apostila ms ad

Alfamídia Redes:

Soluções Microsoft –

“Workgroup” e AD

Soluções Microsoft – “Workgroup” e AD

2

Todos os direitos reservados para Alfamídia Prow

AVISO DE RESPONSABILIDADE

As informações contidas neste material de treinamento são distribuídas “NO ESTADO EM

QUE SE ENCONTRAM”, sem qualquer garantia, expressa ou implícita. Embora todas as

precauções tenham sido tomadas na preparação deste material, a Alfamídia Prow não têm

qualquer responsabilidade sobre qualquer pessoa ou entidade com respeito à responsabilidade,

perda ou danos causados, ou alegadamente causados, direta ou indiretamente, pelas instruções

contidas neste material ou pelo software de computador e produtos de hardware aqui descritos.

01/2012

Alfamídia Prow

http://www.alfamidia.com.br


3

Unidade 1 Workgroup ....................................................................................... 5

Unidade 2 Instalação e Configuração Inicial de Windows 7 e Server 2008 .. 7

2.1 Instalação do Windows 7 ........................................................................................... 7

Configuração de rede no Windows 7 ................................................................... 19

2.2 Instalação do Windows Server 2008 ...................................................................... 24

Visão Geral do Windows Server 2008 ................................................................. 33

Roles e Features (Funções e Recursos) .............................................................. 35

Criação de usuários e grupos locais .................................................................... 41

Grupos locais: ....................................................................................................... 49

Configuração de compartilhamento local (pastas e impressoras) ..................... 55

Acessando recursos através da rede: ................................................................... 58

Unidade 3 Conceitos de Active Directory ....................................................... 77

3.1 O que é Active Directory? ....................................................................................... 77

3.2 Roles do AD no Windows Server 2008 ................................................................... 77

3.3 O que é Domain Services? ....................................................................................... 78

3.4 Estrutura lógica e física do ADDS .......................................................................... 79

Unidade 4 Nomenclatura LDAP ..................................................................... 80

4.1 Conhecimento adicional: como formar um “nome LDAP” ................................. 80

Unidade 5 Criação de um Domínio de Active Directory ................................ 81

5.1 Configuração dos pré-requisitos da Role Active Directory Domain Services .... 81

5.2 Configuração do Windows Server como Controlador de Domínio (Domain

Controller) ............................................................................................................................. 85

Unidade 6 Configuração e Administração dos Objetos do ADDS ............... 107

6.1 O que é uma OU? ................................................................................................... 108

6.2 Planejamento e criação de OU .............................................................................. 108

Unidade 7 Configuração de usuários e grupos ............................................ 111

7.1 Criação de usuários ............................................................................................... 111

7.2 Administração das contas de usuário ................................................................... 114

7.3 Configuração de propriedades ............................................................................. 119

7.4 Configuração do perfil ambulante ....................................................................... 129

Unidade 8 Criação de grupos ........................................................................ 133

8.1 Tipos e escopos de grupos ..................................................................................... 134

8.2 Adicionando membros ........................................................................................... 137

8.3 Configuração de outras propriedades .................................................................. 139

Unidade 9 Segurança dos Recursos de Disco: Configuração de

compartilhamento .............................................................................................. 145


4

9.1 Compartilhamento de recursos ............................................................................ 145

Unidade 10 Segurança dos Recursos de Disco: Configuração das permissões

de segurança NTFS ............................................................................................ 149

10.1 Configurando Segurança NTFS ........................................................................... 149

10.2 Dicas para facilitar a administração dos recursos .............................................. 153

Unidade 11 Configuração de Group Policies (diretivas de grupo) ................ 155

Unidade 12 Tópicos Adicionais ....................................................................... 171

12.1 Mestres de operação .............................................................................................. 171

12.2 Global Catalog........................................................................................................ 177

12.3 Adição de mais controladores de domínio e Criação de mais domínios ........... 179

12.4 Remoção de um controlador de domínio ............................................................. 180

12.5 Delegar tarefas administrativas no AD ................................................................ 182

12.6 Servidor DHCP ...................................................................................................... 185

Unidade 13 Diretiva local e de grupo ............................................................ 197

13.1 Configuração de diretivas locais ........................................................................... 197

13.2 Configuração de Group Policies (diretivas de grupo) ........................................ 204

Unidade 14 ANEXOS ...................................................................................... 225

14.1 Configuração de rede e criação de “rede doméstica” ......................................... 225

14.2 Anexo 2 - Uso do MMC e dos Snap-ins ................................................................ 233

14.3 Anexo 3 - Backup e Restore do Active Directory ................................................ 235

14.4 Anexo 4 - Como criar uma máquina virtual usando o Hyper-V Manager: ..... 256


5

Unidade 1 Workgroup

1.1 O que é uma rede Workgroup?

A Microsoft, hoje em dia, oferece duas soluções de rede de computadores: Workgroup e Domínio

Nesta parte inicial, nosso foco é o workgroup.

Uma rede workgroup também pode ser chamada de “grupo de trabalho”, “grupo doméstico”, “rede doméstica”, entre outros nomes.

Neste tipo de rede, não temos um servidor responsável pela segurança da rede. Nesta solução, todos os computadores fazem a função de cliente e servidor ao mesmo tempo. Cada computador é responsável pela segurança de seus recursos compartilhados na rede.

Isto significa que cada usuário que precise acessar um recurso em um computador, precisará ter um usuário válido neste computador. Isto resulta que cada pessoa precisará lembrar vários nomes de usuários e senhas diferentes, para acessar cada recurso necessário para seu trabalho.

Uma rede workgroup pode ser formada apenas por sistemas operacionais de cliente (Windows XP, Vista e 7) ou pode ter a presença de um ou mais Windows Server também.

Os sistemas operacionais de cliente podem ter apenas 10 conexões simultâneas em seus recursos compartilhados, o que impede (uma das principais razões!) que seja usada este tipo de rede em empresas maiores, ou quando tiver uma grande quantidade de computadores.

Para implementar uma rede workgroup, precisamos ter pelo menos 2 computadores, com algum tipo de conectividade de rede entre eles.

Podemos compartilhar uma impressora, uma conexão de internet, um recurso de disco.

Normalmente usamos este tipo de rede em casa (rede doméstica), em pequenos escritórios e pequenas empresas, onde precisamos compartilhar recursos, mas a segurança não é um dos principais pré-requisitos ou onde temos poucos recursos e/ou um grau de conhecimento menor.

Além disto, se precisamos compartilhar recursos, e não temos a presença de um Windows Server, a rede workgroup é a única solução.

Como conhecimento adicional, quando um usuário efetua seu logon em um computador membro de um grupo de trabalho, sua autenticação é feita na “base de dados de segurança local – SAM”. Isto faz com que este usuário tenha acesso aos recursos aos quais ele tenha permissão, que


6

ele possa executar as tarefas às quais ele tenha direito, mas SOMENTE no computador no qual ele fez logon.

Caso este usuário solicite acesso a um recurso de outro computador, será solicitado a ele uma nova credencial (nome de usuário e senha) válido no computador onde se encontra o recurso solicitado.


7

Unidade 2 Instalação e Configuração Inicial de Windows 7 e Server 2008

2.1 Instalação do Windows 7

A instalação do Windows 7, hoje, é um procedimento extremamente simples!

Quase todas as configurações são feitas APÓS a instalação ter sido finalizada com sucesso.

Existem várias formas de instalar um Windows: Instalação “manual” local ou por um compartilhamento de rede, instalação através de imagens, ...

O procedimento que iremos ver neste treinamento é o da instalação manual local, através da inicialização de um computador pelo DVD local.

Pré-requisitos:

CPU: 1Ghz ou maior

Memória RAM: 1Gb para sistemas em 32 bits, 2Gb para sistemas em 64 bits

Vídeo: Compatível com Aero

Disco: 16Gb para sistemas em 32 bits, 20Gb para sistemas em 64 bits

É desejável a presença de uma unidade de DVD

Atualização:

O Windows 7 só pode ser atualizado a partir de um Windows Vista SP1 ou posterior, da mesma linha.

Todos os outros Windows requerem que seja instalada uma nova versão de Windows. Com isto não são mantidos softwares instalados nem dados e configurações dos usuários. Para manter, é necessário “migrar o perfil” ou fazer backup e restaurar após, além de ter que reinstalar todos os softwares do usuário.

O processo de instalação:

Durante o procedimento de instalação, poucas perguntas são feitas... O restante é configurado depois do Windows instalado.

Para uma instalação local, manual (formato que será visto neste treinamento), devemos colocar o DVD no drive e iniciar o computador. Se não houver nenhum sistema operacional instalado no computador, o processo de instalação inicia automaticamente. Se houver algum sistema operacional instalado, o computador apresentará uma mensagem, solicitando que seja pressionada uma tecla para “iniciar pelo DVD”. Deve


8

ser feito isto, para que seja possível fazer uma nova instalação (para atualização, o processo pode ser iniciado de dentro do próprio Windows, como a instalação de qualquer outro software).

Quando solicitado, escolha a opção de idioma e teclado, conforme tela abaixo:

Na tela seguinte, para iniciar a instalação, deve-se clicar em “Instalar agora”


9

OBS: Nesta tela acima também é apresentada a opção “Reparar o computador”. Esta opção oferece ferramentas para recuperar uma instalação do Windows.

O processo de instalação continua.

Na tela seguinte, marque a caixa para aceitar os termos da licença e depois clique em Avançar


10

Nesta tela é oferecida a escolha de que tipo de instalação fazer: Atualizar ou instalar nova versão (Atualização ou Personalizada). Neste treinamento, veremos a opção Personalizada. Esta opção instala um novo Windows.

Escolha a unidade de disco (disco físico e partição) onde deseja instalar o Windows 7. Clique em Avançar para continuar.


11

OBS: Nesta parte da instalação é possível criar, excluir ou modificar as partições de disco, clicando na opção “Opções de unidade” da janela acima

O procedimento de instalação continua.


12

Aguarde até que esteja finalizado.

O processo pode demora vários minutos, dependendo do equipamento.

Logo após finalizar, o computador será iniciado e a primeira tarefa a ser executada é a configuração do nome do usuário que será o administrador (usuário principal) desta estação e o nome do computador.


13

A próxima tela pede a configuração da senha do usuário inicial. Temos que digitaruma senha, digitar novamente na caixa de confirmação e, na caixa da “Dica de senha”, podemos digitar uma frase ou lembrete que ajude a recuperar a senha, em caso de esquecimento.


14

Clique em Avançar.

Na tela sobre atualizações automáticas do Windows, é oferecida a opção de configurar para receber atualizações automáticas ou não.


15

Na próxima tela, são oferecidos para ajuste as informações sobre fuso horário e data/hora. Se necessário, é aqui que fazemos estes ajustes. Clique em Avançar.


16

Próxima configuração a ser feita, se refere à rede. Se for detectada a presença de uma placa de rede, é oferecido para escolher o “local da rede”, na verdade “o tipo de rede”, que pode ser doméstica, trabalho ou pública. Clique no tipo de rede desejado para que seja configurado neste momento.


17

Aguarde até que a instalação tenha sido finalizada

O Windows finaliza o processo de instalação e inicia a área de trabalho do Windows.

OBS: Não esqueça que, depois de instalado o Windows, é necessário “ativa-lo”.

Veja a tela abaixo, bem na parte inferior, onde trata da ativação:


18

É possível ativar o Windows de forma online ou pelo telefone, e trocar a chave de instalação, caso isto seja necessário, diretamente nesta janela.

Também é por esta janela que temos acesso à janela das propriedades avançadas do sistema, onde podemos, por exemplo, trocar o nome do computador, ou definir seu grupo de trabalho ou domínio.


19

Para acessar esta janela, podemos clicar com o botão direito do mouse diretamente na opção Computador do menu Iniciar e escolher “Propriedades” no menu que se abre, ou acessar o ícone Sistema, pelo Painel de Controle.

Configuração de rede no Windows 7

Logo depois de instalar o Windows 7, se foi detectada uma placa de rede, esta foi configurada para receber configurações dinâmicas.

Nem sempre teremos um servidor de DHCP disponível na rede (veremos mais sobre este assunto no decorrer deste treinamento) ou poderemos


20

usar as configurações APIPA (veremos mais sobre APIPA no decorrer deste treinamento).

Então, pode ser necessário configurar a placa de rede com uma configuração estática de TCP-IP, pelo menos seu endereço e máscara de subrede.

Veja abaixo como fazer esta configuração:

A maneira mais rápida de acessar as configurações da rede é clicando com o botão direito do mouse no ícone de rede na área de notificação:

Clique na opção para abrir a Central de Redes e Compartilhamento

Clique em Alterar as configurações do adaptador e depois, clique na placa de rede a ser configurada, com o botão direito do mouse, e escolha a opção Propriedades:


21

Na caixa de diálogo das configurações da placa de rede, role a lista e clique em Protocolo TCP/IP versão 4 (TCP/IPv4) e clique no botão Propriedades:

Inicialmente, estará configurado para obter endereço automaticamente:


22

Mas, na falta de um servidor DHCP, e na impossibilidade de usar o APIPA, deveremos configurar manualmente:


23

OBS: Para usar nas redes locais, internas, não visíveis na Internet, devemos escolher 1 entre os vários endereços IP não propagáveis (não válidos na Internet, então de “uso público) com os seguintes padrões:

10.x.x.x

172.16.x.x

192.168.x.x

Qualquer um deles serve!

Ainda nas configurações de rede, mas agora não em relação à placa, precisamos configurar que o computador possa encontrar outros computadores na rede, e que ele possa compartilhar seus recursos com a rede.

Na janela da Central de Rede e Compartilhamento vista acima, clique na opção Alterar as configurações de compartilhamento avançadas:


24

Marque as opções que deseja ativar. E clique em “Salvar alterações”.

OBS:

Compartilhamento da Pasta Pública:

Todo o computador com Windows 7 possui uma pasta pública. Se não for marcada a opção para compartilhamento desta pasta, esta será uma área de troca de informações entre usuários locais do computador.

2.2 Instalação do Windows Server 2008

A instalação do Windows Server 2008, hoje, é um procedimento muito simples!

Quase todas as configurações são feitas APÓS a instalação ter sido finalizada com sucesso.

Existem várias formas de instalar um Windows: Instalação “manual” local ou por um compartilhamento de rede, instalação através de imagens, ...

O procedimento que iremos ver neste treinamento é o da instalação manual local, através da inicialização de um computador pelo DVD local.

Pré-requisitos:


25

Requisitos de Sistema para instalação do Windows Server 2008 R2

Processador: Mínimo: 1.4 GHz (processador x64)

Observação: É necessário um processador Intel Itanium 2 para o Windows Server 2008 R2 for Itanium-based Systems

Memória (Mínimo): 512 MB RAM

Memória Máxima: 8 GB (Foundation) ou 32 GB (Standard) ou 2 TB (Enterprise,

Datacenter e Itanium-Based Systems)

Espaço em Disco Mínimo: 32 GB ou mais

Observação: Computadores com mais de 16 GB de RAM precisam de mais espaço em disco para paginação, hibernação e armazenamento de arquivos

Monitor Super VGA (800×600) ou monitor de maior resolução

Outros: Unidade de DVD, Teclado e Mouse (ou dispositivo apontador compatível),

acesso à Internet.

* Os requisitos reais variam com base na configuração de seu sistema e nas aplicações e recursos que você decidir instalar. Espaço em disco disponível adicional pode ser necessário se você estiver instalando por uma rede e dependendo das funções a serem implementadas.

O processo de instalação:

Durante o procedimento de instalação, poucas perguntas são feitas... O restante é configurado depois do Windows instalado.

Veja a seguir, o procedimento e o que precisa ser configurado durante o procedimento de instalação:

Coloque o DVD na unidade. Inicie o computador... O processo de instalação inicia automaticamente.

Quando solicitado, escolha a opção de idioma e teclado, conforme tela abaixo


26

Na tela seguinte, clique em “Instalar agora”

O processo de instalação inicia


27

Na próxima tela, devemos escolher na lista a versão de Windows que desejamos instalar. Isto vai depender do que foi adquirido.

OBS:

Versões de Windows Server 2008:

O Windows Server possui diversas versões, além de poder ser instalado em modo “Core”, ou seja, sem interface gráfica.

As versões são: Standard, Enterprise e Datacenter.

O que difere estas versões são o “suporte ao hardware” e a possibilidade de trabalhar em cluster (a versão Standard não tem esta possibilidade). Datacenter é uma versão especial – ele não vem em “caixinha”, é proprietário de hardware, preparado especialmente por cada fornecedor de hardware, para seus modelos de equipamentos de servidores.

Marque a caixa para “Aceitar os termos da licença” e depois clique em Avançar


28

Escolha que tipo de instalação deseja: Atualizar ou instalar nova versão (Atualização ou Personalizada), clicando sobre a opção desejada. Na versão “personalizada” é instalado um novo Windows, não guardando nada do que foi usado (software, configurações) da versão atual, caso ela exista.


29

Escolha a unidade de disco (disco físico e partição) onde deseja instalar o Windows 2008. Se o disco já estiver particionado, escolha a partição desejada.

OBS: Se caso o disco do servidor não for reconhecido pelo Windows, ou se ele tiver um driver especial, é neste momento que inserimos o driver do hd (da controladora, normalmente). Também nesta tela é que podemos criar, modificar ou excluir partições de disco. Vimos estas mesmas opções na instalação do Windows 7

Logo depois, o procedimento de instalação continua.


30

Aguarde até que esteja finalizado.

O processo demora vários minutos, dependendo do equipamento.

Logo após finalizar, o computador será iniciado e a primeira tarefa a ser executada é a configuração da senha do usuário Administrador. É necessário utilizar uma “senha difícil”, como Pa$$w0rd como senha, pois o Windows deve seguir sua política de senhas difíceis.

OBS:

A política de “senhas difíceis” da MS requer que a senha utilize:

Letras maiúsculas e minúsculas

Caracteres especiais

Números

Esta política (policy) pode ser desativada posteriormente.


31

Assim que confirmada a “alteração” da senha do Administrador, o Windows finaliza o processo de instalação e inicia a área de trabalho do Windows.

Logo que iniciar o trabalho com o Windows 2008, será aberta a janela (automaticamente) das Tarefas de Configuração Iniciais.

Nesta tela temos atalhos para todas as configurações iniciais desejadas.

É por ela que podemos trocar o nome do computador (o Windows gera um nome aleatório durante a instalação e normalmente iremos troca-lo para um nome que defina melhor a função do computador), definir se ele fará parte de um workgroup ou de um domínio, configurar o endereço IP, atualizações automáticas, entre outras ações. Todas estas ações podem ser executadas por outras ferramentas, mas por esta janela, temos acesso mais rápido.


32

OBS: Clicando na opção mostrada acima, abre-se a caixa de diálogo das propriedades do sistema, onde podemos trocar o nome do computador. Veja tela abaixo:

Esta tela irá continuar aparecendo, até que marquemos a caixa de seleção, solicitando que não mais seja mostrada na inicialização do computador.

Sempre que fecharmos esta janela, e depois quando iniciarmos o servidor sem a janela das Tarefas de Configuração Iniciais, a janela que se abre é o Gerenciador de Servidores, ferramenta mais usada para administrar o servidor.


33

Visão Geral do Windows Server 2008

O Windows Server 2008 (atualmente na versão R2) é a solução Microsoft para servidor de rede.

Ele oferece solução para praticamente todas as necessidades de uma rede corporativa, sendo solução para redes de qualquer tamanho.

No final da instalação, que vimos na lição anterior, o Windows Server ainda não possui nenhuma funcionalidade e não está acessível através da rede.

Ele vem com o firewall do Windows ativado, sem exceções.

A medida que vamos dando funções ou adicionando recursos, o firewall vai criando exceções para permitir o uso destas funções e recursos através da rede.

Abaixo, temos a tela de configuração de exceções do firewall, caso você precise efetuar alguma configuração manualmente.

É possível criar exceção para aplicativos, funções, portas.


34

Para criar uma exceção, ou verificar as atuais (para modificar, se for o caso), clique na opção Permitir um programa ou recurso pelo Firewall do Windows, no lado direito superior da janela acima.


35

Veremos mais sobre o Windows Server 2008 nas lições seguintes.

Roles e Features (Funções e Recursos)

Hoje em dia, logo depois de instalar o Windows, ele não possui nenhuma funcionalidade própria. Para isto, devemos adicionar através de Funções e Recursos (Roles e Features) o que desejamos que este servidor ofereça à rede.

Para isto, usamos o Gerenciador de Servidores:


36

Para adicionar uma Função, clique na opção Funções no menu da esquerda. Inicialmente, não haverá nenhuma função instalada.

Para adicionar função, clique na opção Adicionar funções que aparece na tela acima. Será iniciado um assistente, onde podemos escolher a função desejada.


37

Dentro das roles mais usadas, aqui veremos duas:

“File Services”

Marcando a opção Serviços de Arquivo, estamos possibilitando ao nosso servidor que compartilhe pastas com a rede, além de outros serviços que podem ser adicionados com esta função, como o DFS. Veja nas telas abaixo:


38

Depois de adicionada esta função, podemos usar o Gerenciador de Servidores como ponto de partida para uma série de ações referentes à esta função:


39

Veremos mais sobre a função Servidor de Arquivos durante este treinamento.

“Print Services”

Marcando a opção Serviços de Impressão e Documentos, estamos possibilitando ao nosso servidor que compartilhe impressoras com a rede, além de outros serviços que podem ser adicionados com esta função. Veja nas telas abaixo:

Depois de adicionada esta função, podemos usar o Gerenciador de Servidores como ponto de partida para algumas das tarefas desta função. Veja:


40

Features – ou Recursos:

Além das roles (funções), temos também os “recursos” (features), que são funcionalidades também que podemos adicionar ao servidor, mas que não são consideradas “principais”.

Logo que terminamos a instalação do Windows, também não temos features configuradas. Elas serão adicionadas como “pré requisitos” de funções, ou manualmente, pelo assistente de adicionar recursos.

Na tela abaixo, a opção Recursos do Gerenciador de Servidores:

Clicando em Adicionar recursos, é iniciado um assistente. Veja na tela abaixo algumas destas features que podemos adicionar com o assistente:


41

Criação de usuários e grupos locais

Usuários Locais:

Para que possamos controlar quem pode ou não executar alguma ação ou quem pode ou não acessar algum recurso, precisamos que cada usuário do computador (seja ele local, que vai usar a própria máquina, ou remoto, que vai acessar um recurso através da rede) tenha uma credencial. À esta credencial, damos o nome de “conta de usuário”.

O procedimento para criar uma conta de usuário é bastante simples:

A ferramenta que usaremos inicialmente para criar usuários e grupos é o Gerenciamento do Computador. Veja tela abaixo:


42

Para criar usuários ou grupos, expanda a opção Usuários e Grupos Locais.

Clique em Usuários com o botão direito do mouse e escolha a opção Novo usuário (a primeira é do Windows 7, a segunda é do Server 2008):

Na janela que se abre, digite nome e senha para o usuário a ser criado e clique em Criar:


43

Se desejar, é possível digitar nome completo, descrição, além de configurar que o usuário deva ou não trocar a senha no próximo logon, que a conta seja criada desativada, que a senha nunca expira ou que o usuário não pode trocar a própria senha.

Depois de criada a conta, é possível efetuar alterações nesta conta, através da opção Propriedades do menu que se abre quando clicamos com o botão direito do mouse no usuário a ser administrado. Veja abaixo algumas das guias das propriedades da conta do usuário, no Windows 7:


44

Abaixo, a tela com as propriedades de uma conta de usuário local no Server 2008:


45

Outra forma de criar e gerenciar usuários no Windows 7 é pelo Painel de Controle. Abra o Painel de Controle pelo menu Iniciar.

Normalmente, ele inicia com a apresentação em “categorias”:


46

Clique em Contas de Usuário e Segurança Familiar para ter acesso aos itens de configuração de usuário.

Clique em adicionar ou remover contas de usuário

Para alterar uma conta, clique sobre ela.

Para criar uma nova conta, clique na opção Criar uma nova conta:


47

Configure a conta dando a ela um nome e definindo se ela será uma conta de usuário Administrador ou Usuário Padrão. Clique em Criar Conta.

As opções de gerenciamento que temos, são as que seguem:

Podemos também alterar o tipo de conta:


48

Ou ainda definir características do UAC para conta do usuário “logado” atualmente:

OBS: Saiba mais... O que é UAC?

UAC significa UserAccountControl, e são estas mensagens que solicitam aprovação ou credencial do usuário cada vez que é necessário que eles


49

seja “administrador” do computador. A Microsoft criou esta característica como forma de aumentar a segurança do sistema operacional, já que é sabido pelo mercado que a maioria dos usuários é Administrador do seu computador, o que torna mais suscetível a um ataque de vírus, por exemplo.

Grupos locais:

Para facilitar a tarefa de dar permissão ou direito aos usuários, criamos “grupos”. Uma conta de usuário pode ser membro de diversos grupos. Pela mesma ferramenta,Gerenciamento do Computador, podemos criar e gerenciar grupos.

Quando o Windows é instalado, são criados diversos grupos internos, que vem com um conjunto de direitos pré- configurados. Podemos usar estes grupos para dar direitos aos usuários, ou criar novos. Iremos ver mais sobre os grupos internos um pouco mais adiante neste treinamento.

Abaixo, os grupos internos do Windows 7:

E estes abaixo são os grupos internos do Windows Server 2008:

Estes grupos são administrados como outro qualquer, podendo inserir e remover membros conforme desejado.


50

Para criar novos grupos, clique com o botão direito do mouse em Grupos e escolha a opção Novo grupo.

Digite o nome do grupo e, se desejar, já insira novos membros ao grupo:


51


52

Posteriormente, podemos administrar estes grupos, clicando com o botão direito do mouse e escolhendo a opção que se aplica:


53

Podemos adicionar ou remover membros através da opção Propriedades:


54

Para mais conhecimento...


55

Os grupos internos possuem uma série de direitos pré definidos, como no caso dos Administradores, Operadores de cópia, etc.

Estes direitos são configurados por policies (diretivas), na parte de segurança do computador local. Veremos mais sobre isto na lição sobre Diretivas (Policies) no andamento do treinamento.

Configuração de compartilhamento local (pastas e impressoras)

Compartilhamento de Pastas:

Para que um recurso se torne disponível para acesso via rede, ele deverá ser compartilhado.

Para compartilhar uma pasta (também podemos compartilhar uma unidade inteira, mas nção podemos compartilhar um único arquivo), existem duas formas no Windows 7: Compartilhamento simples ou Compartilhamento avançado

Veja a seguir como fazer este compartilhamento:

Através do Windows Explorer, ou pelo item Computador do menu Iniciar, localize a pasta a ser compartilhada.

Se quiser fazer o compartilhamento simples, clique com o botão direito do mouse na pasta e, no menu que se abre, escolha a opção Compartilhamento, escolha com quem quer compartilhar e está pronto!

Nesta opção, não podemos definir o nome do compartilhamento. O nome será o mesmo nome da pasta.


56

Clicando em “Pessoas específicas”, você pode definir exatamente com quem quer compartilhar e o nível de permissão de compartilhamento desejado:


57

Para um maior controle do compartilhamento, principalmente se quiser definir um nome diferente de compartilhamento, tem que usar o “Compartilhamento Avançado”.

Para isto, utilizamos a opção Propriedades do menu que se abre quando clicamos com o botão direito do mouse na pasta e, na guia Compartilhamento, escolhemos “Compartilhamento Avançado”

Na caixa de diálogo de Compartilhamento Avançado, marque a caixa de compartilhamento, defina um nome e escolha com quem quer compartilhar:


58

As permissões de compartilhamento possíveis são: Controle total, Alteração e Leitura.

No compartilhamento simples, a permissão padrão é "Controle total somente para o usuário que está configurando o compartilhamento".

No compartilhamento Avançado, a permissão padrão é "Todos, somente Leitura".

Podemos modificar este comportamento padrão pelas caixas de diálogo vistas acima.

Um usuário pode fazer parte de diversos grupos, por consequência pode receber diferentes níveis de permissão. Entre estes níveis de permissão, inclusive uma "negação"

O que chamamos de permissão efetiva (a que fica valendo) é a soma das permissões permitidas, filtradas as permissões negadas.

Acessando recursos através da rede:

Para acessar recursos, podemos usar a digitação do caminho desejado no menu Iniciar, ou navegar pela rede, usando o Windows Explorer ou abrindo “Computador” no menu Iniciar.

Se formos digitar o caminho, ele deve seguir a regra de caminho UNC:

\\servidor\nome-do-compartilhamento

Será solicitado que seja digitada um nome de usuário e senha válidos no computador remoto (só não será solicitado, se o compartilhamento e a segurança do recurso estiverem configurados para acesso para Todos ou Anônimo)


59

Se você não souber o nome do compartilhamento, pode digitar somente o \\servidor, que o Windows trará uma lista de recursos compartilhados naquele servidor aos quais você possa acessar.

Permissões de Segurança – as permissões NTFS:

Clicando com o botão direito do mouse no nome de um arquivo ou pasta, e escolhendo a opção Propriedades, temos acesso às propriedades do arquivo/pasta em questão.

Uma das guias da caixa das propriedades é a guia Segurança.

Pela guia Segurança, podemos ver e modificar quem tem algum tipo de privilégio (permissão) sobre este item.

As permissões de segurança (também chamadas permissões NTFS) podem ser configuradas de forma "padrão" ou personalizada.

Nas configurações de permissão "padrão", temos conjuntos de permissões definidas por ações que podem ser executadas por um usuário: Controle total, Modificar, Ler & executar, Listar conteúdo da pasta, Leitura, Gravar.

Para modificar uma permissão padrão, clique no botão Editar. Na caixa de diálogo seguinte, clique no botão Adicionar para selecionar usuários e/ou grupos para dar uma permissão; selecione na lista de nomes e clique em


60

Remover para retirar um usuário ou grupo da lista de permissões; ou modifique as permissões, clicando no usuário ou grupo na lista e marcando/desmarcando uma caixa de seleção de permissão/negação ao lado do nome da permissão desejada. Clique em Ok quando pronto.

OBS: Caso não seja possível modificar ou remover uma permissão, provavelmente ela é uma permissão "herdada". Veremos logo em seguida o que é uma permissão herdada (ela vai aparecer em cinza - esmaecido - caso seja herdada)

Nas configurações personalizadas (Avançadas) podemos definir exatamente o que desejamos que o usuário execute no recurso, bem como à que item (s) se refere a permissão.

Para modificar uma permissão de forma "Avançada", clique no botão Avançadas da guia Segurança. Na próxima caixa de diálogo, clique em Alterar Permissões.


61

Logo em seguida, clique em Adicionar para escolher usuário e/ou grupo para dar uma permissão de "acesso especial".

Quando clicar em Ok, será aberta uma nova caixa para escolher as permissões desejadas e onde queremos aplica-las.

Para modificar uma permissão de acesso especial, clique no nome do usuário ou grupo a ser alterado, clique no botão Editar e modifique conforme o desejado.


62

Em relação às permissões do NTFS, temos diversos conceitos importantes para entender, de forma a trabalhar com elas de forma correta e segura.

Herança de permissões:

Por padrão, uma permissão de segurança configurada em uma pasta é "herdada" por todos os arquivos e sub pastas contidos nesta pasta. É possível "remover a herança", caso seja preciso configurar de forma diferente algum objeto abaixo (as permissões herdadas não podem ser modificadas, somente removidas ou copiadas, e depois alteradas).

Para remover a herança, clique com o botão direito do mouse na pasta em questão (à qual precisa receber alteração em uma permissão herdada) e escolha a opção Propriedades.

Clique na guia Segurança, e no botão Avançadas. Na próxima caixa de diálogo, clique no botão Alterar Permissões. Desmarque a caixa de seleção Incluir permissões herdáveis provenientes do objeto pai deste objeto. Na caixa que se abre, escolha a opção que melhor se aplica: Adicionar ou Remover.

Vá clicando em ok até fechar todas as caixas de diálogo.

Clique Cancelar, se desejar desistir das alterações.

Depois de removida a herança, as permissões poderão ser modificadas como já visto.

Permissão "Explícita" e "Implícita":


63

Uma permissão é considerada explícita quando é configurada diretamente no objeto (o contrário de permissão "herdada").

Um permissão implícita é, na verdade, uma regra:

"O que não estiver explicitamente permitido, estará implicitamente negado!"

Permissões Efetivas:

Um usuário pode fazer parte de diversos grupos, e assim, receber diferentes níveis de permissão NTFS.

A permissão efetiva do usuário será a "soma" das permissões permitidas recebidas, menos as permissões negadas. Uma permissão "negada" sobrescreve uma permissão "permitida" (existe uma exceção: quando a permissão permitida for "explícita" e a permissão negada for "herdada", neste caso a permissão "permitida" fica efetiva).

A "negação" é muito "forte", por isto deve ser usada e tratada como exceção!

O Windows oferece uma maneira rápida de verificar a permissão efetiva de segurança de um usuário ou grupo.

Clique com o botão direito do mouse no arquivo ou pasta desejado. Escolha a opção Propriedades. Clique na guia Segurança, depois no botão Avançadas e na guia Permissões Efetivas.

Clique no botão Selecionar para escolher qual usuário ou grupo a ser verificado e clique em Ok.


64

Pronto! Aparecerá a permissão efetiva na caixa, para ser consultada.

REGRA: O que acontece com as permissões NTFS quando uma arquivo/pasta é copiado ou movido?

A regra é "herda a permissão do local de destino". Mas como toda regra tem exceção, quando um arquivo/pasta é movido DENTRO DA MESMA UNIDADE, ele MANTÉM sua permissão original!

Permissão de Compartilhamento x Permissão de Segurança NTFS

Bem, aprendemos que um usuário pode fazer parte de diversos grupos e por este motivo, receber diversos níveis de permissões diferentes.

Aprendemos também, que a permissão efetiva é a soma destas permissões, filtradas as negações.

Mas este "cálculo" é feito "por tipo de permissão". Ou seja, calculamos a permissão efetiva de compartilhamento e a permissão efetiva de segurança.

Mas e se elas forem DIFERENTES, qual ficaria valendo?

Bem... a resposta é: A MAIS RESTRITIVA!

DICA: Como fica valendo a mais restritiva e a permissão de compartilhamento só é efetiva quando acessamos um recurso através da rede (diferente da permissão NTFS, que é válida tanto em acessos locais, quanto através de um compartilhamento), devemos "abrir" no compartilhamento e "fechar" na segurança. Não é necessário configurar em ambos os locais.

Podemos compartilhar com o grupo TODOS ou USUÁRIOS AUTENTICADOS e através da segurança, definir exatamente quem pode ou não (e o que pode) acessar no recurso.

Lembre-se: O que não é explicitamente permitido, é implicitamente negado!

Compartilhamento de pastas – Ferramenta Gerenciamento de Compartilhamento e Armazenamento:

Toda a informação vista acima, nesta lição, é válida tanto para Windows 7 quanto para Windows Server 2008.


65

Agora veremos outra forma de compartilhamento, exclusiva do Windows Server 2008: a ferramenta “Gerenciamento de Compartilhamento e Armazenamento”.

Para criar um novo compartilhamento, clique com o botão direito do mouse e escolha a opção Compartilhamento de Provisão

Siga o assistente:

Na primeira tela, digite ou localize a pasta a ser compartilhada


66

Clique em Avançar. Na próxima tela, defina se precisa efetuar alterações nas propriedades NTFS da pasta.

OBS: NTFS são as configurações de segurança de arquivos do sistema de arquivos NTFS, padrão do Windows, já tratadas anteriormente.


67

Clique em Avançar. Escolha o protocolo a ser usado para o acesso. SMB é o padrão e normalmente o que será usado.


68

Clique em Avançar. Verifique as opções configuradas.


69

Clique em Criar. Espere até o retorno da janela, de modo a garantir que esteja ok.

Pela mesma ferramenta, é possível efetuar configurações posteriormente, pela opção Propriedades – como na tela abaixo:

Para finalizar um compartilhamento por esta ferramenta, basta clicar com o botão direito do mouse e escolher a opção Interromper compartilhamento.


70

Tudo que for referente a sistema de arquivos, compartilhamento, etc, faz parte da função Serviços de Arquivos (File Services). Esta função (role) tem mais recursos, que veremos mais adiante neste treinamento.

Para saber mais...

É possível criar um "compartilhamento oculto", colocando o sinal de $ no final do

nome do compartilhamento.

Quando instalamos o Windows, ele cria alguns compartilhamentos "administrativos",

entre eles:

C$, D$, etc: compartilha de forma "oculta" o raiz de cada unidade formatada com o sistema de arquivos NTFS, somente para os administradores

Admin$: Compartilhamento da pasta Windows, usado para permitir a administração remota

Print$: Compartilhamento usado para instalar impressoras compartilhadas automaticamente, quando um usuário se conecta a ela a primeira vez (desde que o driver esteja disponível!)

Compartilhamento de impressoras:

Para poder compartilhar uma impressora, logicamente que ela precisa estar “instalada”!

Siga o procedimento de instalação de uma impressora, já efetuando o compartilhamento dela diretamente:

Em primeiro lugar, abra a ferramenta Dispositivos e Impressoras.


71

Clique em Adicionar uma impressora, e siga o assistente:


72

OBS: Se a impressora estiver ligada no computador na hora da instalação e for plug-and-play, ela será detectada automaticamente. Se o Windows tiver o driver para ela, instala de forma automática.


73


74

Depois de instalada com sucesso, podemos efetuar manutenção e gerenciamento desta impressora tanto pela ferramenta Dispositivos e Impressoras , quanto pela ferramenta Gerenciamento de Impressão.

Na tela abaixo, vemos opções de gerenciamento pela ferramenta Dispositivos e Impressoras:

Abaixo, as opções das propriedades da impressora:


75

Já na próxima tela, vemos opções gerenciamento pela ferramenta Gerenciamento de Impressão. Nesta ferramenta, tem uma das grandes novidades do sistema de gerenciamento de impressoras no Windows Server 2008 – a possibilidade de instalar impressoras por policies. Por aqui, é possível, inclusive, de criar a policy automaticamente por esta ferramenta.

Final da primeira parte:


76

Até aqui, tratamos de instalação, configuração inicial e uso de rede workgroup. Tudo o que foi visto até aqui seria o suficiente para configurar uma rede simples. Apenas o que poderia ainda ser usado seriam as diretivas locais (que ainda não foram vistas, mas que serão item da parte relativa a diretivas de grupo).

A partir de agora, veremos o outro tipo de rede MS - o Domínio de Active Directory.

Os conceitos abordados até aqui continuam valendo para o domínio, como o caso das permissões de compartilhamento e segurança.


77

Unidade 3 Conceitos de Active Directory

3.1 O que é Active Directory?

A Microsoft, hoje em dia, oferece duas soluções de rede de computadores: Workgroup e Domínio

Neste treinamento, nosso foco é o Domínio.

A solução de domínio da Microsoft chama-se "Serviço de Domínio Active Directory"

O Active Directory é um repositório centralizado, onde são mantidas as informações da rede. No AD são mantidas as contas de usuário, grupo, computador, entre outros objetos.

A base de dados do AD é formada por várias partições. Nestas partições são mantidas as informações relativas à rede, e estas partições são sincronizadas entre os controladores de domínio através da replicação.

As partições são: Domínio, Configuração, Esquema e Aplicativo

Entre as vantagens do uso do Active Directory estão:

Gerenciamento centralizado da segurança da rede

Aplicação de Diretivas de Grupo

Delegação de tarefas administrativas

Uma floresta é uma "instância" do Active Directory. Os domínios de uma mesma floresta compartilham o mesmo Catálogo Global, o mesmo Esquema e possuem relações de confiança entre eles.

Por "Catálogo Global" entende-se a lista de TODOS os objetos de uma floresta de Active Directory, com uma parte de seus atributos.

Por "Esquema" entende-se a definição de todos os tipos de objetos e todas as propriedades destes objetos.

"Relação de Confiança" é a ligação entre os domínios, para possibilitar, por exemplo, que usuários de um domínio acessem recursos de outro domínio.

3.2 Roles do AD no Windows Server 2008

Em versões anteriores, o Windows se referia aos serviços de domínio como “Active Directory” simplesmente. Eram quase como se fossem “sinônimos”.


78

Na versão 2008, Active Directory se tornou um conceito mais amplo. O Active Directory agora está dividido em 5 funções:

Active Directory Domain Services - Serviços de Diretório, segurança da rede

Active Directory Certificate Services - Criação e gerenciamento da solução de certificados digitais

Active Directory Rights Management Services - Controle de propriedade intelectual, controle de ações sobre dados da empresa, controle sobre ações como Imprimir, copiar, que trabalham junto às permissões do NTFS e outros controles de acesso

Active Directory LDS - Possibilidade de criar e administrar bases de dados LDAP (por exemplo, para autenticação de usuários de aplicativos)

Active Directory Federation Services - Suporte a aplicativos baseados na WEB, para interligar florestas diferentes e até mesmo outras plataformas de sistemas operacionais

Neste treinamento, nosso foco é em Active Directory Domain Services.

OBS: Quer saber mais sobre as outras funções do Active Directory? Consulte os links abaixo:

ADCS: http://technet.microsoft.com/pt-br/dd448615.aspx

ADFS: http://technet.microsoft.com/pt-br/dd448613.aspx

ADLDS: http://technet.microsoft.com/pt-br/dd448612.aspx

ADRMS: http://technet.microsoft.com/pt-br/dd448611.aspx

3.3 O que é Domain Services?

O que sempre costumamos chamar de “Active Directory”, agora chamamos de Active Directory Domain Services (Serviços de Domínio Active Directory).

O Serviço de Diretório do Active Directory fornece um diretório (base de dados) centralizado para gerenciamento e autenticação de usuários e computadores em uma rede baseada em Windows Server

O que chamamos de Domínio do Active Directory é, na verdade, um agrupamento lógico de objetos, que compartilham a mesma base de dados de segurança. Em Active Directory, um domínio é considerado a "unidade de administração" e a "unidade de replicação"

Como conhecimento adicional, quando um usuário efetua seu logon em um computador membro de um domínio, escolhendo a credencial do domínio, sua autenticação é feita na “base de dados de segurança do domínio – SAM”. Isto faz com que este usuário tenha acesso aos recursos aos quais ele tenha permissão, que ele possa executar as tarefas às

http://technet.microsoft.com/pt-br/dd448615.aspx





79

quais ele tenha direito, em todos os computadores do domínio no qual ele fez logon.

3.4 Estrutura lógica e física do ADDS

A estrutura lógica do ADDS é formada pelos domínios, seus relacionamentos e suas relações de confiança.

Quando "criamos" um domínio, definimos o seu posicionamento dentro da floresta do Active Directory pela sua nomenclatura. Será criado um relacionamento "pai-filho" com o domínio que tiver nomenclatura "contígua". Automaticamente, são criadas as relações de confiança entre "pai e filho" para que eles possam acessar recursos, trocar informações, etc.

A estrutura física do ADDS é formada pelos sites e pelo posicionamento dos controladores de domínio

Criamos sites baseados nas conexões (lentas, de longa distância, normalmente) e nas "sub-redes de IP". Cada sub-rede de IP só pode estar ligada a um site. Mas um site pode ter mais de uma sub-rede de IP.

Para fins de Active Directory, só é útil a criação de sites se tivermos pelo menos um controlador de domínio em cada sub-rede. O site só afeta o logon do usuário (tenta localizar controladores de domínio no mesmo "site" do usuário), a consulta ao AD (mesmo caso, ou seja, tenta localizar um Servidor de Catálogo Global no mesmo site do usuário) e o tráfego de replicação entre os controladores de domínio

IMPORTANTE: A estrutura física e lógica do ADDS são totalmente independentes. Ou seja, podemos ter um domínio dividido em múltiplos sites, um site que tenha a presença de mais de um "domínio" (na verdade, tendo a presença de controladores de domínio de mais de um domínio da mesma floresta de Active Directory) ou qualquer combinação destes.


80

Unidade 4 Nomenclatura LDAP

4.1 Conhecimento adicional: como formar um “nome LDAP”

Toda a base do Active Directory é “padrão LDAP”. Qualquer ferramenta que utilize este padrão poderia ser usada acessar, consultar, administrar a base do AD.

Todo o script ou linha de comando que se use para executar alguma ação na base do AD, direciona o seu objeto pelo “caminho LDAP”.

Um caminho LDAP é formado hierarquicamente, da direita para a esquerda, com os seguintes componentes:

DC: Partes do nome completo do domínio do Active Directory

OU: Unidades organizacionais, posicionadas do primeiro nível em diante. Por OU, entende-se objetos que podem ter sub (filhos) e nos quais podemos aplicar policies

CN: Objetos “filho”, nos quais não se pode criar sub, nem aplicar policy. Usuários, grupos, computadores são objetos CN

Sempre a “informação mais à esquerda do nome” chamamos de “nome distinto relativo”, e é onde estaremos efetuando a ação da linha de comando em questão.

Exemplos:

OU=testeOU,DC=treinamento,DC=local

CN=usuarioA,OU=depto1,OU=Deptos,DC=treinamento,DC=local

Exceção:

Todos os domínios de Active Directory possuem “Users” e “Computers” criadas automaticamente... Mas Users e Computers não são OUs! A eles, não podemos ligar policies, não podemos “criar sub”... Então, são contêineres, portanto seu “caminho LDAP” é o seguinte:

CN=Users,DC=treinamento,DC=local

CN=Computers,DC=treinamento,DC=local


81

Unidade 5 Criação de um Domínio de Active

Directory

Para criar uma floresta ou um domínio de Active Directory, na verdade criamos Controladores de Domínio! É através da presença e relacionamento entre os controladores de domínio que temos os domínio e a floresta.

Quando criamos o primeiro controlador de domínio do primeiro domínio de uma floresta de AD, estamos neste momento criando o domínio raiz da Floresta e a floresta em si.

A partir da criação do segundo controlador de domínio, definimos se estamos criando um controlador adicional de um domínio já existente, um controlador de domínio de uma floresta já existente mas de um novo domínio, e assim por diante.

Depois da criação do primeiro domínio, o que define o relacionamento entre estes domínio (pai-filho) é a “nomenclatura contígua”. Se caso definirmos pela criação de um novo domínio, numa floresta existente, mas definirmos a nomenclatura em padrão diferente, estaremos criando uma nova “árvore” em uma floresta existente. Esta nova árvore ainda será membro da floresta, ainda estará abaixo do domínio raiz (primeiro domínio da floresta), mas seu nome seguirá padrões diferenciados.

A criação de um controlador de domínio é um procedimento bastante simples! Por conseqüência, a criação dos domínios e da floresta também!

Veremos, a seguir, este processo.

5.1 Configuração dos pré-requisitos da Role Active Directory Domain Services

Normalmente, um controlador de domínio usa IP estático. Para a função “Controlador de Domínio”, isto não é obrigatório. Mas como muitas vezes o controlador de domínio também é um servidor DNS, a configuração do IP estático se torna obrigatória.

Para verificar as configurações do adaptador de rede e, se necessário, modificar, siga o procedimento abaixo:

Pela Central de Rede e Compartilhamento, clique em Alterar as configurações do adaptador


82

Clique com o botão direito do mouse no Adaptador

Clique em Propriedades


83

Clique em Protocolo TCP/IP Versão 4 (TCP/IPv4) e em Propriedades


84

Configure conforme for necessário, com IP estático e o endereço do servidor de DNS desejado.

O servidor de DNS o qual está configurado no adaptador de rede do controlador de domínio que está sendo criado é que será usado para criar a zona equivalente ao domínio do Active Directory criado junto com o controlador de domínio.

OBS: Se o controlador de domínio que está sendo criado é um “adicional a um domínio já existente”, o endereço do servidor de DNS que estiver na configuração da placa de rede deverá possuir a zona equivalente ao domínio ao qual ele estiver sendo anexado.

A função DNS Server é pré-requisito obrigatório. Sem DNS, um controlador de domínio não inicia sua função, os usuários não fazem logon, não pesquisam no AD. Podemos adicionar a função DNS antes da função Active Directory Domain Services (Serviços de Domínio do Active Directory), ou durante a criação do controlador de domínio, através do assistente “DCPromo”. Aqui, veremos a instalação do DNS durante a execução do DCPromo.

Quando adicionamos a função Serviços de Domínio do Active Directory, o assistente de instalação verifica a presença do .NET Framework, pré-requisito, e se encarrega de instalá-lo, bastando aceitar quando ele “oferece” para instalar o pré-requisito.


85

Veja a sequência a seguir, com o passo-a-passo da instalação da função Active Directory Domain Services

5.2 Configuração do Windows Server como Controlador de Domínio (Domain Controller)

O processo de criação de um Controlador de Domínio é efetuado em 2 partes: a adição da função Serviços de Domínio Active Directory e a execução do aplicativo DCPromo

2.1.1 Adição da Role ADDS

O primeiro processo é a adição da role ADDS. Para isto, utilizamos o Server Manager (Gerenciador de Servidores). Na tela inicial do Gerenciador de Servidores, clique na opção Funções.

No painel da direita, ou clicando com o botão direito do mouse em Funções, escolha a opção Adicionar Funções


86

Clique em Próximo


87

Escolha a opção Serviços de Domínio Active Directory clicando na caixa de seleção ao lado desta função e clique em Próximo

OBS: O assistente testa a presença dos pré-requisitos e, se necessário, solicita alguma instalação. Normalmente, ele solicita a adição do recurso “.NET Framework 3.5.1”, conforme tela acima. Se isto ocorrer, clique no botão Adicionar Recursos Necessários a fim de que o pré-requisito seja devidamente instalado.


88

Clique em Próximo


89

Clique novamente em Próximo para iniciar efetivamente a instalação da função

Clique em Instalar


90

Aguarde até finalizar o processo

Quando pronto, verifique se finalizou com sucesso e clique em Fechar


91

Logo depois de finalizada a adição da função, sua tela ficará como na figura acima.

2.1.2 Execução do DCPromo

Para finalizar a criação do controlador de domínio (e neste caso, a criação da nossa floresta do Active Directory e seu primeiro domínio – domínio raiz da floresta), iremos executar DCPromo

No menu iniciar, digite DCPromo


92

Clique em DCpromo, ou ainda, se você tiver digitado através da opção “Executar” do menu Iniciar, clique em OK

Irá iniciar o assistente de criação de controlador de domínio do Active Directory

Clique em Avançar


93

Leia a mensagem de compatibilidade e clique novamente em Avançar


94

Na tela acima, você tem 2 opções: Conectar em uma floresta existente, ou Criar um novo domínio em uma nova floresta. Como este é o primeiro controlador de domínio de uma nova floresta de Active Directory, clique na opção Criar um novo domínio em uma nova floresta e clique em Avançar

Digite o nome completo do domínio que deseja criar e clique em Avançar

OBS: Lembre-se... quando criamos o primeiro controlador de domínio de um novo domínio é quando CRIAMOS efetivamente o domínio. Se for o domínio raiz de uma nova floresta, é neste momento que estaremos criando toda a floresta do Active Directory


95

Escolha o nível funcional da floresta (lembre-se que o nível funcional só atinge os controladores de domínio! Mas o nível funcional da floresta atinge todos os domínios daquela floresta, que deverão ser no mínimo no mesmo modo funcional da floresta ou posteriores) e clique em Avançar

OBS: O nível funcional só pode ser AUMENTADO, nunca poderá ser retrocedido. Então, na dúvida escolha o mais antigo que você acha que pode ser a versão de Windows de um controlador de domínio. Posteriormente, se necessário, o nível funcional poderá ser elevado facilmente


96

Escolha o nível funcional do domínio (lembre-se que o nível funcional do domínio não afeta diretamente o nível funcional da floresta. Ele se refere somente às versões de controladores de domínio suportadas por este domínio. Só não poderá ser “anterior” ao nível funcional da floresta)


97

Selecione a opção desejada. Neste caso, o servidor já vem com a opção Catálogo Global selecionado pois ele será o primeiro controlador de domínio da floresta. A partir do segundo, esta opção poderá ou não ser selecionada.

O mesmo acontece com a opção Servidor DNS. Se a função DNS existe em outro servidor da rede, esta opção poderá ser desmarcada. Se não existe, ou se quisermos que este servidor execute TAMBÉM a função Servidor DNS, marque esta caixa de seleção.

Por ser o primeiro controlador de domínio do domínio que está sendo criado, ele não pode ser “Read Only”, então esta opção está indisponível para seleção.

OBS: Neste momento, é verificado se a função DNS está instalada neste computador. Se estiver, o assistente criará a zona equivalente ao nome do domínio. Se não estiver instalado, o assistente dará mensagem de erro e perguntará o que deve fazer:


98

Clique em Sim

Selecione onde deseja armazenar os arquivos do AD, e clique em Avançar

OBS: Normalmente, aceitamos o que o assistente oferece


99

Digite e confirme a senha do Administrador para o modo de recuperação do Active Directory (lembre-se desta senha, pois o processo de troca e reset dela é bem trabalhoso e somente por linha de comando!). Esta senha será usada em caso de ser necessário iniciar o servidor em “Modo de Recuperação do Active Directory”, onde a base do AD não estará montada e este será o único usuário que estará disponível para logon (é semelhante a um “administrador local”).


100

Clique em Avançar

Aguarde até que o assistente finalize a instalação


101

Depois de pronto, clique em Concluir

Se for possível, clique em Reiniciar agora. Se não, reinicie assim que possível o servidor. Enquanto ele não for reiniciado, a função Serviços de Domínio Active Directory não estará disponível.

Depois de reiniciar, abra a opção Funções do Gerenciador de Servidores e verifique se as duas funções estão adicionadas, conforme tela abaixo:


102

Depois de adicionada a função Serviços de Domínio Active Directory, são adicionadas as ferramentas de administração do AD nas ferramentas administrativas. Veja abaixo:


103

Depois de instalado o Controlador de domínio, neste procedimento que vimos acima, foi criada a zona do DNS que equivale ao domínio do AD. Veja na figura abaixo, uma tela com o DNS e a zona (domínio) criada:


104

Conhecimento adicional:

Modo funcional do Domínio e da Floresta:

Durante esta lição, falamos sobre “escolher o modo funcional da Floresta” e “escolher o modo funcional do Domínio”.

MODO FUNCIONAL define quais são as versões de Windows Server que podem ser CONTROLADORES DE DOMÍNIO nos domínios de uma floresta de Active Directory.

Para que possamos adicionar um controlador de domínio da versão 2008 ou 2008 R2, o modo funcional da floresta tem que ser no mínimo “Windows 2000” (significa que todos os controladores do domínio e domínios da Floresta tem que ser no mínimo Windows Server 2000) e o modo funcional do domínio tem que ser no mínimo “Windows Server 2003” (significa que todos os controladores de domínio terão que ter versão Windows Server 2003 ou posterior).

O modo funcional só pode ser “elevado”, nunca retrocedido. Em caso de dúvida, sempre escolha o nível mais “antigo”, pois podemos elevar depois sem muito trabalho ou risco.

Para verificar o nível funcional de um domínio ou de uma floresta, usamos a ferramenta Domínios e Relações de Confiança do Active Directory

Para verificar o nível funcional de um domínio, e elevá-lo, se for o caso, clicamos com o botão direito do mouse no nome do domínio e escolhemos a opção Aumentar nível funcional do domínio


105

Na janela de configuração, consulte ou altere, conforme a necessidade:

Para verificar o nível funcional de uma floresta, e elevá-lo, se for o caso, clicamos com o botão direito do mouse em Domínios e Relações de Confiança do Active Directory e escolhemos a opção Aumentar nível funcional da floresta


106

Na janela de configuração, consulte ou altere, conforme a necessidade:


107

Unidade 6 Configuração e Administração dos

Objetos do ADDS

Logo após a criação do domínio (e por consequência, do controlador de domínio), precisamos criar os objetos principais de segurança do domínio: Usuários, Grupos e Computadores.

A ferramenta principal que usamos para esta tarefa é a console “Usuários e Computadores do Active Directory”.

Mas antes de efetivamente criarmos os objetos, precisamos definir como iremos organizá-los no domínio.

Por padrão, quando criamos um domínio de Active Directory, uma estrutura de containers e OUs é criada. Veja a figura abaixo:


108

Por padrão, todos os novos computadores são criados no container Computers, todos os novos usuários seriam criados em Users e todos os Domain Controllers na OU Domain Controllers.

Seria possível criarmos todos os objetos em um mesmo local dentro do AD, usando a estrutura básica do AD e mantendo o padrão descrito acima, mas isto faria com que muito cedo ficasse bastante complicado e trabalhoso administrar estes objetos.

Para facilitar, então, a administração e manutenção destes objetos de segurança, criamos OUs personalizadas.

6.1 O que é uma OU?

Para entender o que é uma Unidade Organizacional (OU), podemos fazer uma analogia bem simples: Se imaginarmos o AD como sendo um disco rígido (HD), as OUs seriam as pastas.

Usamos as OUs para melhor organizar os objetos do AD, de forma a facilitar a administração, aplicar policies, delegar tarefas administrativas.

É necessário, muitas vezes, desenvolver um projeto para a criação das OUs... Da boa política de criação das OUs poderemos ter um domínio fácil ou complicado para ser gerenciado.

Não existe uma forma certa ou errada para a criação das OUs, desde que sejam criadas com propósitos definidos e mantido o propósito posteriormente.

6.2 Planejamento e criação de OU

O procedimento de criação de OUs é extremamente simples!

Depois de definida a regra para criação das OUs, seus propósitos e nomenclatura, execute o procedimento abaixo:

Abra a ferramenta administrativa Usuários e Computadores do Active Directory. Na posição onde deseja criar a OU, clique com o botão direito do mouse. Aponte para Novo e clique em Unidade Organizacional, conforme figura abaixo:


109

Na tela acima, está sendo criada uma OU logo abaixo do nome do domínio (OU de primeiro nível). Irá abrir uma janela:

Digite o nome desejado para a OU e clique em OK.

OBS: Nesta tela temos uma opção a ser marcada/desmarcada: Proteger contêiner contra exclusão acidental. Esta é uma opção de “segurança”,


110

pois se excluirmos uma OU, todos os objetos existentes dentro dela são excluídos também.

OBS2: Também é possível criar OUs por linha de comando, mas este procedimento está além do escopo deste treinamento.


111

Unidade 7 Configuração de usuários e grupos

7.1 Criação de usuários

O procedimento de criação de um usuário é bastante simples. Mas antes precisamos definir alguns padrões.

O primeiro é em relação à nomenclatura. Precisamos definir um padrão. Por exemplo, “nome.sobrenome” é um padrão muito usado

O segundo é em relação à senha. Cada empresa cria suas próprias regras para senhas, e precisamos desta regra definida e conhecida na criação da conta. Normalmente, criamos uma senha “padrão” (Pa$$w0rd, por exemplo) e solicitamos que o usuário troque no primeiro logon.

Mas podemos ter empresas onde o usuário não deve alterar a senha, é um administrador que faz esta troca. Ou ainda podemos ter usuários em que a senha “nunca expira” (normalmente contas de usuários criados para logon de serviços tem esta característica) e isto normalmente deve ser definido já na criação do usuário.

Crie e defina suas regras o mais cedo possível na administração do AD, e na regra de nomenclatura defina também o que fazer em caso de “Nomes duplicados”. Siga a regra definida!

Se caso desejarmos criar a conta e digitar a senha depois, é muito importante criar a conta DESABILITADA para evitar falhas de segurança!

Veja o assistente de criação de conta de usuário a seguir:

Clique com o botão direito do mouse na OU onde deseja criar a conta de usuário


112

Escolha a opção Novo e aponte para Usuário

Digite os nomes conforme definido na regra e clique em Avançar


113

Digite e confirme a senha e marque as opções de senha/conta conforme desejado e clique em Avançar

Clique em Concluir para finalizar a criação da conta do usuário.


114

7.2 Administração das contas de usuário

Depois de criadas as contas de usuário, existem diversas tarefas que podem ser necessárias no dia-a-dia da administração do AD.

Para as tarefas de manutenção de conta de usuário, clicamos com o botão direito do mouse na conta a ser administrada.

No menu de contexto que se abre, temos acesso a estas tarefas. As que não estiverem disponíveis diretamente no menu, use a opção Propriedades e mude conforme o necessário.

Para alterar o nome da conta, use a opção Renomear.

Digite o nome novo “de exibição” e tecle Enter


115

Na caixa que se abre, configure o restante da alteração dos nomes da conta do usuário. Clique Ok quando pronto.

Para resetar a senha, clique na opção Redefinir senha...

Se desejar, clique na caixa de seleção para o usuário alterar a senha no próximo logon do usuário e, se necessário, nesta mesma caixa é possível Desbloquear a conta do usuário

Para adicionar a conta do usuário a um grupo, clique na opção Adicionar a um grupo.


116

Digite o nome do grupo e clique em Verificar nomes.

Se houver mais de um grupo que seja equivalente a informação digitada, escolha o grupo desejado e clique em Ok.


117

Clique em Ok para finalizar a Adição ao grupo.

A tela acima confirma a ação executada.

Para habilitar uma conta de usuário desabilitada, clique na opção Habilitar conta (se caso a conta estiver habilitada, esta opção será “Desabilitar conta)


118

Uma conta de usuário quando desabilitada aparece como na tela abaixo:

Para mover uma conta de usuário entre OUs, clique na opção Mover


119

E escolha a OU de destino. Clique em Ok.

Para excluir uma conta de usuário, clique em Excluir

Confirme a exclusão clicando em Sim.

O que não pudermos fazer diretamente pelo menu, configuramos pelo item Propriedades. Veremos as guias e opções das “Propriedades” abaixo.

7.3 Configuração de propriedades

Depois de criada a conta do usuário, ela está praticamente pronta para ser usada.

Mas temos diversas opções de propriedades de conta que podemos gerenciar.

Para obter acesso às propriedades de conta de usuário, clique com o botão direito do mouse sobre a conta do usuário em questão e clique na opção Propriedades. Temos as propriedades divididas em guias:


120

Veja nas telas a seguir, algumas das guias mais usadas:

Na guia Geral configuramos algumas características de nomenclatura do usuário, telefone principal, endereço de email, entre outras informações

Na guia Endereço configuramos as informações sobre o endereço do usuário


121

Na guia Conta executamos configurações referentes ao nome de logon, desbloqueio de conta, vencimento da conta, e opções (principalmente referentes à opções de senha, como se o usuário pode ou não alterar sua própria senha, senha que nunca expira, entre outras)


122

Ainda na Guia Conta, temos os botões Horário de logon... (onde podemos restringir horários no qual o usuário pode fazer seu logon no domínio)


123

E Fazer logon em... (onde podemos restringir estações nas quais o usuário pode fazer logon)

Na guia Perfil configuramos perfil ambulante (móvel), script de logon e caminho para a pasta base (pessoal) do usuário


124

Na guia Telefone são configurados, como sugerido pelo nome, os números de telefone do usuário.


125

A guia Organização é usada para configurar informações referentes ao usuário na empresa: Cargo, Departamento, Empresa e Gerente (este gerente é somente informação, o usuário aqui configurado como “gerente” não recebe nenhum direito especial sobre a conta do usuário em questão)

Na caixa Supervisiona são listados usuários aos quais este usuário consta como gerente.


126

A guia “Membro de” é usada para ver e modificar a lista de grupos aos quais o usuário faz parte.


127

Para adicionar a um grupo, clique no botão Adicionar...

Digite o nome do grupo e clique em Verificar nomes.


128

Selecione, se necessário o grupo (caso tenha mais que um que encaixe no padrão digitado, abrirá uma janela de seleção. Marque o desejado e clique em Ok).

Se necessário, repita o procedimento para quantos grupos quiser inserir o usuário. Clique em Ok quando pronto.

Além das guias vistas nas figuras acima, temos as abaixo:

Discagem – Usada para configurar permissões de acesso Dial-up ou VPN

Ambiente – Usada para configurar a inicialização dos Serviços de Área de Trabalho Remota (se quiser iniciar um programa automaticamente, por exemplo)

Sessões – Usada para configurar limites de sessão de Serviços de Área de Trabalho Remota (tempo para encerrar sessão desconectada, por exemplo)

Controle Remoto – Usada para configurar se permite ou não, e demais configurações, Controle Remoto de sessão de Serviços de Área de Trabalho Remota

Área de Trabalho Remota Pessoal Virtual – Usada para configurar se deseja atribuir máquina virtual específica para ser usada como área de trabalho virtual pessoal


129

COM+ - Usada para definir se o usuário é membro de algum conjunto de partições COM+

Perfil dos Serviços de Área de Trabalho Remota – Usada para configurar perfil de usuário desejado, para quando este usuário estiver usando Serviços de Área de Trabalho Remota

7.4 Configuração do perfil ambulante

Toda vez que um usuário faz logon em um computador com Windows, é criado para ele um “perfil” local, onde ficam todas as informações relativas ao usuário, suas preferências, seus documentos. A partir do “segundo” logon no mesmo computador, todas as suas preferências que estão mantidas no seu perfil local, são carregadas e ele mantém a “mesma cara”.

Mas se o usuário trocar de computador, novo perfil é criado. Mas as preferências dele, da estação anterior, não são mantidos.

Através da criação do “perfil ambulante”, podemos ter o mesmo perfil de usuário independente da estação ao qual o usuário fizer seu logon.

Primeiro, crie uma pasta compartilhada em um servidor, e compartilhe para o grupo TODOS, com a permissão CONTROLE TOTAL.

Agora, precisamos configurar a conta do usuário para o perfil ambulante...

Para isto, configuramos a opção “perfil móvel” nas propriedades da conta do usuário, na guia e opção abaixo:


130

Na caixa Caminho do perfil, digite o caminho para o compartilhamento criado para armazenar os perfis móveis dos usuários, seguido da variável %USERNAME%. (ex: \\servidor\compart\%USERNAME%). O Windows automaticamente substitui a variável pelo nome de logon do usuário e cria a pasta onde será armazenado o perfil do usuário.

Na próxima vez que o usuário fizer seu logon, o perfil dele, da máquina local, será copiado para o servidor, no caminho digitado na caixa Caminho do perfil. E, a partir deste momento, independente da máquina que o usuário utilizar para fazer seu logon, o perfil será sempre o mesmo.

Criação e configuração de Script de Logon

Quando o usuário faz seu logon, uma série de configurações são necessárias. Hoje em dia, a maioria das configurações podem e devem ser feitas por diretivas de grupo. Mas algumas destas configurações podemos não conseguir fazer por policy. Entre elas, temos o mapeamento de pastas como um dos itens mais configurados para usuários, durante seu logon, através de um “script” chamado “script de logon”.

Este script é executado a cada vez que o usuário faz logon.


131

Ele deve ser armazenado no compartilhamento NETLOGON de um domain controller (ele será automaticamente replicado a todos os outros controladores de domínio, uma vez estando neste compartilhamento) e direcionado nas propriedades do usuário, na guia Perfil:

Na caixa Script de logon, digite o nome do script para o usuário em questão.

O script pode ser em qualquer linguagem de script reconhecida pelo Windows, ou em arquivos .BAT ou .CMD.

Como falado acima, o mapeamento de unidades de rede é um dos procedimentos mais configurados por scripts de logon.

Em arquivos .BAT ou .CMD, para mapear unidades de rede, usamos a linha abaixo:

NET USE L: \\SERVIDOR\COMPARTILHAMENTO

Por “L” devemos substituir pela letra desejada para o mapeamento da unidade.


132

Para desfazer um mapeamento, digitamos a linha abaixo:

NET USE L: /DELETE

Onde “L” é a letra da unidade que desejamos desconectar.


133

Unidade 8 Criação de grupos

Para criar grupos, usamos o mesmo aplicativo Usuários e Computadores do Active Directory.

O procedimento é bastante semelhante ao que vimos para a criação de usuários.

Abra a ferramenta acima, localize a OU desejada (onde quer criar o grupo) e clique com o botão direito do mouse. Aponte para Novo e clique em Grupo

Digite o nome do grupo e o nome para sistemas “pré Windows 2000”.


134

Escolha o escopo e o tipo de grupo desejado e clique em Ok.

Abaixo, uma explicação sobre Escopo e Tipo de Grupo.

8.1 Tipos e escopos de grupos

Por tipo de grupo, temos 2 possibilidades:

Segurança

Distribuição

Grupos de “segurança” são os grupos usados para dar permissões e direitos aos seus membros

Grupos de “distribuição” são os grupos usados como “lista de distribuição de email”

Por escopo de grupo, temos 3 possibilidades:

Global

Domínio Local

Universal

Veja abaixo características dos 3 escopos:

Grupo Global: só pode ter como membros usuários e outros grupos globais do mesmo domínio onde ele foi criado. Ele pode vir a ser membro


135

de qualquer grupo Domínio Local ou Universal, de qualquer domínio da Floresta. É visível em qualquer domínio da Floresta

Grupo Domínio Local: pode ter como membro usuários e grupos globais de qualquer domínio da Floresta. À ele, só pode ser dada permissão em recursos do domínio onde ele reside (domínio onde ele foi criado)

Grupo Universal: grupo “diferenciado”, pois ele reside somente em controladores de domínio que tenham a função “Global Catalog Server” (servidor de catálogo global). Ele pode ter como membros usuários e grupos globais de qualquer domínio de uma floresta. Ele pode ser membro de qualquer grupo Domínio Local (ou até mesmo de outros grupos Universais) de qualquer domínio da Floresta.

Políticas MS para grupos e dicas de uso

A Microsoft indica que devemos usar grupos como forma de facilitar a administração da rede.

Segundo as “políticas MS”, devemos usar grupos do escopo Global para organizar usuários de mesma característica. Devemos usar grupos Domínio Local para dar permissões e direitos aos membros deste grupo. E grupos do escopo Universal para organizar grupos Globais de mesma característica, em redes de múltiplos domínios, onde temos recursos centralizados.

Dentro das políticas acima, seguimos a seguinte regra:

Colocamos usuários semelhantes em grupos globais;

Criamos grupos Domínio Local de acordo com os recursos e suas necessidades de acesso;

Colocamos grupos globais dentro de grupos domínio local, de forma que os usuários recebam as permissões (veremos como dar permissões de acesso um pouco mais adiante neste treinamento)

Ainda sobre grupos... Se caso a rede da empresa usar Exchange, as “Listas de distribuição de email” são criadas sob forma de GRUPOS UNIVERSAIS.

Ações administrativas e manutenção de grupos

Para modificar e manter grupos, clicando com o botão direito do mouse no grupo em questão, temos um menu de contexto com as opções de gerenciamento disponíveis:


136

Para mover um grupo para outra OU, clique na opção Mover e escolha a OU de destino


137

8.2 Adicionando membros

Um usuário pode ser membro de diversos grupos. E um grupo pode ser inserido em outros grupos (à isto, chamamos de “aninhamento de grupo”).

Para inserirmos um usuário a um grupo, podemos fazer pelas propriedades do usuário, como já vimos, mas também pelas propriedades de um grupo, na guia Membros.

Clique com o botão direito do mouse no grupo desejado e clique em Propriedades. Clique na guia Membros.

Clique no botão Adicionar... para adicionar membros a este grupo:


138

Para colocarmos um grupo dentro de um grupo, podemos usar a guia Membro de, para colocar este grupo como “membro de” outro grupo. Esta guia também acessamos pelas Propriedades do grupo. Ou também a opção do menu de contexto “Adicionar a um grupo” como fizemos com as contas de usuário.

Clique em Adicionar para selecionar o grupo do qual queremos que este grupo se torne membro.


139

8.3 Configuração de outras propriedades

Além dos membros de grupo, também temos outras propriedades que podemos gerenciar em relação a grupos.

Veja abaixo as outras guias que acessamos pelas propriedades do grupo:

Nesta guia podemos trocar o nome do grupo, colocar descrição e observações, endereço de email, alterar o escopo e o tipo de grupo.


140

Nesta guia podemos definir um gerente para o grupo. O gerente pode ser usado apenas como “informação”, ou podemos definir que o “gerente pode atualizar a lista de membros” marcando a caixa de seleção com esta opção.

Para selecionar o gerente, clique em Alterar...

Digite e verifique o nome do usuário desejado. Clique em Ok.

Para que este gerente possa modificar o “Membership” do grupo, marque a caixa equivalente, mostrada na janela abaixo:


141

Lição 5 – Colocando uma estação ou servidor no domínio

É necessário configurar os computadores para que eles se tornem “membros do domínio” e passem a ser administrados como tal.

Fazendo com que um computador se torne membro de um domínio, fazemos com que os usuários do domínio se tornem usuários do computador local, fazemos com que os administradores do domínio passem a administrar o computador local.

Através da conexão de um computador ao domínio, podemos aplicar diretivas de grupo a este computador, podemos configurara auditoria, distribuir software, entre outras ações.

Um usuário comum, em domínios de Active Directory atuais, podem conectar até 10 computadores ao domínio. Isto é uma definição de segurança, e pode ser modificada (pode ser tirado este direito, mas o limite de 10 contas não poderá ser excedido).

Após exceder o limite de 10 contas de computador, então somente os administradores (ou usuário que foram definidos especificamente com este direito ou função) poderão conectar computadores ao domínio.

Para conectar um computador ao domínio, devemos em primeiro lugar, configurar o endereço de DNS na placa de rede dele (nas configurações do TCP-IPv4) para apontar ao servidor de DNS do domínio (vimos como fazer isto em um Windows Server em lição anterior, no Windows 7 é semelhante o procedimento).


142

Logo após, pelo menu Iniciar, clicamos com o botão direito do mouse em “Computador” e escolhemos a opção Propriedades.

Na janela das propriedades do computador, no lado esquerdo da janela, clicamos na opção Configurações Avançadas do Sistema

Na guia Nome, clique no botão Alterar


143

Na janela de configuração do nome do computador, clique em Domínio e digite o nome do domínio ao qual deseja que este computador faça parte

Depois de digitar o nome do domínio, clique em Ok. O Windows pedirá as credenciais (nome e senha) de um usuário, membro do domínio em questão, que possa conectar este computador ao domínio.


144

Logo após a confirmação de conexão ao domínio (será exibida uma mensagem de “Bem Vindo”), será solicitado que o computador seja reiniciado.

No seu retorno, o computador já será membro do domínio.

OBS: As telas desta lição são de Windows 7. Em Windows Server, o procedimento é praticamente o mesmo


145

Unidade 9 Segurança dos Recursos de Disco: Configuração de compartilhamento

9.1 Compartilhamento de recursos

Para que um recurso se torne acessível através da rede, precisamos “compartilhar” este recurso.

Só podemos compartilhar pastas e unidades, não é possível compartilhar arquivos individualmente.

Segundo as melhores práticas MS, devemos sempre compartilhar pastas para grupos, não para “usuários”.

A permissão padrão do compartilhamento “avançado” é para o grupo “Todos”, com a permissão “somente leitura”.

A permissão padrão do compartilhamento “simples” é somente para o usuário que está configurando o compartilhamento, com a permissão “proprietário” (que equivale a “Controle Total”).

Aqui, neste módulo, veremos o “compartilhamento avançado”, que é o que normalmente será usado em uma rede de domínio.

Para compartilhar uma pasta, clique com o botão direito do mouse no nome da pasta e escolha a opção propriedades. Clique na guia Compartilhamento


146

Clique em Compartilhamento Avançado


147

Marque a caixa de seleção Compartilhar a pasta, digite o nome do compartilhamento que deseja criar e clique em Permissões para ajustar as permissões de acesso à pasta compartilhada

Clique em Adicionar, para adicionar outros grupos. Clique no nome do grupo e no botão Remover, se desejar tirar um grupo da lista de permissões.

Digite o nome do grupo e Verifique o nome. Faça isto para tantos grupos (ou usuários) desejar configurar para permissão neste compartilhamento. Depois, clique em Ok.


148

Para definir o nível de acesso de cada grupo, clique no nome dele e, na parte inferior da janela, marque a caixa de seleção referente à permissão ou negação que deseja configurar para o grupo selecionado. Na figura abaixo, o grupo Todos tem a permissão “Permitida” de Leitura.

Quando estiver pronto, clique em Ok duas vezes para fechar a janela de configuração de compartilhamento.


149

Unidade 10 Segurança dos Recursos de Disco:

Configuração das permissões de segurança NTFS

10.1 Configurando Segurança NTFS

Toda unidade de disco formatada com sistema de arquivos NTFS possui

configurações de segurança, onde podemos definir quem pode e o que pode

ser feito em suas pastas e arquivos.

Estas permissões de segurança são válidas tanto para controle de acesso

localmente, quanto para quando acessamos através de um compartilhamento

de rede, mas configurar a segurança não disponibiliza o recurso para acesso

via rede.

Podemos configurar permissão tanto para unidades, pastas e até arquivos

individualmente.

Por padrão, um arquivo herda a configuração de segurança da pasta onde ele

está, assim como subpastas também herdam. É possível remover esta

herança, quando precisarmos que determinado arquivo ou subpasta tenha

configurações de segurança diferentes da pasta de nível superior. Sempre que

uma permissão estiver “cinza” e não puder ser alterada, significa que ela é

“herdada”. Para modificar, precisamos remover a herança.

Veja como configurar as permissões de segurança NTFS.

Para configurar as permissões, comece clicando com o botão direito do mouse

na unidade, pasta ou arquivo que desejar configurar. Clique na opção

Propriedades. Clique na guia Segurança


150

Para adicionar grupos ou usuários e usar permissões padrão, clique no botão

Editar


151

Clique no botão Adicionar para escolher usuários e grupos para configurar

permissão. Clique no nome de um grupo ou usuário na lista e no botão

Remover, se quiser tirar da lista de permissões.

Para configurar o nível de permissão desejado, clique no nome do grupo ou

usuário e marque a caixa de seleção com o nível de permissão ou negação

desejado.

OBS: Lembre-se... se caso não conseguir remover um usuário/grupo, ou

modificar uma permissão, significa que ela é “herdada”

IMPORTANTE: Só se usa negação em casos muito especiais, já que ela não

será sobrescrita em caso de “conflito” de permissões. E, diferente da permissão

permitida, a permissão negada deve ser dada apenas a usuários individuais e

não a grupos. A permissão se não estiver explicitamente configurada, já será

automaticamente negada. Então, em vez de negar, é melhor “não configurar”.

Mas muitas vezes estas permissões de acesso padrão não dão o tipo de

permissão desejado. Ou o comportamento padrão de configuração (da

permissão ser para esta pasta e para tudo que existir abaixo dela) não dá o tipo

de permissão de acesso desejada. Ou ainda precisamos remover a herança!

Então, na janela da configuração das permissões de segurança, clique no

botão Avançadas


152

Clique no botão Alterar Permissões e, então, nesta nova janela, utilize o botão

Adicionar para adicionar e configurar novas permissões para usuários ou

grupos, o botão Editar para modificar uma permissão de acesso atual

(selecionando na lista, clicando sobre o nome do grupo ou usuário a ser

alterado e, depois clicando no botão Editar) ou ainda, para remover uma

permissão, clique no nome do usuário ou grupo e depois em Remover.

Caso queira remover a herança, para poder modificar uma permissão

“herdada”, desmarque a caixa de seleção Incluir permissões herdáveis

provenientes do pai deste objeto.

Abaixo, uma tela com as opções de configuração para adicionar novas

permissões a usuário ou grupo, pelo botão Adicionar


153

Digite o nome do usuário ou grupo a ser adicionado e selecione “onde aplicar”,

“a que objetos aplicar” e o “nível de permissão permitida ou negada” desejada.

Clique em Ok até fechar as propriedades do arquivo ou pasta.

10.2 Dicas para facilitar a administração dos recursos

Segundo as melhores práticas MS, sempre devemos configurar permissões

para grupos e não para usuários.

Um usuário pode ser membro de diversos grupos. E por este motivo, receber

diferentes níveis de permissão. Estas permissões serão somadas (se

permissões “permitidas”) e filtradas (se permissões “negadas”, já que a

“negação” sobrescreve uma “permissão”) e teremos o que chamamos de

“permissão efetiva”.

Este cálculo de permissão efetiva ocorre tanto para “segurança” quanto para

compartilhamento.

Mas se estas permissões efetivas forem diferentes, neste caso ficará

“realmente efetiva” a permissão mais restritiva entre as duas (compartilhamento

e segurança).


154

Assim sendo, tem-se como prática comum “abrir” no compartilhamento e “fechar” na segurança NTFS, já que esta fica válida tanto para um acesso via rede, quanto em um acesso local. Então, é uma das “boas práticas”, compartilhar para “todos” ou “usuários autenticados” com a permissão “controle total”, e depois na segurança colocar permissão SOMENTE para os grupos que efetivamente precisam de acesso, e com o nível desejado


155

Unidade 11 Configuração de Group Policies

(diretivas de grupo)

Um dos principais “pontos de venda”, um dos principais diferenciais da solução de rede MS é a possibilidade de aplicar diretivas.

Através de Diretiva podemos configurar praticamente todo o ambiente de trabalho do usuário.

Temos diretivas (policies) locais, em cada computador com Windows.

Mas nosso foco aqui são as policies (diretivas) de grupo, de domínio.

O Windows Server possui uma ferramenta (console) que é a preferencial para este trabalho com diretivas de grupo: O GPMC (Group Policy Management Console)

Através do GPMC podemos criar, configurar, testar, gerar relatórios, de toda a estrutura de diretivas do domínio.

Quando iniciamos a console do GPMC, para iniciar o trabalho com as diretivas, expandimos o nó da Floresta, o nó do domínio e clicamos no container Objetos de Diretiva de Grupo.

Em um novo domínio, existirão 2 diretivas: Default Domain Policy e Default Domain Controller Policy.

A diretiva Default Domain Policy é válida para todos os computadores e usuários do domínio e está ligada ao domínio

A diretiva Default Domain Controller Policy é válida para todos os controladores de domínio do domínio em questão.


156

Clicando na pasta Objetos de Diretiva de Grupo com o botão direito do mouse, temos as opções de gerenciamento de policies:

Clicando na opção Novo, criamos uma nova diretiva de grupo


157

Digite o nome a ser dado para a diretiva e clique em Ok. Mas isto apenas criou a diretiva, temos que agora definir o que será configurado através desta diretiva. Clique com o botão direito do mouse e escolha a opção Editar

Na tela de edição da diretiva é onde vamos definir o que esta policy vai configurar ou controlar.

Uma diretiva é dividida em duas áreas principais: Usuário e Computador

Dentro de cada uma destas duas partes, temos ainda uma divisão entre Diretivas e Preferências. Diretivas existe em qualquer versão de policies de Windows. A parte "Preferências" é que é novo no Windows Server 2008. Para que esta parte possa ser implementada em computadores com Windows XP e Windows Server 2003, precisa ser instalado um "KB" chamado "Client Side Preferences" (pode ser baixado gratuitamente no site da Microsoft na Internet).


158

Para modificar um item (editar), localize o item expandindo os nós e dê duplo clique sobre ele no painel da direita (painel de detalhes).

Configure conforme sua necessidade.

Temos 3 possibilidades:

Não configurado: Vai ficar valendo a configuração atual, vinda de outra diretiva ou configurada localmente

Habilitado: Executa esta diretiva

Desabilitado: Não executa esta diretiva

Marque a opção e clique em Ok.

OBS: Em cada janela de configuração de uma diretiva sempre tem uma breve explicação sobre ela, no painel Ajuda. E é possível navegar entre as diversas diretivas clicando nos botões Configuração Anterior e Próxima Configuração


159

ATENÇÃO: Em nenhum momento é solicitado que uma diretiva seja "salva". No momento que clicamos em Ok, está sendo salva esta configuração. Para modificar ou desfazer, é necessário voltar à edição da diretiva e mudar o que for necessário.

Para configurar uma "Preferência", também é necessário localizá-la para editar.

Abaixo, as "preferências para computador" e as "preferências para usuário":


160

Como exemplo, veremos a configuração de um atalho:

Clique com o botão direito do mouse em Atalho, aponte para a opção Novo e clique em Atalho


161

Escolha a ação:

Configure as opções desejadas:


162

Nas "Preferências" é possível direcionar a configuração, de acordo com "testes" ou opções. Para isto, clique na guia Comum, marque a caixa de seleção Direcionamento de nível de item e clique em Direcionamento.

Configure os testes conforme necessário, clicando em Novo Item


163

Abaixo, as opções de testes de direcionamento:

Configure conforme for sua necessidade e clique em Ok. Na figura abaixo, um exemplo de direcionamento por grupo de segurança:


164

Depois de finalizada a edição da diretiva, ainda temos mais algumas configurações a serem feitas.

A primeira delas é definir a quem se aplica esta diretiva. O padrão é ela ser aplicada a Usuários Autenticados.

Para modificar este comportamento, clique sobre o nome da diretiva na pasta Objetos de Diretivas de Grupo. No painel da direita será mostrada as características desta diretiva selecionada.

Na guia Escopo temos as informações de a qual OU(s) está ligada esta diretiva e a quem ela se aplica (Filtros de Segurança).


165

Na guia Opções temos um resumo de todas as configurações da diretiva (é possível imprimir o conteúdo desta guia, como forma de "relatório" clicando em qualquer lugar do painel de detalhes com o botão direito do mouse e escolhendo Salvar Como)


166

Na guia Delegação vemos todos que tem algum tipo de permissão ou direito sobre esta diretiva. Para modificar a quem se aplica esta diretiva, ou ainda qualquer outra permissão desejada, clique no botão Avançado.

Configure como desejar e clique em Ok quando pronto. As permissões necessárias para quem queremos que esta diretiva seja aplicada é "Leitura" e "Aplicar diretiva de grupo"

Ainda temos que definir a qual local queremos ligar esta policy, pois mesmo depois de configuradas as opções, definido a quem se aplica a diretiva, ela só estará efetivamente em funcionamento depois que "ligarmos" ao domínio ou à alguma OU.

Para ligar a uma OU, clique com o botão direito do mouse sobre o nome da OU desejada.


167

Clique em Vincular com GPO Existente

Escolha a GPO (diretiva) desejada e clique em Ok.

Uma OU (ou mesmo o próprio domínio) pode ter diversas diretivas ligadas a ela. E ainda existe a "herança" de diretivas.

Por "Herança de diretivas" entende-se as diretivas ligadas à níveis acima e que "descem" na hierarquia.

Se por algum motivo não quisermos que diretivas sejam herdadas por alguma OU, devemos Bloquear Herança, clicando nesta opção no menu


168

de contexto da OU em questão (veja na tela acima, onde apresenta o menu de opções de uma OU)

Clicando no nome da OU, vemos as diretivas vinculadas diretamente à ela clicando na guia Objetos de Diretiva de Grupo Vinculadas...

... E clicando na guia Herança de Diretivas de Grupo, vemos as diretivas herdadas por esta OU

Ainda temos opções de configurações no "link" da diretiva (aparece logo abaixo do nome da OU os links de todas as diretivas ligadas a ela), que temos acesso clicando com o botão direito do mouse no link em questão:


169

Através deste menu podemos, por exemplo, ativar e desativar um vínculo ou mesmo excluir o vínculo (excluir o vínculo NÃO exclui a diretiva).

Conhecimento Adicional:

Quando o Windows vai executar uma diretiva, ele lê TODA a diretiva, mesmo que somente uma parte, ou poucos itens, estejam efetivamente configurados.

Para minimizar este tempo de "leitura", podemos desativar parte da diretiva que não tenha configurações.

Já vimos que uma policy é dividida em 2 grandes "áreas": Usuário e Computador.

Se uma destas áreas não tiver configuração, desabilite esta parte.

Para tal, clique com o botão direito do mouse na diretiva em questão, na pasta Objetos de Diretiva de Grupo. Aponte para Status do GPO e escolha a opção que se aplica, clicando sobre ela:


170


171

Unidade 12 Tópicos Adicionais

12.1 Mestres de operação

Domínios com Active Directory, a função controlador de domínio é “multimaster”, ou seja, todos podem receber alterações e replicam estas alterações com seus parceiros.

Mas tem algumas funções que são consideradas críticas, e portanto, nomeamos apenas 1 controlador de domínio para executar estas funções. São o que chamamos de Mestres de Operação.

Temos 5 mestres de operação, sendo que 2 deles são exclusivos em toda a floresta:

Mestre do Esquema (Schema Master) – responsável pela manutenção do esquema, como o nome já diz

Mestre de Nomeação de Domínio (Domain Naming Master) – responsável por garantir a exclusividade do nome do domínio, por manter o relacionamento pai-filho dentro da floresta, pelo posicionamento dos controladores de domínio, pelas relações de confiança...

E 3 são exclusivos em cada domínio

Emulador de PDC (PDC Emulator) – responsável por sincronizar a hora dos computadores, por receber alterações de senha, por receber alterações de diretivas...

Mestre de Infraestrutura (Infrastructure Master) – responsável por manter histórico de SIDs, membros de grupos...

Mestre de RID (RID Master) – responsável por distribuir os SIDs para os controladores de domínio, para a criação de novos objetos

Por padrão, o primeiro controlador de domínio da floresta possui é o mestre das 5 funções

A partir daí, o primeiro controlador de domínio de cada domínio filho terás as 3 funções exclusivas por domínio.

É possível alterar o mestre.

Para isto, cada uma das funções pode ser migrada entre controladores de domínio individualmente.

Para alterar as funções Emulador de PDC (PDC Emulator), Mestre de Infraestrutura (Infrastructure Master) e Mestre de RID (RID Master) usamos a ferramenta Usuários e Computadores do Active Directory


172

Em primeiro lugar, conecte-se ao controlador de domínio que deseja que seja o novo mestre. Para isto, clique no nome do domínio na ferramenta Usuários e computadores do Active Directory, clique com o botão direito do mouse e escolha a opção Alterar o Controlador de Domínio

Selecione o nome do controlador de domínio que deseja


173

Depois de clicar em Ok,clique novamente no nome do domínio com o botão direito do mouse e, agora, escolha a opção Mestres de Operação

Clique na guia do mestre que deseja mover para o novo controlador de domínio e clique em Alterar


174

Clique em Fechar.

Para alterar o Mestre de Nomeação de Domínio, a ferramenta que usamos é o Domínios e Relações de Confiança do Active Directory

O procedimento é o mesmo descrito acima. Somente o que muda é o mestre em questão:


175

Para alterar o Mestre de Esquema, precisamos registrar a DLL da console de administração do esquema, que não vem criada e registrada automaticamente.

Para isto, siga o procedimento abaixo:

Pelo “Executar” do menu Iniciar, digite o comando abaixo


176

Virá uma mensagem de sucesso do registro

Depois disto, abra uma console de MMC vazia, digitando MMC no Executar

Clique no menu Arquivo e escolha a opção Adicionar/Remover Snap-in. Selecione o snap-in Esquema do Active Directory, clique em Adicionar e clique em Ok


177

Então, o processo agora é igual ao descrito anteriormente... Escolha o controlador de domínio para o qual deseja transferir a função e depois escolha a opção Mestre de operações

E transfira a operação.

12.2 Global Catalog

Quando rodamos o assistente DCPromo para a criação do controlador de domínio, uma das opções que podemos configurar, como já visto anteriormente, é se este controlador de domínio será um “Servidor de Catálogo Global”.

O Servidor de Catálogo Global executa algumas funções bem específicas:

É ele quem responde por solicitações de consulta ao Active Directory

É ele quem mantém os grupos Universais

É ele quem responde por tentativas de logon quando usamos o UPN do usuário (UPN é o “nome completo” do usuário, que é formado pelo nome de logon do usuário, o sinal de @ e o sufixo do domínio onde a conta deste usuário reside. Muitas vezes, pode ser o mesmo endereço de email, mas não obrigatoriamente. Este UPN é definido na criação do usuário e pode ser alterado pelas propriedades da conta do usuário, selecionando o sufixo na caixa relativa)


178

O Global Catalog Server possui a base de dados de segurança do domínio ao qual ele é controlador de domínio, e uma cópia de parte da base de dados de todos os outros domínios da floresta (ele possui todos os objetos e uma parte dos atributos destes objetos) de forma a facilitar a consulta.

Como melhores práticas, se tivermos um único domínio, todos os controladores deverão ser configurados como Servidores de Catálogo Global.

Se tivermos mais de um domínio, todos os controladores de domínio deverão ser configurados, exceto aquele que for mestre de operação de infraestrutura (Infrastructure Master).

Para verificar se um controlador de domínio é um Global Catalog Server, ou para configurar esta opção, usamos a ferramenta Sites e Serviços do Active Directory.

Clique para expandir o site, clique para expandir Servers, clique no servidor em questão e clique com o botão direito em NTDS Settings. Na guia Geral, verifique se está marcado Catálogo Global. Se esta caixa de seleção estiver marcada, este controlador de domínio é um Servidor de Catálogo Global. Marque ou desmarque conforme for a necessidade.


179

12.3 Adição de mais controladores de domínio e Criação de mais domínios

Pela mesma ferramenta DCPromo, pela mesma forma já descrita anteriormente para a criação do controlador de domínio, podemos criar mais controladores de domínio para domínios já existentes, e até novos domínios.

Só o que modifica são as opções que escolhemos no assistente de criação dos controladores de domínio.

Em primeiro lugar, devemos adicionar a função Serviços de Domínio do Active Directory, como visto anteriormente, no início deste treinamento (Parte 2).

Após, executar DCPromo, como também já descrito na Parte 2.

Quando solicitado, escolha a opção que se aplica: Controlador de domínio adicional em um domínio já existente, ou Controlador de domínio para um novo domínio filho.

Marque a opção desejada e clique em Avançar


180

Digite o nome do domínio existente (para controlador de domínio adicional, digite o nome do domínio desejado, para novo domínio, digite o nome do domínio "pai"), clique em Avançar e siga o assistente.

12.4 Remoção de um controlador de domínio

Para remover um controlador de domínio, usamos o mesmo utilitário DCPromo que usamos para adicionar um novo controlador de domínio.

Quando executamos DCPromo e ele detecta que o servidor é um controlador de domínio atualmente, ele já oferece diretamente para remover a função Controlador de domínio do servidor.

Clique em Avançar. Se o Controlador de domínio for um Servidor de Catálogo Global, ele avisa para verificar se existe outro controlador de domínio executando esta função pois, sem um Global Catalog Server os usuários não poderão fazer logon no domínio.


181

Se este for o último controlador de domínio do domínio, marque a opção informando isto. Se não for o último, o assistente irá remover as informações do controlador atual do domínio ainda existente em outro(s) controlador de domínio e fará a transferência de funções “master” se caso o controlador atual for um Mestre de Operação para outro controlador de domínio do domínio atual.


182

Se este for o último controlador de domínio, o domínio cessará de existir quando o DCPromo finalizar.

OBS: Se caso o DCPromo não conseguir remover corretamente o controlador de domínio, podemos forçar a remoção com a linha de comando DCPROMO /FORCEREMOVAL. Mas isto poderá acarretar em “sujeira na base de dados”, caso o domínio continue existindo em outros controladores de domínio.

12.5 Delegar tarefas administrativas no AD

O usuário Administrador é, por padrão, o usuário que possui todas as permissões administrativas e direitos de usuário dentro de um domínio do Active Directory. Bem como podemos dizer o mesmo do grupo Admins do Domínio e Administradores (do Active Directory).

Como vimos no tópico de grupos, também os grupos internos possuem direitos de usuário, através dos quais podem executar algumas das


183

tarefas administrativas. Ou seja, usuários que sejam inseridos como membros destes grupos internos receberão os direitos administrativos inerentes ao grupo.

Veremos mais adiante, no tópico sobre diretivas, mais sobre estes direitos de usuário, conforme já comentamos.

Como exemplo de grupos internos que possuem direito de executar uma ou mais tarefas administrativas no Active Directory, temos os Operadores de Conta.

Mas existem algumas tarefas, em relação ao Active Directory Domain Services que podemos querer que usuários possam executar, mesmo que não sejam administradores, nem membros de grupos internos.

Exemplos destas tarefas podemos ter com empresas que quisessem que os membros do departamento de Recursos Humanos pudessem criar contas de usuário no domínio, em uma OU chamada Novos Funcionários.

Mas... Por que não colocar estes usuários diretamente nos grupos já descritos (que tem poderes administrativos no AD e que poderiam executar esta tarefa)? Pelo princípio do “menor privilégio” que a Microsoft preza muito, em relação à segurança. Se colocarmos um usuário do RH em dos grupos de que já falamos, este usuário poderia executar mais tarefas administrativas do que desejamos.

Então, para resolver questões como esta, temos a possibilidade de delegar tarefas administrativas específicas à usuários e/ou grupos, dentro do AD, de forma a que estes usuários só possam executar aquilo que efetivamente desejamos ou necessitamos.

Para delegar tarefas administrativas, usamos a console Usuários e Computadores do Active Direcory.

Normalmente, a guia “Segurança” não aparece nos objetos do Active Directory.

Para mostrar esta guia, clique no menu

Temos uma forma simples e uma forma mais trabalhosa para delegar a tarefa administrativa.

Mas só temos uma forma (a trabalhosa) para ver, remover e modificar as permissões administrativas delegadas aos objetos do Active Directory.

A forma simples é através do assistente Delegar Controle

A forma “trabalhosa” é através da guia Segurança, que descrevemos acima como exibi-la.

Para delegar a permissão desejada, usando o Assistente:

Clique com o botão direito do mouse no item desejado (normalmente uma OU)


184

No menu que se abre, clique em Delegar Controle

Siga os passos do Assistente

Para delegar controle usando a guia Segurança:

Clique com o botão direito do mouse no objeto desejado

No menu que se abre, clique na opção Propriedades

Clique na guia Segurança


185

Modifique as permissões da mesma forma que vimos em relação às permissões do NTFS

OBS: Tudo que vimos relativo às permissões do NTFS vale da mesma forma aqui: permissão efetiva, herança de permissões, etc.

12.6 Servidor DHCP

Uma das funções principais mais usadas no Windows Server é a função DHCP Server.

Através desta função podemos configurar nossos computadores para usar endereçamento automático em vez de utilizar configuração de TCP-IP manual nos adaptadores de rede

A configuração manual nos permite maior controle de que dispositivo usa qual endereço, mas é muito mais trabalhosa e mais suscetível a uma configuração incorreta (o que pode acarretar em recursos indisponíveis). Entre as possibilidades mais concretas, está a configuração de endereços conflitantes (dois ou mais dispositivos com o mesmo endereço) ou mesmo configuração de máscara de rede ou gateway incorretos (o que pode gerar a não localização de recursos na rede local ou externa)

Através do DHCP podemos centralizar as configurações e aumentar a garantia de que os endereçamentos estarão corretos.

Para adicionar a função DHCP, o pré-requisito necessário é que este servidor esteja com o endereço IP configurado manualmente.


186

Configure a placa de rede do servidor conforme já visto, de forma estática.

Abra a console do Gerenciador de Servidores

Clique na opção Funções na lista à esquerda da janela

Com o botão direito do mouse, clique em Funções novamente

No menu que se abre, clique em Adicionar Funções

Se solicitado, clique em Próximo para iniciar o assistente

Marque a caixa de seleção ao lado da opção Servidor DHCP

Clique em Próximo 2 vezes


187

Preencha as opções iniciais de configuração do DHCP (estas opções serão usadas pelo servidor de DHCP para as configurações a serem passadas aos seus clientes) – nome do domínio de DNS e endereços dos servidores DNS preferencial e alternativo

Se você não quiser configurar o DHCP agora, basta seguir o assistente sem preencher os campos de configuração. Estas poderão ser feitas ou alteradas posteriormente, através da console de administração do DHCP


188

Clique se deseja ou não configurar o endereço de um servidor “WINS” caso este seja usado junto com o DNS para o processo de resolução de nomes da empresa. Clique em Próximo


189

Se desejar, configure o escopo de endereços a serem ofertados pelo DHCP – veremos a criação do escopo mais adiante. Clique em Próximo


190

Marque a opção se deseja ou não que o servidor atribua endereços em IPv6, também. Clique em Próximo (Se você marcar a opção para habititar, será solicitado à configurar o escopo como no caso do IPv4, o que pode ser feito neste momento, ou posteriormente)

Clique em Instalar.

Quando pronto, revise a mensagem e clique em Fechar.

Para administrar o DHCP, utilizamos a console DHCP, que encontramos nas Ferramentas Administrativas.

Para abrir esta console, clique no menu Iniciar, aponte para Ferramentas Administrativas e clique em DHCP.

A primeira ação a ser executada em um servidor de DHCP é “autoriza-lo” no AD. Por motivos de segurança, para que o serviço DHCP possa ser efetivamente iniciado, ele deve ser autorizado pelo AD. Enquanto um servidor de DHCP não for autorizado, ele não poderá fazer ofertas de IP mesmo que possua escopo e as demais cofigurações

Somente um administrador da organização pode autorizar um DHCP.

Para autorizar um servidor de DHCP, clique com o botão direito do mouse em DHCP na lista à esquerda da console do DHCP e, no menu que se abre, clique na opção Gerenciar servidores autorizados.


191

Na caixa que se abre, clique em Autorizar, digite o nome ou o IP do servidor a ser autorizado e clique em OK. Se necessário, clique em OK novamente para confirmar o servidor a ser autorizado.

Este procedimento pode ser repetido caso haja mais de um servidor de DHCP a ser autorizado.

Quando estiver satisfeito, clique em OK.

Clique no sinal de + ao lado do nome do servidor, na lista da esquerda da janela, para expandir as informações referentes ao DHCP deste servidor

Clique no sinal de + ao lado de IPv4 (o mesmo procedimento é válido para IPv6, mas aqui será descrito apenas para IPv4) para exibir as opções do IPv4

Se vocês criou um escopo, ele será exibido aqui.

Como no procedimento acima não criamos um escopo, o faremos agora.

Escopo é uma lista de endereços que podem ser ofertados aos clientes deste servidor de DHCP. Um servidor de DHCP pode ter um ou mais escopos.

Nas configurações do escopo, definimos endereço inicial e final da lista, máscara de subrede, validade do “leasing” (empréstimo) do endereço, informações de endereços que devam ser excluídos da listagem, endereços da listagem que devam ser reservados e opções (endereço do servidor DNS, do gateway, de servidor WINS, etc). Estas opções também podem ser configuradas ao nível de “servidor DHCP” (são válidas para


192

todos os escopos deste servidor) e para reservas (serão válidas somente para aquele endereço reservado)

Para criar um escopo, siga o procedimento abaixo:

Clique com o botão direito do mouse em IPv4.

No menu que se abre, clique na opção Novo escopo.

No assistente que inicia, clique em Avançar.

Digite um nome para o escopo, uma descrição e clique em Avançar.

Digite o endereço inicial e o final da lista de endereços do escopo.

Se necessário, modifique e ajuste a máscara de sub-rede. Clique em Avançar.


193

Digite, se necessário, o endereço inicial e final de uma lista de exclusão (endereços da listagem geral do escopo e que você não deseja que sejam distribuídos aos clientes pelo servidor DHCP). Clique em Adicionar. Se necessário, podem ser adicionados mais de um intervalo de exclusão. Quando estiver satisfeito, clique em Avançar.

Defina a duração do leasing – duração da concessão – e clique em Avançar.


194

Se desejar configurar as opções do escopo durante sua criação, marque a opção Sim. Se desejar configurar as opções depois do escopo criado, marque a opção. Neste procedimento, veremos a configuração das opções DEPOIS de criado o escopo. Clique em Não, em Avançar e em Concluir.

Depois de pronta a criação do escopo, precisamos definir as opções e ativar o escopo.

Para configurar as opções, clique sobre o escopo na listagem da esquerda da console do DHCP. Expanda as configurações do escopo clicando no + ao lado esquerdo do escopo. Clique com o botão direito do mouse no em Opções de escopo e clique na opção Configurar opções.


195

Na janela que se abre, localize a opção desejada a ser configurada. Na janela acima, está marcada a opção Roteador (default gateway). Neste exemplo, digite o endereço do gateway depois de marcar a caixa relativa ao roteador e clique em Adicionar.

Repita este procedimento tantas vezes quantas forem necessárias para configurar todas as opções para o escopo.

Quando estiver satisfeito, clique em OK. Se quiser, pode ser clicado em Aplicar para já configurar as opções mesmo antes de fechar a janela.

Lembre-se que para o Active Directory é necessário a configuração de pelo menos 1 servidor de DNS para ser possível efetuar o logon. Então esta opção é necessária de ser configurada em TODOS os escopos de um servidor, caso estes clientes utilizem o AD. Para a Internet isto também é necessário.

Se houver a necessidade de que um determinado cliente receba sempre o mesmo IP do escopo, podemos configurar uma “reserva”.

Para isto, clique com o botão direito do mouse no item Reserva abaixo do escopo na lista da esquerda e clique na opção Nova reserva.


196

Digite o nome que descreva a reserva – normalmente descrevemos ou nomeamos o computador que irá receber este endereço. Digite o endereço a ser reservado e o MAC da placa de rede que irá receber este endereço

Quando pronto, clique em Adicionar.

Repita este processo para todas as reservas necessárias.

O último passo para configurar um escopo é ativa-lo.

Depois de tudo ok, para que o escopo possa começar a oferecer seus endereços, ele precisa estar ativo.

Para isto, clique com o botão direito do mouse no escopo em questão e no menu que se abre, clique na opção Ativar.


197

Unidade 13 Diretiva local e de grupo

13.1 Configuração de diretivas locais

Uma das funcionalidades mais importantes de um Windows, em relação à administração e segurança, são as diretivas de locais e de grupo

Através de policies, podemos configurar praticamente 100% do ambiente de trabalho de um usuário.

Hoje, nas versões atuais de Windows, podemos configurar diversos níveis de policies, mesmo trabalhando em grupo de trabalho.

Começaremos vendo as diretivas locais, através da configuração das diretivas de um Windows 7.

Podemos ter uma policy local padrão (diretiva do computador local), uma policy diferente para usuários “administradores” e “não administradores”, e até para usuários individuais, desde que sejam usuários locais.

Para configurar uma policy para o computador local, precisamos abrir uma console de MMC vazio. Para isto, digite MMC no menu Iniciar, e clique em MMC no item que aparece:


198

Se necessário, permita a execução da console, clicando em ok na mensagem do UAC:

OBS: MMC significa Microsoft Management Console, e é a interface para todas as ferramentas administrativas do Windows.

Na tela do MMC, no menu Arquivo, escolha opção Adicionar/remover Snap-in


199

Na janela da lista dos snap-ins, selecione Editor de Objeto de Diretivas... e clique em Adicionar

Na caixa que se abre, escolha a que se aplica as diretivas a serem criadas.

Se forem para o “computador local” – valem para todos os usuários do computador local – simplesmente clique em Concluir


200

Se quiser criar uma diretiva para “administradores” ou “não administradores” ou ainda para um único usuário, clique em Procurar... e depois selecione a quem se aplica.


201

Clique em ok para fechar a janela e inserir o snap-in com a configuração desejada.

Para configurar uma policy, primeiro é necessário saber exatamente o que fazer.

Policy é muito poderoso e MUITO PERIGOSO. Em nenhum momento é solicitado confirmação de alteração, nem tem como “desistir” de uma alteração, somente desfazendo manualmente o que foi feito.

Abaixo, temos uma tela com a Diretiva do Computador Local:


202

Para efetuar uma alteração, temos que localizar o item a ser configurado:

Dando duplo clique no item, configure conforme desejado:


203

CUIDADO! Quando clicar em ok, estará sendo salva a alteração. Não tem como desfazer automaticamente. Só voltando ao item e configurando como “Não configurado”.

Policy é tão importante e tão perigoso, que alguns fazem “projeto” antes de efetuar alterações nas policies.

Não esqueça de documentar todas as alterações! Localmente, em grupo de trabalho, não temos uma forma simples de gerar relatórios das policies aplicadas. Anote sempre o que for alterar!

OBS: Quando adicionamos o snap-in somente para determinado usuário ou para administradores ou não administradores, somente a parte da policy referente ao usuário aparece para ser configurada. Veja tela abaixo:


204

13.2 Configuração de Group Policies (diretivas de grupo)

Um dos principais “pontos de venda”, um dos principais diferenciais da solução de rede MS é a possibilidade de aplicar diretivas, principalmente a possibilidade de aplicar diretivas a partir de um local centralizado - o domínio.

Através de Diretiva podemos configurar praticamente todo o ambiente de trabalho do usuário.

Temos diretivas (policies) locais, em cada computador com Windows, como vimos acima.

Mas agora nosso foco serão as policies (diretivas) de grupo, de domínio.

O Windows Server possui uma ferramenta (console) que é a preferencial para este trabalho com diretivas de grupo: O GPMC (Group Policy Management Console)

Através do GPMC podemos criar, configurar, testar, gerar relatórios, de toda a estrutura de diretivas do domínio.

Quando iniciamos a console do GPMC, para iniciar o trabalho com as diretivas, expandimos o nó da Floresta, o nó do domínio e clicamos no container Objetos de Diretiva de Grupo.

Em um novo domínio, existirão 2 diretivas: Default Domain Policy e Default Domain Controller Policy.


205

A diretiva Default Domain Policy é válida para todos os computadores e usuários do domínio e está ligada ao domínio

A diretiva Default Domain Controller Policy é válida para todos os controladores de domínio do domínio em questão.

Clicando na pasta Objetos de Diretiva de Grupo com o botão direito do mouse, temos as opções de gerenciamento de policies:


206

Clicando na opção Novo, criamos uma nova diretiva de grupo

Digite o nome a ser dado para a diretiva e clique em Ok. Mas isto apenas criou a diretiva, temos que agora definir o que será configurado através desta diretiva. Clique com o botão direito do mouse e escolha a opção Editar


207

Na tela de edição da diretiva é onde vamos definir o que esta policy vai configurar ou controlar.

Uma diretiva é dividida em duas áreas principais: Usuário e Computador

Dentro de cada uma destas duas partes, temos ainda uma divisão entre Diretivas e Preferências. Diretivas existe em qualquer versão de policies de Windows. A parte "Preferências" é que é novo no Windows Server 2008. Para que esta parte possa ser implementada em computadores com Windows XP e Windows Server 2003, precisa ser instalado um "KB" chamado "Client Side Preferences" (pode ser baixado gratuitamente no site da Microsoft na Internet).


208

Para modificar um item (editar), localize o item expandindo os nós e dê duplo clique sobre ele no painel da direita (painel de detalhes).

Configure conforme sua necessidade.

Temos 3 possibilidades:

Não configurado: Vai ficar valendo a configuração atual, vinda de outra diretiva ou

configurada localmente

Habilitado: Executa esta diretiva

Desabilitado: Não executa esta diretiva

Marque a opção e clique em Ok.

OBS: Em cada janela de configuração de uma diretiva sempre tem uma breve explicação sobre ela, no painel Ajuda. E é possível navegar entre as diversas diretivas clicando nos botões Configuração Anterior e Próxima Configuração


209

ATENÇÃO: Em nenhum momento é solicitado que uma diretiva seja "salva". No momento que clicamos em Ok, está sendo salva esta configuração. Para modificar ou desfazer, é necessário voltar à edição da diretiva e mudar o que for necessário.

Para configurar uma "Preferência", também é necessário localiza-la para editar.

Abaixo, as "preferências para computador" e as "preferências para usuário":


210

Como exemplo, veremos a configuração de um atalho:

Clique com o botão direito do mouse em Atalho, aponte para a opção Novo e clique em Atalho


211

Escolha a ação:

Configure as opções desejadas:


212

Nas "Preferências" é possível direcionar a configuração, de acordo com "testes" ou opções. Para isto, clique na guia Comum, marque a caixa de seleção Direcionamento de nível de item e clique em Direcionamento.

Configure os testes conforme necessário, clicando em Novo Item


213

Abaixo, as opções de testes de direcionamento:

Configure conforme for sua necessidade e clique em Ok. Na figura abaixo, um exemplo de direcionamento por grupo de segurança:


214

Depois de finalizada a edição da diretiva, ainda temos mais algumas configurações a serem feitas.

A primeira delas é definir a quem se aplica esta diretiva. O padrão é ela ser aplicada a Usuários Autenticados.

Para modificar este comportamento, clique sobre o nome da diretiva na pasta Objetos de Diretivas de Grupo. No painel da direita será mostrada as características desta diretiva selecionada.

Na guia Escopo temos as informações de a qual OU(s) está ligada esta diretiva e a quem ela se aplica (Filtros de Segurança).


215

Na guia Opções temos um resumo de todas as configurações da diretiva (é possível imprimir o conteúdo desta guia, como forma de "relatório" clicando em qualquer lugar do painel de detalhes com o botão direito do mouse e escolhendo Salvar Como)


216

Na guia Delegação vemos todos que tem algum tipo de permissão ou direito sobre esta diretiva. Para modificar a quem se aplica esta diretiva, ou ainda qualquer outra permissão desejada, clique no botão Avançado.

Configure como desejar e clique em Ok quando pronto. As permissões necessárias para quem queremos que esta diretiva seja aplicada é "Leitura" e "Aplicar diretiva de grupo"

Ainda temos que definir a qual local queremos ligar esta policy, pois mesmo depois de configuradas as opções, definido a quem se aplica a diretiva, ela só estará efetivamente em funcionamento depois que "ligarmos" ao domínio ou à alguma OU.

Para ligar a uma OU, clique com o botão direito do mouse sobre o nome da OU desejada.


217

Clique em Vincular com GPO Existente

Escolha a GPO (diretiva) desejada e clique em Ok.

Uma OU (ou mesmo o próprio domínio) pode ter diversas diretivas ligadas a ela. E ainda existe a "herança" de diretivas.

Por "Herança de diretivas" entende-se as diretivas ligadas à níveis acima e que "descem" na hierarquia.

Se por algum motivo não quisermos que diretivas sejam herdadas por alguma OU, devemos Bloquear Herança, clicando nesta opção no menu


218

de contexto da OU em questão (veja na tela acima, onde apresenta o menu de opções de uma OU)

Clicando no nome da OU, vemos as diretivas vinculadas diretamente à ela clicando na guia Objetos de Diretiva de Grupo Vinculadas...

... E clicando na guia Herança de Diretivas de Grupo, vemos as diretivas herdadas por esta OU

Ainda temos opções de configurações no "link" da diretiva (aparece logo abaixo do nome da OU os links de todas as diretivas ligadas a ela), que temos acesso clicando com o botão direito do mouse no link em questão:


219

Através deste menu podemos, por exemplo, ativar e desativar um vínculo ou mesmo excluir o vínculo (excluir o vínculo NÃO exclui a diretiva).

Uma das possibilidades de configuração de um vínculo é marca-lo como Imposto. Um link Imposto define que aquela policy, daquele ponto em diante, não poderá ser sobrescrita nem bloqueada (através do bloqueio de herança).

O que é "policy sobrescrita"?

Um computador ou usuário pode receber diversas policies... seja através da máquina local, do domínio ou OU onde está sua conta.

Caso houverem configurações divergente e que "conflitem" entre si, de acordo com a ordem da aplicação da diretiva é que ela será "sobrescrita" (resolvido o conflito).

As policies se aplicam na seguinte ordem:

Diretiva Local

Diretiva de Site

Diretiva de Domínio

Diretiva de OU

Diretiva de sub OU e assim por diante!

Além de serem primeiro executadas as policies de computador e depois as policies de usuário.

Na ordem de execução é que é definido a ordem da resolução de conflito.

Mas se um link de uma diretiva estiver marcado com IMPOSTO, esta SEMPRE será válida, ganhando sempre em caso de conflitos.

Se quisermos que um determinado computador fique com suas diretivas válidas, independente das diretivas de usuário, devemos configurar "processamento em loopback" - que também é um item de policy.


220

Saiba mais sobre policies...

Quando o Windows vai executar uma diretiva, ele lê TODA a diretiva, mesmo que somente uma parte, ou poucos itens, estejam efetivamente configurados.

Para minimizar este tempo de "leitura", podemos desativar parte da diretiva que não tenha configurações.

Já vimos que uma policy é dividida em 2 grandes "áreas": Usuário e Computador.

Se uma destas áreas não tiver configuração, desabilite esta parte.

Para tal, clique com o botão direito do mouse na diretiva em questão, na pasta Objetos de Diretiva de Grupo. Aponte para Status do GPO e escolha a opção que se aplica, clicando sobre ela:


221

Configurações de Segurança de uma diretiva:

Em todas as policies, sejam locais ou de AD, temos um tópico bastante importante: as configurações de segurança do Windows.

Fica abaixo das Configurações do Computador, Diretivas (se for no AD), Configurações do Windows e finalmente, Configurações de Segurança


222

Nesta parte da policy é que definimos características de senha e bloqueio de conta (estes itens são configurados por padrão na diretiva "Default Domain Policy"), definimos padrão para os logs de eventos, Restrição de Software, Firewall do Windows com segurança avançada, etc.

O que veremos a seguir com mais detalhes é a configuração dos "direitos de usuário".

Em alguns pontos deste treinamento, falamos muito nos grupos internos locais e de domínio. E uma das características destes grupos é eles possuirem "um conjunto de direitos pré definidos" e que podemos colocar usuários nestes grupos para que eles adquiram estes direitos.

Mas que direitos são estes e onde podemos consultar/configurar?

No item Diretivas Locais, em Atribuições de direitos de usuário, na policy de segurança:

Os direitos de usuário dos grupos internos locais estão configurados, por padrão, na Diretiva de Segurança do Computador Local

Os direitos de usuário dos grupos internos do AD estão configurados, por padrão, na "Default Domain Controllers Policy".

Para adicionar ou remover um direito, dê duplo clique no direito desejado, clique em Adicionar usuário ou grupo e escolha o usuário ou grupo ao qual quer dar o direito.


223

Para tirar um direito, dê duplo clique no direito desejado, clique sobre o nome do usuário ou grupo que deseja tirar o direito e clique no botão Remover.

Saiba ainda mais sobre diretivas...

Podemos gerar relatórios de policies aplicadas a uma estação, servidor ou usuário localmente, digitando GPRESULT em um prompt de comando

Podemos gerar relatórios de policies aplicadas a uma estação, servidor e/ou usuário através da console GPMC (Gerenciamento de Diretiva de


224

Grupo), no item "Resultados da Diretiva de Grupo". Este é um assistente, bastante simples, que gera o relatório das policies aplicadas, com todos os itens configurados e de qual policy veio cada item configurado. É muito útil para resolver problemas, principalmente localizar conflitos de policies e configurações incorretas.

Abaixo, um exemplo de um relatório gerado pelo GPMC:

OBS: O item do GPMC - "Modelagem da Diretiva de Grupo" trata da possibilidade de fazermos um teste "E Se" de diretivas. Podemos, através deste item, respondendo a um assistente, ver como ficaria o resultado de diretivas aplicadas a um usuário e/ou computador se juntássemos as diretivas de uma OU com as de outra OU.


225

Unidade 14 ANEXOS

14.1 Configuração de rede e criação de “rede doméstica”

Logo depois de instalar o Windows 7 ou Server 2008, se foi detectada uma placa de rede, esta foi configurada para receber configurações dinâmicas.

Como já dissemos no andamento do treinamento, nem sempre teremos um servidor de DHCP disponível na rede ou poderemos usar as configurações APIPA.

Como também já vimos, pode ser necessário configurar a placa de rede com uma configuração estática de TCP-IP, pelo menos seu endereço e máscara de subrede.

Lembre abaixo como fazer esta configuração:

A maneira mais rápida de acessar as configurações da rede é clicando com o botão direito do mouse no ícone de rede na área de notificação.

Clique na opção para abrir a Central de Redes e Compartilhamento


226

Clique em Alterar as configurações do adaptador e depois, clique na placa de rede a ser configurada, com o botão direito do mouse, e escolha a opção Propriedades.

Na caixa de diálogo das configurações da placa de rede, role a lista e clique em Protocolo TCP/IP versão 4 (TCP/IPv4) e clique no botão Propriedades:

Inicialmente, estará configurado para obter endereço automaticamente:


227

Mas, na falta de um servidor DHCP, e na impossibilidade de usar o APIPA, temos que configurar manualmente:


228

Já vimos mais informações sobre estas configurações. E tudo se aplica aqui da mesma forma!

Com domínio de Active Directory, poderíamos ter um servidor de DHCP em um Server 2008, mas como estamos tratando de workgroup, com Windows esta solução não é possível. Mas podemos ter disponíveis roteadores ou outra solução que executem esta função.

Se for o caso, podemos configurar nossos computadores para “Obter endereçamento dinâmico ou automático” e eles receberem suas configurações destes roteadores.


229

Lembrando... Caso você configure o seu computador como cliente de DHCP, e não tiver nenhum servidor de DHCP disponível na rede, o Windows irá gerar um endereço automático, chamado APIPA (Automatic Private IP Address), com as configurações de rede IP 169.254.x.x e máscara de subrede255.255.0.0

Se todos os computadores da rede local tiverem este mesmo comportamento, todos irão se comunicar localmente no grupo de trabalho local, mas não terão acesso à Internet.

Abaixo, uma tela com o retorno do comando IPCONFIG, em um computador configurado com endereçamento automático, em uma rede sem servidor de DHCP:


230

Configuração das opções avançadas de compartilhamento e descoberta de rede:

Se for necessário, podemos ativar a descoberta de rede e definir informações sobre compartilhamento de pastas, impressoras e pasta pública pela opção Alterar as configurações de compartilhamento avançadas:

Configuração da rede doméstica


231

No Windows 7 podemos criar uma rede do tipo workgroup chamada “rede doméstica”, com um grau de segurança um pouco maior que uma simples rede padrão “grupo de trabalho”.

Para isto, siga o procedimento abaixo:

Pelo Painel de Controle, solicite a criação de uma rede doméstica.

Clique no botão Criar um grupo doméstico.

Clique em Avançar.


232

Será gerada uma senha para que outros computadores possam ingressar na mesma rede doméstica. Tome nota!

Mesmo depois de criado, podemos modificar a “rede doméstica” nas opções abaixo:


233

14.2 Anexo 2 - Uso do MMC e dos Snap-ins

Ferramentas administrativas da Microsoft

Hoje em dia todas as ferramentas administrativas Microsoft rodam dentro de uma console chamada MMC - Microsoft Management Console.

Junto com o Windows, quando efetuamos a instalação do sistema operacional, e após, quando efetuamos a instalação de outros produtos que contenham consoles de administração, uma série de consoles de MMC são criadas automaticamente.

As que são referentes ao Windows, são colocadas dentro de uma pasta chamada "Ferramentas Administrativas", que podemos localizar no menu Iniciar, ou no Painel de Controle.

As que são referentes a outras aplicações podem estar tanto na pasta Ferramentas Administrativas, quanto em algum item (ou pasta) individual da aplicação (MS Exchange, MS SQL Server são exemplos de aplicativos que tem consoles de MMC para adminstração)

Estas consoles que vem pré configuradas são formadas de uma console de MMC, com um ou mais Snap-Ins adicionados.

Podemos criar nossas próprias consoles, seja para personalizar nossas consoles de trabalho, seja para criar consoles para tarefas administrativas que não constem das pré configuradas por padrão (a ferramenta para criar Modelos de Segurança, por exemplo)

Para criar uma console personalizada, digite MMC no menu Iniciar ou no item "Executar".

Na tela que se abre, clique em Arquivo e na opção Adicionar/remover snap-In


234

Selecione na lista os snap-ins desejados (podemos adicionar quando quisermos, e podemos criar quantas consoles desejarmos).

A lista de snap-ins pode variar de um computador a outro, pois dependem do que temos instalado localmente.

Salve a console e armazene onde desejar.

Importante: Podemos salvar uma console de MMC na rede, mas para podermos utiliza-las precisamos que o snap-in exista na máquina onde ela será usada.


235

14.3 Anexo 3 - Backup e Restore do Active Directory

Ferramentas de Backup do Windows

Instalação e uso

No Windows Server 2008 R2, a ferramenta de Backup não é instalada automaticamente. Ela é uma "feature" a ser adicionada caso quisermos.

Ela vem com duas interfaces: gráfica e linha de comando (Wbadmin.exe). Podemos instalar uma ou as duas, da forma como quisermos.

Para instalar este recurso, usamos o Gerenciador de Servidores.

Clique em "Recursos" na lista da esquerda.

Clique na opção Adicionar recursos

Na janela que se abre, clique em Recursos de Backup do Windows Server e selecione qual das ferramentas deseja (interface gráfica, clicando em Backup do Windows Server; linha de comando, clicando em Ferramentas da Linha de Comando) clicando na caixa de seleção ao lado do item desejado.


236

Clique em Próximo. Leia as informações e clique em Instalar.

Depois de finalizado, leia as informações se a instalação foi bem sucedida ou não, e clique em Fechar.

A Ferrramenta de Backup do Windows Server 2008 era bastante limitada. Permitia fazer backup somente do computador todo ou de um volume


237

completo. Na versão R2 do Windows Server 2008, esta ferramenta foi bastante modificada, permitindo fazer backup de arquivos e pastas desejados, fazer backup do "estado do sistema", inclusive de forma "incremental" (somente as diferenças desde o último backup do item), backup de compartilhamentos, além de recuperação "bare metal".

Para iniciar a ferramenta Backup do Windows Server, clique nela dentro das "Ferramentas Administrativas"

Para iniciar a configuração de um trabalho de backup, podemos usar dois assistentes:

Assistente de Agendamento de Backup

Assistente de Backup Único

O Assistente de Agendamento de Backup permite que nós criemos uma tarefa recursiva de backup, que executará com uma periodicidade determinada (por exemplo, todos os dias úteis, às 23:30h)

O Assistente de Backup Único é usado quando desejamos fazer um backup especial, uma única vez, ou forçar a execução de um backup agendado, em horário diferente ("agora") do que foi configurado no Agendamento.

Abaixo, siga o exemplo para a criação de uma tarefa de backup:


238

No Painel da direita da console da ferramenta gráfica Backup do Windows Server, clique em Agendamento de Backup

No Assistente, na primera janela, clique em Avançar.

Na janela seguinte, escolha entre duas opções: Servidor completo ou Personalizar

Aqui, selecionaremos Personalizar para poder escolher algumas pastas para fazer nosso backup e clique em Avançar


239

Clique em Adicionar Itens e escolha do que deseja fazer backup. Aqui, selecionaremos uma pasta e o "Estado do Sistema"

OBS: Fazer backup do Estado do Sistema (System State) faz backup de todas as configurações do servidor entre elas: o registro (e se ele for Controlador de Domínio, o registro contém a base de dados de segurança do domínio), a base do Certificate Services, configurações da metabase do IIS, os arquivos sob "proteção do windows". Devemos fazer backup do "Estado do Sistema" de pelo menos 1 controlador de domínio, afim de fazer backup do AD.


240

Clique em Ok quando tiver terminado de selecionar as pastas e itens desejados.

Quando pronto, clique em Avançar.

Na próxima janela, selecione a frequência desta tarefa de backup


241

Clique em Avançar quando estiver satisfeito com a configuração. Na próxima janela, escolha onde deseja fazer armazenar o backup


242

Clique em Avançar. De acordo com o item selecionado, escolha o volume, disco ou compartilhamento e continue. Aqui, escolhemos um "volume", então clicando em Adicionar, escolha o volume desejado e clique em Ok e depois em Avançar.


243

Clique em Concluir para finaliza a criação deste "job" de backup.

Quando pronto, clique em Fechar.

Para a restauração, depende da forma como o backup foi feito e do que desejamos recuperar, para definir o procedimento.

Para recuperar um arquivo ou pasta, clique em Recuperar no lado direito da console da ferramenta de Backup do Windows Server


244

No Assistente que inicia, marque o local de onde está recuperando o backup

Clique em Avançar.

Na próxima tela, marque a data do backup a ser restaurado clicando no dia desejado


245

Clique em Avançar. Selecione o que deseja recuperar - escolheremos Arquivos e pastas neste momento

Clique em Avançar. Selecione o que deseja recuperar

Clique em Avançar. Defina para onde deseja recuperar o item selecionado, o que fazer em caso do item existir no local de recuperação e se deseja restaurar permissões originais


246

Clique em Avançar quando pronto. Confirme, clicando em Recuperar

Aguarde a conclusão da recuperação


247

Clique em Fechar quando estiver concluído.

Através da Restauração, é possível recuperar todo um servidor (desde que tenha sido feito o backup, lógico) usando o "Windows Recovery" - WinRE, aplicativos e suas configurações, volumes completos, o sistema operacional (usando o WinRE, também), o "estado do sistema" (trazendo o computador a um status anterior - o do momento do backup), além de arquivos e pastas.

Através da recuperação do "estado do sistema" (System State) é possível recuperar um controlador de domínio, um domínio inteiro, um item excluído, além de ser possível criar um novo controlador de domínio a partir de um backup do system state de um controlador de domínio existente (a criação deste controlador de domínio se dá pela linha de comando DCPROMO, padrão, mas com o parâmentro /ADV).

Recuperação de Active Directory

Como já visto, podemos recuperar um controlador de domínio, um domínio inteiro, um item excluído do AD através da Restauração do Backup do Windows Server.

Basicamente, temos 2 métodos possíveis para a recuperação do AD:

Autoritativo

Não autoritativo

Para compreender melhor a diferença, um pouco da teoria do Active Directory:

Quando criamos ou excluímos um item no AD, ou quando há qualquer tipo de alteração na base de dados de segurança do domínio, é iniciado o processo de replicação do AD.


248

Neste processo, através do "time stamp" do objeto, definimos qual deles é o mais novo e aquele que deve ser replicado para os outros controladores de domínio.

Quando excluímos um objeto, na verdade ele não é efetivamente excluído na hora - ele é marcado para exclusão, a fim de que todos os outros controladores de domínio saibam desta exclusão e possam também deletar de suas bases.

Quando um controlador de domínio inicia, ele consulta outro controlador existente do domínio dele a fim de atualizar sua base em relação àquele que estava no ar (ele pode ter recebido alterações enquanto o outro estava "fora"). Ele só sobe efetivamente a função "Controlador de domínio" depois que estiver sincronizado e atualizado sua base local.

Entendido este processo, fica mais simples explicar a diferença nos dois tipos de restaurações possíveis para os itens do AD.

Quando recuperamos um item do AD, é necessário que a função "Controlador de Domínio" não esteja ativa.

Então, depois de restaurado o item desejado do AD, precisamos reiniciar esta função.

No retorno, o que acontecerá? Ele irá sincronizar com o controlador de domínio existente e receberá as atualizações desde o backup.

Se caso estivermos recuperando um item excluído, a informação mais nova em relação à este item seria a sua "exclusão", o que faria com que o item fosse excluído novamente.

Em uma restauração "não autoritativa" (sem autoridade), o item seria novamente excluído.

Em uma restauração "autoritativa" (com autoridade), o item não seria novamente excluído, pelo contrário, o item seria sincronizado e recriado nos controladores de domínio restantes.

Usamos a restauração não autoritativa, normalmente, para recuperar uma base completa, em um controlador de domínio que tenha danificado sua base

Usamos a restauração autoritativa, normalmente, em uma de duas situações: para recuperar um item excluído, ou para recuperar uma base completa de um controlador de domínio único em um domínio de AD, ou ainda quando a base danificada foi "sincronizada" para os outros controladores e queremos recupera-la para TODOS os controladores de domínio do domínio em questão.

Para restaurar um item ou a base toda, o procedimento é o seguinte:

Reinicie o Controlador de domínio em questão.

Pressione F8 para obter o menu de opções de inicialização.

Selecione a opção Modo de Restauração de Serviços de Diretório e pressione Enter


249

Use a conta Administrador local (controlador_de_domínio\administrador) e a senha que foi configurada na criação deste controlador de domínio (durante a execução do DCPROMO)

Inicie a ferramenta de Backup do Windows Server.

Inicie o processo de recuperação (restauração) descrito acima, apenas escolha a opção "Estado do Sistema" na tela abaixo:

Clique em Avançar. Marque a opção Local original.


250

OBS: Se marcarmos a opção Executar uma restauração autorizada do Active Directory faremos uma "restauração autoritativa" do Active Directory, da base toda, como explicado acima. Aqui, faremos uma restauração não autoritativa.

Clique em Ok na mensagem que aparece:

Para que possamos recuperar um item excluído, não podemos marcar a caixa de seleção Reinicializar automaticamente o servidor para concluir o processo de recuperação. Se marcarmos esta caixa de seleção, o Windows reiniciará automaticamente, não permitindo que possamos informar qual item a ser marcado como "autoritativo".

Neste procedimento, vamos recuperar um item excluído, então não devemos marcar a caixa de seleção. Apenas devemos clicar em Recuperar


251

Clique Sim na caixa de mensagem:

Espere até finalizar o processo


252

OBS: Se caso vocês esqueceu (ou mudou de idéia depois do processo iniciado), ainda é possível marcar a caixa de seleção para "Reiniciar automaticamente.." durante a recuperação, como mostra na tela acima

Clique em Reiniciar quando pronto

Confirme, pressionando Enter, que a restauração ocorreu com êxito

Inicie o Prompt de Comando em modo "elevado" (Executar como Administrador)

Digite net stop ntds

OBS: Confirme que deseja parar o serviço, digitando S na mensagem que aparece

Digite NTDSUTIL

Digite activate instance NTDS


253

Digite authoritative restore

Digite restore object “CN=objeto,OU=ou_original,DC=dominio,DC=local”

OBS: Se estiver restaurando uma OU, a sintaxe é "restore subtree"

Confirme a restauração, clicando em Sim

Digite Quit até sair da console do NTDSUTIL

Reinicie o controlador de domínio

Saiba mais...

Se o domínio e a floresta estiverem no nível funcional Windows Server 2008 R2 é possível recuperar objetos excluídos através da Lixeira do Active Directory (Active Directory Recicle Bin).

Os objetos excluídos (marcados para exclusão) ficam ainda na base do AD durante 180 dias. Neste período, podem ser recuperados através da lixeira, caso ela tinha sido previamente ativada.

Um item recuperado da lixeira trás de volta todas as configurações do objeto, igual ao que ele se encontrava configurado no momento da exclusão.

A Lixeira do AD não possui interface gráfica, só pode ser usada via "PowerShell"

Para ativar a lixeira, inicie o PowerShell com o módulo do Active Directory (Active Directory Module for Windows PowerShell)

Digite o seguinte cmdlet:

Enable-ADOptionalFeature –Identity „CN=Recycle Bin Feature, CN=Optional Features,

CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=dominio,DC=local‟ –

Scope ForestOrConfigurationSet –Target „dominio.local‟

Para recuperar um usuário, por exemplo, digite o cmdlet abaixo:

Get-ADObject -Filter {displayName -eq "Nome do usuário"} -IncludeDeletedObjects | Restore-ADObject

Saiba ainda mais...

Também é possível recuperar obetos excluídos usando a ferramenta LDP.EXE.


254

Inicie esta ferramenta, configure para que ela recupere objetos excluidos, clicando no menu Options e na opção Controles. Na caixa Carregar Predefinidos, selecione Return deleted objects na lista e clique em Ok

Conecte-se ao domínio desejado (Menu Conexão, item Conectar). Associe a conta do usuário logado (Menu Conexão, item Associar). Exiba a árvore do domínio (Menu Exibir, item Árvore).

Localize o container Deleted Objects. Dê duplo clique para abrir o container.

Restaure o objeto que desejar clicando com o botão direito sobre ele e clicando em Modificar. Na caixa Editar Entrada, em Atributo digite isDeleted.

Na seção Operação (Operation) clique em Excluir (Delete) e clique Digitar (Enter)


255

Na caixa Atributom digite distinguishedname

Na caixa Valores digite o DN completo (nome do usuário mais o local para onde ele será recuperado - ex: cn=usuario,ou=teste=dc=treinamento,dc=local)

Na seção Operação (Operation) clique em Substituir (Replace) e clique Digitar (Enter)

Clique em Executar (Run)


256

Verifique o sucesso da operação e veja que o objeto foi recuperado!

Clique em Fechar para retornar à console do LDP.

O objeto terá retornado para o caminho solicitado.

14.4 Anexo 4 - Como criar uma máquina virtual usando o Hyper-V Manager:

Como criar uma VM usando o Hyper-V Manager

Neste treinamento usamos máquinas virtuais para as práticas e exercícios.

E a solução escolhida é a solução da Microsoft, com Hyper-V.

Abaixo, o procedimento passo-a-passo para a criação de uma VM com o Hyper-V Manager

OBS: Para o treinamento, usaremos o Windows em português, mas nas máquinas físicas temos o Windows em versão "Inglês". Por isto, as telas abaixo, da criação da VM, estão em inglês


257

Abra a console do Hyper-V Manager, que se encontra no Menu Iniciar, nas Ferramentas Administrativas (Administrative Tools)

Na console que se abre, clique sobre o nome do seu servidor "físico" e no painel mais a direita da tela, clique na opção New e em seguida, clique em Virtual Machine no menu que se abre;

No assistente que inicia, clique em Next

Logo na próxima tela, digite o nome da máquina virtual que deseja criar na caixa Name, marque a opção "Store the virtual machine in a different location" se desejar escolher onde armazenar a VM e pelo botão Browse (ou digitando diretamente na caixa Location) escolha onde irá salvar (armazenar) a VM.

Quando pronto, clique em Next


258

Na próxima tela, digite a quantidade de memória RAM que deseja utilizar para esta VM e clique em Next

Na próxima tela, selecione a conexão de rede que irá usar para esta VM (será mostrado mais abaixo como criar as conexões de rede. Isto deve


259

ser feito preferencialmente ANTES de criar as VMs, mas pode ser modificado depois, através das propriedades - Settings - da VM em questão). Clique em Next quando ok

Escolha opção desejada parao VHD (Virtual Hard Disk - Disco virtual). Pode ser criado um novo VHD, usado um já existente ou marcado para configurar depois. Neste assistente, marcamos a opção para criar um. Digite o nome do arquivo do VHD na caixa Name e onde ele será salvo (criado) na caixa Location - pode ser digitado ou usar o botão "Browse". Clique em Next quando Ok.


260

Se você estiver criando uma nova máquina virtual, pode ser necessário instalar um sistema operacional. Neste caso, na próxima tela, defina se você já deseja instalar o sistema operacional e de onde e como será feita a instalação deste SO. Marque o botão com a opção escolhida.

Se deseja instalar a partir de um DVD, CD ou ISO, marque a opção equivalente e aponte onde estão os arquivos de instalação. Clique em Next

OBS: Esta opção pode ser modificada depois, através das configurações da VM, clicando com o botão direito do mouse sobre ela e escolhendo a opção Settings


261

Clique em Finish para criar a VM.

A VM recém criada aparecerá na tela do Hyper-V Manager

Clique com o botão direito do mouse sobre ela e tenha acesso às ações mais comumente utilizadas: Iniciar, conectar, alterar configurações, salvar snapshot, etc.

Pela opção de Configurações (Settings) é possível alterar o que foi definido na criação, como a quantidade de memória RAM, o VHD, o local dos arquivos de instalação, a conexão de rede...


262

Na tela do exemplo acima, estão as configurações referentes ao VHD

Saiba mais...

As conexões de rede do Hyper-V

É possível ter três tipos de conexão de rede em máquinas virtuais criadas com Hyper-V Manager.

As mais usadas são a External e a Private.

A External aponta para a placa de rede real (física) do servidor onde estamos rodando o Hyper-V. As máquinas virtuais que usarem este tipo de conexão serão "visíveis" na rede real e estarão acessíveis como se fossem "máquinas físicas". Cada máquina virtual que usar uma conexão External terá seu próprio nome e seu próprio IP, válidos na rede física, podendo inclusive acessar a Internet, por exemplo, de acordo com a política de acesso da empresa.

A Private cria uma rede "virtual privativa" entre as máquinas virtuais deste servidor. Estas máquinas irão conectar-se umas às outras, mas não serão visíveis na rede física (rede real da empresa).

Para criar uma conexão de rede, utiliza-se a opção Virtual Network Manager, que está no painel mais a direita da tela do Hyper-V Manager.


263

Clique em Virtual Machine Manager e na tela que se abre, marque o tipo de conexão que deseja criar e clique em Add:

Para External, configure como abaixo e clique em Ok ou Apply:


264

Para Private, configure como abaixo e clique em Ok ou Apply:


265

apostila ms ad

Documents