⬅ Voltar ao Dashboard 4º Bimestre — Windows Server

👥 Usuários, Grupos e OUs

Aula 5 — Organize o domínio com Unidades Organizacionais, crie usuários e grupos de segurança e gerencie tudo pelo ADUC e PowerShell

📁 Unidades Organizacionais (OUs)

Uma Unidade Organizacional (OU) é um contêiner dentro do domínio usado para organizar objetos (usuários, computadores, grupos). É como uma pasta dentro do Active Directory.

✅ Para que servem as OUs

  • Organizar objetos por departamento, filial ou função
  • Delegar administração (ex: RH gerencia própria OU)
  • Aplicar GPOs específicas por setor
  • Facilitar a localização de objetos no AD

💡 Boas práticas

  • Criar OUs por função, não por tipo de objeto
  • Ex: OU TI com usuários e computadores da TI
  • Não aninhar OUs em mais de 5 níveis
  • Nomear de forma clara: OU=TI,DC=escola,DC=local
Estrutura de OUs — escola.local
escola.local
├── OU: Administracao
├ ├── diretor (usuário)
├ └── secretaria (usuário)
├── OU: TI
├ ├── admin.ti (usuário)
├ └── SRV-ESCOLA (computador)
└── OU: Alunos
├── aluno01 (usuário)
└── aluno02 (usuário)

🗂️ Criando OUs no ADUC

O Active Directory Users and Computers (ADUC) é a principal ferramenta gráfica para gerenciar objetos do domínio. Abra com dsa.msc ou pelo Server Manager → Ferramentas.

Criar OU pelo ADUC
1. Abra o ADUC (dsa.msc)
2. Clique com botão direito no domínio escola.local
3. Selecione Novo → Unidade Organizacional
4. Nome: Administracao (sem acento)
5. Marque "Proteger contra exclusão acidental"
6. Clique em OK
7. Repita para as OUs TI e Alunos
Criar OUs pelo PowerShell
# Criar as três OUs de uma vez
New-ADOrganizationalUnit -Name "Administracao" -Path "DC=escola,DC=local" -ProtectedFromAccidentalDeletion $true

New-ADOrganizationalUnit -Name "TI" -Path "DC=escola,DC=local" -ProtectedFromAccidentalDeletion $true

New-ADOrganizationalUnit -Name "Alunos" -Path "DC=escola,DC=local" -ProtectedFromAccidentalDeletion $true

# Listar OUs criadas
Get-ADOrganizationalUnit -Filter * | Select-Object Name, DistinguishedName

👤 Criando Usuários

Cada pessoa que precisa fazer login no domínio deve ter uma conta de usuário no Active Directory. As contas ficam armazenadas nas OUs correspondentes.

Criar usuário pelo ADUC
1. No ADUC, expanda escola.local → clique na OU Administracao
2. Botão direito → Novo → Usuário
3. Preencha:
   Nome: João
   Sobrenome: Silva
   Nome de logon: joao.silva
4. Defina uma senha: Escola@2025
5. Desmarque "O usuário deve alterar a senha" (para lab)
6. Clique em Concluir
Criar usuários pelo PowerShell
# Criar usuário na OU Administracao
New-ADUser `
   -Name "Joao Silva" `
   -GivenName "Joao" `
   -Surname "Silva" `
   -SamAccountName "joao.silva" `
   -UserPrincipalName "joao.silva@escola.local" `
   -Path "OU=Administracao,DC=escola,DC=local" `
   -AccountPassword (ConvertTo-SecureString "Escola@2025" -AsPlainText -Force) `
   -Enabled $true

# Listar usuários do domínio
Get-ADUser -Filter * | Select-Object Name, SamAccountName, Enabled

Padrão de nome de logon: use sempre nome.sobrenome (ex: joao.silva). Facilita a identificação e evita conflitos em empresas maiores. Evite nomes genéricos como user1 ou teste.

👥 Grupos de Segurança

Grupos simplificam a gestão de permissões. Em vez de dar acesso a cada usuário individualmente, você dá acesso ao grupo e adiciona os usuários nele.

🔒 Grupo de Segurança

  • Usado para controlar permissões em recursos
  • Pode receber permissões em pastas, impressoras, etc.
  • Pode ser usado em GPOs
  • Mais comum em ambientes corporativos

📧 Grupo de Distribuição

  • Usado apenas para listas de e-mail
  • Não pode receber permissões de segurança
  • Usado com Exchange / Microsoft 365
  • Não relevante sem servidor de e-mail

Escopos dos grupos de segurança:

Escopo Membros aceitos Uso típico
Domínio Local Usuários de qualquer domínio da floresta Permissões em recursos do domínio local
Global Usuários do mesmo domínio Agrupar usuários por função (ex: GRP-TI)
Universal Usuários de qualquer domínio Ambientes com múltiplos domínios

💡 Regra AGDLP: a Microsoft recomenda: Adicionas contas ao grupo Global, que é membro do grupo Domínio Local, que recebe Permissões. Em lab, simplificamos usando grupos Globais diretamente.

➕ Criando Grupos e Adicionando Membros

Criar grupo pelo ADUC
1. No ADUC, clique com botão direito na OU TI
2. Selecione Novo → Grupo
3. Nome do grupo: GRP-TI
4. Escopo: Global | Tipo: Segurança
5. Clique em OK
6. Clique duas vezes no grupo → aba Membros → Adicionar
7. Digite o nome do usuário → Verificar Nomes → OK
Criar grupos e membros pelo PowerShell
# Criar grupo de segurança global na OU TI
New-ADGroup -Name "GRP-TI" -GroupScope Global -GroupCategory Security -Path "OU=TI,DC=escola,DC=local"

# Adicionar usuário ao grupo
Add-ADGroupMember -Identity "GRP-TI" -Members "admin.ti"

# Ver membros do grupo
Get-ADGroupMember -Identity "GRP-TI"

# Ver grupos de um usuário
Get-ADPrincipalGroupMembership -Identity "admin.ti" | Select-Object Name

🔒 Política de Senha do Domínio

O Active Directory possui uma política de senha padrão que se aplica a todos os usuários do domínio. Ela define complexidade, tamanho mínimo e expiração.

Configuração Padrão do AD Recomendado
Tamanho mínimo 7 caracteres 12+ caracteres
Complexidade Habilitada Habilitada
Validade máxima 42 dias 90 dias ou sem expiração + MFA
Histórico 24 senhas 24 senhas
Bloqueio após falhas Não configurado 5 tentativas
Ver e ajustar política de senha pelo PowerShell
# Ver política atual
Get-ADDefaultDomainPasswordPolicy

# Ajustar: mínimo 10 caracteres, bloqueio após 5 tentativas
Set-ADDefaultDomainPasswordPolicy `
   -Identity "escola.local" `
   -MinPasswordLength 10 `
   -LockoutThreshold 5 `
   -LockoutDuration "00:30:00"

Complexidade obrigat&oria: quando habilitada, a senha deve conter letras maiúsculas, minúsculas, números e caracteres especiais. Ex.: Escola@2025 — sim.   senha123 — não.

🛠️ Gerenciamento de Contas

Operações comuns do dia a dia de um administrador de AD:

Operações comuns via PowerShell
# Desabilitar conta
Disable-ADAccount -Identity "joao.silva"

# Habilitar conta
Enable-ADAccount -Identity "joao.silva"

# Redefinir senha
Set-ADAccountPassword -Identity "joao.silva" -Reset -NewPassword (ConvertTo-SecureString "NovaSenha@2025" -AsPlainText -Force)

# Forçar troca de senha no próximo login
Set-ADUser -Identity "joao.silva" -ChangePasswordAtLogon $true

# Mover usuário para outra OU
Move-ADObject -Identity "CN=Joao Silva,OU=TI,DC=escola,DC=local" -TargetPath "OU=Administracao,DC=escola,DC=local"

# Remover usuário do grupo
Remove-ADGroupMember -Identity "GRP-TI" -Members "joao.silva" -Confirm:$false

📝 Atividade Prática

Estruturar o domínio escola.local com OUs, usuários e grupos de segurança.

1
Criar as OUs
No ADUC, crie as OUs Administracao, TI e Alunos dentro do domínio escola.local. Ative a proteção contra exclusão acidental em todas.
2
Criar usuários
Crie ao menos 5 usuários distribuídos nas OUs: 2 em Administracao, 1 em TI e 2 em Alunos. Use o padrão nome.sobrenome para o logon e a senha Escola@2025.
3
Criar grupos e adicionar membros
Crie os grupos de segurança GRP-Administracao, GRP-TI e GRP-Alunos. Adicione os usuários aos grupos correspondentes. Confirme com Get-ADGroupMember.
4
Testar login e documentar
Se tiver uma segunda VM com Windows (cliente), ingresse no domínio e faça login com um dos usuários criados. Tire screenshot do ADUC mostrando a estrutura de OUs com usuários e grupos criados.
📌 Para refletir: com OUs, usuários e grupos criados, você já tem a base de qualquer infraestrutura Microsoft. A partir daqui, todos os serviços que instalarmos (DHCP, DNS, File Server) usarão esses grupos para controlar o acesso — sem precisar reconfigurar permissões individualmente.

❓ Verifique seu Conhecimento

Qual é a principal diferença entre um Grupo de Segurança e um Grupo de Distribuição no AD?

AGrupos de segurança só podem ter usuários; grupos de distribuição podem ter computadores
BGrupos de segurança controlam permissões a recursos; grupos de distribuição são usados apenas para listas de e-mail
CGrupos de segurança são locais; grupos de distribuição são globais
DNão há diferença prática entre eles
✓ Grupos de segurança recebem permissões em recursos (pastas, impressoras) e são usados em GPOs. Grupos de distribuição servem apenas para listas de e-mail no Exchange/Microsoft 365.

Qual comando PowerShell cria uma nova Unidade Organizacional no Active Directory?

AAdd-ADOrganizationalUnit
BCreate-ADOU
CNew-ADOrganizationalUnit
DSet-ADOrganizationalUnit
✓ New-ADOrganizationalUnit cria uma nova OU. O padrão do PowerShell para criação de objetos é sempre New-AD*.

Por que é recomendado organizar o AD por função (ex: OU=TI com usuários e computadores da TI) em vez de por tipo (OU=Usuários, OU=Computadores)?

APara facilitar a aplicação de GPOs e delegação administrativa por departamento
BPorque o AD não permite misturar usuários e computadores na mesma OU
CPara reduzir o número de objetos no domínio
DPorque a Microsoft exige essa estrutura para certificar o servidor
✓ Organizar por função permite aplicar GPOs específicas por departamento (ex: política de wallpaper para TI) e delegar administração (ex: gerente de RH gerencia apenas a OU de RH).

Qual comando PowerShell lista todos os membros de um grupo no Active Directory?

AShow-ADGroupMember -Identity "GRP-TI"
BList-ADGroup -Name "GRP-TI"
CGet-ADGroup -Members "GRP-TI"
DGet-ADGroupMember -Identity "GRP-TI"
✓ Get-ADGroupMember lista todos os membros de um grupo AD. Para ver os grupos de um usuário específico, use Get-ADPrincipalGroupMembership.
⬅ Anterior: Active Directory Próxima: DHCP Server ➡