Este post faz parte da série de estudos para o exame 70-410 da certificação Microsoft MCSA do Windows Server 2012 R2.

Hoje continuamos vendo mais detalhes sobre o Active Directory, esse é o segundo post deste tópico.

Se quer acessar o primeiro post clique aqui.

Neste post continuaremos falando de Unidades Organizacionais (OUs)

No próximo post veremos os outros objetos dentro do Active Directory.

Vamos nessa?

Aplicando Políticas de Grupo

Uma das forças do sistema operacional Windows é que oferece muitos recursos e flexibilidade aos usuários. Desde instalar novo software a adicionar drivers de dispositivos, usuários podem fazer muitas mudanças nas configurações de suas estações de trabalho. Entretanto esse nível de flexibilidade também é um problema em potencial. Por exemplo, usuários inexperientes podem sem querer alterar configurações, causando problemas que podem precisar de muitas horas para consertar.

Em muitos casos (especialmente em ambientes empresariais), usuários precisam de apenas um subgrupo da funcionalidade completa que o sistema operacional oferece. No passado, porém, a dificuldade relacionada com a implementação e gerenciamento das configurações de segurança e política levou a políticas de seguranças relaxadas. Algumas das razões para isso são técnicas – pode ser difícil e entediante implementar e gerenciar restrições de segurança. Outros problemas podem ser políticos – usuários e gerentes podem achar que eles deviam ter acesso completo em suas máquinas locais, apesar dos problemas em potencial que isso possa causar.

É aqui que a ideia de politicas de grupo entra em cena. Definida de forma simples, políticas de grupo são coleções de regras que você pode aplicar aos objetos dentro do Active Directory. Especificamente, configurações de Política de Grupo são aplicadas nos níveis de site, domínio e OU, e podem ser aplicadas em contas de usuário e de computador. Por exemplo, um administrador de sistema pode usar as políticas de grupo para definir as seguintes configurações:

• Restringir usuários de instalarem novos programas
• Proibir o acesso ao Painel de Controle
• Limitar as opções de configurações de exibição e Área de Trabalho

Criar OUs

Agora que vimos diversas formas em que OUs podem ser usadas para organizar os objetos do Active Directory, é hora de olhar como podemos criar e gerenciá-las.

Pelo uso da ferramenta administrativa Usuários e Computadores do Active Directory, também chamada de MMC (Microsoft Management Console – Console de Gerenciamento da Microsoft), você pode fácil e rapidamente criar, mover e alterar OUs. Essa ferramenta gráfica torna fácil visualizar e criar os vários níveis de hierarquia que uma organização precisa.

A figura abaixo mostra  uma estrutura de OU baseada em localidades geográficas que uma empresa multinacional pode usar. Note que a organização possui seu escritório central na América do Norte. Em geral, todos os outros escritórios são muito menores do que o escritório central.

É importante notar que essa estrutura de OUs poderia ser desenhada de diversas maneiras diferentes. Por exemplo, todos os escritórios localizados dentro dos Estados Unidos poderiam estar dentro de uma OU chamada EUA ou USA. Porém, devido ao tamanho grande destes escritórios, estes objetos ficaram no mesmo nível das OUs Canadá e México. Isso previne uma profundidade desnecessária da hierarquia de OUs enquanto ainda agrupa logicamente os escritórios.

Um recurso legal na criação de OUs é a capacidade de proteger a OU de ser excluída acidentalmente. Quando você cria uma OU, você pode marcar a opção Proteger container de exclusão acidental. Essa caixa de seleção protege o objeto de ser deletado por um administrador. Para excluir a OU, você deve ativar a visualização de recursos avançados e desmarcar a opção dentro das propriedades da OU.

Criar uma estrutura de OUs

1. Abra o console Usuários e Computadores do Active Directory.
2. Clique com o botão direito no item com o nome do domínio e selecione Novo > Unidade Organizacional. Você verá a caixa de diálogo abaixo. Ela mostra o local onde a OU será criado. Neste caso é uma OU de nível superior, então o caminho completo é o nome do próprio domínio.
3. Digite o nome ‘América do Norte’ e desmarque o item Proteger contra exclusão acidental. Clique em OK para criar o objeto.
4. Usando o mesmo processo crie mais 4 OUs:
   • África
   • Ásia
   • Europa
   • América do Sul
5. Crie as seguintes OUs dentro da OU América do Norte clicando com o botão direito do mouse na OU América do Norte e selecionando Novo > Unidade Organizacional:
   • Austin
   • Boston
   • Canadá
   • Chicago
   • Escritório Central
   • Los Angeles
   • México
   • Nova York
   • San Francisco
6. Crie as seguintes OUs dentro da OU Ásia:
   • China
   • Índia
   • Malásia
   • Vietnã
7. Crie as seguintes OUs dentro da OU Europa:
   • França
   • Alemanha
   • Espanha
   • Inglaterra
8. Crie as seguintes OUs dentro da OU América do Sul:
   • Argentina
   • Brasil
   • Chile
   • Peru
9. Crie as seguintes OUs dentro da OU Índia:
   • Bombay
   • Nova Delhi
10. Crie as seguintes OUs dentro da OU Escritório Central:
    • Engenharia
    • RH
    • Marketing
    • Pesquisa
    • Venda
11. Quando criar todas as OUs você deve ter uma estrutura parecida com a da imagem abaixo.

Gerenciar OUs

Gerenciar ambientes de rede ainda seria desafiador, mesmo se as coisas raramente mudassem. Entretanto, no mundo real, unidades de negócios, departamentos, e funções de funcionários mudam com frequência. Conforme negócios e necessidades técnicas mudam, também muda a estrutura do Active Directory.

Felizmente, mudar a estrutura de OUs dentro de um domínio é relativamente simples. Nas próximas sessões, veremos formas de delegar controle de OUs e realizar outras mudanças.

Mover, Deletar e Renomear OUs

O processo de mover, apagar e renomear OUs é simples. O próximo exercício mostra como você pode facilmente modificar e reorganizar as OUs para refletir as mudanças na organização do negócio. O cenário especifico deste exercício inclui as seguintes mudanças:

• Os departamentos de Engenharia e Pesquisa foram combinados para formar um departamento conhecido como Pesquisa e Desenvolvimento (P&D).
• O departamento de Vendas foi movido do Escritório Central para o Escritório de Nova York.
• O departamento de Marketing foi movido do Escritório Central para o Escritório de Chicago.

Modificar a Estrutura de OUs

1. Abra o console Usuários e Computadores do Active Directory.
2. Clique com o botão direito do mouse na OU Engenharia (Dentro de América do Norte > Escritório Central) e clique em apagar. Quando ver o aviso de confirmação clique em Sim. Note que se houver objetos dentro da OU eles serão apagados também.
3. Clique com o botão direito do mouse na OU Pesquisa e selecione Renomear. Digite P&D e pressione Enter.
4. Clique com o botão direito do mouse na OU Vendas e selecione Mover. Expanda o item América do Norte e selecione a OU Nova York. Clique em OK para mover a OU.
   
5. Para mover a OU Marketing vamos usar outro método, simplesmente clique nela e arraste até a OU Chicago.
6. Quando terminar você deve ter uma estrutura parecida com a da imagem abaixo.

Administrando Propriedades de OUs

Embora OUs são criadas principalmente por motivos organizacionais dentro do ambiente do Active Directory, elas possuem várias configurações que você pode modificar. Para modificar as propriedades de uma OU usando a ferramenta Usuários e Computadores do Active Directory, clique com o botão direito no nome de qualquer OU e selecione Propriedades. Então a janela de propriedades será exibida como mostra a imagem a seguir.

Em qualquer organização, ajuda saber quem é o responsável por gerenciar uma OU. Você pode configurar essa informação na aba Gerenciado por (ver imagem). A informação especificada nessa aba é conveniente pois é retirada da informação de contato em um registro de usuário. Você deve considerar sempre ter um contato para cada OU dentro da organização para que outros administradores saibam quem contatar no caso de precisarem realizar alguma mudança.

Delegar o Controle de OUs

Em ambientes mais simples, um ou alguns poucos administradores podem ser responsáveis por gerenciar todas as configurações dentro do Active Directory. Por exemplo, um único administrador poderia gerenciar todos os usuários dentro de todas as OUs do ambiente. Em organizações maiores, entretanto, funções e responsabilidades podem ser divididas entre muitos indivíduos diferentes. Uma situação típica é quando um administrador é responsável por objetos dentro de apenas algumas OUs em um domínio Active Directory. Alternativamente,  um administrador pode gerenciar objetos Usuário e Grupo enquanto outro é responsável por gerenciar serviços de arquivo e imoressão.
Felizmente, através da ferramenta Usuários e Computadores do Active Directory, você pode facilmente garantir que usuários específicos recebam apenas as permissões que precisam.

Usando o Assistente de Delegação de Controle

1. Abra o console Usuários e Computadores do Active Directory.
2. Clique com o botão direito na OU Escritório Central dentro da OU América do Norte e selecione Delegar Controle.
3. No assistente de Delegação de Controle clique em Próximo na primeira página.
4. Na página Usuários ou Grupos clique no botão Adicionar. Informe o usuário Account Operators e clique no botão checar nomes, depois clique em OK.
5. Na página Tarefas a Delegar selecione os itens:
   • Criar, apagar e gerenciar contas de usuário
   • Resetar senhas de usuário e Forçar troca de senha no próximo logon
   • Ler todas as informações de usuário
   • Criar, apagar e gerenciar Grupos
   • Modificar os membros de um Grupo
6. Clique em Próximo para continuar.
7. Complete o Assistente clicando em Finalizar/Terminar.

Embora as tarefas comuns disponíveis através do assistente sejam suficientes para muita operações de delegação, você pode ter casos em que precise de mais controle. Por exemplo, você pode querer dar a um administrador a permissão para modificar apenas objetos do tipo Computador.

Delegar Tarefas Customizadas

1. Abra o console Usuários e Computadores do Active Directory.
2. Clique com o botão direito na OU Escritório Central dentro da OU América do Norte e selecione Delegar Controle.
3. No assistente de Delegação de Controle clique em Próximo na primeira página.
4. Na página Usuários ou Grupos clique no botão Adicionar. Informe o usuário Server Operators e clique no botão checar nomes, depois clique em OK.
5. Na página Tarefas a Delegar selecione a opção Criar uma tarefa personalizada para Delegar e clique em Próximo para continuar.
6. Na página Tipo de objeto do Active Directory selecione Apenas os seguintes objetos na pasta e marque os seguintes itens:
   • Objetos Usuário
   • Objetos Computador
   • Objetos Contato
   • Objetos Grupo
   • Objetos Unidade Organizacional
   • Objetos Impressora
7. Clique em Próximo para continuar.
8. Na página de Permissões, marque a opção Geral e certifique-se de que as outras opções não estão marcadas. Note que se vários objetos dentro do seu esquema do Active Directory tivessem configurações específicas de propriedades, você veria essas opções aqui. Marque os seguintes itens:
   • Criar todos os objetos filhos
   • Ler todas as propriedades
   • Escrever todas as propriedades

Isso dá aos membros do grupo Operadores de Servidor a habilidade de criar novos objetos dentro da OU Escritório Central e as permissões para ler e escrever todas as propriedades destes objetos.

9. Clique em Próximo para continuar.
10. A última página do assistente mostra um sumário das operações que você selecionou. Para implementar as mudanças clique em Terminar.

Delegação: Quem é responsável pelo que?

Você é o diretor de TI de uma grande organização multinacional. Você está na empresa por um bom tempo, desde que o ambiente tinha apenas alguns escritórios e poucos administradores de rede e de sistemas. Entretanto, os tempos mudaram. Agora os administradores de sistemas devem coordenar os esforços de centenas de pessoas na equipe de TI em 14 países.

Fazem alguns anos que um debate tem ocorrido entre os administradores de TI sobre a questão de quando criar um domínio filho e quando apenas criar uma OU. Por exemplo, vamos dizer que você possui um escritório remoto em Curitiba no Paraná. Você cria um domínio próprio (domínio filho) para o escritório ou você apenas torna o escritório de Curitiba uma OU? Bem depende de quem você quer que gerencie os recursos em Curitiba. Você quer criar domínios ou OUs baseadas na localização?

Felizmente, através do uso apropriado de OUs e delegação, você recebe muita flexibilidade em determinar como lidar com a administração. Você pode estruturar a administração de diversas formas. Primeiro, de você escolher criar OUs baseadas na localização geográfica do negócio, você poderia delegar o controle dessas OUs baseado nas funções de trabalho de diversos administradores de sistemas. Por exemplo, você poderia usar uma conta de usuário para administrar a OU Curitiba. Dentro dessa OU, este administradores de sistemas poderia delegar o controle dos recursos representados pelas OUs Impressoras e Scanners.

De outra forma, a estrutura de OU pode criar uma representação funcional do negócio. Por exemplo, a OU Engenharia poderia conter outras OUs baseadas na localização de escritórios como Nova York e Paris. Um administrador de sistemas do domínio Engenharia poderia delegar permissões para as OUs mais baixas baseado em localização ou funções de trabalho.

Independente se você constrói  um modelo departamental, funcional ou geográfico, tenha em mente que cada modelo exclui os outros modelos. Essa é umas das decisões mais importantes que você precisa tomar. Quando você esta tomando esta decisão ou modificando decisões anteriores, sua preocupação principal é como irá afetar o gerenciamento e administração da rede. A boa notícia é que, pelo fato do Active Directory possuir tantos recursos, o modelo que você escolher pode ser baseado em requisitos específicos de negócio ao invés  de ser imposto por limitações de arquitetura.

Resolvendo Problemas com OUs

Em geral, você irá descobrir que o uso de OUs é um processo bem simples. Com o planejamento adequado, você poderá implementar uma estrutura intuitiva e útil para os objetos OU.

Os problemas mais comuns com a configuração de OU são relacionados com a estrutura da OU. Quando for resolver problemas com OUs, preste atenção especial aos seguintes fatores:

Herança  Por padrão, Política de Grupo e outras configurações são transferidas automaticamente da OUs pai para as OUs filhas e objetos. Mesmo se uma OU específica não receber um conjunto de permissões, objetos dentro dessa OU ainda podem recebê-las dos objetos pai.

Delegação de Administração  Se você permitir as contas de usuário ou grupos errados a realizarem tarefas específicas em OUs, você pode estar violando a política de segurança da sua empresa. Certifique-se de verificar as delegações que você fez em cada nível de OU.

Questões Organizacionais  Algumas vezes, práticas de negócios não mapeiam facilmente a estrutura do Active Directory. Algumas OUs fora de lugar, contas de usuário, contas de computador ou grupos podem tornar a administração difícil ou imprecisa. Em muitos casos, pode ser benéfico rearranjar a estrutura de OU para acomodar quaisquer mudanças na organização do negócio. Em outros, pode fazer mais sentido alterar os processos de negócio.

Se você frequentemente considerar esses fatores quando for resolver problemas com OUs você irá diminuir muito as probabilidades de cometer erros na configuração do Active Directory.

Por hoje paramos por aqui…

Caso ainda não saiba aqui no blog tem um ebook com dicas para quem está se preparando para certificações Microsoft.

E tem um simulado completo para o exame 70-410.

Caso queira um livro completo (PDF) que contempla todos os objetivos do exame 70-410 acesse esse link.

Para ver todos os posts aqui do site clique no link “Blog” no menu principal na parte superior, você também pode usar a pesquisa aqui do lado direito, ou ainda clicar nas Tags ali para ver os posts por assunto.

Qualquer coisa me avise aqui pelos comentários ou lá pelo Facebook ou me mande email.

Sucesso!

Thiago Haise
Microsoft Certified Solutions Associate

Para ver todos os materiais disponíveis para serem adquiridos aqui na WiseOne acesse essa página.

Links ->  Fanpage, Grupo, Linkedn