Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
MICROSOFT
LEARNING
PRODUCTS
10140A
Configurao, gerenciamento e manuteno dos servidores do Windows Server 2008
Volume 2
Lembre-se de acessar o contedo de aprendizado ampliado no CD Complementar do Curso includo na contracapa do livro.
ii
As informaes includas neste documento, inclusive URLs e referncias a outros sites da Internet, esto sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas, organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e acontecimentos aqui mencionados so fictcios e de nenhuma forma pretendem representar empresas, organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares ou acontecimentos. O cumprimento de leis de direitos autorais de exclusiva responsabilidade do usurio. Sem limitar os direitos autorais, nenhuma parte deste documento pode ser reproduzida, armazenada ou introduzida em um sistema de recuperao, ou transmitida de qualquer forma ou por qualquer meio (eletrnico, mecnico, fotocpia, gravao ou qualquer outro), ou para qualquer propsito, sem a permisso expressa, por escrito, da Microsoft Corporation. A Microsoft pode ter patentes ou requisies para obteno de patente, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abrangem o contedo deste documento. Exceto se expressamente fornecido em qualquer acordo de licena por escrito da Microsoft, o fornecimento deste documento no lhe concede licena para essas patentes, marcas registradas, direitos autorais ou outra propriedade intelectual. Os nomes de fabricantes, produtos ou URLs so fornecidos apenas com propsito informativo e a Microsoft no oferece qualquer representao ou garantia, explcita, implcita ou estatutria, em relao a esses fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um fabricante ou produto no implica endosso da Microsoft do fabricante ou produto. Podem ser fornecidos links para sites de terceiros. Esses sites no so controlados pela Microsoft e a Microsoft no se responsabiliza pelo contedo de qualquer site vinculado ou qualquer link existente em um site vinculado, ou qualquer mudana ou atualizao em tais sites. A Microsoft no responsvel por transmisses via Web ou qualquer outra forma de transmisso recebida de qualquer site vinculado. A Microsoft fornece esses links para sua convenincia, e a incluso de qualquer link no implica endosso da Microsoft em relao ao site nem a produtos nele contidos. 2009 Microsoft Corporation. Todos os direitos reservados. Microsoft, Microsoft Press, Active Directory, ActiveX, BitLocker, Excel, Hyper-V, Internet Explorer, MS, MSDN, PowerPoint, SharePoint, SQL Server, Visual Basic, Visual Studio, Win32, Windows, Windows Media, Windows NT, Windows PowerShell, Windows Server e Windows Vista so marcas comerciais ou marcas registradas da Microsoft Corporation nos Estados Unidos e/ou outros pases. Todas as outras marcas comerciais so de propriedade dos respectivos proprietrios.
Lanamento: 02/2009
TERMOS DE LICENA DA MICROSOFT OFFICIAL MICROSOFT LEARNING PRODUCTS EDIO DO INSTRUTOR Verses de Pr-lanamento e final
Estes termos de licena so um acordo entre a Microsoft Corporation e voc. Por favor, leia-os. Eles se aplicam ao Contedo Licenciado supracitado, que inclui a mdia na qual ele est contido, caso haja uma. Os termos tambm se aplicam aos seguintes itens da Microsoft: atualizaes, suplementos, servios via Internet e servios de suporte
referentes a este Contedo Licenciado, a menos que outros termos acompanhem esses itens. Nesse caso, tais termos se aplicam. Ao usar o Contedo Licenciado, voc estar aceitando estes termos. Se voc no os aceitar, no use o Contedo Licenciado. Se cumprir estes termos de licena, voc ter os direitos a seguir.
1. DEFINIES. a. Materiais Acadmicos significa a documentao impressa ou eletrnica, como manuais, livros
didticos, white papers, press-releases, folhas de dados e perguntas freqentes, que esteja includa no Contedo Licenciado. for Learning Solutions, um local do IT Academy ou outra entidade semelhante designada ocasionalmente pela Microsoft.
autorizadas pela Microsoft e conduzidas por um Instrutor em Centros de Aprendizagem Autorizados ou por meio deles, fornecendo treinamento a Alunos somente em Produtos Microsoft Official Learning (anteriormente conhecidos como MOC [Microsoft Official Curriculum]) e Produtos Microsoft Dynamics Learning (anteriormente conhecidos como cursos do Microsoft Business Solutions). Cada Sesso de Treinamento Autorizada fornecer treinamento sobre a matria de um (1) Curso.
d. Curso significa um dos cursos que utilizam Contedo Licenciado oferecidos por um Centro de
Aprendizagem Autorizado durante uma Sesso de Treinamento Autorizada, cada um dos quais fornecendo treinamento sobre uma matria tecnolgica especfica da Microsoft. outro dispositivo analgico ou eletrnico digital.
f.
Contedo Licenciado significa o material que acompanha estes termos de licena. O Contedo Licenciado pode incluir os seguintes elementos, sem se limitar a eles: (i) Contedo do Instrutor, (ii) Contedo do Aluno, (iii) guia de configurao da sala de aula e (iv) Software. H componentes diferentes e separados do Contedo Licenciado para cada Curso. Software significa as Mquinas Virtuais e os Discos Rgidos Virtuais ou outros aplicativos de software que estejam includos no Contedo Licenciado. em seu local.
g.
j.
k. Contedo do Instrutor significa o material que acompanha estes termos de licena e que se
l.
Discos Rgidos Virtuais significa o Software Microsoft composto por discos rgidos virtualizados (como um disco rgido virtual bsico ou discos associados) para uma Mquina Virtual que pode ser carregado em um nico computador ou outro dispositivo para permitir que os usurios finais executem vrios sistemas operacionais simultaneamente. Para os fins destes termos de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor. o uso de software Microsoft Virtual PC ou Microsoft Virtual Server, que consiste em um ambiente de hardware virtualizado, um ou mais Discos Rgidos Virtuais e um arquivo de configurao que define os parmetros do ambiente de hardware virtualizado (p. ex., RAM). Para os fins destes termos de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor. concordou com estes termos de licena.
m. Mquina Virtual significa uma experincia de computao virtualizada, criada e acessada com
n. voc significa o Centro de Aprendizagem Autorizado ou o Instrutor, conforme aplicvel, que 2. VISO GERAL.
Contedo Licenciado. O Contedo Licenciado inclui Software, Materiais Acadmicos (online e eletrnicos), Contedo do Instrutor, Contedo do Aluno, guia de configurao da sala de aula e qualquer mdia associada. Modelo de Licena. O Contedo Licenciado licenciado por cpia por local de Centro de Aprendizagem Autorizado ou por Instrutor.
3. DIREITOS DE INSTALAO E USO. a. Centros de Aprendizagem Autorizados e Instrutores: para cada Sesso de Treinamento
Autorizada, voc pode: i. instalar cpias individuais do Contedo Licenciado relevante em Dispositivos de sala de aula somente para uso pelos Alunos inscritos e pelo Instrutor que ministrar a Sesso de Treinamento Autorizada, desde que o nmero de cpias em uso no exceda o nmero de Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada, OU
ii. instalar uma cpia do Contedo Licenciado relevante em um servidor de rede somente para acesso por Dispositivos de sala de aula e somente para uso pelos Alunos inscritos e pelo Instrutor que ministrar a Sesso de Treinamento Autorizada, desde que o nmero de Dispositivos que acessem o Contedo Licenciado no dito servidor no exceda o nmero de Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada; iii. e permitir que os Alunos inscritos e o Instrutor que ministrar a Sesso de Treinamento Autorizada utilizem o Contedo Licenciado instalado por voc de acordo com (i) ou (ii) acima durante a dita Sesso de Treinamento Autorizada de acordo com estes termos de licena. iv. Separao de Componentes. Os componentes do Contedo Licenciado so licenciados como uma nica unidade. Voc no poder separar os componentes e instal-los em Dispositivos diferentes. v. Programas de Terceiros. O Contedo Licenciado poder conter programas de terceiros. Estes termos de licena se aplicaro ao uso desses programas de terceiros, a menos que outros termos acompanhem esses programas.
b. Instrutores:
i. Os Instrutores podem usar o Contedo Licenciado instalado por voc ou por um Centro de Aprendizagem Autorizado em um Dispositivo de sala de aula para ministrar uma Sesso de Treinamento Autorizada.
ii. Os Instrutores tambm podem usar uma cpia do Contedo Licenciado conforme se segue:
Contedo Licenciado. Voc pode instalar e usar uma cpia do Contedo Licenciado no Dispositivo licenciado somente para seu uso em treinamento pessoal e para a preparao de uma Sesso de Treinamento Autorizada.
B. Dispositivo Porttil. Voc pode instalar outra cpia em um dispositivo porttil somente
para seu uso em treinamento pessoal e para a preparao de uma Sesso de Treinamento Autorizada.
lanamento. Ele no pode conter as mesmas informaes e/ou funcionar da mesma maneira que uma verso definitiva do Contedo Licenciado. Poderemos alter-lo na verso comercial definitiva. Alm disso, no podemos lanar uma verso comercial. Voc dever informar o disposto acima de maneira clara e visvel a todos os Alunos participantes de cada Sesso de Treinamento Autorizado.
Alm disso, informe que voc ou a Microsoft no tem qualquer obrigao de fornecer nenhum outro contedo, incluindo, mas sem limitao, a verso lanada em carter definitivo do Contedo Licenciado do Curso.
Licenciado, estar dando Microsoft, a ttulo gratuito, o direito de usar, compartilhar e comercializar seus comentrios de qualquer maneira e para qualquer finalidade. Alm disso, voc concede a terceiros, sem custos, todos os direitos de patente necessrios para que seus produtos, suas tecnologias e seus servios usem, ou estabeleam conexo com, qualquer parte especfica de um software, Contedo Licenciado ou servio da Microsoft que inclua os comentrios. Voc no dever enviar comentrios sujeitos a uma licena que exija da Microsoft o licenciamento do seu software ou da sua documentao a terceiros em virtude da incluso dos seus comentrios nesses elementos. Esses direitos permanecero em vigor aps o trmino deste contrato. de usurio, recursos e documentao que porventura estejam presentes no Contedo Licenciado, confidencial e de propriedade da Microsoft e de seus fornecedores. i. Uso. Durante cinco anos aps a instalao do Contedo Licenciado ou do seu lanamento comercial, o que ocorrer primeiro, voc no poder divulgar informaes confidenciais a terceiros. Voc poder divulgar informaes confidenciais apenas aos seus funcionrios e consultores que tenham a necessidade de conhecer essas informaes. Voc dever firmar contratos por escrito com eles para proteger essas informaes confidenciais, pelo menos, de maneira idntica a este contrato. Continuidade da obrigao. Seu dever de proteger as informaes confidenciais permanecer aps o trmino deste contrato.
ii.
iii. Excluses. Voc poder divulgar informaes confidenciais para atender ordens judiciais ou do Poder Pblico. Voc dever enviar Microsoft uma notificao prvia por escrito permitindo que ela busque uma medida cautelar ou de outra forma proteja as informaes. Entre as informaes confidenciais no esto informaes que d. passem a ser de conhecimento pblico atravs de atos lcitos; voc tenha recebido de terceiros que no violaram obrigaes de sigilo para com a Microsoft ou seus fornecedores; ou voc tenha desenvolvido de forma independente.
Prazo. O prazo deste contrato de verses de pr-lanamento (i) a data que a Microsoft informar a voc como data final de uso da verso beta, ou (ii) o lanamento comercial da verso definitiva do Contedo Licenciado, o que for anterior (prazo do beta). Uso. Voc dever deixar de usar todas as cpias da verso beta na resciso ou trmino dessa verso, bem como destruir todas as cpias dela em seu poder ou sob seu controle e/ou em poder ou sob controle de qualquer Instrutor que tenha recebido cpias da verso pr-lanada. Cpias. A Microsoft informar os Centros de Treinamento Autorizados se eles podem produzir cpias da verso beta (seja na verso impressa e/ou em CD) e distribuir essas cpias aos Alunos e/ou Instrutores. Caso a Microsoft permita essa distribuio, voc dever cumprir todos os outros termos que a Microsoft apresentar em relao a essas cpias e distribuio.
e.
f.
o o
Voc dever garantir que as Mquinas Virtuais e os Discos Rgidos Virtuais no sejam copiados ou baixados dos Dispositivos em que foram instalados por voc. Voc dever cumprir rigorosamente todas as instrues da Microsoft referentes instalao, ao uso, ativao e desativao e segurana das Mquinas Virtuais e dos Discos Rgidos Virtuais. Voc no poder modificar as Mquinas Virtuais e os Discos Rgidos Virtuais ou qualquer contedo dos mesmos. Voc no poder reproduzir ou redistribuir as Mquinas Virtuais ou os Discos Rgidos Virtuais.
o o
ii. Guia de Configurao da Sala de Aula. Voc dever garantir que qualquer Contedo Licenciado instalado para uso durante uma Sesso de Treinamento Autorizada seja realizado de acordo com o guia de configurao da sala de aula correspondente ao Curso. iii. Elementos de Mdia e Modelos. Voc poder permitir que os Instrutores e Alunos utilizem imagens, clip-arts, animaes, sons, msicas, formas, videoclipes e modelos fornecidos com o Contedo Licenciado somente em uma Sesso de Treinamento Autorizada. Caso os Instrutores tenham uma cpia prpria do Contedo Licenciado, eles podero usar Elementos de Mdia para seu uso em treinamento pessoal. iv Software de Avaliao. Qualquer Software includo no Contedo do Aluno designado como Software de Avaliao poder ser usado por Alunos somente para seu treinamento pessoal fora da Sesso de Treinamento Autorizada.
ii. Uso de Componentes Didticos no Contedo do Instrutor. Para cada Sesso de Treinamento Autorizada, os Instrutores podero personalizar e reproduzir, de acordo com o Contrato do MCT, as partes do Contedo Licenciado que estejam logicamente associadas instruo da Sesso de Treinamento Autorizada. Caso opte por exercer os direitos mencionados acima, voc estar concordando ou assegurando que o Instrutor concorde: (a) que qualquer uma dessas personalizaes ou reprodues ser usada somente para ministrar uma Sesso de Treinamento Autorizada; e (b) em cumprir todos os outros termos e condies deste contrato.
iii. Materiais Acadmicos. Caso o Contedo Licenciado inclua Materiais Acadmicos, voc poder copiar e usar esses Materiais. No permitido fazer modificaes nos Materiais Acadmicos nem imprimir livros (eletrnicos ou em verso impressa) integralmente. No caso da reproduo de Materiais Acadmicos, voc concorda que:
o uso dos Materiais Acadmicos ser exclusivamente para sua referncia ou treinamento pessoal; voc no republicar nem postar os Materiais Acadmicos em nenhum computador de rede, nem os transmitir em nenhuma mdia; voc incluir o aviso de direitos autorais original dos Materiais Acadmicos, ou um aviso de direitos autorais em benefcio da Microsoft no formato indicado abaixo: Formato do Aviso: 200X [Note to MS Learning: Insert correct date] Reimpresso para uso como referncia pessoal apenas com a permisso da Microsoft Corporation. Todos os direitos reservados. Microsoft, Windows e Windows Server so marcas registradas ou comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Outros nomes de empresas e produtos aqui mencionados so marcas comerciais de seus respectivos proprietrios.
6. SERVIOS VIA INTERNET. A Microsoft poder fornecer servios via Internet com o Contedo
Licenciado. Ela poder alter-los ou cancel-los a qualquer momento. Voc no poder usar esses servios de maneira que possa danific-los ou prejudicar seu uso por outros. Em nenhuma hiptese voc poder usar os servios para tentar obter acesso no autorizado a qualquer servio, dado, conta ou rede. outorga a voc alguns direitos de uso do Contedo Licenciado. A Microsoft se reserva todos os outros direitos. Salvo quando a legislao aplicvel lhe conceder mais direitos do que esta limitao, voc s poder usar o Contedo Licenciado conforme expressamente permitido neste contrato. Ao fazer isso, voc dever cumprir quaisquer limitaes tcnicas no Contedo Licenciado que permitam o seu uso apenas de determinadas maneiras. vedado(a): a instalao de mais cpias do Contedo Licenciado em Dispositivos de sala de aula do que o nmero de Alunos mais o Instrutor na Sesso de Treinamento Autorizada; a concesso de permisso de acesso ao servidor para mais Dispositivos de sala de aula do que o nmero de Alunos inscritos mais o Instrutor que ministrar a Sesso de Treinamento Autorizada, caso o Contedo Licenciado esteja instalado em um servidor de rede; a cpia ou reproduo do Contedo Licenciado em qualquer servidor ou local para posterior reproduo ou distribuio; a divulgao dos resultados de qualquer teste de desempenho do Contedo Licenciado a terceiros sem o prvio consentimento, por escrito, da Microsoft; a resoluo de limitaes tcnicas no Contedo Licenciado;
a realizao de engenharia reversa, descompilao ou desmontagem do Contedo Licenciado, exceto e somente na medida em que esta atividade seja expressamente permitida pela legislao aplicvel, no obstante esta limitao; a produo de mais cpias do Contedo Licenciado do que aquelas especificadas neste contrato ou permitidas pela legislao aplicvel, no obstante esta limitao; a publicao do Contedo Licenciado para a cpia por outras pessoas; a transferncia do Contedo Licenciado, no todo ou em parte, para um terceiro; o acesso a ou uso de qualquer Contedo Licenciado para o qual voc (i) no esteja ministrando um Curso e/ou (ii) no tenha sido autorizado pela Microsoft a acessar e usar; o aluguel, arrendamento ou emprstimo do Contedo Licenciado; ou o uso do Contedo Licenciado para servios de hospedagem comercial ou fins comerciais gerais. Os direitos de acesso ao software para servidor que possa estar includo com o Contedo Licenciado, inclusive os Discos Rgidos Virtuais, no concedem a voc nenhum direito para implementar patentes da Microsoft ou outras propriedades intelectuais da Microsoft em softwares ou dispositivos que acessem o servidor.
Resale). vedada a venda de software ou Contedo Licenciado identificado como NFR ou Not for Resale (No Comercializvel). Licenciado identificado como Academic Edition ou AE. Caso voc no saiba se ou no um Usurio Educacional Qualificado, visite a pgina www.microsoft.com/education ou contate a afiliada da Microsoft em seu pas. voc no cumpra os termos e condies destes termos de licena. No caso de seu status como Centro de Aprendizagem Autorizado ou Instrutor a) expirar, b) ser rescindido voluntariamente por voc e/ou c) ser rescindido pela Microsoft, este contrato ser rescindido automaticamente. Em caso de resciso deste contrato, voc dever destruir todas as cpias do Contedo Licenciado e de todos os seus componentes. servios via Internet e dos servios de suporte usados por voc, constituem o contrato integral para o Contedo Licenciado e os servios de suporte.
10. EDIO ACADMICA. Voc dever ser um Usurio Educacional Qualificado para usar Contedo
11. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir este contrato caso
12. CONTRATO INTEGRAL. Este contrato, e os termos dos suplementos, das atualizaes, dos
13. LEGISLAO APLICVEL. a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados Unidos, as leis
do Estado de Washington regero a interpretao deste contrato e sero aplicveis s reclamaes de violao do mesmo, independentemente dos princpios de conflito de leis. As leis do Estado onde voc vive regero todas as outras reclamaes, incluindo leis de defesa do consumidor, concorrncia desleal e obrigaes extracontratuais.
b. Fora dos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado em qualquer outro
pas, as leis desse pas sero aplicveis.
14. EFEITO LEGAL. Este contrato descreve alguns direitos legais. Voc poder ter outros direitos de
acordo com as leis do seu pas. Voc tambm poder ter direitos em relao ao terceiro de quem o Contedo Licenciado foi adquirido. Este contrato no alterar os seus direitos de acordo com as leis do seu pas, caso as leis do seu pas no o permitam. se encontra. O risco de us-lo responsabilidade sua. A Microsoft no oferece garantias ou condies expressas. Voc poder ter direitos de consumidor adicionais de acordo com suas leis locais, os quais este contrato no poder alterar. Na extenso permitida pelas leis locais, a Microsoft exclui as garantias implcitas de comercializao, adequao a uma finalidade especfica e no-violao. MICROSOFT E DE SEUS FORNECEDORES APENAS DANOS DIRETOS LIMITADOS A US$ 5,00 (CINCO DLARES AMERICANOS). NO POSSVEL RECUPERAR OUTROS DANOS, INCLUINDO CONSEQENCIAIS, LUCROS CESSANTES, ESPECIAIS, INDIRETOS OU INCIDENTAIS. Esta limitao aplica-se a: qualquer assunto relacionado ao Contedo Licenciado, ao software, aos servios, ao contedo (incluindo cdigo) em sites de Internet de terceiros ou a programas de terceiros; e reclamaes por violao contratual, quebra de garantia ou condio, responsabilidade objetiva, negligncia ou outra responsabilidade extracontratual, na extenso permitida pela legislao aplicvel.
Tambm ser aplicada ainda que a Microsoft saiba ou tivesse que saber sobre a possibilidade dos danos. A limitao ou excluso acima poder no se aplicar a voc pelo fato de o seu pas no permitir a excluso ou limitao de danos incidentais, conseqenciais ou outros.
xiii
Reconhecimento
O Microsoft Learning gostaria de prestar reconhecimento e agradecer contribuio dos seguintes profissionais para a elaborao deste curso. O esforo deles nas diversas etapas do desenvolvimento garantiu aos alunos uma boa experincia em sala de aula.
xiv
xv
Contedo
Mdulo 1: Introduo ao gerenciamento do ambiente Microsoft Windows Server 2008
Lio 1: Funes de servidor Lio 2: Viso geral do Active Directory Lio 3: Uso das Ferramentas Administrativas do Windows Server 2008 Lio 4: Uso da rea de Trabalho Remota para Administrao Laboratrio: Administrao do Windows Server 2008 1-3 1-15 1-27 1-35 1-43
Mdulo 2: Criao de objetos de computador e de usurio dos Servios de Domnio Active Directory
Lio 1: Gerenciamento de contas de usurio Lio 2: Criao de contas de computador Lio 3: Automatizao do gerenciamento de objetos do AD DS Lio 4: Uso de consultas para localizar objetos no AD DS Laboratrio: Criao de objetos de computador e de usurio dos Servios de Domnio Active Directory 2-3 2-17 2-24 2-33 2-39
xvi
xvii
xviii
xix
Lio 6: Viso geral de tarefas de gerenciamento do Windows Server 2008 Lio 7: Automao da manuteno do Windows Server 2008 Laboratrio B: Configurao do monitoramento do Windows Server 2008
Respostas do laboratrio
15-1
Mdulo 15
Gerenciamento de backup e restaurao do Windows Server 2008
Sumrio:
Lio 1: Planejamento de backups com o Windows Server 2008 Lio 2: Planejamento de diretiva de backup no Windows Server 2008 Lio 3: Planejamento de diretiva de restaurao de servidor Lio 4: Planejamento de uma diretiva de restaurao do EFS Lio 5: Soluo de problemas de inicializao do Windows Server 2008 Laboratrio A: Planejamento da diretiva de backup do Windows Server 2008 Laboratrio B: Planejamento de restaurao do Windows Server 2008 15-3 15-16 15-21 15-30 15-41 15-52 15-60
15-2
O planejamento de recuperao de desastres uma parte essencial do gerenciamento de qualquer infra-estrutura de servidor. Este mdulo examina o planejamento necessrio dos procedimentos de backup para garantir a proteo suficiente dos dados e servidores contra desastres. Com o sistema operacional Microsoft Windows Server 2008, voc pode restaurar os dados dos quais foi feito um backup anteriormente em disco. Voc deve planejar a diretiva de restaurao com base nos dados dos quais foi feito backup a partir da sua estratgia de backup. A restaurao de dados uma operao mais arriscada que o backup de dados porque voc pode substituir e perder os dados existentes por meio de procedimentos de restaurao inadequados. Voc s dever permitir que administradores confiveis executem operaes de restaurao; provvel que os operadores de restaurao sejam um subconjunto dos operadores de backup, mas em algumas organizaes, as equipes de backup e de restaurao so separadas. Voc dever usar os conhecimentos adquiridos neste mdulo para aperfeioar suas tcnicas de restaurao do Windows Server 2008.
15-3
Lio 1
Esta lio examina os elementos de planejamento necessrios para criar um processo de backup seguro, discreto e bem-sucedido. Aplique essas consideraes quando estiver planejando o backup de vrios tipos de dados na rede. Normalmente, voc distribuir as tarefas de backup entre vrios servidores e pessoal em seu ambiente.
15-4
Pontos principais
Ao planejar a estratgia de backup, preciso escolher o software de backup a ser usado e quem dever executar algumas das tarefas de backup necessrias. O software de backup necessrio para fazer backup dos dados e servidores da rede. Voc pode escolher o recurso de backup no sistema operacional Windows Server 2008 ou pode escolher um software de backup de terceiros. A sua escolha depende da mdia de backup, de como voc pretende gerenciar os backups de vrios servidores e dos custos de licenciamento, entre outros fatores. Por exemplo, o recurso Backup do Windows Server 2008 no tem custos adicionais de licenciamento, mas no oferece suporte a backups em fita.
15-5
O recurso Backup do Windows Server 2008 tambm oferece suporte ao uso de linha de comando por meio do comando Wbadmin.exe. Isso til para executar scripts ou fazer backups especficos, por exemplo, de dados sobre o estado do sistema. Observe que o backup do estado do sistema s est disponvel para a linha de comando; no est disponvel na interface do usurio do snap-in Backup do Windows Server. Alm disso, voc no pode configurar um backup agendado para criar backups de estado do sistema. No entanto, pode executar o script do comando Wbadmin start systemstatebackup para executar backups de um agendamento. Voc pode tambm ter necessidades especiais, como os bancos de dados, dos quais precisa fazer backup regularmente. Um backup de banco de dados pode exigir softwares ou ferramentas especiais para a execuo do backup. Alm disso, voc deve selecionar os membros de equipe que executaro as tarefas de backup. preciso garantir que quem est administrando o processo de backup verifique se os backups so concludos com sucesso e que ele esteja ciente das falhas de backup. Pergunta: Que software ou solues de backup voc usa atualmente?
15-6
Pontos principais
Ao planejar sua estratgia de backup, voc deve planejar os elementos que esto listados na tabela a seguir. Liste os dados que incluir no backup. necessrio identificar todos os dados que necessitam de backup, para que seja possvel restaurar os dados e os sistemas em caso de desastres.
15-7
Detalhes necessrio identificar todos os dados que necessitam de backup, para que seja possvel restaurar os dados e os sistemas em caso de desastres. Identifique a quantidade de dados que, no Windows Server 2008, inclui os volumes a serem includos no backup, para que voc possa escolher uma mdia de armazenamento apropriada e identificar o tempo necessrio para uma operao de backup ou de restaurao.
Voc precisa planejar a freqncia e o nmero de vezes que os servidores executam tarefas automatizadas de backup.
Voc precisa tambm selecionar um tipo de backup de acordo com a freqncia e o tempo gasto para executar uma operao de backup e de restaurao. O software de backup (ou seja, o SQL Server 2008) pode permitir escolher entre os seguintes tipos de backup:
15-8
(continuao)
Elementos do plano Escolher a mdia de backup Detalhes Voc deve escolher uma mdia de backup apropriada com base no software de backup, no tamanho dos backups e no tempo para restaurar os dados. A mdia de backup inclui:
Fita (no disponvel no backup do Windows Server 2008) Disco rgido removvel DVD Pasta compartilhada
A fita est disponvel em vrios formatos, oferecendo suporte a vrias taxas de dados e capacidades de armazenamento. Para fazer backup em fita, voc deve verificar se o formato da fita usado apropriado para a quantidade de dados dos quais deseja fazer backup. O recurso Backup do Windows Server 2008 no oferece suporte para backup em fita. Os discos removveis e as pastas compartilhadas so as nicas mdias de armazenamento suportadas. Considere o perodo necessrio de reteno dos backups para restaurar dados. Voc dever ser capaz de restaurar dados de 1 ms atrs, de 6 meses atrs, de 12 meses atrs, ou mais? Voc deve tambm levar em considerao o local de armazenamento da mdia de backup. As fitas so suscetveis a campos magnticos e ao calor, por isso elas precisam ser armazenadas longe desses fatores ambientais.
15-9
O recurso Backup do Windows Server no Windows Server 2008 consiste em um snap-in MMC e em ferramentas de linha de comando que fornecem uma soluo completa para suas necessidades dirias de backup e recuperao. Voc pode usar quatro assistentes para orient-lo na execuo de backups e recuperaes. Use o Backup do Windows Server para fazer backup de um servidor completo (todos os volumes), dos volumes selecionados ou do estado do sistema, que diferente do processo de seleo mais completo do Windows Server 2003 e pode afetar o modo como voc faz os backups. No entanto, voc pode ainda recuperar volumes, pastas, arquivos, alguns aplicativos e o estado do sistema. E, em caso de desastres, como falhas de disco rgido, voc pode realizar uma recuperao do sistema usando um backup completo do servidor e o Ambiente de Recuperao do Windows, que recuperar o sistema completo no novo disco rgido. Voc pode criar um backup do estado do sistema da mquina antes de fazer alteraes crticas na mquina ou no Active Directory. A capacidade de usar apenas um backup do estado do sistema no est descrita na interface GUI de backup. Se desejar usar apenas um backup do estado do sistema, use o utilitrio wbadmin.exe. WBadmin.exe um utilitrio de linha de comando. Pergunta: Voc faz backup de que tipos de dados regularmente no trabalho?
15-10
Pontos principais
Ao criar um agendamento de backup, leve em considerao os seguintes fatores: Com que freqncia os dados so alterados? Voc pode fazer backup mais vezes de dados que mudam com mais freqncia, para poder restaurar o mximo possvel de informaes. Voc dever avaliar tambm a possibilidade de fazer backup menos vezes de dados que mudam com menos freqncia, para reduzir as necessidades de armazenamento e as despesas administrativas. Qual o custo para recriar os dados? Esse custo ter impacto na freqncia com que voc faz backup dos dados e na mdia de armazenamento usada para fazer backups. A mdia de armazenamento tem um grande impacto no tempo que um backup leva para ser realizado.
15-11
Qual a durao do backup? Determinados tipos de backup levam mais tempo do que outros para serem concludos. Por exemplo, um backup completo leva mais tempo do que um backup incremental, mas um backup incremental faz backup somente das alteraes dos dados. Escolha o tipo e a freqncia de backup com base no tempo que a operao de backup dever levar. As operaes de backup usam recursos do servidor, por isso, normalmente elas devem ser agendadas para serem executadas fora do horrio normal de trabalho. No entanto, voc pode ter outras tarefas, por exemplo, a manuteno automatizada no servidor, ou pode ter usurios globais, e o servidor ser acessado por horas que se estendem durante todo o dia. Com que freqncia realizada uma restaurao experimental? Voc deve realizar periodicamente uma restaurao experimental nos backups para garantir que esses backups possam ser acessadas e os dados restaurados. Essa uma parte essencial do planejamento de recuperao de desastres e no dever ser ignorada. Quanto tempo leva uma restaurao? A restaurao de grandes volumes de dados pode levar horas ou dias, dependendo do volume de dados perdidos e da velocidade da mdia de backup. Voc pode fazer backup de diferentes tipos de dados de maneiras diversas ou usando mdias diferentes, para que seja possvel restaurar os dados mais importantes de forma mais rpida. Isso poder ser til principalmente quando voc estiver elaborando um plano para desastres que envolvem a perda de um ou mais servidores ou se precisar atender s exigncias do contrato de nvel de servio (SLA). Normalmente, voc dever automatizar a tarefa de backup, criando um trabalho de backup agendado no software de backup ou usando o agendamento de tarefas do Windows Server 2008. Pergunta: Com que freqncia voc faz backups atualmente? Pergunta: Voc tem agendamentos de backup diferentes para dados diferentes?
15-12
Pontos principais
Por quanto tempo voc precisa manter os dados? Voc precisa manter os dados para atender s exigncias legais, como Sarbanes-Oxley, ou para atender aos requisitos de negcios, como a capacidade de auditar todos os projetos durante os ltimos cinco anos? Onde voc deve arquivar os dados? Os usurios solicitam regularmente o acesso aos dados arquivados, o que implica a necessidade de manter os dados em um servidor, ou os dados podem ser arquivados em uma mdia esttica, como o armazenamento tico ou em fita? Para o arquivamento em mdia esttica, leve em considerao o fato de a mdia, como DVD ou fita, ter tempo de vida limitado para armazenar dados.
15-13
Qual o custo de armazenamento de dados? Os diversos mecanismos e mdias de armazenamento tm custos diferentes associados a eles. Se voc mantiver o arquivo de dados na rede de rea de armazenamento (SAN) corporativa, ter um custo relativamente alto por megabyte (MB). Se voc mantiver os dados arquivados em um disco rgido do servidor, ter um custo mais baixo por MB, e os dados armazenados em fita tero um custo baixssimo por MB. O oposto disso a facilidade de acesso, por isso, necessrio equilibrar o custo com a facilidade de acesso aos dados. Geralmente, voc move os dados mais antigos para mdias de armazenamento de menor custo. Que ferramentas de software podem auxiliar na reteno de dados? O software de backup ou as ferramentas adicionais podem ter recursos de reteno de dados, ou voc pode investir em softwares que auxiliem na reteno de dados da organizao. Leve em conta ferramentas, como o Microsoft System Center Data Protection Manager, que possam oferecer recursos de backup e opes para arquivar dados mais antigos em mdias como a fita, em vez de disco rgido. Pergunta: Qual o seu plano atual de reteno de dados? Pergunta: Voc precisa cumprir alguma exigncia legal de reteno de dados?
15-14
Pontos principais
O planejamento de backups dos arquivos criptografados deve incluir a considerao sobre fazer corretamente o backup e a recuperao dos arquivos e das chaves de criptografia. O Sistema de Arquivos com Criptografia (EFS) uma ferramenta poderosa para criptografar arquivos e pastas nos computadores cliente e servidores de arquivos remoto. Ela permite que os usurios protejam os dados contra o acesso no autorizado de outros usurios ou invasores externos. Backup de Hyper-V Embora no seja tecnicamente um backup, um instantneo da mquina virtual fornece um ponto no tempo para o qual voc pode reverter usando discos de diferenciao e uma cpia do arquivo de configurao da mquina virtual.
15-15
Embora um benefcio interessante da virtualizao do servidor seja a oportunidade de no precisar mais fazer backup individual dos sistemas virtualizados, o simples backup dos arquivos da mquina virtual no suficiente. Como se trata de computadores ativos que consistem em dados armazenados na memria, dados em disco, configuraes do sistema e arquivos abertos, h outras coisas que precisam ser levadas em considerao. Pergunta: Os usurios utilizam o Sistema de Arquivos com Criptografia (EFS) atualmente?
15-16
Lio 2
Alm de decidir sobre a estratgia de backup para vrios tipos de dados da rede, tambm necessrio examinar algumas questes mais amplas ao planejar a diretiva de backup geral. Esta lio examina algumas consideraes adicionais que precisam ser analisadas na criao da diretiva de backup.
15-17
Pontos principais
Fator Contratos de nvel de servio Detalhes Se o departamento de tecnologia da informao (TI) concordou com os SLAs ou pretende criar SLAs para a disponibilidade de dados ou de servidor, voc deve incluir a considerao dos processos de backup e de restaurao no SLA. Um SLA deve especificar os dados ou servidores aos quais ele se refere, e deve identificar perodos aceitveis de indisponibilidade. importante que o tempo gasto para executar uma operao de restaurao no exceda o SLA, caso contrrio, o SLA ser redundante.
15-18
(continuao)
Fator Custo Detalhes Ao planejar a diretiva de backup, voc precisa levar em considerao o custo da soluo de backup. Os custos das solues de backup podem incluir hardware, software e mdia. Analise cuidadosamente o custo em relao aos tempos de backup e restaurao e s quantidades de armazenamento necessrias. Capacidades maiores de armazenamento ou mdias de armazenamento mais rpidas so mais caras, mas voc pode precisar delas para tipos especficos de dados da organizao, por exemplo, backups de banco de dados. Ao planejar os aumentos no armazenamento de dados, voc deve incluir qualquer aumento inevitvel nos custos de backup necessrios para manter o agendamento de backup. Largura de banda Se voc faz backup em um local fsico diferente, por exemplo, provedor de armazenamento seguro fora do local, ou em um local de recuperao de desastres dedicado, analise os requisitos de banda larga. A banda larga disponvel para esses backups afeta diretamente o tempo gasto para executar uma operao de backup e de restaurao e, a menos que haja links rpidos, voc normalmente a usar como proteo adicional se ocorrer um desastre fsico ou ambiental no local principal. Voc pode tambm considerar o uso da replicao do Sistema de Arquivos Distribudo (DFS) para habilitar o backup em outro local. Se houver filiais, opte por fazer todos os backups regulares baseados em arquivos da matriz, replicando o contedo para a matriz e, em seguida, fazendo o backup. Pessoal Voc deve tambm analisar quem executar as tarefas de backup. Isso inclui tarefas fsicas, como carregar ou mudar as bibliotecas de fitas, e tarefas do sistema, como executar backups ou alterar agendamentos de backup.
Pergunta: O departamento de tecnologia da informao (TI) atende s exigncias dos contratos de nvel de servio (SLAs)? Pergunta: Voc faz backup de quaisquer dados pela rede?
15-19
Pontos principais
As consideraes sobre segurana dos backups de dados so uma parte importante da estratgia de segurana geral. A segurana fsica importante principalmente para as mdias de armazenamento de backup, no local e fora do local. Pergunta: Quem tem acesso s mdias de backup atualmente na organizao?
15-20
Pontos principais
Ao planejar quem executar as principais tarefas de backup e de restaurao na organizao, analise se as funes de backup e restaurao devero ser separadas para fins de segurana. O treinamento tambm importante para os indivduos compreenderem o efeito do backup e da restaurao nos dados e sistemas relacionados. Pergunta: Quem executa as tarefas de backup e de restaurao na organizao? Pergunta: As funes de backup e restaurao so separadas na organizao?
15-21
Lio 3
Esta lio descrever os requisitos de uma diretiva de restaurao no Windows Server 2008. A diretiva de restaurao no dever ser um documento esttico que voc escreve e arquiva. necessrio atualizar regularmente a diretiva de restaurao de servidor, examinando os resultados das operaes de restaurao experimentais e reais.
15-22
Pontos principais
A falha total do servidor pode exigir a recuperao de dados de fora do local. Voc deve determinar se um nico arquivo ou os dados do aplicativo requerem restaurao. Leve em considerao o possvel impacto que uma restaurao com falha poder acarretar na organizao. Pergunta: Quem determina os procedimentos de restaurao durante os incidentes de perda de dados e de servidor na organizao? Pergunta: Que processo voc segue para garantir que somente sejam restaurados dados vlidos e que nenhum dado seja perdido durante o processo de restaurao?
15-23
Pontos principais
Fazer uma breve anlise do impacto nos negcios antes de restaurar os dados, para determinar o possvel nmero de usurios afetados por essa restaurao. Considerar o efeito nos contratos de nvel de servio (SLAs) que a restaurao de dados causar. Pergunta: Como voc pode aperfeioar o processo de gerenciamento de alteraes para restaurar dados na organizao?
15-24
Pontos principais
Voc deve se empenhar continuamente em aperfeioar o plano de backup depois de identificar as reas de aperfeioamento das restauraes malsucedidas. Voc deve examinar regularmente a diretiva de backup executando uma restaurao de dados experimental. Pergunta: Que aperfeioamentos voc pode fazer nos planos de backup? Pergunta: Que aperfeioamentos voc pode fazer nos planos de recuperao de desastre?
15-25
Pontos principais
A restaurao de dados pode exigir alteraes de emergncia para atender os SLAs. Voc pode autorizar os usurios a recuperar seus prprios dados usando verses anteriores. O Servio de Cpias de Sombra de Volume (VSS) captura e copia imagens estveis para backup nos sistemas em execuo, especialmente servidores, sem piorar indevidamente o desempenho e a estabilidade dos servios que eles fornecem. Pergunta: Como voc assegura que os dados restaurados no vo substituir os dados mais recentes na organizao?
15-26
Logs de restaurao
Pontos principais
Voc deve examinar os arquivos de log de backup aps cada backup. Alguns backups falharo; assegure que os backups sejam concludos e possam ser usados na restaurao. Depois de restaurar os dados, verifique se a restaurao de todos os arquivos foi bem-sucedida, examinando os arquivos de log associados. Pergunta: Com que freqncia os logs de backup so examinados e as restauraes experimentais so feitas para assegurar que os backups funcionaram conforme o esperado na organizao?
15-27
Opes de restaurao
Pontos principais
Voc deve verificar se o acesso aos dados restaurados est disponvel somente para usurios autorizados. Avalie se os dados sero restaurados em um local alternativo ou se os arquivos existentes sero substitudos. Pergunta: Qual o processo usado na organizao para verificar o acesso aos dados restaurados?
15-28
Anlise de segurana
Pontos principais
Voc deve usar o grupo interno Operadores de Backup para permitir que os usurios faam backup e restaurem arquivos e pastas. Se os usurios necessitarem apenas do direito de fazer backup de arquivos, no os coloque no grupo Operadores de Backup, porque isso concederia a eles direitos adicionais de restaurar arquivos. Pergunta: Quem pode restaurar arquivos na organizao? Pergunta: Voc precisa examinar a associao dos grupos Administradores e Operadores de Backup?
15-29
Pontos principais
Voc deve examinar, aperfeioar e atualizar todas as diretivas e prticas de trabalho para assegurar a continuidade do atendimento aos requisitos dos negcios. Aumente a freqncia de backups para permitir acesso s alteraes recentes nos documentos para os usurios. O Windows Server 2008 simplifica o agendamento de tarefas de backup usando o VSS. Esse backup aperfeioado permite que os usurios restaurem arquivos sem recorrer assistncia da equipe de TI. Pergunta: Com que freqncia voc atualiza a diretiva de backup e de restaurao na organizao? Pode identificar as reas das atuais diretivas que precisam ser atualizadas?
15-30
Lio 4
Para proteger os dados, criptografe-os, para que somente os proprietrios dos dados possam acessar os arquivos. Isso pode gerar dificuldades na restaurao dos dados, porque as chaves de criptografia do usurio so armazenadas separadamente em arquivos. Como no h nenhum meio de recuperar dados criptografados com um certificado corrompido ou ausente, imprescindvel fazer backup dos certificados que incluam chaves de criptografia e armazen-los em um local seguro. Voc pode tambm especificar um agente de recuperao. Esse agente pode restaurar os dados. O certificado do agente de recuperao serve para uma finalidade diferente do certificado do usurio. Esta lio descrever os requisitos para a restaurao de dados criptografados usando o Sistema de Arquivos com Criptografia (EFS) no Windows Server 2008. Est alm do escopo deste curso o detalhamento da recuperao das chaves de criptografia de arquivo.
15-31
Pontos principais
Voc deve assegurar que possvel recuperar chaves de criptografia e dados como parte da sua estratgia de recuperao. Ao restaurar dados, certifique-se de comparar o arquivo restaurado com a mesma chave usada para criptografar o arquivo. Voc deve ter um procedimento documentado e testado para restaurar chaves de criptografia de usurio. Pergunta: Que etapas voc deve concluir para assegurar que possvel recuperar chaves e dados EFS?
15-32
Pontos principais
H vrias configuraes e opes de recuperao para o EFS. Voc pode recuperar chaves do Active Directory, backups, ou recuperar os dados usando agentes de recuperao de dados. Considere tambm que se uma organizao no centraliza o armazenamento de chaves no Active Directory, existe a possibilidade de as chaves de recuperao serem armazenadas em vrios servidores e estaes de trabalho em toda a organizao. Com um agente de recuperao, voc pode assegurar que possvel recuperar os dados em caso de perda das chaves de criptografia de usurio originais. No ambiente seguro, em que somente o usurio que criptografa um arquivo pode descriptograf-lo, as opes de recuperao de arquivos e de chaves de criptografia podero ser limitadas a somente o usurio que proprietrio do arquivo, se as chaves do agente de recuperao de dados (DRA) forem intencionalmente excludas. Isso torna o arquivo mais seguro, limitando o acesso somente ao usurio que o criptografa, no entanto, o problema que esse arquivo s poder ser recuperado usando a chave de criptografia original.
15-33
Voc pode usar as configuraes da Diretiva de Grupo para configurar o EFS na organizao. Avalie a possibilidade de usar cartes inteligentes e armazenar as chaves nesses cartes, como parte da sua estratgia de EFS. Pergunta: Que documentao de planejamento existe na organizao para o EFS? Voc pode assegurar que essa documentao est atualizada e modificada?
15-34
Aps a concluso dessas etapas, a autoridade de certificao corporativa do Windows Server 2008 estar configurada para emitir certificados digitais.
15-35
Modelos de certificado
O Sistema de Arquivos com Criptografia (EFS) um recurso do Windows 2008 que permite que os usurios criptografem os dados diretamente nos volumes que usam o sistema de arquivos NTFS. Ele opera usando certificados baseados no padro X.509. Se no houver nenhuma Autoridade de Certificao (CA) para a qual solicitar certificados, o subsistema EFS gerar automaticamente seus prprios certificados auto-assinados para os usurios e agentes de recuperao padro. H vrias circunstncias em que uma organizao pode implementar Autoridades de Certificao, em vez de permitir que o EFS gere seus prprios certificados autoassinados.
A inscrio automtica de certificado tem como base a combinao das configuraes da Diretiva de Grupo e dos modelos de certificado de verso 2. Essa combinao permite que os clientes do Microsoft Windows XP Professional, Windows Vista ou Windows Server 2008 inscrevam os usurios ao fazerem logon no domnio, ou uma mquina, ao ser inicializada, e os mantm periodicamente atualizados entre esses eventos. A inscrio automtica de certificados de usurio fornece um meio rpido e simples de emitir certificados para os usurios e de habilitar aplicativos da infraestrutura de chave pblica (PKI), por exemplo, logon em carto inteligente, Sistema de Arquivos com Criptografia (EFS), Secure Sockets Layer (SSL), Secure/Multipurpose Internet Mail Extensions (S/MIME) e outros, em um ambiente de servio de diretrio do Active Directory. A inscrio automtica do usurio minimiza o alto custo de implantaes normais de PKI e reduz o custo total de propriedade (TCO) de uma implementao de PKI, quando os clientes do Windows XP Professional ou do Windows Vista so configurados para usar o Active Directory. Pergunta: Quem na sua organizao est encarregado de criar e configurar a autoridade de certificao?
15-36
Pontos principais
Para indicar um usurio como um agente de recuperao adicional usando o Assistente para adicionar agente de recuperao, clique em Adicionar Agente de Recuperao de Dados. Para permitir que o EFS funcione sem agentes de recuperao, aponte para Todas as Tarefas e clique em No exigir agentes de recuperao de dados. Para excluir essa diretiva de EFS e todos os agentes de recuperao, aponte para Todas as Tarefas e clique em Excluir diretiva. Se voc selecionar essa opo, os usurios ainda podero criptografar arquivos nesse computador. Observe que essa opo no ser exibida, a menos que haja uma diretiva de EFS no computador.
Importante: Antes de alterar a diretiva de recuperao de algum modo, necessrio primeiro fazer backup das chaves de recuperao em um disquete.
15-37
Anotaes
Para executar este procedimento, voc deve ser membro do grupo Administradores no computador local ou ter recebido a autoridade apropriada. Se o computador estiver em um domnio, os membros do grupo Admins. do Domnio podero executar este procedimento. Como prtica recomendada de segurana, considere o uso do comando Executar como para executar este procedimento. No h nenhum agente de recuperao padro em um computador autnomo. Um certificado de recuperao de arquivo pode ser criado executando cipher.exe /r, e a opo Adicionar Agente de Recuperao de Dados poder ser usada para importar esse certificado para a diretiva de EFS. Para obter mais informaes sobre cipher.exe, consulte Tpicos relacionados. Para fazer alteraes no certificado de Recuperao de Arquivo, clique com o boto direito do mouse no certificado e, em seguida, clique em Propriedades. Por exemplo, voc pode atribuir ao certificado um nome amigvel e inserir uma descrio de texto.
15-38
Observao: altamente recomendvel marcar a caixa de seleo Ativar proteo de alta segurana (requer IE 5.0, NT 4.0 SP4 ou superior) para proteger a chave privada contra o acesso no autorizado. Observao: recomendvel fazer backup do arquivo em um disco ou em um dispositivo de mdia removvel e armazenar o backup em um local onde voc possa confirmar sua segurana fsica.
Pergunta: Cite pelo menos um exemplo de como sua organizao pode usar o Agente de Recuperao para acessar arquivos EFS durante uma situao de recuperao de desastre.
15-39
Pontos principais
Recuperao de dados Prticas recomendadas Em geral, a prtica recomendada para as organizaes acompanharem a recuperao de dados implantar uma infra-estrutura de chave pblica (PKI) para emitir certificados aos usurios e agentes de recuperao de dados, que so emitidos por uma autoridade de certificao (CA). A Autoridade de Certificao Corporativa da Microsoft permite que os usurios obtenham facilmente os certificados para uso do EFS.
15-40
As outras prticas recomendadas incluem: Usar mais de um DRA por domnio e armazenar as chaves privadas reais dos DRAs em uma mdia (disquete, CD-ROM etc.) que possa ser protegida e recuperada somente quando forem seguidas as diretivas e prticas de segurana apropriadas. Os DRAs podem ser definidos no site, domnio ou UO, como qualquer outra Diretiva de Grupo, e podem ser combinados como uma diretiva agregada com base na organizao do Active Directory. Pergunta: Quem na sua organizao tem privilgios de DRA adequados para abrir arquivos criptografados do EFS?
15-41
Lio 5
Pontos principais
Algumas vezes, pode surgir um problema que impea o Windows de iniciar corretamente. Esta lio descrever as causas comuns dos problemas de inicializao, examinar o processo de inicializao que pode ser afetado e explorar diversas tcnicas de soluo de problemas que podem ser usadas, dependendo do momento em que ocorre a falha.
15-42
Pontos principais
O diagnstico e a correo de problemas de hardware e software que afetam o processo de inicializao requerem ferramentas e tcnicas diferentes da soluo dos problemas que ocorrem depois que o sistema iniciado, porque a pessoa que est solucionando o problema de inicializao no tem acesso ao conjunto completo de ferramentas de soluo de problemas do Microsoft Windows Server 2008. A soluo de problemas de inicializao requer um claro conhecimento do processo de inicializao e dos componentes bsicos do sistema operacional, assim como das ferramentas usadas para isolar e resolver problemas. A falha de inicializao pode resultar de vrios problemas, como erro do usurio, problemas de driver, falhas de aplicativo, falhas de hardware, corrupo de disco ou arquivo, configurao incorreta do sistema ou atividade de vrus. Se a condio for muito sria, poder ser necessrio reinstalar o Windows. Pergunta: Voc se lembra de situaes em que precisou solucionar um problema de inicializao do Windows? Em caso afirmativo, o que fez para solucion-lo?
15-43
Pontos principais
A seqncia de inicializao acima se aplica aos sistemas iniciados ou reiniciados aps um desligamento normal. A fase de deteco e configurao de hardware detecta e configura somente o hardware necessrio para iniciar a fase de carregamento de kernel, incluindo barramentos do sistema, discos rgidos, dispositivos de entrada e portas paralelas. Os dispositivos de hardware restantes so configurados durante a fase de carregamento de kernel. Pergunta: Durante a inicializao, em qual dessas fases a memria do sistema foi verificada?
15-44
Pontos principais
Preparar-se para uma falha de servidor significa ficar apto a recuperar o servidor rapidamente em caso de desastre. Em um computador que executa o Windows Server 2008, voc usar os seguintes recursos para executar tarefas de recuperao: Assistente de Recuperao. Este assistente ajuda a recuperar arquivos, pastas, aplicativos e volumes. Assistente de Recuperao de Catlogo. Este assistente ajuda a recuperar o catlogo de backup. Ele s ficar disponvel se o seu catlogo de backup ficar corrompido. Um disco de instalao do Windows e um backup criado com o Backup do Windows Server. Este mtodo ajuda a recuperar o sistema operacional ou o servidor completo. Voc pode tambm executar recuperaes usando os comandos Wbadmin start recovery, Wbadmin start systemstaterecovery e Wbadmin restore catalog.
15-45
Uma medida preventiva adicional dever ser tomada para garantir a integridade e a disponibilidade do servidor, incluindo: Proteger o sistema operacional com Atualizaes do Windows atuais e assinaturas de antivrus Seguir as recomendaes do fornecedor para a manuteno do hardware Familiarizar-se com as opes avanadas de inicializao (F8 na inicializao): Modo de segurana ltima Configurao Vlida Log de Inicializao
15-46
Pontos principais
Esse fluxograma mostra como solucionar problemas de inicializao que ocorrem antes da exibio do logotipo do Windows Server 2008. Nas verses anteriores do Windows, um arquivo chamado boot.ini continha informaes sobre os sistemas operacionais Windows instalados no computador. Essas informaes eram exibidas durante o processo de inicializao quando o computador era ligado. Isso era muito til nas configurao de inicializao mltipla ou para usurios avanados ou administradores que precisavam personalizar a inicializao do Windows. No Windows Server 2008, o arquivo boot.ini foi substitudo pelo BCD (Dados de Configurao da Inicializao). Esse arquivo mais verstil que o boot.ini e pode se aplicar a plataformas do computador que usam meios que no sejam o sistema BIOS para iniciar o computador. Pergunta: Com base nesse fluxograma, quais so as causas mais comuns de falhas de inicializao do Windows antes da exibio do logotipo na sua opinio?
15-47
Pontos principais
Se o computador exibir o logotipo grfico do Windows Server 2008 antes da falha, use o processo ilustrado aqui para identificar e desabilitar o componente do software que falhou para que o Windows possa ser iniciado com xito. Quando o Windows for iniciado, voc poder fazer mais verificaes para solucionar o problema do componente, se necessrio. Se o problema de inicializao ocorrer logo aps a atualizao ou instalao de um aplicativo de inicializao, tente solucionar o problema desse aplicativo. Na soluo de problemas, o mtodo de determinao dos servios e processos que sero desabilitados temporariamente varia de um computador para outro. A forma mais confivel de determinar o que poder ser desabilitado reunir mais informaes sobre os servios e processos habilitados no computador.
15-48
O Windows Server 2008 inclui vrias ferramentas e recursos para gerar vrios logs que podem fornecer informaes valiosas sobre soluo de problemas: Visualizar Eventos Sc.exe Informaes do Sistema Servio de Relatrios de Erro Logs de inicializao (descritos anteriormente)
Pergunta: Com base nesse fluxograma, quais so as causas mais comuns de falhas de inicializao do Windows aps a exibio do logotipo na sua opinio?
15-49
Pontos principais
Se o computador falhar logo depois que o usurio fizer logon, use o processo mostrado aqui para identificar e desabilitar o aplicativo de inicializao com falha para que o logon seja bem-sucedido. Se o problema ocorrer logo aps a atualizao ou instalao de um aplicativo, tente desinstalar esse aplicativo. Se ocorrer um problema aps a instalao de um novo software, desabilite temporariamente ou desinstale o aplicativo para verificar se esse aplicativo a origem do problema. Os problemas nos aplicativos que ocorrem na inicializao podem gerar atrasos de logon ou at impedir a concluso da inicializao do Windows no modo Normal. As sees que seguem fornecem tcnicas para desabilitar temporariamente os aplicativos de inicializao.
15-50
15-51
Pontos principais
Embora a maioria dos problemas relacionados ao hardware no impea o Windows Server 2008 de ser iniciado com xito, esses problemas podem ocorrer antes de o logotipo ser exibido normalmente no processo de inicializao, e os sintomas incluem mensagens de aviso, falhas de inicializao e mensagens de parada. Geralmente, as causas so: configurao incorreta de dispositivo, configuraes incorretas de driver ou funcionamento incorreto ou falha de hardware. Voc pode tambm seguir as sugestes contidas no CD complementar para solucionar problemas de hardware no relacionados diretamente inicializao. Pergunta: Se voc suspeitasse de um problema de hardware, quais seriam os primeiros itens a serem verificados?
15-52
15-53
Recursos Humanos. Este compartilhamento retm dados altamente confidenciais do departamento de recursos humanos. Alguns desses dados esto criptografados usando o EFS. Biblioteca Tcnica. Este compartilhamento retm informaes tcnicas, como white papers e documentos de orientao, do departamento de TI. O departamento de TI raramente atualiza essas informaes. Projetos. Este compartilhamento retm documentos relacionados a quaisquer projetos em andamento no escritrio de Nova York e muda com freqncia.
Alm dos servidores de arquivos, voc tem a responsabilidade de garantir que quatro servidores Web na Intranet e dois controladores de domnio tenham os dados ou o servidor restaurados em caso de desastre. As pginas da Web nos sites da Web na Intranet no mudam com freqncia. Atualmente, h um backup semanal agendado para os volumes que contm os compartilhamentos dos servidores de arquivos e dos volumes que contm o contedo da pgina da Web nos servidores Web. Neste exerccio, voc dever examinar o plano de backup existente em relao aos requisitos especificados pela equipe de gerenciamento do Woodgrove Bank. As principais tarefas deste exerccio so: 1. 2. Examinar o plano de backup existente. Propor alteraes no plano de backup.
2. 3. 4. 5.
15-54
2.
3.
2.
Como voc atenderia ao requisito de restaurar os servidores e com que freqncia voc faria o backup dos servidores?
Resultados: Aps este exerccio, voc ter examinado o plano de backup existente e ter proposto alteraes para ele.
15-55
2.
15-56
15-57
15-58
Use o Gerenciamento de disco para criar um volume simples de tamanho mximo no Disco 2. Use uma formatao rpida.
15-59
2.
15-60
15-61
As principais tarefas deste exerccio so: 1. 2. 3. Avaliar a restaurao de arquivo. Restaurar arquivos EFS. Avaliar a restaurao de servidor.
2. 3. 4. 5. 6.
15-62
15-63
2. 3.
Que anlise adicional voc deve fazer para a execuo de uma restaurao experimental dos dados de RH em NYC-FS1? Com que tipos de dados de backup voc dever realizar uma restaurao experimental?
Resultados: Aps este exerccio, voc ter planejado operaes de restaurao experimentais.
15-64
Resultados: Aps este exerccio, voc ter investigado uma restaurao com falha e ter alterado a diretiva de backup.
15-65
15-66
15-67
Perguntas de reviso
1. 2. 3. 4. 5. O que voc deve levar em considerao para a diretiva de restaurao de servidor? Que consideraes devem ser analisadas para a recuperao de dados criptografados? Que etapas devem ser concludas para verificar os dados restaurados? Como saber se os backups foram bem-sucedidos? Que providncias voc deve tomar para o armazenamento de backups?
15-68
15-69
Desenvolva uma soluo de arquivamento dos dados para permitir o armazenamento fora do local. Execute procedimentos regulares de restaurao experimental para testar a estratgia de restaurao.
15-70
Ferramentas
Ferramenta Console de Backup do Windows Server Use para Onde encontr-la No menu Ferramentas administrativas, depois de instalar o recurso de Backup.
Wbadmin.exe
http://go.microsoft.com/fwlink/ ?LinkId=121141
15-71
Avaliao do curso
Sua avaliao deste curso ajudar a Microsoft a entender a qualidade da sua experincia de aprendizagem. Solicite ao seu instrutor o acesso ao formulrio de avaliao do curso. A Microsoft manter em sigilo suas respostas a esta pesquisa e usar suas respostas para melhorar sua experincia de aprendizagem futura. Seus comentrios abertos e honestos so valiosos e bem-vindos.
L1-1
L1-2
7. 8. 9.
Na pgina Confirmao, clique em Instalar. Aguarde a instalao da funo ser concluda. Na pgina Resultados, clique em Fechar.
Observao: observe que WOODGROVEBANK\Domain Admins membro desse grupo porque esse servidor est associado ao domnio.
8.
L1-3
4.
Tarefa 2: Conceder a Jerry Orman o acesso rea de Trabalho Remota para Administrao em NYC-SVR1
1. 2. 3. 4. 5. Na caixa de dilogo Propriedades do Sistema, clique em Selecionar Usurios. Na caixa de dilogo Usurios da rea de Trabalho Remota, clique em Adicionar, digite Jerry Orman, clique em Verificar Nomes e em OK. Clique em OK para fechar a caixa de dilogo Usurios da rea de Trabalho Remota. Clique em OK para fechar a caixa de dilogo Propriedades do Sistema. Feche a janela Sistema.
L1-4
4. 5.
Na lista Nvel de criptografia, clique em Alto. Verifique se a opo Permitir conexes somente de computadores que estejam executando a rea de Trabalho Remota com Autenticao no Nvel da Rede est selecionada. Clique em OK para salvar as alteraes. Feche a Configurao dos Servios de Terminal.
6. 7.
Tarefa 4: Dar direitos a Jerry Orman para executar o Monitor de Desempenho e Confiana
1. 2. 3. 4. 5. 6. Em NYC-SVR1, clique em Iniciar e em Gerenciador de Servidores. No painel do console, expanda Configurao, Usurios e Grupos Locais e clique em Grupos. Clique duas vezes em Usurios de Log de Desempenho. Na janela Propriedades de Usurios de Log de Desempenho, clique em Adicionar, digite Jerry Orman, clique em Verificar Nomes e em OK. Clique em OK para fechar a janela Propriedades de Usurios de Log de Desempenho. Feche o Gerenciador de Servidores.
L1-5
5.
Na janela Conexo de rea de Trabalho Remota, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Monitor de Desempenho e Confiana.
Observao: observe que no h dados na tela Viso Geral do Recurso porque Jerry Orman no um administrador local.
6. 7.
No painel do console, clique em Monitor de Desempenho. Observe que Jerry Orman pode usar o utilitrio Desempenho do Sistema para exibir as estatsticas do servidor. Por padro, % tempo de processador aparece na lista. Feche Monitor de Desempenho e Confiana. Faa logoff em NYC-SVR1 na rea de Trabalho Remota.
8. 9.
L2-7
d. Nome de logon do usurio: Cssio 4. 5. Clique em Avanar. Nos campos Senha e Confirmar senha, digite Pa$$w0rd.
L2-8
6. 7. 8. 9.
Verifique se a caixa de seleo O usurio deve alterar a senha no prximo logon est marcada. Clique em Avanar e depois em Concluir. Em NYC-CL1, teste a conta de usurio que voc acabou de criar fazendo logon em NYC-CL1 como WOODGROVEBANK\Cssio com a senha Pa$$w0rd. Quando solicitado, clique em OK, digite Pa$$w0rd1 como nova senha, digite Pa$$w0rd1 no campo Confirmar senha, clique no boto de seta para direita e, em seguida, clique em OK.
2.
iii. Email: Cassio@WoodgroveBank.com b. c. Na guia Discagem, em Permisso de Acesso Rede, clique em Permitir acesso. Na guia Conta, clique em Horrio de Logon. Configure o horrio de logon para ter permisso de segunda sexta-feira entre 8:00 e 17:00, e clique em OK.
d. Na guia Membro de, clique em Adicionar. e. Na caixa de dilogo Selecionar Grupos, digite ITAdmins_WoodgroveGG e clique em OK duas vezes.
L2-9
Representante do Servio de Atendimento ao Consumidor Sede em Nova York NYC_CustomerServiceGG Servio de Atendimento 6h s 18h, de segunda a sexta-feira
L2-10
Tarefa 5: Criar uma nova conta de usurio com base no modelo do atendimento ao cliente
1. 2. Clique com o boto direito do mouse no usurio Modelo de Atendimento ao Cliente e clique em Copiar. Na caixa de dilogo Copiar Objeto Usurio, digite as seguintes informaes: a. b. c. 3. 4. 5. 6. 7. Nome: Alexandre Sobrenome: Lobo Nome de Logon do Usurio: Alexandre
Clique em Avanar. Nos campos Senha e Confirmar Senha, digite Pa$$w0rd e clique em OK. Clique em Avanar e depois em Concluir. Clique com o boto direito do mouse em Alexandre Lobo e, em seguida, clique em Habilitar Conta. Clique em OK. Clique duas vezes em Alexandre Lobo e verifique se a associao de grupo e os horrios de logon esto corretos. Revise as configuraes nas guias Geral e Organizao. Pergunta: Que valores no foram transferidos do modelo? Resposta: Os atributos Descrio e Escritrio.
Tarefa 6: Modificar as propriedades da conta de usurio para todos os representantes do atendimento ao cliente em Nova York
1. 2. 3. Selecione o primeiro usurio no painel de detalhes, mantenha pressionada a tecla SHIFT e clique no ltimo usurio no painel de detalhes. Mantenha pressionada a tecla CTRL e clique em NYC_CustomerServiceGG. Clique com o boto direito do mouse nas contas de usurio realadas e clique em Propriedades.
L2-11
4.
Na guia Geral, marque as caixas de seleo apropriadas e digite as seguintes informaes: a. b. Descrio: Customer Service Representative Escritrio: New York Main Office
5. 6.
Na guia Organizao, marque a caixa de seleo Departamento, digite Customer Service e clique em OK. Clique duas vezes em Jerry Orman e verifique se os atributos Descrio, Escritrio e Departamento foram atualizados. Clique em OK.
2. 3. 4. 5. 6.
7. 8.
L2-12
Tarefa 8: Criar uma consulta salva para localizar todos os usurios de investimentos
1. Em Usurios e Computadores do Active Directory, clique com o boto direito do mouse na pasta Consultas Salvas, aponte para Novo e, em seguida, clique em Consulta. Na caixa de dilogo Nova Consulta, no campo Nome, digite Find Investment Users. Clique em Definir Consulta. Na lista Localizar, clique em Usurios, Contatos e Grupos. Clique na guia Avanada. Clique em Campo, aponte para Usurio e clique em Departamento. Na lista Condio, verifique se Inicia com est selecionado e, no campo Valor, digite Investiments. Clique em Adicionar e, em seguida, clique em OK duas vezes. Em Consultas Salvas, clique em Find Investment Users.
2. 3. 4. 5. 6. 7. 8. 9.
10. A consulta deve exibir todos os usurios dos departamentos de investimentos de cada cidade.
Resultados: depois de concluir este exerccio, voc ter criado e configurado as contas de usurio; criado um modelo e uma conta de usurio com base no modelo; e criado uma consulta salva e verificado sua capacidade de retornar os resultados de pesquisa esperados.
L2-13
2. 3. 4.
L2-14
10. Clique em Reiniciar Agora. 11. Depois que o computador for reiniciado, faa logon como LocalAdmin com a senha Pa$$w0rd. 12. Clique em Iniciar, clique com o boto direito do mouse em Computador e, em seguida, clique em Propriedades. 13. No painel de controle Sistema, clique em Alterar configuraes. 14. Na caixa de dilogo Controle de Conta de Usurio, clique em Continuar. 15. Na guia Nome do Computador, clique em Alterar. 16. Na caixa de dilogo Alteraes de Nome/Domnio do Computador, em Membro de, clique em Domnio e digite WoodgroveBank.com. Clique em OK. 17. Na caixa de dilogo Segurana do Windows, no campo Nome do usurio, digite Administrator e, no campo Senha, digite Pa$$w0rd.
L2-15
18. Clique em OK duas vezes. 19. Na caixa de dilogo Alteraes de Nome/Domnio do Computador, clique em OK duas vezes e, em seguida, clique em Fechar. 20. Clique em Reiniciar Agora. 21. Em NYC-DC1, em Usurios e Computadores do Active Directory, clique em Computadores ou pressione F5 para atualizar o modo de exibio. Verifique se a conta NYC-CL3 foi adicionada ao objeto continer. 22. Depois que NYC-CL3 for reiniciado, verifique se voc consegue fazer logon como WoodgroveBank\Jerry com a senha Pa$$w0rd.
Resultados: depois de concluir este exerccio, voc ter criado e configurado contas de computador, excludo uma conta de computador e ingressado um computador em um domnio do AD DS.
L2-16
3. 4. 5. 6. 7. 8. 9.
10. Abra Usurios e Computadores do Active Directory e navegue at a UO Houston. Verifique se cinco UOs filho foram criadas e se vrias contas de usurio foram criadas em cada UO.
Tarefa 2: Modificar e executar o script ActivateUser.vbs para habilitar as contas de usurio importadas e atribuir uma senha a cada conta
1. 2. Em NYC-DC1, em E:\Mod02\Labfiles, clique com o boto direito do mouse em Activateusers.vbs e, em seguida, clique em Editar. Modifique o valor do continer na segunda linha de modo que exiba OU=BranchManagers,OU=Houston,DC=WoodgroveBank,DC=com.
L2-17
3.
Modifique os valores do continer nas linhas adicionais no final do script para incluir as seguintes UOs: OU=ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com OU=Investments,OU=Houston,DC=WoodgroveBank,DC=com OU=Executives,OU=Houston,DC=WoodgroveBank,DC=com OU=CustomerService,OU=Houston,DC=WoodgroveBank,DC=com
4. 5. 6. 7. 8.
No menu Arquivo, clique em Salvar como e digite C:\activateusers.vbs. Na caixa Salvar como tipo, clique em Todos os Arquivos (*.*). Clique em Salvar para salvar o arquivo. Feche o Bloco de Notas. No Prompt de Comando, digite Cscript C:\Activateusers.vbs e pressione ENTER. Em Usurios e Computadores do Active Directory, navegue at a UO Houston. Verifique se as contas de usurio em todas as UOs filho foram habilitadas.
Tarefa 3: Modificar o arquivo Modifyusers.ldf para se preparar para alterar as propriedades de um grupo de usurios no AD DS
1. Em NYC-DC1, no prompt de comando, digite LDIFDE f c:\Modifyusers.ldf d "OU=Houston,DC=WoodgroveBank,DC =com" r "objectClass=user" l physicalDeliveryOfficeName e pressione ENTER. Esse comando exportar todas as contas de usurio de Houston e das UOs filho. Como o atributo Escritrio est em branco para cada objeto, ele no ser exportado. 2. 3. Digite Notepad C:\Modifyusers.ldf e pressione ENTER. No menu Editar, clique em Substituir.
L2-18
4. 5. 6.
No campo Localizar, digite changetype: add, no campo Substituir por, digite changetype: modify e clique em Substituir Tudo. Clique em Cancelar. Abaixo de cada linha changetype, adicione as seguintes linhas: replace: physicalDeliveryOfficeName physicalDeliveryOfficeName: Houston No final da entrada de cada usurio, adicione um trao () seguido de uma linha em branco. Quando voc terminar, a entrada de cada usurio dever ser similar seguinte:
dn: CN=Dieter Massalsky,OU=ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com changetype: modify replace: physicalDeliveryOfficeName physicalDeliveryOfficeName: Houston -
7. 8.
9.
10. No prompt de comando, digite LDIFDEI f c:\Modifyusers.ldf e pressione ENTER. 11. Em Usurios e Computadores do Active Directory, na UO ITAdmins abaixo da UO Houston, clique duas vezes em Dieter Massalsky. 12. Verifique se o atributo Escritrio das contas de usurio de Houston foi atualizado com o local Houston.
3. 4.
L2-19
5. 6. 7. 8.
Digite Set-ExecutionPolicy AllSigned e pressione ENTER. Digite E:\Mod02\Labfiles\CreateUser.ps1 e pressione ENTER. Quando o prompt aparecer, pressione R e, em seguida, pressione ENTER. Em Usurios e Computadores do Active Directory, na UO ITAdmins, verifique se o usurio Jesper foi criado.
L3-21
Clique em OK.
L3-22
5.
Repita as duas etapas anteriores para criar mais dois grupos com escopo e tipo iguais: VAN_CustomerServiceGG VAN_InvestmentsGG
3.
L3-23
4. 5.
Na caixa de dilogo Selecionar Grupos, digite VAN_BranchManagersGG e clique em OK duas vezes. Repita as trs etapas anteriores, adicionando os usurios encontrados na tabela a seguir aos seus grupos correspondentes:
Localizar Jinghao Liu Marcus Loh Lane Sacksteder Jeremy Los Randall Boseman Roland Wacker Rob Young Todd Rowe Adicionar a um grupo VAN_BranchManagersGG VAN_CustomerServiceGG VAN_CustomerServiceGG VAN_InvestmentsGG VAN_InvestmentsGG VAN_MarketingGG VAN_MarketingGG VAN_MarketingGG
2. 3.
L3-24
Cenrio
Uma nova subsidiria do Woodgrove Bank est localizada em Vancouver, no Canad. Ela ter os seguintes departamentos: Gerenciamento Servio de atendimento ao consumidor Marketing Investmentos
A hierarquia de UOs (unidades organizacionais) precisa oferecer suporte delegao de tarefas administrativas para usurios dentro dessa unidade organizacional.
Perguntas da discusso:
1. Provavelmente, que abordagem para estender a hierarquia organizacional de WoodgroveBank.com ser aplicada na criao dos recursos da nova subsidiria: geogrfica, organizacional ou funcional? Por qu? Resposta: A abordagem Geogrfica para nomear as UOs de nvel superior (aquelas que j existem na hierarquia de domnios) deve ser estendida para manter essa lgica. A nomenclatura geogrfica da organizao permanente, permite a expanso futura e seu nome identifica facilmente sua funcionalidade. 2. Qual seria a maneira mais lgica de subdividir a unidade organizacional da subsidiria: geogrfica, organizacional ou funcional? Resposta: Quatro novas UOs da UO Vancouver baseadas nos departamentos das organizaes ofereceriam um suporte melhor s operaes da nova subsidiria. As organizaes podem usar essas UOs para tratar os agrupamentos de recursos de usurio e de computador, e de outros recursos do AD DS, de acordo com suas similaridades. Essa medida tambm atende necessidade de delegao de funes administrativas a esses recursos, j que algum em cada grupo ser capaz de atender maior parte das necessidades em tempo hbil.
L3-25
3.
O que o padro de nomenclatura de UOs de segundo nvel em outros centros sugere para a nova UO Vancouver? Resposta: A conveno de nomenclatura aplicada de modo consistente s UOs de nvel superior no AD DS reconhece as divises geogrficas da empresa. As UOs de segundo nvel em cada local correspondem s divises organizacionais desses locais. Portanto, a nova subsidiria deve nomear suas UOs de segundo nvel como: Managers, Customer Support, Marketing e Investment.
4.
Qual seria uma forma simples, mas eficaz, de delegar tarefas administrativas (por exemplo, adicionar usurios e computadores ao domnio e alterar propriedades do usurio, como redefinies de senha e detalhes de contato de funcionrios) a determinados usurios dentro de um departamento? Resposta: Voc pode usar o Assistente para Delegao de Controle para delegar direitos administrativos no nvel da UO. Os usurios e os grupos podem ser adicionados lista de delegao. Alm disso, voc pode usar uma lista de direitos para personalizar os recursos administrativos.
Resultados: Depois de concluir este exerccio, voc ter discutido e determinado como planejar uma hierarquia de UOs.
L3-26
3. 4.
L3-27
L3-28
c.
Use o comando Mover para mover o grupo para a UO Vancouver apropriada: i. ii. iii. Clique com o boto direito do mouse no grupo e clique em Mover. Na caixa de dilogo Mover o objeto para o continer, expanda a UO Vancouver. Clique na UO subordinada apropriada e em OK.
1. 2. 3.
Clique com o boto direito do mouse no domnio WoodgroveBank e clique em Localizar. Na caixa de dilogo Localizar Usurios, Contatos e Grupos, digite Henrik e clique em Localizar Agora. No painel Resultados da pesquisa, clique com o boto direito do mouse em Henrik Larsen e clique em Mover.
L3-29
4. 5.
Na caixa de dilogo Mover, expanda Vancouver, clique em BranchManagers e em OK. Repita as trs etapas anteriores para cada nome da tabela e feche a caixa de dilogo Localizar Usurios, Contatos e Grupos.
Clique em Avanar. Na pgina Concluindo o Assistente para Delegao de Controle, clique em Concluir.
L3-30
4. 5.
Na rvore do console, clique com o boto direito do mouse em Recursos e clique em Adicionar Recursos. No Assistente para Adicionar Recursos, expanda Ferramentas de Administrao de Servidor Remoto, Ferramentas de Administrao de Funes e marque a caixa de seleo Ferramentas de Servios de Domnio Active Directory. Clique em Prximo e em Instalar. Quando a instalao for concluda, clique em Fechar e em Sim para reiniciar o computador. Faa logon em NYC-SVR1 como WOODGROVEBANK\Roland com a senha Pa$$w0rd. Clique em Iniciar, clique com o boto direito do mouse em Gerenciador de Servidores e clique em Executar como administrador.
6. 7. 8. 9.
10. Na caixa de dilogo Controle de Conta de Usurio, no campo Nome do usurio, digite Administrador e, no campo Senha, digite Pa$$w0rd e clique em OK. 11. Aguarde o trmino da instalao e clique em Fechar. 12. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Usurios e Computadores do Active Directory. 13. No painel do console, clique com o boto direito do mouse em WoodgroveBank.com e clique em Localizar. 14. Na caixa de dilogo Localizar Usurios, Contatos e Grupos, digite Rob e clique em Localizar Agora. 15. No painel Resultados da pesquisa, clique com o boto direito do mouse em Rob Young e clique em Redefinir Senha. 16. Na caixa de dilogo Redefinir Senha, nos campos Nova senha e Confirmar senha, digite Pa$$w0rd e clique em OK. 17. Na caixa de dilogo Servios de Domnio Active Directory, clique em OK.
Observao: esta mensagem indica que a conta de Roland Wacker tem autorizao para redefinir senha de seus colegas na UO Marketing.
L3-31
19. No painel do console, expanda WoodgroveBank.com, Miami e clique em BranchManagers. 20. No painel de detalhes, clique com o boto direito do mouse em Roya Asbari e clique em Mover. 21. Na caixa de dilogo Mover, expanda Vancouver. 22. Clique em Marketing e em OK. (negado)* 23. Na caixa de dilogo Servios de Domnio Active Directory, clique em OK.
*Observao: este aviso aparece porque o usurio Roland Wacker no tem controle delegado sobre a UO Miami.
L4-33
L4-34
3. 4.
L4-35
5.
Para atribuir propriedades de compartilhamento de arquivos para cada pasta criada na Tarefa 2, repita as quatro etapas anteriores usando os grupos listados: TOR_BranchManagersGG (pasta Managers) TOR_InvestmentsGG (pasta Investments) TOR_CustomerServiceGG (pasta CustomerService)
6.
Tarefa 4: Criar outra pasta compartilhada usando o MMC Gerenciamento de Compartilhamento e Armazenamento
1. 2. 3. 4. 5. 6. 7. 8. Clique em Iniciar, clique em Ferramentas Administrativas e em Gerenciamento de Compartilhamento e Armazenamento. No painel Aes, clique em Compartilhamento de Proviso. O Assistente para Proviso de uma Pasta Compartilhada ser iniciado. Clique em Procurar. Na caixa de dilogo Procurar Pasta, clique no local c$ e clique em Criar Nova Pasta. Digite CompanyNews, pressione ENTER e clique em OK. Aceite todos os valores padro clicando em Avanar at obter a pgina Examinar Configuraes e Criar Compartilhamento. Clique em Criar. Na pgina de confirmao, clique em Fechar. No painel de detalhes MMC Gerenciamento de Compartilhamento e Armazenamento, clique com o boto direito do mouse em CompanyNews e em Propriedades. Na caixa de dilogo Propriedades de CompanyNews, clique na guia Permisses.
9.
10. Clique em Permisses de compartilhamento. Na caixa de dilogo Permisses para CompanyNews, clique em Adicionar. 11. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, digite Usurios do domnio e clique em OK.
L4-36
12. Agora, na caixa de dilogo Permisses para CompanyNews, Usurios do domnio (Woodgrovebank\Domain Users) aparecero listados na janela Nomes de grupo ou de usurio. Quando voc clicar neles, no painel Permisses para Usurios do domnio, a opo de leitura estar definida como Permitir. 13. Repita as trs etapas anteriores para adicionar TOR_BranchManagersGG ao painel Nomes de grupo ou de usurio. 14. No painel Permisses para TOR_BranchManagersGG, ao lado de Controle Total, selecione Permitir. 15. Clique em Todos e em Remover. 16. Clique em Aplicar e em OK duas vezes. 17. Feche Gerenciamento de Compartilhamento e Armazenamento.
Tarefa 5: Criar um novo grupo e uma nova pasta compartilhada para um projeto interdepartamental
1. 2. 3. 4. 5. 6. Clique em Iniciar, clique em Ferramentas Administrativas e em Usurios e Computadores do Active Directory. No painel do console, expanda WoodgroveBank.com, clique com o boto direito do mouse na UO Toronto, aponte para Novo e clique em Grupo. Na caixa de dilogo Novo Objeto Grupo, no campo Nome do grupo, digite TOR_SpecialProjectGG e clique em OK. No painel do console, expanda a UO Toronto e clique na UO Marketing. No painel de detalhes, clique com o boto direito do mouse em Fadi Fakhouri e clique em Adicionar a um grupo. Na caixa de dilogo Selecionar Grupos, digite TOR_SpecialProjectGG e clique em OK duas vezes.
L4-37
7.
Adicione outros membros ao grupo TOR_SpecialProjectGG seguindo as etapas anteriores. Utilize os usurios listados na tabela a seguir:
Observar as UOs Toronto: Investimentos BranchManagers CustomerService Localizar Nomes: Aaron Con Sven Buck Helge Hoeing
8. 9.
Feche Usurios e Computadores do Active Directory. Clique em Iniciar, clique em Computador e clique duas vezes em Unidade local (C:).
10. No menu Arquivo, aponte para Novo e clique em Pasta. 11. Nomeie a pasta como SpecialProjects. 12. Clique com o boto direito do mouse em SpecialProjects e clique em Compartilhar. 13. Na caixa de dilogo Compartilhamento de Arquivos, digite TOR_ SpecialProjectGG e clique em Adicionar. 14. Clique em TOR_ SpecialProjectGG e em Contribuinte. 15. Clique em Compartilhar e em Pronto.
Resultados: agora, o grupo TOR_SpecialProjectGG ter direitos de Contribuinte na pasta SpecialProjects.
L4-38
6. 7. 8. 9.
Clique no boto Avanadas. Na caixa de dilogo Configuraes de Segurana Avanadas para Unshared, clique em Editar. Desmarque a caixa de seleo Incluir permisses herdveis provenientes do pai deste objeto. Na caixa de dilogo Segurana do Windows, clique em Remover.
10. Clique em OK. 11. Na caixa de dilogo Configuraes de Segurana Avanadas para Unshared, clique em Adicionar. 12. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, no campo Digite o nome do objeto a ser selecionado, digite Administradores e clique em OK. 13. Na caixa de dilogo Entrada de Permisso para Unshared, em Controle Total, marque Permitir e clique em OK quatro vezes.
L4-39
Resultados: Sven, como membro de BranchManagersGG, ter a propriedade da pasta CompanyNews. Ele ser capaz de criar arquivos e pastas em ambos os locais.
L4-40
4. 5. 6. 7. 8.
Clique com o boto direito do mouse no painel de detalhes do Windows Explorer, aponte para Novo e clique em Documento de Texto. Na barra de navegao do Windows Explorer, clique no boto Voltar. Clique duas vezes em CompanyNews e clique duas vezes na pasta News. Clique duas vezes em Welcome. Clique em Iniciar, aponte para a seta para a direita e clique em Fazer Logoff.
Resultados: Helge ter permisses para criar novos arquivos na pasta SpecialFolders e exibir os arquivos existentes na pasta News.
L5-41
L5-42
Tarefa 3: Atribuir direitos para redefinir senhas e configurar informaes particulares de usurio na UO Toronto
1. Em NYC-DC1, em Usurios e Computadores do Active Directory, clique com o boto direito do mouse em Toronto e, em seguida, clique em Delegar Controle. No Assistente para Delegao de Controle, clique em Avanar. Na pgina Usurios ou Grupos, clique em Adicionar. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, digite TOR_CustomerServiceGG e clique em OK. Clique em Avanar. Na pgina Tarefas a Delegar, marque a caixa de seleo Redefinir senhas de usurio e forar alterao no prximo logon. Clique em Avanar e depois em Concluir. Clique com o boto direito do mouse em Toronto e, em seguida, clique em Delegar Controle. No Assistente para Delegao de Controle, clique em Avanar.
2. 3. 4. 5. 6. 7. 8. 9.
10. Na pgina Usurios ou Grupos, clique em Adicionar. 11. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, digite TOR_CustomerServiceGG e clique em OK. 12. Clique em Avanar. 13. Na pgina Tarefas a Delegar, clique em Criar uma tarefa personalizada para delegar e, em seguida, clique em Avanar. 14. Na pgina Tipo de Objeto do Active Directory, clique em Somente os seguintes objetos na pasta e marque a caixa de seleo Usurio objetos. 15. Clique em Avanar. 16. Na pgina Permisses, verifique se a caixa de dilogo Geral est marcada. 17. Em Permisses, marque a caixa de seleo Leitura e gravao de informaes pessoais e clique em Avanar. 18. Clique em Concluir.
L5-43
6. 7. 8. 9.
10. Na caixa de dilogo Propriedades de Deepak Kumar, na guia Segurana, clique em Avanadas. 11. Na caixa de dilogo Configuraes de Segurana Avanadas para Deepak Kumar, na guia Permisses Efetivas, clique em Selecionar. 12. Na caixa de dilogo Selecionar Usurio, Computador ou Grupo, digite Chris e clique em OK. Chris McGurk membro do grupo TOR_CustomerServiceGG. 13. Revise as permisses efetivas de Chris. Verifique se Chris tem permisses para redefinir senhas e gravar informaes pessoais. 14. Clique em Cancelar duas vezes. 15. Feche Usurios e Computadores do Active Directory.
L5-44
Essa tarefa ser bem-sucedida porque foi delegada a Sven Buck a autoridade para execut-la. Clique com o boto direito do mouse na UO Toronto, aponte para Novo e clique em Grupo. Crie um novo grupo de segurana global chamado Group1. Essa tarefa ser bem-sucedida porque foi delegada a Sven Buck a autoridade para execut-la. Clique com o boto direito do mouse na UO ITAdmins e revise as opes de menu. Verifique se Sven no tem permisses para criar nenhum objeto novo na UO ITAdmins.
10. Faa logoff e logon em NYC-DC1 como WOODGROVEBANK\Helge com a senha Pa$$w0rd. 11. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Usurios e Computadores do Active Directory. 12. Na caixa Controle de Conta de Usurio, digite Pa$$w0rd e clique em OK. 13. No painel do console, expanda WoodgroveBank.com, clique com o boto direito do mouse na UO Toronto e revise as opes de menu. Verifique se Helge no tem permisses para criar nenhum objeto novo na UO Toronto.
L5-45
14. Expanda Toronto, clique em CustomerService, clique com o boto direito do mouse em Matt Berg e, em seguida, clique em Redefinir Senha. 15. Na caixa de dilogo Redefinir Senha, nos campos Nova senha e Confirmar senha, digite Pa$$w0rd e clique em OK duas vezes. 16. Clique com o boto direito do mouse em Matt Berg e, em seguida, clique em Propriedades. 17. Na caixa de dilogo Propriedades de Matt Berg, verifique se Helge tem permisso para definir algumas propriedades de usurio, como Escritrio e Nmero de telefone, mas no configuraes como Descrio e Email. 18. Clique em Cancelar. 19. Feche Usurios e Computadores do Active Directory Users e faa logoff.
Resultado: depois de concluir esse exerccio, voc ter delegado as tarefas administrativas ao escritrio de Toronto.
L5-46
Tarefa 2: Definir as configuraes de rede e de DNS para habilitar a relao de confiana de floresta
1. 2. 3. 4. 5. 6. 7. 8. 9. Em VAN-DC1, clique em Iniciar, aponte para Painel de Controle, aponte para Conexes de Rede e clique em Conexo Local. Na caixa de dilogo Propriedades da Conexo Local, clique em Propriedades. Clique em Protocolo TCP/IP e, em seguida, clique em Propriedades. Altere o endereo IP para 10.10.0.110, o gateway padro para 10.10.0.1 e o servidor DNS preferencial para 10.10.0.110. Clique em OK e, em seguida, clique em Fechar duas vezes. Clique em Iniciar e, em seguida, clique em Executar. Na caixa Abrir, digite cmd e clique em OK. No prompt de comando, digite net time \\10.10.0.110 /set /y e pressione ENTER. Esse comando sincroniza a hora entre VAN-DC1 e NYC-DC1. Digite exit e pressione ENTER.
L5-47
10. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em DNS. 11. No painel do console, expanda VAN-DC1. 12. Clique com o boto direito do mouse em VAN-DC1 e clique em Propriedades. 13. Na guia Encaminhadores, clique em Novo. 14. Digite Woodgrovebank.com e clique em OK. 15. No campo Lista de endereos IP de encaminhadores do domnio selecionado, digite 10.10.0.10 e clique em Adicionar. 16. Clique em OK e feche o console de gerenciamento de DNS. 17. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Domnios e Relaes de Confiana do Active Directory. 18. Na rvore do console, clique com o boto direito do mouse em Fabrikam.com e, em seguida, clique em Aumentar Nvel Funcional do Domnio. 19. Na caixa de dilogo Aumentar Nvel Funcional do Domnio, na lista Selecione um nvel funcional de domnio disponvel, clique em Windows Server 2003. 20. Clique em Aumentar e, em seguida, clique em OK. 21. Clique com o boto direito do mouse em Domnios e Relaes de Confiana do Active Directory e, em seguida, clique em Aumentar Nvel Funcional da Floresta. 22. Na caixa de dilogo Aumentar Nvel Funcional da Floresta, clique em Aumentar e, em seguida, clique em OK duas vezes. 23. Feche Domnios e Relaes de Confiana do Active Directory. 24. Em NYC-DC1, faa logon como WOODGROVEBANK\Administrador. 25. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em DNS. 26. No painel do console, expanda NYC-DC1. 27. Clique com o boto direito do mouse em Encaminhadores Condicionais e, em seguida, clique em Novo Encaminhador Condicional. 28. No campo Domnio DNS, digite Fabrikam.com. 29. Clique em Endereo IP e digite 10.10.0.110. 30. Pressione ENTER e clique em OK. 31. Feche o Gerenciador DNS.
L5-48
10. Na pgina Relao de Confiana de Sada nivel de Autenticao floresta local, clique em Autenticao floresta toda, em seguida, clique em Avanar. 11. Na pgina Relao de Confiana de Sada nivel de Autenticao floresta especificada, clique em Autenticao floresta toda, em seguida, clique em Avanar. 12. Na pgina Selees de Relao de Confiana Concludas, clique em Avanar. 13. Na pgina Criao de Relao de Confiana Concluda, clique em Avanar. 14. Na pgina Confirmar Relao de Confiana de Sada, clique em Sim, confirme a relao de confiana de sada e, em seguida, clique em Avanar. 15. Na pgina Confirmar Relao de Confiana de Entrada, clique em Sim, confirme a relao de confiana de entrada e, em seguida, clique em Avanar. 16. Na pgina Concluindo o 'Assistente de Nova Relao de Confiana', clique em Concluir e, em seguida, clique em OK.
L5-49
Tarefa 4: Configurar a autenticao seletiva da relao de confiana de floresta para permitir o acesso somente a NYC-DC2
1. Em Domnios e Relaes de Confiana do Active Directory, clique com o boto direito do mouse em WoodgroveBank.com e, em seguida, clique em Propriedades. Na guia Relaes de Confiana, em Domnios que confiam neste domnio (relaes de confiana de entrada), clique em Fabrikam.com e, em seguida, clique em Propriedades. Na caixa de dilogo Propriedades de Fabrikam.com, na guia Autenticao, clique em Autenticao Seletiva. Clique em OK e feche Domnios e Relaes de Confiana do Active Directory. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Usurios e Computadores do Active Directory. No menu Exibir, verifique se o item Recursos Avanados est selecionado. No painel do console, clique em Controladores de Domnio. No painel de detalhes, clique duas vezes em NYC-DC2. Na caixa de dilogo Propriedades de NYC-DC2, na guia Segurana, clique em Adicionar.
2.
3. 4. 5. 6. 7. 8. 9.
10. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, clique em Locais, clique em Fabrikam.com e, em seguida, clique em OK. 11. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, digite MarketingGG e clique em OK. 12. Em Permisses para MarketingGG, ao lado de Permitido autenticar, marque a caixa de seleo Permitir e clique em OK. 13. No painel do console, clique em Computadores. 14. No painel de detalhes, clique duas vezes em NYC-CL1. 15. Na caixa de dilogo Propriedades de NYC-CL1, na guia Segurana, clique em Adicionar. 16. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, clique em Locais, clique em Fabrikam.com e, em seguida, clique em OK.
L5-50
17. Na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, digite MarketingGG e clique em OK. 18. Em Permisses para MarketingGG, ao lado de Permitido autenticar, marque a caixa de seleo Permitir e clique em OK. 19. Feche Usurios e Computadores do Active Directory.
L6-51
3. 4. 5.
L6-52
2.
3. 4.
5.
2.
3. 4. 5. 6. 7. 8.
L6-53
2.
3. 4. 5.
2.
3. 4.
5.
6. 7. 8.
L6-54
2.
3. 4. 5.
2.
3. 4. 5.
2.
L6-55
3. 4. 5.
No painel de detalhes, clique duas vezes em Sempre esperar pela rede ao iniciar o computador e fazer logon. Na caixa de dilogo Propriedades de Sempre esperar pela rede ao iniciar o computador e fazer logon, clique em Habilitado e clique em OK. Feche o Editor de Gerenciamento de Diretiva de Grupo.
2.
Clique em OK. Clique com o boto direito do mouse na UO ITAdmins e clique em Vincular com GPO Existente. Na caixa de dilogo Selecionar GPO, clique no GPO Admin Favorites e clique em OK. Clique com o boto direito do mouse na UO Executives e clique em Vincular com GPO Existente. Na caixa de dilogo Selecionar GPO, clique no GPO Restrict Desktop Display e clique em OK. Clique com o boto direito do mouse na UO Miami e clique em Vincular com GPO Existente. Na caixa de dilogo Selecionar GPO, clique no GPO Restrict Control Panel e clique em OK.
10. Repita as duas etapas anteriores para vincular a diretiva Restrict Control Panel s UOs NYC e Toronto.
Resultado: depois de concluir esse exerccio, voc ter criado e configurado os GPOs.
L6-56
2.
3. 4. 5. 6. 7. 8. 9.
Clique no link Baseline Security. Quando a caixa de dilogo Console de Gerenciamento de Diretiva de Grupo aparecer, selecione No exibir esta mensagem novamente e clique em OK. No painel de detalhes, clique na guia Detalhes. Na lista Status do GPO, clique em Configuraes de Usurio Desabilitadas. Quando a caixa de dilogo Gerenciamento de Diretiva de Grupo aparecer, clique em OK. Clique no link Kiosk Computer Security. No painel de detalhes, clique na guia Delegao.
10. Clique em Avanado. 11. Na caixa de dilogo Kiosk Computer Security Configuraes de Segurana, clique no grupo Usurios Autenticados e clique em Remover. 12. Clique em Adicionar e, na caixa de dilogo Selecionar Usurios, Computadores ou Grupos, digite Kiosk Computers e clique em OK. 13. Em Permisses para Kiosk Computers, ao lado de Aplicar diretiva de grupo, selecione Permitir e clique em OK.
L6-57
5. 6. 7. 8. 9.
L6-58
2. 3. 4.
5. 6. 7. 8.
Resultado: depois de concluir esse exerccio, voc ter definido o escopo das configuraes de GPO.
L6-59
L6-60
6.
Dica: ao tentar acessar as configuraes de exibio, voc receber uma mensagem informando que esse recurso foi desabilitado.
L6-61
Observao: para ver essas informaes, pressione CTRL-ALT-DEL a fim de exibir a tela de logon.
Tarefa 7: Usar a modelagem de Diretiva de Grupo para testar as configuraes do computador de quiosque
1. Em NYC-DC1, na janela Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse na pasta Modelagem da Diretiva de Grupo e clique em Assistente para Modelagem de Diretiva de Grupo. No Assistente para Modelagem de Diretiva de Grupo, clique em Avanar. Na pgina Seleo de Controlador de Domnio, clique em Avanar. Na pgina Seleo de Usurio e Computador, em Informaes do Computador, clique em Computador. No campo Computador, digite WOODGROVEBANK\NYC-CL1 e clique em Avanar. Na pgina Opes de Simulao Avanadas, clique em Processamento de Loopback e, em seguida, clique em Avanar. Na pgina Caminhos alternativos do Active Directory, clique em Avanar. Na pgina Grupos de Segurana de Usurio, clique em Avanar. Na pgina Grupos de Segurana do Computador, clique em Adicionar.
2. 3. 4. 5. 6. 7. 8. 9.
10. Na caixa de dilogo Selecionar Grupos, digite Kiosk Computers, clique em OK e clique em Avanar. 11. Na pgina Filtros WMI para usurios, clique em Avanar. 12. Na pgina Filtros WMI para computadores, clique em Avanar. 13. Na pgina Sumrio das selees, clique em Avanar.
L6-62
14. Na pgina Concluindo o Assistente para Modelagem de Diretiva de Grupo, clique em Concluir. 15. Na janela Gerenciamento de Diretiva de Grupo, exiba o relatrio. Esse processo levar alguns instantes para ser concludo.
Resultado: depois de concluir esse exerccio, voc ter testado e verificado uma aplicao de GPO.
L6-63
2. 3. 4. 5. 6.
L6-64
6. 7.
Na caixa de dilogo Restaurar, clique em OK e, em seguida, clique em Fechar. Verifique se o GPO Admin Favorites aparece na pasta Objetos de Diretiva de Grupo.
Observao: se mais de uma cpia do GPO Restrict Control Panel aparecer, escolha a mais recente.
8. 9.
Na pgina Examinando Backup, clique em Avanar e, em seguida, clique em Concluir. Quando a importao for concluda, clique em OK.
10. Na pasta Objetos de Diretiva de Grupo, clique no GPO Import e, no painel detalhes, clique na guia Configuraes. 11. Clique em mostrar tudo. 12. Verifique se a configurao de diretiva Proibir acesso ao 'Painel de controle' est habilitada.
Resultado: depois de concluir esse exerccio, voc ter feito backup, restaurado e importado os GPOs.
L6-65
L6-66
Tarefa 4: Habilitar Usurios do Domnio para fazer logon nos controladores de domnio
Observao: esta etapa includa no laboratrio para permitir o teste das permisses delegadas. recomendvel instalar as ferramentas de administrao em uma estao de trabalho Windows, em vez de habilitar Usurios do Domnio para fazer logon nos controladores de domnio.
1. 2. 3.
Na janela Gerenciamento de Diretiva de Grupo, expanda Domain Controllers. Clique com o boto direito do mouse em Default Domain Controllers Policy e, em seguida, clique em Editar. Na janela Editor de Gerenciamento de Gerenciamento da Diretiva de Grupo, em Configurao do Computador, expanda Diretivas, Configuraes do Windows, Configuraes de Segurana e Diretivas da locais, e clique em Atribuio de Direitos de Usurio. No painel de detalhes, clique duas vezes em Permitir logon local. Na caixa de dilogo Propriedades de Permitir logon local, clique em Adicionar Usurio ou Grupo. Na caixa de dilogo Adicionar Usurio ou Grupo, digite Domain Users e clique em OK duas vezes. Feche todas as janelas abertas. Clique em Iniciar e, em seguida, clique em Prompt de Comando. Na janela Prompt de Comando, digite GPUpdate /force e pressione ENTER.
4. 5. 6. 7. 8. 9.
10. Aguarde o prompt de comando ser concludo, digite exit e pressione ENTER. 11. Faa logoff.
L6-67
5.
Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em Gerenciamento de Diretiva de Grupo, clique em Adicionar e, em seguida, clique em OK. Expanda Gerenciamento de Diretiva de Grupo, Floresta: WoodgroveBank.com, Domnios e WoodgroveBank.com. Clique com o boto direito do mouse na pasta Objetos de Diretiva de Grupo e clique em Novo. Na caixa de dilogo Novo GPO, digite Test e clique em OK. Essa operao ser bem-sucedida. Expanda a pasta Objetos de Diretiva de Grupo, clique com o boto direito do mouse no GPO Import e clique em Editar. Essa operao ser bem-sucedida.
6. 7. 8. 9.
10. Feche o Editor de Gerenciamento de Diretiva de Grupo. 11. Clique com o boto direito do mouse na UO Executives e clique em Vincular com GPO Existente. 12. Na caixa de dilogo Selecionar GPO, clique em Test e clique em OK. Essa operao ser bem-sucedida. 13. Clique com o boto direito do mouse no GPO Admin Favorites e, em seguida, clique em Editar. Essa operao no possvel, pois o link Editar est acinzentado.
Resultado: depois de concluir esse exerccio, voc ter feito backup, restaurado e importado os GPOs.
L7-69
L7-70
3. 4. 5.
6. 7. 8.
9.
10. Na caixa de dilogo Propriedades de Logon, clique em Adicionar. 11. Na caixa de dilogo Adicionar um Script, clique em Procurar. 12. Na caixa de dilogo Procurar, clique em Map.bat e, em seguida, clique em Abrir. 13. Clique em OK duas vezes. 14. Feche o Editor de Gerenciamento de Diretiva de Grupo. 15. No painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em WoodgroveBank.com e clique em Vincular com GPO Existente. 16. Na caixa de dilogo Selecionar GPO, clique em Logon Script e, em seguida, clique em OK.
L7-71
10. Na caixa de dilogo Configuraes de Segurana Avanadas para ExecData, clique em Editar. 11. Na caixa de dilogo Configuraes de Segurana Avanadas para ExecData, desmarque a caixa de seleo Incluir permisses herdveis provenientes do pai deste objeto. 12. Na caixa de dilogo Segurana do Windows, clique em Copiar. 13. Na caixa de dilogo Configuraes de Segurana Avanadas para ExecData, clique em Remover. 14. Repita a etapa acima para remover todos os usurios e grupos, exceto PROPRIETRIO CRIADOR e SYSTEM. 15. Clique em Adicionar. 16. Na caixa de dilogo Selecionar Usurio, Computador ou Grupo, digite Executives_WoodgroveGG e clique em OK. 17. Na caixa de dilogo Entrada de Permisso para ExecData, na lista Aplicar em, clique em Esta pasta somente.
L7-72
18. Em Permisses, ao lado de Listar pasta/ler dados e Criar pastas / acrescentar dados, marque as caixas de seleo Permitir. 19. Clique em OK trs vezes e, em seguida, clique em Fechar. 20. Feche o Windows Explorer.
2. 3. 4.
5. 6. 7. 8. 9.
10. No painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em Executives e clique em Vincular com GPO Existente. 11. Na caixa de dilogo Selecionar GPO, clique em Executive Redirection e, em seguida, clique em OK.
L7-73
3. 4. 5. 6.
Feche Computador. Clique em Iniciar, clique com o boto direito do mouse em Documentos e, em seguida, clique em Propriedades. Na caixa de dilogo Propriedades de Documentos, verifique se o local \\NYC-DC1\ExecData\Tony e clique em Cancelar. Faa logoff de NYC-CL1.
Resultado: depois de concluir esse exerccio, voc ter configurado scripts de logon e redirecionamento de pastas.
L7-74
2.
3. 4.
5. 6. 7. 8. 9.
L7-75
2. 3. 4.
5. 6. 7. 8. 9.
10. Repita as duas etapas anteriores para vincular o GPO Prevent Removable Devices s UOs NYC e Toronto.
Tarefa 3: Criar e atribuir GPOs para criptografar arquivos offline para computadores executivos
1. No painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em Objetos de Diretiva de Grupo e, em seguida, clique em Novo. Na caixa de dilogo Novo GPO, no campo Nome, digite Encrypt Offline Files, e clique em OK.
2.
L7-76
3. 4.
Clique com o boto direito do mouse em Encrypt Offline Files e, em seguida, clique em Editar. No painel do console Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Computador, expanda Diretivas, Modelos Administrativos e Rede, e clique em Arquivos Off-line. No painel de detalhes, clique duas vezes em Criptografar o cache de arquivos off-line. Na caixa de dilogo Propriedades de Criptografar o cache de arquivos offline, clique em Habilitado e, em seguida, clique em OK. Feche o Editor de Gerenciamento de Diretiva de Grupo. No painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em Executives e clique em Vincular com GPO Existente. Na caixa de dilogo Selecionar GPO, clique em Encrypt Offline Files e, em seguida, clique em OK.
5. 6. 7. 8.
9.
Tarefa 4: Criar e atribuir um GPO no nvel do domnio para todos os usurios do domnio
1. No painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em Objetos de Diretiva de Grupo e, em seguida, clique em Novo. Na caixa de dilogo Novo GPO, no campo Nome, digite All Users Policy e clique em OK. Clique com o boto direito do mouse em All Users Policy e, em seguida, clique em Editar. No painel do console Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Usurio, expanda Diretivas e Modelos Administrativos, e clique em Sistema. No painel de detalhes, clique duas vezes em Impedir acesso a ferramentas de edio do Registro. Na caixa de dilogo Propriedades de Impedir acesso a ferramentas de edio do Registro, clique em Habilitado e, em seguida, clique em OK.
2. 3. 4.
5. 6.
L7-77
7. 8. 9.
No painel do console, clique em Menu 'Iniciar' e Barra de Tarefas. No painel de detalhes, clique duas vezes em Remover relgio da rea de notificao do sistema. Na caixa de dilogo Propriedades de Remover relgio da rea de notificao do sistema, clique em Habilitado e, em seguida, clique em OK.
10. Feche o Editor de Gerenciamento de Diretiva de Grupo. 11. No painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em WoodgroveBank.com e clique em Vincular com GPO Existente. 12. Na caixa de dilogo Selecionar GPO, clique em All Users Policy e, em seguida, clique em OK.
Tarefa 5: Criar e atribuir uma diretiva para limitar o tamanho de perfil e desativar a barra lateral do Windows para usurios da filial
1. No painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em Objetos de Diretiva de Grupo e, em seguida, clique em Novo. Na caixa de dilogo Novo GPO, no campo Nome, digite Branch Users Policy e clique em OK. Clique com o boto direito do mouse em Branch Users Policy e, em seguida, clique em Editar. No painel do console Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Usurio, expanda Diretivas, Modelos Administrativos e Sistema, e clique em Perfis de Usurio. No painel de detalhes, clique duas vezes em Limitar tamanho do perfil. Na caixa de dilogo Propriedades de Limitar tamanho do perfil, clique em Habilitado. No campo Tamanho mximo de perfil (KB), digite 1000000 e clique em OK. No painel do console, em Modelos Administrativos, expanda Componentes do Windows e clique em Barra Lateral do Windows. No painel de detalhes, clique duas vezes em Desativar a Barra Lateral do Windows.
2. 3. 4.
5. 6. 7. 8. 9.
L7-78
10. Na caixa de dilogo Propriedades de Desativar a Barra Lateral do Windows, clique em Habilitado e, em seguida, clique em OK. 11. Feche o Editor de Gerenciamento de Diretiva de Grupo. 12. No painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em Miami e clique em Vincular com GPO Existente. 13. Na caixa de dilogo Selecionar GPO, clique em Branch Users Policy e, em seguida, clique em OK. 14. Repita as duas etapas anteriores para vincular o GPO Branch Users Policy s UOs NYC e Toronto.
L7-79
Observao: algumas configuraes do usurio s podem ser aplicadas durante o logon ou podero no se aplicar devido a credenciais em cache. Isso inclui as configuraes de caminho de perfil de usurio mvel, caminho de Redirecionamento de Pasta e Instalao de Software. Se o usurio j estiver conectado quando essas configuraes forem detectadas, elas s sero aplicadas na prxima vez que ele se conectar.
2. 3. 4. 5.
Verifique se a Barra Lateral do Windows no foi exibida. Na rea de notificao, verifique se o relgio no foi exibido. Clique com o boto direito do mouse em Barra de Tarefas e, em seguida, clique em Propriedades. Na caixa de dilogo Propriedades de Barra de Tarefas e Menu Iniciar, na guia rea de Notificao, confirme que voc no tem a opo para exibir o relgio e clique em Cancelar. Clique em Iniciar, digite regedit e pressione ENTER. Na caixa de dilogo Editor do Registro, analise o erro e clique em OK. Faa logoff de NYC-CL1.
6. 7. 8.
Tarefa 2: Fazer logon como usurio em uma Filial e observar as configuraes aplicadas
1. 2. 3. 4. 5. Em NYC-CL1, faa logon como WOODGROVEBANK\Roya com a senha Pa$$w0rd. Verifique se a Barra Lateral do Windows no foi exibida. Na rea de notificao, verifique se o relgio no foi exibido. Na rea de notificao, clique duas vezes no cone Espao de perfil disponvel. Na caixa de dilogo Espao de Armazenamento do Perfil, revise as informaes e clique em OK.
L7-80
6. 7. 8. 9.
Clique em Iniciar, clique com o boto direito do mouse em Documentos e, em seguida, clique em Propriedades. Na caixa de dilogo Propriedades de Documentos, verifique se o local C:\Users\Roya e clique em Cancelar. Clique em Iniciar, digite regedit e pressione ENTER. Na caixa de dilogo Editor do Registro, analise o erro e clique em OK.
10. Clique em Iniciar e, em seguida, clique em Computador. 11. Na janela Computador, verifique se a unidade K: est mapeada para o compartilhamento Dados em NYC-DC1. 12. Faa logoff de NYC-CL1.
Tarefa 3: Usar o Assistente de Resultados de Diretiva de Grupo a fim de analisar a aplicao da Diretiva de Grupo para um usurio e computador de destino
1. Em NYC-DC1, no painel de console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em Resultados da Diretiva de Grupo e clique em Assistente de Resultados de Diretiva de Grupo. No Assistente de Resultados de Diretiva de Grupo, clique em Avanar. Na pgina Seleo de Computador, clique em Outro computador, digite WoodgroveBank\NYC-CL1 e clique em Avanar.
2. 3.
Observao: se voc receber um erro aps a etapa acima, tente execut-la novamente aps 2 minutos.
4. 5. 6.
Na pgina Seleo de Usurio, clique em WOODGROVEBANK\Tony e, em seguida, clique em Avanar. Na pgina Resumo das Selees, clique em Avanar e, em seguida, clique em Concluir. No painel de detalhes, clique em mostrar tudo.
L7-81
7.
Revise a lista de GPOs de computadores e usurios aplicados. Pergunta: Quais GPOs foram aplicados ao computador? Resposta: Somente a Default Domain Policy. Pergunta: Quais GPOs foram aplicados ao usurio? Resposta: All Users Policy, Login Script e Executive Redirection.
8.
Na guia Configuraes, em Configurao do Computador, clique em Modelos Administrativos e expanda todas as configuraes. Pergunta: Quais configuraes foram aplicadas ao computador? Resposta: Firewall do Windows: Autorizar exceo de administrao remota de entrada.
9.
Em Configurao do Usurio, expanda todas as configuraes. Pergunta: Quais configuraes foram aplicadas ao usurio? Resposta: A diretiva Executive Redirection fornece configuraes de redirecionamento de pasta. All Users Policy fornece configuraes para remover o relgio e desabilitar a edio do Registro.
Resultado: depois de concluir esse exerccio, voc ter definido vrias configuraes da diretiva Administrative Templates para vrias UOs da organizao e ter verificado com xito a aplicao do GPO.
L7-82
2. 3. 4.
5.
L7-83
6. 7.
Na caixa de dilogo Abrir, digite \\NYC-DC1\Data\ppviewer.msi e clique em Abrir. Na caixa de dilogo Implantar Software, revise as opes de configurao. Quando tiver concludo, verifique se Atribudo est selecionado e clique em OK. Clique com o boto direito do mouse em Microsoft Office PowerPoint Viewer 2003 e clique em Propriedades. Na caixa de dilogo Propriedades de Microsoft Office PowerPoint Viewer 2003, revise as opes das seguintes guias: Geral Implantao Atualizaes Categorias Modificaes Segurana
8. 9.
10. Quando terminar, clique em Cancelar e feche o Editor de Gerenciamento de Diretiva de Grupo.
L7-84
10. Clique duas vezes no Microsoft Office PowerPoint Viewer 2003. 11. Na caixa de dilogo Programas e Recursos, clique em Sim para desinstalar o programa. 12. Quando o processo for concludo, pressione F5 e observe que, apesar de voc poder desinstalar o programa, ele volta porque foi atribudo por meio da Diretiva de Grupo. 13. Feche o Painel de controle.
Resultado: depois de concluir esse exerccio, voc ter implantado com xito um pacote de software atribudo usando a Diretiva de Grupo.
L7-85
2.
3. 4. 5. 6. 7. 8. 9.
L7-86
Tarefa 2: Criar uma nova pasta chamada Relatrios na unidade C: de todos os computadores que estejam executando o Windows Server 2008
1. No painel do console Editor de Gerenciamento de Diretiva de Grupo, em Configuraes do Windows, clique com o boto direito do mouse em Pastas, aponte para Novo e clique em Pasta. Na caixa de dilogo Propriedades de Nova Pasta, na lista Ao, clique em Criar. No campo Caminho, digite C:\Reports. Na guia Comum, marque a caixa de seleo Direcionamento de nvel de item e clique em Direcionamento. Na caixa de dilogo Editor de Destino, no menu Novo Item, clique em Sistema Operacional. Na lista Produto, clique em Windows Server 2008 e, em seguida, clique em OK duas vezes.
2. 3. 4. 5. 6.
2. 3. 4. 5. 6. 7. 8. 9.
L7-87
2.
Observao: na verdade, voc no est excluindo o GPO, mas apenas o vnculo para ele no domnio.
3.
L7-88
Observao: talvez leve alguns minutos para que essa pasta aparea.
5.
Observao: para aplicar as preferncias de Diretiva de Grupo a computadores com o Windows Vista, baixe e instale Group Policy Preference Client Side Extensions for Windows Vista (KB943729).
L7-89
6.
7. 8. 9.
L7-90
10. No painel de detalhes, clique duas vezes em Firewall do Windows: permitir exceo de administrao remota de entrada. 11. Na caixa de dilogo Firewall do Windows: Propriedades de permitir exceo de administrao remota de entrada, clique em Habilitado e, em seguida, clique em OK. 12. No painel do console, em Configurao do Usurio, expanda Diretivas, Configuraes do Windows e Manuteno do Internet Explorer, e clique em URLs. 13. No painel de detalhes, clique duas vezes em URLs Importantes. 14. Na caixa de dilogo URLs Importantes, marque a caixa de seleo Personalizar o URL da home page, digite http://WoodgroveBank.com e clique em OK. 15. No painel do console, expanda Modelos Administrativos e clique em Menu Iniciar e Barra de Tarefas. 16. No painel de detalhes, clique duas vezes em Forar Menu Iniciar clssico. 17. Na caixa de dilogo Propriedades de Forar Menu Iniciar clssico , clique em Habilitado e, em seguida, clique em OK. 18. Feche o Editor de Gerenciamento de Diretiva de Grupo.
2.
3. 4.
L7-91
2.
1. 2. 3.
Em NYC-CL1, clique em Iniciar e verifique se o menu Iniciar clssico exibido. Na rea de trabalho, clique duas vezes em Internet Explorer. Na janela Windows Internet Explorer, clique no boto Incio. Aps alguns instantes, a home page WoodgroveBank.com do IIS7 ser carregada.
L7-92
4. 5. 6. 7. 8. 9.
Feche o Internet Explorer. Na rea de trabalho, clique duas vezes em Computador. Na janela Computador, verifique se a unidade K: est mapeada para o compartilhamento Dados em NYC-DC1. Faa logoff e logon novamente como WOODGROVEBANK\Roya com a senha Pa$$w0rd. Clique em Iniciar e verifique se o menu Iniciar clssico exibido. Na rea de trabalho, clique duas vezes em Internet Explorer.
10. Na janela Windows Internet Explorer, clique no boto Incio. Aps alguns instantes, a home page WoodgroveBank.com do IIS7 ser carregada. 11. Feche o Windows Internet Explorer. 12. Na rea de trabalho, clique duas vezes em Computador. 13. Na janela Computador, observe que a unidade J: no est mapeada corretamente para o compartilhamento Dados em NYC-DC1. 14. Faa logoff de NYC-CL1.
2. 3. 4. 5. 6.
7.
L7-93
8.
Em Configurao do Usurio, em Configuraes do Windows, clique em Scripts e expanda Logon. Observe que o GPO Lab 7A foi aplicado corretamente. Em NYC-CL1, faa logon em WOODGROVEBANK\Roya com a senha Pa$$w0rd.
9.
10. Para testar a permisso de Roya no local dos scripts, clique em Iniciar, clique em Executar, digite \\NYC-DC1\Scripts e pressione ENTER. 11. Na caixa de dilogo Erro de Rede, clique em Cancelar. 12. Faa logoff de NYC-CL1.
Observao: se houver tempo, ser possvel exibir o log operacional da Diretiva de Grupo como Administrador em NYC-CL1. Se voc filtrar a exibio para mostrar os eventos criados por Roya, ver que o log no detecta erros ou avisos para esse usurio. Isso acontece porque o GPO s configura valores de Registro que definem o local da pasta de scripts. A Diretiva de Grupo no sabe se o usurio tem acesso ao local. A gravao no Registro foi concluda com xito. Portanto, o log da Diretiva de Grupo no detecta erros. Voc ter que auditar o Acesso a Objetos da pasta de scripts para determinar os problemas de acesso.
L7-94
10. Na janela Computador, verifique se a unidade J: est mapeada para o compartilhamento Data em NYC-DC1. 11. Faa logoff de NYC-CL1.
Observao: outra maneira de resolver o problema seria mover o script para o compartilhamento Netlogon ou eliminar a necessidade de um script de logon; voc poderia tambm configurar uma preferncia de Diretiva de Grupo.
Resultado: depois de concluir esse exerccio, voc ter resolvido um problema de scripts de Diretiva de Grupo.
L7-95
2. 3.
2. 3. 4. 5. 6. 7.
Clique em Iniciar e verifique se o menu Iniciar clssico exibido. Na rea de trabalho, clique duas vezes em Internet Explorer. Na janela Internet Explorer, clique no boto Incio. Aps alguns instantes, a home page WoodgroveBank.com do IIS7 ser carregada. Feche o Internet Explorer. Na rea de trabalho, clique duas vezes em Computador. Na janela Computador, verifique se a unidade K: est mapeada para o compartilhamento Data em NYC-DC1.
L7-96
8.
Observe que o Painel de Controle no exibido na rea de trabalho nem no menu Iniciar. Essa uma configurao do GPO Lab 7B que foi aplicada UO Miami. Faa logoff de NYC-CLI e logon novamente como WOODGROVEBANK\Roya com a senha Pa$$w0rd.
9.
10. Observe que, apesar de o GPO impedir isso, o Painel de Controle ainda est presente na rea de trabalho e no menu Iniciar. 11. Faa logoff de NYC-CL1.
2. 3. 4. 5. 6.
7.
8. 9.
10. No painel de detalhes, na guia Resumo, em Resumo da Configurao do Usurio, clique em Objetos de Diretiva de Grupo e, em seguida, clique em GPOs Aplicados. Observe que o GPO Lab 7B no foi aplicado. 11. Clique em GPOs Negados. Observe que o GPO Lab 7B aparece listado entre os GPOs negados.
L7-97
L7-98
2. 3.
2. 3.
L7-99
4.
Na guia Opes, em Configurao do Usurio, clique em Modelos Administrativos e, em seguida, clique em Menu Iniciar e Barra de Tarefas. Observe que a configurao Adicionar o comando Executar ao Menu Iniciar est habilitada.
2.
3. 4. 5. 6. 7. 8. 9.
L7-100
3.
2. 3.
2. 3.
L7-101
3. 4.
Na caixa de dilogo Mover, clique em Loopback e clique em OK. Feche Usurios e Computadores do Active Directory.
2.
3.
Observao: a Diretiva de Grupo se aplica ao usurio ou computador de uma maneira que depende de onde os objetos do usurio e do computador esto localizados no Active Directory. No entanto, em alguns casos, os usurios talvez precisem que a diretiva seja aplicada a eles com base apenas no local do objeto do computador. possvel usar o recurso de loopback da Diretiva de Grupo para aplicar os GPOs (Objetos de Diretiva de Grupo) que dependem somente do computador em que o usurio est conectado.
L7-102
Observao: outra alternativa seria desabilitar o processamento de loopback no prprio GPO, especificamente se houver outras configuraes no GPO que deveria ter sido aplicado.
2. 3. 4. 5. 6. 7.
Feche o Gerenciamento de Diretiva de Grupo. Em NYC-CL1, reinicie o computador. Quando o computador for reiniciado, faa logon como WOODGROVEBANK\Roya usando a senha Pa$$w0rd. Clique em Iniciar e observe que o comando Executar no est mais presente. Observe que o Painel de Controle est ausente novamente na rea de trabalho e no menu Iniciar. Na rea de trabalho, clique duas vezes em Internet Explorer. Observe que o Internet Explorer aberto novamente; dessa vez, corretamente.
Resultado: depois de concluir esse exerccio, voc ter resolvido um problema de objetos de Diretiva de Grupo.
L8-103
3. 4.
5. 6. 7.
L8-104
8. 9.
Na caixa de dilogo Propriedades de Tempo de vida mnimo da senha, no campo A senha pode ser alterada aps , digite 19 e clique em OK. Clique duas vezes em Tempo de vida mximo da senha.
10. Na caixa de dilogo Propriedades de Tempo de vida mximo da senha, no campo A senha expirar em , digite 20 e clique em OK. 11. No painel do console, clique em Diretiva de Bloqueio de Conta. 12. No painel de detalhes, clique duas vezes em Limite de bloqueio de conta. 13. Na caixa de dilogo Propriedades de Limite de bloqueio de conta, em Sem bloqueio de conta, digite 5 e clique em OK. 14. Na caixa de dilogo Alteraes de Valor Sugeridas, clique em OK para aceitar os valores 30 minutos. 15. Feche o Editor de Gerenciamento de Diretiva de Grupo.
5.
6. 7. 8.
L8-105
9.
Na caixa de dilogo Adicionar ou Remover Snap-ins, clique em Editor de Objeto de Diretiva de Grupo, clique em Adicionar e, em seguida, clique em Procurar.
10. Na caixa de dilogo Procurar um Objeto de Diretiva de Grupo, clique na guia Usurios. 11. Clique em Usurios Sem Privilgios de Administrador, clique em OK, clique em Concluir e, em seguida, clique em OK. 12. No painel do console, expanda Diretiva de Computador Local/Usurios Sem Privilgios de Administrador, Configurao do Usurio e Modelos Administrativos, e clique em Menu 'Iniciar' e Barra de Tarefas. 13. No painel de detalhes, clique duas vezes em Remover o comando'Executar' do menu 'Iniciar'. 14. Na caixa de dilogo Propriedades de Remover o comando 'Executar' do menu 'Iniciar', clique em Ativado e clique em OK. 15. Feche a janela MMC e no salve as alteraes. 16. Reinicie NYC-CL1.
Tarefa 4: Criar um GPO de rede sem fio para clientes Windows Vista
1. Em NYC-DC1, no painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em Objetos de Diretiva de Grupo e, em seguida, clique em Novo. Na caixa de dilogo Novo GPO, no campo Nome, digite Vista Wireless e clique em OK. No painel de detalhes, clique com o boto direito em Vista Wireless e, em seguida, clique em Editar. No Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Computador, expanda Diretivas, Configuraes do Windows e Configuraes de Segurana. Clique com o boto direito do mouse em Diretivas de Rede Sem Fio (IEEE 802.11) e, em seguida, clique em Criar uma Nova Diretiva do Windows Vista. Na caixa de dilogo Propriedades de Nova Diretiva de Rede Sem Fio do Vista, clique em Adicionar e, em seguida, clique em Infra-estrutura.
2. 3. 4.
5.
6.
L8-106
7. 8. 9.
Na caixa de dilogo Propriedades de Novos Perfis, no campo Nome do Perfil, digite Corporativa. No campo Nome(s) da Rede (SSID), digite Corp e clique em Adicionar. Na guia Segurana, na lista Autenticao, clique em Abrir com 802.1X e, em seguida, clique em OK.
10. Clique na guia Permisses de Rede e, em seguida, clique em Adicionar. 11. Na caixa de dilogo Nova Entrada de Permisso, no campo Nome da Rede (SSID):, digite Pesquisar, verifique se Permisso est definido como Negar e clique em OK duas vezes. 12. Feche o Editor de Gerenciamento de Diretiva de Grupo. 13. No painel do console Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em WoodgroveBank.com e clique em Vincular com GPO Existente. 14. Na caixa de dilogo Selecionar GPO, clique em Vista Wireless e, em seguida, clique em OK.
Tarefa 5: Configurar uma diretiva que proba um servio em todos os controladores de domnio
1. No painel do console Gerenciamento de Diretiva de Grupo, expanda Objetos de Diretiva de Grupo, clique com o boto direito do mouse em Default Domain Controllers Policy e, em seguida, clique em Editar. No Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Computador, expanda Diretivas, Configuraes do Windows e Configuraes de Segurana, e clique em Servios do Sistema. No painel de detalhes, clique duas vezes em Windows Installer. Na caixa de dilogo Propriedades de Windows Installer, marque a caixa de seleo Definir esta configurao da diretiva, verifique se Desativado est marcado e clique em OK. Feche o Editor de Gerenciamento de Diretiva de Grupo.
Resultado: depois de concluir esse exerccio, voc ter definido configuraes de diretiva de conta e segurana.
2.
3. 4.
5.
L8-107
5. 6. 7. 8. 9.
10. Na pgina Atributo: msDS-PasswordComplexityEnabled, no campo Valor, digite true e clique em Avanar. 11. Na pgina Atributo: msDS-MinimumPasswordLength, no campo Valor, digite 10 e clique em Avanar. 12. Na pgina Atributo: msDS-MinimumPasswordAge, no campo Valor, digite 5184000000000 e clique em Avanar.
Observao: os valores dos PSOs so valores baseados em tempo inseridos no formato integer8. Integer8 um nmero de 64 bits que representa o total de tempo, em intervalos de 100 nanossegundos, decorrido a partir do meio-dia de 1 de janeiro de 1601.
L8-108
13. Na pgina Atributo: msDS-MaximumPasswordAge, no campo Valor, digite 6040000000000 e clique em Avanar. 14. Na pgina Atributo: msDS-LockoutThreshold, no campo Valor, digite 3 e clique em Avanar. 15. Na pgina Atributo: msDS-LockoutObservationWindow, no campo Valor, digite -18000000000 e clique em Avanar. 16. Na pgina Atributo: msDS-LockoutDuration, no campo Valor, digite -18000000000, clique em Avanar e, em seguida, clique em Concluir. 17. Feche o Editor ADSI.
6. 7. 8.
L8-109
2.
3. 4. 5. 6. 7. 8. 9.
L8-110
Tarefa 2: Proibir que o Internet Explorer e os scripts VBS sejam executados nos controladores de domnio
1. No painel de detalhes Gerenciamento de Diretiva de Grupo, clique com o boto direito em Diretiva de Controladores de Domnio Padro e, em seguida, clique em Editar. No Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Computador, expanda Diretivas, Configuraes do Windows e Configuraes de Segurana, e clique em Diretivas de Restrio de Software. Clique com o boto direito do mouse em Diretivas de Restrio de Software e, em seguida, clique em Novas Diretivas de Restrio de Software. No painel de detalhes, clique com o boto direito do mouse em Regras Adicionais e, em seguida, clique em Nova Regra de Hash. Na caixa de dilogo Nova Regra de Hash, clique em Procurar. Na caixa de dilogo Abrir, v at C:\Arquivos de Programas\Internet Explorer. Clique em iexplore.exe e, em seguida, clique em Abrir. Verifique se Nvel de segurana est definido para No Permitido e clique em OK. Clique com o boto direito do mouse em Regras adicionais e, em seguida, clique em Nova Regra de Caminho.
2.
3. 4. 5. 6. 7. 8. 9.
10. Na caixa de dilogo Nova Regra de Caminho, no campo Caminho, digite *.vbs e clique em OK. 11. Feche o Editor de Gerenciamento de Diretiva de Grupo e, em seguida, feche o Gerenciamento de Diretiva de Grupo.
Resultado: depois de concluir esse exerccio, voc ter configurado grupos restritos e diretivas de restrio de software.
L8-111
4.
5.
6. 7. 8.
9.
10. No painel de detalhes, clique duas vezes em Logon Interativo: No exibir o ltimo nome do usurio. 11. Na caixa de dilogo Propriedades de Logon interativo: no exibir o ltimo nome do usurio, marque a caixa de seleo Definir esta configurao da diretiva no modelo, clique em Habilitado e, em seguida, clique em OK. 12. No painel do console, clique com o boto direito em FPSecurity e, em seguida, clique em Salvar. 13. Feche a janela MMC e no salve as alteraes.
L8-112
6.
L8-113
11. Na pgina Selecionar Administrao e Outras Opes, clique em Avanar. 12. Na pgina Selecionar Servios Adicionais, clique em Avanar. 13. Na pgina Tratando Servios No Especificados, clique em Avanar. 14. Na pgina Confirmar Alteraes no Servio, revise as alteraes e clique em Avanar. 15. Na pgina Segurana de Rede, clique em Avanar. 16. Na pgina Regras de Segurana de Rede, clique em Avanar. 17. Na pgina Configuraes do Registro, clique em Avanar. 18. Na pgina Requer Assinaturas de Segurana, clique em Avanar. 19. Na pgina Mtodos de Autenticao de Sada, clique em Avanar. 20. Na pgina Autenticao de Sada usando Contas do Domnio, marque a caixa de seleo Relgios que so sincronizados com o relgio do servidor selecionado e clique em Avanar. 21. Na pgina Mtodos de Autenticao de Entrada, clique em Avanar. 22. Na pgina Resumo das Configuraes do Registro, clique em Avanar. 23. Na pgina Diretiva de Auditoria, clique em Avanar. 24. Na pgina Diretiva de Auditoria do Sistema, clique em Avanar. 25. Na pgina Resumo da Diretiva de Auditoria, clique em Avanar. 26. Na pgina Salvar Diretiva de Segurana, clique em Avanar. 27. Na tela Nome do Arquivo da Diretiva de Segurana digite FPPolicy no fim do caminho C:\Windows\security\msscw\Policies\ e clique em Incluir Modelos de Segurana. 28. Na caixa de dilogo Incluir Modelos de Segurana, clique em Adicionar. 29. Na caixa de dilogo Abrir, v at C:\Users\Administrator\Documents\Security\Templates. 30. Clique em FPSecurity.inf e, em seguida, clique em Abrir. 31. Clique em OK e, em seguida, clique em Avanar. 32. Na pgina Aplicar Diretiva de Segurana, clique em Aplicar agora e, em seguida, clique em Avanar. 33. Quando o processo de aplicao de diretiva de segurana for concludo, clique em Avanar e, em seguida, clique em Concluir.
L8-114
3. 4. 5. 6. 7. 8.
L8-115
4. 5. 6. 7. 8. 9.
10. Clique em Cancelar e feche todas as janelas. 11. Faa logoff de NYC-CL1.
Tarefa 2: Fazer logon no computador Windows Vista como um usurio comum e testar a diretiva
1. 2. 3. Faa logon em NYC-CL1 como WOODGROVEBANK\Roya com a senha Pa$$w0rd. Clique em Iniciar, aponte para Todos os Programas e clique em Acessrios. Verifique se o menu Executar no est mesmo aparecendo. Pressione ALT Direita+DELETE e clique em Alterar uma senha.
L8-116
4. 5.
No campo Senha Antiga, digite Pa$$w0rd. Nos campos Nova Senha e Confirmar Senha, digite w0rdPa$$ e pressione ENTER. Voc no conseguir atualizar a senha porque o tempo de vida mnimo da senha ainda no expirou. No campo Senha Antiga, digite Pa$$w0rd. Nos campos Nova Senha e Confirmar senha, digite pa e pressione ENTER. Voc no conseguir atualizar a senha porque o comprimento mnimo da senha ainda no foi atingido. Clique em Cancelar.
6. 7.
8.
Tarefa 3: Fazer logon no controlador de domnio como administrador de domnio e testar os servios e as restries de software
1. 2. 3. Em NYC-DC1, clique em Iniciar, digite GPUpdate /force e pressione ENTER. Clique em Iniciar, aponte para Todos os Programas e clique em Internet Explorer. Revise a mensagem de erro e clique em OK.
4. 5. 6. 7. 8. 9.
Clique em Iniciar e, em seguida, clique em Computador. Na janela Computador, navegue at E:\Mod08\LabFiles e clique duas vezes em hello.vbs. Clique em OK. Revise a mensagem de erro e clique em OK. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Servios. No painel de detalhes da janela Servios, role a tela para baixo at o servio Windows Installer e verifique se ele est definido como Desabilitado.
L8-117
Tarefa 4: Usar a modelagem da Diretiva de Grupo para testar as configuraes no servidor de arquivos e de impresso
1. 2. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo. No painel do console da janela Gerenciamento de Diretiva de Grupo, clique com o boto direito do mouse em Modelagem da Diretiva de Grupo e, em seguida, clique em Assistente para Modelagem de Diretiva de Grupo. No Assistente para Modelagem de Diretiva de Grupo, clique em Avanar. Na pgina Seleo de Controlador de Domnio, clique em Avanar. Na pgina Seleo de Usurio e Computador, na seo Informaes do Computador, clique em Computador. No campo Computador, digite WOODGROVEBANK\NYC-SVR1 e clique em Avanar. Na pgina Opes de Simulao Avanadas, clique em Avanar. Na pgina Caminhos Alternativos do Active Directory, clique em Avanar. Na pgina Grupos de Segurana do Computador, clique em Avanar.
3. 4. 5. 6. 7. 8. 9.
10. Na pgina Filtros WMI para Computadores, clique em Avanar. 11. Na pgina Resumo das Selees, clique em Avanar. 12. Quando o processo for concludo, clique em Concluir. 13. No painel de detalhes, clique em mostrar tudo e revise as configuraes de Diretiva de Grupo.
L8-118
L9-119
Tarefa 2: Usar o Console de Gerenciamento de Diretiva de Grupo para criar e vincular um GPO (Objeto de Diretiva de Grupo) ao domnio para configurar atualizaes de cliente
1. 2. 3. 4. 5. Em NYC-DC1, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciamento de Diretiva de Grupo. No painel do console, expanda Floresta: WoodgroveBank.com e Domnios, e clique em WoodgroveBank.com. Clique com o boto direito do mouse em WoodgroveBank.com e clique em Criar um GPO neste domnio e fornecer um link para ele aqui. Na caixa de dilogo Novo GPO , digite WSUS e clique em OK. No painel de detalhes, clique com o boto direito do mouse em WSUS e clique em Editar.
L9-120
6.
Na janela Editor de Gerenciamento de Diretiva de Grupo, em Configurao do Computador, expanda Diretivas, Modelos Administrativos e Componentes do Windows, e clique em Windows Update. No painel de detalhes, clique duas vezes em Configurar Atualizaes Automticas.
7.
Observao: a ordem das configuraes abaixo pode ser diferente e talvez seja necessrio localizar e abrir cada uma separadamente.
8. 9.
Na caixa de dilogo Propriedades de Configurar Atualizaes Automticas, clique em Habilitado e em Prxima Configurao. Na caixa de dilogo Propriedades de Especificar o local do servio de atualizao na intranet da Microsoft, clique em Habilitado.
10. No campo Configurar o servio de atualizao da intranet para detectar atualizaes, digite http://NYC-SVR1. 11. No campo Configure o servidor de estatsticas da intranet, digite http://NYC-SVR1 e clique em Prxima Configurao. 12. Na caixa de dilogo Propriedades de Freqncia de deteco de Atualizaes Automticas, clique em Habilitado e em OK. 13. Feche o Editor de Gerenciamento de Diretiva de Grupo e o Gerenciamento de Diretiva de Grupo. 14. Em NYC-CL2, clique em Iniciar | Todos os Programas |Acessrios | Prompt de Comando. 15. Abra um Prompt de Comando, digite GPUpdate /force e pressione ENTER. 16. Aguarde o comando GPUpdate ser concludo. 17. Clique em Iniciar, clique no boto de seta para a direita e em Reiniciar. 18. Aguarde NYC-CL2 ser reiniciado. 19. Faa logon na mquina virtual NYC-CL2 como WOODGROVEBANK\Administrador com a senha Pa$$w0rd.
L9-121
L9-122
4. 5. 6. 7. 8. 9.
No painel de detalhes, clique em Ttulo para classificar os resultados por ttulo. Role a tela para baixo, clique com o boto direito do mouse em Atualizao de segurana para Windows Vista (KB957095) e clique em Aprovar. Na caixa de dilogo Aprovar Atualizaes, clique na seta ao lado de Todos os Computadores, clique em Aprovado para Instalao e em OK. Na pgina Progresso da Aprovao, quando o processo for concludo, clique em Fechar. No painel de detalhes, clique com o boto direito do mouse em Atualizao de segurana para Windows Vista (KB957097) e clique em Aprovar. Na caixa de dilogo Aprovar Atualizaes, clique na seta ao lado de Todos os Computadores, aponte para Prazo e clique em Personalizar.
10. Na caixa de dilogo Escolher Prazo, no campo Data, digite a data de ontem e clique em OK duas vezes.
Observao: se voc informar a data de ontem, a atualizao ser instalada assim que os computadores cliente contatarem o servidor. Como essas MVs usam o ambiente Microsoft Iniciador do Laboratrio, sua data no corresponder data real. Isso ocorre por padro. Anote a data configurada das MVs e informe uma data um dia antes dessa data.
L9-123
3. 4.
No prompt de comando, digite wuauclt /detectnow e pressione ENTER. A caixa de dilogo Windows Update aparecer, informando que a atualizao est sendo instalada e que o computador precisa ser reiniciado. Clique em Reiniciar agora.
Observao: talvez leve alguns minutos para que a caixa de dilogo Windows Update seja exibida.
5. 6. 7. 8.
Faa logon em NYC-CL2 como WOODGROVEBANK\Administrador com a senha Pa$$w0rd. Clique em Iniciar, aponte para Todos os Programas e clique em Windows Update. Na janela Windows Update, no painel esquerdo, clique em Exibir Histrico de Atualizao. Na pgina Analisar histrico de atualizao, localize Atualizao de segurana para Windows Vista (KB957097).
Observao: devido s limitaes do ambiente de laboratrio, a atualizao KB957097 previamente carregada no servidor WSUS para demonstrar o processo de atualizao.
9.
L9-124
L9-125
3.
4. 5. 6. 7. 8. 9.
L9-126
L9-127
11. No painel de detalhes, clique duas vezes em Administrador. 12. Na caixa de dilogo Propriedades de Administrador, clique na guia Telefones. 13. No campo Celular, digite 555-555-5555 e clique em OK. 14. Feche Usurios e Computadores do Active Directory e restaure o Gerenciador de Servidores. 15. No painel de detalhes, localize o evento 4662 mais recente e clique duas vezes para exibir os detalhes.
Observao: talvez demore um pouco para que o evento aparea.
6. 7. 8. 9.
Na pgina Defina as Opes de Relatrio, examine as opes padro e clique em Avanar. Na pgina Confirmar Selees de Instalao, clique em Instalar. Quando a instalao estiver concluda, clique em Fechar. Feche o Gerenciador de Servidores.
Resultados: depois de concluir este exerccio, voc ter instalado o servio de funo do FSRM com xito em NYC-SVR1.
10. Clique na guia Log de Eventos e marque a caixa de seleo Enviar aviso para log de eventos. 11. Clique em OK duas vezes.
7. 8. 9.
10. Em Gerenciador de Recursos de Servidor de Arquivos, no menu Ao, clique em Atualizar. 11. No painel de detalhes, observe que a pasta recm-criada aparece na lista.
5.
6. 7. 8.
No painel do console Visualizar Eventos, expanda Logs do Windows e clique em Aplicativo. No painel de detalhes, observe o evento com a ID do Evento 12305. Na janela Prompt de Comando, digite fsutil file createnew file2.txt 16400000 e pressione ENTER. Observe que o arquivo no pode ser criado porque ultrapassaria o limite de cota. No Windows Explorer, clique com o boto direito do mouse na pasta Users e, em seguida, clique em Propriedades.
9.
10. Na caixa de dilogo Propriedades de Users, clique em Avanado. 11. Na caixa de dilogo Atributos Avanados, marque a caixa de seleo Compactar o contedo para economizar espao em disco e clique em OK duas vezes.
Importante: quando a pasta Users for compactada, voc ter reduzido o espao real do arquivo. Se voc tivesse especificado isso usando as cotas do sistema de arquivos NTFS, o tamanho real do arquivo seria calculado, e no o tamanho compactado.
12. Na caixa de dilogo Confirmar Alteraes de Atributo, verifique se Aplicar as alteraes a esta pasta, subpastas e arquivos est selecionado e clique em OK. 13. No painel de detalhes Gerenciador de Recursos de Servidor de Arquivos, clique com o boto direito do mouse em Cotas e, em seguida, clique em Atualizar. Observe que a quantidade de espao utilizado significativamente reduzida. 14. Na janela Prompt de Comando, digite fsutil file createnew file2.txt 16400000 e pressione ENTER. Agora, o arquivo ser criado com xito.
Importante: ao criar arquivos, voc estar especificando o nmero de bytes que eles tero. por isso que eles no tm exatamente 85000000, pois um byte corresponde a apenas oito bits.
2. 3. 4. 5. 6. 7. 8. 9.
6. 7.
7.
Laboratrio A: Instalao do Servio de Funo Sistema de Arquivos Distribudos e criao de um namespace de DFS L11-137
Laboratrio A: Instalao do Servio de Funo Sistema de Arquivos Distribudos e criao de um namespace de DFS
Exerccio 1: Instalao do Servio de Funo DFS (Sistema de Arquivos Distribudos)
Tarefa 1: Iniciar cada mquina virtual e fazer logon
1. 2. 3. 4. No Iniciador do Laboratrio, ao lado de 10140A-NYC-DC1, clique em Launch. No Iniciador do Laboratrio, ao lado de 10140A-NYC-SVR1, clique em Launch. Faa logon nas duas mquinas virtuais como Woodgrovebank\Administrador com a senha Pa$$w0rd. Minimize a janela do Iniciador do Laboratrio.
4. 5.
6.
Na pgina Crie um Namespace DFS, clique em Criar um namespace mais tarde usando o snap-in Gerenciamento DFS no Gerenciador de Servidores e, em seguida, clique em Prximo. Na pgina Confirmar Selees de Instalao, clique em Instalar. Quando a instalao estiver concluda, clique em Fechar. No Gerenciador de Servidores, verifique se Servidor de Arquivos, Sistema de Arquivos Distribudos, Namespaces DFS e Replicao DFS esto instalados.
7. 8. 9.
4. 5. 6.
7. 8. 9.
Laboratrio A: Instalao do Servio de Funo Sistema de Arquivos Distribudos e criao de um namespace de DFS L11-139
10. No painel de detalhes, clique na guia Servidores de Namespaces. Observe que o namespace CorpDocs hospedado em um servidor de namespaces nico (NYC-DC1).
2. 3.
4.
2. 3. 4. 5. 6. 7. 8.
9.
10. Na caixa de dilogo Procurar Pastas Compartilhadas, clique em OK. 11. Na caixa de dilogo Adicionar Destino de Pasta, verifique se o caminho \\NYC-DC1\HRTemplateFiles e clique em OK. 12. Na caixa de dilogo Nova Pasta, verifique se HRTemplates est listado como Nome e se \\NYC-DC1\HRTemplateFiles est listado como Destinos de Pasta, e clique em OK.
13. Na rvore do console, clique em \\WoodgroveBank.com\CorpDocs. 14. No painel de detalhes, clique na guia Namespace. Observe que HRTemplates est listado como uma entrada no namespace. 15. Na rvore do console, expanda \\WoodgroveBank.com\CorpDocs e clique em HRTemplates. Observe que um destino de pasta est configurado na guia Destinos de Pasta do painel de detalhes. 16. Clique na guia Replicao e observe que a replicao no est configurada.
2. 3. 4. 5. 6. 7. 8. 9.
10. Na caixa de dilogo Aviso, clique em Sim para criar a pasta C:\PolicyFiles. 11. Na caixa de dilogo Procurar Pastas Compartilhadas, clique em OK. 12. Na caixa de dilogo Adicionar Destino de Pasta, verifique se o caminho \\NYC-SVR1\PolicyFiles e clique em OK.
13. Na caixa de dilogo Nova Pasta, verifique se PolicyFiles est listado como Nome e se \\NYC-SVR1\PolicyFiles est listado como Destinos de pasta, e clique em OK. 14. No painel do console, clique em PolicyFiles. Observe que um destino de pasta est configurado na guia Destinos de Pasta do painel de detalhes.
Observao: se elas no estiverem visveis, talvez seja necessrio aguardar cinco minutos para que a configurao seja concluda.
3. 4. 5. 6. 7. 8. 9.
Clique duas vezes em HRTemplates. No menu Arquivo, aponte para Novo e clique em Documento RTF. Digite Vacation Request e pressione ENTER. Na barra de navegao, clique no boto Voltar. Clique duas vezes em PolicyFiles. No menu Arquivo, aponte para Novo e clique em Documento RTF. Digite Order Policies e pressione ENTER.
10. Feche a janela PolicyFiles. 11. Em NYC-SVR1, clique em Iniciar, digite \\WoodgroveBank.com\CorpDocs e pressione ENTER. 12. Na janela do Windows Explorer exibida, observe que as pastas HRTemplates e PolicyFiles esto visveis. 13. Navegue at as duas pastas e verifique que possvel acessar os arquivos. Fecha a janela quando ela for concluda.
Tarefa 4: Criar destinos de pasta adicionais para a pasta HRTemplates e configurar a replicao de pasta
1. 2. 3. 4. 5. Em NYC-DC1, no painel do console Gerenciamento DFS, clique com o boto direito do mouse em HRTemplates e clique em Adicionar Destino de Pasta. Na caixa de dilogo Novo Destino de Pasta, no campo Caminho para o destino de pasta, digite \\NYC-SVR1\HRTemplates e clique em OK. Na caixa Aviso, clique em Sim para criar a pasta compartilhada \\NYCSVR1\HRTemplates. Na caixa de dilogo Criar Compartilhamento, no campo Caminho local da pasta compartilhada, digite C:\HRTemplates. Em Permisses da pasta compartilhada, clique em Administradores possuem acesso total; outros usurios possuem permisses somente leitura e, em seguida, clique em OK. Na caixa de dilogo Aviso, clique em Sim para criar a pasta C:\HRTemplate. Na caixa de dilogo Replicao, clique em Sim para criar um grupo de replicao. Na pgina Nome do Grupo de Replicao e da Pasta Replicada, verifique se woodgrovebank.com\corpdocs\hrtemplates est listado como Grupo de replicao e se HRTemplates est listado como Pasta replicada, e clique em Avanar. Na pgina Qualificao da Replicao, verifique se NYC-DC1 e NYC-SVR1 aparecem na lista, e clique em Avanar.
6. 7. 8.
9.
10. Na pgina Membro Primrio, na lista Membro Primrio, clique em NYC-DC1 e, em seguida, clique em Avanar. 11. Na pgina Seleo de Topologia, verifique se Malha completa est selecionado e clique em Avanar. 12. Na pgina Agendamento e Largura de Banda do Grupo de Replicao, verifique se Replicar continuamente usando a largura de banda especificada est selecionado e, na lista Largura de banda, se Completo est selecionado. Depois, clique em Avanar. 13. Na pgina Revisar Configuraes e Criar Grupo de Replicao, examine as configuraes e clique em Criar. 14. Na pgina Confirmao, verifique se todas as tarefas foram concludas com xito e clique em Fechar.
15. Leia a mensagem Atraso na Replicao e clique em OK. 16. No painel do console, expanda Replicao e clique em woodgroveBank.com\corpdocs\hrtemplates. 17. Na guia Associaes do painel de detalhes, verifique se NYC-DC1 e NYCSVR1 esto listados e habilitados.
Tarefa 5: Criar destinos de pasta adicionais para a pasta PolicyFiles e configurar a replicao de pasta
1. 2. 3. 4. 5. Em NYC-DC1, no painel do console Gerenciamento DFS, clique com o boto direito do mouse em PolicyFiles e clique em Adicionar Destino de Pasta. Na caixa de dilogo Nova Pasta de Destino, no campo Caminho para o destino de pasta, digite \\NYC-DC1\PolicyFiles e clique em OK. Na caixa de dilogo Aviso, clique em Sim para criar a pasta compartilhada \\NYC-DC1\PolicyFiles. Na caixa de dilogo Criar Compartilhamento, no campo Caminho local da pasta compartilhada, digite C:\PolicyFiles. Em Permisses da pasta compartilhada, clique em Administradores possuem acesso total; outros usurios possuem permisses somente leitura e, em seguida, clique em OK. Na caixa Aviso, clique em Sim para criar a pasta C:\PolicyFiles. Na caixa de dilogo Replicao, clique em Sim para criar um grupo de replicao. Na pgina Nome do Grupo de Replicao e da Pasta Replicada, verifique se woodgrovebank.com\corpdocs\policyfiles est listado como Grupo de replicao e se PolicyFiles est listado como Pasta replicada , e clique em Avanar. Na pgina Qualificao da Replicao, verifique se NYC-DC1 e NYC-SVR1 aparecem na lista, e clique em Avanar.
6. 7. 8.
9.
10. Na pgina Membro Primrio, na lista Membro primrio, clique em NYCSVR1 e, em seguida, clique em Avanar. 11. Na pgina Seleo de Topologia, verifique se Malha completa est selecionado e clique em Avanar.
12. Na pgina Agendamento e Largura de Banda do Grupo de Replicao, verifique se Replicar continuamente usando a largura de banda especificada est selecionado e, na lista Largura de banda, se Completo est selecionado. Depois, clique em Avanar. 13. Na pgina Revisar Configuraes e Criar Grupo de Replicao, examine as configuraes e clique em Criar. 14. Na pgina Confirmao, verifique se todas as tarefas foram concludas com xito e clique em Fechar. 15. Leia a mensagem Atraso na Replicao e clique em OK. 16. No painel do console, clique em woodgrovebank.com\corpdocs\policyfiles. 17. Na guia Associaes do painel de detalhes, verifique se NYC-DC1 e NYCSVR1 esto listados e habilitados.
2. 3. 4. 5. 6. 7. 8.
9.
3. 4. 5. 6.
2. 3. 4.
1. 2. 3. 4. 5. 6. 7.
Clique em Iniciar | Gerenciador de Servidores. A janela Gerenciador de Servidores aberta. Na rvore do console Gerenciador de Arquivos, clique em Recursos. No painel de detalhes, clique em Adicionar Recursos. No Assistente para Adicionar Recursos, selecione Balanceamento de Carga de Rede e clique em Prximo. Na pgina Confirmar Selees de Instalao, clique em Instalar. Na pgina Resultados da Instalao, clique em Fechar. Feche o Gerenciador de Servidores.
1. 2. 3.
Clique em Iniciar | Ferramentas Administrativas | Gerenciador de Balanceamento de Carga de Rede. A janela Gerenciador de Balanceamento de Carga de Rede aberta. Maximize a janela. Na rvore de console, clique com o boto direito do mouse em Clusters de Balanceamento de Carga de Rede e clique em Novo Cluster.
4. 5. 6. 7.
Na caixa de dilogo Novo Cluster: Conectar, no campo Host, digite NYC-DC1 e clique em Conectar-se. Em Interfaces disponveis para configurar um novo cluster, clique na interface da rede 10.10.0 e, em seguida, clique em Avanar. Na pgina Parmetros do Host, clique em Adicionar. Na caixa de dilogo Adicionar Endereo IP, no campo Endereo IPv4, digite 10.10.0.80 e pressione TAB para que o campo Mscara de sub-rede seja preenchido automaticamente. Clique em OK e, em seguida, clique em Avanar. Na pgina Endereos IP de Cluster, clique em Adicionar.
8. 9.
10. Na caixa de dilogo Adicionar Endereo IP, no campo Endereo IPv4, digite 10.10.0.70 e pressione TAB para que o campo Mscara de sub-rede seja preenchido automaticamente. 11. Clique em OK e, em seguida, clique em Avanar. 12. Na pgina Parmetros do Cluster, no campo Nome de Internet completo, digite webfarm.woodgrovebank.com. 13. Clique em Multicast e em Avanar. 14. Na pgina Regras de Porta, clique em Editar. 15. Na caixa de dilogo Adicionar/Editar Regra de Porta, no campo De, digite 80 e, no campo A, digite 80. 16. Em Protocolos, clique em TCP. 17. Em Afinidade clique em Nenhuma. 18. Clique em OK e depois em Concluir.
Observao: inicie as etapas abaixo somente depois que a alterao anterior for concluda. Use as entradas de log na parte inferior para determinar quando a alterao anterior foi concluda.
19. Na rvore do console, clique com o boto direito do mouse em webfarm.woodgrovebank.com e clique em Adicionar Host ao Cluster. 20. Na caixa de dilogo Adicionar Host ao Cluster: Conectar, no campo Host, digite NYC-SVR1 e clique em Conectar-se.
21. Em Interfaces disponveis para configurar um novo cluster, clique na interface com o endereo IP 10.10.0.24 e, em seguida, clique em Avanar. 22. Na pgina Parmetros do Host, clique em Adicionar. 23. Na caixa de dilogo Adicionar Endereo IP, no campo Endereo IPv4, digite 10.10.0.81 e pressione TAB para que o campo Mscara de sub-rede seja preenchido automaticamente. 24. Clique em OK, e, em seguida, clique em Avanar. 25. Na pgina Regras de Porta, clique em Concluir.
Observao: talvez leve trs minutos para que os hosts do cluster NLB sejam convergidos. Espere at que os hosts NLB exibam o status Convergido antes de passar para as prximas etapas.
1. 2. 3. 4. 5.
Clique em Iniciar | Todos os Programas | Internet Explorer. Na barra de endereos do Internet Explorer, digite http://10.10.0.70 e pressione ENTER. A pgina padro do IIS 7.0 exibida. Desligue NYC-SVR1. Em NYC-DC1, na barra de endereos do Internet Explorer, digite http://10.10.0.70 e pressione ENTER.
Resultados: mesmo que um membro do Cluster NLB no esteja disponvel, o site ainda estar disponvel.
6. 7. 8. 9.
Clique em 10140A-NYC-SVR1-LAB14-EX1A.blg e, em seguida, clique em Abrir. Na caixa de dilogo Propriedades de Desempenho do Sistema, clique em OK. No painel de detalhes de desempenho do sistema clique em Adicionar (CTRL+I). Na caixa de dilogo Adicionar Contadores, em Contadores disponveis, expanda Processor e clique em % Processor Time.
10. Em Instncias do objeto selecionado, clique em 0 e, em seguida, clique em Adicionar. 11. Na caixa de dilogo Adicionar Contadores, em Contadores disponveis, expanda System, clique em Processor Queue Length, clique em Adicionar e, em seguida, clique em OK. 12. Na parte inferior da janela, clique em % Tempo de Processador para exibir o grfico do uso da CPU em NYC-SVR1 e observe o seguinte: O valor mnimo 34% O valor mximo 100% O valor mdio 82,58%
13. Clique em Adicionar (CTRL+I). 14. Na caixa de dilogo Adicionar Contadores, em Contadores disponveis, expanda Process e clique em % Processor Time. 15. Em Instncias do objeto selecionado, clique em <Todas as Instncias>, clique em Adicionar e, em seguida, clique em OK. 16. Revise a % de Tempo de Processador usada por cada processo. recomendvel o uso do boto Realar (CTRL+ H) para exibir cada instncia. Identifique o processo que est consumindo a CPU. Resposta: o processo cpustres est consumindo a maior parte do tempo da CPU. 17. Feche Monitor de Desempenho e Confiana.
10. Em Instncias do objeto selecionado, clique em 0 C: e, em seguida, clique em Adicionar. 11. Em Contadores disponveis, clique em Current Disk Queue Length. 12. Em Instncias do objeto selecionado, clique em 0 C: e, em seguida, clique em Adicionar. 13. Em Contadores disponveis, clique em Disk Transfers/sec. 14. Em Instncias do objeto selecionado, clique em 0 C: e, em seguida, clique em Adicionar. 15. Em Contadores disponveis, expanda Processo e clique em IO Data Bytes/sec. 16. Em Instncias do objeto selecionado, clique em <Todas as Instncias>, clique em Adicionar e, em seguida, clique em OK.
17. Revise os valores de Bytes de Dados de ES/s de cada processo. recomendvel o uso do boto Realar (CTRL+H) para exibir cada instncia. Identifique o processo que est consumindo a capacidade da transferncia de disco. Resposta: o processo explorer est consumindo os recursos do disco. 18. Feche Monitor de Desempenho e Confiana.
10. Em Instncias do objeto selecionado, clique em <Todas as Instncias> e, em seguida, clique em Adicionar. 11. Em Contadores disponveis, expanda Paging File, clique em % Usage, mantenha pressionada a tecla CTRL e clique em % Usage Peak.
12. Em Instncias do objeto selecionado, clique em \??\C:\pagefile.sys e, em seguida, clique em Adicionar. 13. Em Contadores disponveis, expanda Memory, clique em % Committed Bytes In Use, mantenha pressione a tecla CTRL e clique em Available MBytes, Committed Bytes, Page Faults/sec, Pages/sec, Pool Nonpaged Bytes, Pool Paged Bytes, clique em Adicionar e, em seguida, clique em OK. 14. Exiba o grfico do uso de memria e processo em NYC-SVR1. Revise os valores mnimo mximo de cada processo para localizar o problema. (O valor de Mbytes Disponveis cai para 4 MB.). Revise o valor de Conjunto de Trabalho - Particular para cada processo. recomendvel o uso do boto Realar (CTRL+H) para exibir cada instncia. Determine qual processo est consumindo memria. Resposta: os processos leakyapp esto consumindo muita memria.
8. 9.
10. Na caixa de dilogo Propriedades de File Server Monitoring, na guia Condio de Parada, no campo Durao geral, digite 2 e clique em OK. 11. No painel do console, clique com o boto direito do mouse em File Server Monitoring e clique em Iniciar.
Observao: se voc receber um erro, clique em OK e tente iniciar o conjunto de coletores novamente.
12. No menu Ao, clique em Relatrio Mais Recente. 13. Aps cerca de dois minutos, os dados sero coletados e o relatrio ser exibido. Revise os dados coletados.
10. Na pgina Criar conjunto de coletores de dados?, clique em Concluir. 11. No painel de detalhes, clique duas vezes em High CPU Monitoring e em DataCollector01. 12. Na caixa de dilogo Propriedades de DataCollector01, na guia Ao de Alerta, marque a caixa de seleo Registrar uma entrada no log de eventos do aplicativo e clique em OK. 13. Feche Monitor de Desempenho e Confiana.
10. No painel do console Visualizador de Eventos, clique em Inscries. 11. Na caixa de dilogo Visualizador de Eventos, clique em Sim. 12. No painel do console, clique com o boto direito do mouse em Inscries e, em seguida, clique em Criar Inscrio. 13. Na caixa de dilogo Propriedades da Inscrio, no campo Nome da inscrio, digite Erros de Replicao. 14. Verifique se, na lista Log de destino, Eventos Encaminhados aparece selecionado e clique em Selecionar Computadores. 15. Na caixa de dilogo Computadores, clique em Adicionar Computadores de Domnio.
16. No campo Selecionar Computador, digite NYC-DC1 e clique em OK duas vezes. 17. Na caixa de dilogo Propriedades da Inscrio, clique em Selecionar Eventos. 18. Na caixa de dilogo Filtro de Consulta, na guia XML, marque a caixa de seleo Editar consulta manualmente. 19. Na caixa de dilogo Visualizador de Eventos, clique em Sim. 20. Na caixa de dilogo Filtro de Consulta, digite as seguintes informaes e clique em OK.
<QueryList> <Query Id="0" Path="Servio de Diretrio"> <Select Path="Servio de Diretrio">*[System[(Level=2 or Level=3) and (EventID=1308 or EventID=1864)]]</Select> </Query> </QueryList>
21. Na caixa de dilogo Propriedades da Inscrio, clique em OK. 22. Feche o recurso Visualizador de Eventos.
$aryComputers = "NYC-DC1","NYC-SVR1" Set-Variable -name intDriveType -value 3 -option constant foreach ($strComputer in $aryComputers) {"Discos rgidos em: " + $strComputer Get-WmiObject -class win32_logicaldisk -computername $strComputer | Where {$_.drivetype -eq $intDriveType} | Format-table}
3. 4. 5. 6.
No menu Arquivo, clique em Salvar como. Na caixa de dilogo Salvar como, no campo Nome do arquivo, digite DriveReport.ps1. Na lista Salvar como tipo, clique em Todos os Arquivos e, em seguida, clique em Salvar. Feche o Bloco de Notas.
7. 8.
Clique em Iniciar, aponte para Todos os Programas, clique em Windows PowerShell 1.0 e clique em Windows PowerShell. Na janela Windows PowerShell, digite Set-ExecutionPolicy unrestricted e pressione ENTER.
9.
Antes de iniciar a mquina virtual 10140A-NYC-SVR1, verifique se a mquina virtual 10140A-NYC-DC1 foi completamente iniciada.
2.
Atualmente, voc copia os dados confidenciais de Recursos Humanos em um disco rgido removvel que est conectado a um computador do escritrio de Recursos Humanos. Essa tarefa realizada semanalmente usando um script para preservar a criptografia dos arquivos. Quais so as conseqncias desse processo e como voc lidaria com elas? Resposta: o problema que os arquivos confidenciais esto em um dispositivo facilmente removvel em um escritrio desprotegido. Voc poderia fornecer um dispositivo de armazenamento de dados seguro ou colocar o disco rgido removvel em uma rea segura aps o backup.
3.
Voc concordou tambm que, se um servidor falhar, dever ser possvel restaur-lo em seis horas, incluindo todas as funes, recursos, aplicativos e identidade de segurana instalados. O plano de backup atual permite restaurar os servidores dessa maneira? Resposta: no. Nenhum backup de estado de sistema est sendo realizado nos servidores; portanto, os servidores devem ser recriados caso haja alguma falha. Isso tornar a restaurao da configurao original muito difcil.
2.
Como voc atenderia exigncia de restaurao dos servidores e com que freqncia voc faria o backup? Resposta: faa o backup dos dados de estado do sistema nos servidores, para que voc possa restaur-los posteriormente. O backup deve ser feito em uma freqncia apropriada; portanto, isso depender da freqncia em que a configurao do servidor alterada. As agendas comuns possivelmente sero semanais ou mensais.
10. Na pgina Concluindo o Assistente Para Novas Parties Simples, clique em Concluir. 11. Quando a operao de formatao for concluda, feche o Gerenciamento do Computador.
5. 6. 7. 8. 9.
Na pgina Selecionar os itens de backup, desmarque as caixas de seleo AllFiles (E:) e Backup (F:) , e clique em Avanar. Na pgina Especificar horrio do backup, clique em Mais de uma vez ao dia. Em Tempo disponvel, clique em 12:30, em Adicionar e, por fim, em Avanar. Na pgina Selecione o disco de destino, clique em Mostrar Todos os Discos Disponveis. Na caixa de dilogo Mostrar Todos os Discos Disponveis, marque a caixa de seleo Disco 2 e clique em OK.
10. Na pgina Selecionar o disco de destino, marque a caixa de seleo Disco 2 e clique em Avanar. 11. Na caixa de dilogo Backup do Windows Server, clique em Sim. 12. Na pgina Rotular disco de destino, clique em Avanar. 13. Na pgina Confirmao, clique em Concluir. 14. Na pgina Resumo, clique em Fechar. 15. Feche o Backup do Windows Server.
3. 4.
5.
6. 7. 8. 9.
Na mensagem Assistente para Exportao de Certificados, clique em Avanar. Na pgina Exportar Chave Particular, selecione Sim, exportar a chave particular e clique em Avanar. Na pgina Formato do Arquivo de Exportao, clique em Avanar. Na pgina Senha, nos campos Senha e Digite e confirme a senha (obrigatrio), digite Pa$$w0rd e clique em Avanar.
10. Na pgina Arquivo a Ser Exportado, no campo Nome do Arquivo, digite C:\AdminKey.pfx e clique em Avanar. 11. Na pgina Concluindo o Assistente para Exportao de Certificados, clique em Concluir. 12. Na caixa de dilogo de informaes, clique em OK. 13. Fechar todas as janelas.
3.
Quais so os outros efeitos de uma alterao na estratgia de backup? Resposta: o tempo do backup ser significativamente reduzido aps o primeiro backup. Os requisitos de armazenamento de backup sero reduzidos porque somente o repositrio dos backups subseqentes alterado, e no todos os dados.
c.
Como voc poderia tornar mais fcil o processo de restaurao? Resposta: o backup regular do volume C:, incluindo os dados de estado do sistema, facilitaria a restaurao do servidor, pois voc poderia realizar a restaurao no Ambiente de Recuperao do Windows (Windows RE).
2.
Que anlise adicional voc deve fazer para a execuo de uma restaurao experimental dos dados de RH em NYC-FS1? Resposta: recupere a mdia de backup fora do local para fins de teste.
3.
Com que tipos de dados de backup voc dever realizar uma restaurao experimental? Resposta: faa restauraes experimentais em todos os tipos de backup, incluindo backups de volume, backups completos de servidor e backups de banco de dados.
neste ponto que voc poder ver quaisquer problemas ocorridos em uma operao de restaurao.
4.
5. 6. 7. 8. 9.
10. Na caixa de dilogo Selecionar Usurios ou Grupos, digite Operadores de Restaurao e clique em OK duas vezes. 11. Feche Diretiva de Segurana Local.
10. Na pgina Confirmao, clique em Backup. 11. O backup levar aproximadamente 10 minutos para ser concludo. Quando ele terminar, clique em Fechar.
Resultados: agora, voc ter um backup completo da unidade E.
12. Clique em Iniciar e, em seguida, clique em Computador. 13. Na janela Computador, navegue at E:\Mod15. 14. Clique com o boto direito do mouse em Document 3.txt e, em seguida, clique em Excluir.
15. Na caixa de dilogo Excluir Arquivo, clique em Sim. 16. Na janela Backup do Windows Server, no painel Ao, clique em Recuperar. 17. Na pgina Iniciando, clique em Avanar. 18. Em Selecione a data do backup, clique em Avanar. 19. Na pgina Selecionar tipo de recuperao, verifique se a opo Arquivos e pastas est selecionada e clique em Avanar. 20. Na pgina Selecionar itens que sero recuperados, em Itens disponveis, expanda NYC-INF, expanda AllFiles (E:) e clique em Mod15. 21. No painel de detalhes, clique em Document 3.txt e, em seguida, clique em Avanar. 22. Na pgina Especificar opes de recuperao, examine as opes de configurao e clique em Avanar. 23. Na pgina Confirmao, clique em Recuperar. 24. Quando a operao de restaurao estiver concluda, clique em Fechar. 25. Feche o Backup do Windows Server. 26. No Windows Explorer, observe que Document 3.txt est presente. 27. Feche o Windows Explorer.
Observao: uma restaurao de sistema completa demorar um tempo considervel para ser concluda, mas depois que ela for feita, o servio Servidor DHCP ser iniciado com xito.
Resultados: o backup e a restaurao dos arquivos sero feitos com xito por meio do utilitrio Backup do Windows Server.
Notas
Notas
Notas
Notas
Notas
Notas
Notas
Notas
Notas
Notas
Notas
Notas