Como Administrador Assistente, você pode usar o DRA para gerenciar grupos e modificar propriedades de grupos. Os grupos permitem que você conceda permissões específicas a um conjunto definido de contas do usuário. Os grupos permitem controlar quais dados e recursos uma conta do usuário pode acessar em qualquer domínio.
Você pode gerenciar grupos de qualquer tipo e escopo. Por exemplo, você pode aninhar grupos, permitindo que um grupo possa herdar permissões de outro grupo. Você também pode controlar efetivamente as participações de grupos nos domínios, adicionando grupos de domínios confiáveis a outros grupos no domínio gerenciado e gerenciando designações de grupo temporárias.
Para saber mais sobre como gerenciar grupos, veja os seguintes tópicos:
Esta seção guia você pela administração de grupos no Console de Configuração e Delegação por meio do nó Account and Resource Management (Gerenciamento de Recursos e de Conta). Com os poderes adequados, você pode executar várias tarefas de gerenciamento de grupo, como modificar participações no grupo. Se você selecionar vários grupos, poderá executar tarefas selecionadas em uma operação, como apagar, mover ou adicionar membros a um grupo. O menu Tarefas indica quais tarefas você pode executar quando seleciona um ou vários grupos.
Você pode adicionar contas do usuário, contatos e computadores a um grupo gerenciado.
NOTA:Esta tarefa adiciona várias contas a um grupo selecionado. Você pode adicionar uma única conta a um grupo selecionando a conta apropriada e clicando em Adicionar aos grupos no menu Tarefas.
Se adicionar uma conta a outro grupo aumenta seus poderes para a conta, o DRA não permite que você adicione a conta.
Você pode aninhar grupos adicionando um grupo a outro grupo gerenciado. Quando um grupo é aninhado em outro grupo, o grupo filho pode herdar as permissões do grupo pai
NOTA:Se adicionar um grupo a outro grupo aumenta seus poderes para o grupo de origem, o DRA não permite que você adicione o grupo.
Você pode modificar propriedades para grupos locais e globais. Os seus poderes determinam quais propriedades você pode modificar para um grupo no domínio gerenciado ou na subárvore gerenciada. Se você instalou o Exchange e habilitou o suporte do Microsoft Exchange, poderá modificar as propriedades da lista de distribuição ao gerenciar grupos.
Você pode criar um grupo no domínio gerenciado ou na subárvore gerenciada. Você também pode modificar propriedades, como membros do grupo, para o novo grupo.
NOTA:
Sua empresa pode ter uma convenção de nomenclatura aplicada por meio de uma política que determina o nome que você pode designar ao novo grupo.
Por padrão, o DRA coloca o novo grupo na OU de Usuários do domínio gerenciado.
Você pode adicionar ou remover contas do usuário, contatos, computadores ou outros grupos do grupo gerenciado. O DRA permite remover apenas entidades de segurança estrangeiras. Você também pode ver ou modificar propriedades de membros de grupos existentes, exceto para entidades de segurança estrangeiras.
Quando você remove membros de um grupo, o DRA não apaga os objetos. Quando você adiciona membros a um grupo, deve ter o poder de modificar os objetos que deseja adicionar.
NOTA:Não é possível adicionar contas ou grupos de usuários a nenhum grupo especial do Windows (Administradores, Operadores de Contas, Operadores de Backup ou Operadores de Servidor), a menos que você seja um administrador do Windows ou um membro desse grupo especial específico.
Você pode adicionar ou remover um grupo de outros grupos no domínio gerenciado ou na subárvore gerenciada. Você também pode ver ou modificar propriedades de grupos existentes aos quais esse grupo pertence.
Você pode definir permissões de segurança do Active Directory para participações de grupos. Essas permissões especificam quem pode ver (ler) e modificar (gravar) participações de grupos usando o Microsoft Outlook. Essas configurações permitem que você proteja com mais eficácia listas de distribuição e grupos de segurança em seu ambiente. Você não pode modificar permissões de segurança herdadas.
NOTA:Quando você gerencia a segurança da participação do grupo, as permissões desabilitadas podem indicar permissões herdadas.
Você pode definir a propriedade de qualquer grupo de distribuição ou segurança do Microsoft Windows. Você pode conceder a permissão de propriedade de grupo a uma conta do usuário, um grupo ou um contato. A concessão de propriedade de grupo permite que a conta do usuário, o grupo ou o contato especificado modifique a participação desse grupo.
NOTA:O DRA desabilita a caixa de seleção O gerente pode atualizar a lista de associados quando a participação do grupo estiver oculta no servidor do Microsoft Exchange. Para habilitar esta caixa de seleção, clique em Expor Participação do Grupo na guia Exchange da janela Group Properties (Propriedades do Grupo).
Você pode clonar grupos locais e globais em domínios gerenciados. A clonagem de grupos cria novos grupos do mesmo tipo e atributos que o grupo original. O DRA também tenta adicionar todos os membros do grupo original ao novo grupo.
Ao clonar um grupo, você pode criar rapidamente grupos com base em outros grupos com propriedades semelhantes. Quando você clona um grupo, o DRA preenche o Assistente de Clonagem de Grupo com valores do grupo selecionado. Você também pode modificar propriedades para o novo grupo.
NOTA:
Sua empresa pode ter uma convenção de nomenclatura aplicada por meio de uma política que determina o nome que você pode designar ao novo grupo.
Por padrão, o DRA coloca o novo grupo na OU de Usuários do domínio gerenciado.
Você pode apagar grupos locais e globais no domínio gerenciado ou na subárvore gerenciada. Se a Lixeira estiver desabilitada para esse domínio, apagar um grupo removerá permanentemente o grupo do Active Directory. Se a Lixeira estiver habilitada para esse domínio, apagar um grupo o moverá para a Lixeira e as propriedades do grupo serão desabilitadas.
Para obter mais informações sobre a Lixeira, consulte Gerenciando a Lixeira.
AVISO:Quando você cria um grupo, o Microsoft Windows atribui um Identificador de Segurança (SID) a esse grupo. O SID não é gerado do nome do grupo. O Microsoft Windows usa SIDs para registrar privilégios em listas de controle de acesso (ACLs) para cada recurso. Se você apagar um grupo, não poderá retornar recursos de acesso para esse grupo criando um novo grupo com o mesmo nome.
Você pode mover um grupo para outro contêiner, como uma OU, no domínio gerenciado ou na subárvore gerenciada.
Você pode expor as participações do grupo em listas de distribuição para grupos no domínio gerenciado ou na subárvore gerenciada.
Você pode ocultar as participações do grupo em listas de distribuição para grupos no domínio gerenciado ou na subárvore gerenciada.
Designações de grupo temporárias permitem que você gerencie participações em grupos para usuários que somente precisam participar do grupo por um período de tempo específico. Esta seção guia você pela administração de designações de grupo temporárias no Console de Configuração e Delegação em Account and Resource Management (Gerenciamento de Recursos e de Conta). Com os poderes adequados, execute tarefas como criar designações de grupo temporárias ou remover designações de grupo temporárias expiradas.
Administradores assistentes podem ver apenas designações de grupo temporárias para grupos cujo administrador assistente tem poderes para adicionar ou remover membros.
Você não poderá mudar o grupo associado nem modificar a lista de usuários enquanto a designação de grupo temporária estiver no estado Ativo. Se você quiser modificar esses itens, deverá cancelar a designação de grupo temporária.
Você pode gerenciar propriedades para designações de grupo temporárias ou designações de grupo temporárias expiradas gravadas.
Se você quiser reprogramar uma designação de grupo temporária, mude a programação nas Propriedades da designação e grave suas mudanças.
Você pode criar uma designação de grupo temporária nos servidores de Administração principal e secundário.
Por padrão, quando uma designação de grupo temporária expira, ela é apagada após sete dias, a menos que você tenha selecionado a opção Mantenha esta designação temporária de grupo para uso futuro. Para mudar esse período de retenção, clique com o botão direito do mouse no nó Designação de Grupo Temporária em Todos os Meus Objetos Gerenciados, selecione Propriedades e modifique o número de dias de retenção das designações de grupo temporárias.
É possível adicionar ou remover contas do usuário de designações de grupo temporárias nos servidores de Administração principal e secundário.
NOTA:Você só pode gerenciar contas do usuário para designações de grupo temporárias que ainda não estão ativas.
Você pode apagar qualquer designação de grupo temporária nos servidores de Administração principal e secundário.
Designações de grupo temporárias permitem que você gerencie participações em grupos para usuários que precisam participar do grupo por um período de tempo específico. No Console da Web, crie e gerencie designações tanto do servidor do DRA principal quanto do secundário. No entanto, as ações que você pode executar para designações existentes variam dependendo do estado atual da designação.
Administradores assistentes podem ver designações de grupo temporárias apenas para grupos nos quais eles têm poderes para modificar pelas respectivas designações de Tela Ativa, como adicionar ou remover membros do grupo.
Para gerenciar designações de grupo temporárias no Console da Web, navegue até Tarefas > Designações de Grupo Temporárias.
É possível executar as seguintes ações:
Quando você pesquisa TGAs (designações de grupo temporárias) existentes, elas são listadas nos resultados com base no status da designação, que pode incluir os seguintes estados:
Pendente: A TGA está programada para iniciar no futuro. Você pode cancelar, apagar e reprogramar.
Ativa: A TGA iniciou e adicionou membros aplicáveis ao grupo. Você pode cancelar e apagar.
Ativa com erro: A TGA foi iniciada, mas não conseguiu adicionar todos os membros aplicáveis ao grupo. Você pode cancelar e apagar.
Concluído: A TGA expirou e removeu todos os membros aplicáveis do grupo. Você pode apagar e reprogramar.
Concluído com Erro: A TGA expirou, mas não conseguiu remover todos os membros aplicáveis do grupo. Você pode apagar e reprogramar.
Cancelado: A TGA foi cancelada por um usuário e removeu todos os membros aplicáveis do grupo. Você pode apagar e reprogramar.
Cancelado com Erro: A TGA foi cancelada por um usuário, mas não conseguiu remover todos os membros aplicáveis do grupo. Você pode apagar e reprogramar.
Erro: A TGA não conseguiu adicionar ou remover todos os membros. Você pode apagar e reprogramar.
Você pode filtrar os resultados com base nesses estados e em outros critérios, incluindo o nome da designação, o grupo de destino, o tempo de duração e o administrador que criou a designação.
Você pode criar designações de grupo temporárias usando grupos nos quais você tem poderes para modificar e especificar o controlador de domínio. Quando a designação de grupo temporária expira, o DRA apaga-a automaticamente após sete dias, a menos que você selecione a opção para manter a designação de grupo temporária para uso futuro.
Você pode ver ou modificar qualquer uma das designações de grupo temporárias que foram definidas quando a designação de grupo temporária foi criada. Após realizar uma pesquisa por designações de grupo temporárias, selecione uma designação para ver ou modificar as propriedades dela.
Se você quiser reprogramar uma designação de grupo temporária, mude a programação nas Propriedades da designação e grave suas mudanças. Se a designação estiver no estado Ativo, você poderá mudar apenas a data de término.
IMPORTANTE:Você não poderá mudar o grupo associado nem modificar a lista de usuários enquanto a designação de grupo temporária estiver no estado Ativo. Se você quiser modificar esses itens, deverá primeiro cancelar a designação.
Você pode cancelar uma designação de grupo temporária somente quando ela está em um dos seguintes estados:
Ativo
Ativo com Erro
Pendente
Você pode selecionar várias designações de grupo temporárias e apagá-las. Se as designações de grupo temporárias estiverem no estado Ativo, Ativo com Erro ou Pendente, a opção Cancelar também estará habilitada.