15.3 Política de Usuário Local Dinâmico (Pacote de Usuários)

Um DLU (dynamic local user - usuário local dinâmico) é um objeto Usuário criado de forma temporária ou permanente no banco de dados SAM (Security Access Manager) da estação de trabalho.

Um usuário (ou uma conta) temporário é conhecido como usuário volátil, e sua duração é determinada pelo administrador. Esse tipo de conta impede que o tamanho do SAM fique muito grande.

Se o seu ambiente incluir vários usuários que efetuam login em uma estação de trabalho compartilhada ou no Terminal Server, será possível configurar e habilitar a política de DLU. Depois que você configurar e habilitar essa política, o Desktop Management criará dinamicamente contas de usuário na estação de trabalho local ou no Terminal Server enquanto esses usuários estiverem efetuando login no sistema.

Para estações de trabalho NT/2000/XP e Windows 2000/2003 Terminal Servers, a política de DLU possibilitará a configuração de usuários criados nesses sistemas depois que eles se autenticarem no diretório. Após a associação de um usuário com um objeto Configuração, o NWGINA (NetWare® Graphical Identification and Authentication) poderá recuperar informações desse objeto Configuração de forma a criar uma conta do usuário na estação de trabalho.

Se um usuário não estiver definido como DLU e não tiver uma conta na estação de trabalho, não será possível criar a sua conta. Portanto, esse usuário somente poderá efetuar login na estação de trabalho se houver uma conta anterior ou se o administrador criar manualmente uma conta do usuário nessa estação de trabalho. Se o usuário não estiver definido como DLU, suas credenciais na guia Windows NT/2000/XP da caixa de diálogo de login serão utilizadas para autenticação na estação de trabalho.

Se esse usuário estiver definido como DLU, suas credenciais no diretório ou no Pacote de Usuários, dependendo da configuração feita pelo administrador, serão utilizadas.

Se você configurar um DLU em um Pacote de Políticas de Usuários para administrar o acesso de usuários a estações de trabalho NT/2000/XP ou Windows 2000/2003 Terminal Servers e utilizar um conjunto de credenciais diferente do conjunto de credenciais do NetWare®, as contas de usuário criadas em uma estação de trabalho terão uma senha aleatória e desconhecida e serão criadas como contas de usuário voláteis. Se o cache de usuário volátil também estiver habilitado, as contas de usuário permanecerão na estação de trabalho durante a vida útil desse cache. Entretanto, essas contas não poderão ser acessadas, pois têm uma senha desconhecida.

Se o cache de usuário volátil for utilizado para usuários com conjuntos de credenciais não relacionados ao NetWare, essas contas de usuário somente poderão ser acessadas se os usuários efetuarem login no diretório simultaneamente e tiverem a opção Gerenciar Conta de Usuário Existente definida.

É possível permitir ou restringir o acesso de login para DLUs a determinadas estações de trabalho utilizando a página Restrições de Login. As estações de trabalho e os containers relacionados na lista Estações de Trabalho Excluídas não podem utilizar o acesso para DLUs. Por outro lado, as estações de trabalho relacionadas ou que fizerem parte de containers relacionados na lista Estações de Trabalho Incluídas podem utilizar esse acesso.

Para gerenciar corretamente as prioridades de grupos, não permita que usuários associados a DLUs sejam membros de vários grupos.

Para configurar a política de DLU:

  1. No ConsoleOne, clique o botão direito do mouse no Pacote de Usuários, clique em Propriedades e selecione a página de plataforma apropriada.

    Para obter mais informações sobre o suporte do Desktop Management à plataforma Windows NT, consulte Interoperabilidade com as estações de trabalho Windows NT 4 no Guia de Instalação do Novell ZENworks 7 Desktop Management.

  2. Marque a caixa de seleção na coluna Habilitado referente à política de DLU.

    Essa ação seleciona e habilita a política.

  3. Clique em Propriedades.

    A página Usuário Local Dinâmico.

  4. Preencha os campos:

    Habilitar Usuário Local Dinâmico: habilita a criação de um objeto Usuário que reside temporária ou permanentemente no banco de dados SAM da estação de trabalho.

    O NWGINA exige que você especifique se um usuário local deve ou não ser criado.

    Se essa caixa de seleção não estiver marcada, o NWGINA não criará um usuário no SAM local. Em vez disso, o NWGINA tentará encontrar um usuário existente com as credenciais indicadas na interface de login NWGINA.

    Se a caixa de seleção Habilitar Usuário Local Dinâmico estiver marcada, o NWGINA obterá o Nome do Usuário do objeto Configuração e consultará o SAM local para verificar se esse nome já existe. Se existir, o NWGINA autenticará o usuário na estação de trabalho, ou no servidor de terminal, e o acesso será concedido. Em caso negativo, o NWGINA criará o usuário no SAM da estação de trabalho local ou do Terminal Server.

    Se forem definidas políticas de restrição de senhas no servidor de terminal ou na estação de trabalho local, o Usuário Local Dinâmico não será usado. A senha que é utilizada pelo DLU para a conta local deve atender às restrições de senhas da estação de trabalho local.

    Gerenciar Conta de Usuário Existente (se houver): permite o gerenciamento por meio da conta do usuário existente. Se o objeto Usuário que você deseja gerenciar já existir, habilite essa opção. As designações de grupos de estações de trabalho especificadas pelo Gerenciamento de Estações de Trabalho serão implementadas, incluindo a mudança da conta de não volátil para volátil, quando o usuário efetuar login nessa conta. A conta será removida da estação de trabalho depois que o usuário efetuar logout.

    Se essa caixa de seleção e a caixa de seleção Usuário Volátil estiverem marcadas, e o usuário possuir uma conta local permanente que utilize as mesmas credenciais especificadas no eDirectory™, essa conta permanente será mudada para uma conta volátil (temporária). A conta será gerenciada, mas será removida quando a validade do cache de usuário volátil for atingida ou quando o usuário efetuar logout.

    As configurações atuais da conta na estação de trabalho ou no servidor de terminal serão sobregravadas pelas configurações aqui mudadas. Se essa opção não for habilitada, o Gerenciamento de Estações de Trabalho não poderá gerenciar o objeto Usuário existente.

    Usar as credenciais do eDirectory: permite o login com o uso das credenciais do eDirectory do usuário em vez das credenciais do NT/2000/XP. Quando você cria a conta do usuário, o NWGINA pode usar o mesmo conjunto de credenciais usado para a autenticação no eDirectory ou um conjunto de credenciais predeterminado especificado no objeto Configuração. Ao utilizar as credenciais do eDirectory para criar a conta do usuário da estação de trabalho, o NWGINA consulta a conta desse usuário no eDirectory para obter o nome de login, o nome completo e uma descrição. A senha da conta do usuário no NT/2000/XP é a mesma senha da conta do usuário no eDirectory.

    Se as credenciais do eDirectory não forem usadas, a conta será sempre volátil e não acessível. O Nome Completo e a Descrição também podem ser incluídos para fornecer uma descrição completa do usuário.

    Se você não utilizar as credenciais do eDirectory e a conta do usuário ainda não existir (conforme indicado na caixa de seleção Gerenciar Conta de Usuário Existente), ela será criada como uma conta de usuário volátil, ou seja, a conta do usuário será automaticamente apagada após o logout. Esse fato é evidente porque a caixa de seleção Usuário Volátil será automaticamente marcada se a caixa de seleção Usar Credenciais do eDirectory não estiver habilitada.

    Usuário Volátil (Remover Usuário após Logout): especifica o uso de uma conta de usuário volátil para login. A conta de usuário que o NWGINA cria na estação de trabalho local pode ser volátil ou não-volátil.

    Lembre-se de que, se você marcar as caixas de seleção Usuário volátil (Remover usuário após logout) e Gerenciar conta de usuário existente (se houver), a conta de usuário volátil será removida quando o usuário efetuar logout, independentemente de ter ou não existido antes do login desse usuário com o uso do DLU.

    Nome do Usuário: o nome do usuário NT/2000/XP. Esse nome (sem incluir o contexto) deve conter menos de 20 caracteres para que um usuário local dinâmico possa efetuar login.

    Um usuário manualmente criado com o Gerenciador de Usuários não pode apresentar um nome maior.

    Nome Completo: o nome completo do usuário.

    Descrição: digite qualquer informação adicional que possa ajudar a identificar melhor essa conta do usuário.

    Membro de: relaciona os grupos nos quais esse usuário tem participação. Quando o NWGINA cria o usuário de estação de trabalho, ele pode fornecer participação em quaisquer grupos de usuários. Os grupos aos quais o usuário é adicionado estão relacionados na lista Membros de. A configuração padrão é a adição do usuário ao grupo Usuários. Para adicionar outros grupos, selecione o grupo e clique em Adicionar. Para remover os grupos, selecione o grupo e clique em Remover.

    Não Membro de: relaciona os grupos disponíveis aos quais esse usuário não foi designado como membro.

    Personalizado: abre a página Grupos Personalizados, em que é possível adicionar um novo grupo personalizado, apagar um grupo personalizado existente e exibir ou modificar as propriedades de um grupo personalizado existente. Clique no botão Ajuda da caixa de diálogo Propriedades de Grupos Personalizados para obter mais informações sobre as opções disponíveis.

  5. (Opcional) Se você deseja restringir o acesso para DLUs a determinadas estações de trabalho, clique na seta para baixo da guia Usuário Local Dinâmico > clique em Restrições de Login.

    A página Restrições de Login da política de DLU.

    1. Marque a caixa de seleção Habilitar Restrições de Login de forma a restringir o acesso para DLUs a determinadas estações de trabalho.

      Quando você marca essa caixa de seleção, os botões Adicionar e Apagar são disponibilizados.

    2. Marque a caixa de seleção Restringir Acesso de Estações de Trabalho Não Registradas se quiser restringir o acesso para DLUs a estações de trabalho não registradas.

      Em versões anteriores do ZENworks for Desktops, as estações de trabalho que não estivessem registradas no eDirectory não tinham acesso para DLUs, pois não podiam estar relacionadas na lista Estações de Trabalho Incluídas. Se você habilitar essa opção, não será possível conceder o acesso DLU a todas as estações de trabalho não registradas (como nas versões anteriores do ZENworks for Desktops). Se você não marcar a caixa de seleção Restringir Acesso de Estações de Trabalho Não Registradas, nenhuma das estações de trabalho não registradas poderá receber o acesso para DLUs, mesmo não estando relacionada na lista Estações de Trabalho Incluídas.

    3. Utilize os botões Adicionar e Apagar na caixa de listagem Estações de Trabalho Excluídas conforme apropriado.

      A caixa Estações de Trabalho Excluídas relaciona as estações de trabalho e os containers dos quais você deseja excluir o acesso para DLUs. As estações de trabalho listadas ou as que fazem parte de containers listados nessa caixa não podem usar o acesso DLU. Você pode fazer exceções para as estações de trabalho individuais, inserindo-as na lista de Estações de Trabalho Incluídas. Dessa forma, o acesso para DLUs é concedido somente para essas estações de trabalho, excluindo, ao mesmo, o acesso para DLUs às estações de trabalho restantes no container.

    4. Utilize os botões Adicionar e Apagar na caixa de listagem Estações de Trabalho Incluídas conforme apropriado.

      A caixa Estações de Trabalho Incluídas relaciona as estações de trabalho e os containers aos quais você deseja conceder acesso para DLUs. As estações de trabalho relacionadas ou que fazem parte de containers relacionados nessa caixa podem utilizar o acesso para DLUs. É possível fazer algumas exceções para estações de trabalho individuais, relacionando-as na lista Estações de Trabalho Excluídas. Dessa forma, o acesso para DLUs é excluído para essas estações de trabalho, porém, é concedido às estações de trabalho restantes no container.

  6. (Opcional) Clique na seta para baixo da guia Usuário Local Dinâmico > clique em Direitos de Arquivos se quiser gerenciar o acesso ao sistema de arquivos de DLU em estações de trabalho Windows NT/2000/XP e Terminal Servers.

    A página Direitos de Arquivos da política de DLU.

    É possível controlar o acesso a diretórios completos e a arquivos individuais. Por exemplo, se a política de Usuário Local Dinâmico criar o usuário como um membro de um grupo que não concede acesso a um diretório necessário para executar um aplicativo, será possível usar essa página para conceder os direitos necessários do diretório. Ou, se o usuário tiver direitos de Controle Total sobre um diretório, utilize essa página para limitar os direitos a qualquer um dos arquivos desse diretório.

    1. Utilize o botão Adicionar para modificar os diretórios e os arquivos aos quais o usuário possui direitos de sistemas de arquivos explicitamente designados.

      Você receberá um prompt para digitar ou selecionar o diretório ou o arquivo. O caminho do diretório ou do arquivo deve pertencer ao contexto da estação de trabalho ou do Terminal Server no qual os direitos serão designados. Depois de adicionar um diretório ou um arquivo à lista, selecione um desses itens, utilize a caixa Direitos de Arquivos para designar os direitos de arquivos apropriados (Controle Total, Ler, Gravar, Executar, Conceder Permissões e Tomar Posse).

      A lista Direitos de Arquivos exibe os diretórios e os arquivos aos quais o usuário possui direitos de sistemas de arquivos explicitamente designados. Quando você seleciona um diretório ou um arquivo da lista, os direitos atribuídos são mostrados na caixa Direitos de Arquivos abaixo da lista. Para obter uma explicação sobre cada um desses direitos (Controle Total, Ler, Gravar, Executar, Conceder Permissões e Tomar Posse), consulte a documentação do sistema operacional Microsoft Windows.

    2. Utilize os botões de Seta no lado direito da caixa de listagem Direitos de Arquivos para reposicionar as entradas conforme apropriado.

      Os direitos do diretório são atribuídos na ordem em que os diretórios são listados, de cima para baixo. Se um diretório e respectivo subdiretório forem listados, em virtude da herança dos direitos do diretório, o subdiretório deve ser listado após o diretório pai. Dessa forma, é possível garantir que os direitos explicitamente designados do subdiretório não sejam anulados pelos direitos herdados do diretório pai.

      Os direitos de arquivos sempre têm prioridade sobre os direitos do diretório, independentemente de suas posições na lista, Por exemplo, se você atribuir direitos de Controle Total ao diretório c:\arquivos de programas e direitos Ler e Executar ao arquivo c:\arquivos de programas\sample.txt, o usuário receberá os direitos Ler e Executar sobre esse arquivo, independentemente de ele estar relacionado antes ou depois do diretório.

      É possível bloquear a herança de direitos no sistema de arquivos NTFS. No Windows XP, o diretório Windows não permite, por padrão, que os direitos sejam herdados.

  7. Clique em OK para gravar a política.

  8. Repita da Etapa 1 até a Etapa 7 para cada plataforma na qual você deseja definir uma política de DLU.

  9. Quando terminar de configurar todas as políticas desse pacote, continue com as etapas localizadas na Seção 15.13, Associando o Pacote de Usuários ou o Pacote de Estações de Trabalho para associar o pacote de políticas.