grupo contém todos os usuários do domínio. Quando uma nova conta de usuário é criada, ela é automaticamente adicionada a este grupo. Este grupo pode ser utilizado para representar todos os usuários do domínio. Por exemplo, se você quer que todos os usuários do domínio tenham acesso de leitura aos arquivos de uma pasta compartilhada, basta dar permissão de leitura para este grupo. Por padrão nenhum direito de usuário é atribuído ao grupo.
• Enterprise Admins (Administradores de empresa – este grupo somente é exibido no domínio root de uma árvore de domínios): Grupo Universal se o modo de funcionalidade do domínio aceita grupos Universais, caso contrário será um grupo Global. Membros deste grupo tem controle total em todos os domínios de uma floresta. Por padrão este grupo é membro do grupo Administrators (Administradores) em todos os DCs da floresta. Por padrão a conta Administrator (Administrador) é membro deste grupo. Existem determinadas operações que somente podem ser realizadas por membros deste grupo, como por exemplo autorizar um servidor DHCP no Active Directory (conforme mostrarei no Capítulo 16). Por padrão os membros deste grupo também tem os seguintes direitos de usuário: Access this computer from the network; Adjust memory quotas for a process; Back up files and directories; Bypass traverse checking; Change the system time; Create a pagefile; Debug programs; Enable computer and user accounts to be trusted for delegation; Force shutdown from a remote system; Increase scheduling priority; Load and unload device drivers; Allow log on locally; Manage auditing and security log; Modify firmware environment values; Profile single process; Profile system performance; Remove computer from docking station; Restore files and directories; Shut down the system; Take ownership of files or other objects.
• Group Policy Creator Owners (Proprietários criadores de diretivas de grupo): Grupo global. Membros deste grupo podem modificar as políticas de segurança (GPOs, veja Capítulo 18) do domínio. Por padrão a conta Administrator (Administrador) é membro deste grupo. . Por padrão nenhum direito de usuário é atribuído ao grupo.
• IIS_WPG (somente está disponível quando o IIS é instalado no servidor. Para detalhes sobre o IIS consulte os Capítulos 22, 23 e 24). Este grupo representa o processo de execução do IIS 6.0. Por padrão não tem nenhum membro e nenhum direito de usuário é atribuído a este grupo.
• RAS and IAS Servers: Servidores que são membros deste grupo tem permissão para acessar as propriedades de acesso remoto dos usuários. Por padrão nenhum direito é atribuído a este grupo.
• Schema Admins (Administradores de esquemas – somente é exibido no domínio root): Membros deste grupo podem modificar o esquema do Active Directory. Conforme vimos no Capítulo 5, o esquema é a definição da estrutura de dados do Active Directory. Por padrão a conta Administrator (Administrador) é membro deste grupo. Muito cuidado ao adicionar contas a este grupo, pois modificação indevidas no esquema podem causar verdadeiros desastres em todos os domínios da sua rede. Por padrão nenhum direito é atribuído a este grupo.

Bem, isso encerra a apresentação dos chamados Built-in grupos, ou seja, grupos criados automaticamente no Active Directory.

Criando novos grupos e adicionando novos membros a um grupo.

Neste item você acompanhará um exemplo prático, onde será criado um grupo chamado GrupoTeste e serão adicionadas algumas contas de usuários como membros deste grupo. O grupo GrupoTeste será um grupo Global.

Exemplo: Como criar um grupo e adicionar membros ao grupo:

1.         Faça o logon com uma conta com permissão para alterar contas de usuários (Administrador ou pertencente ao grupo Account Operators).

2.         Abra o console Active Directory User and Computers (Usuários e Computadores do Domínio): Start -> All Programs -> Active Directory User and Computers (Iniciar -> Todos os Programas -> Usuários e Computadores do Domínio).

3.         Clique na opção Users ou acesse a Unidade Organizacional na qual você deseja criar o novo grupo (você aprenderá sobre Unidades Organizacionais mais adiante, neste capítulo).

4.         Para criar um novo grupo você pode utilizar uma das seguintes opções:

• Clicar com o botão direito do mouse em Users (Usuários) e no menu que é exibido clicar em New -> Group (Novo -> Grup0).
• Selecionar o comando Action -> New > Grupo (Ação -> Novo -> Grupo).
• Clicar no botão New Group (Novo Grupo) (Fig 9-30.TIF)

5.         Será aberta a janela New Object – Grupo (Novo Objeto – Grupo). No campo Grou Name (Nome do Grupo) você digita o nome do grupo. A medida que você digita o nome do grupo, o campo Group Name (Pré-Windows 2000) é preenchido automaticamente. Se for necessário você pode alterar este campo manualmente. Na parte de baixo da janela você define o escopo do grupo (Domain local, Global ou Universal) e o tipo do grupo (Security ou Distribution). Marque o escopo Global e o tipo Security, conforme indicado na Figura 9.31:

Figura 9.31 Criando um grupo de segurança com escopo global.

Se a opção Universal estiver desabilitada, significa que o domínio ainda está no modo de funcionalidade misto, no qual não são permitidos grupos Universais, conforme descrito anteriormente.

6.         Clique em OK e pronto, o novo grupo será criado é já será exibido na listagem de grupos, conforme destacado na figura 9.32.

Figura 9.32 O grupo global GrupoTeste, recém criado.

Agora você irá adicionar usuários ao grupo GrupoTeste e aprender a configurar outras propriedades do grupo.

7.         Dê um clique duplo no grupo GrupoTeste para exibir as propriedades do grupo.

8.         Na guia General (Geral) você pode inserir uma descrição, uma e-mail de contato do responsável pela administração do grupo. Você também pode alterar o tipo e o escopo do grupo e inserir comentários sobre o grupo, conforme exemplo ilustrado na Figura 9.33:

Figura 9.33 Definindo propriedades gerais do grupo.

9.         Dê um clique na guia Members (Membros). Obseve que, por padrão, esta guia está vazia, ou seja, nenhum usuário ou grupo pertence ainda ao grupo GrupoTeste. 

10.       Para adicionar membros ao grupo dê um clique no botão Add... (Adicionar...).

11.       Será exibida a janela Select Users, Contacts, Computers or Groups (Selecione Usuários, Contatos, Computadores ou Grupos). Você pode utilizar o botão Object Types... (Tipos de Objetos), para limitar os tipos de objetos que serão exibidos na listagem de objetos, conforme indicado na Figura 9.34.

Figura 9.34 Selecionando os tipos de objetos a serem listados.

12.       Você utiliza o objeto Locations.. (Localizações) para selecionar o domínio onde estão as contas de usuários e grupos que serão adicionados como membros do grupo GrupoTeste. Por exemplo, você pode adicionar como membros de um grupo local ou universal, usuários e grupos de outros domínios.

13.       Se você souber o nome de logon dos usuários que farão parte do grupo, você poderá digita-los diretamente no campo Enter the object name to select (Digite os nomes de usuários a serem selecionados), separando-os por ponto-e-vírgula, conforme exemplo da figura 9.35.

Figura 9.35 Digitando o nome dos membros do grupo, separando-os por ponto-e-vírgula.

14.       Porém é pouco provável que você saiba de cor o nome de todos os usuários e grupos da sua rede (imagine uma rede com milhares de usuários e dezenas de grupos). Para exibir uma listagem das contas do domínio clique no botão Advanced... (Avançado...). A janela será expandida e será exibido um formulário para pesquisa no Active Directory. Neste formulário você pode definir vários critérios de pesquisa, conforme mostrarei na parte final deste capítulo. Neste momento nos interessa exibir a lista completa de objetos, para selecionar os que queremos adicionar como membros do grupo. Para exibir todos os objetos basta clicar no botão Find Now (Localizar Agora). Como não definimos nenhum critério de pesquisa, todos os objetos serão exibidos, conforme indicado na Figura 9.36:

Figura 9.36 Exibindo todos os objetos do domínio abc.com.

15.       Agora você deve selecionar os usuários e grupos que serão incluídos como membro do grupo GrupoTeste. Para selecionar objetos nesta janela é como selecionar arquivos no Windows Explorer. Para selecionar vários objetos, intercaladamente, pressione a tecla Ctrl, mantenha-a pressionada e vá clicando nos objetos a serem selecionados. Para selecionar vários objetos em seqüência, clique no primeiro objeto a ser selecionado, libero o botão do mouse, pressiona a tecla Shift e mantenha-a pressionada e clique no último objeto da lista. Com isso todos, desde o primeiro até o último serão selecionados. Utilize uma destas técnicas para selecionar os objetos (usuários, grupos, computadores, etc), que farão parte do grupo GrupoTeste. No exemplo da Figura 9.37 selecionei cinco usuários (Usuário 01, Usuário 02 , Usuário 03. Usuário 04, e Usuário 05).

Figura 9.37 Selecionando usuários que farão parte do grupo.

16.       Após ter selecionado os objetos que serão incluídos como membros do grupo, clique em OK.

17.       Você estará de volta à janela Select Users, Contacts, Computers or Groups, com os objetos selecionados já listados. Observe que é listado o nome por extenso do objeto e, entre parênteses o nome de logon mais o domínio, conforme indicado na Figura 9.38. Por exemplo Usuário 01 é o nome por extenso, user01 é o nome de logon e user01@abc.com é o nome completo, incluindo já o domínio.

Figura 9.38 Listagem dos objetos selecionados.

18.       Clique em OK e pronto, você estará de volta a janela de propriedades do grupo, com os objetos selecionados já listados como membros do grupo, conforme indicado na Figura 9.39:

Figura 9.39 Objetos selecionados já inseridos como membros do grupo.

19.       Clique na guia Member of (Membro de). Nesta guia são listados em quais grupos o grupo GrupoTeste foi inserido como membro. Em outras palavras, lista a quais grupos pertence o grupo GrupoTeste.

20        Clique na guia Managed By (Gerenciado por). Neste guia você pode clicar no botão Change para selecionar quem é o usuário responsável pelo grupo. Ao clicar no botão Change, será aberta a janela Select User or Contact, para que você selecione um usuário responsável pelo grupo.

21.       Clique em OK e pronto, o grupo foi configurado e novos usuários foram adicionados como membros do grupo.

A partir de agora mostrarei como executar outras operações com grupos de usuários, tais como renomear, excluir membros do grupo, alterar o escopo do grupo e excluir um grupo.

Para Renomear um grupo siga os passos indicados a seguir:

1.         Faça o logon com uma conta com permissão para alterar contas de usuários e grupos (Administrador ou pertencente ao grupo Account Operators).

2.         Abra o console Active Directory User and Computers (Usuários e Computadores do Domínio): Start -> All Programs -> Active Directory User and Computers (Iniciar -> Todos os Programas -> Usuários e Computadores do Domínio).

3.         Clique na opção Users ou acesse a Unidade Organizacional onde está o grupo a ser renomeado (você aprenderá sobre Unidades Organizacionais mais adiante, neste capítulo).

4.         Clique com o botão direito do mouse no grupo a ser renomeado.

5.         No menu que é exibido clique em Rename (Renomear). O nome atual será selecionado. Digite o novo nome e pressione Enter. Será exibida a janela Rename Group (Renomaer Grupo), para que você possa alterar também o nome Pré Windows 2000, conforme indicado na Figura 9.

Figura 9.40 Alterando o nome Pré – Windows 2000 do grupo.

6.         Altere o nome Pré – Windows 2000 para que fique igual ao nome do grupo e clique em OK. Pronto, o grupo foi renomeado.

Para Excluir um grupo siga os passos indicados a seguir:

1.         Faça o logon com uma conta com permissão para alterar contas de usuários e grupos (Administrador ou pertencente ao grupo Account Operators).

2.         Abra o console Active Directory User and Computers (Usuários e Computadores do Domínio): Start -> All Programs -> Active Directory User and Computers (Iniciar -> Todos os Programas -> Usuários e Computadores do Domínio).

3.         Clique na opção Users ou acesse a Unidade Organizacional onde está o grupo a ser excluído (você aprenderá sobre Unidades Organizacionais mais adiante, neste capítulo).

4.         Clique com o botão direito do mouse no grupo a ser excluído.

5.         No menu de opções que é exibido clique em Delete (Excluir).

6.         O Windows Server 2003 exibe uma mensagem pedindo confirmação, conforme indicado na Figura 9.41:

Figura 9.41 Confirmando a exclusão do grupo.

7.         Clique em Yes (Sim) para confirmar a exclusão.

Para excluir membros de um grupo siga os passos indicados a seguir:

1.         Faça o logon com uma conta com permissão para alterar contas de usuários e grupos (Administrador ou pertencente ao grupo Account Operators).

2.         Abra o console Active Directory User and Computers (Usuários e Computadores do Domínio): Start -> All Programs -> Active Directory User and Computers (Iniciar -> Todos os Programas -> Usuários e Computadores do Domínio).

3.         Clique na opção Users ou acesse a Unidade Organizacional onde está o grupo a ser excluído (você aprenderá sobre Unidades Organizacionais mais adiante, neste capítulo).

4.         Dê um clique duplo no grupo a ser alterado para exibir a janela de propriedades do grupo.

5.         Clique na guia Members (Membros). A lista de membros do grupo será exibida.

6.         Clique no membro a ser excluído no grupo para seleciona-lo, depois clique no botão Remove (Remover).

7.         O Windows Server 2003 exibe uma mensagem pedindo que você confirme a exclusão. Clique em Yes (Sim) e o objeto selecionado será removido do grupo. Repita a operação para os demais objetos que você deseja remover do grupo. Você pode remover vários objetos de uma só vez. Para isso basta selecionar os vários objetos a serem removidos, usando as teclas Shift ou Ctrl, conforme descrito anteriormente.

Ao remover uma conta de usuário de um grupo, a conta apenas deixa de ser membro do grupo, a conta não será excluída do Active Directory.

Para alterar o tipo ou o escopo de um grupo, siga os passos indicados a seguir:

1.         Faça o logon com uma conta com permissão para alterar contas de usuários e grupos (Administrador ou pertencente ao grupo Account Operators).

2.         Abra o console Active Directory User and Computers (Usuários e Computadores do Domínio): Start -> All Programs -> Active Directory User and Computers (Iniciar -> Todos os Programas -> Usuários e Computadores do Domínio).

3.         Clique na opção Users ou acesse a Unidade Organizacional onde está o grupo a ser excluído (você aprenderá sobre Unidades Organizacionais mais adiante, neste capítulo).

4.         Dê um clique duplo no grupo a ser alterado para exibir a janela de propriedades do grupo.

5.         A guia General (Geral) vem selecionada por padrão. Caso esta guia não esteja sendo exibida, dê um clique na guia General (Geral) para exibi-la.

6.         Para alterar o escopo do grupo clique em uma das opções de escopo disponíveis. Para alterar o tipo do grupo clique em uma das opções de grupo disponíveis.

O tipo do grupo não poderá ser alterado se o nível de funcionalidade do domínio estiver configurado como Windows 2000 Mixed Mode.