A gestão dos utilizadores sob Windows NT

A noção de utilizador

O WindowsNT é um sistema de exploração que permite gerir sessões, ou seja, aquando do arranque do sistema é necessário ligar-se (o termo logger que provém do inglês é geralmente utilizado) graças a um nome de utilizador e uma senha.

Por defeito, aquando da instalação do Windows NT, a conta administrador é criada, bem como uma conta chamada visitante ou convidado. É possível (e mesmo aconselhável) alterar as permissões dos utilizadores (os que têm o direito de o fazer) bem como acrescentar por meio do gestor de utilizadores. Uma conta de utilizador é a identificação de um utilizador de maneira única de maneira a permitir-lhe

• abrir uma sessão no domínio para ter acesso aos recursos da rede
• abrir uma sessão num computador local a fim de aceder aos recursos locais

Cada utilizador que utiliza a rede deve assim sistematicamente ter uma conta.

Gerir os utilizadores

O gestor de utilizador é o utilitário fornecido em padrão com Windows NT, permitindo gerir os utilizadores (como o seu nome o indica). Está disponível no menu Iniciar (Programas/instrumentos de administração).

Para criar uma nova conta, basta clicar em Novo utilizador no menu utilizadores. Isto faz aparecer uma caixa de diálogo que permite introduzir informações sobre o novo utilizador :

• Utilizador : representa o nome (login) do utilizador
• Nome detalhado : informação opcional sobre o utilizador
• Descrição : campo opcional
• Os campos palavra-passe são opcionais, mas é aconselhável preenchê-los, bem como assinalar eventualmente o compartimento o utilizador deve alterar a senha por razões de segurança

Convenção para os nomes dos utilizadores

A convenção para dos utilizadores é a forma como o administrador decide identificar os utilizadores. É necessário ter em conta os elementos seguintes :

• Os nomes de utilizador devem ser únicos (num domínio, num computador local)
• Os nomes de utilizador podem conter qualquer carácter maiúsculo ou minúsculo com excepção dos caracteres seguintes: / []: . | =, + *? < >
• É necessário prever o caso de utilizadores homónimos e por conseguinte uma nomenclatura adequada.

Contas de utilizadores e segurança

Existem dois tipos de contas em NT. As contas predefinidas e as contas que se criam. Após a instalação, Windows NT define-se com utilizadores predefinidos (contas por defeito) (a conta administrador e convidado) com uma segurança do sistema mínima.

As diferentes contas são:

• Contas que cria: as contas de utilizador permitem abrir uma sessão na rede e aceder aos recursos da mesma. Estas contas contêm informações sobre o utilizador, nomeadamente o seu nome e a sua senha
• Convidado: permite aos utilizadores ocasionais abrir uma sessão e aceder ao computador local. Por defeito, está desactivada.
• Administrador : serve para gerir a configuração global dos computadores e dos domínios. Pode efectuar todas as tarefas

Assim, é essencial

• desactivar a conta convidada que permite a qualquer utilizador conectar-se ao sistema
• subsequentemente, alterar o nome da conta administrador para reduzir o risco de uma intrusão por esta conta de utilizador. Com efeito, a conta de administrador possui todas as permissões, é por conseguinte a presa visada pelos intrusos

Localização das contas de utilizadores

As contas de utilizador de domínio são criadas a partir do Gestor dos utilizadores para os domínios. Quando uma conta é criada, é registada automaticamente no SAM do Controlador Principal de Domínio (PDC), que o sincroniza seguidamente com o resto do domínio. Assim que uma conta for criada no SAM do PDC, o utilizador pode abrir uma sessão no domínio a partir qualquer posto de trabalho do domínio.

Vários minutos podem às vezes ser necessários para a sincronização do domínio.
Existem dois métodos: escrever

net accounts /sync

ou, no Gestor de servidor, no menu Computador, escolher Sincronizar todo o domínio.

As contas de utilizador local criam-se num servidor membro ou num computador sob Windows NT Workstation, com a ajuda do Gestor dos utilizadores. A conta é criada apenas no SAM do computador local. O utilizador pode por conseguinte abrir sessões apenas no computador em questão.

A Planificação de novas contas de utilizador

É possível simplificar o processo de criação de contas planificando e organizando as informações sobre os que têm necessidade de uma conta de utilizador.

O dossier de base é o dossier privado no qual um utilizador pode armazenar os seus ficheiros. É utilizado como dossier por defeito aquando da execução de comandos como “Registar”. Pode ser armazenado no computador local do utilizador ou num servidor de rede. É necessário ter em conta o ponto seguintes para o criar:

• É muito mais fácil assegurar a salvaguarda e a restauração dos dados dos diferentes utilizadores em caso de incidentes se os dossiers básicos forem armazenados num servidor. Se não for o caso, será necessário efectuar salvaguardas regulares nos diferentes computadores da rede onde são armazenados os dossiers de base
• Considerar o espaço nos controladores de domínio: o Windows NT não dispõe de utilitários que permitam a gestão do espaço do disco (o Windows 2000 permite-o). Consequentemente, é necessário ter muito cuidado para que os dossiers de base não sejam preenchidos por ficheiros volumosos, o que poderia saturar muito rapidamente o espaço de armazenamento do servidor. Existem contudo instrumentos terceiros como “QUOTA GERENTE”
• Se um utilizador trabalhar num computador que não dispõe de disco duro, o seu dossier de base deve imperativamente estar num servidor rede
• Se os dossiers básicos se encontrarem nos computadores locais, os desempenhos da rede aumentam porque há consequentemente menos tráfego na rede, e o servidor não é constantemente solicitado

Definição das opções de estação de trabalho e de conta

É possível definir os parâmetros dos postos a partir dos quais um utilizador se pode ligar à rede. Ou autoriza abrir uma sessão a partir de todas as estações de trabalho, ou especifica uma ou várias estações de trabalho precisas. Utilizar um posto único para um utilizador é uma opção a utilizar numa rede de elevada segurança. Com efeito, um utilizador que se liga a uma estação de trabalho que não é a sua, ligar-se-á localmente e terá por conseguinte acesso a todos os recursos locais da máquina. Além disso, especificar uma ou várias estações de trabalho a partir das quais um utilizador pode conectar-se permite ao Administrador da rede supervisionar o utilizador.

Por outro lado, é igualmente possível fixar uma data de expiração da conta de um utilizador. Esta opção pode ser útil no caso de um empregado temporário. A data de expiração desta conta corresponderá à data de expiração do seu contrato.

Permissões de chamada

Se o RAS (Remote Access Service), o Acesso Rede à distância, estiver instalado, é possível definir os parâmetros das permissões de chamada. Este serviço permite a um utilizador, tendo as permissões adequadas, aceder aos recursos da rede à distância, utilizando uma linha telefónica (ou X25). Este serviço é útil para os utilizadores que têm necessidade de aceder à rede em casa, por exemplo. Várias opções de chamada podem ser parametrizadas:

• Sem chamada: o utilizador paga as despesas de comunicação. O servidor não chamará o utilizador
• Definido pelo recorrente: esta opção permite a um utilizador ser chamado pelo servidor num número que especifica. Neste caso, é a empresa que assume as despesas de comunicação.
• Predefinido: permite um controlo da chamada pelo administrador. É ele que decide o número com que o servidor deve chamar um utilizador dado. Esta opção pode servir para reduzir os custos mas também para aumentar a segurança, porque o utilizador deverá encontrar-se num número preciso.

NB: Nos dois últimos casos, o utilizador deve primeiro conectar-se ao servidor de modo a que este o chame.

Supressão e mudança de nome de contas de utilizador

Quando uma conta já não é necessária, é possível suprimi-la ou rebaptizá-la para que possa ser utilizada por um outro utilizador. É necessário saber que o facto de suprimir uma conta suprime também o SID (Security Identification). Ainda que NT permita 15000 SID diferentes, é inútil suprimir uma conta se esta puder ser rebaptizada para um outro empregado, por exemplo.

Gestão do ambiente de trabalho de um utilizador

Quando um utilizador abre uma sessão pela primeira vez a partir de um cliente que executa o Windows NT, um perfil de utilizador por defeito é criado. Este perfil define elementos como o seu ambiente de trabalho e as suas conexões rede e impressora. Este perfil pode ser personalizado a fim de restringir certos elementos do escritório ou instrumentos presentes no posto.

Estes perfis contêm parâmetros definíveis pelo utilizador para o ambiente de trabalho de um computador que executa Windows NT. Estes parâmetros são salvaguardados automaticamente no dossier Profiles(C:WinntProfiles).

Para os utilizadores que abrem uma sessão a partir dos clientes que não executam Windows NT, um certificado de abertura de sessão pode ser utilizado para configurar as conexões rede e impressora dos utilizadores ou para definir o ambiente de trabalho ou os parâmetros materiais. Trata-se, com efeito de um ficheiro de comando (.bat ou .cm d) ou do ficheiro realizável que se executa automaticamente quando o utilizador se liga à rede.

É igualmente possível utilizar perfis de utilizador errantes, ou seja, um perfil que oferece ao utilizador o mesmo ambiente de trabalho qualquer que seja a estação de trabalho a partir da qual se liga à rede. Estes perfis são registados no servidor. Existem duas opções relativas a estes perfis errantes:

• Perfil errante obrigatório: pode ser aplicado a um ou vários utilizadores e é não passível de alteração por estes utilizadores. Só o administrador decide o pode estar à disposição dos utilizadores (instrumentos, configuração etc.). Ainda que o utilizador efectue mudanças de configuração, estas modificações não serão tidas em conta aquando da desconexão
• Perfil errante pessoal: pode ser aplicado apenas a um utilizador e pode ser alterado por este. A cada desconexão do utilizador, as diferentes mudanças de parâmetros serão registadas

NB: estas opções de perfis errantes aplicam-se perfeitamente a um parque dotado de sistemas Windows NT. Para os parques que utilizam clientes Windows 95, por exemplo, podem aparecer certos problemas. É necessário então utilizar o Editor de Estratégias Sistema (POLEDIT) Criação de perfis de utilizador errantes

Uma vez criada a conta de utilizador e a primeira abertura de sessão com esta conta efectuada, um perfil de utilizador é criado automaticamente no dossier Perfil...
O utilizador ou o administrador podem alterar todos os parâmetros necessários de modo a que todas as modificações sejam tidas em conta e registadas neste dossier.

Como administrador, é necessário seguidamente criar um dossier no servidor como por exemplo serveurnt Perfis nom_utilisateur.
No Painel de Configuração, é necessário clicar 2 vezes no ícone Sistema, seguidamente clicar no separador Perfis Utilizador. Clicar no perfil desejado e clicar o botão copiar para.

Na zona correspondente, escrever o caminho UNC que leva ao dossier. Sob Autorizado a utilizar, clicar em Alterar. Acrescentar o utilizador adequado.
NB: Em dossier onde estão armazenados os diferentes perfis, dê outro nome ao ficheiro ntuser.dat do utilizador que corresponde em ntuser.man para tornar o seu perfil obrigatório

No Gestor dos utilizadores para os domínios, clicar 2 vezes na conta do utilizador interessado e clicar em Perfis. Na zona Caminho do perfil do utilizador, escrever o caminho UNC que leva ao dossier perfil da rede.

 

Definição de um ambiente utilizador

A utilização da caixa de diálogo Perfil de ambiente dos utilizadores pode servir para entrar os caminhos do perfil utilizador, o certificado de abertura de sessão, e o dossier básico.
Várias opções são parametrizáveis, nomeadamente para indicar caminhos de acesso aos diferentes elementos:

• Caminho do perfil do utilizador: indica o caminho para o processo perfil do utilizador. Para os perfis de utilizador pessoais, screva nom_serveur paratge_profil %username%. Para os perfis obrigatórios, substituir os %username% por nom_profil
• Nome do certificado de abertura de sessão: é possível utilizar quer um caminho que leva ao computador local do utilizador, quer um caminho UNC que leva a um processo partilhado num servidor rede
• Directório básico: para especificar um caminho rede, seleccionar conectar e uma carta de unidade. Escrever seguidamente o caminho UNC. Antes de especificar um lugar de rede, deve ser criado um dossier no servidor e deve ser partilhado na rede

NB: utilizar a variável %username% sempre que um processo básico ou um perfil de utilizador pessoal são criados. Com efeito, será substituída automaticamente pela conta de utilizador

A gestão de grupos

O Windows NT permite ainda gerir os utilizadores por grupo, ou seja, permite definir conjuntos de utilizadores que possuem o mesmo tipo de permissão classificando-os de acordo com categorias.

Um grupo é um conjunto de contas de utilizadores. Um utilizador inserido num grupo vê-se atribuir todas as permissões e direitos do grupo. Os grupos simplificam por conseguinte a administração porque é possível atribuir permissões a vários utilizadores simultaneamente. Existem dois tipo de grupo diferentes :

• Os grupos locais : servem para dar aos utilizadores permissões de acesso a um recurso rede. Servem igualmente para dar aos utilizadores direitos para lançar tarefas sistema (alterar a hora num computador, salvaguardar e recuperar ficheiros etc.). Existem grupos locais predefinidos.
• Os grupos globais : servem para organizar as contas de utilizador de domínio. Servem sobretudo em redes de domínios múltiplos, quando os utilizadores de um domínio devem poder aceder aos recursos de um outro domínio.

Aquando do primeiro arranque de Windows NT são criados, por defeito, 6 grupos:

• Administradores
• Operadores de salvaguarda
• Duplicadores
• Utilizadores com poder
• Utilizadores
• Convidados

É possível suprimir estes grupos por defeito, bem como acrescentar grupos de utilizadores personalizados, com permissões específicas de acordo com as operações que são levados a fazer no sistema. Para acrescentar um grupo, basta clicar em Novo grupo local no menu utilizador.

 

Basta seguidamente afectar os diferentes utilizadores a um grupo, seleccionando um utilizador e clicando em Acrescentar. Isto faz aparecer a caixa de diálogo seguinte:

 

Esta permite simplesmente seleccionar os grupos dos quais o utilizador pode fazer parte…

Criação dos grupos predefinidos

Os grupos predefinidos são grupos que têm direitos de utilizador determinados. Os direitos de utilizador determinam as tarefas sistema que um utilizador ou membro de um grupo predefinidos pode executar. Eis os três grupos predefinidos oferecidos por Windows NT

• Os grupos locais predefinidos: dão aos utilizadores direitos que lhes permitem executar tarefas sistema como a salvaguarda e a restauração de dados, a modificação da hora, bem como a administração dos recursos sistema. Encontram-se em todos os computadores que executam o Windows NT
• Os grupos globais predefinidos: fornecem aos administradores um meio simples lhes que permite controlar todos os utilizadores do domínio. Os grupos globais predefinidos encontram-se unicamente nos Controladores de domínio.
• Os grupos sistema organizam automaticamente os utilizadores para a utilização do sistema. Os administradores não lhes afectam utilizadores. Os utilizadores são ou membros por defeito, ou tornam-se membros durante a actividade da rede. Encontram-se em todos os computadores que executam o Windows NT

Nenhum grupo predefinido pode ser rebaptizado, nem suprimido.

Eis os grupos locais predefinidos :

• Utilizadores - podem executar tarefas para as quais dispõem de um direito de acesso e aceder aos recursos para os quais obtiveram uma permissão

O grupo local Utilizadores com poder reside apenas nos servidores membros e nos computadores que executam NT Workstation. Os membros deste grupo podem criar e alterar contas, bem como partilhar recursos.

• Administradores - podem executar todas as tarefas administrativas no computador local. Se o computador for um Controlador de domínio, os membros podem administrar inteiramente o domínio
• Convidados - podem executar todas as tarefas para as quais dispõem de um direito de acesso e aceder aos recursos para os quais obtiveram uma permissão. Os seus membros não podem efectuar nenhuma modificação permanente no seu ambiente local
• Operadores de salvaguarda - podem utilizar o programa de salvaguarda de Windows NT para salvaguardar e restaurar todos os computadores que executam Windows NT ²
• Duplicadores - Utilizados pelo serviço de Duplicador de directórios. Este grupo não é utilizado pela administração

Os grupos seguintes são definidos unicamente nos controladores de domínio :

• Operadores de conta podem criar, suprimir e alterar os utilizadores, os grupos locais e globais. Não podem alterar os grupos Administradores e Operadores de servidor
• Operadores de servidor podem partilhar os recursos do disco, salvaguardar e restaurar os servidores
• Operadores de impressão podem configurar e gerir as impressoras em rede

Quando Windows NT Server é instalado como Controlador de domínio, três grupos globais são criados no SAM. Por defeito, estes grupos não têm direitos inerentes. Adquirem direitos no momento em que são acrescentados aos grupos locais ou quando direitos de utilizador ou permissões lhes são atribuídos.

• Utilizadores do domínio são acrescentados automaticamente ao Grupo Utilizadores local. Por defeito, a conta Administrador é membro deste grupo
• Administrador do domínio é acrescentado automaticamente ao Grupo Administradores local. Estes membros podem executar tarefas administrativas sobre o computador local. Por defeito, a conta administrador é membro deste grupo
• Convidados do domínio é acrescentados automaticamente ao Grupo Convidados local. Por defeito, a conta Convidado é membro deste grupo

Por último, os grupos sistemas predefinidos residem em todos os computadores que executam Windows NT. Os utilizadores tornam-se membros por defeito durante o funcionamento da rede. O estatuto de membro não pode ser alterado.

• Todos - compreende todos os utilizadores locais e distantes que têm acesso ao computador. Contém igualmente todas as contas para além das criados pelo Administrador no domínio.
• Inventor Proprietário - compreende o utilizador que criou ou tomou posse de um recurso. Este grupo pode ser utilizado para gerir os acessos aos ficheiros e os processos unicamente dos volumes NTFS
• Rede - compreende qualquer utilizador conectado a um recurso partilhado do seu computador a partir de outro computador na rede
• Interactivo- inclui automaticamente qualquer utilizador que se liga localmente ao computador. Os membros interactivos têm acesso aos recursos do computador ao qual estão conetados.

A ver igualmente

Comunidade de assistência e de conselho.