008 - windows server 2008_outros recursos

Outros recursos

Atualizado: janeiro de 2008

Aplica-se a: Windows Server 2008

Além das alterações da função de servidor, o Windows Server® 2008 oferece uma funcionalidade nova e atualizada para os seguintes recursos:

Criptografia de unidade de disco BitLocker

Sistema de arquivos com criptografia

Cluster de failover

Diretiva de Grupo

Aprimoramentos do Balanceamento de Carga de Rede

Protocolos TCP/IP e componentes de rede de última geração

Controle de Conta de Usuário

Firewall do Windows com Segurança Avançada

Windows PowerShell

Monitor de Desempenho e Confiabilidade do Windows

Documentação sobre solução de problemas do Windows Server

Conexões sem fio e com fio autenticadas 802.1X

Boot Process and BCDEdit

Publicado: julho de 2009

To address the increasing diversity and complexity of modern firmware and hardware, the Windows Server® 2008 operating system uses a completely reengineered boot environment.

The new boot environment supports both BIOS and Unified Extended Firmware Interface (UEFI) firmware models. It uses a new data store for boot configuration data (the BCD store) that replaces Boot.ini and provides new boot applications that replace the previous Windows® loader (Ntldr.exe), including a new Windows boot manager and Windows boot loader.

http://technet.microsoft.com/pt-br/library/cc725719%28WS.10%29.aspx












What does the boot process do?

When a computer is turned on, it must perform a variety of tasks before it is ready to start running applications. To accomplish these tasks, the computer runs startup software that resides in the firmware. This software (a "boot loader") locates and initializes the operating system kernel and prepares access to hardware devices before the operating system is ready to start running applications. The boot loader is typically independent of a specific operating system, but it can locate the code to start the next step, which is the operating system–specific phase of system startup. The boot loader and related boot configuration information is often stored in system files that are separate from the operating system, application programs, and user data.

Who will be interested in this feature?

System administrators

IT administrators

System-level developers

Anyone who might want to change the boot configuration (including options related to enabling kernel-level debugging, remote server console, and multiple boot configurations)

Are there any special considerations?

You must have administrative rights to change the boot configuration for Windows. To change the boot configuration, start the boot configuration application BCDEdit.exe from a command prompt with administrative rights. Be aware that changing the boot configuration can make the system unable to start. To avoid problems with this, make a backup copy of the current boot configuration ahead of time by using the bcdedit /export save-bcd command.

What new functionality does this feature provide?

The Windows Server 2008 boot environment includes the following new features:

Support for both BIOS and UEFI firmware

New boot applications

New data store that replaces Boot.ini

Support for both BIOS and UEFI firmware

UEFI is the next generation of firmware architecture that is designed to replace the BIOS architecture. The new Windows boot environment is designed for both BIOS and UEFI and uses a common data store that can exchange boot configuration information between the firmware, the boot loader, and boot applications.

New boot applications

The functionality that was previously combined in Ntldr.exe is now separated into multiple applications:

Windows Boot Manager (Bootmgr.exe or Bootmgr.efi). This application is independent of the operating system and uses the firmware to load the Windows boot loader either from a particular disk partition or over a network connection (in the case of network boot).

Windows Boot Loader (Winload.exe or Winload.efi). This application is part of the operating system and loads a specific version of Windows. It uses the firmware to load the operating system kernel and to boot critical device drivers from a local hard disk.

Windows Resume (Winresume.exe or Winresume.efi). Windows Resume finds a hibernation image and then uses the firmware to read the hibernation file into RAM and to resume the operating system from the hibernation state.

The Windows boot environment also includes the Windows Memory Tester (Memdiag.exe or Memdiag.efi). You can start this diagnostic tool from the boot manager to verify that RAM is working correctly.

New data store that replaces Boot.ini

The Boot Configuration Data (BCD) store replaces the text-based Boot.ini file. In the BCD store, the Windows boot manager, the Windows boot loader, and other boot applications are represented as program objects (GUIDs) instead of text items. A new tool, BCDEdit.exe, enables you to use basic and extended commands to modify these objects in order to control all aspects of the boot process. Although the data store represents each object with a GUID, some objects have alias names for common use, such as {bootmgr} (which refers to boot manager) and {default} (which refers to the default Windows boot loader). Applications can modify boot configuration data by using a new BCD Windows Management Instrumentation (WMI) provider.

You can use the standard system application Msconfig.exe to provide a graphical interface for viewing and modifying a subset of the boot configuration settings. You must run Msconfig.exe with administrative rights.

Do I need to change any existing code to work with Windows Server 2008?

If you have used any deployment application tools designed for Windows XP or Windows Server 2003 that modify Boot.ini in order to configure boot options such as enabling kernel debugging or remote console, you must update the tools to use BCDEdit.exe or the BCD WMI provider before you can use them to deploy Windows Server 2008 or Windows Vista®.

Additional resources

UEFI Web site (http://go.microsoft.com/fwlink/?LinkId=109526)

Boot Configuration Data Editor Frequently Asked Questions (http://go.microsoft.com/fwlink/?LinkId=109527)

BCDEdit command-line information (http://go.microsoft.com/fwlink/?LinkId=109528)

BCD Reference for WMI (http://go.microsoft.com/fwlink/?LinkId=109529)

BCD Boot Options Reference (http://go.microsoft.com/fwlink/?LinkId=109530)

Boot Parameters to Enable Debugging (http://go.microsoft.com/fwlink/?LinkId=109531)

Diskshadow

Publicado: julho de 2009

Diskshadow.exe is a command-line tool that exposes the functionality provided by the Volume Shadow Copy Service (VSS). Diskshadow is included in Windows Server® 2008 as the first in-box VSS requester for hardware shadow copy scenarios.

By default, Diskshadow uses an interactive command interpreter similar to that of DiskRAID or DiskPart. DiskShadow also includes a script mode for automating tasks.

What does Diskshadow do?

http://go.microsoft.com/fwlink/?LinkId=109526






Diskshadow enables you to create and manage hardware and software shadow copies, including transportable shadow copies.

You can use Diskshadow to:

Create hardware or software shadow copies that are subsequently exposed as read-only volumes.

Create hardware transportable shadow copies that can be imported on a different computer and used for backups or data mining.

Create a fast-recovery scenario where a shadow copy created earlier can be imported to replace a volume that may have become corrupted.

Convert a shadow copy into a read-write volume.

Who will be interested in this feature?

Diskshadow can be used by IT professionals who want to use shadow copies for tasks including backups, quick recovery, or data mining. Software developers can use Diskshadow for testing their VSS writers and providers.

What new functionality does this feature provide?

Diskshadow provides the first in-box VSS requester that can create hardware shadow copies.

Is this feature available in all editions of Windows Server 2008?

Diskshadow is available in all editions of Windows Server 2008.

Additional references

For the command-line syntax for Diskshadow, see http://go.microsoft.com/fwlink/?LinkId=94325.

Cluster de failover



No Windows Server® 2008 Enterprise e noWindows Server® 2008 Datacenter, as melhorias nos clusters de failover (anteriormente conhecidos como clusters de servidor) objetivam simplificar os clusters, tornando-os mais seguros e aumentando sua estabilidade. A configuração e o gerenciamento de clusters


são mais fáceis. A segurança e o sistema de rede em clusters foram aperfeiçoados, assim como a forma com que um cluster de failover se comunica com o armazenamento.

Observação

O recurso de cluster de failover não está disponível no Windows® Web Server 2008 nem no Windows Server® 2008 Standard.

O que um cluster de failover faz?

Um cluster de failover é um grupo de computadores independentes que trabalham juntos para aumentar a disponibilidade de aplicativos e serviços. Os servidores em cluster (chamados de nós) são conectados através de cabos físicos e de software. Se um dos nós do cluster falhar, outro começará a fornecer o serviço (processo conhecido como failover). Os usuários têm um mínimo de interrupções no serviço.

Quem estaria interessado no recurso de cluster de failover?

Os cluster de failover são usados por profissionais de TI que precisam oferecer alta disponibilidade de serviços ou aplicativos.

Há considerações especiais?

A Microsoft oferece suporte à solução de cluster de failover somente se todos os componentes de hardware forem marcados como "Certificado para Windows Server 2008." Além disso, a configuração completa (servidores, rede e armazenamento) deve ser aprovada em todos os testes no assistente para Validar Configuração, incluído no snap-in do Gerenciamento de Cluster de Failover.

Que nova funcionalidade o cluster de failover oferece?

Novo recurso de validação. Com esse recurso, você pode verificar se a configuração de sistema, armazenamento e rede é adequada a um cluster.

Suporte para discos de tabela de partição GUID (GPT) em armazenamento de cluster. Os discos GPT podem ter partições maiores que dois terabytes e redundância interna no modo como as informações de partição são armazenadas, ao contrário dos discos de registro mestre de inicialização (MBR).

Novo assistente de validação

Usando o novo assistente de validação em clusters de failover, você pode fazer testes para determinar se o seu sistema, armazenamento e sua configuração de rede são adequados a um cluster. Esses testes incluem simulações específicas de ações de cluster e se enquadram nas seguintes categorias:

Testes de Configuração do Sistema. Esses testes verificam se os servidores selecionados atendem a requisitos específicos, por exemplo, os requisito de que os servidores devem possuir as mesmas versão do sistema operacional e atualizações.

Testes de rede. Esses testes verificam se as redes de cluster planejadas atendem a requisitos específicos, por exemplo, requisitos de redundância de rede.

Testes de armazenamento. Esses testes verificam se o armazenamento atende a requisitos específicos; por exemplo, se oferece suporte adequado aos comandos SCSI necessários e se manipula ações de cluster corretamente.

Suporte para discos GPT no armazenamento de cluster

Os disco de tabela de partição GUID (GPT) têm suporte no armazenamento de cluster de failover. Os discos GPT fornecem maiores tamanho de disco e robustez. Especificamente, os discos GPT podem ter partições maiores que dois terabytes e redundância interna no modo como as informações de partição são armazenadas, ao contrário dos discos de registro mestre de inicialização (MBR). Com clusters de failover, você pode usar qualquer tipo de disco.

Que funcionalidade atual está mudando?

A lista a seguir resume os aprimoramentos nos clusters de failover:

Instalação de clusters aprimorada. Esses aprimoramentos simplificam o início do uso de um novo cluster.

Interfaces de gerenciamento simplificadas. Com os aprimoramentos das interfaces, você pode concentrar-se no gerenciamento dos seus aplicativos, não do cluster.

Aprimoramentos de estabilidade e segurança, que podem resultar em maior disponibilidade. Os clusters de failover incluem aprimoramentos no modo como se comunicam com o armazenamento, aprimorando o desempenho de uma área de rede (SAN) ou o armazenamento anexado direto (DAS). Eles também oferecem opções de configuração que fazem com que o quorum não precise mais ser um ponto único de falha. Além

disso, os aprimoramentos na infra-estrutura do software subjacente e nos componentes de rede e de segurança aumentam a confiabilidade e a disponibilidade dos clusters de failover.

Aprimoramentos do modo como um cluster funciona com o armazenamento. Com esses aprimoramentos, é possível obter melhor desempenho com seu armazenamento do que se alcançava com os clusters de servidor em versões anteriores.

Aprimoramentos em interfaces para o trabalho com pastas compartilhadas. Com esses aprimoramentos, a configuração de pastas compartilhadas é mais rápida e os erros de configuração, menos prováveis.

Aprimoramentos na rede e na segurança. Esses aprimoramentos simplificam as tarefas de configuração e manutenção das redes usadas pelo cluster.

Aprimoramentos na instalação

O assistente para Criação de Clusters foi simplificado e facilitou ainda mais a instalação de clusters. A instalação de clusters também é totalmente programável, para que você possa automatizar sua implantação.

O software de cluster de failover também inclui um assistente que pode ajudar a capturar determinadas configurações de grupo de clusters que executem o Windows Server 2003 e aplicá-las a um outro com Windows Server 2008. Isso pode ajudar a realizar migrações mais rapidamente.

Aprimoramentos nas interfaces de gerenciamento

Com os clusters de failover Windows Server 2008, você pode realizar as seguintes operações e tarefas de gerenciamento mais facilmente em relação às versões anteriores:

Configuração rápida de serviços e aplicativos em cluster. A interface para a administração de um cluster é mais simples e intuitiva, facilitando o desempenho de tarefas tais como tornar uma pasta compartilhada altamente disponível. Você pode concentrar-se no gerenciamento dos seus aplicativos, não do cluster.

Uso da linha de comando ou da Instrumentação de Gerenciamento do Windows (WMI) para funcionar com clusters. Você pode usar a linha de comando ou a Instrumentação de Gerenciamento do Windows (WMI) para mais tarefas do que nas versões anteriores.

Solucionar problemas de clusters. Além de trabalhar com o log de clusters, você pode usar o Rastreamento de Eventos para Windows para colher, gerenciar e reportar mais rapidamente informações sobre a seqüência de eventos ocorridos no cluster.

Usar o Serviço de Cópias de Sombra de Volume para capturar backups. A integração total com o Serviço de Cópias de Sombra de Volume facilita a realização de backup e a restauração da configuração do seu cluster.

Controlar o modo de exibição de pastas compartilhadas colocadas em cluster . Você pode controlar ou criar um "escopo" para a exibição de pastas compartilhadas para facilitar o entendimento de quais pastas compartilhadas estão em cluster e em que cluster uma pasta compartilhada está disponível.

Os aprimoramentos em estabilidade e segurança ajudam a maximizar a disponibilidade

Com os clusters de failover no Windows Server 2008, os aprimoramentos da infra-estrutura de clusters ajudam a maximizar a disponibilidade de serviços e aplicativos. Você pode:

Configurar seu cluster de modo que o quorum não seja um ponto único de falha. Com os aprimoramentos nos clusters de failover, você pode usar os dois modelos de cluster existentes anteriormente — recurso de quorum e conjunto de nós principais — ou um"híbrido" dos dois. Por exemplo, em um cluster de dois nós, você pode especificar que, se o disco de quorum (agora chamado de "disco testemunha") ficar indisponível, o cluster continuará em execução desde que as cópias do banco de dados de configuração do cluster existentes nos dois nós permaneçam disponíveis.

Alcançar maior confiabilidade e disponibilidade devido ao aprimoramentos da própria infra-estrutura do cluster. A infra-estrutura do cluster foi aprimorada para ajudar a alcançar maior confiabilidade e disponibilidade com clusters de failover. Por exemplo, a infra-estrutura de software que manipula recursos em cluster isolará bibliotecas de vínculo dinâmico (DLLs) que executem ações incorretamente, minimizando o impacto sobre o cluster. Em um outro exemplo, o cluster usará métodos aprimorados para assegurar a consistência entre cópias do banco de dados de configuração de clusters.

Aprimoramentos do modo como um cluster funciona com o armazenamento

Com os clusters de failover no Windows Server 2008, é possível obter melhor desempenho com seu armazenamento do que se alcançava com os clusters de servidor em versões anteriores. Você pode:

Disponibilizar discos adicionais para o cluster enquanto os aplicativos estão online. É possível modificar dependências de recursos enquanto esses recursos estão online, o que significa que você pode disponibilizar um disco adicional sem interromper o acesso ao aplicativo que o utilizará.

Obter melhores desempenho e estabilidade com seu armazenamento. Quando um cluster de failover se comunica com SAN ou DAS, usa os comandos menos interrompidos (evitando as redefinições de barramento SCSI). Os discos nunca são deixados em estado desprotegido, o que reduz o risco de corrupção de volume. Os clusters de failover também oferecem suporte a métodos aprimorados para descoberta e recuperação de disco. Os tipos de conexões de armazenamento com suporte de clusters de failover são Serial Attached SCSI (SAS), iSCSI e Fibre Channel.

Executar tarefas de manutenção mais rapidamente. O "modo de manutenção" foi aprimorado para que você possa executar ferramentas para verificar, corrigir, fazer backup ou restaurar discos mais facilmente e com menos interrupções do cluster.

Aprimoramentos em interfaces para o trabalho com pastas compartilhadas

No Windows Server 2008, as interfaces para exibição ou configuração de pastas compartilhadas em um cluster failover foram estendidas e simplificadas. A configuração é mais rápida e os erros de configuração, menos prováveis. Os aprimoramentos incluem a capacidade de configurar os seguintes itens para pastas compartilhadas:

Enumeração baseada em acesso: Você pode usar a enumeração baseada em acesso para ocultar uma pasta especificada na exibição do usuário. Em vez de permitir que os usuários vejam a pasta mas não acessem nenhum item ali, você pode optar por impedir que eles a vejam. É possível configurar a enumeração baseada em acesso para uma pasta compartilhada em cluster tal como ocorre com pastas compartilhadas que não estejam em cluster.

Acesso offline: É possível configurar o acesso offline (cache) para uma pasta compartilhada em cluster tal como ocorre com pastas compartilhadas que não estejam em cluster.

Discos em cluster sempre reconhecidos como parte do cluster: Quer você use a interface de cluster de failover, Windows Explorer ou o snap-in de Gerenciamento de Compartilhamento e Armazenamento, o Windows Server 2008 identifica se o disco foi criado como parte do armazenamento do cluster. Se esse disco já tiver sido configurado no Gerenciamento de Cluster de Failover como parte de um servidor de arquivos em cluster, você pode usar qualquer uma das interfaces já mencionadas para criar um compartilhamento no disco. Se o disco não tiver sido configurado como parte de um servidor de arquivos em cluster, não é possível criar inadvertidamente um compartilhamento nesse disco. Em vez disso, uma mensagem de erro incida que, para que possa ser compartilhado, o disco deve primeiramente ser configurado como parte de um servidor de arquivos em cluster.

Visão geral da integração dos Serviços de NFS: A função de Servidor de Arquivos no Windows Server 2008 inclui o serviço de função opcional chamado Serviços de NFS. Instalando o serviço de função e configurando pastas compartilhadas com os Serviços de NFS, é possível criar um servidor de arquivos em cluster que ofereça suporte a clientes baseados em UNIX.

Aprimoramentos na rede e na segurança

Com os clusters de failover no Windows Server 2008, o desempenho e a segurança da rede estão aprimorados em comparação às versões anteriores. Você pode:

Usar IPv6, que está totalmente integrado em clusters de failover. Os clusters de failover oferecem suporte integral a IPv6, para comunicações de nó a nó e de nó a cliente.

Usar DNS (Sistema de Nome de Domínio) sem dependências de NetBIOS legadas. Isso simplifica o transporte do tráfego bloco de mensagens do servidor (SMB) e significa que você não tem transmissões de resolução de nome do Serviço de Cadastramento na Internet do Windows (WINS) e NetBIOS.

Alcançar maior confiabilidade com outros aprimoramentos da rede. Em virtude dos aprimoramentos da rede, você pode refinar as dependências entre um nome de rede e endereços IP associados para que o nome de rede esteja disponível se um dos endereços IP associados

(não ambos) estiver disponível. Além disso, quando os nós transmitem e recebem "pulsações" para confirmar se cada um deles permanece disponível, usam o protocolo TCP, não o protocolo de datagrama de usuário (UDP), menos confiável.

Aumentar a segurança através de aprimoramentos da segurança e auditoria do acesso ao cluster. Os aprimoramentos da segurança em clusters de failover aprimoram a autenticação e a criptografia. Além disso, você pode usar auditoria para capturar informações sobre quem acessou seu cluster e quando isso ocorreu.

Colocar servidores em cluster em diferentes sub-redes: Agora é possível colocar servidores em cluster em diferentes sub-redes IP, o que reduz os requisitos para clusters geograficamente dispersos.

Criar segurança adicional para comunicações dentro do cluster: Agora você tem a opção de assinar digitalmente ou criptografar todas as comunicações dentro do cluster. Por padrão, as comunicações dentro do cluster são assinadas digitalmente. As comunicações dentro do cluster normalmente incluem informações sobre alterações na configuração do cluster ou o estado de recursos em cluster.

Preciso alterar algum código já existente para trabalhar com o Windows Server 2008?

Se você tiver um aplicativo executado em um cluster de servidor com Windows Server 2003 e o aplicativo depender da conta de serviço Cluster exigida para os clusters de servidor, talvez seja necessário alterar o aplicativo para que ele não dependa mais da conta. Os clusters de failover com Windows Server 2008 não usam uma conta de serviço Cluster separada.

Como devo me preparar para implantar este recurso?

Analise cuidadosamente o hardware no qual você planeja implantar um cluster de failover para verificar se ele é compatível com o Windows Server 2008. Isso é especialmente necessário se você estiver, no momento, usando esse hardware para um cluster de servidor com Windows Server 2003. O hardware que oferece suporte a um cluster de servidor com Windows Server 2003 não o fará necessariamente para um cluster de failover com Windows Server 2008.

Observação

Não é possível fazer atualizações sem interrupção de um cluster de servidor com Windows Server 2003 para um cluster de failover com Windows Server 2008. Entretanto, após criar um cluster de failover com Windows

Server 2008, você pode usar um assistente para migrar para ele determinadas configurações de recursos de um cluster de servidor com Windows Server 2003.

Esse recurso está disponível em todas as edições do Windows Server 2008?

O recurso de cluster de failover está disponível no Windows Server 2008 Enterprise e no Windows Server 2008 Datacenter. Esse recurso não está disponível no Windows Web Server 2008 nem no Windows Server 2008 Standard.

Diretiva de Grupo



O que a Diretiva de Grupo faz?

A Diretiva de Grupo fornece uma infra-estrutura para o gerenciamento centralizado de configurações do sistema operacional e de aplicativos ali executados.

Quem estaria interessado neste recurso?

A Diretiva de Grupo se destina a beneficiar os seguintes tipos de profissionais de TI:

Profissionais de TI que precisam gerenciar usuários e computadores em um ambiente de domínio

Administradores da Diretiva de Grupo dedicados

Generalistas de TI

Equipe de suporte

Que nova funcionalidade este recurso oferece?

Expandindo a base estabelecida em versões anteriores do sistema operacional, a Diretiva de Grupo do Windows Server® 2008 inclui novos recursos:

Novas categorias de gerenciamento de diretiva

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_newcat

Novos formato e funcionalidade de arquivos de modelo Administrativo (ADMX)

Objetos de Diretiva de Grupo Iniciais (GPOs)

Comentários sobre GPOs e configurações de diretivas

Reconhecimento de Locais de Rede

Preferências

Além disso, o Windows Server 2008 oferece aprimoramentos à Diretiva de Grupo:

Serviço Diretiva de Grupo

Eventos e log

Objetos de Diretiva de Grupo de Vários Locais

Localizando configurações específicas de diretiva de modelos Administrativos

Finalmente, consulte:

Que configurações de diretiva são adicionadas ou alteradas?


A Diretiva de Grupo está incluída em versões baseadas em domínio do Windows Server 2008. Embora a Diretiva de Grupo seja distribuída com o sistema operacional, você deverá instalá-la como um recurso através do Gerenciador de Servidores.

Preciso alterar algum código já existente?

Se você tiver criado modelos Administrativos para o seu ambiente com o uso do formato ADM, pode continuar a usá-los no Windows Server 2008 sem alterá-los para o formato ADMX. Entretanto, você deverá alterar modelos Administrativos personalizados para o formato ADMX se quiser usar os recursos multilíngüe.

Se você tiver desenvolvido componentes para trabalhar com o Editor de Diretiva de Grupo Local ou com o Console de Gerenciamento de Diretiva de Grupo (GPMC), talvez seja necessário modificar os componentes para trabalhar com novos recursos no Windows Server 2008. Para obter mais

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_newformat

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_newformat

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_startergpos

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_comments

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_nla

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_prefs

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_gpservice

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_events

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_multiple

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_finding

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_finding

http://technet.microsoft.com/pt-br/library/cc725828%28WS.10%29.aspx#BKMK_policysettings

informações, consulte o Software Development Kit da Diretiva de Grupo (http://go.microsoft.com/fwlink/?LinkId=144). (Essa página pode estar em inglês).

Como se preparar para implantar este recurso?

Para obter informações sobre a implantação da Diretiva de Grupo, consulte o Group Policy TechCenter (http://go.microsoft.com/fwlink/?linkid=31191). (Essa página pode estar em inglês.)


O Windows Server 2008 inclui novas categorias de gerenciamento de diretiva, um novo formato para arquivos de modelo Administrativos (ADMX) com maior funcionalidade, objetos de Diretiva de Grupo do Starter, comentários para GPOs e configurações de diretiva, Reconhecimento de Locais de Rede e preferências.

Novas categorias de gerenciamento de diretiva

A Diretiva de Grupo do Windows Server 2008 fornece novos modos para gerenciar sua organização. Os exemplos desta seção demonstram como usar configurações de diretivas apresentadas no Windows Server 2008 para gerenciar seus recursos na empresa.

Por que as novas categorias de gerenciamento de diretiva são importantes?

As novas categorias de gerenciamento de diretiva fornecem redução de custos por meio das opções de energia, da capacidade de bloquear a instalação do dispositivo, das configurações de segurança aprimoradas, do gerenciamento expandido de configurações do Internet Explorer, da capacidade de atribuir impressoras com base no local e da possibilidade de delegar a instalação de drivers de impressora a usuários.

Reduções de custo pelas opções de energia

No Windows Server 2008, todas as opções de energia foram habilitadas pela Diretiva de Grupo, fornecendo uma redução de custos potencial significativa. O controle das opções de energia usando uma Diretiva de Grupo pode economizar às organizações uma quantia de dinheiro significativa. Você pode modificar as opções de energia específicas por meio de configurações individuais da Diretiva de Grupo ou construir um plano de energia personalizado que possa ser implementado usando a Diretiva de Grupo.


http://go.microsoft.com/fwlink/?linkid=31191

Capacidade de bloquear a instalação de dispositivos

No Windows Server 2008, você pode restringir de forma centralizada a instalação de dispositivos em computadores da sua organização. Agora, é possível criar configurações de diretiva para controlar o acesso a dispositivos como unidades USB, unidades de CD-RW, DVD-RW e outras mídias removíveis.

Configurações de segurança aprimoradas

No Windows Server 2008, o firewall e as configurações de Diretiva de Grupo de IPsec são combinados para permitir o aproveitamento das vantagens de ambas as tecnologias, eliminando, ao mesmo tempo, a necessidade de criar e manter a funcionalidade duplicada. Alguns cenários que oferecem suporte a essas configurações combinadas de firewall e diretiva de IPsec são as comunicações seguras entre servidores na Internet, limitando o acesso a recursos de domínio com base em relacionamentos confiáveis ou na integridade de um computador e a proteção da comunicação de dados em um servidor específico para atender a requisitos normativos de privacidade de dados e segurança.

Gerenciamento expandido de configurações do Internet Explorer

NoWindows Server 2008, você pode abrir e editar configurações de Diretiva de Grupo do Internet Explorer sem o risco de alterar inadvertidamente o estado da configuração da diretiva com base na configuração da estação de trabalho administrativa. Essa mudança substitui o comportamento anterior no qual algumas configurações de diretiva do Internet Explorer são alteradas com base nas configurações de diretiva habilitadas na estação de trabalho administrativa usada para exibi-las.

Atribuição de impressoras com base na localização

A possibilidade de atribuir impressoras com base na localização dentro da organização ou de um local geográfico é um novo recurso do Windows Server 2008. No Windows Server 2008, você pode atribuir impressoras com base na localização. Quando usuários móveis se deslocam para outro local, a Diretiva de Grupo pode atualizar suas impressoras para a nova localização. Os usuários móveis que retornam às suas localizações principais vêem as impressoras padrão usuais.

Instalação de drivers de impressora delegada aos usuários

No Windows Server 2008, os administradores podem agora delegar aos usuários a possibilidade de instalar drivers de impressora usando a Diretiva de

Grupo. Este recurso ajuda a manter a segurança limitando a distribuição de credenciais administrativas.

O que funciona de modo diferente?

No Windows Server 2008, não há nenhuma alteração para implantar as opções de energia, bloquear a instalação do dispositivo, as configurações de segurança, o gerenciamento das configurações do Internet Explorer e o gerenciamento das configurações da impressora.

Implantando as opções de energia

Para obter detalhes, edite um GPO (objeto de Diretiva de Grupo) no GPMC (Console de Gerenciamento de Diretiva de Grupo) e veja as configurações de opção de energia localizadas em:

Configuração do Computador

└ Modelos Administrativos

└ Sistema

└ Gerenciamento Energia

Bloqueando a instalação de dispositivos

Para obter detalhes, edite um GPO no GPMC e veja as configurações de instalação de dispositivos localizadas em:



└ Sistema

└ Instalação de Dispositivos

Configurações de segurança

Para obter detalhes, edite um GPO no GPMC e veja as configurações de proteção de segurança localizadas em:


└ Configurações do Windows

└ Configurações de Segurança

└ Firewall do Windows com Segurança Avançada

Gerenciamento de configurações do Internet Explorer

Para obter detalhes, edite um GPO no GPMC e veja as configurações de diretiva de segurança do Internet Explorer localizadas em:



└ Componentes do Windows

└ Internet Explorer

Configuração do usuário




Atribuindo impressoras com base na localização

Para obter detalhes, edite um GPO no GPMC e veja as configurações de diretiva de conexões de impressoras implantadas localizadas em:



└ Impressoras Implantadas




Observação

A Diretiva de Grupo não atualizará automaticamente as configurações de

diretiva de impressoras quando um computador passar para outra localização.

Novas atribuições de impressoras estarão disponíveis após uma atualização de

Diretiva de Grupo após a alteração da localização.

Delegando a instalação de drivers de impressora aos usuários

Para obter detalhes, edite um GPO no GPMC e veja a configuração de diretiva "Permitir que não-administradores instalem drivers para estas classes de dispositivo" localizada em:



└ Sistema

└ Instalação de Driver

Novos formato e funcionalidade de arquivos de modelo Administrativo (ADMX)

Os arquivos de modelo administrativos contêm linguagem de marcação usada para descrever a Diretiva de Grupo baseada em registro. Lançados inicialmente no sistema operacional Microsoft® Windows NT Server® 4.0, os arquivos de modelo Administrativos usavam um formato de arquivo único conhecido como arquivos ADM. No Windows Server 2008, esses arquivos são substituídos por um arquivo baseado em XML conhecido como ADMX. Esses novos arquivos de modelo Administrativos facilitam o gerenciamento de configurações de diretiva baseadas em registro Windows Vista e Windows Server 2008.

Por que os novos formato e funcionalidade dos arquivos de modelo Administrativos são importantes?

O novo formato inclui suporte multilíngüe, armazenamento de dados centralizado opcional e recursos de controle de versão. No Windows Server 2008, os arquivos ADMX são divididos em recursos com neutralidade de idioma e específicos do idioma, disponíveis para todos os administradores de Diretiva de Grupo. Esses fatores permitem que as ferramentas de Diretiva de Grupo ajustem sua interface do usuário segundo o idioma configurado pelo administrador. A adição de um novo idioma a um grupo de definições de diretiva é obtida verificando-se a disponibilidade do arquivo de recurso específico do idioma.

Por exemplo, um administrador de Diretiva de Grupo cria um objeto de Diretiva de Grupo (GPO) em uma Windows Server 2008 estação de trabalho administrativa configurada para inglês. Ele salva o GPO e o vincula ao domínio implantado nos limites geográficos. Uma colega em Paris procura o mesmo domínio usando GPMC e seleciona o GPO criado em inglês. Ela pode exibir e editar as configurações de diretiva em francês. O administrador de Diretiva de Grupo que criou esse GPO verá todas as configurações em inglês, seu idioma nativo, inclusive as alterações feitas pela administradora francesa.

Esta tabela resume os novos recursos de arquivos ADMX.

Recurso Descrição Benefício

Arquivos de definição de diretiva baseados em XML

Os arquivos de modelo administrativos são substituídos por um arquivo baseado em XML que incorpora suporte multilíngüe e controle de versão com mais recursos.

Facilita o gerenciamento de ambientes administrativos multilíngüe, assegurando a exibição das ferramentas de Diretiva de Grupo no idioma do sistema operacional do administrador

Aprimora a experiência administrativa associada ao gerenciamento de configurações de diretiva baseadas em registro e, ao mesmo tempo, acomoda processos de gerenciamento de alterações automatizadas ou totalmente manuais

Armazenamento central de arquivos ADMX

O armazenamento central é um diretório de domínio criado no Sysvol.

Reduz a necessidade de armazenamento adicional e do maior tráfego de

replicação resultante do aumento no número de GPOs

As ferramentas administrativas de Diretiva de Grupo lêem arquivos ADMX e ADM

As ferramentas administrativas de Diretiva de Grupo usam os principais arquivos ADMX do sistema operacional no computador local antes da criação do armazenamento central. Além disso, as ferramentas administrativas podem ler qualquer outro arquivo ADM armazenado localmente ou em um GPO. Isso assegura a interoperabilidade entre a administração de um Windows Vista ou Windows Server 2008 e plataformas Windows 2000 ou Windows Server 2003. Quaisquer configurações de diretiva existentes somente nos arquivos ADMX estarão disponíveis no Windows Vista ou Windows Server 2008.

Assegura a interoperabilidade com plataformas anteriores para a administração da Diretiva de Grupo

Como devo me preparar para a mudança?

Você pode converter arquivos ADM para o formato ADMX usando a Ferramenta ADMX Migrator (http://go.microsoft.com/fwlink?LinkID=77409). Pode também usar essa ferramenta para editar arquivos ADMX.

Objetos de Início da Diretiva de Grupo

A Diretiva de Grupo no Windows Server 2008 possibilita criar objetos de Início da Diretiva de Grupo. Usando um GPO de Início, você pode armazenar uma coleção de configurações de diretivas Administrativas em um único objeto e incorporar essas configurações em novos GPOs.

Por que os GPOs de Início são importantes?

http://go.microsoft.com/fwlink?LinkID=77409

Você pode importar e exportar GPOs de Início, para poder distribuí-los para outros ambientes. Quando um novo GPO for criado a partir de um GPO de Início, possuirá todas as configurações de diretiva do modelo Administrativo e seus valores definidos no GPO de Início.


Em vez de recriar uma configuração de diretiva de modelo Administrativo comum em cada novo GPO, você pode criar um GPO de Início usando o GPMC, fazer as configurações de diretiva de modelo Administrativo que deseja usar em vários GPOs e criar GPOs com base em um GPO de Início. Quaisquer comentários incluídos em um GPO de Início são automaticamente incluídos em GPOs criados com base no GPO de Início.

Para usar o GPO de Início em outro ambiente, exporte-o salvando-o como arquivo de gabinete. Após transferi-lo para outro ambiente, importe-o carregando o arquivo de gabinete.

Comentários sobre GPOs e configurações de diretivas

A Diretiva de Grupo no Windows Server 2008 oferece a opção de adicionar comentários nos níveis do GPO e de configuração de diretiva para modelos Administrativos.

Por que os comentários são importantes?

Para oferecer suporta a uma organização empresarial, você pode criar muitos GPOs e configurar combinações complexas de configurações de diretivas. Você pode usar comentários para documentar a finalidade de um GPO e uma configuração de diretiva específica.


A guia Comentário é exibida quando você edita um GPO e exibe as propriedades do GPO uma configuração de diretiva de modelo Administrativo.

Reconhecimento de Locais de Rede

O Reconhecimento de Locais de Rede permite que a Diretiva de Grupo responda melhor à mudança das condições da rede. Um benefício do recurso de Reconhecimento de Locais de Rede é o fim da dependência em relação ao protocolo ICMP (PING) para a aplicação de diretivas.

O Reconhecimento de Locais de Rede assegura que os computadores clientes detectem e respondam à mudança nas condições da rede e à disponibilidade

de recursos. Com o Reconhecimento de Locais de Rede, a Diretiva de Grupo tem acesso à detecção de recursos e à notificação de eventos no sistema operacional, como a recuperação de hibernação ou espera, estabelecimento de sessões VPN e entrada e saída de uma rede sem fio.

Por que o Reconhecimento de Locais de Rede é importante?

O Reconhecimento de Locais de Rede oferece estas vantagens:

Diminuição nos tempos de inicialização da estação de trabalho ou do servidor. O Reconhecimento de Locais de Rede oferece um recurso que indica com precisão para a Diretiva de Grupo quando a rede está pronta. A Diretiva de Grupo também poderá determinar se o adaptador está desabilitado ou desconectado, permitindo que a Diretiva de Grupo diminua o tempo de espera daqueles cenários nos quais a rede não estiver disponível.

O cliente da Diretiva de Grupo aplicará configurações de diretiva sempre que houver retorno da disponibilidade de controlador de domínio. Exemplos de eventos de conexão que disparam o processamento da Diretiva de Grupo incluem o estabelecimento de sessões VPN, a recuperação do estado de hibernação ou espera e o encaixe de um laptop. Esta vantagem pode aumentar o nível de segurança da estação de trabalho através da aplicação mais rápida de mudanças da Diretiva de Grupo.

O cliente de Diretiva de Grupo usará o Reconhecimento de Locais de Rede para determinar a largura de banda e remover a dependência do protocolo ICMP (PING). Esta vantagem permite às organizações proteger suas redes com firewalls, filtrar o protocolo ICMP e aplicar a Diretiva de Grupo.

Novas configurações de Diretiva de Grupo oferecem aos administradores mais controle sobre cenários de processamento de inicialização do computador.


Os seguintes cenários mostram como o reconhecimento de locais de rede pode aprimorar a aplicação e o processamento de diretivas.

Conectando através de redes virtuais privadas (VPNs)

O Reconhecimento de Locais de Rede permite alterar configurações de diretiva e assegurar com eficiência sua aplicação a usuários móveis.

Quando usuários móveis se conectarem à rede corporativa, o cliente de Diretiva de Grupo detectarão a disponibilidade de um controlador de domínio. Se o ciclo de atualização da Diretiva de Grupo tiver expirado ou se a aplicação da diretiva anterior tiver falhado, a Diretiva de Grupo iniciará uma atualização em segundo plano pela conexão VPN, atualizando o computador e a diretiva de usuário. Não é necessário reinicializar ou fazer logoff antes de conectar-se a uma rede corporativa através de uma VPN.

Capacidade para processar Diretiva de Grupo através de filtro de firewall

ICMP

A Diretiva de Grupo é processada, mesmo que você tenha removido a capacidade de os computadores para responder ao protocolo ICMP (PING). No passado, as configurações de Diretiva de Grupo falhariam nessa situação, pois a detecção de vínculo lento baseava-se em ICMP. O cliente de Diretiva de Grupo no Windows Server 2008 agora usa o Reconhecimento de Locais de Rede para determinar a largura de banda da rede e continuar a processar a Diretiva de Grupo com êxito.

Preferências

As preferências oferecem mais do que vinte extensões de Diretiva de Grupo que expandem a gama de configurações de preferência configuráveis em um objeto de Diretiva de Grupo. As preferências de Diretiva de Grupo permitem gerenciar mapeamentos de unidade, configurações de registro, grupos e usuários locais, serviços, arquivos e pastas, sem a necessidade de aprender uma nova linguagem de script.

Por que as preferências são importantes?

Você pode usar itens de preferência para reduzir o sscript e imagens do sistema, padronizar o gerenciamento e melhor proteger suas redes. Usando o direcionamento de preferências, você pode agilizar o gerenciamento da área de trabalho reduzindo o número de objetos de Diretiva de Grupo necessários.


A Diretiva de Grupo baseada em domínio do Windows Server 2008 inclui um nó Preferências sob os nós Configurações de Computador e Configuração do Usuário. A interface do usuário da maioria dos itens de preferência é similar às configurações do Windows e do Painel de Controle feitas por eles, tornando a configuração intuitiva para os administradores de Diretiva de Grupo.

Ao contrário das configurações de diretiva, os itens de preferência não existem até que um administrador de Diretiva de Grupo os crie e cada item de preferência contém várias propriedades. Você pode criar e modificar vários itens de preferência em cada GPO, além de filtrar cada item de preferência para enfocar somente computadores ou usuários específicos.

Extensão de

preferência Efeito do item de preferência

Escopo do item de

preferência

Aplicativos Configura uma versão específica de um aplicativo

Usuários aos quais o item de preferência se aplica

Fontes de Dados Configura um sistema ODBC ou outra fonte de dados do usuário

Computadores ou usuários aos quais o item de preferência se aplica

Dispositivos Habilita ou desabilita uma classe ou tipo de dispositivo de hardware


Mapas de Unidades Cria, configura ou exclui o mapeamento dinâmico de unidades


Ambiente Cria, modifica ou exclui um usuário persistente ou uma variável de ambiente do sistema


Arquivos Copia ou substitui arquivos e configura seus atributos ou exclui arquivos


Opções de Pasta

Modifica as Opções da Pasta no Windows Explorer, associa uma extensão de nome de arquivo a um programa específico ou associa uma extensão de nome de arquivo a uma classe específica de arquivos

Computadores (somente itens de Tipo de Arquivo) ou usuários (somente Opções de Pasta e Abrir com) aos quais o item de preferência se aplica

Pastas Cria pastas e configura seus Computadores ou

atributos ou exclui pastas e seu conteúdo

usuários aos quais o item de preferência se aplica

Arquivos Ini

Creia ou altera uma propriedade / um par de valores em um arquivo .ini ou .inf, ou exclui parte ou todo um arquivo .ini ou .inf


Configurações de Internet

Modifica configurações de Internet


Usuários e Grupos Locais

Cria, modifica ou exclui usuários locais (executando tarefas como a definição de senhas) ou grupos de segurança locais (executando tarefas como a criação de grupos restritos e a modificação da lista de membros).


Opções de Rede Cria, modifica ou exclui conexões à VPN (rede virtual privada) ou à rede dial-up.


Compartilhamentos de Rede

Cria, modifica e exclui um compartilhamento. Pode configurar a Enumeração Baseada em Acesso

Computadores aos quais o item de preferência se aplica

Opções de Energia

Configura as opções de energia, ou por meio da modificação ou da criação, modificação ou exclusão de um esquema de energia


Impressoras Cria, modifica ou exclui uma conexão de impressora local, compartilhada ou TCP/IP

Computadores (impressoras locais ou TCP/IP somente) ou usuários aos quais o item de preferência se aplica

Opções Regionais Configura o modo como a maioria dos programas formata

Usuários aos quais o item de preferência se

números, moedas, datas e horas para usuários finais

aplica

Registro Cria, modifica ou exclui uma definição no registro do Windows


Tarefas Agendadas Cria, modifica ou exclui uma tarefa agendada ou imediata no Painel de Controle


Serviços Modifica um serviço de sistema operacional

Computadores aos quais o item de preferência se aplica

Atalhos

Cria, modifica ou exclui um atalho para um objeto de sistema de arquivos (como arquivo, pasta, unidade, compartilhamento ou computador), um objeto do shell (como impressora, item da Área de Trabalho ou do Painel de Controle) ou URL (como página da Web ou site FTP)


Menu Iniciar Modifica a aparência do menu Iniciar


Você pode usar o direcionamento no nível de item para alterar o escopo de itens preferenciais individuais a fim de que se apliquem apenas a usuários ou computadores selecionados. Em um único GPO, é possível incluir vários itens preferenciais, cada um deles personalizado para usuários ou computadores selecionados e direcionado para aplicar configurações apenas aos usuários ou computadores relevantes. Você pode aplicar os seguintes itens de destino a itens de preferência:

Bateria Presente

Nome do Computador

Velocidade da CPU

Coincidência de Datas

Conexão Dial-up

Espaço em Disco

Domínio

Variável de Ambiente

Coincidência de Arquivos

Intervalo de endereços IP

Idioma

Consulta LDAP

Intervalo de Endereços MAC

Consulta MSI

Sistema operacional

Unidade Organizacional

PCMCIA Presente

Computador Portátil

Modo de Processamento

RAM

Coincidência de Registros

Grupo de Segurança

Site

Sessão de Terminal

Intervalo de Tempo

Usuário

Consulta WMI

Além disso, você pode aplicar vários itens de destino a um item preferencial e selecionar a operação lógica (AND ou OR) para combinar cada item de destino

ao item precedente. O uso de coleções de direcionamento também permite criar expressões entre parênteses.

Que funcionalidade atual está mudando?

O Windows Server 2008 inclui aprimoramentos do GPMC, serviço Diretiva de Grupo, eventos e logs, objetos de Diretiva de Grupo de Vários Locais e mais opções para localização de configurações de diretiva de modelo Administrativo.

Serviço Diretiva de Grupo

A infra-estrutura de Diretiva de Grupo foi aprimorada com o isolamento completo do Winlogon, oferecendo uma nova arquitetura para o modo como a Diretiva de Grupo executa ações de notificação e processamento.

Por que essa alteração é importante?

O novo serviço Diretiva de Grupo oferece maior confiabilidade para o Windows e a Diretiva de Grupo, além de incluir mais estes recursos:

A Microsoft pode lançar novos arquivos de Diretiva de Grupo, que podem ser atualizados sem necessidade de reiniciar o sistema operacional.

A aplicação da diretiva é mais eficiente devido à redução de recursos usados para processamento em segundo plano.

O aumento no desempenho e a redução no uso da memória são resultados do novo design. Essas alterações eliminam a necessidade de carregar o recurso de Diretiva de Grupo em vários serviços.

Eventos e log

A infra-estrutura da Diretiva de Grupo foi modificada significativamente para o Windows Server 2008. O processamento da Diretiva de Grupo não existe mais no processo Winlogon, mas está hospedado como seu próprio serviço. Além disso, o mecanismo de Diretiva de Grupo não se baseia mais no registro de rastreamento encontrado em userenv.dll.


A maior parte da solução de problemas para Diretiva de Grupo em versões anteriores do Windows baseava-se na habilitação do registro dentro do userenv.dll do componente. Isso criava um arquivo de log com o nome de userenv.log na pasta %WINDIR%\Debug\Usermode. Esse arquivo de log continha registros de rastreamento de função com dados de suporte. Além

disso, as funções de carga e descarga de perfil compartilhavam esse arquivo de log, tornando o log às vezes difícil de diagnosticar. Esse arquivo de log, usado juntamente com o Conjunto de diretivas resultante do Console de Gerenciamento Microsoft (RSoP MMC) era o primeiro modo para diagnosticar e resolver problemas de Diretiva de Grupo.

No Windows Server 2008, a Diretiva de Grupo é tratada como seu próprio componente com um novo Serviço da Diretiva de Grupo, um serviço independente executado sob o processo Svchost com a finalidade de ler e aplicar a Diretiva de Grupo. O novo serviço inclui alterações no relatório de eventos. As mensagens de eventos da Diretiva de Grupo, que antes apareciam no log do aplicativo, agora aparecem no log do sistema. O visualizador de eventos lista essas novas mensagens com uma fonte de eventos do Microsoft-Windows-GroupPolicy. O log Operacional da Diretiva de Grupo substitui o log userenv anterior. O log de eventos operacionais fornece mensagens sobre eventos específicos do processamento da Diretiva de Grupo.

Objetos de Diretiva de Grupo de Vários Locais

O Windows Server 2008 oferece maior flexibilidade na administração de objetos de Diretiva de Grupo locais (LGPOs), fornecendo os meios para gerenciar diversos LGPOs em um único computador. Essa maior flexibilidade facilita o gerenciamento de ambientes que envolvem computação compartilhada em um único computador, como bibliotecas ou laboratórios de computação. Além disso, em um grupo de trabalho cada computador mantém suas próprias configurações de diretiva. Diversos LGPOs podem ser atribuídos a usuários locais ou grupos internos. Esse recurso funcionará com Diretiva de Grupo baseada em domínio, ou pode ser desabilitado através de uma configuração da Diretiva de Grupo.


A Diretiva de Grupo de Vários Locais oferece flexibilidade para gerenciar a Diretiva de Grupo baseada em grupos internos. Por exemplo, se você quisesse instalar computadores de quiosques em uma biblioteca, poderia criar configurações de diretiva rigorosamente gerenciadas para grupos de Usuários internos e outras com gerenciamento menos rigoroso para as contas internas de Administrador. Essa técnica permite que os clientes usem o quiosque de Internet em ambiente seguro. Os administradores locais não precisam mais desabilitar explicitamente ou remover configurações de Diretiva de Grupo que interfiram em sua capacidade de gerenciar a estação de trabalho antes de executar tarefas administrativas. Além disso, os administradores do Windows Server 2008 podem desativar configurações da Diretiva de Grupo sem precisar habilitar explicitamente a Diretiva de Grupo baseada em domínio.

Localizando configurações específicas de diretiva de modelos Administrativos

Os modelos administrativos são configurações de diretiva baseadas em registro listadas sob o nó Modelos Administrativos dos nós Configuração do Computador e Configuração do Usuário quando você edita um GPO no GPMC. O Windows Server 2008 fornece uma lista abrangente de configurações de diretiva de modelo Administrativo e novas opções para filtrar e classificar a lista de configurações.


O Windows Server 2008 fornece muitas configurações de diretiva de modelo Administrativo. Filtrar ou classificar essas configurações pode permitir que você localize uma configuração de diretiva específica mais rapidamente.


No Windows Server 2008, um nó Todas as Configurações é exibido sob o nó is Modelos Administrativos, fornecendo uma lista abrangente de todas as configurações de diretiva de modelo Administrativo, inclusive aquelas em formatos ADMX e ADM. Você pode classificar essa lista alfabeticamente definindo nome, estado, comentário ou caminho.

Além disso, você pode filtrar a lista de configurações de diretiva de modelo Administrativo usando as opções disponíveis quando clicar com o botão direito do mouse no nó Todas as Configurações. Quando filtrada, a lista inclui somente configurações de diretiva no formato ADMX e você pode restringir ainda mais a lista para que inclua somente configurações de diretiva:

Configuradas (ou não configuradas).

Às quais foram adicionados comentários (ou às quais não foram adicionados comentários).

Que incluem palavras-chave especificadas no título da configuração, texto explicativo ou comentários.

Gerenciadas (ou não gerenciadas).

Que configurações de diretiva são adicionadas ou alteradas?

No Windows Server 2008, você pode usar a Diretiva de Grupo para gerenciar de forma centralizada o comportamento de um maior número de recursos e componentes. O número de configurações de Diretiva de Grupo aumentou de

cerca de 1.700 no Windows Server 2003 com Service Pack 1 (SP1) para cerca de 2.400 no Windows Server 2008.

Esta tabela resume categorias novas ou expandidas de configurações de Diretiva de Grupo.

Configuração de

Diretiva de Grupo Descrição

Localização da Configuração

de Diretiva de Grupo

Antivírus Gerencia o comportamento para avaliação de anexos de alto risco.




└ Gerenciador de Anexos

Serviço de transferência inteligente de plano de fundo (BITS)

Configura o recurso Transmissão por Vizinhos BITS (novo no Windows Vista e no Windows Server 2008) para facilitar a transferência de arquivos ponto a ponto em um domínio.



└ Rede

└ Serviço de transferência inteligente de plano de fundo

Ajuda do Cliente

Determina onde os usuários podem acessar sistemas de Ajuda que podem incluir conteúdo não confiável. Você pode direcionar seus usuários para Ajuda ou para Ajuda offline local.



└ Assistência Online



└ Assistência Online

Conexões de Impressora Implantadas

implanta uma conexão de impressora em um computador. Esse recurso é útil quando o computador



é compartilhado em ambiente bloqueado, como uma escola ou quando um usuário se movimenta para outro local e precisa ter uma impressora conectada automaticamente.





Instalação de Dispositivos

Permite ou nega uma instalação de dispositivo, com base na classe ou ID desse dispositivo.



└ Sistema

└ Instalação de Dispositivos

Diagnóstico de Falhas de Discos

Controla o nível de informações exibidas pelo diagnóstico de falhas de discos.



└ Sistema

└ Solução de Problemas e Diagnóstico

└ Diagnóstico de Disco

Gravação de Vídeo de DVD

Personaliza a experiência de autoria de discos de vídeo.




└ Importar Vídeo




└ Importar Vídeo

QoS Atenua problemas de congestionamento de rede


habilitando o gerenciamento central do tráfego de rede no Windows Server 2008. Sem que seja necessário alterar aplicativos, você pode definir diretivas flexíveis para priorizar a marcação e a taxa de limite do DSCP.


└ QoS Baseado em Diretiva

Disco Rígido Híbrido

Configura as propriedades do disco rígido híbrido (com cache não volátil), permitindo que você gerencie:

Uso de cache não volátil.

Otimizações de inicialização e reinício.

Modo de estado sólido.

Modo de economia de energia.



└ Sistema

└ Cache NV do Disco

Internet Explorer 7

Substitui e expande as configurações atuais na extensão de Manutenção do Internet Explorer para que os administradores possam ler as configurações atuais sem afetar valores.









Rede: Quarentena

Gerencia três componentes:

Autoridade de Registro de Integridade (HRA)

Serviço de Autenticação da Internet (IAS)

Proteção de Acesso à Rede (NAP)




└ Proteção de Acesso à Rede

Rede: Com Fio Sem Fio

Aplica uma arquitetura genérica para o gerenciamento centralizado de tipos de mídia existentes e futuros.




└ Diretivas de Rede com Fio (IEEE 802.11)




└ Diretivas de Rede sem Fio (IEEE 802.11)

Opções de Energia Configura qualquer opção de energia no Painel de Controle



└ Sistema

└ Gerenciamento Energia

Armazenamento Removível

Permite aos administradores proteger dados corporativos


limitando os dados que podem ser lidos e gravados em dispositivos de armazenamento removíveis. Os administradores podem impor restrições em computadores específicos sem depender de produtos de terceiros ou desabilitar os barramentos.


└ Sistema

└ Acesso de Armazenamento Removível



└ Sistema

└ Acesso de Armazenamento Removível

Proteção de Segurança

Combina o gerenciamento das tecnologias Windows Firewall e IPsec para reduzir a possibilidade de criação de regras conflitantes. Os administradores podem especificar que aplicativos ou portas devem ser abertas e se as conexões com esses recursos devem ou não ser protegidas.




└ Firewall do Windows com Segurança Avançada

Gerenciamento de Aplicativos de Shell

Gerencia as barras de ferramentas e de tarefas, o menu Iniciar e as exibições de ícones.



└ Menu Iniciar e Barra de Tarefas

Primeira Experiência do Shell, Logon e Privilégios

Configura a experiência de logon para incluir configurações expandidas de Diretiva de Grupo em:

Perfis Móveis de Usuários.

Pastas




redirecionadas.

Telas de diálogo de logon.

Compartilhamento de Shell, Sincronização e Roaming

Personaliza:

Autorun para diferentes dispositivos e mídia.

Criação e remoção de parcerias.

Agendamento de sincronização e comportamento.

Criação e acesso a locais de trabalho.




Visuais do Shell

Configura a exibição da área de trabalho para que inclua:

Exibição do AERO Glass.

Novo comportamento de protetor de tela.

Pesquisa e exibições.




Tablet PC

Configura o Tablet PC para incluir:

Tablet Ink Watson e recursos de Personalização.

Recursos de área de trabalho do Tablet PC.

Recursos de Painel




└ Tablet PC



de Entrada.

Entrada por toque do Tablet PC.


└ Tablet PC

Serviços de terminal

Configura os seguintes recursos para aumentar a segurança, a facilidade de uso e a gerenciabilidade das conexões remotas com os Serviços de Terminal. Você pode:

Permitir ou impedir o redirecionamento de dispositivos adicionais para os quais haja suporte para o computador remoto em uma sessão dos Serviços de Terminal.

Exigir o uso de criptografia de protocolo TLS 1.0 ou protocolo RDP, ou negociar um método de segurança.

Exigir o uso de um nível de criptografia específico (Compatível com FIPS, Alto, Compatível com cliente ou Baixo).




└ Serviços de Terminal




└ Serviços de terminal

Solução de Problemas e Diagnóstico

Controla o nível de diagnóstico da detecção e correção automáticas dos problemas até a indicação para o usuário de que a solução assistida está



└ Sistema

└ Solução de Problemas

disponível para:

Problemas de aplicativo.

Detecção de vazamentos.

Alocação de recursos.

e Diagnóstico

Proteção de Contas de Usuário

Configura as propriedades de contas de usuário para:

Determinar o comportamento para o prompt de elevação.

Elevar a conta do usuário durante instalações de aplicativos.

Identificar as contas de usuário com privilégios mínimos.

Virtualizar falhas de gravação de arquivos e registros para locais por usuário.




└ Diretivas Locais

└ Opções de Segurança

Relatório de Erros do Windows

Desabilita o Feedback do Windows somente para Windows ou para todos os componentes. Por padrão, o Feedback do Windows é desativado para todos os componentes do Windows.




└ Relatório de Erros do Windows




└ Relatório de Erros do Windows

Aprimoramentos do Balanceamento de Carga de Rede



No Windows Server® 2008, os aprimoramentos do Balanceamento de Carga de Rede (NLB) incluem suporte a IP versão 6 (IPv6) e Especificação da Interface do Driver de Rede (NDIS) 6.0, aprimoramentos na Instrumentação de Gerenciamento do Windows (WMI) e funcionalidade aprimorada com Microsoft Internet Security e Acceleration (ISA) Server.

O que o Balanceamento de Carga de Rede faz?

O NLB é um recurso que distribui a carga para aplicativos de cliente/servidor em diversos servidores de cluster. Ele compõe a funcionalidade de dimensionamento do Windows e é uma das três tecnologias de Cluster do Windows.

Quem estaria interessado neste recurso?

O NLB é usado por profissionais de TI que precisam distribuir solicitações de clientes em um conjunto de servidores. Ele é particularmente útil para garantir que aplicativos sem monitorações de estado, como um servidor Web que execute os Serviços de Informações de Internet (IIS), sejam dimensionáveis com a adição de servidores à medida que aumenta a carga. O NLB possibilita o dimensionamento, permitindo que você substitua facilmente um servidor com problemas de funcionamento ou adicione um novo.


Você deve ser membro do grupo Administradores no host que está configurando com o uso do NLB, ou estar investido da devida autoridade.


O NLB inclui os seguintes aprimoramentos:

Suporte para IPv6. O NLB oferece suporte integral a IPv6 para toda a comunicação.

Suporte para NDIS 6.0. O driver NLB foi totalmente reescrito para usar o novo modelo de filtro leve NDIS 6.0. O NDIS 6.0 mantém compatibilidade retroativa com versões anteriores do NDIS. Os aprimoramentos do design do NDIS 6.0 incluem desempenho de drivers e escalabilidade aprimorados, além de um modelo simplificado de driver NDIS.

Aprimoramentos de WMI. Os aprimoramentos do recurso WMI para o namespace MicrosoftNLB se destinam a IPv6 e a vários endereços IP dedicados.

o As classes do namespace MicrosoftNLB oferecem suporte a endereços IPv6 (além de endereços IPv4).

o A classe MicrosoftNLB_NodeSetting oferece suporte a vários endereços IP dedicados especificando-os em DedicatedIPAddresses e DedicatedNetMasks.

Funcionalidade aprimorada com ISA Server. O ISA Server pode configurar vários endereços IP dedicados por cada nó NLB para cenários onde os clientes consistam em tráfego IPv4 e IPv6. Tanto os clientes IPv4 como IPv6 precisam acessar um ISA Server específico para gerenciar o tráfego. O ISA também pode fornecer ao NLB notificações de ataque SYN e de privação do temporizador (esses cenários normalmente ocorrem quando um computador está sobrecarregado ou está sendo infectado por um vírus de Internet).

Suporte para vários endereços IP dedicados por nó. O NLB oferece suporte integral à definição de mais de um endereço IP dedicado por nó. (Antes, havia suporte apenas para um endereço IP dedicado por nó.)

Protocolos TCP/IP e componentes de rede de última geração



O sistema de rede e a comunicação são fundamentais para que as organizações vençam o desafio de competir no mercado global. Os funcionários precisam se conectar à rede onde quer que estejam e usando qualquer dispositivo. Parceiros, fornecedores e outras pessoas que estão fora da rede precisam interagir de maneira eficiente com os principais recursos, e a segurança ganha importância cada vez maior.

A seguir apresentamos uma visão geral técnica dos aprimoramentos em comunicação e no sistema de rede TCP/IP feitos no Windows Server® 2008 e no Windows Vista® para atender a necessidades de conectividade, facilidade de uso, gerenciamento, confiabilidade e segurança. Com o Windows Server 2008 e o Windows Vista, os administradores de TI têm opções melhores e mais flexíveis para gerenciar a infra-estrutura do sistema de rede, rotear o tráfego de rede com mais eficiência e eficácia e implantar cenários de tráfego protegido.

Que nova funcionalidade é oferecida pelos Protocolos TCP/IP e Componentes do Sistema de Rede de Última Geração?

O Windows Server 2008 e o Windows Vista incluem muitas alterações e aprimoramentos feitos nos seguintes protocolos e principais componentes do sistema de rede:

Pilha TCP/IP de Última Geração

Aprimoramentos em IPv6

QoS (Qualidade de Serviço) baseada em diretiva para redes corporativas

Pilha TCP/IP de Última Geração

O Windows Server 2008 e o Windows Vista vêm com uma nova implementação da pilha de protocolo TCP/IP chamada Pilha TCP/IP de Última Geração. Essa pilha é um design totalmente remodelado da funcionalidade de TCP/IP para o protocolo IP versão 4 (IPv4) e versão 6 (IPv6) que atende às necessidades de conectividade e desempenho dos variados ambientes e tecnologias de sistema de rede hoje existentes.

Os seguintes recursos são novos ou foram aperfeiçoados:

Auto-ajuste da Janela de Recepção

TCP Composto

Aprimoramentos para ambientes com alta perda de dados

Detecção de Inacessibilidade do Vizinho para IPv4

Alterações na detecção de gateway inativo

Alterações na detecção de roteador PMTU de buraco negro

Compartimentos de roteamento

Suporte à Estrutura de Diagnóstico de Rede

Plataforma para Filtros do Windows

Notificação de Congestionamento Explícito

Auto-ajuste da Janela de Recepção

O tamanho da janela de recepção TCP consiste na quantidade de bytes em um buffer de memória de um host de recebimento que é usado para armazenar os dados recebidos em uma conexão TCP. Para determinar corretamente o valor do tamanho máximo da janela de recepção para uma conexão com base nas condições atuais da rede, a Pilha TCP/IP de Última Geração dá suporte ao Auto-ajuste da Janela de Recepção. O Auto-ajuste da Janela de Recepção determina o tamanho ideal da janela de recepção por conexão; ele faz isso medindo o produto de atraso da largura de banda (a largura de banda multiplicada pela latência da conexão) e a taxa de recuperação do aplicativo. O recurso então ajusta de forma automática o tamanho máximo da janela de recepção regularmente.

Com uma melhor taxa de transferência entre os pontos TCP, a utilização da largura de banda da rede aumenta durante a transferência de dados. Se todos os aplicativos estiverem otimizados para receber dados TCP, a utilização geral da rede poderá aumentar consideravelmente.

TCP Composto

Enquanto o Auto-ajuste da Janela de Recepção otimiza a taxa de transferência no lado do destinatário, o CTCP (TCP Composto) da Pilha TCP/IP de Última Geração otimiza a taxa de transferência no lado do remetente. Juntos, eles podem aumentar a utilização do link e gerar ganhos de desempenho significativos em conexões com um alto produto de atraso da largura de banda.

O CTCP é usado para conexões TCP com um tamanho de janela de recepção grande e um produto alto de atraso da largura de banda (a largura de banda de uma conexão multiplicada por seu atraso). Ele aumenta significativamente a quantidade de dados enviados em um período e assegura que seu comportamento não afete outras conexões TCP de maneira negativa.

Por exemplo, em um teste realizado internamente na Microsoft, os tempos de backup de arquivos grandes foram reduzidos quase pela metade em uma conexão de 1 gigabit por segundo com RTT (tempo de resposta) de 50 milissegundos. Conexões com um produto mais alto de atraso de largura de banda podem ter um desempenho ainda melhor.

Aprimoramentos para ambientes com alta perda de dados

A Pilha TCP/IP de Última Geração dá suporte aos seguintes RFCs (Requests for Comments) para otimizar a taxa de transferência em ambientes com alta perda de dados:

RFC 2582: modificação do NewReno para algoritmo de recuperação rápida de TCP Quando vários segmentos de uma janela de dados são perdidos e o remetente recebe uma confirmação parcial de que os dados foram recebidos, o algoritmo NewReno oferece uma taxa de transferência mais rápida, pois altera a forma como o remetente pode aumentar sua velocidade de envio.

RFC 2883: extensão da opção SACK (confirmação seletiva) para TCP A opção SACK, definida no RFC 2018, permite que um destinatário indique até quatro blocos não adjacentes de dados recebidos. O RFC 2883 define um uso adicional da opção SACK TCP para confirmação de pacotes duplicados. Dessa maneira, o receptor do segmento TCP que contém a opção SACK pode determinar quando ele retransmitiu um segmento desnecessariamente e ajustar seu comportamento para evitar futuras retransmissões. A redução do número de retransmissões enviadas melhora a taxa de transferência como um todo.

RFC 3517: algoritmo conservador de recuperação de perdas baseado em SACK (confirmação seletiva) para TCP Embora o Windows Server® 2003 e o Windows® XP usem informações de SACK apenas para determinar quais segmentos TCP não chegaram ao destino, o RFC 3517 define um método de usar essas informações para executar a recuperação da perda quando confirmações duplicadas tiverem sido recebidas e substitui o algoritmo de recuperação rápida quando a SACK está habilitada em uma conexão. A Pilha TCP/IP de Última Geração controla as informações de SACK por conexão e monitora as confirmações recebidas e as confirmações duplicadas para oferecer uma recuperação mais rápida quando segmentos não são recebidos no destino.

RFC 4138: Recuperação por F-RTO (Forward RTO): algoritmo para detectar tempos limites falsos de retransmissão com os protocolos TCP e SCTP

O algoritmo F-RTO impede a retransmissão desnecessária de segmentos TCP. Essas retransmissões desnecessárias podem ocorrer quando há um aumento repentino ou temporário no RTT. O resultado do algoritmo F-RTO é que, em ambientes que têm aumentos repentinos ou temporários no RTT, como quando um cliente sem fio muda de um AP (ponto de acesso) sem fio para outro, o F-RTO impede a retransmissão desnecessária de segmentos e volta mais rapidamente para sua velocidade normal de envio.

Detecção de Inacessibilidade do Vizinho para IPv4

A Detecção de Inacessibilidade do Vizinho para IPv4 é um recurso do protocolo IPv6 através do qual um nó mantém o status sobre se um nó vizinho pode ser acessado, oferecendo melhores detecção de erros e recuperação quando os nós se tornam indisponíveis repentinamente. A Pilha TCP/IP de Última Geração também dá suporte à Detecção de Inacessibilidade do Vizinho para tráfego IPv4 verificando as condições de acesso de nós IPv4 em um cache de rota IPv4. A Detecção de Inacessibilidade do Vizinho para IPv4 determina as condições de acesso através de uma troca de mensagens de unicast de solicitação ARP e de resposta ARP ou utilizando protocolos de camada, como TCP.

Alterações na detecção de gateway inativo

A detecção de gateway inativo no TCP/IP para Windows Server 2003 e Windows XP oferece uma função de failover, mas não de failback, na qual um gateway inativo é testado para verificar se está novamente disponível. A Pilha TCP/IP de Última Geração oferece failback para gateways inativos fazendo tentativas regulares de enviar tráfego TCP através do gateway inativo detectado anteriormente. Se o tráfego TCP enviado pelo gateway inativo for bem-sucedido, a pilha mudará do gateway padrão para o gateway inativo detectado previamente. O suporte a failback em gateways padrão primários pode oferecer uma taxa de transferência mais rápida, pois o tráfego é enviado utilizando-se o gateway padrão primário da sub-rede.

Alterações na detecção de roteador PMTU de buraco negro

A descoberta PMTU (unidade de transmissão máxima de caminho), definida no RFC 1191, conta com o recebimento de mensagens Fragmentação de Destino Inacessível Necessária e DF (Não Fragmentar) Conjunto do protocolo ICMP de roteadores que contêm a MTU do próximo link. No entanto, em alguns casos, roteadores intermediários descartam silenciosamente os pacotes que não podem ser fragmentados. Esses tipos de roteadores são chamados de roteadores PMTU de buraco negro. Além disso, os roteadores intermediários

podem descartar mensagens ICMP devido a regras de firewall. Por causa dos roteadores PMTU de buraco negro, as conexões TCP podem atingir o tempo limite e ser encerradas.

A detecção de roteador PMTU de buraco negro percebe quando segmentos TCP grandes estão sendo retransmitidos e automaticamente ajusta a PMTU da conexão, em vez de contar com o recebimento de mensagens de erro ICMP. No Windows Server 2003 e no Windows XP, a detecção de roteador PMTU de buraco negro fica desabilitada por padrão porque, quando habilitada, ela aumenta o número máximo de retransmissões feitas para um determinado segmento de rede.

Por padrão, a Pilha TCP/IP de Última Geração habilita essa detecção para impedir o encerramento de conexões TCP.

Compartimentos de roteamento

Para impedir o encaminhamento indesejado de tráfego entre interfaces em configurações de VPN (rede virtual privada), a Pilha TCP/IP de Última Geração dá suporte a compartimentos de roteamento. Um compartimento de roteamento é a combinação de um conjunto de interfaces com uma sessão de logon que tem suas próprias tabelas de roteamento IP. Um computador pode ter vários compartimentos de roteamento, que ficam isolados uns dos outros. Cada interface só pode pertencer a um único compartimento.

Por exemplo, quando um usuário inicia uma conexão VPN na Internet com a implementação TCP/IP do Windows XP, seu computador tem conectividade parcial com a Internet e uma intranet privada manipulando entradas da tabela de roteamento IPv4. Em algumas situações, é possível encaminhar o tráfego da Internet através da conexão VPN com a intranet privada. Para clientes VPN que dão suporte a compartimentos de roteamento, a Pilha TCP/IP de Última Geração isola a conectividade com a Internet da conectividade com a intranet privada usando tabelas de roteamento IP separadas.

Suporte à Estrutura de Diagnóstico de Rede

A Estrutura de Diagnóstico de Rede é uma arquitetura extensível que ajuda os usuários a se recuperar e solucionar problemas de conexão de rede. Na comunicação baseada em TCP/IP, a Estrutura de Diagnóstico de Rede pede que o usuário confirme uma série de opções para eliminar possíveis causas até que a origem do problema seja identificada ou que todas as possibilidades sejam eliminadas. Os problemas específicos relacionados a TCP/IP que podem ser diagnosticados pela Estrutura de Diagnóstico de Rede são os seguintes:

Endereço IP incorreto

O gateway (roteador) padrão não está disponível

Gateway padrão incorreto

Falha na resolução de nomes NetBIOS sobre TCP/IP (NetBT)

Configurações DNS incorretas

A porta local já está sendo usada

O serviço Cliente DHCP não está em execução

Não há um ouvinte remoto

A mídia está desconectada

A porta local está bloqueada

Memória insuficiente

Suporte a ESTATS (estatísticas estendidas) de TCP

A Pilha TCP/IP de Última Geração dá suporte ao documento da IETF (Internet Engineering Task Force) intitulado "TCP Extended Statistics MIB", que define as estatísticas de desempenho estendidas para TCP. Por meio da análise das ESTATS de uma conexão, é possível determinar se o gargalo de desempenho é o aplicativo de envio, o aplicativo de recebimento ou a rede. O recurso ESTATS fica desabilitado por padrão e pode ser habilitado por conexão. Com ele, os ISVs (fornecedores independentes de software) que não são da Microsoft podem criar eficientes aplicativos de diagnóstico e análise da taxa de transferência da rede.

Plataforma para Filtros do Windows

A Plataforma para Filtros do Windows (WFP) é uma nova arquitetura da Pilha TCP/IP de Última Geração que fornece APIs para que os ISVs que não são da Microsoft possam filtrar em várias camadas na pilha do protocolo TCP/IP e no sistema operacional inteiro.

A WFP também integra e fornece suporte a recursos de firewall de última geração, como a comunicação autenticada e a configuração dinâmica de firewall baseada no uso da API do Windows Sockets por um aplicativo. Os ISVs podem criar firewalls, software antivírus, software de diagnóstico e outros tipos

de aplicativos e serviços. O Firewall do Windows e o IPsec do Windows Server 2008 e do Windows Vista usam a API da WFP.

Notificação de Congestionamento Explícito

Quando um segmento TCP é perdido, o protocolo TCP presume que isso ocorreu devido a um congestionamento no roteador e faz um controle de congestionamento, o que reduz significativamente a taxa de transmissão do remetente TCP. Com o suporte para ECN (Notificação de Congestionamento Explícito) nos dois pontos TCP e na infra-estrutura de roteamento, os roteadores que estão congestionados marcam os pacotes à medida que os encaminham. Os pontos TCP que recebem os pacotes marcados diminuem a taxa de transmissão para atenuar o congestionamento e evitar perdas de segmentos. A detecção de congestionamentos antes de ocorrer a perda de pacotes aumenta a taxa de transferência como um todo entre os pontos TCP. A ECN não fica habilitada por padrão.

Aprimoramentos em IPv6

A Pilha TCP/IP de Última Geração dá suporte aos seguintes aprimoramentos feitos no protocolo IPv6:

IPv6 habilitado por padrão

Pilha IP dupla

Configuração baseada na interface gráfica do usuário

Aprimoramentos do Teredo

Suporte a IPsec integrado

Descoberta de Ouvinte Multicast versão 2

Resolução de Nomes Multicast Local de Link

IPv6 sobre PPP

Identificadores de interface aleatórios para endereços IPv6

Suporte a DHCPv6

IPv6 habilitado por padrão

No Windows Server 2008 e no Windows Vista, o IPv6 é instalado e habilitado por padrão. É possível definir as configurações do IPv6 através das

propriedades do componente Protocolo IP versão 6 (TCP/IPv6) e dos comandos no contexto IPv6 da interface Netsh.

No Windows Server 2008 e no Windows Vista, não é possível desinstalar o IPv6, mas ele pode ser desabilitado.

Pilha IP dupla

A Pilha TCP/IP de Última Geração dá suporte a uma arquitetura de camada IP dupla em que as implementações dos protocolos IPv4 e IPv6 compartilham camadas de transporte (TCP e UDP) e de enquadramento em comum. Por padrão, o IPv4 e o IPv6 estão habilitados na pilha. Não é necessário instalar um componente à parte para obter suporte a IPv6.

Configuração baseada na interface gráfica do usuário

Nos sistemas operacionais Windows Server 2008 e Windows Vista, você pode definir configurações do IPv6 manualmente usando um conjunto de caixas de diálogo da pasta Conexões de Rede, de maneira semelhante à definição manual de configurações do IPv4.

Aprimoramentos do Teredo

O Teredo proporciona conectividade aperfeiçoada para aplicativos habilitados para IPv6, oferecendo endereçamento IP global exclusivo e permitindo que o tráfego IPv6 atravesse as NATs (conversões de endereço de rede). Com ele, os aplicativos habilitados para IPv6 que exigem endereçamento global e de tráfego indesejado, como aplicativos ponto a ponto, funcionarão em uma NAT. Se tivessem usado tráfego IPv4, esses mesmos tipos de aplicativos exigiriam configuração manual da NAT ou não funcionariam sem modificar o protocolo do aplicativo de rede.

Agora o Teredo pode funcionar se houver um cliente Teredo atrás de um ou mais conversores de endereço de rede (NATs) simétricos. Um NAT simétrico mapeia os mesmos endereço e número de porta internos (privados) para diferentes endereços e portas externos (públicos), dependendo do endereço de destino externo (para tráfego de saída). Esse novo comportamento permite que o Teredo trabalhe entre um conjunto maior de hosts conectados à Internet.

No Windows Vista, o componente Teredo está habilitado, mas fica inativo por padrão. Para torná-lo ativo, um usuário deve instalar um aplicativo que precise usar o Teredo ou optar por alterar as configurações de firewall para permitir que um aplicativo utilize esse componente.

Suporte a IPsec integrado

No Windows Server 2008 e no Windows Vista, o suporte a IPsec para tráfego IPv6 é igual ao existente para IPv4, incluindo suporte ao protocolo IKE e criptografia de dados. O Firewall do Windows com os snap-ins Segurança Avançada e Diretivas de Segurança IP agora dão suporte à configuração de diretivas IPsec para tráfego IPv6 da mesma forma que para tráfego IPv4. Por exemplo, quando você configura um filtro IP como parte de uma lista de filtros IP no snap-in Diretivas de Segurança IP, agora é possível especificar endereços IPv6 e prefixos de endereço nos campos Endereço IP ou Sub-rede quando especificar um determinado endereço IP de origem ou de destino.

Descoberta de Ouvinte Multicast versão 2

A Descoberta de Ouvinte Multicast versão 2 (MLDv2), especificada no RFC 3810, oferece suporte para tráfego multicast específico de origem. A MLDv2 é equivalente ao protocolo IGMP versão 3 (IGMPv3) para IPv4.

Resolução de Nomes Multicast Local de Link

A LLMNR (Resolução de Nomes Multicast Local de Link) permite que hosts IPv6 de uma única sub-rede que não tem um servidor DNS resolvam os nomes uns dos outros. Esse recurso é útil para redes domésticas com uma única sub-rede e para redes sem fio ad hoc.

IPv6 sobre PPP

Agora o acesso remoto dá suporte a IPv6 sobre PPP, conforme definido no RFC 2472. O tráfego IPv6 agora pode ser enviado através de conexões baseadas em PPP. Por exemplo, o suporte a IPv6 sobre PPP permite que você se conecte a um provedor de Internet baseado em IPv6 por meio de conexões dial-up ou PPP através de Ethernet (PPPoE) que podem ser usadas para oferecer acesso à Internet de banda larga.

Identificadores de interface aleatórios para endereços IPv6

Para impedir triagens de endereços IPv6 com base nos identificadores de empresas conhecidos de fabricantes de adaptadores de rede, por padrão o Windows Server 2008 e o Windows Vista geram identificadores de interface aleatórios para endereços IPv6 estáticos configurados automaticamente, incluindo endereços públicos e locais de link.

Suporte a DHCPv6

O Windows Server 2008 e o Windows Vista incluem um cliente DHCP habilitado para o protocolo DHCP versão 6 (DHCPv6) que executa a configuração automática de endereço com monitoração de estado usando um

servidor DHCPv6. O Windows Server 2008 inclui um serviço Servidor DHCP habilitado para DHCPv6.

Qualidade de Serviço

No Windows Server 2003 e no Windows XP, a funcionalidade QoS é disponibilizada para os aplicativos através das APIs GQoS. Os aplicativos que usavam as APIs GQoS acessavam funções de entrega com prioridade. No Windows Server 2008 e no Windows Vista, há novos recursos para gerenciar o tráfego de rede em ambientes corporativos e domésticos.

QoS baseada em diretiva para redes corporativas

As diretivas de QoS do Windows Server 2008 e do Windows Vista permitem que a equipe de TI priorize ou gerencie a velocidade de envio do tráfego de rede de saída. A equipe de TI pode restringir as configurações a determinados nomes de aplicativo, endereços IP de origem e destino específicos e portas TCP ou UDP de origem ou de destino específicas.

As configurações de diretiva de QoS fazem parte das configurações de Diretiva de Grupo de configuração do usuário ou de configuração do computador e são definidas utilizando-se o Console de Gerenciamento de Diretiva de Grupo. Elas são vinculadas aos contêineres dos Serviços de Domínio Active Directory® (domínios, sites e unidades organizacionais) através do Console de Gerenciamento de Diretiva de Grupo.

Para gerenciar o uso da largura de banda, você pode configurar uma diretiva de QoS com uma taxa limite para o tráfego de saída. Com isso, uma diretiva de QoS pode limitar o tráfego de rede de saída agregado a uma taxa especificada. Para especificar a entrega com prioridade, o tráfego é marcado com um valor DSCP (Ponto de Código de Serviços Diferenciados). Os roteadores ou pontos de acesso sem fio da infra-estrutura da rede podem colocar pacotes marcados com DSCP em diferentes filas para entrega diferenciada. A marcação e o limite de DSCP podem ser usados em conjunto para gerenciar o tráfego efetivamente. Como o limite e a marcação de prioridade ocorrem na camada da rede, não é necessário modificar os aplicativos.

Volume Activation 2.0



O Volume Activation (VA) 2.0, lançado inicialmente para ativar sistemas baseados no Windows Vista® em contratos de licenciamento por volume, foi

agora estendido ao Windows Server® 2008. O Volume Activation 2.0 deve ser incorporado à implantação de todos os sistemas baseados no Windows Server 2008 em contratos de licenciamento por volume.

O que o Volume Activation 2.0 faz?

Todos os sistemas baseados no Windows Server 2008 devem estar ativados. O VA 2.0 ajuda a automatizar e gerenciar o processo de ativação do produto de sistemas baseados no Windows Server 2008 licenciados de acordo com contratos de licenciamento por volume. Ao mesmo tempo, ele trata de problemas associados a pirataria e ao gerenciamento de chave de produto associados a Chaves de Licença de Volume (VLKs) emitidas para o Windows Server® 2003. O VA 2.0 auxilia no gerenciamento de e aumenta a proteção de chaves de licença de volume em ambientes gerenciados e não gerenciados. Ele também é útil para otimizar a infra-estrutura de implantação por meio do uso de opções de implantação flexíveis que não exigem ação ou envolvimento de usuários finais. Além disso, o VA 2.0 habilita uma proteção e um gerenciamento melhor de chaves de produto específicas do cliente com o uso de novas e avançadas ferramentas de gerenciamento de ativação.

Quem estaria interessado no Volume Activation 2.0?

Designers de infra-estrutura, implementadores e administradores que são responsáveis por implantar o Windows em suas empresas precisam entender como planejar, implementar e gerenciar o VA 2.0 como parte da implantação do Windows Server 2008. Para obter informações sobre como planejar, implementar e gerenciar o VA 2.0, bem como vários outros recursos e ferramentas, consulte Volume Activation 2.0 para Windows Vista e Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=107415, essa página pode estar em inglês).


Como ocorre com o Windows Server 2003, você precisa obter primeiramente suas Chaves de Licença de Volume no Centro de Atendimento de Licenciamento por Volume (http://go.microsoft.com/fwlink/?LinkId=107544, essa página pode estar em inglês). Você também pode telefonar para o número apropriado listado em Telefones Internacionais dos Centros de Ativação da Microsoft (http://go.microsoft.com/fwlink/?LinkId=107418, essa página pode estar em inglês).

A ativação do KMS (Serviço de Gerenciamento de Chaves) exige conectividade TPC/IP (porta padrão TCP/1688, que é configurável). A atualização dinâmica de DNS e o suporte ao registro SRV são necessários para a funcionalidade




padrão de publicação e descoberta automática usada pelo KMS. Convém configurar os Logs de Aplicativos e Serviços\Log de Eventos do Serviço de Gerenciamento de Chaves em hosts do KMS para assegurar que ele seja grande o suficiente para acomodar o volume esperado em sua organização.

Que nova funcionalidade o Volume Activation 2.0 oferece?

A Microsoft fez alterações nas tecnologias de ativação do produto usadas para proteger sua propriedade intelectual. A ativação do produto é necessária para todas as edições do Windows Vista e do Windows Server 2008, inclusive as licenciadas em programas de licenciamento por volume da Microsoft. Essas alterações fazem parte da Plataforma de Proteção de Software (SPP) da Microsoft, um novo conjunto de inovações antipirataria, práticas de detecção de falsificação e resistência a adulteração. Para obter mais informações, vá para a Plataforma de Proteção de Software da Microsoft: Protegendo Software e Clientes contra Falsificações (http://go.microsoft.com/fwlink/?LinkId=107548, essa página pode estar em inglês) e clique na Plataforma de Proteção de Software da Microsoft: white paper Inovações para Windows Vista™ e Windows Server® ―Longhorn‖ no painel de Links Relacionados.

O que funciona de maneira diferente?

O VA 2.0 é o novo método de ativar sistemas baseados no Windows Server 2008 em contratos de licenciamento por volume, substituindo as VLKs emitidas para o Windows Server 2003. O VA 2.0 oferece dois modelos para ativar computadores baseados no Windows Server 2008. Um fornece ativação direta com a Microsoft usando a MAK (Chave de Ativação Múltipla). A outra permite que você execute um serviço de ativação local em seu ambiente usando o KMS (Serviço de Gerenciamento de Chaves).

Não é mais necessária uma chave de produto para instalação; em vez disso, é usada uma chave de configuração interna durante a instalação. Todas as edições do Windows Server 2008 devem ser ativadas durante um período inicial de cortesia. Em algumas circunstâncias (por exemplo, em um ambiente de laboratório), você pode optar por usar o processo Rearm para estender o período de cortesia inicial em até três vezes antes de precisar reativar ou recriar um sistema.

As chaves MAK e KMS se aplicam a grupos de chaves de produto de edição por volume, em vez de serem específicas de uma edição do Windows Server 2008. As chaves MAK e KMS ativam instalações do Windows Server 2008 de acordo com os seguintes três grupos de produto do Windows Server 2008:


Grupo de Servidores C —Datacenter, sistemas baseados em Itanium

Grupo de Servidores B — Standard, Enterprise

Grupo de Servidores A—Web

Existem três estados gerais de licença para rastrear a ativação do Windows Server 2008 : Licenciado, Cortesia e Notificações. Quando um computador está no estado Licenciado, ele foi corretamente ativado. O estado Cortesia é um ―período de cortesia‖, um prazo fornecido para permitir ações necessárias de modo a devolver o computador ao estado Licenciado. Se um computador baseado no Windows Server 2008 não for ativado antes da expiração de um período de cortesia, ele entrará no estado de Notificações, tornando-se não-licenciado e apresentando notificações de destaque, difíceis de ignorar. Nesse estado, o usuário tem acesso à área de trabalho, e as notificações aparecem de hora em hora até o sistema operacional ser ativado.

Como devo me preparar para essa alteração?

Embora o VA 2.0 use um processo diferente do usado no passado pelas chaves de licença de volume e exija algum planejamento e gerenciamento, ele não é difícil ou complicado de implementar ou gerenciar e deve exigir esforço adicional mínimo de TI. Para obter informações sobre como planejar, implementar e gerenciar o VA 2.0, bem como vários outros recursos e ferramentas, consulte Volume Activation 2.0 para Windows Vista e Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=107415, essa página pode estar em inglês).

Que configurações foram adicionadas ou alteradas?

Há várias configurações opcionais que exigem a criação ou alteração de chaves de Registro na seguinte tabela em computadores clientes:

Nome da

configur

ação

Location (local) Nome do

valor Type

Dados

do

valor

Habilitar a ativação do usuário

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL

UserOperations

DWORD

1


padrão

Desabilitar notificações de ativação

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL\Activation

NotificationDisabled

DWORD

1

Desabilitar a ativação automática

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL\Activation

Manual DWORD

1

Desabilitar a publicação de registros do serviço KMS no DNS

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL

DisableDnsPublishing

DWORD

1 (qualquer valor diferente de zero desabilitará a publicação no DNS)

Habilitar a publicação de registros do serviço KMS no DNS

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SL

DisableDnsPublishing (REG_DWORD)

0 (qualquer valor diferente de zero desabilitará a publicação no DNS)

As seções a seguir descrevem os usos dessas configurações do Registro.

Habilitar a ativação do usuário padrão

Um administrador pode criar essa chave de Registro para permitir que um usuário padrão alterne um cliente KMS para ativação MAK, de modo a substituir um MAK existente por um novo MAK, ou ative manualmente o computador.

Observação

Se um usuário padrão instalar uma chave MAK ou KMS, os valores de Registro

de ID do Produto não serão atualizados. Isso afeta principalmente o suporte ao

produto. Os Serviços de Atendimento ao Cliente da Microsoft estão cientes

desse problema e usarão outro mecanismo para determinar o método de

ativação.

Desabilitar notificações de ativação

Embora não seja recomendado, um administrador pode desativar notificações de licenciamento de software criando e configurando esse valor do Registro. Esse sinalizador desativará todas as notificações de licenciamento de software, inclusive balões, assistentes e caixas de diálogo de tarefas. Se as notificações de ativação forem desativadas, o usuário não receberá erros relacionados a ativação.

Desabilitar a ativação automática

Um administrador pode desabilitar tentativas de ativação em qualquer computador cliente configurando essa chave do Registro.

Desabilitar publicação do DNS

Um administrador tem a opção de desabilitar a publicação automática do DNS pelo host KMS executando o seguinte comando:

cscript C:\windows\system32\slmgr.vbs /cdns

Isso também pode ser configurado no Registro.

Habilitar publicação do DNS

Um administrador tem a opção de reabilitar a publicação automática do DNS em um host KMS executando o seguinte comando:

cscript C:\windows\system32\slmgr.vbs /sdns

Isso também pode ser configurado no Registro.

Como devo me preparar para implantar o Volume Activation 2.0?

O KMS e as MAK habilitam várias opções de implantação para implementar o VA 2.0 em seu ambiente. O(s) método(s) escolhido para ativar sistemas do Windows Server 2008 depende(m) de vários fatores, inclusive considerações de infra-estrutura de ambiente de destino, considerações sobre conectividade do usuário e considerações de diretivas de organização. Com base nessas considerações, algumas opções de implantação podem exigir alterações de infra-estrutura. Você pode encontrar orientação prescritiva de planejamento e implantação, exemplos de cenários típicos, bem como orientação técnica e operacional, na documentação do Volume Activation 2.0 para Windows Vista e Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=107415, essa página pode estar em inglês).

O Volume Activation 2.0 está disponível em todas as edições do Windows Server 2008?

O Volume Activation 2.0 é o método necessário de ativação de todas as edições de sistemas baseados no Windows Server 2008 em contratos de licenciamento por volume.

Firewall do Windows com Segurança Avançada



Começando com Windows Vista® e Windows Server® 2008, as configurações do Firewall do Windows® e do protocolo IPsec (Internet Protocol security) são combinadas em uma única ferramenta, o snap-in Console de Gerenciamento Microsoft (MMC) do Firewall do Windows com Segurança Avançada.

O snap-in MMC do Firewall do Windows com Segurança Avançada substitui os dois snap-ins IPsec anteriores, as Diretivas de Segurança IP e o Monitor de Segurança IP, para configurar os computadores que estiverem executando Windows Vista e Windows Server 2008. Os snap-ins IPsec anteriores ainda são incluídos no Windows para gerenciar computadores clientes que estejam executando Windows Server® 2003, Windows XP ou Microsoft® Windows 2000. Embora os computadores com Windows Vista e Windows Server 2008 também possam ser configurados e monitorados usando os snap-ins IPsec anteriores, você não pode usar ferramentas antigas para configurar os muitos novos recursos e opções de segurança introduzidos no Windows Vista e Windows Server 2008. Para aproveitar esses novos recursos, você deve fazer as configurações usando o snap-in Firewall do Windows com Segurança Avançada, ou os comandos no contexto advfirewall da ferramenta Netsh.


O que o Firewall do Windows com Segurança Avançada faz?

Firewall do Windows com Segurança Avançada fornece várias funções em um computador com Windows Vista ou Windows Server 2008:

Filtragem de todo o tráfego de IP versão 4 (IPv4) e IP versão 6 (IPv6) entrando ou saindo do computador. Por padrão, o tráfego de entrada é bloqueado, a menos que seja a resposta a uma solicitação de saída anterior do computador (tráfego solicitado) ou seja especificamente permitido por uma regra criada para permitir o tráfego. Por padrão, todo o tráfego de saída é permitido, exceto para regras de proteção de serviço que impedem os serviços padrão de se comunicarem de maneiras inesperadas. Você pode escolher permitir o tráfego com base em números de porta, endereços IPv4 ou IPv6, o caminho e o nome de um aplicativo ou o nome de um serviço que esteja em execução no computador, ou outros critérios.

Proteger o tráfego da rede entrando ou saindo do computador com o protocolo IPsec para verificar a integridade do tráfego da rede, autenticar a identidade dos computadores ou usuários de envio e recebimento, e opcionalmente criptografar o tráfego para oferecer confidencialidade.

Quem estaria interessado nesse recurso?

Iniciando com o Windows XP Service Pack 2, o Firewall do Windows é habilitado por padrão nos sistemas operacionais cliente da Microsoft. O Windows Server 2008 é o primeiro sistema operacional servidor da Microsoft a ter o Firewall do Windows habilitado por padrão. Como o Firewall do Windows é ativado por padrão, cada administrador de um servidor com Windows Server 2008 deve estar ciente desse recurso e entender como configurar o firewall para permitir o tráfego da rede necessário.

O Firewall do Windows com Segurança Avançada pode ser totalmente configurado usando o snap-in MMC do Firewall do Windows com Segurança Avançada ou os comandos disponíveis no contexto advfirewall da ferramenta de linha de comando Netsh. As ferramentas gráficas e de linha de comando suportam o gerenciamento do Firewall do Windows com Segurança Avançada no computador local ou em um computador remoto com Windows Server 2008 ou Windows Vista que está na rede. As configurações criadas usando uma dessas ferramentas podem ser implantadas nos computadores conectados à rede usando a Diretiva de Grupo.

Você deve rever esta seção no Firewall do Windows com Segurança Avançada caso esteja em um dos seguintes grupos:

Planejadores e analistas de TI que estão avaliando o produto tecnicamente

Planejadores e designers de TI do Enterprise

Profissionais de TI que implantam ou administram soluções de segurança em rede na sua organização

Que funcionalidade nova esse recurso oferece?

O Firewall do Windows com Segurança Avançada consolida duas funções que são gerenciadas separadamente nas versões anteriores do Windows. Além disso, a principal funcionalidade de cada componente do firewall e IPsec do Firewall do Windows com Segurança Avançada é sensivelmente aperfeiçoada no Windows Vista e Windows Server 2008.

O Firewall do Windows é ativado por padrão

O Firewall do Windows tem sido ativado por padrão nos sistemas operacionais clientes do Windows desde o Windows XP Service Pack 2, mas o Windows Server 2008 é a primeira versão de servidor do sistema operacional do Windows a ter o Firewall do Windows ativado por padrão. Isso tem implicações sempre que um aplicativo ou serviço instalado tiver permissão de receber tráfego de entrada não solicitado pela rede. Muitos aplicativos antigos não são projetados para funcionar com um firewall baseado em host e talvez não funcionem corretamente, a menos que você defina regras para permitir que esse aplicativo aceite tráfego de rede de entrada não solicitada. Quando você instala uma função ou recurso de servidor incluída com o Windows Server 2008, o instalador habilita ou cria automaticamente regras de firewall para ter certeza de que a função ou recurso do servidor funcione corretamente. Para determinar as configurações do firewall que devem ser configuradas para um aplicativo, entre em contato com o fornecedor do aplicativo. As configurações do firewall são publicadas freqüentemente no site de suporte do fornecedor.

Observação

Um computador executando o Windows Server 2003 que foi atualizado para o Windows Server 2008 mantém o mesmo estado operacional de firewall que tinha antes da atualização. Se o firewall estava desativado antes da atualização, permanecerá desativado após a atualização. É altamente recomendável que você ative o firewall assim que confirmar que os aplicativos no servidor funcionam com o firewall conforme a configuração, ou assim que você configurar as regras de firewall apropriadas para os aplicativos que estão em execução no computador.

O gerenciamento da diretiva IPsec é simplificado

Em versões anteriores do Windows, as implementações de servidor ou isolamento de domínio às vezes exigiam a criação de um grande número de regras IPsec para certificar que o tráfego de rede necessário estava protegido adequadamente, ao mesmo tempo em que ainda permitiam tráfego de rede necessário que não pudesse ser protegido com IPsec.

A necessidade de um conjunto grande e complexo de regras IPsec foi reduzida graças a um novo comportamento padrão para negociação de IPsec que solicita mas não necessita de proteção IPsec. Quando essa configuração é usada, o IPsec envia uma tentativa de negociação de IPsec, ao mesmo tempo em que envia pacotes de texto simples para o computador de destino. Se o computador de destino responder e concluir com êxito a negociação, a comunicação de texto simples será interrompida e a comunicação subseqüente será protegida por IPsec. Entretanto, se o computador de destino não responder à negociação de IPsec, a tentativa de texto simples poderá continuar. As versões anteriores do Windows aguardavam três segundos após a tentativa de negociação de IPsec antes de tentarem se comunicar usando texto simples. Isso resultava em atrasos significativos de desempenho do tráfego que não podia ser protegido e tinha que ser repetido em texto simples. Para evitar esse atraso do desempenho, um administrador tinha que criar várias regras IPsec para dar conta de diferentes requisitos de cada tipo de tráfego de rede.

O novo comportamento permite a opção de solicitar, mas não exige proteção IPsec para realizar quase tão bem quanto tráfego não protegido, porque ele não exige mais um atraso de três segundos. Isso permite que você proteja o tráfego onde é necessário, sem ter que criar muitas regras que permitam explicitamente as exceções necessárias. Isso resulta em um ambiente mais seguro, menos complexo e mais fácil de solucionar problemas.

Suporte para IP Autenticado (AuthIP)

Nas versões anteriores do Windows, o IPsec suportava somente o protocolo IKE (Internet Key Exchange) para negociar as associações de segurança do IPsec. O Windows Vista e o Windows Server 2008 suportam uma extensão para IKE conhecida como IP Autenticado (AuthIP). O AuthIP fornece capacidades de autenticação adicionais como:

Suporte para novos tipos de credenciais que não estão disponíveis somente no IKE. Entre elas estão as seguintes: certificados de integridade fornecidos pelo servidor HRA (Autoridade de Registro de Autoridade), que é parte de uma implantação NAP (Proteção do Acesso à Rede);

certificados baseados em usuário; credenciais de usuário Kerberos; e credenciais de usuário ou computador NTLM versão 2. Estes são tipos de credenciais adicionais que o IKE suporta, como certificados baseados em computador, credenciais Kerberos para a conta do computador ou simples chaves pré-compartilhadas.

Suporte para autenticação usando várias credenciais. Por exemplo, o IPsec pode ser configurado para exigir que as credenciais de computador e usuário sejam processadas com sucesso, antes da permissão do tráfego. Isso aumenta a segurança da rede, reduzindo a chance de um computador confiável ser usado por um usuário não confiável.

Suporte para proteção do membro do domínio para o tráfego do controlador de domínio, usando IPsec

Versões anteriores do Windows não suportam o uso do IPsec para proteger o tráfego entre controladores de domínio e computadores membros de domínio. Windows Vista e Windows Server 2008 suportam a proteção do tráfego de rede entre computadores membros de domínio e controladores de domínio usando IPsec, ao mesmo tempo em que ainda habilitam um computador membro não-domínio a se juntar a um domínio usando o controlador de domínio protegido por IPsec.

Suporte criptográfico aperfeiçoado

A implementação de IPsec no Windows Vista e Windows Server 2008 suporta algoritmos adicionais para o principal modo de negociação de SAs:

Elliptic Curve Diffie-Hellman P-256, um algoritmo de curva elíptica que usa um grupo de curva aleatória de 256 bits.

Elliptic Curve Diffie-Hellman P-384, um algoritmo de curva elíptica que usa um grupo de curva aleatória de 384 bits.

Também são suportados os métodos de criptografia a seguir, que usam AES (Advanced Encryption Standard):

AES com CBC (cipher block chaining) e um tamanho de chave de 128 bits (AES 128).

AES com CBC e um tamanho de chave de 192 bits (AES 192).

AES com CBC e um tamanho de chave de 256 bits (AES 256).

As configurações podem mudar dinamicamente com base no tipo de local de rede

Windows Vista e Windows Server 2008 podem notificar aplicativos habilitados por rede, como o Firewall do Windows, sobre alterações nos tipos de locais de rede disponíveis por meio de qualquer adaptador de rede conectado, conexões dial-up, redes privadas virtuais (VPNs) etc. O Windows suporta três tipos de locais de rede, e os programas podem usar esses tipos de locais para aplicar automaticamente o conjunto apropriado de opções de configuração. Os aplicativos devem ser escritos para aproveitar esse recurso e receber notificações de alterações nos tipos de locais de local de rede. O Firewall do Windows com Segurança Avançada no Windows Vista e Windows Server 2008 pode fornecer diferentes níveis de proteção com base no tipo de local de rede ao qual o computador está conectado. Os tipos de locais de rede são:

Domínio. Esse tipo de local de rede é selecionado quando o computador é membro de um domínio, e o Windows determina se o computador está atualmente conectado à rede que hospeda o domínio. Essa seleção é automática, com base na autenticação bem-sucedida com um controlador de domínio na rede.

Privado. Esse tipo de local de rede pode ser selecionado para as redes em que o usuário confia, como redes domésticas ou de pequenos escritórios. As configurações atribuídas a esse tipo de local são normalmente mais restritivas que uma rede de domínio, porque não se espera que uma rede doméstica seja tão ativamente gerenciada quanto uma rede de domínio. Uma rede detectada recentemente nunca é atribuída automaticamente ao tipo de local Privado. Um usuário deve escolher explicitamente a atribuição da rede ao tipo de local Privado.

Público. Esse tipo de local de rede é atribuído por padrão a todas as redes detectadas recentemente. As configurações atribuídas a esse tipo de local normalmente são as mais restritivas, devido aos riscos de segurança que se encontram em uma rede pública.

Observação

O recurso do tipo de local de rede é mais útil em computadores clientes, especialmente os portáteis, que provavelmente se movem de rede para rede. Um servidor provavelmente não é móvel, portanto, uma estratégia sugerida para um computador típico que esteja executando o Windows Server 2008 é configurar igualmente os três perfis.

Integração do Firewall do Windows e do gerenciamento do IPsec em uma única interface de usuário

No Windows Vista e no Windows Server 2008, a interface de usuário do firewall e os componentes do IPsec estão agora combinados no snap-in MMC do Firewall do Windows com Segurança Avançada, e os comandos no contexto advfirewall da ferramenta de linha de comando Netsh. As ferramentas usadas no Windows XP, Windows Server 2003 e Windows 2000 — as configurações de Diretiva de Grupo do modelo administrativo do Firewall do Windows, os snap-ins MMC Diretiva de Segurança IP e Monitor de Segurança IP, e os contextos ipsec e firewall do comando Netsh — ainda estão disponíveis, mas não suportam nenhum dos recursos mais recentes incluídos no Windows Vista e Windows Server 2008. O ícone do Firewall do Windows no Painel de Controle também está presente, mas é uma interface de usuário final para gerenciar a funcionalidade básica do firewall e não apresenta as opções avançadas exigidas por um administrador.

Usando as várias ferramentas para firewall e IPsec nas versões mais recentes do Windows, os administradores podem criar acidentalmente configurações conflitantes, como uma regra IPsec que faça um tipo específico de pacote de rede ser descartado, mesmo que uma regra de firewall permita a presença do mesmo tipo de pacote de rede. Isso pode resultar em cenários de solução de problemas muito difíceis. A combinação das duas funções reduz a possibilidade de criar regras conflitantes e ajuda a garantir a proteção adequada do tráfego desejado.

Suporte total para proteção de tráfego de rede IPv4 e IPv6

Todos os recursos de firewall e IPsec disponíveis no Windows Vista e no Windows Server 2008 estão disponíveis para proteger tanto o tráfego de rede IPv4 quanto o IPv6.

Eu preciso alterar algum código existente?

Se você criar um software projetado para ser instalado com Windows Vista ou Windows Server 2008, deverá ter certeza de que a ferramenta de instalação configure corretamente o firewall, criando ou habilitando regras que permitam que o tráfego da rede do seu programa passe pelo firewall. O programa deve reconhecer os diferentes tipos de locais de rede reconhecidos pelo Windows: domínio, privado e público, respondendo corretamente a uma alteração no tipo de local de rede. Uma alteração no tipo de local de rede pode resultar em diferentes regras de firewall funcionando no computador. Por exemplo, se você deseja que o aplicativo apenas seja executado em um ambiente seguro, como um domínio ou rede privada, as regras de firewall devem impedir que o aplicativo envie tráfego de rede quando o computador estiver em uma rede pública. Se o tipo de local de rede mudar inesperadamente enquanto o aplicativo estiver em execução, ele deve tratar a alteração normalmente.

Referências adicionais

Os recursos a seguir fornecem informações adicionais sobre Firewall do Windows com Segurança Avançada e IPsec:

Para obter mais informações sobre o Firewall do Windows com Segurança Avançada, consulte Firewall do Windows (http://go.microsoft.com/fwlink/?LinkID=84639).

Para obter mais informações sobre o IPsec, consulte IPsec (http://go.microsoft.com/fwlink/?LinkID=84638).

Para obter mais informações sobre cenários de isolamento de servidor e de domínio para IPsec, consulte Isolamento de Servidor e Domínio (http://go.microsoft.com/fwlink/?LinkID=79430).

Para obter mais informações sobre Proteção de Acesso à Rede, consulte Proteção de Acesso à Rede (http://go.microsoft.com/fwlink/?LinkID=84638).

Para obter mais informações sobre como gravar aplicativos cientes dos tipos de locais de rede, consulte Network Awareness on Windows Vista (http://go.microsoft.com/fwlink/?LinkId=85491) e Network Location Awareness Service Provider (NLA) (http://go.microsoft.com/fwlink/?LinkId=85492).

Windows PowerShell



O Windows PowerShell® é um novo shell de linha de comando baseado em tarefas e uma linguagem de scripts criado especialmente para a administração de sistemas. Baseado no Microsoft .NET Framework, o Windows PowerShell ajuda os profissionais de TI e usuários avançados a controlar e a automatizar a administração do Windows e de aplicativos executados nesse sistema operacional.

O que o Windows PowerShell faz?

Os comandos internos do Windows PowerShell, chamados de cmdlets, permitem que você gerencie os computadores de sua empresa a partir da linha de comando. Os provedores do Windows PowerShell permitem que você acesse armazenamentos de dados, como o Registro e o armazenamento de

http://go.microsoft.com/fwlink/?LinkID=84639






certificados, com a mesma facilidade com que acessa o sistema de arquivos. Além disso, o Windows PowerShell tem um sofisticado analisador de expressões e uma linguagem de scripts totalmente desenvolvida.

O Windows PowerShell 1.0 inclui os seguintes recursos:

129 cmdlets padrão que executam tarefas comuns de administração do sistema, como o gerenciamento do Registro, de serviços, de processos e de logs de eventos, e para a utilização da Instrumentação de Gerenciamento do Windows.

Uma linguagem de scripts baseada em tarefas e suporte para scripts e ferramentas de linha de comando existentes.

Design consistente. Como os cmdlets do Windows PowerShell e os armazenamentos de dados do sistema usam convenções de sintaxe e de nomenclatura comuns, os dados podem ser facilmente compartilhados e a saída de um cmdlet pode ser usada como a entrada de outro sem a necessidade de reformatação ou manipulação.

Simplificada, a navegação do sistema operacional baseada em comandos permite aos usuários navegarem pelo Registro e por outros armazenamentos de dados usando as mesmas técnicas usadas na navegação do sistema de arquivos.

Recursos poderosos de manipulação de objetos. Os objetos podem ser diretamente manipulados ou enviados para outras ferramentas ou bancos de dados.

Interface extensível. Fornecedores de software independentes e desenvolvedores corporativos podem criar ferramentas e utilitários personalizados para a administração de seu software.


O Windows PowerShell é útil para qualquer pessoa que deseja gerenciar o Windows usando a linha de comando, principalmente administradores de sistema que criam soluções de tarefas automatizadas e desenvolvedores que desejam criar seus próprios cmdlets, provedores e aplicativos de hospedagem do Windows PowerShell.


O Windows PowerShell é um ambiente baseado em objetos, por isso os usuários precisam entender como manipular dados usando propriedades e

métodos de objetos. A maioria dos shells existentes baseia-se em texto, o que significa que os scripts devem analisar por completo os dados baseados em texto para encontrar os dados de interesse. No ambiente de objetos do Windows PowerShell, um script só precisa acessar a propriedade de objeto adequada para encontrar os dados de interesse.

Que nova funcionalidade é oferecida por esse recurso?

O Windows PowerShell permite manipular objetos e não apenas texto. Ele oferece uma linguagem de scripts avançada baseada no .NET Framework. Ele também é uma forma consistente de passar por armazenamentos de dados, como o Registro, através do conceito de provedores.

Referências adicionais

Além da Ajuda disponível na linha de comando, os seguintes recursos oferecem mais informações:

Blog da Equipe do Windows PowerShell (http://go.microsoft.com/fwlink/?LinkID=83147 - essa página pode estar em inglês). Esse é o melhor recurso de aprendizado e colaboração com outros usuários do Windows PowerShell. Leia o Blog da Equipe do Windows PowerShell e inscreva-se no Fórum de Usuários (microsoft.public.windows.powershell). Então, à medida que for desenvolvendo o seu conhecimento, sinta-se à vontade para contribuir com as suas idéias.

SDK do Windows PowerShell (http://go.microsoft.com/fwlink/?LinkID=89595 - essa página pode estar em inglês). Oferece conteúdo de referência usado para o desenvolvimento de cmdlets, provedores e aplicativos de hospedagem.

Guia do Programador do Windows PowerShell (http://go.microsoft.com/fwlink/?LinkID=89596 - essa página pode estar em inglês). Contém tutoriais sobre a criação de cmdlets, provedores e aplicativos de hospedagem. Também contém informações sobre conceitos fundamentais do Windows PowerShell.

Monitor de Desempenho e Confiabilidade do Windows






O Windows Server® 2008 vem com o Monitor de Desempenho e Confiança do Windows, que oferece para os profissionais de TI as ferramentas necessárias para monitorar e avaliar o desempenho e a confiabilidade do sistema.

Observação

Em algumas versões de pré-lançamento do Windows, esse recurso era chamado de "Console de Diagnóstico de Desempenho do Windows".

O que o Monitor de Desempenho e Confiança do Windows faz?

O Monitor de Desempenho e Confiança é um snap-in do Console de Gerenciamento Microsoft (MMC) que combina a funcionalidade de ferramentas autônomas anteriores, como os Logs e Alertas de Desempenho, o Supervisor de Desempenho de Servidor e o Monitor do Sistema. Ele oferece uma interface gráfica para que você possa personalizar a coleta de dados e Sessões de Rastreamento de Eventos.

Ele também inclui o Monitor de Confiabilidade, um snap-in do MMC que controla as alterações feitas no sistema e as compara com as alterações na estabilidade do sistema, mostrando uma visualização gráfica da relação entre elas.


Profissionais de TI que precisam rever o desempenho e a confiabilidade de sistemas individuais de suas redes

Usuários finais interessados no impacto de aplicativos e na manutenção do desempenho e da confiabilidade de seus sistemas


O Monitor de Desempenho e Confiança do Windows é uma ferramenta que deve ser usada por profissionais de TI ou administradores de computadores. Para ver o status em tempo real no Modo de Exibição de Recurso, o console deve ser executado como membro do grupo Administradores. Para criar Conjuntos de Coletores de Dados, configurar logs ou exibir relatórios, o console deve ser executado como membro do grupo Administradores ou do Grupo de Usuários de Log de Desempenho.

Que nova funcionalidade é oferecida por esse recurso?

Os recursos do Monitor de Desempenho e Confiança do Windows que são novos no Windows Server 2008 incluem os seguintes:

Conjuntos de Coletores de Dados

Um novo recurso importante do Monitor de Desempenho e Confiança do Windows é o Conjunto de Coletores de Dados, que agrupa coletores de dados em elementos que podem ser reutilizados em diferentes cenários de monitoramento do desempenho. Uma vez que um grupo de coletores de dados é armazenado como Conjunto de Coletores de Dados, operações como agendamentos podem ser aplicadas ao conjunto inteiro através da alteração de uma única propriedade.

O Monitor de Desempenho e Confiança do Windows também inclui modelos padrão de Conjunto de Coletores de Dados, que ajudam administradores de sistemas a começar a coletar imediatamente dados de desempenho específicos de uma Função de Servidor ou de um cenário de monitoramento.

Assistentes e modelos para criar logs

Adicionar contadores a arquivos de log e agendar o início, o término e a duração são tarefas que agora podem ser executadas através de uma interface de assistente. Além disso, salvar essa configuração como modelo permite que os administradores de sistemas coletem o mesmo log nos demais computadores sem repetir os processos de agendamento e seleção de coletores de dados. Recursos de Logs e Alertas de Desempenho foram incorporados ao Monitor de Desempenho e Confiança do Windows para uso com qualquer Conjunto de Coletores de Dados.

Exibição de recurso

A home page do Monitor de Desempenho e Confiança do Windows é a nova tela do Modo de Exibição de Recurso, que mostra uma visão geral gráfica em tempo real do uso da CPU, dos discos, da rede e da memória. Expandido cada um desses elementos monitorados, os administradores de sistemas podem identificar que recursos estão sendo usados por cada um dos processos. Em versões anteriores do Windows, esses dados em tempo real específicos de cada processo só estavam disponíveis de forma limitada no Gerenciador de Tarefas.

Monitor de Confiabilidade

O Monitor de Confiabilidade calcula um Índice de Estabilidade do Sistema que reflete se problemas inesperados diminuíram a confiabilidade do sistema. Um gráfico do Índice de Estabilidade ao longo do tempo identifica rapidamente as datas em que os problemas começaram a surgir. O Relatório de Estabilidade do Sistema que o acompanha contém detalhes que ajudam a identificar a

causa principal da diminuição da confiabilidade. A exibição das alterações feitas no sistema (instalação ou remoção de aplicativos, atualizações no sistema operacional ou inclusão ou modificação de drivers) lado a lado com as falhas (erros de aplicativos, panes do sistema operacional ou falhas de hardware) permite desenvolver rapidamente uma estratégia para resolver os problemas.

Configuração unificada das propriedades para todas as coletas de dados, incluindo o agendamento

Seja para criar um Conjunto de Coletores de Dados a ser usado uma única vez ou para registrar a atividade em um log regularmente, a interface usada para operações de criação, agendamento ou modificação é a mesma. Se um Conjunto de Coletores de dados se mostra útil para o monitoramento de desempenho futuro, não é preciso recriá-lo. Ele pode ser reconfigurado ou copiado como modelo.

Relatórios de diagnóstico amigáveis

Agora os usuários do Supervisor de Desempenho de Servidor do Windows Server 2003 podem encontrar esses mesmos tipos de relatórios de diagnóstico no Monitor de Desempenho e Confiabilidade do Windows presente no Windows Server 2008. O tempo necessário para gerar relatórios é menor, e os relatórios podem ser criados com os dados coletados por qualquer Conjunto de Coletores de Dados. Isso permite que os administradores de sistemas repitam relatórios e avaliem de que maneira as alterações afetaram o desempenho ou as recomendações do relatório.

Preciso alterar algum código existente?

Os contadores de desempenho, os provedores de rastreamento de eventos e outros elementos de código anteriores relacionados ao desempenho não precisam funcionar com o novo Monitor de Desempenho e Confiança do Windows ou com seus recursos.

Documentação sobre solução de problemas do Windows Server



O conteúdo de solução de problemas disponível no Windows Server® 2008 representa um novo tipo de documentação online. Baseada no conhecimento adquirido durante a modelagem da integridade das funções de servidor do Windows Server 2008, a documentação apresenta etapas prescritivas que

podem ser executadas para se recuperar de condições de erro relatadas por um evento. Como a documentação pode ser acessada usando o recurso Visualizar Eventos, você descobrirá, em um só lugar, o que o evento significa, como corrigir a condição de erro relatada pelo evento e como verificar se o problema foi resolvido.

O que a documentação sobre solução de problemas faz?

A documentação oferece orientação prescritiva para que você possa:

Resolver uma condição de erro relatada por um evento específico.

Determinar se uma condição de erro relatada por um evento não está mais presente.

Diagnosticar a causa base de um evento quando a origem da condição de erro não estiver clara.

A documentação relacionada a essas atividades de solução de problemas complementa as informações obtidas com os eventos do Windows Server registrados em log no computador.

Essa documentação também apresenta as funções de servidor do Windows Server 2008 do ponto de vista da flexibilidade de gerenciamento.


Profissionais de TI que solucionam condições de erro em computadores que executam o Windows Server 2008.

Profissionais de TI que desejam entender as funções de servidor do Windows Server 2008 do ponto de vista da flexibilidade de gerenciamento.

Que nova funcionalidade é oferecida?

Link da Ajuda Online do Log de Eventos no recurso Visualizar Eventos

O recurso Visualizar Eventos do Windows Server 2008 inclui um link para a Ajuda Online do Log de Eventos que, quando clicado, leva o usuário para a documentação de solução de problemas.

Se o computador estiver conectado à Internet, será aberta uma página do navegador da Web mostrando informações de solução de problemas aplicáveis ao evento selecionado.

Pesquisa online sobre informações de solução de problemas relacionadas a funções de servidor

A documentação de solução de problemas faz parte da documentação online do Windows Server 2008. Para pesquisar essa documentação, consulte http://go.microsoft.com/fwlink/?LinkId=76538 (essa página pode estar em inglês).

Organizadas por funções de servidor, as informações estão divididas conforme as áreas lógicas que interessam a um administrador ou operador quando ele


está monitorando e solucionando problemas da função de servidor. Em cada área lógica de flexibilidade de gerenciamento, você encontrará informações de consulta e de solução de problemas relevantes para cada evento registrado pelos serviços e aplicativos que fazem parte da função de servidor.


Em relação ao link da Ajuda Online do Log de Eventos que conecta você diretamente à documentação online de solução de problemas de um evento, o computador que executa o Windows Server 2008 deve estar conectado à Internet.

Se o computador não estiver conectado à Internet, você poderá acessar a documentação de um computador que execute o Windows Server 2008 ou o Windows Vista® que esteja conectado com a Internet. Você pode executar um dos seguintes procedimentos:

Exporte o log de eventos que você está analisando e abra-o no outro computador.

Use o recurso Visualizar Eventos do outro computador para se conectar ao computador no qual você está solucionando problemas. Faça isso usando a opção Conectar-se a Outro Computador do snap-in Visualizar Eventos.

Documentação de solução de problemas e a Iniciativa Dynamic Systems

O gerenciamento orientado por conhecimento é um componente fundamental da iniciativa DSI (Dynamic Systems Initiative) da Microsoft. Para tornar possível o gerenciamento orientado por conhecimento, os estados desejados de integridade e configuração de sistemas devem ser capturados em modelos. Quando esses modelos são criados, o conhecimento para solucionar problemas também é capturado. A documentação de solução de problemas disponível no Windows Server 2008 é uma das primeiras etapas rumo ao gerenciamento orientado por conhecimento e a sistemas verdadeiramente dinâmicos.

Para obter mais informações, consulte o site da Iniciativa DSI (http://go.microsoft.com/fwlink/?LinkId=20303 - essa página pode estar em inglês).

onexões sem fio e com fio autenticadas 802.1X

Atualizado: outubro de 2009



O Windows Server® 2008 tem novos recursos interessantes para dar suporte a conexões Ethernet 802.3 com fio autenticadas por 802.1X e conexões sem fio 802.11 em clientes que executam o Windows Vista® e o Windows Server 2008. Esses recursos permitem usar a Diretiva de Grupo para definir configurações em vários clientes membros de domínio que executam o Windows Vista e o Windows Server 2008 para que eles possam se conectar a uma rede Ethernet 802.1X. Como alternativa à configuração de cliente baseada em Diretiva de Grupo para acesso com fio e sem fio 802.1X à rede, agora você pode usar comandos Netsh de conexão com fio (Netsh lan) e sem fio (Netsh wlan) em scripts de logon. O Windows Server 2008 também oferece mais opções de configuração. Agora os administradores podem configurar vários perfis para se conectar a uma rede sem fio usando um SSID em comum, mas com cada perfil especificando propriedades de segurança exclusivas.

O que o acesso com fio e sem fio 802.1X faz?

O padrão 802.1X do IEEE (Institute of Electrical and Electronics Engineers), RFC 3580 (http://go.microsoft.com/fwlink/?LinkId=93318), define o acesso autenticado a conexões com fio Ethernet (IEEE 802.3) e sem fio (IEEE 802.11). Esse acesso autenticado por 802.1X baseia-se em comutadores Ethernet e em pontos de acesso (APs) sem fio compatíveis com 802.1X para oferecer controle de acesso à rede baseado em porta para impedir que usuários e computadores não autenticados e não autorizados acessem recursos da rede ou enviem pacotes para ela.

Você pode usar os recursos do Windows Server 2008 com comutadores compatíveis com 802.1X para oferecer e gerenciar acesso Ethernet com fio autenticado por 802.1X para computadores que estejam executando o Windows Vista e o Windows Server 2008. Você pode usar os recursos do Windows Server 2008 com APs sem fio compatíveis com 802.1X para oferecer e gerenciar acesso sem fio IEEE 802.11 autenticado por 802.1X para computadores que executem o Windows® XP, o Windows Server 2003, o Windows Vista e o Windows Server 2008.

Observação

Neste tópico, todas as referências a 802.1X, Ethernet com fio 802.3 e 802.11

sem fio pressupõem que os componentes de hardware, os drivers de hardware

e os softwares seguem os padrões definidos pelo IEEE para a tecnologia em

questão.


A autenticação por 802.1X para conexões Ethernet com fio 802.3 e para conexões sem fio 802.11 impede que usuários e computadores não autenticados e não autorizados se conectem à sua rede. O Windows Server 2008 tem os recursos que trabalham com comutadores Ethernet e APs sem fio compatíveis com 802.1X para dar suporte total à implantação e ao gerenciamento de infra-estruturas de rede autenticadas por 802.1X.

Nesta e nas versões anteriores do Windows Server, a maioria dos recursos são independentes; eles são instalados como um item específico. Uma vez instalados, os recursos independentes são gerenciados de um único local nas Ferramentas Administrativas, acessadas através do menu Iniciar do Windows Server 2008. Exemplos de recursos independentes incluem:

Serviços de Certificados do Active Directory (AD CS)

Servidor de Aplicativos

Protocolo DHCP

Serviços de Fax e Email

Serviços de Arquivos e Impressão de Rede

Serviço de Cadastramento na Internet do Windows (WINS)

Diferentemente dos recursos independentes, o acesso Ethernet com fio autenticado por 802.1X e o acesso sem fio não são recursos discretos e instaláveis. Ao contrário, as implantações com fio e sem fio do padrão 802.1X baseadas no Windows Server oferecem acesso à rede autenticado por 802.1X utilizando componentes específicos de vários recursos do Windows Server 2008 para trabalhar com pontos de acesso sem fio e comutadores Ethernet compatíveis com 802.1X.

Quem estaria interessado nessas tecnologias?

Engenheiros de sistema e arquitetos de sistema que estão avaliando ou planejando a implantação de acesso autenticado por 802.1X para clientes Ethernet com fio ou para clientes sem fio 802.11.

Profissionais de TI que desejam controlar o acesso a suas redes utilizando a autenticação de rede 802.1X.

Profissionais de TI que implantaram comutadores Ethernet ou APs sem fio compatíveis com 802.1X.

Profissionais de TI que desejam usar, ou que já usam, o Windows Server 2008 para oferecer recursos de infra-estrutura 802.1X, como AD CS, autenticação RADIUS usando o protocolo EAP, banco de dados de contas de usuários, endereçamento TCP/IP de computador cliente e Diretiva de Grupo ou scripts, para definir configurações 802.1X em computadores cliente baseados em Windows.

Que nova funcionalidade dá suporte ao acesso Ethernet com fio e sem fio autenticado por 802.1X?

Assim como o Windows Server 2003, o Windows Server 2008 dá suporte a implantações Ethernet com fio e sem fio 802.11 autenticadas por 802.1X combinando componentes específicos de vários recursos. A tabela a seguir destaca as mudanças de nomes de recursos que são relevantes para implantações 802.1X entre o Windows Server 2003 e o Windows Server 2008. A finalidade da tabela é orientar as pessoas já familiarizadas com os recursos do Windows Server 2003 em relação aos recursos novos e alterados do Windows Server 2008. Em vários casos, os principais controles de um determinado serviço estão listados para melhor demonstrar as associações.

Resumo dos recursos novos ou alterados

Windows Server 2003 Windows Server 2008

Active Directory Serviços de Domínio Active Directory

Active Directory, propriedades de Discagem do computador e da conta de usuário

Controlar Acesso através de Diretiva de Acesso Remoto

Serviços de Domínio Active Directory, propriedades de Discagem do computador e da conta de usuário

Controlar o acesso por meio da Diretiva de Rede do NPS

Serviços de Certificados Serviços de Certificados do Active Directory

Serviço de Autenticação da Internet (IAS)

Diretiva de Acesso Remoto

NPS (Servidor de Diretivas de Rede)

Diretiva de Rede

Diretiva de Grupo (diretivas de conexão)

Diretivas de Rede sem Fio (IEEE 802.11)

Observação

No Windows Server 2003, a Diretiva de

Grupo de Diretivas de Rede com Fio (IEEE

802.3) e extensão de cliente do

Windows Vista para clientes que executam

o Windows Vista só estará disponível se o

controlador de domínio do

Windows Server 2003 for configurado

primeiramente conforme descrito em

Extensões de esquema do Active Directory

para aprimoramentos da Diretiva de Grupo

com Fio e sem Fio do Windows Vista

(http://go.microsoft.com/fwlink/?LinkId=701

95 - essa página pode estar em inglês).

Diretiva de Grupo (diretivas de conexão)

Diretivas de Rede sem Fio (IEEE 802.11) do XP

Observação

A Diretiva de Grupo de

Diretivas de Rede sem

Fio do XP e extensão

de cliente do Windows

Server 2008 equivale às

diretivas sem fio padrão

do

Windows Server 2003.

Diretivas de Rede sem Fio (IEEE 802.11) do Vista

Diretivas de Rede com Fio (IEEE 802.3)

Diretiva de Grupo (serviço de configuração de adaptador)

Serviços do Sistema (Configuração do Computador/Configurações do Windows/Configurações de Segurança/Serviços do Sistema)

Configuração Zero sem Fio (WZCSVC)

Diretiva de Grupo (serviços de configuração de adaptador)

Serviços do Sistema (Configuração do Computador/Configurações do Windows/Configurações de Segurança/Serviços do Sistema)

o Configuração Automática de WLAN (wlansvc)




o Configuração Automática de Rede com Fio (dot3svc)

N/D

Comandos Netsh para:

Rede local com fio (Netsh lan)

Rede local sem fio (Netsh wlan)

O restante desta seção contém informações sobre os novos recursos do especificamente desenvolvidos para dar suporte ao acesso Ethernet com fio autenticado por 802.1X e ao acesso sem fio autenticado por 802.1X em computadores que executam o Windows Vista e o Windows Server 2008:

Diretiva de Grupo de Diretivas de Rede sem Fio (IEEE 802.11) e extensão de cliente do Vista

Diretiva de Grupo de Diretivas de Rede com Fio (IEEE 802.3) e extensão de cliente

Configuração Automática de WLAN (WLANSVC), Diretiva de Grupo de Serviços do Sistema

Configuração Automática de Rede com Fio (dot3svc), Diretiva de Grupo de Serviços do Sistema

Comandos Netsh para rede local sem fio (Netsh wlan)

Comandos Netsh para rede local com fio (Netsh lan)

Diretiva de Grupo de Diretivas de Rede sem Fio (IEEE 802.11) e extensão de cliente do Vista

Embora seja de alguma forma parecida com a Diretiva de Grupo de Diretivas de Rede sem Fio (IEEE 802.11) e extensão de cliente disponível no Windows Server 2003, no Windows Server 2008 a Diretiva de Grupo de Diretivas de Rede sem Fio (IEEE 802.11) e extensão de cliente permite configurar duas Diretivas de Rede sem Fio (IEEE) separadas: uma para

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_Vdot11Pol




http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_Dot11CfgPol




http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_Netshdot11

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_Netshdot3

computadores que executam o Windows XP e o Windows Server 2003 e outra para computadores com o Windows Vista e o Windows Server 2008.

Observação

Neste tópico, todas as próximas referências a "Diretiva de Grupo de Diretivas

de Rede sem Fio (IEEE 802.11) e extensão de cliente‖ estão abreviadas como

"Diretivas de Rede sem Fio (IEEE 802.11)".

Com as Diretivas de Rede sem Fio (IEEE 802.11) do Windows Vista, é possível especificar configurações avançadas de rede sem fio, de segurança e de gerenciamento que só estão disponíveis para computadores sem fio que executam o Windows Vista e o Windows Server 2008. Windows Vista. As Diretivas de Rede sem Fio (IEEE 802.11) oferecem maior flexibilidade na configuração; as configurações sem fio avançadas oferecem mais opções e maior controle sobre as configurações de segurança e de conectividade. Não é possível configurar computadores que executam o Windows XP e o Windows Server 2003 usando Diretivas de Rede sem Fio (IEEE 802.11) do Windows Vista.

Por que essa funcionalidade é importante?

Os clientes sem fio que executam o Windows Vista e o Windows Server 2008 suportam os aprimoramentos disponíveis nas Diretivas de Rede sem Fio (IEEE 802.11) do Windows Vista, o que permite aos administradores fazer o seguinte:

Integrar-se com NAP (Proteção de Acesso à Rede) para impedir os clientes sem fio que não atendem aos requisitos de integridade do sistema de obter acesso ilimitado à rede privada.

Separar o gerenciamento de serviços de conexão Ethernet com fio 802.1X e sem fio.

Definir configurações separadas nas Diretivas de Rede sem Fio (IEEE 802.11) para clientes que executam o Windows XP e clientes que executam o Windows Vista.

Oferecer alta segurança utilizando opções de autenticação WPA2 (Wi-Fi Protected Access 2) para o Windows Vista e o Windows Server 2008.

Configurar clientes sem fio que executam o Windows Vista e o Windows Server 2008 para conexões automáticas ou manuais a redes sem fio preferenciais.

Configurar listas de permissões e de negações para especificar se clientes de rede sem fio podem ver ou tentar se conectar a outras redes sem fio não controladas pelo administrador da rede.

Configurar vários perfis especificando o mesmo SSID, mas com diferentes métodos de segurança e autenticação de rede.

Permitir ou negar conexões com redes que não são de difusão.

Importar e exportar perfis de conexão de IHV (fornecedores independentes de hardware) para configurar computadores clientes sem fio que executam o Windows Vista ou o Windows Server 2008.


Para aproveitar a infra-estrutura de autenticação baseada em nome de conta e senha já existente no Active Directory, no Windows Vista e no Windows Server 2008, o método de autenticação EAP padrão para conexões sem fio autenticadas por 802.1X agora usa o protocolo PEAP com os protocolos MS-CHAP v2 ou PEAP-MS-CHAP v2.

Observação

Por padrão, o Windows Server 2008 dá suporte aos seguintes métodos EAP:

PEAP-MS-CHAP v2, EAP com protocolo TLS (ou EAP-TLS) e PEAP-TLS. Se

for necessário gerenciar um método EAP diferente dos três métodos padrão,

primeiro você deverá instalá-lo no servidor.

Diretiva de Grupo de Diretivas de Rede com Fio (IEEE 802.3) e extensão de cliente

A Diretiva de Grupo de Diretivas de Rede com Fio (IEEE 802.3) e extensão de cliente é um novo recurso do Windows Server 2008. Você pode usar a Diretiva de Grupo de Diretivas de Rede com Fio (IEEE 802.3) e extensão de cliente para especificar configurações de rede para computadores que executam o Windows Vista e o Windows Server 2008 e se conectam a uma rede Ethernet através de um comutador compatível com 802.1X em um ambiente Active Directory.

Observação

Neste tópico, todas as próximas referências a "Diretiva de Grupo de Diretivas

de Rede com Fio (IEEE 802.3) e extensão de cliente‖ estão abreviadas como

"Diretivas de Rede com Fio (IEEE 802.3)".

Não é possível configurar computadores que executam o Windows XP e o Windows Server 2003 usando Diretivas de Rede com Fio (IEEE 802.3).


A nova funcionalidade das Diretivas de Rede com Fio (IEEE 802.3) do Windows Server 2008 permite que os administradores definam por programação as configurações de segurança e de conectividade com base em 802.1X para computadores membros do domínio que executam o Windows Vista ou o Windows Server 2008.

Além disso, você pode usar Diretivas de Rede com Fio (IEEE 802.3) para integrar configurações de segurança e de conectividade Ethernet com fio de clientes ao NAP para restringir o acesso à rede de clientes que não atendem aos requisitos de integridade do sistema.

Configurações da Diretiva de Grupo Configuração Automática de WLAN (WLANSVC)

O serviço Configuração Automática de WLAN (WLANSVC) enumera adaptadores sem fio e gerencia as conexões sem fio e os perfis sem fio que contêm as opções necessárias para configurar um cliente sem fio para se conectar a redes sem fio. As configurações da Diretiva de Grupo de Serviços do Sistema Configuração Automática de WLAN permitem que os administradores especifiquem o tipo de inicialização do serviço Configuração Automática de WLAN para computadores membros do domínio que executam o Windows Vista e o Windows Server 2008 e que têm adaptadores de rede sem fio e os drivers de adaptador do Windows Vista associados instalados.

As configurações da Diretiva de Grupo de Serviços do Sistema Configuração Automática de WLAN estão localizadas no Console de Gerenciamento de Diretiva de Grupo, em:

Diretiva do Domínio/Configuração do Computador/Configurações do Windows/Configurações de Segurança/Serviços do Sistema


As configurações da Diretiva de Grupo Configuração Automática de WLAN permitem que os administradores impeçam usuários que são membros do domínio de alterar o modo de inicialização do serviço Configuração Automática de WLAN.

Configurações da Diretiva de Grupo Configuração Automática de Rede com Fio (dot3svc)

O serviço Configuração Automática de Rede com Fio (dot3svc) enumera os adaptadores de rede Ethernet e gerencia as conexões a redes Ethernet através de comutadores compatíveis com 802.1X e o perfil com fio que contém as opções necessárias para configurar um cliente de rede para acesso à rede autenticado por 802.1X. As configurações da Diretiva de Grupo Configuração Automática de Rede com Fio permitem que os administradores especifiquem o tipo de inicialização do serviço Configuração Automática de Rede com Fio para computadores membros do domínio que executam o Windows Vista e o Windows Server 2008 e que têm adaptadores de rede Ethernet e os drivers de adaptador de rede do Windows Vista associados instalados.


A Diretiva de Grupo Configuração Automática de Rede com Fio permite que os administradores impeçam usuários que são membros do domínio de alterar o modo de inicialização do serviço Configuração Automática de Rede com Fio.

As configurações da Diretiva de Grupo Configuração Automática de Rede com Fio estão localizadas no Console de Gerenciamento de Diretiva de Grupo, em:

Diretiva do Domínio/Configuração do Computador/Configurações do Windows/Configurações de Segurança/Serviços do Sistema

Comandos Netsh para rede local sem fio (Netsh wlan)

Os comandos Netsh do para rede local sem fio (WLAN) oferecem métodos para definir as configurações de conectividade e de segurança. É possível usar os comandos Netsh wlan para configurar o computador local ou para configurar vários computadores usando um script de logon. Esses comandos também podem ser usados para visualizar as configurações aplicadas da Diretiva de Grupo sem fio.

A interface Netsh sem fio tem os seguintes benefícios:

Implantação sem fio mais simples. É uma alternativa simples ao uso da Diretiva de Grupo para definir configurações de segurança e de conectividade sem fio.

Suporte em modo misto. Permite que os administradores configurem clientes para oferecerem suporte a diversas opções de segurança. Por exemplo, um cliente pode ser configurado para oferecer suporte aos padrões de autenticação WPA2 e WPA. Isso permite que o cliente use

WPA2 para se conectar a redes que ofereçam suporte a WPA2 e usar WPA para se conectar a redes que ofereçam suporte somente a WPA.

Bloqueio de redes indesejáveis. Os administradores podem bloquear e ocultar o acesso a redes sem fio não corporativas adicionando redes específicas ou tipos de redes à lista de redes impedidas. Do mesmo modo, os administradores podem permitir o acesso a redes sem fio corporativas.

Solução de problemas de conectividade sem fio. Você pode usar comandos Netsh wlan para coletar informações detalhadas sobre recursos e configurações de adaptadores de rede sem fio e opções de configuração de perfis sem fio.


Pelo fato de poderem ser executados como scripts, os comandos Netsh wlan são uma alternativa mais simples ao uso de Diretivas de Rede sem Fio (IEEE 802.11) do Windows Vista para configurar vários computadores.

Comandos Netsh para rede local com fio (Netsh lan)

Os comandos Netsh do Windows Vista para rede local (LAN) com fio oferecem métodos para definir as configurações de conectividade e de segurança. Você pode usar os comandos Netsh lan para configurar o computador local ou vários computadores usando um script de logon. Pode também usar os comandos Netsh lan para exibir configurações de Diretivas de Rede com Fio (IEEE 802.3) e administrar configurações de acesso com fio 802.1X de usuários.


Os comandos Netsh para rede com fio auxiliam na implantação segura de uma rede Ethernet com fio 802.1X, oferecendo uma alternativa ao uso das Diretivas de Rede com Fio (IEEE 802.3) do Windows Vista na Diretiva de Grupo do Windows Server 2008 para definir configurações de segurança e de conectividade com fio.

Que configurações foram adicionadas ou alteradas no Windows Server 2008?

Esta seção contém uma série de tabelas que destacam as configurações de Diretiva de Grupo que são novas e bastante diferentes daquelas encontradas no Windows Server 2003. As tabelas desta seção enfocam as definições de configuração de:

Configurações de Diretivas de Rede sem Fio (IEEE 802.11) do Vista

Configurações de Diretivas de Rede com Fio (IEEE 802.3)

Diretivas de Rede sem Fio (IEEE 802.11) do Vista

As Diretivas de Rede sem Fio (IEEE 802.11) estão localizadas no Console de Gerenciamento de Diretiva de Grupo, em:

Diretiva do Domínio/Configuração do Computador/Configurações do Windows/Configurações de Segurança/Diretivas de Rede sem Fio (IEEE 802.11)

Esta seção define as configurações para as seguintes guias das Diretivas de Rede sem Fio (IEEE 802.11) do Windows Vista:

Guia Geral

Guia Conexão

Guia Configurações de segurança avançadas

Guia Permissões de Rede

Guia Nova Entrada de Permissão

Guia Geral

Use a guia Geral para criar e gerenciar perfis de rede sem fio e para definir uma lista de redes sem fio preferenciais, que prioriza a ordem na qual os clientes membros do domínio tentam se conectar. Você também pode especificar se o Serviço de Configuração Automática de WLAN será usado para configurar adaptadores sem fio 802.11 para fazer conexão com esse tipo de rede.

Nome da

configuração Valor padrão Descrição

Nome da Diretiva do Vista

Nova Diretiva de Rede sem Fio do Vista

Fornece um local para digitar um nome amigável para as Diretivas de Rede sem Fio.

Usar o serviço de Configuração

Habilitada Especifica que o Serviço de Configuração Automática de WLAN é usado para

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_Vdot11PolSetng

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_Vdot3PolSetng

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_VDt11_Gen

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_VDt11_Conn

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_VDt11_SecAdv

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_VDt11_NetPerms

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_VDt11_NewPerms

Automática de WLAN do Windows para clientes

configurar clientes que executam o Windows Vista e conectá-los à rede sem fio.

Conectar a redes disponíveis na ordem dos perfis listados abaixo

Sem entradas

Clique no perfil desejado e use os botões Mover para Cima e Mover para Baixo para especificar a ordem preferencial para os clientes tentarem conexões.

Observação

Os perfis de redes ad-hoc não podem ter

uma prioridade mais alta que os perfis de

infra-estrutura.

Observação

Por padrão, não há perfis de rede

listados em Nome do Perfil. Para

acessar os controles Editar, Remover

ou Importar dessa guia, use Adicionar

para configurar pelo menos um perfil de

rede ou Importar para importar um perfil.

Importar e exportar perfis de rede sem fio

A importação e a exportação de perfis são gerenciadas usando as duas interfaces a seguir. Você pode usar Importar um Perfil para adicionar um perfil de rede sem fio, de um local especificado, à lista de redes sem fio disponíveis. Também pode usar Salvar Perfil Exportado para exportar qualquer perfil listado em Conectar a redes disponíveis na ordem dos perfis listados abaixo na guia Geral e salvá-lo no local especificado.

Abrir para importar um perfil (importar perfis)

Nome da configuração Descrição

Nome do arquivo Fornece um local para um nome para o perfil.

Salvar como tipo Especifica o tipo a ser usado para salvar o perfil.

Salvar um perfil exportado como (exportar perfis)

Nome da

configuração Descrição

Nome Lista os perfis salvos.

Selecione o perfil que deseja exportar e clique em Abrir.

Nome do arquivo Fornece um local para digitar um novo nome para o perfil ou modificar o nome existente.

Guia Conexão

A guia Conexão de Diretivas de Rede sem Fio (IEEE 802.11) permite criar perfis de conexão de rede sem fio para cada rede sem fio à qual os clientes sem fio membros do domínio podem se conectar. Um perfil é o conjunto de definições de configuração de uma rede sem fio, salvas como um arquivo XML.

No Windows Server 2003, você só pode salvar um perfil para qualquer SSID especificado. Esse design do Windows Server 2003 restringe as implantações em modo misto. No Windows Server 2008, os administradores podem configurar vários perfis de conexão sem fio para qualquer SSID especificado. O nome usado para salvar cada perfil deve ser exclusivo, mas não precisa estar vinculado ao SSID. A vantagem desse design é que ele suporta implantações em modo misto. Por exemplo, no Windows Server 2008, você pode configurar dois perfis de conexão sem fio que usem o mesmo SSID, mas com um usando o protocolo PEAP-MS-CHAP v2 e o outro usando EAP-TLS. Quando combinados aos recursos de gerenciamento do NPS, é possível criar diretivas que ofereçam acesso irrestrito à rede para alguns usuários, enquanto outros só podem se conectar em horários específicos, e todos usando os mesmos pontos de acesso e SSID.

Nome da

configuração

Valor

padrão Descrição

Nome do perfil Novo Perfil

Especifica um espaço para informar um nome amigável para o perfil de rede sem fio.

Nome da Rede (SSID)

Novo Perfil

Especifica um espaço para informar o nome de difusão da rede sem fio. Esse nome deve corresponder ao SSID configurado para a rede nos pontos de acesso sem fio.

Guia Configurações de Segurança Avançadas

A guia Configurações Avançadas de Diretivas de Rede sem Fio (IEEE 802.11) contém as configurações associadas a solicitações de autenticação por 802.1X. As configurações avançadas só ficam expostas quando se habilita WPA2-Enterprise, WPA-Enterprise ou Open com 802.1X como a configuração de autenticação de rede na guia Segurança das Diretivas de Rede sem Fio (IEEE 802.11) do Windows Vista.

As configurações de segurança avançadas são divididas em três grupos de itens de configuração: IEEE 802.1X, logon único (SSO) e Mobilidade Rápida.

Itens de configuração SSO

Nos sistemas operacionais Windows Server 2008 e Windows Vista, o SSO executa autenticação 802.1X com base na configuração de segurança de rede durante o processo de logon do usuário. Esse recurso possibilita cenários, como atualizações de Diretiva de Grupo, execução de scripts de logon e ingresso de clientes sem fio em domínios, que exigem conectividade de rede antes do logon do usuário.

Você pode usar as Diretivas de Rede sem Fio (IEEE 802.11) para configurar perfis de SSO para computadores cliente sem fio. Quando é configurado um perfil de SSO, a autenticação 802.1X é realizada antes do logon do computador no domínio; os usuários só precisam fornecer informações de credencial se necessário.

Nome da


Permitir que caixas de diálogo adicionais sejam exibidas durante o Logon Único

Habilitada, se a opção Habilitar SSO para esta rede estiver Habilitada

Essa configuração especifica que diferentes caixas de diálogo são apresentadas para o usuário no logon de SSO, se aplicável.

Esta rede usa VLAN Não habilitada Especifica que os computadores sem

diferente para autenticação com credenciais de máquina e de usuário

fio devem ser colocados em uma rede local virtual (VLAN) na inicialização e, então, conforme as permissões de usuário, movidos para outra VLAN depois que o usuário fizer logon no computador.

Essa configuração é utilizada em cenários onde é desejável separar o tráfego usando-se VLANs. Por exemplo, uma VLAN, "VLAN-a", permite o acesso apenas a computadores autenticados, normalmente com um conjunto restrito de ativos. Uma segunda VLAN, "VLAN-b", oferece para usuários autenticados e autorizados acesso a um conjunto maior de ativos, como email, servidores de compilação ou a intranet.

Guia Permissões de Rede

Você pode usar a guia Permissões de Rede para listar e configurar redes sem fio que não estejam definidas na guia Geral da lista preferencial Conectar a redes disponíveis na ordem dos perfis listados abaixo. Use essas configurações para definir outras redes sem fio e especificar se você deseja autorizar ou negar conexões feitas pelos clientes sem fio que são membros do domínio. Como alternativa, você pode impedir que essas outras redes sem fio sejam exibidas para os clientes sem fio membros do domínio. Essas configurações são específicas das redes sem fio listadas na guia Permissões de Rede em Nome da Rede (SSID).

As conexões com as redes sem fio listadas em Nome da Rede (SSID) na guia Permissões de Rede só serão possíveis se a permissão estiver definida como Permitir. Se a permissão estiver definida como Permitir, os clientes sem fio membros do domínio primeiro tentarão se conectar a uma rede preferencial antes de se conectarem a redes não preferenciais. No entanto, os membros do domínio podem tentar se conectar às redes listadas que tenham permissões definidas como Permitir.

Nome da

configuração

Valor

padrão Descrição

Nome da Rede (SSID)

Sem entradas

Lista redes sem fio para as quais você deseja conceder ou negar permissões, mas que não estão definidas na guia Geral de Conectar a redes disponíveis na ordem dos perfis listados abaixo.

Impedir conexões a redes ad-hoc

Não habilitada

Especifica que os clientes sem fio membros do domínio não podem formar uma nova rede ad-hoc nem se conectar a nenhuma das redes ad-hoc exibidas na lista de permissões.

Impedir conexões a redes de infra-estrutura

Não habilitada

Especifica que os clientes sem fio membros do domínio não podem se conectar a nenhuma das redes de infra-estrutura exibidas na lista de permissões.

Permitir que o usuário exiba redes negadas

Habilitada

Especifica se os clientes sem fio membros do domínio podem ver as redes sem fio na lista de permissões cujas permissões estão definidas como Negar.

Usar somente perfis da Diretiva de Grupo para redes permitidas

Especifica que os clientes membros do domínio só podem se conectar a redes permitidas usando os perfis de rede sem fio especificados nas Diretivas de Rede sem Fio (IEEE 802.11) do Windows Vista.

Guia Nova Entrada de Permissão

Use a guia Nova Entrada de Permissão das Diretivas de Rede sem Fio (IEEE 802.11) para adicionar novas redes sem fio à lista de permissões na guia Permissões de Rede. Use a guia Novas Permissões para especificar por SSID a quais redes sem fio os membros sem fio do domínio podem se conectar e a quais não podem.

Nome da

configuração

Valor

padrão Descrição

Nome da Rede (SSID)

NEWSSID Fornece um local para digitar o nome da rede sem fio para a qual você deseja definir permissões.

Tipo de Rede Infra-estrutura

Especifica se a rede é de infra-estrutura (usa um ponto de acesso sem fio) ou ad-hoc (computador a computador).

Permissão Negar Especifica se as conexões com a rede selecionada devem ser permitidas ou negadas.

Diretivas de Rede com Fio (IEEE 802.3)

As Diretivas de Rede com Fio (IEEE 802.3) estão localizadas no Console de Gerenciamento de Diretiva de Grupo, em:

Diretiva do Domínio/Configuração do Computador/Configurações do Windows/Configurações de Segurança/Diretivas de Rede com Fio (IEEE 802.3)

Esta seção define as configurações nas seguintes guias das Diretivas de Rede com Fio (IEEE 802.3) do Windows Vista:

Guia Geral

Guia Avançado

Guia Geral

Use a guia Geral de Diretivas de Rede com Fio (IEEE 802.3) para especificar se o Serviço de Configuração Automática de Rede com Fio deve ser usado para configurar adaptadores de LAN para conexão com a rede com fio. Você também pode especificar o nome e a descrição da diretiva.

Nome da


Nome da diretiva Nova Diretiva de Rede com Fio do Vista

Fornece um local para digitar um nome para as diretivas de rede com fio aplicadas aos clientes com fio que executam o Windows Vista e o Windows Server 2008.

Usar serviço de Configuração Automática com Fio do Windows para clientes

Habilitada

Especifica que o Serviço de Configuração Automática de Rede com Fio será usado para configurar clientes que executam o Windows Vista e

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_VDt3_Gen

http://technet.microsoft.com/pt-br/library/cc730878%28WS.10%29.aspx#BKMK_VDt3_Adv

conectá-los à rede Ethernet com fio 802.3.

Guia Avançado

Nos sistemas operacionais Windows Server 2008 e Windows Vista, o recurso de logon único possibilita cenários, como atualizações de Diretiva de Grupo, execução de scripts de logon e ingresso de clientes sem fio em domínios, que exigem conectividade de rede, impedida por 802.1X antes do logon do usuário.

Use as Diretivas de Rede com Fio (IEEE 802.3) para configurar perfis de SSO para os seus computadores clientes que se conectam à rede Ethernet com fio através de um comutador compatível com 802.1X. Quando é configurado um perfil de SSO, a autenticação 802.1X é realizada antes do logon do computador no domínio; os usuários devem fornecer informações de credencial somente se necessário.

Nome da


Habilitar Logon Único para esta rede

Não habilitada Especifica que o recurso de SSO está ativado para o perfil de rede desta rede.

Permitir que caixas de diálogo adicionais sejam exibidas durante o Logon Único

Habilitada, se a opção Habilitar Logon Único para esta rede estiver habilitada

Especifica que diferentes caixas de diálogo são apresentadas para o usuário no logon de SSO, se aplicável.

Esta rede usa VLAN diferente para autenticação com credenciais de máquina e de usuário

Não habilitada

Especifica que os computadores sem fio devem ser colocados em uma rede local virtual (VLAN) na inicialização e, então, conforme as permissões de usuário, movidos para outra VLAN depois que o usuário fizer logon no computador.

008 - windows server 2008_outros recursos

Documents