- 1 -

MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TOCANTINS. CAMPUS PARAÍSO DO TOCANTINS

DIEGO ALVES DA CONCEICÃO OLIVEIRA

IAN PATRICK PIMENTA

LIZANDRO RUBIN ROCHA

CONTROLADOR DE DOMÍNIO

PARAÍSO DO TOCANTINS – TO 2009

- 2 -

MINISTÉRIO DA EDUCAÇÃO

SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO TOCANTINS

CAMPUS PARAÍSO DO TOCANTINS

DIEGO ALVES DA CONCEICÃO OLIVEIRA

IAN PATRICK PIMENTA

LIZANDRO RUBIN ROCHA

CONTROLADOR DE DOMÍNIO

Trabalho apresentado como requisito

parcial para obtenção de nota das

disciplinas de Segurança de Sistemas e

Sistemas Operacionais, disciplinas

ministradas pelo professor Ivo Sócrates

Moraes de Oliveira.

PARAÍSO DO TOCANTINS – TO 2009

- 3 -

SUMÁRIO

1. O que é um Controlador de Domínio .........................................................................04

2. Alguns Sistemas Operacionais que Oferecem Suporte ao Serviço de Controle de

Domínio.........................................................................................................04

3. Objetos de Políticas de Grupo de Controladores de Domínio

Microsoft.......................................................................................................06

4. Instalação do Windows Server 2003................................................................13

5. Instalação do Controlador de Domínio......................................................................16

6. Instalação do Ubuntu 9 ..................................................................................25

7. Instalando o SAMBA......................................................................................30

8. Autenticando Windows XP no SAMBA............................................................34

- 4 -

1. O que é um Controlador de Domínio

Controlador de domínio é um serviço que se destina a centralizar todos os direitos a

recursos de uma rede. Ou seja, os logins, as senhas, quem acessa o quê e quando.

Ao criar o primeiro controlador de domínio na organização, você também

estará criando o primeiro domínio, a primeira floresta e o primeiro site, e instalando o

Active Directory. O Active Directory é uma implementação de serviço de diretório no

protocolo LDAP que armazena informações sobre objetos em rede de computadores

e disponibiliza essas informações a usuários e administradores desta rede. Os

controladores de domínio que implementados no Windows 2003 Server armazenam

dados de diretório e gerenciam interações entre usuários e domínios, inclusive

processos de logon do usuário, autenticação e pesquisas de diretório.

2. Alguns Sistemas Operacionais que Oferecem Suporte ao

Serviço de Controle de Domínio

Windows 2003 Server – Microsoft Windows 2003 Server, também conhecido como

W2K3 ou simplesmente Windows 2003 é um sistema operacional da Microsoft de

rede desenvolvido como sucessor do Windows 2000 Server. É também conhecido

como Windows NT 5.2, e era nada mais do que o Windows XP reformulado. No seu

núcleo está uma versão do Windows XP com algumas funções desligadas para

permitir um funcionamento mais estável do sistema.

Windows 2008 Server – É o atual sistema operacional de servidores da Microsoft,

desenvolvido como sucessor do Windows 2003 Server. Lançado em 27 de Fevereiro

de 2008, foi conhecido pelo codename Server Longhorn até 16 de Maio de 2008

quando Bill Gates, presidente da Microsoft, anunciou o nome oficial.

Linux – No Linux pode ser utilizado através do Samba que consiste em um software

que faz a comunicação entre Windows e Linux, sendo utilizado para compartilhar

arquivos e impressoras e também utilizado para ser um PDC (Primary Domain

Controler), ou seja, Controlador Primário de Domínio, para administrar os acessos a

rede em nível de usuário.

- 5 -

Segundo Carlos E. Morimoto, o Samba é sempre uma solução simples, boa e

funcional. Numa pequena rede, manter as senhas dos usuários sincronizadas entre

as estações Windows e o servidor Samba não chega a ser um grande problema.

Mas, em redes de maior porte isto pode tornar-se uma grande dor de cabeça e

passar a consumir uma boa parte do seu tempo. Para solucionar o problema, existe

a opção de usar o servidor Samba como um controlador primário de domínio (PDC),

servindo como um servidor de autenticação para os clientes Windows.

O OpenLDAP é um software livre de código aberto que implementa o protocolo

LDAP. Ele é um serviço de diretório baseado no padrão X.500. O OpenLDAP é

independente de Sistema Operacional. Várias distribuições Linux incluem o pacote

do OpenLDAP. O software também funciona nos Sistemas Operacionais BSD, AIX,

HP-UX, Mac OS X, Solaris, Microsoft Windows (2000, XP, 2003, 2008 e Vista) e

z/OS.

O LDAP (Lightweight Directory Access Protocol) é um protocolo utilizado pelos

servidores para concentrar informações em um repositório logicamente organizado.

É graças a ele que informações comuns podem ser inseridas, alteradas, excluídas e

consultadas de uma espécie de "banco de dados de informações". Ao se criar um

usuário no domínio, por exemplo, as informações referentes a esse usuário estarão

armazenadas e disponíveis graças a este protocolo.

3. Objetos de Políticas de Grupo de Controladores de Domínio

Microsoft

As diretivas de segurança de domínio são aplicadas a usuários, computadores,

Member Servers (Servidores Membros) e Domain Controllers (Controladores de

Domínio). Um detalhe importante é que a GPO (Group Policy Objects – Objetos de

Políticas de Grupo) só pode ser aplicada em computadores que utilizam o Windows

2000, Windows XP, o Windows 2003 ou Windows Vista. As versões mais antigas do

Windows (95, 98, ME e NT) não podem utilizar este recurso.

No Windows NT foi introduzido o recurso Police Editor, com o qual era possível

definir várias configurações das estações de trabalho centralizadamente. Porém

esse recurso era bem limitado. Com a chegada das GPO’s no Windows 2000

Server, a administração do domínio se tornou bem mais fácil. Observe que em um

domínio no qual os clientes são Windows 9x e Windows 2000, deveremos utilizar

- 6 -

ambos os recursos: Police Editor para configurar os clientes anteriores ao Windows

2000 e a GPO para configurarmos os clientes Windows 2000 e versões superiores.

As GPO’s possuem configurações que podem ser aplicadas tanto em nível de

usuário como em nível de computador:

• Usuário: as GPO’s aplicadas aos usuários serão carregadas em todos os

computadores em que o usuário efetuar logon. Essas políticas são aplicadas

no momento em que o usuário efetuar logon.

• Computador: as GPO’s aplicadas aos computadores serão aplicadas no

computador, independente do usuário que efetuar logon. Essas políticas são

aplicadas no momento em que o computador for inicializado.

Por padrão, existem 2 GPO’s que são configuradas automaticamente durante a

instalação do Active Directory:

• Default Domain Policy (Diretiva de Domínio Padrão): as configurações

efetuadas nesta GPO serão aplicadas a todos os usuários e computadores do

domínio. Portanto, devemos definir nesta GPO, todas as configurações que

devem ser aplicadas para todos os usuários e computadores do domínio. Essa

GPO está associada com o domínio.

Figura 1 – Default Domain Policy – Diretiva de Domínio Padrão

- 7 -

Default Domain Controllers Policy (Diretiva de Controladores de Domínio

Padrão): as configurações efetuadas nesta GPO serão aplicadas a todos os

Domain Controllers (Controladores de Domínio). Essa GPO está associada com a

OU (Unidade Organizacional).

Figura 2 – Default Domain Controller Policy – Diretiva de Controladores de Domínio

Padrão

Existe ainda um mecanismo de permissões de acesso as GPO’s, com o qual

podemos definir sobre quais grupos de usuários e computadores a GPO será

aplicada.

Podemos também criar uma GPO e associar essa GPO com vários elementos do

Active Directory, por exemplo: podemos criar uma GPO e associá-la com diferentes

OU’s e com um site.

Assim como as contas de usuários e grupos de usuários, as diretivas de segurança

também podem ser criadas e aplicadas localmente ou no domínio. Em empresas

pequenas que não utilizam o AD, podemos implementar as diretivas de segurança

locais em cada computador da rede. Se a empresa for grande e utilizar o AD,

- 8 -

podemos implementar as diretivas de segurança de domínio, o que fará com que a

administração da rede seja centralizada.

Para implementar as diretivas de segurança de domínio, ou GPO, devemos abrir o

console Active Directory Users and Computers (Usuários e Computadores do AD).

As diretivas de domínio são mais conhecidas como Group Policy Objects – GPO

(Objetos de Diretiva de Grupo).

Processamento e aplicação das GPO’s

Como já dito anteriormente, o Windows NT utiliza o Police Editor para fazer as

configurações dos clientes centralizadamente. Essas configurações são

armazenadas em um arquivo com a extensão .pol. Seguem abaixo algumas

considerações sobre esse arquivo:

• Está armazenado na pasta NETLOGON do PDC (Primary Domain Controller) e

de todos os BDC’s (Backup Domain Controllers) de um domínio NT.

• Para que essas configurações possam ser utilizadas em clientes Windows 95,

Windows 98 e Windows ME, esse arquivo deve ter o nome config.pol.

• Para que essas configurações possam ser utilizadas em clientes Windows NT

Workstation 4.0, esse arquivo deve ter o nome ntconfig.pol.

• As configurações presentes nesse arquivo serão aplicadas ao registro dos

computadores todas as vezes que um usuário efetuar logon.

Com o Windows 2000 Server utilizamos as GPO’s, e não mais o Police Editor. Uma

das grandes diferenças entre a GPO e o Police Editor é que com a GPO podemos

aplicar mais de um conjunto de políticas para um mesmo usuário e computador.

Com o Police Editor, apenas um conjunto de políticas é aplicado para os usuários e

computadores, políticas estas definidas no arquivo .pol. Ou seja, podemos ter mais

de uma GPO aplicada a um usuário ou computador.

Seguem abaixo algumas considerações sobre as GPO’s:

• As configurações das GPO’s são armazenadas na pasta SYSVOL dos Domain

Controllers (Controladores de Domínio) e são replicadas entre todos os

Domain Controllers (Controladores de Domínio) de um domínio.

• Dentro da pasta SYSVOL, temos as seguintes pastas:

� Adm: armazena os modelos administrativos.

- 9 -

� Machine: armazena as configurações que serão aplicadas nos

computadores. Essas configurações são armazenadas no arquivo

registry.pol. Durante a inicialização do computador, é feito o

download desse arquivo e as configurações são aplicadas no registro

do computador.

� User: armazena as configurações que serão aplicadas aos usuários

quando estes efetuarem logon. Essas configurações são

armazenadas no arquivo registry.pol. Durante o logon, é feito o

download desse arquivo e as configurações são aplicadas no registro

do computador.

� Scripts: armazena os scripts utilizados pelas GPO’s, caso existam.

� Arquivo GPT.INI: contém informações sobre a versão da GPO.

• Todas as informações contidas na pasta SYSVOL são conhecidas como GPT

(Group Policy Template). Esses templates definem todas as opções que

estarão disponíveis nas GPO’s. Quando criamos uma nova GPO, está é

criada com base nos templates da pasta SYSVOL. A nova GPO é então

criada e armazenada no Active Directory. Esta GPO é conhecida como GPC

(Group Policy Container).

Figura 3 – Estrutura da pasta SYSVOL

- 10 -

Ordem de processamento das GPO’s

Não é raro em uma empresa que utiliza domínios baseados no Active Directory,

várias GPO’s sendo utilizadas. Muitas vezes, essas GPO’s são aplicadas a um

mesmo objeto. Nesse caso, as GPO’a possuem uma ordem na qual serão aplicadas.

Segue abaixo essa ordem:

• GPO Local: as diretivas de segurança local serão as primeiras a serem

processadas.

• GPO associada ao Site: logo após as diretivas de segurança locais serem

aplicadas, a GPO associada ao site será aplicada.

• GPO associada ao Domínio: logo após a GPO associada ao Site ser

aplicada, serão aplicadas as GPO’s associadas ao domínio. Saiba que

podemos ter várias GPO’s associadas a um domínio, e podemos definir a

ordem em que as GPO’s associadas ao domínio serão aplicadas.

• GPO associada a OU: logo após todas as GPO’s associadas ao domínio

serem aplicadas, serão aplicadas as GPO’s associadas às OU’s. Lembrando

que a GPO associada com a OU pai será aplicada por primeiro, e assim por

diante.

As GPO’s aplicadas por último terão prioridade sobre as GPO’s aplicadas por

primeiro. Ou seja, se na GPO associada ao domínio estiver configurado para que

menu Run (Executar) não seja exibido no menu Iniciar, e na GPO associada a OU

na qual o usuário está localizado estiver configurado para que menu Run (Executar)

seja exibido no menu Iniciar, o resultado será que o menu Run (Executar) será

exibido no menu Iniciar. Podemos também fazer com que as configurações da GPO

aplicadas ao domínio não sejam substituídas. Veremos como fazer essa

configuração mais adiante.

Recurso Loopback

Como vimos anteriormente, as GPO’s possuem uma ordem na qual são aplicadas.

Com o recurso Loopback podemos configurar outra ordem de aplicação das GPO’s.

- 11 -

Esse recurso pode ser configurado como: Not Configured (Não Configurado), Enable

(Habilitado) ou Disabled (Desabilitado). Caso esteja habilitado, poderá ser

configurado com as seguintes opções:

• Merge: a ordem de aplicação padrão das GPO’s será substituída pela ordem

definida no próprio computador.

• Replace: a ordem de aplicação padrão das GPO’s será concatenada com a

ordem definida no próprio computador. A ordem de aplicação das GPO’s

definidas no computador será aplicada por último.

Policy Inheritance e No Override

Quando configuramos uma diretiva de segurança de domínio (GPO), temos dois

recursos importantes:

• Block Policy Inheritance (Bloqueio do Mecanismo de Herança): esse

recurso quebra a herança de GPO’s, ou seja, caso habilitemos essa opção,

as GPO’s configuradas a um nível superior não serão herdadas. Por padrão,

as GPO’s herdam as configurações de outras GPO’s configuradas em níveis

superiores. Lembrem-se da ordem em que as GPO’s são processadas: local,

site, domínio e OU. Podemos usar essa opção quando desejamos aplicar

uma GPO em todos os objetos de um domínio, com exceção a uma OU.

Devemos então marcar a opção Block Policy Inheritance na OU para que as

configurações dessa GPO não sejam aplicadas na OU.

• No Override (Não Sobrescrever): esse recurso faz com que as

configurações de uma GPO não sejam sobrescritas por outras GPO’s.

Devemos utilizar essa opção quando desejamos que as configurações de

uma GPO não sejam substituídas por configurações de outras GPO’s,

independente do local em que a GPO esteja sendo aplicada.

Um detalhe importante é que não existe herança de GPO’s entre domínios. Ou seja,

as GPO’s existentes no domínio pai dominio1.com, não serão herdadas pelo

domínio filho teste.dominio1.com.

- 12 -

4. Instalação do Windows Server 2003.

Figura 01: Windows Server 2003.

Para iniciar a instalação você deve ter em mãos o CD de instalação do

Windows Server 2003, ao ligar o computador você deve entrar no setup do

computador, na maioria dos casos você pode entrar no setup apertando a tecla

Delete na tela de POST (Aquela tela escura onde é feita a detecção do Hardware do

computador), quanto a navegação dentro do setup do computador é tudo muito

simples e intuitivo, porém é legal que tenha um pouco de conhecimento na língua

Inglesa já que o setup vai estar em Inglês, na opção de Boot (Boot define onde vai

ser feita as tentativas de carregamento do sistema, se vai ser no drive de CD, no

HD, e outros, e também a ordem em que vai ser feita as tentativas de carregamento

do sistema) do computador você deve por o CD como a primeira opção de Boot, e o

HD como a segunda opção, você pode encontrar estas opções em Advanced

Setings, feito isso ponha o CD de instalação do Windows Server 2003 no drive de

CD, salve as alterações feitas no setup e saia, o computador vai reiniciar.

Agora ele vai carregar o instalador do CD, iniciando assim a instalação,

espere carregar os Drivers, então aparecerá uma tela com três opções, pressionar a

tecla ENTER para instalar o Windows agora. Pressionar a tecla R para recuperar

uma instalação do Windows usando o console de recuperação. E pressionar a tecla

F3 para sair sem instalar. Pressione ENTER para instalar, aguarde um pouco, até

aparecer o Contrato de Licença de usuários Windows, pressione a tecla F8 para

concordar, a próxima tela mostra mais três opções: Pressionar a tecla ENTER para

- 13 -

configurar o Windows na partição selecionada; Pressionar a tecla C para criar uma

partição no espaço não particionado; E pressionar D para excluir uma partição

existente; Mostrará também abaixo destas opções as partições existentes (Caso

exista alguma), agora a opção a ser tomada vai depender do seu HD (Disco Rígido)

e de você mesmo, caso não exista partições você deve escolher a segunda opção,

que é a de pressionar C para criar, caso exista uma ou mais e queira apagar

alguma, siga a terceira opção de pressionar D para excluir, e a primeira opção de

pressionar ENTER para instalar em uma partição que já existe, vamos partir do pré-

suposto que não existam partições, pressione C para criar, agora é definido o

tamanho desta partição, caso queira uma única partição pressione ENTER, caso

queira mais de uma partição defina o tamanho e confirme, faça o mesmo com o

resto do espaço ainda não particionado, criado a(s) partição(ões) selecione a que vai

receber o sistema e pressione ENTER, agora é definido o tipo de sistema de arquivo

(NTFS ou FAT) e o tipo de formatação que vai ser feito (rápida ou normal), selecione

NTFS como sistema de arquivos (o sistema de arquivo FAT era usado em sistemas

MS-DOS ou baseados em MS-DOS, estes sistemas não são estáveis suficiente para

ser usado em servidores, surgindo assim o NTFS – New Tecnology File System,

além de ser mais estável possui recursos como encriptação e permissões de acesso

a arquivos) e o tipo de formatação será normal pois a formatação rápida não garante

uma boa integridade dos setores, agora o disco será formatado e receberá os

arquivos para a instalação e configuração do sistema operacional.

Após essa etapa o computador será reiniciado, na tela escura com a opção

de “pressione alguma tecla para iniciar do CD...” não pressione nada, vai iniciar a

instalação, esse paço leva alguns minutos, em alguns momentos você deve

confirmar algumas coisas, como a configuração de idioma que se você estiver

usando uma versão em português só avance, pois tanto idioma como opção de

teclado vai estar como Brasileiro, também pedirá o seu nome e a organização, digite

algo e avance, depois digite a Chave do produto (A chave vai ser uma seqüência de

números e caracteres que acompanha o CD) digite a chave e avance, agora é

definido o número de licenças por Servidor que foram adquiridas (Depois de

instalado esse número pode ser alterado nas “Ferramentas Administrativas”),

selecione o número de licenças e avance, a próxima etapa é definir o nome do

computador e senha do Administrador, defina o nome do computador como

SERVIDOR, defina uma senha pessoal e avance, lembre que uma boa senha deve

- 14 -

conter caracteres maiúsculos e minúsculos, números e símbolos, a próxima etapa é

definida a Configuração de rede, escolha a configuração típica e avance, agora é

definido o Domínio que este computador vai pertencer, como ele vai ser o Servidor e

vai receber o controlador (que vai ser instalado no próximo tópico) escolha a

primeira opção e avance, com isto será definido não participar de um Domínio

existente, agora é só esperar alguns minutos e o seu Sistema Operacional estará

instalado e pronto para ser usado.; )

- 15 -

5. Instalação do Controlador de Domínio.

Antes de iniciar a instalação do Active Directory, certifique-se de ter configurado o

Endereço IP, máscara de rede, gateway, e DNS. O DNS do servidor vai ser seu

próprio endereço IP, para essa configuração usamos o endereço IP do host 10.0.2.2,

a máscara de rede foi 255.255.255.0, e o gateway 10.0.2.1, a configuração do

protocolo TCP/IP pode ser feita no menu iniciar > conexões de rede, clique com o

botão direto do mouse encima da conexão vá em “propriedades” na caixa que surge

clique em “protocolo TCP/IP”, depois vá em “propriedades” agora é só configurar. A

figura 02 apresenta este passo.

Figura 02: Propriedades de Protocolo TCP/IP.

1º Passo: Instalação do Active Directory.

Alguns tutoriais começam executando o comando “dcpromo” no menu iniciar >

Executar do Windows, mas pode acontecer de não ficar clara a instalação do Active

Directory (AD), por isso seguiremos outro método, coloque o CD do Instalador do

Windows no drive de CD, vá em Iniciar > Programas > Ferramentas Administrativas

- 16 -

> Assistente para configurar o servidor, abrirá uma caixa de diálogos de boas vindas,

vá em “Avançar”, siga as especificações da tela seguinte apresentada na figura 03.

Figura 03: Etapas Preliminares.

Na etapa seguinte será mostrada todas as possíveis funções do Servidor, a função

Controlador de Domínio deve ser instalada. A figura 04 exibe esse passo, note que o

Controlador de Domínio não está instalado, assim como outros serviços, para o AD

funcionar será necessário instalar também o Servidor DNS (caso a rede possua

máquinas com versões mais antigas do Windows como o 95, por exemplo, você

precisará instalar o Servidor Wins), para instalar o controlador de domínio basta

clicar na opção e avançar.

- 17 -

Figura 04: Função do servidor.

A próxima caixa de diálogo irá mostrar a compatibilidade de sistema

operacional, avance. Na próxima etapa é mostrada o tipo de controlador de domínio,

deixe a primeira opção ativada já que será o primeiro controlador de domínio,

avance. Agora é definido se esse será o controlador de um novo sítio (Sítio ou

floresta representa as máquina que iram formar a rede local), ou um domínio filho de

um outro já existente, ou ainda se esse vai ser um domínio separado de um já

existente, deixe a primeira opção ativada e avance. Agora deve ser especificado o

nome domínio, para evitar dor de cabeça na hora de adicionar uma máquina ao

domínio é melhor seguir o padrão, aconselha-se usar algo como “instituto.com”,

onde o domínio será instituto, evite acentuação ou símbolos, isso pode confundir ou

realmente gerar erros na aplicação do uso do domínio, a figura 05 mostra essa

etapa.

- 18 -

Figura 05: Nome do domínio.

O próximo passo é definir o nome do NetBIOS (NetBIOS é uma interface de

programa que foi desenvolvida para permitir a comunicação entre máquinas), já vai

ser definido a primeira parte do nome do domínio, mantenha este nome e clique em

avançar. Agora é definido o diretório do banco de dados do AD.

A etapa seguinte é o diagnóstico de registro de DNS, vai haver três opções, a

primeira opção é corrigir problemas e fazer o teste novamente, a segunda opção é a

que vamos usar, esta opção instala e configura o servidor DNS veja a figura 06, a

terceira opção é corrigir manualmente depois, marque a segunda opção e avance.

Figura 06: Registro de DNS.

- 19 -

A seguir adicione uma senha para o modo de restauração do AD, feito isso é

só esperar o termino da instalação veja figura 06, lembrando que o CD do Windows

Server 2003 deve estar na unidade de CD a partir deste momento.

Concluído o assistente de instalação do AD, a última caixa de diálogo que

surge é mostrado se foi concluído com êxito e o nome do domínio, de acordo com a

figura 07.

Figura 07: Instalação concluída.

2º Passo: Criando contas de usuários e grupos.

Agora que o domínio foi criado é hora de criar contas de usuários e grupos,

para isso você tem que logar no Servidor, depois disso vá no menu iniciar >

programas > ferramentas administrativas > usuários e grupos do Active Directory, na

caixa de diálogo que se abrirá, vá na opção criar usuário no recipiente atual, de

acordo com a figura 08.

- 20 -

Figura 08: Usuários e computadores do Active Directory.

Certifique-se de estar no diretório (pasta) Users onde serão criadas as contas

de usuários. No próximo passo é definido o nome do usuário, sobrenome, e o mais

importante o nome de logon do usuário, é esse nome que será usado para logar no

sistema, também é mostrado o domínio, a figura 09 mostra essa etapa.

Figura 09: Novo Usuário.

A seguir é definida a senha do usuário, o Windows 2003 Server é bem rígido

quanto à segurança de senhas, isso pode ser alterado posteriormente, porém não é

aconselhado já que um servidor deve ser extremamente seguro, por isso na hora de

- 21 -

inserir a senha devem ser usados caracteres maiúsculos e minúsculos, números e

símbolos. A figura 10 mostra detalhes na definição de senha.

Figura 10: Novo objeto.

Logo abaixo dos campos senha e confirmação de senha pode ser definido se

o usuário deve alterar a senha no próximo logon, se o usuário não pode alterar a

senha, se a senha nunca expira e conta desativada, é melhor definir que o usuário

deve alterar a senha no próximo logon, na conclusão é mostrado o nome completo

do usuário, o nome de logon do usuário, e a opção que foi definida para a senha do

usuário. Volte ao início da criação de contas e verá que o usuário está lá.

3º Passo: Criação de grupos.

Um dos passos mais importantes é a criação de grupos, em uma rede com

vários usuários onde alguns devem ter mais privilégios que outros, dar privilégios um

a um não seria viável, aí entra a figura dos grupos, onde pode ser criado um grupo

administradores e acrescentar todos os usuários com mais privilégios são

adicionados a esse grupo, e esse grupo recebe privilégios maiores e assim por

diante.

- 22 -

Para criar um grupo segue os mesmos passos que a criação de usuários, a

diferença é que deve ser usado a opção criar grupo no recipiente atual, fica bem ao

lado da opção de criação de usuários, certifique-se de estar na pasta Builtin, que é

onde vai estar os grupos, a próxima etapa é definido nome do grupo a figura 11

mostra essa etapa, no exemplo foi criado o grupo aluno, o campo nome de grupo

anterior ao Windows 2000 é para o caso de haver máquinas com sistemas

operacionais mais antigos por exemplo. Escopo do grupo é definido se o grupo vai

fazer parte do domínio global que seria o domínio máximo ou se esse grupo vai

fazer parte apenas do domínio local no caso de haver mais de um domínio, defina

como global, em tipo de grupo defina segurança, pronto seu grupo foi criado.

Figura 11: Criação do grupo.

4º Passo: Adicionar uma máquina ao domínio.

Para se adicionar uma máquina ao domínio esta máquina deve estar

conectada a rede e com o Protocolo TCP/IP configurado, para isso efetue login na

máquina que deseja adicionar ao domínio, vá em menu iniciar > conexões de rede,

clique com o botão direito do mouse em conexão local, vá em propriedades, na

janela seguinte selecione a opção Protocolo TCP/IP, e vá em propriedades, agora é

só configurar. Lembre-se, para adicionar uma máquina ao domínio tanto a máquina

- 23 -

servidor quanto a máquina usuário devem estar na mesma rede ou sub-rede, para

isso devem possuir a mesma mascara de rede, o mesmo gateway e os endereços IP

devem seguir o mesmo padrão mudando apenas o HostID (terminação do endereço

que identifica a máquina), tendo configurado o IP da máquina corretamente, agora é

possível adicionar essa máquina ao domínio, para isso clique com o botão direito do

mouse em meu computador, vá em propriedades, na janela que abriu vá na aba

nome do computador, em seguida vá em alterar, na janela Alterações de nome do

computador verifique se o nome do computador esta bem especificado para facilitar

a sua vida, se for necessário altera o nome do computador, lembre-se que você tem

que reiniciar o computador após fazer a alteração, caso contrario na caixa Membro

de, digite o nome do domínio que você criou no 1º passo.

Figura 12: Alterações de nome do computador.

Quando o domínio for definido e você der ok vai ser solicitado que um usuário

que tenha privilégio de administrador, e senha, para confirmar a entrada dessa no

domínio, feito isso esse computador fará parte do domínio. Voltando ao servidor e

indo ao menu iniciar > ferramentas administrativas > usuários e computadores do

Active Directory, na janela de diálogo que se abre clique na pasta Computers lá

estará o computador que foi adicionado ao domínio.

- 24 -

6. INSTALAÇÃO DO UBUNTU 9

Para instalar o ubuntu utilizou-se o Live-CD da versão 9.04. O passo seguinte

e configurar o boot (processo de inicialização do sistema operacional) do

computador para iniciar pelo Live-CD após aparecer a tela de menu do CD,

As opções do menu são: Testar o Ubuntu sem qualquer mudança no seu

computador, instalar o Ubuntu, verificar os discos para defeitos, teste de memória,

inicializar pelo primeiro disco rígido, mais as teclas de ajuda que ficam na parte

inferior da tela de menu; F1 Para ajuda, F2 Idioma, F3 Mapa de Teclas, F4 Modos,

F5 Acessibilidade, F6 Outra opções . Veja na figura abaixo:

Figura 2: Tela de Menu do Ubuntu 9.

Após escolher a opção Instalar o ubuntu, aparecerá uma janela que vai do 1º

até o 7º passo.

1º Passo: Escolha de linguagens. Veja na figura a seguir.

- 25 -

Figura 3: Passo 1.

2º Passo: Será apresentada a tela de seleção de fuso horário. Onde foi

selecionada a cidade de Araguaína, por fazer parte de nosso fuso horário. Veja na

figura a seguir.

Figura 4: Passo 2.

3º Passo: Seleção do tipo de teclado utilizado no computador a opção Brazil

já vai estar selecionada é só avançar. Veja na figura a seguir.

- 26 -

Figura 5: Passo 3.

4º Passo: Tela de preparação de espaço no HD (Hard Disc). Veja na figura a

seguir.

Figura 6: Passo 4.

5º Passo: Tela de informações para criação do usuário (o usuário e senha é

você que escolhe). Veja na figura a seguir.

- 27 -

Figura 7: Passo 5.

6º Passo: Apresentará uma tela de migração do sistema Windows para o

Linux instalado, onde podem ser carregadas as contas que já existiam no Windows

por exemplo. Veja na figura a seguir.

Figura 8: Passo 6.

7º passo: será apresentada a tela de resumo das opções de instalação,

mostrando as partições que foram criadas. Veja na figura a seguir.

- 28 -

Figura 9: Passo 7.

Introdução - Samba

O samba é um software servidor, que permiti a comunicação entre máquinas

Linux com Windows, permitindo o compartilhamento de recursos através da rede,

permitindo assim gerenciar e compartilhar recursos na rede. O samba também

permite a criação de domínios completos. O samba foi implementado para trabalhar

com máquinas clientes que possuem o Sistema Operacional Microsoft Windows

(diversas versões).

PDC

PDC (em inglês Primary Domain Controller, em português Controlador

Primário de Domínio) nada mais é que o servidor principal de uma rede, ou seja, é

uma máquina centralizada que é responsável pela autenticação de usuário,

distribuição de IP para cada máquina do domínio.

Lembrando que o domínio é um meio de interligar várias máquinas de uma

rede, ou seja, possibilitar uma melhor identificação das máquinas, compartilhamento

seguro de recursos (entre as máquinas do mesmo domínio).

- 29 -

7. Instalando o SAMBA

Ir no site e fazer o download da última versão do samba: http://www.samba.org No caso samba-3.0.4. Salvar o arquivo em /tmp e descompactar, usando o comando: # tar -zxvf samba-3.0.4.tar.gz Acesse o diretório source (origem do samba) e faça: # ./configure --prefix=/usr/local/samba # make # make install

Agora vamos configurar a SWAT (Método de configuração do SAMBA, isso através de interface gráfica, ou seja, uma ferramenta que permite a configuração do SAMBA através de navegador de Internet). Acrescentar a linha ao arquivo /etc/services: swat 901/tcp # swat Após acrescente a linha ao arquivo /etc/inetd.conf: swat stream tcp nowait.400 root /usr/sbin/tcpd /usr/local/samba/sbin/swat swat Agora finalize o inetd: # killall -HUP inetd Para testar o SWAT, abra o browser e digite: http://localhost:901 Configurar o arquivo smb.conf O smb.conf é usado para configurar o samba, isso podendo ser configurado pelo SWAT (programa) ou pelo editor de texto como o vi. Esse arquivo é formado por seções e parâmetros. Aqui duas seções: [global] e [home]. Uma configuração básica de diretório: # vi /etc/samba/smb.conf # Configuração do Servidor Samba # Parâmetros Globais # Definição das configurações gerais para o servidor samba [global] # Definição do nome do grupo workgroup = OSDORMESUJO # Nome a ser exibido no ambiente de rede do windows server string = Servidor Samba # Define a forma de autenticação, aqui no caso “user” (o usuário terá um login e

- 30 -

senha para acessar o domínio) security = user # Ativa criptografia de senhas encrypt passwords = yes # Define o lugar do arquivo log do samba log file = /var/log/samba/samba.log # Parâmetros Locais [arquivos] # Nome que aparecerá no ambiente e rede comment = Arquivos de usuários # Caminho da pasta a ser compartilhada path = /home/arquivos public = no read only = yes # Define qual será a permissão para se criar arquivos create mode = 0740 # Define qual será a permissão para a criação de pasta directory mode = 0740

# Define as opções de acesso a diretórios homes de usuários

#[home] comment = home Directories read only = no browseable = no

# Define as opções gerais para controle das impressoras do sistema #[printers] comment = All Printers path = /var/spool/samba printer admin = root printable = yes browseable = No

Criando usuário: smbpasswd -c /etc/samba/smbpasswd -a pedro Observação: o comando cria pedro como usuário do samba. Criando grupo: Criaremos o grupo que terá o acesso ao compartilhamento: # groupadd CPD Observação: o comando cria CPD como grupo do samba. Para se adicionar máquinas ao domínio do samba:

- 31 -

Criando contas das máquinas Windows no Linux Criar um grupo no Linux para adicionar as máquinas Windows (no caso “cpd” é o nosso grupo). # groupadd maquinas Adicione o nome da estação com Windows que você pretende adicionar ao domínio do Samba ao grupo "cpd" no Linux através da seguinte linha de comando: # useradd -d /dev/null -g maquinas -s /bin/false nome_da_maquina$ No final da linha de comando, onde está escrito "nome da máquina", seguido do $, é para ser trocado pelo nome do computador Windows que você está incluindo no domínio do Linux.

Criando a senha para a máquina Windows

Aqui informa para o Samba que existe uma máquina que será logada como se fosse um usuário, para que isso seja possível é necessário executar a seguinte linha de comando: # smbpasswd -a -m nome_da_máquina

Criando o grupo para o administrador Use esse comando para criar o grupo administrador no Linux para que em seguida possa adicionar os usuários com poder de administração das máquinas Windows. # groupadd administrador Adicionando os usuários com poder de administração ao grupo dos administradores no Linux. # useradd -g administrador -s /bin/bash -d /home/administrador administrador # useradd -g administrador -s /bin/false -d /dev/null administrador Para que o usurário administrador receba a permissão de administração, é necessário informar o Samba. É necessário adicionar no smb.conf, na seção [global], a seguinte linha:

admin users=administrador

root=administrator admin administrador

administrador=administrador administrator

- 32 -

Adicionando o usuário administrador no Samba Com essa linha iremos adicionar o usuário administrador na base de autenticação do Samba. # smbpasswd -a administrador Aqui o comando que faz o mapeamento entre o grupo do Windows chamado "Domain Admins" (que o grupo do administrador do domínio do Windows, no nosso caso, o Linux), e com o grupo criado por você no Linux, no meu caso esse grupo que eu crie se chama “administrador”. # net groupmap modify ntgroup="Domain Admins" unixgroup="administrador" Esse procedimento serve para cadastrar os usuários do Linux no grupo "users" e mapear o mesmo para o grupo de domínio "Domain Users", possibilitando configurar a estação foi colocado o grupo "Domain Users" no grupo local dos administradores na estação, fazendo com que todos os usuários pertencentes a esse grupo possuam poderes de administração, no modo como é utilizado na rede da empresa.

1. Adicione os usuários do Linux no grupo "users" do Linux; 2. Execute o seguinte comando:

# net groupmap modify ntgroup="Domain Users" unixgroup="users"

3. Na estação de trabalho, adicione o grupo "Domain Users" no grupo dos administradores da estação de trabalho.

Após realizar esse procedimento, os usuários terão acesso administrativo na estação de trabalho.

Configurando o Windows para o domínio com o Samba No Windows será necessário utilizar um usuário com poder de administração

local na máquina Windows, por exemplo, o usuário administrador ou um usuário que

tenha credencial de administrador.

Com esse usuário será necessário clicar com o botão direito no ícone Meu

Computador, na área de Trabalho e ir na opção Propriedades.

Nessa tela selecione a Aba "Nome do Computador", e em seguida clique em

Alterar, será aberta. Nessa tela você terá que alterar a opção "Membro de:" de grupo

para domínio e colocar o nome do domínio configurado no Samba.

Essa opção no Samba é referente ao conteúdo da linha workgroup = .

Assim que você alterar essa opção o Windows solicitará a senha do

administrador do domínio. Esse administrador é o usuário que criamos no Linux o

qual você teve que adicionar uma senha, utilize esse usuário e essa senha para que

- 33 -

a estação Windows consiga ingressar no domínio, assim que isso for feito o

Windows solicitará que o sistema seja reinicializado.

8. Autenticando Windows XP no Samba

Editar a seguinte linha no Regedit:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Param

eters\requiresignorseal

(trocar seu valor para 0)

1.Clique em painel de controle e depois em sistema;

2.Clique em Nome do Computador;

3.Clique em ID da rede.

4.Clique em avançar, selecione a opção "Este computador faz parte de uma rede

corporativa ...";

5.Clique em avançar, escolha "Minha empresa usa uma rede com um domínio";

6.Clique em avançar 2 x;

7.No campo nome do usuário digite um usuário cadastrado no Samba, digite a

senha e o domínio que sua rede pertence;

8.Clique em avançar, digite o nome do seu computador (que foi cadastrado no

samba sem o $) e o domínio da rede novamente;

9.Clique em avançar, no campo nome de usuário digite o usuário root (do samba)

sua senha e domínio do Samba;

10.Clique em OK na mensagem: "Bem Vindo ao domínio ...";

11.Reiniciar o Windows XP com a opção de logar no domínio da sua rede com

qualquer usuário cadastrado no samba.