MS Ad

Alfamdia Redes: Solues Microsoft Workgroup e AD
Solues Microsoft Workgroup e AD

Todos os direitos reservados para Alfamdia Prow AVISO DE RESPONSABILIDADE As informaes contidas neste material de treinamento so distribudas NO ESTADO EM QUE SE ENCONTRAM, sem qualquer garantia, expressa ou implcita. Embora todas as precaues tenham sido tomadas na preparao deste material, a Alfamdia Prow no tm qualquer responsabilidade sobre qualquer pessoa ou entidade com respeito responsabilidade, perda ou danos causados, ou alegadamente causados, direta ou indiretamente, pelas instrues contidas neste material ou pelo software de computador e produtos de hardware aqui descritos.
01/2012 Alfamdia Prow http://www.alfamidia.com.br
Solues Microsoft Workgroup e AD Unidade 1 Unidade 2

2.1
Workgroup ....................................................................................... 5 Instalao e Configurao Inicial de Windows 7 e Server 2008 .. 7
Instalao do Windows 7 ........................................................................................... 7
Configurao de rede no Windows 7................................................................... 19

2.2 Instalao do Windows Server 2008 ...................................................................... 24
Viso Geral do Windows Server 2008 ................................................................. 33 Roles e Features (Funes e Recursos) .............................................................. 35 Criao de usurios e grupos locais .................................................................... 41 Grupos locais:....................................................................................................... 49 Configurao de compartilhamento local (pastas e impressoras) ..................... 55 Acessando recursos atravs da rede: ................................................................... 58 Unidade 3
3.1 3.2 3.3 3.4
Conceitos de Active Directory ....................................................... 77
O que Active Directory? ....................................................................................... 77 Roles do AD no Windows Server 2008 ................................................................... 77 O que Domain Services? ....................................................................................... 78 Estrutura lgica e fsica do ADDS .......................................................................... 79
Unidade 4
4.1
Nomenclatura LDAP ..................................................................... 80 Criao de um Domnio de Active Directory ................................ 81
Conhecimento adicional: como formar um nome LDAP ................................. 80
Unidade 5
5.1
Configurao dos pr-requisitos da Role Active Directory Domain Services .... 81
5.2 Configurao do Windows Server como Controlador de Domnio (Domain Controller) ............................................................................................................................. 85
Unidade 6
6.1 6.2
Configurao e Administrao dos Objetos do ADDS ............... 107
O que uma OU? ................................................................................................... 108 Planejamento e criao de OU .............................................................................. 108
Unidade 7
7.1 7.2 7.3 7.4
Configurao de usurios e grupos ............................................ 111
Criao de usurios ............................................................................................... 111 Administrao das contas de usurio ................................................................... 114 Configurao de propriedades ............................................................................. 119 Configurao do perfil ambulante ....................................................................... 129
Unidade 8
8.1 8.2 8.3
Criao de grupos ........................................................................ 133
Tipos e escopos de grupos ..................................................................................... 134 Adicionando membros ........................................................................................... 137 Configurao de outras propriedades.................................................................. 139
Unidade 9 Segurana dos Recursos de Disco: Configurao de compartilhamento .............................................................................................. 145 3

9.1 Compartilhamento de recursos ............................................................................ 145
Unidade 10 Segurana dos Recursos de Disco: Configurao das permisses de segurana NTFS............................................................................................ 149
10.1 10.2 Configurando Segurana NTFS ........................................................................... 149 Dicas para facilitar a administrao dos recursos .............................................. 153
Unidade 11 Configurao de Group Policies (diretivas de grupo)................ 155 Unidade 12 Tpicos Adicionais....................................................................... 171
12.1 12.2 12.3 12.4 12.5 12.6 Mestres de operao .............................................................................................. 171 Global Catalog........................................................................................................ 177 Adio de mais controladores de domnio e Criao de mais domnios ........... 179 Remoo de um controlador de domnio ............................................................. 180 Delegar tarefas administrativas no AD ................................................................ 182 Servidor DHCP ...................................................................................................... 185
Unidade 13 Diretiva local e de grupo ............................................................ 197

13.1 13.2 Configurao de diretivas locais ........................................................................... 197 Configurao de Group Policies (diretivas de grupo) ........................................ 204 Configurao de rede e criao de rede domstica ......................................... 225 Anexo 2 - Uso do MMC e dos Snap-ins ................................................................ 233 Anexo 3 - Backup e Restore do Active Directory ................................................ 235 Anexo 4 - Como criar uma mquina virtual usando o Hyper-V Manager: ..... 256
Unidade 14 ANEXOS ...................................................................................... 225

14.1 14.2 14.3 14.4
Unidade 1 Workgroup
1.1 O que uma rede Workgroup?
A Microsoft, hoje em dia, oferece duas solues de rede de computadores: Workgroup e Domnio Nesta parte inicial, nosso foco o workgroup. Uma rede workgroup tambm pode ser chamada de grupo de trabalho, grupo domstico, rede domstica, entre outros nomes. Neste tipo de rede, no temos um servidor responsvel pela segurana da rede. Nesta soluo, todos os computadores fazem a funo de cliente e servidor ao mesmo tempo. Cada computador responsvel pela segurana de seus recursos compartilhados na rede. Isto significa que cada usurio que precise acessar um recurso em um computador, precisar ter um usurio vlido neste computador. Isto resulta que cada pessoa precisar lembrar vrios nomes de usurios e senhas diferentes, para acessar cada recurso necessrio para seu trabalho. Uma rede workgroup pode ser formada apenas por sistemas operacionais de cliente (Windows XP, Vista e 7) ou pode ter a presena de um ou mais Windows Server tambm. Os sistemas operacionais de cliente podem ter apenas 10 conexes simultneas em seus recursos compartilhados, o que impede (uma das principais razes!) que seja usada este tipo de rede em empresas maiores, ou quando tiver uma grande quantidade de computadores. Para implementar uma rede workgroup, precisamos ter pelo menos 2 computadores, com algum tipo de conectividade de rede entre eles. Podemos compartilhar uma impressora, uma conexo de internet, um recurso de disco. Normalmente usamos este tipo de rede em casa (rede domstica), em pequenos escritrios e pequenas empresas, onde precisamos compartilhar recursos, mas a segurana no um dos principais prrequisitos ou onde temos poucos recursos e/ou um grau de conhecimento menor. Alm disto, se precisamos compartilhar recursos, e no temos a presena de um Windows Server, a rede workgroup a nica soluo. Como conhecimento adicional, quando um usurio efetua seu logon em um computador membro de um grupo de trabalho, sua autenticao feita na base de dados de segurana local SAM. Isto faz com que este usurio tenha acesso aos recursos aos quais ele tenha permisso, que 5
Solues Microsoft Workgroup e AD ele possa executar as tarefas s quais ele tenha direito, mas SOMENTE no computador no qual ele fez logon. Caso este usurio solicite acesso a um recurso de outro computador, ser solicitado a ele uma nova credencial (nome de usurio e senha) vlido no computador onde se encontra o recurso solicitado.
Unidade 2 Instalao e Configurao Inicial de Windows 7 e Server 2008

2.1 Instalao do Windows 7
A instalao do Windows 7, hoje, um procedimento extremamente simples! Quase todas as configuraes so feitas APS a instalao ter sido finalizada com sucesso. Existem vrias formas de instalar um Windows: Instalao manual local ou por um compartilhamento de rede, instalao atravs de imagens, ... O procedimento que iremos ver neste treinamento o da instalao manual local, atravs da inicializao de um computador pelo DVD local. Pr-requisitos: CPU: 1Ghz ou maior Memria RAM: 1Gb para sistemas em 32 bits, 2Gb para sistemas em 64 bits Vdeo: Compatvel com Aero Disco: 16Gb para sistemas em 32 bits, 20Gb para sistemas em 64 bits
desejvel a presena de uma unidade de DVD
Atualizao: O Windows 7 s pode ser atualizado a partir de um Windows Vista SP1 ou posterior, da mesma linha. Todos os outros Windows requerem que seja instalada uma nova verso de Windows. Com isto no so mantidos softwares instalados nem dados e configuraes dos usurios. Para manter, necessrio migrar o perfil ou fazer backup e restaurar aps, alm de ter que reinstalar todos os softwares do usurio. O processo de instalao: Durante o procedimento de instalao, poucas perguntas so feitas... O restante configurado depois do Windows instalado. Para uma instalao local, manual (formato que ser visto neste treinamento), devemos colocar o DVD no drive e iniciar o computador. Se no houver nenhum sistema operacional instalado no computador, o processo de instalao inicia automaticamente. Se houver algum sistema operacional instalado, o computador apresentar uma mensagem, solicitando que seja pressionada uma tecla para iniciar pelo DVD. Deve 7
Solues Microsoft Workgroup e AD ser feito isto, para que seja possvel fazer uma nova instalao (para atualizao, o processo pode ser iniciado de dentro do prprio Windows, como a instalao de qualquer outro software). Quando solicitado, escolha a opo de idioma e teclado, conforme tela abaixo:
Na tela seguinte, para iniciar a instalao, deve-se clicar em Instalar agora
OBS: Nesta tela acima tambm apresentada a opo Reparar o computador. Esta opo oferece ferramentas para recuperar uma instalao do Windows. O processo de instalao continua. Na tela seguinte, marque a caixa para aceitar os termos da licena e depois clique em Avanar
Solues Microsoft Workgroup e AD Nesta tela oferecida a escolha de que tipo de instalao fazer: Atualizar ou instalar nova verso (Atualizao ou Personalizada). Neste treinamento, veremos a opo Personalizada. Esta opo instala um novo Windows.
Escolha a unidade de disco (disco fsico e partio) onde deseja instalar o Windows 7. Clique em Avanar para continuar.
10
OBS: Nesta parte da instalao possvel criar, excluir ou modificar as parties de disco, clicando na opo Opes de unidade da janela acima
O procedimento de instalao continua.
11
Aguarde at que esteja finalizado. O processo pode demora vrios minutos, dependendo do equipamento. Logo aps finalizar, o computador ser iniciado e a primeira tarefa a ser executada a configurao do nome do usurio que ser o administrador (usurio principal) desta estao e o nome do computador.
12
A prxima tela pede a configurao da senha do usurio inicial. Temos que digitaruma senha, digitar novamente na caixa de confirmao e, na caixa da Dica de senha, podemos digitar uma frase ou lembrete que ajude a recuperar a senha, em caso de esquecimento.
13
Clique em Avanar. Na tela sobre atualizaes automticas do Windows, oferecida a opo de configurar para receber atualizaes automticas ou no.
14
Na prxima tela, so oferecidos para ajuste as informaes sobre fuso horrio e data/hora. Se necessrio, aqui que fazemos estes ajustes. Clique em Avanar.
15
Prxima configurao a ser feita, se refere rede. Se for detectada a presena de uma placa de rede, oferecido para escolher o local da rede, na verdade o tipo de rede, que pode ser domstic a, trabalho ou pblica. Clique no tipo de rede desejado para que seja configurado neste momento.
16
Aguarde at que a instalao tenha sido finalizada O Windows finaliza o processo de instalao e inicia a rea de trabalho do Windows. OBS: No esquea que, depois de instalado o Windows, necessrio ativa-lo. Veja a tela abaixo, bem na parte inferior, onde trata da ativao:
17
possvel ativar o Windows de forma online ou pelo telefone, e trocar a chave de instalao, caso isto seja necessrio, diretamente nesta janela. Tambm por esta janela que temos acesso janela das propriedades avanadas do sistema, onde podemos, por exemplo, trocar o nome do computador, ou definir seu grupo de trabalho ou domnio.
18
Para acessar esta janela, podemos clicar com o boto direito do mouse diretamente na opo Computador do menu Iniciar e escolher Propriedades no menu que se abre, ou acessar o cone Sistema, pelo Painel de Controle.
Configurao de rede no Windows 7

Logo depois de instalar o Windows 7, se foi detectada uma placa de rede, esta foi configurada para receber configuraes dinmicas. Nem sempre teremos um servidor de DHCP disponvel na rede (veremos mais sobre este assunto no decorrer deste treinamento) ou poderemos 19
Solues Microsoft Workgroup e AD usar as configuraes APIPA (veremos mais sobre APIPA no decorrer deste treinamento). Ento, pode ser necessrio configurar a placa de rede com uma configurao esttica de TCP-IP, pelo menos seu endereo e mscara de subrede. Veja abaixo como fazer esta configurao: A maneira mais rpida de acessar as configuraes da rede clicando com o boto direito do mouse no cone de rede na rea de notificao:
Clique na opo para abrir a Central de Redes e Compartilhamento
Clique em Alterar as configuraes do adaptador e depois, clique na placa de rede a ser configurada, com o boto direito do mouse, e escolha a opo Propriedades:
20
Na caixa de dilogo das configuraes da placa de rede, role a lista e clique em Protocolo TCP/IP verso 4 (TCP/IPv4) e clique no boto Propriedades:
Inicialmente, estar configurado para obter endereo automaticamente:
21
Mas, na falta de um servidor DHCP, e na impossibilidade de usar o APIPA, deveremos configurar manualmente:
22
OBS: Para usar nas redes locais, internas, no visveis na Internet, devemos escolher 1 entre os vrios endereos IP no propagveis (no vlidos na Internet, ento de uso pblico) com os seguintes padres: 10.x.x.x 172.16.x.x 192.168.x.x Qualquer um deles serve! Ainda nas configuraes de rede, mas agora no em relao placa, precisamos configurar que o computador possa encontrar outros computadores na rede, e que ele possa compartilhar seus recursos com a rede. Na janela da Central de Rede e Compartilhamento vista acima, clique na opo Alterar as configuraes de compartilhamento avanadas:
23
Marque as opes que deseja ativar. E clique em Salvar alteraes. OBS: Compartilhamento da Pasta Pblica: Todo o computador com Windows 7 possui uma pasta pblica. Se no for marcada a opo para compartilhamento desta pasta, esta ser uma rea de troca de informaes entre usurios locais do computador.
2.2 Instalao do Windows Server 2008

A instalao do Windows Server 2008, hoje, um procedimento muito simples! Quase todas as configuraes so feitas APS a instalao ter sido finalizada com sucesso. Existem vrias formas de instalar um Windows: Instalao manual local ou por um compartilhamento de rede, instalao atravs de imagens, ... O procedimento que iremos ver neste treinamento o da instalao manual local, atravs da inicializao de um computador pelo DVD local.
Pr-requisitos:
24
Solues Microsoft Workgroup e AD Requisitos de Sistema para instalao do Windows Server 2008 R2
Processador: Mnimo: 1.4 GHz (processador x64)
Observao: necessrio um processador Intel Itanium 2 para o Windows Server 2008 R2 for Itanium-based Systems
Memria (Mnimo): 512 MB RAM Memria Mxima: 8 GB (Foundation) ou 32 GB (Standard) ou 2 TB (Enterprise, Datacenter e Itanium-Based Systems) Espao em Disco Mnimo: 32 GB ou mais
Observao: Computadores com mais de 16 GB de RAM precisam de mais espao em disco para paginao, hibernao e armazenamento de arquivos
Monitor Super VGA (800600) ou monitor de maior resoluo Outros: Unidade de DVD, Teclado e Mouse (ou dispositivo apontador compatvel), acesso Internet.
* Os requisitos reais variam com base na configurao de seu sistema e nas aplicaes e recursos que voc decidir instalar. Espao em disco disponvel adicional pode ser necessrio se voc estiver instalando por uma rede e dependendo das funes a serem implementadas. O processo de instalao: Durante o procedimento de instalao, poucas perguntas so feitas... O restante configurado depois do Windows instalado. Veja a seguir, o procedimento e o que precisa ser configurado durante o procedimento de instalao: Coloque o DVD na unidade. Inicie o computador... O processo de instalao inicia automaticamente. Quando solicitado, escolha a opo de idioma e teclado, conforme tela abaixo
25
Na tela seguinte, clique em Instalar agora
O processo de instalao inicia
26
Solues Microsoft Workgroup e AD Na prxima tela, devemos escolher na lista a verso de Windows que desejamos instalar. Isto vai depender do que foi adquirido.
OBS: Verses de Windows Server 2008: O Windows Server possui diversas verses, alm de poder ser instalado em modo Core, ou seja, sem interface grfica. As verses so: Standard, Enterprise e Datacenter. O que difere estas verses so o suporte ao hardware e a possibilidade de trabalhar em cluster (a verso Standard no tem esta possibilidade). Datacenter uma verso especial ele no vem em caixinha, proprietrio de hardware, preparado especialmente por cada fornecedor de hardware, para seus modelos de equipamentos de servidores. Marque a caixa para Aceitar os termos da licena e depois clique em Avanar
27
Escolha que tipo de instalao deseja: Atualizar ou instalar nova verso (Atualizao ou Personalizada), clicando sobre a opo desejada. Na verso personalizada instalado um novo Windows, no guardando nada do que foi usado (software, configuraes) da verso atual, caso ela exista.
28
Solues Microsoft Workgroup e AD Escolha a unidade de disco (disco fsico e partio) onde deseja instalar o Windows 2008. Se o disco j estiver particionado, escolha a partio desejada.
OBS: Se caso o disco do servidor no for reconhecido pelo Windows, ou se ele tiver um driver especial, neste momento que inserimos o driver do hd (da controladora, normalmente). Tambm nesta tela que podemos criar, modificar ou excluir parties de disco. Vimos estas mesmas opes na instalao do Windows 7 Logo depois, o procedimento de instalao continua.
29
Aguarde at que esteja finalizado. O processo demora vrios minutos, dependendo do equipamento. Logo aps finalizar, o computador ser iniciado e a primeira tarefa a ser executada a configurao da senha do usurio Administrador. necessrio utilizar uma senha difcil, como Pa$$w0rd como senha, pois o Windows deve seguir sua poltica de senhas difceis.
OBS: A poltica de senhas difceis da MS requer que a senha utilize: Letras maisculas e minsculas Caracteres especiais Nmeros Esta poltica (policy) pode ser desativada posteriormente. 30
Assim que confirmada a alterao da senha do Administrador, o Windows finaliza o processo de instalao e inicia a rea de trabalho do Windows. Logo que iniciar o trabalho com o Windows 2008, ser aberta a janela (automaticamente) das Tarefas de Configurao Iniciais.
Nesta tela temos atalhos para todas as configuraes iniciais desejadas. por ela que podemos trocar o nome do computador (o Windows gera um nome aleatrio durante a instalao e normalmente iremos troca-lo para um nome que defina melhor a funo do computador), definir se ele far parte de um workgroup ou de um domnio, configurar o endereo IP, atualizaes automticas, entre outras aes. Todas estas aes podem ser executadas por outras ferramentas, mas por esta janela, temos acesso mais rpido.
31
Solues Microsoft Workgroup e AD OBS: Clicando na opo mostrada acima, abre-se a caixa de dilogo das propriedades do sistema, onde podemos trocar o nome do computador. Veja tela abaixo:
Esta tela ir continuar aparecendo, at que marquemos a caixa de seleo, solicitando que no mais seja mostrada na inicializao do computador.
Sempre que fecharmos esta janela, e depois quando iniciarmos o servidor sem a janela das Tarefas de Configurao Iniciais, a janela que se abre o Gerenciador de Servidores, ferramenta mais usada para administrar o servidor. 32
Viso Geral do Windows Server 2008

O Windows Server 2008 (atualmente na verso R2) a soluo Microsoft para servidor de rede. Ele oferece soluo para praticamente todas as necessidades de uma rede corporativa, sendo soluo para redes de qualquer tamanho. No final da instalao, que vimos na lio anterior, o Windows Server ainda no possui nenhuma funcionalidade e no est acessvel atravs da rede. Ele vem com o firewall do Windows ativado, sem excees. A medida que vamos dando funes ou adicionando recursos, o firewall vai criando excees para permitir o uso destas funes e recursos atravs da rede. Abaixo, temos a tela de configurao de excees do firewall, caso voc precise efetuar alguma configurao manualmente. possvel criar exceo para aplicativos, funes, portas.
33
Para criar uma exceo, ou verificar as atuais (para modificar, se for o caso), clique na opo Permitir um programa ou recurso pelo Firewall do Windows, no lado direito superior da janela acima.
34
Veremos mais sobre o Windows Server 2008 nas lies seguintes.
Roles e Features (Funes e Recursos)

Hoje em dia, logo depois de instalar o Windows, ele no possui nenhuma funcionalidade prpria. Para isto, devemos adicionar atravs de Funes e Recursos (Roles e Features) o que desejamos que este servidor oferea rede. Para isto, usamos o Gerenciador de Servidores:
35
Para adicionar uma Funo, clique na opo Funes no menu da esquerda. Inicialmente, no haver nenhuma funo instalada.
Para adicionar funo, clique na opo Adicionar funes que aparece na tela acima. Ser iniciado um assistente, onde podemos escolher a funo desejada.
36
Dentro das roles mais usadas, aqui veremos duas: File Services Marcando a opo Servios de Arquivo, estamos possibilitando ao nosso servidor que compartilhe pastas com a rede, alm de outros servios que podem ser adicionados com esta funo, como o DFS. Veja nas telas abaixo:
37
Depois de adicionada esta funo, podemos usar o Gerenciador de Servidores como ponto de partida para uma srie de aes referentes esta funo:
38
Solues Microsoft Workgroup e AD Veremos mais sobre a funo Servidor de Arquivos durante este treinamento. Print Services Marcando a opo Servios de Impresso e Documentos, estamos possibilitando ao nosso servidor que compartilhe impressoras com a rede, alm de outros servios que podem ser adicionados com esta funo. Veja nas telas abaixo:
Depois de adicionada esta funo, podemos usar o Gerenciador de Servidores como ponto de partida para algumas das tarefas desta funo. Veja:
39
Features ou Recursos: Alm das roles (funes), temos tambm os recursos (features), que so funcionalidades tambm que podemos adicionar ao servidor, mas que no so consideradas principais. Logo que terminamos a instalao do Windows, tambm no temos features configuradas. Elas sero adicionadas como pr requisitos de funes, ou manualmente, pelo assistente de adicionar recursos. Na tela abaixo, a opo Recursos do Gerenciador de Servidores:
Clicando em Adicionar recursos, iniciado um assistente. Veja na tela abaixo algumas destas features que podemos adicionar com o assistente:
40
Criao de usurios e grupos locais

Usurios Locais:
Para que possamos controlar quem pode ou no executar alguma ao ou quem pode ou no acessar algum recurso, precisamos que cada usurio do computador (seja ele local, que vai usar a prpria mquina, ou remoto, que vai acessar um recurso atravs da rede) tenha uma credencial. esta credencial, damos o nome de conta de usurio. O procedimento para criar uma conta de usurio bastante simples: A ferramenta que usaremos inicialmente para criar usurios e grupos o Gerenciamento do Computador. Veja tela abaixo:
41
Para criar usurios ou grupos, expanda a opo Usurios e Grupos Locais. Clique em Usurios com o boto direito do mouse e escolha a opo Novo usurio (a primeira do Windows 7, a segunda do Server 2008):
Na janela que se abre, digite nome e senha para o usurio a ser criado e clique em Criar:
42
Se desejar, possvel digitar nome completo, descrio, alm de configurar que o usurio deva ou no trocar a senha no prximo logon, que a conta seja criada desativada, que a senha nunca expira ou que o usurio no pode trocar a prpria senha. Depois de criada a conta, possvel efetuar alteraes nesta conta, atravs da opo Propriedades do menu que se abre quando clicamos com o boto direito do mouse no usurio a ser administrado. Veja abaixo algumas das guias das propriedades da conta do usurio, no Windows 7:
43
Abaixo, a tela com as propriedades de uma conta de usurio local no Server 2008:
44
Outra forma de criar e gerenciar usurios no Windows 7 pelo Painel de Controle. Abra o Painel de Controle pelo menu Iniciar. Normalmente, ele inicia com a apresentao em categorias:
45
Clique em Contas de Usurio e Segurana Familiar para ter acesso aos itens de configurao de usurio.
Clique em adicionar ou remover contas de usurio
Para alterar uma conta, clique sobre ela. Para criar uma nova conta, clique na opo Criar uma nova conta: 46
Configure a conta dando a ela um nome e definindo se ela ser uma conta de usurio Administrador ou Usurio Padro. Clique em Criar Conta. As opes de gerenciamento que temos, so as que seguem:
Podemos tambm alterar o tipo de conta:
47
Ou ainda definir caractersticas do UAC para conta do usurio logado atualmente:
OBS: Saiba mais... O que UAC? UAC significa UserAccountControl, e so estas mensagens que solicitam aprovao ou credencial do usurio cada vez que necessrio que eles 48
Solues Microsoft Workgroup e AD seja administrador do computador. A Microsoft criou esta caracterstica como forma de aumentar a segurana do sistema operacional, j que sabido pelo mercado que a maioria dos usurios Administrador do seu computador, o que torna mais suscetvel a um ataque de vrus, por exemplo.
Grupos locais:
Para facilitar a tarefa de dar permisso ou direito aos usurios, criamos grupos. Uma conta de usurio pode ser membro de diversos grupos. Pela mesma ferramenta,Gerenciamento do Computador, podemos criar e gerenciar grupos. Quando o Windows instalado, so criados diversos grupos internos, que vem com um conjunto de direitos pr- configurados. Podemos usar estes grupos para dar direitos aos usurios, ou criar novos. Iremos ver mais sobre os grupos internos um pouco mais adiante neste treinamento. Abaixo, os grupos internos do Windows 7:
E estes abaixo so os grupos internos do Windows Server 2008:
Estes grupos so administrados como outro qualquer, podendo inserir e remover membros conforme desejado. 49
Solues Microsoft Workgroup e AD Para criar novos grupos, clique com o boto direito do mouse em Grupos e escolha a opo Novo grupo.
Digite o nome do grupo e, se desejar, j insira novos membros ao grupo:
50
51
Posteriormente, podemos administrar estes grupos, clicando com o boto direito do mouse e escolhendo a opo que se aplica:
52
Podemos adicionar ou remover membros atravs da opo Propriedades:
53
Para mais conhecimento... 54
Solues Microsoft Workgroup e AD Os grupos internos possuem uma srie de direitos pr definidos, como no caso dos Administradores, Operadores de cpia, etc. Estes direitos so configurados por policies (diretivas), na parte de segurana do computador local. Veremos mais sobre isto na lio sobre Diretivas (Policies) no andamento do treinamento.
Configurao de compartilhamento local (pastas e impressoras)

Compartilhamento de Pastas:
Para que um recurso se torne disponvel para acesso via rede, ele dever ser compartilhado. Para compartilhar uma pasta (tambm podemos compartilhar uma unidade inteira, mas no podemos compartilhar um nico arquivo), existem duas formas no Windows 7: Compartilhamento simples ou Compartilhamento avanado Veja a seguir como fazer este compartilhamento: Atravs do Windows Explorer, ou pelo item Computador do menu Iniciar, localize a pasta a ser compartilhada. Se quiser fazer o compartilhamento simples, clique com o boto direito do mouse na pasta e, no menu que se abre, escolha a opo Compartilhamento, escolha com quem quer compartilhar e est pronto! Nesta opo, no podemos definir o nome do compartilhamento. O nome ser o mesmo nome da pasta.
55
Clicando em Pessoas especficas, voc pode definir exatamente com quem quer compartilhar e o nvel de permisso de compartilhamento desejado:
56
Solues Microsoft Workgroup e AD Para um maior controle do compartilhamento, principalmente se quiser definir um nome diferente de compartilhamento, tem que usar o Compartilhamento Avanado. Para isto, utilizamos a opo Propriedades do menu que se abre quando clicamos com o boto direito do mouse na pasta e, na guia Compartilhamento, escolhemos Compartilhamento Avanado
Na caixa de dilogo de Compartilhamento Avanado, marque a caixa de compartilhamento, defina um nome e escolha com quem quer compartilhar:
57
As permisses de compartilhamento possveis so: Controle total, Alterao e Leitura. No compartilhamento simples, a permisso padro "Controle total somente para o usurio que est configurando o compartilhamento". No compartilhamento Avanado, a permisso padro "Todos, somente Leitura". Podemos modificar este comportamento padro pelas caixas de dilogo vistas acima. Um usurio pode fazer parte de diversos grupos, por consequncia pode receber diferentes nveis de permisso. Entre estes nveis de permisso, inclusive uma "negao" O que chamamos de permisso efetiva (a que fica valendo) a soma das permisses permitidas, filtradas as permisses negadas.
Acessando recursos atravs da rede:

Para acessar recursos, podemos usar a digitao do caminho desejado no menu Iniciar, ou navegar pela rede, usando o Windows Explorer ou abrindo Computador no menu Iniciar. Se formos digitar o caminho, ele deve seguir a regra de caminho UNC: \\servidor\nome-do-compartilhamento Ser solicitado que seja digitada um nome de usurio e senha vlidos no computador remoto (s no ser solicitado, se o compartilhamento e a segurana do recurso estiverem configurados para acesso para Todos ou Annimo)
58
Solues Microsoft Workgroup e AD Se voc no souber o nome do compartilhamento, pode digitar somente o \\servidor, que o Windows trar uma lista de recursos compartilhados naquele servidor aos quais voc possa acessar.
Permisses de Segurana as permisses NTFS:

Clicando com o boto direito do mouse no nome de um arquivo ou pasta, e escolhendo a opo Propriedades, temos acesso s propriedades do arquivo/pasta em questo. Uma das guias da caixa das propriedades a guia Segurana. Pela guia Segurana, podemos ver e modificar quem tem algum tipo de privilgio (permisso) sobre este item. As permisses de segurana (tambm chamadas permisses NTFS) podem ser configuradas de forma "padro" ou personalizada. Nas configuraes de permisso "padro", temos conjuntos de permisses definidas por aes que podem ser executadas por um usurio: Controle total, Modificar, Ler & executar, Listar contedo da pasta, Leitura, Gravar.
Para modificar uma permisso padro, clique no boto Editar. Na caixa de dilogo seguinte, clique no boto Adicionar para selecionar usurios e/ou grupos para dar uma permisso; selecione na lista de nomes e clique em 59
Solues Microsoft Workgroup e AD Remover para retirar um usurio ou grupo da lista de permisses; ou modifique as permisses, clicando no usurio ou grupo na lista e marcando/desmarcando uma caixa de seleo de permisso/negao ao lado do nome da permisso desejada. Clique em Ok quando pronto.
OBS: Caso no seja possvel modificar ou remover uma permisso, provavelmente ela uma permisso "herdada". Veremos logo em seguida o que uma permisso herdada (ela vai aparecer em cinza - esmaecido caso seja herdada) Nas configuraes personalizadas (Avanadas) podemos definir exatamente o que desejamos que o usurio execute no recurso, bem como que item (s) se refere a permisso.
Para modificar uma permisso de forma "Avanada", clique no boto Avanadas da guia Segurana. Na prxima caixa de dilogo, clique em Alterar Permisses.
60
Logo em seguida, clique em Adicionar para escolher usurio e/ou grupo para dar uma permisso de "acesso especial".
Quando clicar em Ok, ser aberta uma nova caixa para escolher as permisses desejadas e onde queremos aplica-las.
Para modificar uma permisso de acesso especial, clique no nome do usurio ou grupo a ser alterado, clique no boto Editar e modifique conforme o desejado.
61
Em relao s permisses do NTFS, temos diversos conceitos importantes para entender, de forma a trabalhar com elas de forma correta e segura. Herana de permisses: Por padro, uma permisso de segurana configurada em uma pasta "herdada" por todos os arquivos e sub pastas contidos nesta pasta. possvel "remover a herana", caso seja preciso configurar de forma diferente algum objeto abaixo (as permisses herdadas no podem ser modificadas, somente removidas ou copiadas, e depois alteradas). Para remover a herana, clique com o boto direito do mouse na pasta em questo ( qual precisa receber alterao em uma permisso herdada) e escolha a opo Propriedades. Clique na guia Segurana, e no boto Avanadas. Na prxima caixa de dilogo, clique no boto Alterar Permisses. Desmarque a caixa de seleo Incluir permisses herdveis provenientes do objeto pai deste objeto. Na caixa que se abre, escolha a opo que melhor se aplica: Adicionar ou Remover.
V clicando em ok at fechar todas as caixas de dilogo. Clique Cancelar, se desejar desistir das alteraes. Depois de removida a herana, as permisses podero ser modificadas como j visto. Permisso "Explcita" e "Implcita":
62
Solues Microsoft Workgroup e AD Uma permisso considerada explcita quando configurada diretamente no objeto (o contrrio de permisso "herdada"). Um permisso implcita , na verdade, uma regra: "O que no estiver explicitamente permitido, estar implicitamente negado!" Permisses Efetivas: Um usurio pode fazer parte de diversos grupos, e assim, receber diferentes nveis de permisso NTFS. A permisso efetiva do usurio ser a "soma" das permisses permitidas recebidas, menos as permisses negadas. Uma permisso "negada" sobrescreve uma permisso "permitida" (existe uma exceo: quando a permisso permitida for "explcita" e a permisso negada for "herdada", neste caso a permisso "permitida" fica efetiva). A "negao" muito "forte", por isto deve ser usada e tratada como exceo! O Windows oferece uma maneira rpida de verificar a permisso efetiva de segurana de um usurio ou grupo. Clique com o boto direito do mouse no arquivo ou pasta desejado. Escolha a opo Propriedades. Clique na guia Segurana, depois no boto Avanadas e na guia Permisses Efetivas.
Clique no boto Selecionar para escolher qual usurio ou grupo a ser verificado e clique em Ok.
63
Solues Microsoft Workgroup e AD Pronto! Aparecer a permisso efetiva na caixa, para ser consultada.
REGRA: O que acontece com as permisses NTFS quando uma arquivo/pasta copiado ou movido? A regra "herda a permisso do local de destino". Mas como toda regra tem exceo, quando um arquivo/pasta movido DENTRO DA MESMA UNIDADE, ele MANTM sua permisso original! Permisso de Compartilhamento x Permisso de Segurana NTFS Bem, aprendemos que um usurio pode fazer parte de diversos grupos e por este motivo, receber diversos nveis de permisses diferentes. Aprendemos tambm, que a permisso efetiva a soma destas permisses, filtradas as negaes. Mas este "clculo" feito "por tipo de permisso". Ou seja, calculamos a permisso efetiva de compartilhamento e a permisso efetiva de segurana. Mas e se elas forem DIFERENTES, qual ficaria valendo? Bem... a resposta : A MAIS RESTRITIVA! DICA: Como fica valendo a mais restritiva e a permisso de compartilhamento s efetiva quando acessamos um recurso atravs da rede (diferente da permisso NTFS, que vlida tanto em acessos locais, quanto atravs de um compartilhamento), devemos "abrir" no compartilhamento e "fechar" na segurana. No necessrio configurar em ambos os locais. Podemos compartilhar com o grupo TODOS ou USURIOS AUTENTICADOS e atravs da segurana, definir exatamente quem pode ou no (e o que pode) acessar no recurso. Lembre-se: O que no explicitamente permitido, implicitamente negado!
Compartilhamento de pastas Ferramenta Gerenciamento de Compartilhamento e Armazenamento:

Toda a informao vista acima, nesta lio, vlida tanto para Windows 7 quanto para Windows Server 2008.
64
Solues Microsoft Workgroup e AD Agora veremos outra forma de compartilhamento, exclusiva do Windows Server 2008: a ferramenta Gerenciamento de Compartilhamento e Armazenamento.
Para criar um novo compartilhamento, clique com o boto direito do mouse e escolha a opo Compartilhamento de Proviso
Siga o assistente: Na primeira tela, digite ou localize a pasta a ser compartilhada
65
Clique em Avanar. Na prxima tela, defina se precisa efetuar alteraes nas propriedades NTFS da pasta. OBS: NTFS so as configuraes de segurana de arquivos do sistema de arquivos NTFS, padro do Windows, j tratadas anteriormente.
66
Clique em Avanar. Escolha o protocolo a ser usado para o acesso. SMB o padro e normalmente o que ser usado.
67
Clique em Avanar. Verifique as opes configuradas.
68
Clique em Criar. Espere at o retorno da janela, de modo a garantir que esteja ok. Pela mesma ferramenta, possvel efetuar configuraes posteriormente, pela opo Propriedades como na tela abaixo:
Para finalizar um compartilhamento por esta ferramenta, basta clicar com o boto direito do mouse e escolher a opo Interromper compartilhamento.
69
Tudo que for referente a sistema de arquivos, compartilhamento, etc, faz parte da funo Servios de Arquivos (File Services). Esta funo (role) tem mais recursos, que veremos mais adiante neste treinamento. Para saber mais...
possvel criar um "compartilhamento oculto", colocando o sinal de $ no final do nome do compartilhamento. Quando instalamos o Windows, ele cria alguns compartilhamentos "administrativos", entre eles:
C$, D$, etc: compartilha de forma "oculta" o raiz de cada unidade formatada com o sistema de arquivos NTFS, somente para os administradores Admin$: Compartilhamento da pasta Windows, usado para permitir a administrao remota Print$: Compartilhamento usado para instalar impressoras compartilhadas automaticamente, quando um usurio se conecta a ela a primeira vez (desde que o driver esteja disponvel!)
Compartilhamento de impressoras:
Para poder compartilhar uma impressora, logicamente que ela precisa estar instalada! Siga o procedimento de instalao de uma impressora, j efetuando o compartilhamento dela diretamente: Em primeiro lugar, abra a ferramenta Dispositivos e Impressoras.
70
Clique em Adicionar uma impressora, e siga o assistente:
71
OBS: Se a impressora estiver ligada no computador na hora da instalao e for plug-and-play, ela ser detectada automaticamente. Se o Windows tiver o driver para ela, instala de forma automtica.
72
73
Depois de instalada com sucesso, podemos efetuar manuteno e gerenciamento desta impressora tanto pela ferramenta Dispositivos e Impressoras , quanto pela ferramenta Gerenciamento de Impresso. Na tela abaixo, vemos opes de gerenciamento pela ferramenta Dispositivos e Impressoras:
Abaixo, as opes das propriedades da impressora:
74
J na prxima tela, vemos opes gerenciamento pela ferramenta Gerenciamento de Impresso. Nesta ferramenta, tem uma das grandes novidades do sistema de gerenciamento de impressoras no Windows Server 2008 a possibilidade de instalar impressoras por policies. Por aqui, possvel, inclusive, de criar a policy automaticamente por esta ferramenta.
Final da primeira parte: 75
Solues Microsoft Workgroup e AD At aqui, tratamos de instalao, configurao inicial e uso de rede workgroup. Tudo o que foi visto at aqui seria o suficiente para configurar uma rede simples. Apenas o que poderia ainda ser usado seriam as diretivas locais (que ainda no foram vistas, mas que sero item da parte relativa a diretivas de grupo). A partir de agora, veremos o outro tipo de rede MS - o Domnio de Active Directory. Os conceitos abordados at aqui continuam valendo para o domnio, como o caso das permisses de compartilhamento e segurana.
76
Unidade 3 Conceitos de Active Directory

3.1 O que Active Directory?
A Microsoft, hoje em dia, oferece duas solues de rede de computadores: Workgroup e Domnio Neste treinamento, nosso foco o Domnio. A soluo de domnio da Microsoft chama-se "Servio de Domnio Active Directory" O Active Directory um repositrio centralizado, onde so mantidas as informaes da rede. No AD so mantidas as contas de usurio, grupo, computador, entre outros objetos. A base de dados do AD formada por vrias parties. Nestas parties so mantidas as informaes relativas rede, e estas parties so sincronizadas entre os controladores de domnio atravs da replicao. As parties so: Domnio, Configurao, Esquema e Aplicativo Entre as vantagens do uso do Active Directory esto: Gerenciamento centralizado da segurana da rede Aplicao de Diretivas de Grupo Delegao de tarefas administrativas Uma floresta uma "instncia" do Active Directory. Os domnios de uma mesma floresta compartilham o mesmo Catlogo Global, o mesmo Esquema e possuem relaes de confiana entre eles. Por "Catlogo Global" entende-se a lista de TODOS os objetos de uma floresta de Active Directory, com uma parte de seus atributos. Por "Esquema" entende-se a definio de todos os tipos de objetos e todas as propriedades destes objetos. "Relao de Confiana" a ligao entre os domnios, para possibilitar, por exemplo, que usurios de um domnio acessem recursos de outro domnio.
3.2 Roles do AD no Windows Server 2008

Em verses anteriores, o Windows se referia aos servios de domnio como Active Directory simplesmente. Eram quase como se fossem sinnimos. 77
Solues Microsoft Workgroup e AD Na verso 2008, Active Directory se tornou um conceito mais amplo. O Active Directory agora est dividido em 5 funes: Active Directory Domain Services - Servios de Diretrio, segurana da rede Active Directory Certificate Services - Criao e gerenciamento da soluo de certificados digitais Active Directory Rights Management Services - Controle de propriedade intelectual, controle de aes sobre dados da empresa, controle sobre aes como Imprimir, copiar, que trabalham junto s permisses do NTFS e outros controles de acesso Active Directory LDS - Possibilidade de criar e administrar bases de dados LDAP (por exemplo, para autenticao de usurios de aplicativos) Active Directory Federation Services - Suporte a aplicativos baseados na WEB, para interligar florestas diferentes e at mesmo outras plataformas de sistemas operacionais Neste treinamento, nosso foco em Active Directory Domain Services. OBS: Quer saber mais sobre as outras funes do Active Directory? Consulte os links abaixo: ADCS: http://technet.microsoft.com/pt-br/dd448615.aspx ADFS: http://technet.microsoft.com/pt-br/dd448613.aspx ADLDS: http://technet.microsoft.com/pt-br/dd448612.aspx ADRMS: http://technet.microsoft.com/pt-br/dd448611.aspx
3.3 O que Domain Services?

O que sempre costumamos chamar de Active Directory, agora chamamos de Active Directory Domain Services (Servios de Domnio Active Directory). O Servio de Diretrio do Active Directory fornece um diretrio (base de dados) centralizado para gerenciamento e autenticao de usurios e computadores em uma rede baseada em Windows Server O que chamamos de Domnio do Active Directory , na verdade, um agrupamento lgico de objetos, que compartilham a mesma base de dados de segurana. Em Active Directory, um domnio considerado a "unidade de administrao" e a "unidade de replicao" Como conhecimento adicional, quando um usurio efetua seu logon em um computador membro de um domnio, escolhendo a credencial do domnio, sua autenticao feita na base de dados de segurana do domnio SAM. Isto faz com que este usurio tenha acesso aos recursos aos quais ele tenha permisso, que ele possa executar as tarefas s 78
Solues Microsoft Workgroup e AD quais ele tenha direito, em todos os computadores do domnio no qual ele fez logon.
3.4 Estrutura lgica e fsica do ADDS

A estrutura lgica do ADDS formada pelos domnios, seus relacionamentos e suas relaes de confiana. Quando "criamos" um domnio, definimos o seu posicionamento dentro da floresta do Active Directory pela sua nomenclatura. Ser criado um relacionamento "pai-filho" com o domnio que tiver nomenclatura "contgua". Automaticamente, so criadas as relaes de confiana entre "pai e filho" para que eles possam acessar recursos, trocar informaes, etc. A estrutura fsica do ADDS formada pelos sites e pelo posicionamento dos controladores de domnio Criamos sites baseados nas conexes (lentas, de longa distncia, normalmente) e nas "sub-redes de IP". Cada sub-rede de IP s pode estar ligada a um site. Mas um site pode ter mais de uma sub-rede de IP. Para fins de Active Directory, s til a criao de sites se tivermos pelo menos um controlador de domnio em cada sub-rede. O site s afeta o logon do usurio (tenta localizar controladores de domnio no mesmo "site" do usurio), a consulta ao AD (mesmo caso, ou seja, tenta localizar um Servidor de Catlogo Global no mesmo site do usurio) e o trfego de replicao entre os controladores de domnio IMPORTANTE: A estrutura fsica e lgica do ADDS so totalmente independentes. Ou seja, podemos ter um domnio dividido em mltiplos sites, um site que tenha a presena de mais de um "domnio" (na verdade, tendo a presena de controladores de domnio de mais de um domnio da mesma floresta de Active Directory) ou qualquer combinao destes.
79
Unidade 4
Nomenclatura LDAP
4.1 Conhecimento adicional: como formar um nome LDAP

Toda a base do Active Directory padro LDAP. Qualquer ferramenta que utilize este padro poderia ser usada acessar, consultar, administrar a base do AD. Todo o script ou linha de comando que se use para executar alguma ao na base do AD, direciona o seu objeto pelo caminho LDAP. Um caminho LDAP formado hierarquicamente, da direita para a esquerda, com os seguintes componentes: DC: Partes do nome completo do domnio do Active Directory OU: Unidades organizacionais, posicionadas do primeiro nvel em diante. Por OU, entende-se objetos que podem ter sub (filhos) e nos quais podemos aplicar policies CN: Objetos filho, nos quais no se pode criar sub, nem aplicar policy. Usurios, grupos, computadores so objetos CN Sempre a informao mais esquerda do nome chamamos de nome distinto relativo, e onde estaremos efetuando a ao da linha de comando em questo. Exemplos: OU=testeOU,DC=treinamento,DC=local CN=usuarioA,OU=depto1,OU=Deptos,DC=treinamento,DC=local Exceo: Todos os domnios de Active Directory possuem Users e Computers criadas automaticamente... Mas Users e Computers no so OUs! A eles, no podemos ligar policies, no podemos criar sub... Ento, so contineres, portanto seu caminho LDAP o seguinte: CN=Users,DC=treinamento,DC=local CN=Computers,DC=treinamento,DC=local
80
Unidade 5 Criao de um Domnio de Active Directory
Para criar uma floresta ou um domnio de Active Directory, na verdade criamos Controladores de Domnio! atravs da presena e relacionamento entre os controladores de domnio que temos os domnio e a floresta. Quando criamos o primeiro controlador de domnio do primeiro domnio de uma floresta de AD, estamos neste momento criando o domnio raiz da Floresta e a floresta em si. A partir da criao do segundo controlador de domnio, definimos se estamos criando um controlador adicional de um domnio j existente, um controlador de domnio de uma floresta j existente mas de um novo domnio, e assim por diante. Depois da criao do primeiro domnio, o que define o relacionamento entre estes domnio (pai-filho) a nomenclatura contgua. Se caso definirmos pela criao de um novo domnio, numa floresta existente, mas definirmos a nomenclatura em padro diferente, estaremos criando uma nova rvore em uma floresta existente. Esta nova rvore ainda ser membro da floresta, ainda estar abaixo do domnio raiz (primeiro domnio da floresta), mas seu nome seguir padres diferenciados. A criao de um controlador de domnio um procedimento bastante simples! Por conseqncia, a criao dos domnios e da floresta tambm! Veremos, a seguir, este processo.
5.1 Configurao dos pr-requisitos da Role Active Directory Domain Services

Normalmente, um controlador de domnio usa IP esttico. Para a funo Controlador de Domnio, isto no obrigatrio. Mas como muitas vezes o controlador de domnio tambm um servidor DNS, a configurao do IP esttico se torna obrigatria. Para verificar as configuraes do adaptador de rede e, se necessrio, modificar, siga o procedimento abaixo: Pela Central de Rede e Compartilhamento, clique em Alterar as configuraes do adaptador 81
Clique com o boto direito do mouse no Adaptador
Clique em Propriedades
82
Clique em Protocolo TCP/IP Verso 4 (TCP/IPv4) e em Propriedades
83
Configure conforme for necessrio, com IP esttico e o endereo do servidor de DNS desejado. O servidor de DNS o qual est configurado no adaptador de rede do controlador de domnio que est sendo criado que ser usado para criar a zona equivalente ao domnio do Active Directory criado junto com o controlador de domnio. OBS: Se o controlador de domnio que est sendo criado um adicional a um domnio j existente, o endereo do servidor de DNS que estiver na configurao da placa de rede dever possuir a zona equivalente ao domnio ao qual ele estiver sendo anexado. A funo DNS Server pr-requisito obrigatrio. Sem DNS, um controlador de domnio no inicia sua funo, os usurios no fazem logon, no pesquisam no AD. Podemos adicionar a funo DNS antes da funo Active Directory Domain Services (Servios de Domnio do Active Directory), ou durante a criao do controlador de domnio, atravs do assistente DCPromo. Aqui, veremos a instalao do DNS durante a execuo do DCPromo. Quando adicionamos a funo Servios de Domnio do Active Directory, o assistente de instalao verifica a presena do .NET Framework, prrequisito, e se encarrega de instal-lo, bastando aceitar quando ele oferece para instalar o pr-requisito.
84
Solues Microsoft Workgroup e AD Veja a sequncia a seguir, com o passo-a-passo da instalao da funo Active Directory Domain Services
5.2 Configurao do Windows Server como Controlador de Domnio (Domain Controller)

O processo de criao de um Controlador de Domnio efetuado em 2 partes: a adio da funo Servios de Domnio Active Directory e a execuo do aplicativo DCPromo
2.1.1 Adio da Role ADDS

O primeiro processo a adio da role ADDS. Para isto, utilizamos o Server Manager (Gerenciador de Servidores). Na tela inicial do Gerenciador de Servidores, clique na opo Funes.
No painel da direita, ou clicando com o boto direito do mouse em Funes, escolha a opo Adicionar Funes
85
Clique em Prximo
86
Solues Microsoft Workgroup e AD Escolha a opo Servios de Domnio Active Directory clicando na caixa de seleo ao lado desta funo e clique em Prximo
OBS: O assistente testa a presena dos pr-requisitos e, se necessrio, solicita alguma instalao. Normalmente, ele solicita a adio do recurso .NET Framework 3.5.1, conforme tela acima. Se isto ocorrer, clique no boto Adicionar Recursos Necessrios a fim de que o pr-requisito seja devidamente instalado.
87
Clique em Prximo
88
Solues Microsoft Workgroup e AD Clique novamente em Prximo para iniciar efetivamente a instalao da funo
Clique em Instalar
89
Aguarde at finalizar o processo
Quando pronto, verifique se finalizou com sucesso e clique em Fechar 90
Logo depois de finalizada a adio da funo, sua tela ficar como na figura acima.
2.1.2 Execuo do DCPromo

Para finalizar a criao do controlador de domnio (e neste caso, a criao da nossa floresta do Active Directory e seu primeiro domnio domnio raiz da floresta), iremos executar DCPromo No menu iniciar, digite DCPromo
91
Clique em DCpromo, ou ainda, se voc tiver digitado atravs da opo Executar do menu Iniciar, clique em OK Ir iniciar o assistente de criao de controlador de domnio do Active Directory
Clique em Avanar 92
Leia a mensagem de compatibilidade e clique novamente em Avanar
93
Solues Microsoft Workgroup e AD Na tela acima, voc tem 2 opes: Conectar em uma floresta existente, ou Criar um novo domnio em uma nova floresta. Como este o primeiro controlador de domnio de uma nova floresta de Active Directory, clique na opo Criar um novo domnio em uma nova floresta e clique em Avanar
Digite o nome completo do domnio que deseja criar e clique em Avanar OBS: Lembre-se... quando criamos o primeiro controlador de domnio de um novo domnio quando CRIAMOS efetivamente o domnio. Se for o domnio raiz de uma nova floresta, neste momento que estaremos criando toda a floresta do Active Directory
94
Escolha o nvel funcional da floresta (lembre-se que o nvel funcional s atinge os controladores de domnio! Mas o nvel funcional da floresta atinge todos os domnios daquela floresta, que devero ser no mnimo no mesmo modo funcional da floresta ou posteriores) e clique em Avanar OBS: O nvel funcional s pode ser AUMENTADO, nunca poder ser retrocedido. Ento, na dvida escolha o mais antigo que voc acha que pode ser a verso de Windows de um controlador de domnio. Posteriormente, se necessrio, o nvel funcional poder ser elevado facilmente
95
Escolha o nvel funcional do domnio (lembre-se que o nvel funcional do domnio no afeta diretamente o nvel funcional da floresta. Ele se refere somente s verses de controladores de domnio suportadas por este domnio. S no poder ser anterior ao nvel funcional da floresta)
96
Selecione a opo desejada. Neste caso, o servidor j vem com a opo Catlogo Global selecionado pois ele ser o primeiro controlador de domnio da floresta. A partir do segundo, esta opo poder ou no ser selecionada. O mesmo acontece com a opo Servidor DNS. Se a funo DNS existe em outro servidor da rede, esta opo poder ser desmarcada. Se no existe, ou se quisermos que este servidor execute TAMBM a funo Servidor DNS, marque esta caixa de seleo. Por ser o primeiro controlador de domnio do domnio que est sendo criado, ele no pode ser Read Only, ento esta opo est indisponvel para seleo. OBS: Neste momento, verificado se a funo DNS est instalada neste computador. Se estiver, o assistente criar a zona equivalente ao nome do domnio. Se no estiver instalado, o assistente dar mensagem de erro e perguntar o que deve fazer:
97
Clique em Sim
Selecione onde deseja armazenar os arquivos do AD, e clique em Avanar OBS: Normalmente, aceitamos o que o assistente oferece
98
Digite e confirme a senha do Administrador para o modo de recuperao do Active Directory (lembre-se desta senha, pois o processo de troca e reset dela bem trabalhoso e somente por linha de comando!). Esta senha ser usada em caso de ser necessrio iniciar o servidor em Modo de Recuperao do Active Directory, onde a base do AD no estar montada e este ser o nico usurio que estar disponvel para logon ( semelhante a um administrador local).
99
Clique em Avanar
Aguarde at que o assistente finalize a instalao
100
Depois de pronto, clique em Concluir
Se for possvel, clique em Reiniciar agora. Se no, reinicie assim que possvel o servidor. Enquanto ele no for reiniciado, a funo Servios de Domnio Active Directory no estar disponvel. Depois de reiniciar, abra a opo Funes do Gerenciador de Servidores e verifique se as duas funes esto adicionadas, conforme tela abaixo:
101
Depois de adicionada a funo Servios de Domnio Active Directory, so adicionadas as ferramentas de administrao do AD nas ferramentas administrativas. Veja abaixo:
102
Depois de instalado o Controlador de domnio, neste procedimento que vimos acima, foi criada a zona do DNS que equivale ao domnio do AD. Veja na figura abaixo, uma tela com o DNS e a zona (domnio) criada:
103
Conhecimento adicional: Modo funcional do Domnio e da Floresta: Durante esta lio, falamos sobre escolher o modo funcional da Floresta e escolher o modo funcional do Domnio. MODO FUNCIONAL define quais so as verses de Windows Server que podem ser CONTROLADORES DE DOMNIO nos domnios de uma floresta de Active Directory. Para que possamos adicionar um controlador de domnio da verso 2008 ou 2008 R2, o modo funcional da floresta tem que ser no mnimo Windows 2000 (significa que todos os controladores do domnio e domnios da Floresta tem que ser no mnimo Windows Server 2000) e o modo funcional do domnio tem que ser no mnimo Windows Server 2003 (significa que todos os controladores de domnio tero que ter verso Windows Server 2003 ou posterior). O modo funcional s pode ser elevado, nunca retrocedido. Em caso de dvida, sempre escolha o nvel mais antigo, pois podemos elevar depois sem muito trabalho ou risco. Para verificar o nvel funcional de um domnio ou de uma floresta, usamos a ferramenta Domnios e Relaes de Confiana do Active Directory Para verificar o nvel funcional de um domnio, e elev-lo, se for o caso, clicamos com o boto direito do mouse no nome do domnio e escolhemos a opo Aumentar nvel funcional do domnio
104
Na janela de configurao, consulte ou altere, conforme a necessidade:
Para verificar o nvel funcional de uma floresta, e elev-lo, se for o caso, clicamos com o boto direito do mouse em Domnios e Relaes de Confiana do Active Directory e escolhemos a opo Aumentar nvel funcional da floresta
105
Na janela de configurao, consulte ou altere, conforme a necessidade:
106
Unidade 6 Configurao e Administrao dos Objetos do ADDS

Logo aps a criao do domnio (e por consequncia, do controlador de domnio), precisamos criar os objetos principais de segurana do domnio: Usurios, Grupos e Computadores. A ferramenta principal que usamos para esta tarefa a console Usurios e Computadores do Active Directory.
Mas antes de efetivamente criarmos os objetos, precisamos definir como iremos organiz-los no domnio. Por padro, quando criamos um domnio de Active Directory, uma estrutura de containers e OUs criada. Veja a figura abaixo:
107
Por padro, todos os novos computadores so criados no container Computers, todos os novos usurios seriam criados em Users e todos os Domain Controllers na OU Domain Controllers. Seria possvel criarmos todos os objetos em um mesmo local dentro do AD, usando a estrutura bsica do AD e mantendo o padro descrito acima, mas isto faria com que muito cedo ficasse bastante complicado e trabalhoso administrar estes objetos. Para facilitar, ento, a administrao e manuteno destes objetos de segurana, criamos OUs personalizadas.
6.1 O que uma OU?

Para entender o que uma Unidade Organizacional (OU), podemos fazer uma analogia bem simples: Se imaginarmos o AD como sendo um disco rgido (HD), as OUs seriam as pastas. Usamos as OUs para melhor organizar os objetos do AD, de forma a facilitar a administrao, aplicar policies, delegar tarefas administrativas. necessrio, muitas vezes, desenvolver um projeto para a criao das OUs... Da boa poltica de criao das OUs poderemos ter um domnio fcil ou complicado para ser gerenciado. No existe uma forma certa ou errada para a criao das OUs, desde que sejam criadas com propsitos definidos e mantido o propsito posteriormente.
6.2 Planejamento e criao de OU

O procedimento de criao de OUs extremamente simples! Depois de definida a regra para criao das OUs, seus propsitos e nomenclatura, execute o procedimento abaixo: Abra a ferramenta administrativa Usurios e Computadores do Active Directory. Na posio onde deseja criar a OU, clique com o boto direito do mouse. Aponte para Novo e clique em Unidade Organizacional, conforme figura abaixo: 108
Na tela acima, est sendo criada uma OU logo abaixo do nome do domnio (OU de primeiro nvel). Ir abrir uma janela:
Digite o nome desejado para a OU e clique em OK. OBS: Nesta tela temos uma opo a ser marcada/desmarcada: Proteger continer contra excluso acidental. Esta uma opo de segurana, 109
Solues Microsoft Workgroup e AD pois se excluirmos uma OU, todos os objetos existentes dentro dela so excludos tambm. OBS2: Tambm possvel criar OUs por linha de comando, mas este procedimento est alm do escopo deste treinamento.
110
Unidade 7 Configurao de usurios e grupos
7.1 Criao de usurios

O procedimento de criao de um usurio bastante simples. Mas antes precisamos definir alguns padres. O primeiro em relao nomenclatura. Precisamos definir um padro. Por exemplo, nome.sobrenome um padro muito usado O segundo em relao senha. Cada empresa cria suas prprias regras para senhas, e precisamos desta regra definida e conhecida na criao da conta. Normalmente, criamos uma senha padro (Pa $$w0rd, por exemplo) e solicitamos que o usurio troque no primeiro logon. Mas podemos ter empresas onde o usurio no deve alterar a senha, um administrador que faz esta troca. Ou ainda podemos ter usurios em que a senha nunca expira (normalmente con tas de usurios criados para logon de servios tem esta caracterstica) e isto normalmente deve ser definido j na criao do usurio. Crie e defina suas regras o mais cedo possvel na administrao do AD, e na regra de nomenclatura defina tambm o que fazer em caso de Nomes duplicados. Siga a regra definida! Se caso desejarmos criar a conta e digitar a senha depois, muito importante criar a conta DESABILITADA para evitar falhas de segurana! Veja o assistente de criao de conta de usurio a seguir: Clique com o boto direito do mouse na OU onde deseja criar a conta de usurio
111
Escolha a opo Novo e aponte para Usurio
Digite os nomes conforme definido na regra e clique em Avanar
112
Digite e confirme a senha e marque as opes de senha/conta conforme desejado e clique em Avanar
Clique em Concluir para finalizar a criao da conta do usurio.
113
7.2 Administrao das contas de usurio

Depois de criadas as contas de usurio, existem diversas tarefas que podem ser necessrias no dia-a-dia da administrao do AD. Para as tarefas de manuteno de conta de usurio, clicamos com o boto direito do mouse na conta a ser administrada.
No menu de contexto que se abre, temos acesso a estas tarefas. As que no estiverem disponveis diretamente no menu, use a opo Propriedades e mude conforme o necessrio. Para alterar o nome da conta, use a opo Renomear.
Digite o nome novo de exibio e tecle Enter
114
Na caixa que se abre, configure o restante da alterao dos nomes da conta do usurio. Clique Ok quando pronto. Para resetar a senha, clique na opo Redefinir senha...
Se desejar, clique na caixa de seleo para o usurio alterar a senha no prximo logon do usurio e, se necessrio, nesta mesma caixa possvel Desbloquear a conta do usurio Para adicionar a conta do usurio a um grupo, clique na opo Adicionar a um grupo.
115
Digite o nome do grupo e clique em Verificar nomes.
Se houver mais de um grupo que seja equivalente a informao digitada, escolha o grupo desejado e clique em Ok.
116
Clique em Ok para finalizar a Adio ao grupo.
A tela acima confirma a ao executada. Para habilitar uma conta de usurio desabilitada, clique na opo Habilitar conta (se caso a conta estiver habilitada, esta opo ser Desabilitar conta)
117
Uma conta de usurio quando desabilitada aparece como na tela abaixo:
Para mover uma conta de usurio entre OUs, clique na opo Mover
118
E escolha a OU de destino. Clique em Ok. Para excluir uma conta de usurio, clique em Excluir
Confirme a excluso clicando em Sim. O que no pudermos fazer diretamente pelo menu, configuramos pelo item Propriedades. Veremos as guias e opes das Propriedades abaixo.
7.3 Configurao de propriedades

Depois de criada a conta do usurio, ela est praticamente pronta para ser usada. Mas temos diversas opes de propriedades de conta que podemos gerenciar. Para obter acesso s propriedades de conta de usurio, clique com o boto direito do mouse sobre a conta do usurio em questo e clique na opo Propriedades. Temos as propriedades divididas em guias:
119
Veja nas telas a seguir, algumas das guias mais usadas: Na guia Geral configuramos algumas caractersticas de nomenclatura do usurio, telefone principal, endereo de email, entre outras informaes
Na guia Endereo configuramos as informaes sobre o endereo do usurio
120
Na guia Conta executamos configuraes referentes ao nome de logon, desbloqueio de conta, vencimento da conta, e opes (principalmente referentes opes de senha, como se o usurio pode ou no alterar sua prpria senha, senha que nunca expira, entre outras)
121
Ainda na Guia Conta, temos os botes Horrio de logon... (onde podemos restringir horrios no qual o usurio pode fazer seu logon no domnio)
122
E Fazer logon em... (onde podemos restringir estaes nas quais o usurio pode fazer logon)
Na guia Perfil configuramos perfil ambulante (mvel), script de logon e caminho para a pasta base (pessoal) do usurio
123
Na guia Telefone so configurados, como sugerido pelo nome, os nmeros de telefone do usurio.
124
A guia Organizao usada para configurar informaes referentes ao usurio na empresa: Cargo, Departamento, Empresa e Gerente (este gerente somente informao, o usurio aqui configurado como gerente no recebe nenhum direito especial sobre a conta do usurio em questo) Na caixa Supervisiona so listados usurios aos quais este usurio consta como gerente.
125
A guia Membro de usada para ver e modificar a lista de grupos aos quais o usurio faz parte.
126
Para adicionar a um grupo, clique no boto Adicionar...
Digite o nome do grupo e clique em Verificar nomes.
127
Solues Microsoft Workgroup e AD Selecione, se necessrio o grupo (caso tenha mais que um que encaixe no padro digitado, abrir uma janela de seleo. Marque o desejado e clique em Ok).
Se necessrio, repita o procedimento para quantos grupos quiser inserir o usurio. Clique em Ok quando pronto. Alm das guias vistas nas figuras acima, temos as abaixo: Discagem Usada para configurar permisses de acesso Dial-up ou VPN Ambiente Usada para configurar a inicializao dos Servios de rea de Trabalho Remota (se quiser iniciar um programa automaticamente, por exemplo) Sesses Usada para configurar limites de sesso de Servios de rea de Trabalho Remota (tempo para encerrar sesso desconectada, por exemplo) Controle Remoto Usada para configurar se permite ou no, e demais configuraes, Controle Remoto de sesso de Servios de rea de Trabalho Remota rea de Trabalho Remota Pessoal Virtual Usada para configurar se deseja atribuir mquina virtual especfica para ser usada como rea de trabalho virtual pessoal 128
Solues Microsoft Workgroup e AD COM+ - Usada para definir se o usurio membro de algum conjunto de parties COM+ Perfil dos Servios de rea de Trabalho Remota Usada para configurar perfil de usurio desejado, para quando este usurio estiver usando Servios de rea de Trabalho Remota
7.4 Configurao do perfil ambulante

Toda vez que um usurio faz logon em um computador com Windows, criado para ele um perfil local, onde ficam todas as informaes relativas ao usurio, suas preferncias, seus documentos. A partir do segundo logon no mesmo computador, todas as suas preferncias que esto mantidas no seu perfil local, so carregadas e ele mantm a mesma cara. Mas se o usurio trocar de computador, novo perfil criado. Mas as preferncias dele, da estao anterior, no so mantidos. Atravs da criao do perfil ambulante, podemos ter o mesmo perfil de usurio independente da estao ao qual o usurio fizer seu logon. Primeiro, crie uma pasta compartilhada em um servidor, e compartilhe para o grupo TODOS, com a permisso CONTROLE TOTAL. Agora, precisamos configurar a conta do usurio para o perfil ambulante... Para isto, configuramos a opo perfil mvel nas propriedades da conta do usurio, na guia e opo abaixo:
129
Na caixa Caminho do perfil, digite o caminho para o compartilhamento criado para armazenar os perfis mveis dos usurios, seguido da varivel %USERNAME%. (ex: \\servidor\compart\%USERNAME%). O Windows automaticamente substitui a varivel pelo nome de logon do usurio e cria a pasta onde ser armazenado o perfil do usurio. Na prxima vez que o usurio fizer seu logon, o perfil dele, da mquina local, ser copiado para o servidor, no caminho digitado na caixa Caminho do perfil. E, a partir deste momento, independente da mquina que o usurio utilizar para fazer seu logon, o perfil ser sempre o mesmo. Criao e configurao de Script de Logon Quando o usurio faz seu logon, uma srie de configuraes so necessrias. Hoje em dia, a maioria das configuraes podem e devem ser feitas por diretivas de grupo. Mas algumas destas configuraes podemos no conseguir fazer por policy. Entre elas, temos o mapeamento de pastas como um dos itens mais configurados para usurios, durante seu logon, atravs de um script chamado script de logon. Este script executado a cada vez que o usurio faz logon. 130
Solues Microsoft Workgroup e AD Ele deve ser armazenado no compartilhamento NETLOGON de um domain controller (ele ser automaticamente replicado a todos os outros controladores de domnio, uma vez estando neste compartilhamento) e direcionado nas propriedades do usurio, na guia Perfil:
Na caixa Script de logon, digite o nome do script para o usurio em questo. O script pode ser em qualquer linguagem de script reconhecida pelo Windows, ou em arquivos .BAT ou .CMD. Como falado acima, o mapeamento de unidades de rede um dos procedimentos mais configurados por scripts de logon. Em arquivos .BAT ou .CMD, para mapear unidades de rede, usamos a linha abaixo: NET USE L: \\SERVIDOR\COMPARTILHAMENTO Por L devemos substituir pela letra desejada para o mapeamento da unidade. 131
Solues Microsoft Workgroup e AD Para desfazer um mapeamento, digitamos a linha abaixo: NET USE L: /DELETE Onde L a letra da unidade que desejamos desconectar.
132
Unidade 8
Criao de grupos
Para criar grupos, usamos o mesmo aplicativo Usurios e Computadores do Active Directory. O procedimento bastante semelhante ao que vimos para a criao de usurios. Abra a ferramenta acima, localize a OU desejada (onde quer criar o grupo) e clique com o boto direito do mouse. Aponte para Novo e clique em Grupo
Digite o nome do grupo e o nome para sistemas pr Windows 2000.
133
Escolha o escopo e o tipo de grupo desejado e clique em Ok. Abaixo, uma explicao sobre Escopo e Tipo de Grupo.
8.1 Tipos e escopos de grupos

Por tipo de grupo, temos 2 possibilidades: Segurana Distribuio Grupos de segurana so os grupos usados para dar permisses e direitos aos seus membros Grupos de distribuio so os grupos usados como lista de distribuio de email Por escopo de grupo, temos 3 possibilidades: Global Domnio Local Universal Veja abaixo caractersticas dos 3 escopos: Grupo Global: s pode ter como membros usurios e outros grupos globais do mesmo domnio onde ele foi criado. Ele pode vir a ser membro 134
Solues Microsoft Workgroup e AD de qualquer grupo Domnio Local ou Universal, de qualquer domnio da Floresta. visvel em qualquer domnio da Floresta Grupo Domnio Local: pode ter como membro usurios e grupos globais de qualquer domnio da Floresta. ele, s pode ser dada permisso em recursos do domnio onde ele reside (domnio onde ele foi criado) Grupo Universal: grupo diferenciado, pois ele reside somente em controladores de domnio que tenham a funo Global Catalog Server (servidor de catlogo global). Ele pode ter como membros usurios e grupos globais de qualquer domnio de uma floresta. Ele pode ser membro de qualquer grupo Domnio Local (ou at mesmo de outros grupos Universais) de qualquer domnio da Floresta. Polticas MS para grupos e dicas de uso A Microsoft indica que devemos usar grupos como forma de facilitar a administrao da rede. Segundo as polticas MS, devemos usar grupos do escopo Global para organizar usurios de mesma caracterstica. Devemos usar grupos Domnio Local para dar permisses e direitos aos membros deste grupo. E grupos do escopo Universal para organizar grupos Globais de mesma caracterstica, em redes de mltiplos domnios, onde temos recursos centralizados. Dentro das polticas acima, seguimos a seguinte regra: Colocamos usurios semelhantes em grupos globais; Criamos grupos Domnio Local de acordo com os recursos e suas necessidades de acesso; Colocamos grupos globais dentro de grupos domnio local, de forma que os usurios recebam as permisses (veremos como dar permisses de acesso um pouco mais adiante neste treinamento) Ainda sobre grupos... Se caso a rede da empresa usar Exchange, as Listas de distribuio de email so criadas sob forma de GRUPOS UNIVERSAIS. Aes administrativas e manuteno de grupos Para modificar e manter grupos, clicando com o boto direito do mouse no grupo em questo, temos um menu de contexto com as opes de gerenciamento disponveis:
135
Para mover um grupo para outra OU, clique na opo Mover e escolha a OU de destino
136
8.2 Adicionando membros

Um usurio pode ser membro de diversos grupos. E um grupo pode ser inserido em outros grupos ( isto, chamamos de aninhamento de grupo). Para inserirmos um usurio a um grupo, podemos fazer pelas propriedades do usurio, como j vimos, mas tambm pelas propriedades de um grupo, na guia Membros. Clique com o boto direito do mouse no grupo desejado e clique em Propriedades. Clique na guia Membros.
Clique no boto Adicionar... para adicionar membros a este grupo:
137
Para colocarmos um grupo dentro de um grupo, podemos usar a guia Membro de, para colocar este grupo como membro de outro grupo. Esta guia tambm acessamos pelas Propriedades do grupo. Ou tambm a opo do menu de contexto Adicionar a um grupo como fizemos com as contas de usurio.
Clique em Adicionar para selecionar o grupo do qual queremos que este grupo se torne membro.
138
8.3 Configurao de outras propriedades

Alm dos membros de grupo, tambm temos outras propriedades que podemos gerenciar em relao a grupos. Veja abaixo as outras guias que acessamos pelas propriedades do grupo:
Nesta guia podemos trocar o nome do grupo, colocar descrio e observaes, endereo de email, alterar o escopo e o tipo de grupo. 139
Nesta guia podemos definir um gerente para o grupo. O gerente pode ser usado apenas como informao, ou podemos definir que o gerente pode atualizar a lista de membros marcando a caixa de seleo com esta opo. Para selecionar o gerente, clique em Alterar...
Digite e verifique o nome do usurio desejado. Clique em Ok. Para que este gerente possa modificar o Membership do grupo, marque a caixa equivalente, mostrada na janela abaixo: 140
Lio 5 Colocando uma estao ou servidor no domnio necessrio configurar os computadores para que eles se tornem membros do domnio e passem a ser administrados como tal. Fazendo com que um computador se torne membro de um domnio, fazemos com que os usurios do domnio se tornem usurios do computador local, fazemos com que os administradores do domnio passem a administrar o computador local. Atravs da conexo de um computador ao domnio, podemos aplicar diretivas de grupo a este computador, podemos configurara auditoria, distribuir software, entre outras aes. Um usurio comum, em domnios de Active Directory atuais, podem conectar at 10 computadores ao domnio. Isto uma definio de segurana, e pode ser modificada (pode ser tirado este direito, mas o limite de 10 contas no poder ser excedido). Aps exceder o limite de 10 contas de computador, ento somente os administradores (ou usurio que foram definidos especificamente com este direito ou funo) podero conectar computadores ao domnio. Para conectar um computador ao domnio, devemos em primeiro lugar, configurar o endereo de DNS na placa de rede dele (nas configuraes do TCP-IPv4) para apontar ao servidor de DNS do domnio (vimos como fazer isto em um Windows Server em lio anterior, no Windows 7 semelhante o procedimento).
141
Logo aps, pelo menu Iniciar, clicamos com o boto direito do mouse em Computador e escolhemos a opo Propriedades. Na janela das propriedades do computador, no lado esquerdo da janela, clicamos na opo Configuraes Avanadas do Sistema
Na guia Nome, clique no boto Alterar
142
Na janela de configurao do nome do computador, clique em Domnio e digite o nome do domnio ao qual deseja que este computador faa parte
Depois de digitar o nome do domnio, clique em Ok. O Windows pedir as credenciais (nome e senha) de um usurio, membro do domnio em questo, que possa conectar este computador ao domnio.
143
Solues Microsoft Workgroup e AD Logo aps a confirmao de conexo ao domnio (ser exibida uma mensagem de Bem Vindo), ser solicitado que o computador seja reiniciado. No seu retorno, o computador j ser membro do domnio. OBS: As telas desta lio so de Windows 7. Em Windows Server, o procedimento praticamente o mesmo
144
Unidade 9 Segurana dos Recursos de Disco: Configurao de compartilhamento

9.1 Compartilhamento de recursos
Para que um recurso se torne acessvel atravs da rede, precisamos compartilhar este recurso. S podemos compartilhar pastas e unidades, no possvel compartilhar arquivos individualmente. Segundo as melhores prticas MS, devemos sempre compartilhar pastas para grupos, no para usurios. A permisso padro do compartilhamento avanado para o grupo Todos, com a permisso somente leitura. A permisso padro do compartilhamento simples somente para o usurio que est configurando o compartilhamento, com a permisso proprietrio (que equivale a Controle Total). Aqui, neste mdulo, veremos o compartilhamento avanado, que o que normalmente ser usado em uma rede de domnio. Para compartilhar uma pasta, clique com o boto direito do mouse no nome da pasta e escolha a opo propriedades. Clique na guia Compartilhamento
145
Clique em Compartilhamento Avanado
146
Solues Microsoft Workgroup e AD Marque a caixa de seleo Compartilhar a pasta, digite o nome do compartilhamento que deseja criar e clique em Permisses para ajustar as permisses de acesso pasta compartilhada
Clique em Adicionar, para adicionar outros grupos. Clique no nome do grupo e no boto Remover, se desejar tirar um grupo da lista de permisses.
Digite o nome do grupo e Verifique o nome. Faa isto para tantos grupos (ou usurios) desejar configurar para permisso neste compartilhamento. Depois, clique em Ok. 147
Solues Microsoft Workgroup e AD Para definir o nvel de acesso de cada grupo, clique no nome dele e, na parte inferior da janela, marque a caixa de seleo referente permisso ou negao que deseja configurar para o grupo selecionado. Na figura abaixo, o grupo Todos tem a permisso Permitida de Leitura.
Quando estiver pronto, clique em Ok duas vezes para fechar a janela de configurao de compartilhamento.
148
Unidade 10 Segurana dos Recursos de Disco: Configurao das permisses de segurana NTFS
10.1 Configurando Segurana NTFS
Toda unidade de disco formatada com sistema de arquivos NTFS possui configuraes de segurana, onde podemos definir quem pode e o que pode ser feito em suas pastas e arquivos. Estas permisses de segurana so vlidas tanto para controle de acesso localmente, quanto para quando acessamos atravs de um compartilhamento de rede, mas configurar a segurana no disponibiliza o recurso para acesso via rede. Podemos configurar permisso tanto para unidades, pastas e at arquivos individualmente. Por padro, um arquivo herda a configurao de segurana da pasta onde ele est, assim como subpastas tambm herdam. possvel remover esta herana, quando precisarmos que determinado arquivo ou subpasta tenha configuraes de segurana diferentes da pasta de nvel superior. Sempre que uma permisso estiver cinza e no puder ser alterada, significa que ela herdada. Para modificar, precisamos remover a herana. Veja como configurar as permisses de segurana NTFS. Para configurar as permisses, comece clicando com o boto direito do mouse na unidade, pasta ou arquivo que desejar configurar. Clique na opo Propriedades. Clique na guia Segurana
149
Para adicionar grupos ou usurios e usar permisses padro, clique no boto Editar
150
Clique no boto Adicionar para escolher usurios e grupos para configurar permisso. Clique no nome de um grupo ou usurio na lista e no boto Remover, se quiser tirar da lista de permisses. Para configurar o nvel de permisso desejado, clique no nome do grupo ou usurio e marque a caixa de seleo com o nvel de permisso ou negao desejado. OBS: Lembre-se... se caso no conseguir remover um usurio/grupo, ou modificar uma permisso, significa que ela herdada IMPORTANTE: S se usa negao em casos muito especiais, j que ela no ser sobrescrita em caso de conflito de permisses. E, diferente da permisso permitida, a permisso negada deve ser dada apenas a usurios individuais e no a grupos. A permisso se no estiver explicitamente configurada, j ser automaticamente negada. Ento, em vez de negar, melhor no configurar. Mas muitas vezes estas permisses de acesso padro no do o tipo de permisso desejado. Ou o comportamento padro de configurao (da permisso ser para esta pasta e para tudo que existir abaixo dela) no d o tipo de permisso de acesso desejada. Ou ainda precisamos remover a herana! Ento, na janela da configurao das permisses de segurana, clique no boto Avanadas
151
Clique no boto Alterar Permisses e, ento, nesta nova janela, utilize o boto Adicionar para adicionar e configurar novas permisses para usurios ou grupos, o boto Editar para modificar uma permisso de acesso atual (selecionando na lista, clicando sobre o nome do grupo ou usurio a ser alterado e, depois clicando no boto Editar) ou ainda, para remover uma permisso, clique no nome do usurio ou grupo e depois em Remover. Caso queira remover a herana, para poder modificar uma permisso herdada, desmarque a caixa de seleo Incluir permisses herdveis provenientes do pai deste objeto. Abaixo, uma tela com as opes de configurao para adicionar novas permisses a usurio ou grupo, pelo boto Adicionar
152
Digite o nome do usurio ou grupo a ser adicionado e selecione onde aplicar, a que objetos aplicar e o nvel de permisso permitida ou negada desejada. Clique em Ok at fechar as propriedades do arquivo ou pasta.
10.2 Dicas para facilitar a administrao dos recursos

Segundo as melhores prticas MS, sempre devemos configurar permisses para grupos e no para usurios. Um usurio pode ser membro de diversos grupos. E por este motivo, receber diferentes nveis de permisso. Estas permisses sero somadas (se permisses permitidas) e filtradas (se permisses negadas, j que a negao sobrescreve uma permisso) e teremos o que chamamos de permisso efetiva. Este clculo de permisso efetiva ocorre tanto para segurana quanto para compartilhamento. Mas se estas permisses efetivas forem diferentes, neste caso ficar realmente efetiva a permisso mais restritiva entre as duas (compartilh amento e segurana). 153
Solues Microsoft Workgroup e AD Assim sendo, tem-se como prtica comum abrir no compartilhamento e fechar na segurana NTFS, j que esta fica vlida tanto para um acesso via rede, quanto em um acesso local. Ento, uma das boas prticas, compartilhar para todos ou usurios autenticados com a permisso controle total, e depois na segurana colocar permisso SOMENTE para os grupos que efetivamente precisam de acesso, e com o nvel desejado
154
Unidade 11 Configurao de Group Policies (diretivas de grupo)

Um dos principais pontos de venda, um dos principais diferenciais da soluo de rede MS a possibilidade de aplicar diretivas. Atravs de Diretiva podemos configurar praticamente todo o ambiente de trabalho do usurio. Temos diretivas (policies) locais, em cada computador com Windows. Mas nosso foco aqui so as policies (diretivas) de grupo, de domnio. O Windows Server possui uma ferramenta (console) que a preferencial para este trabalho com diretivas de grupo: O GPMC (Group Policy Management Console) Atravs do GPMC podemos criar, configurar, testar, gerar relatrios, de toda a estrutura de diretivas do domnio. Quando iniciamos a console do GPMC, para iniciar o trabalho com as diretivas, expandimos o n da Floresta, o n do domnio e clicamos no container Objetos de Diretiva de Grupo. Em um novo domnio, existiro 2 diretivas: Default Domain Policy e Default Domain Controller Policy. A diretiva Default Domain Policy vlida para todos os computadores e usurios do domnio e est ligada ao domnio A diretiva Default Domain Controller Policy vlida para todos os controladores de domnio do domnio em questo.
155
Clicando na pasta Objetos de Diretiva de Grupo com o boto direito do mouse, temos as opes de gerenciamento de policies:
Clicando na opo Novo, criamos uma nova diretiva de grupo
156
Digite o nome a ser dado para a diretiva e clique em Ok. Mas isto apenas criou a diretiva, temos que agora definir o que ser configurado atravs desta diretiva. Clique com o boto direito do mouse e escolha a opo Editar
Na tela de edio da diretiva onde vamos definir o que esta policy vai configurar ou controlar. Uma diretiva dividida em duas reas principais: Usurio e Computador Dentro de cada uma destas duas partes, temos ainda uma diviso entre Diretivas e Preferncias. Diretivas existe em qualquer verso de policies de Windows. A parte "Preferncias" que novo no Windows Server 2008. Para que esta parte possa ser implementada em computadores com Windows XP e Windows Server 2003, precisa ser instalado um "KB" chamado "Client Side Preferences" (pode ser baixado gratuitamente no site da Microsoft na Internet).
157
Para modificar um item (editar), localize o item expandindo os ns e d duplo clique sobre ele no painel da direita (painel de detalhes). Configure conforme sua necessidade. Temos 3 possibilidades: No configurado: Vai ficar valendo a configurao atual, vinda de outra diretiva ou configurada localmente Habilitado: Executa esta diretiva Desabilitado: No executa esta diretiva Marque a opo e clique em Ok. OBS: Em cada janela de configurao de uma diretiva sempre tem uma breve explicao sobre ela, no painel Ajuda. E possvel navegar entre as diversas diretivas clicando nos botes Configurao Anterior e Prxima Configurao
158
ATENO: Em nenhum momento solicitado que uma diretiva seja "salva". No momento que clicamos em Ok, est sendo salva esta configurao. Para modificar ou desfazer, necessrio voltar edio da diretiva e mudar o que for necessrio. Para configurar uma "Preferncia", tambm necessrio localiz-la para editar. Abaixo, as "preferncias para computador" e as "preferncias para usurio":
159
Como exemplo, veremos a configurao de um atalho: Clique com o boto direito do mouse em Atalho, aponte para a opo Novo e clique em Atalho
160
Escolha a ao:
Configure as opes desejadas:
161
Nas "Preferncias" possvel direcionar a configurao, de acordo com "testes" ou opes. Para isto, clique na guia Comum, marque a caixa de seleo Direcionamento de nvel de item e clique em Direcionamento.
Configure os testes conforme necessrio, clicando em Novo Item
162
Abaixo, as opes de testes de direcionamento:
Configure conforme for sua necessidade e clique em Ok. Na figura abaixo, um exemplo de direcionamento por grupo de segurana:
163
Depois de finalizada a edio da diretiva, ainda temos mais algumas configuraes a serem feitas. A primeira delas definir a quem se aplica esta diretiva. O padro ela ser aplicada a Usurios Autenticados. Para modificar este comportamento, clique sobre o nome da diretiva na pasta Objetos de Diretivas de Grupo. No painel da direita ser mostrada as caractersticas desta diretiva selecionada.
Na guia Escopo temos as informaes de a qual OU(s) est ligada esta diretiva e a quem ela se aplica (Filtros de Segurana).
164
Na guia Opes temos um resumo de todas as configuraes da diretiva ( possvel imprimir o contedo desta guia, como forma de "relatrio" clicando em qualquer lugar do painel de detalhes com o boto direito do mouse e escolhendo Salvar Como)
165
Solues Microsoft Workgroup e AD Na guia Delegao vemos todos que tem algum tipo de permisso ou direito sobre esta diretiva. Para modificar a quem se aplica esta diretiva, ou ainda qualquer outra permisso desejada, clique no boto Avanado.
Configure como desejar e clique em Ok quando pronto. As permisses necessrias para quem queremos que esta diretiva seja aplicada "Leitura" e "Aplicar diretiva de grupo" Ainda temos que definir a qual local queremos ligar esta policy, pois mesmo depois de configuradas as opes, definido a quem se aplica a diretiva, ela s estar efetivamente em funcionamento depois que "ligarmos" ao domnio ou alguma OU. Para ligar a uma OU, clique com o boto direito do mouse sobre o nome da OU desejada.
166
Clique em Vincular com GPO Existente
Escolha a GPO (diretiva) desejada e clique em Ok. Uma OU (ou mesmo o prprio domnio) pode ter diversas diretivas ligadas a ela. E ainda existe a "herana" de diretivas. Por "Herana de diretivas" entende-se as diretivas ligadas nveis acima e que "descem" na hierarquia. Se por algum motivo no quisermos que diretivas sejam herdadas por alguma OU, devemos Bloquear Herana, clicando nesta opo no menu 167
Solues Microsoft Workgroup e AD de contexto da OU em questo (veja na tela acima, onde apresenta o menu de opes de uma OU) Clicando no nome da OU, vemos as diretivas vinculadas diretamente ela clicando na guia Objetos de Diretiva de Grupo Vinculadas...
... E clicando na guia Herana de Diretivas de Grupo, vemos as diretivas herdadas por esta OU
Ainda temos opes de configuraes no "link" da diretiva (aparece logo abaixo do nome da OU os links de todas as diretivas ligadas a ela), que temos acesso clicando com o boto direito do mouse no link em questo: 168
Atravs deste menu podemos, por exemplo, ativar e desativar um vnculo ou mesmo excluir o vnculo (excluir o vnculo NO exclui a diretiva). Conhecimento Adicional: Quando o Windows vai executar uma diretiva, ele l TODA a diretiva, mesmo que somente uma parte, ou poucos itens, estejam efetivamente configurados. Para minimizar este tempo de "leitura", podemos desativar parte da diretiva que no tenha configuraes. J vimos que uma policy dividida em 2 grandes "reas": Usurio e Computador. Se uma destas reas no tiver configurao, desabilite esta parte. Para tal, clique com o boto direito do mouse na diretiva em questo, na pasta Objetos de Diretiva de Grupo. Aponte para Status do GPO e escolha a opo que se aplica, clicando sobre ela:
169
170
Unidade 12 Tpicos Adicionais

12.1 Mestres de operao
Domnios com Active Directory, a funo controlador de domnio multimaster, ou seja, todos podem receber alteraes e replicam estas alteraes com seus parceiros. Mas tem algumas funes que so consideradas crticas, e portanto, nomeamos apenas 1 controlador de domnio para executar estas funes. So o que chamamos de Mestres de Operao. Temos 5 mestres de operao, sendo que 2 deles so exclusivos em toda a floresta: Mestre do Esquema (Schema Master) responsvel pela manuteno do esquema, como o nome j diz Mestre de Nomeao de Domnio (Domain Naming Master) responsvel por garantir a exclusividade do nome do domnio, por manter o relacionamento pai-filho dentro da floresta, pelo posicionamento dos controladores de domnio, pelas relaes de confiana... E 3 so exclusivos em cada domnio Emulador de PDC (PDC Emulator) responsvel por sincronizar a hora dos computadores, por receber alteraes de senha, por receber alteraes de diretivas... Mestre de Infraestrutura (Infrastructure Master) responsvel por manter histrico de SIDs, membros de grupos... Mestre de RID (RID Master) responsvel por distribuir os SIDs para os controladores de domnio, para a criao de novos objetos Por padro, o primeiro controlador de domnio da floresta possui o mestre das 5 funes A partir da, o primeiro controlador de domnio de cada domnio filho ters as 3 funes exclusivas por domnio. possvel alterar o mestre. Para isto, cada uma das funes pode ser migrada entre controladores de domnio individualmente. Para alterar as funes Emulador de PDC (PDC Emulator), Mestre de Infraestrutura (Infrastructure Master) e Mestre de RID (RID Master) usamos a ferramenta Usurios e Computadores do Active Directory 171
Solues Microsoft Workgroup e AD Em primeiro lugar, conecte-se ao controlador de domnio que deseja que seja o novo mestre. Para isto, clique no nome do domnio na ferramenta Usurios e computadores do Active Directory, clique com o boto direito do mouse e escolha a opo Alterar o Controlador de Domnio
Selecione o nome do controlador de domnio que deseja
172
Solues Microsoft Workgroup e AD Depois de clicar em Ok,clique novamente no nome do domnio com o boto direito do mouse e, agora, escolha a opo Mestres de Operao
Clique na guia do mestre que deseja mover para o novo controlador de domnio e clique em Alterar
173
Clique em Fechar. Para alterar o Mestre de Nomeao de Domnio, a ferramenta que usamos o Domnios e Relaes de Confiana do Active Directory O procedimento o mesmo descrito acima. Somente o que muda o mestre em questo:
174
Para alterar o Mestre de Esquema, precisamos registrar a DLL da console de administrao do esquema, que no vem criada e registrada automaticamente. Para isto, siga o procedimento abaixo: Pelo Executar do menu Iniciar, digite o comando abaixo 175
Vir uma mensagem de sucesso do registro
Depois disto, abra uma console de MMC vazia, digitando MMC no Executar Clique no menu Arquivo e escolha a opo Adicionar/Remover Snap-in. Selecione o snap-in Esquema do Active Directory, clique em Adicionar e clique em Ok
176
Solues Microsoft Workgroup e AD Ento, o processo agora igual ao descrito anteriormente... Escolha o controlador de domnio para o qual deseja transferir a funo e depois escolha a opo Mestre de operaes
E transfira a operao.
12.2 Global Catalog

Quando rodamos o assistente DCPromo para a criao do controlador de domnio, uma das opes que podemos configurar, como j visto anteriormente, se este controlador de domnio ser um Servidor de Catlogo Global. O Servidor de Catlogo Global executa algumas funes bem especficas: ele quem responde por solicitaes de consulta ao Active Directory ele quem mantm os grupos Universais ele quem responde por tentativas de logon quando usamos o UPN do usurio (UPN o nome completo do usurio, que formado pelo nome de logon do usurio, o sinal de @ e o sufixo do domnio onde a conta deste usurio reside. Muitas vezes, pode ser o mesmo endereo de email, mas no obrigatoriamente. Este UPN definido na criao do usurio e pode ser alterado pelas propriedades da conta do usurio, selecionando o sufixo na caixa relativa)
177
Solues Microsoft Workgroup e AD O Global Catalog Server possui a base de dados de segurana do domnio ao qual ele controlador de domnio, e uma cpia de parte da base de dados de todos os outros domnios da floresta (ele possui todos os objetos e uma parte dos atributos destes objetos) de forma a facilitar a consulta. Como melhores prticas, se tivermos um nico domnio, todos os controladores devero ser configurados como Servidores de Catlogo Global. Se tivermos mais de um domnio, todos os controladores de domnio devero ser configurados, exceto aquele que for mestre de operao de infraestrutura (Infrastructure Master). Para verificar se um controlador de domnio um Global Catalog Server, ou para configurar esta opo, usamos a ferramenta Sites e Servios do Active Directory. Clique para expandir o site, clique para expandir Servers, clique no servidor em questo e clique com o boto direito em NTDS Settings. Na guia Geral, verifique se est marcado Catlogo Global. Se esta caixa de seleo estiver marcada, este controlador de domnio um Servidor de Catlogo Global. Marque ou desmarque conforme for a necessidade.
178
12.3 Adio de mais controladores de domnio e Criao de mais domnios

Pela mesma ferramenta DCPromo, pela mesma forma j descrita anteriormente para a criao do controlador de domnio, podemos criar mais controladores de domnio para domnios j existentes, e at novos domnios. S o que modifica so as opes que escolhemos no assistente de criao dos controladores de domnio. Em primeiro lugar, devemos adicionar a funo Servios de Domnio do Active Directory, como visto anteriormente, no incio deste treinamento (Parte 2). Aps, executar DCPromo, como tambm j descrito na Parte 2. Quando solicitado, escolha a opo que se aplica: Controlador de domnio adicional em um domnio j existente, ou Controlador de domnio para um novo domnio filho.
Marque a opo desejada e clique em Avanar
179
Digite o nome do domnio existente (para controlador de domnio adicional, digite o nome do domnio desejado, para novo domnio, digite o nome do domnio "pai"), clique em Avanar e siga o assistente.
12.4 Remoo de um controlador de domnio

Para remover um controlador de domnio, usamos o mesmo utilitrio DCPromo que usamos para adicionar um novo controlador de domnio. Quando executamos DCPromo e ele detecta que o servidor um controlador de domnio atualmente, ele j oferece diretamente para remover a funo Controlador de domnio do servidor. Clique em Avanar. Se o Controlador de domnio for um Servidor de Catlogo Global, ele avisa para verificar se existe outro controlador de domnio executando esta funo pois, sem um Global Catalog Server os usurios no podero fazer logon no domnio.
180
Se este for o ltimo controlador de domnio do domnio, marque a opo informando isto. Se no for o ltimo, o assistente ir remover as informaes do controlador atual do domnio ainda existente em outro(s) controlador de domnio e far a transferncia de funes master se caso o controlador atual for um Mestre de Operao para outro controlador de domnio do domnio atual.
181
Se este for o ltimo controlador de domnio, o domnio cessar de existir quando o DCPromo finalizar. OBS: Se caso o DCPromo no conseguir remover corretamente o controlador de domnio, podemos forar a remoo com a linha de comando DCPROMO /FORCEREMOVAL. Mas isto poder acarretar em sujeira na base de dados, caso o domnio continue existindo em outros controladores de domnio.
12.5 Delegar tarefas administrativas no AD
O usurio Administrador , por padro, o usurio que possui todas as permisses administrativas e direitos de usurio dentro de um domnio do Active Directory. Bem como podemos dizer o mesmo do grupo Admins do Domnio e Administradores (do Active Directory). Como vimos no tpico de grupos, tambm os grupos internos possuem direitos de usurio, atravs dos quais podem executar algumas das 182
Solues Microsoft Workgroup e AD tarefas administrativas. Ou seja, usurios que sejam inseridos como membros destes grupos internos recebero os direitos administrativos inerentes ao grupo. Veremos mais adiante, no tpico sobre diretivas, mais sobre estes direitos de usurio, conforme j comentamos. Como exemplo de grupos internos que possuem direito de executar uma ou mais tarefas administrativas no Active Directory, temos os Operadores de Conta. Mas existem algumas tarefas, em relao ao Active Directory Domain Services que podemos querer que usurios possam executar, mesmo que no sejam administradores, nem membros de grupos internos. Exemplos destas tarefas podemos ter com empresas que quisessem que os membros do departamento de Recursos Humanos pudessem criar contas de usurio no domnio, em uma OU chamada Novos Funcionrios. Mas... Por que no colocar estes usurios diretamente nos grupos j descritos (que tem poderes administrativos no AD e que poderiam executar esta tarefa)? Pelo princpio do menor privilgio que a Microsoft preza muito, em relao segurana. Se colocarmos um usurio do RH em dos grupos de que j falamos, este usurio poderia executar mais tarefas administrativas do que desejamos. Ento, para resolver questes como esta, temos a possibilidade de delegar tarefas administrativas especficas usurios e/ou grupos, dentro do AD, de forma a que estes usurios s possam executar aquilo que efetivamente desejamos ou necessitamos. Para delegar tarefas administrativas, usamos a console Usurios e Computadores do Active Direcory. Normalmente, a guia Segurana no aparece nos objetos do Active Directory. Para mostrar esta guia, clique no menu Temos uma forma simples e uma forma mais trabalhosa para delegar a tarefa administrativa. Mas s temos uma forma (a trabalhosa) para ver, remover e modificar as permisses administrativas delegadas aos objetos do Active Directory. A forma simples atravs do assistente Delegar Controle A forma trabalhosa atravs da guia Segurana , que descrevemos acima como exibi-la. Para delegar a permisso desejada, usando o Assistente: Clique com o boto direito do mouse no item desejado (normalmente uma OU)
183
No menu que se abre, clique em Delegar Controle
Siga os passos do Assistente Para delegar controle usando a guia Segurana: Clique com o boto direito do mouse no objeto desejado No menu que se abre, clique na opo Propriedades Clique na guia Segurana 184
Modifique as permisses da mesma forma que vimos em relao s permisses do NTFS OBS: Tudo que vimos relativo s permisses do NTFS vale da mesma forma aqui: permisso efetiva, herana de permisses, etc.
12.6 Servidor DHCP

Uma das funes principais mais usadas no Windows Server a funo DHCP Server. Atravs desta funo podemos configurar nossos computadores para usar endereamento automtico em vez de utilizar configurao de TCPIP manual nos adaptadores de rede A configurao manual nos permite maior controle de que dispositivo usa qual endereo, mas muito mais trabalhosa e mais suscetvel a uma configurao incorreta (o que pode acarretar em recursos indisponveis). Entre as possibilidades mais concretas, est a configurao de endereos conflitantes (dois ou mais dispositivos com o mesmo endereo) ou mesmo configurao de mscara de rede ou gateway incorretos (o que pode gerar a no localizao de recursos na rede local ou externa) Atravs do DHCP podemos centralizar as configuraes e aumentar a garantia de que os endereamentos estaro corretos. Para adicionar a funo DHCP, o pr-requisito necessrio que este servidor esteja com o endereo IP configurado manualmente.
185
Configure a placa de rede do servidor conforme j visto, de forma esttica. Abra a console do Gerenciador de Servidores Clique na opo Funes na lista esquerda da janela Com o boto direito do mouse, clique em Funes novamente No menu que se abre, clique em Adicionar Funes Se solicitado, clique em Prximo para iniciar o assistente
Marque a caixa de seleo ao lado da opo Servidor DHCP Clique em Prximo 2 vezes 186
Preencha as opes iniciais de configurao do DHCP (estas opes sero usadas pelo servidor de DHCP para as configuraes a serem passadas aos seus clientes) nome do domnio de DNS e endereos dos servidores DNS preferencial e alternativo Se voc no quiser configurar o DHCP agora, basta seguir o assistente sem preencher os campos de configurao. Estas podero ser feitas ou alteradas posteriormente, atravs da console de administrao do DHCP
187
Clique se deseja ou no configurar o endereo de um servidor WINS caso este seja usado junto com o DNS para o processo de resoluo de nomes da empresa. Clique em Prximo
188
Se desejar, configure o escopo de endereos a serem ofertados pelo DHCP veremos a criao do escopo mais adiante. Clique em Prximo
189
Solues Microsoft Workgroup e AD Marque a opo se deseja ou no que o servidor atribua endereos em IPv6, tambm. Clique em Prximo (Se voc marcar a opo para habititar, ser solicitado configurar o escopo como no caso do IPv4, o que pode ser feito neste momento, ou posteriormente)
Clique em Instalar. Quando pronto, revise a mensagem e clique em Fechar. Para administrar o DHCP, utilizamos a console DHCP, que encontramos nas Ferramentas Administrativas. Para abrir esta console, clique no menu Iniciar, aponte para Ferramentas Administrativas e clique em DHCP. A primeira ao a ser executada em um servidor de DHCP autoriza -lo no AD. Por motivos de segurana, para que o servio DHCP possa ser efetivamente iniciado, ele deve ser autorizado pelo AD. Enquanto um servidor de DHCP no for autorizado, ele no poder fazer ofertas de IP mesmo que possua escopo e as demais cofiguraes Somente um administrador da organizao pode autorizar um DHCP. Para autorizar um servidor de DHCP, clique com o boto direito do mouse em DHCP na lista esquerda da console do DHCP e, no menu que se abre, clique na opo Gerenciar servidores autorizados.
190
Na caixa que se abre, clique em Autorizar, digite o nome ou o IP do servidor a ser autorizado e clique em OK. Se necessrio, clique em OK novamente para confirmar o servidor a ser autorizado. Este procedimento pode ser repetido caso haja mais de um servidor de DHCP a ser autorizado. Quando estiver satisfeito, clique em OK.
Clique no sinal de + ao lado do nome do servidor, na lista da esquerda da janela, para expandir as informaes referentes ao DHCP deste servidor Clique no sinal de + ao lado de IPv4 (o mesmo procedimento vlido para IPv6, mas aqui ser descrito apenas para IPv4) para exibir as opes do IPv4 Se vocs criou um escopo, ele ser exibido aqui. Como no procedimento acima no criamos um escopo, o faremos agora. Escopo uma lista de endereos que podem ser ofertados aos clientes deste servidor de DHCP. Um servidor de DHCP pode ter um ou mais escopos. Nas configuraes do escopo, definimos endereo inicial e final da lista, mscara de subrede, validade do leasing (emprstimo) do endereo, informaes de endereos que devam ser excludos da listagem, endereos da listagem que devam ser reservados e opes (endereo do servidor DNS, do gateway, de servidor WINS, etc). Estas opes tambm podem ser configuradas ao nvel de servidor DHCP (so vlidas para
191
Solues Microsoft Workgroup e AD todos os escopos deste servidor) e para reservas (sero vlidas somente para aquele endereo reservado) Para criar um escopo, siga o procedimento abaixo: Clique com o boto direito do mouse em IPv4. No menu que se abre, clique na opo Novo escopo. No assistente que inicia, clique em Avanar.
Digite um nome para o escopo, uma descrio e clique em Avanar.
Digite o endereo inicial e o final da lista de endereos do escopo. Se necessrio, modifique e ajuste a mscara de sub-rede. Clique em Avanar.
192
Digite, se necessrio, o endereo inicial e final de uma lista de excluso (endereos da listagem geral do escopo e que voc no deseja que sejam distribudos aos clientes pelo servidor DHCP). Clique em Adicionar. Se necessrio, podem ser adicionados mais de um intervalo de excluso. Quando estiver satisfeito, clique em Avanar.
Defina a durao do leasing durao da concesso e clique em Avanar.
193
Se desejar configurar as opes do escopo durante sua criao, marque a opo Sim. Se desejar configurar as opes depois do escopo criado, marque a opo. Neste procedimento, veremos a configurao das opes DEPOIS de criado o escopo. Clique em No, em Avanar e em Concluir. Depois de pronta a criao do escopo, precisamos definir as opes e ativar o escopo.
Para configurar as opes, clique sobre o escopo na listagem da esquerda da console do DHCP. Expanda as configuraes do escopo clicando no + ao lado esquerdo do escopo. Clique com o boto direito do mouse no em Opes de escopo e clique na opo Configurar opes.
194
Na janela que se abre, localize a opo desejada a ser configurada. Na janela acima, est marcada a opo Roteador (default gateway). Neste exemplo, digite o endereo do gateway depois de marcar a caixa relativa ao roteador e clique em Adicionar. Repita este procedimento tantas vezes quantas forem necessrias para configurar todas as opes para o escopo. Quando estiver satisfeito, clique em OK. Se quiser, pode ser clicado em Aplicar para j configurar as opes mesmo antes de fechar a janela. Lembre-se que para o Active Directory necessrio a configurao de pelo menos 1 servidor de DNS para ser possvel efetuar o logon. Ento esta opo necessria de ser configurada em TODOS os escopos de um servidor, caso estes clientes utilizem o AD. Para a Internet isto tambm necessrio. Se houver a necessidade de que um determinado cliente receba sempre o mesmo IP do escopo, podemos configurar uma reserva.
Para isto, clique com o boto direito do mouse no item Reserva abaixo do escopo na lista da esquerda e clique na opo Nova reserva.
195
Digite o nome que descreva a reserva normalmente descrevemos ou nomeamos o computador que ir receber este endereo. Digite o endereo a ser reservado e o MAC da placa de rede que ir receber este endereo Quando pronto, clique em Adicionar. Repita este processo para todas as reservas necessrias. O ltimo passo para configurar um escopo ativa-lo. Depois de tudo ok, para que o escopo possa comear a oferecer seus endereos, ele precisa estar ativo.
Para isto, clique com o boto direito do mouse no escopo em questo e no menu que se abre, clique na opo Ativar.
196
Unidade 13 Diretiva local e de grupo

13.1 Configurao de diretivas locais
Uma das funcionalidades mais importantes de um Windows, em relao administrao e segurana, so as diretivas de locais e de grupo Atravs de policies, podemos configurar praticamente 100% do ambiente de trabalho de um usurio. Hoje, nas verses atuais de Windows, podemos configurar diversos nveis de policies, mesmo trabalhando em grupo de trabalho. Comearemos vendo as diretivas locais, atravs da configurao das diretivas de um Windows 7. Podemos ter uma policy local padro (diretiva do computador local), uma policy diferente para usurios administradores e no administradores, e at para usurios individuais, desde que sejam usurios locais. Para configurar uma policy para o computador local, precisamos abrir uma console de MMC vazio. Para isto, digite MMC no menu Iniciar, e clique em MMC no item que aparece:
197
Solues Microsoft Workgroup e AD Se necessrio, permita a execuo da console, clicando em ok na mensagem do UAC:
OBS: MMC significa Microsoft Management Console, e a interface para todas as ferramentas administrativas do Windows. Na tela do MMC, no menu Arquivo, escolha opo Adicionar/remover Snap-in
198
Solues Microsoft Workgroup e AD Na janela da lista dos snap-ins, selecione Editor de Objeto de Diretivas... e clique em Adicionar
Na caixa que se abre, escolha a que se aplica as diretivas a serem criadas. Se forem para o computador local valem para todos os usurios do computador local simplesmente clique em Concluir
199
Se quiser criar uma diretiva para administradores ou no administradores ou ainda para um nico usurio, clique em Procurar... e depois selecione a quem se aplica.
200
Solues Microsoft Workgroup e AD Clique em ok para fechar a janela e inserir o snap-in com a configurao desejada.
Para configurar uma policy, primeiro necessrio saber exatamente o que fazer. Policy muito poderoso e MUITO PERIGOSO. Em nenhum momento solicitado confirmao de alterao, nem tem como desistir de uma alterao, somente desfazendo manualmente o que foi feito. Abaixo, temos uma tela com a Diretiva do Computador Local:
201
Para efetuar uma alterao, temos que localizar o item a ser configurado:
Dando duplo clique no item, configure conforme desejado:
202
CUIDADO! Quando clicar em ok, estar sendo salva a alterao. No tem como desfazer automaticamente. S voltando ao item e configurando como No configurado. Policy to importante e to perigoso, que alguns fazem projeto antes de efetuar alteraes nas policies. No esquea de documentar todas as alteraes! Localmente, em grupo de trabalho, no temos uma forma simples de gerar relatrios das policies aplicadas. Anote sempre o que for alterar! OBS: Quando adicionamos o snap-in somente para determinado usurio ou para administradores ou no administradores, somente a parte da policy referente ao usurio aparece para ser configurada. Veja tela abaixo:
203
13.2 Configurao de Group Policies (diretivas de grupo)

Um dos principais pontos de venda, um dos principais diferenciais da soluo de rede MS a possibilidade de aplicar diretivas, principalmente a possibilidade de aplicar diretivas a partir de um local centralizado - o domnio. Atravs de Diretiva podemos configurar praticamente todo o ambiente de trabalho do usurio. Temos diretivas (policies) locais, em cada computador com Windows, como vimos acima. Mas agora nosso foco sero as policies (diretivas) de grupo, de domnio. O Windows Server possui uma ferramenta (console) que a preferencial para este trabalho com diretivas de grupo: O GPMC (Group Policy Management Console) Atravs do GPMC podemos criar, configurar, testar, gerar relatrios, de toda a estrutura de diretivas do domnio. Quando iniciamos a console do GPMC, para iniciar o trabalho com as diretivas, expandimos o n da Floresta, o n do domnio e clicamos no container Objetos de Diretiva de Grupo. Em um novo domnio, existiro 2 diretivas: Default Domain Policy e Default Domain Controller Policy. 204
Solues Microsoft Workgroup e AD A diretiva Default Domain Policy vlida para todos os computadores e usurios do domnio e est ligada ao domnio A diretiva Default Domain Controller Policy vlida para todos os controladores de domnio do domnio em questo.
Clicando na pasta Objetos de Diretiva de Grupo com o boto direito do mouse, temos as opes de gerenciamento de policies:
205
Clicando na opo Novo, criamos uma nova diretiva de grupo
Digite o nome a ser dado para a diretiva e clique em Ok. Mas isto apenas criou a diretiva, temos que agora definir o que ser configurado atravs desta diretiva. Clique com o boto direito do mouse e escolha a opo Editar
206
Na tela de edio da diretiva onde vamos definir o que esta policy vai configurar ou controlar. Uma diretiva dividida em duas reas principais: Usurio e Computador Dentro de cada uma destas duas partes, temos ainda uma diviso entre Diretivas e Preferncias. Diretivas existe em qualquer verso de policies de Windows. A parte "Preferncias" que novo no Windows Server 2008. Para que esta parte possa ser implementada em computadores com Windows XP e Windows Server 2003, precisa ser instalado um "KB" chamado "Client Side Preferences" (pode ser baixado gratuitamente no site da Microsoft na Internet).
207
Para modificar um item (editar), localize o item expandindo os ns e d duplo clique sobre ele no painel da direita (painel de detalhes). Configure conforme sua necessidade. Temos 3 possibilidades:
No configurado: Vai ficar valendo a configurao atual, vinda de outra diretiva ou configurada localmente Habilitado: Executa esta diretiva Desabilitado: No executa esta diretiva
Marque a opo e clique em Ok. OBS: Em cada janela de configurao de uma diretiva sempre tem uma breve explicao sobre ela, no painel Ajuda. E possvel navegar entre as diversas diretivas clicando nos botes Configurao Anterior e Prxima Configurao
208
ATENO: Em nenhum momento solicitado que uma diretiva seja "salva". No momento que clicamos em Ok, est sendo salva esta configurao. Para modificar ou desfazer, necessrio voltar edio da diretiva e mudar o que for necessrio. Para configurar uma "Preferncia", tambm necessrio localiza-la para editar. Abaixo, as "preferncias para computador" e as "preferncias para usurio":
209
Como exemplo, veremos a configurao de um atalho: Clique com o boto direito do mouse em Atalho, aponte para a opo Novo e clique em Atalho
210
Escolha a ao:
Configure as opes desejadas:
211
Nas "Preferncias" possvel direcionar a configurao, de acordo com "testes" ou opes. Para isto, clique na guia Comum, marque a caixa de seleo Direcionamento de nvel de item e clique em Direcionamento.
Configure os testes conforme necessrio, clicando em Novo Item
212
Abaixo, as opes de testes de direcionamento:
Configure conforme for sua necessidade e clique em Ok. Na figura abaixo, um exemplo de direcionamento por grupo de segurana:
213
Depois de finalizada a edio da diretiva, ainda temos mais algumas configuraes a serem feitas. A primeira delas definir a quem se aplica esta diretiva. O padro ela ser aplicada a Usurios Autenticados. Para modificar este comportamento, clique sobre o nome da diretiva na pasta Objetos de Diretivas de Grupo. No painel da direita ser mostrada as caractersticas desta diretiva selecionada.
Na guia Escopo temos as informaes de a qual OU(s) est ligada esta diretiva e a quem ela se aplica (Filtros de Segurana). 214
Na guia Opes temos um resumo de todas as configuraes da diretiva ( possvel imprimir o contedo desta guia, como forma de "relatrio" clicando em qualquer lugar do painel de detalhes com o boto direito do mouse e escolhendo Salvar Como)
215
Solues Microsoft Workgroup e AD Na guia Delegao vemos todos que tem algum tipo de permisso ou direito sobre esta diretiva. Para modificar a quem se aplica esta diretiva, ou ainda qualquer outra permisso desejada, clique no boto Avanado.
Configure como desejar e clique em Ok quando pronto. As permisses necessrias para quem queremos que esta diretiva seja aplicada "Leitura" e "Aplicar diretiva de grupo" Ainda temos que definir a qual local queremos ligar esta policy, pois mesmo depois de configuradas as opes, definido a quem se aplica a diretiva, ela s estar efetivamente em funcionamento depois que "ligarmos" ao domnio ou alguma OU. Para ligar a uma OU, clique com o boto direito do mouse sobre o nome da OU desejada.
216
Clique em Vincular com GPO Existente
Escolha a GPO (diretiva) desejada e clique em Ok. Uma OU (ou mesmo o prprio domnio) pode ter diversas diretivas ligadas a ela. E ainda existe a "herana" de diretivas. Por "Herana de diretivas" entende-se as diretivas ligadas nveis acima e que "descem" na hierarquia. Se por algum motivo no quisermos que diretivas sejam herdadas por alguma OU, devemos Bloquear Herana, clicando nesta opo no menu
217
Solues Microsoft Workgroup e AD de contexto da OU em questo (veja na tela acima, onde apresenta o menu de opes de uma OU) Clicando no nome da OU, vemos as diretivas vinculadas diretamente ela clicando na guia Objetos de Diretiva de Grupo Vinculadas...
... E clicando na guia Herana de Diretivas de Grupo, vemos as diretivas herdadas por esta OU
Ainda temos opes de configuraes no "link" da diretiva (aparece logo abaixo do nome da OU os links de todas as diretivas ligadas a ela), que temos acesso clicando com o boto direito do mouse no link em questo: 218
Atravs deste menu podemos, por exemplo, ativar e desativar um vnculo ou mesmo excluir o vnculo (excluir o vnculo NO exclui a diretiva). Uma das possibilidades de configurao de um vnculo marca-lo como Imposto. Um link Imposto define que aquela policy, daquele ponto em diante, no poder ser sobrescrita nem bloqueada (atravs do bloqueio de herana). O que "policy sobrescrita"? Um computador ou usurio pode receber diversas policies... seja atravs da mquina local, do domnio ou OU onde est sua conta. Caso houverem configuraes divergente e que "conflitem" entre si, de acordo com a ordem da aplicao da diretiva que ela ser "sobrescrita" (resolvido o conflito). As policies se aplicam na seguinte ordem:
Diretiva Local Diretiva de Site Diretiva de Domnio Diretiva de OU Diretiva de sub OU e assim por diante!
Alm de serem primeiro executadas as policies de computador e depois as policies de usurio. Na ordem de execuo que definido a ordem da resoluo de conflito. Mas se um link de uma diretiva estiver marcado com IMPOSTO, esta SEMPRE ser vlida, ganhando sempre em caso de conflitos. Se quisermos que um determinado computador fique com suas diretivas vlidas, independente das diretivas de usurio, devemos configurar "processamento em loopback" - que tambm um item de policy. 219
Saiba mais sobre policies... Quando o Windows vai executar uma diretiva, ele l TODA a diretiva, mesmo que somente uma parte, ou poucos itens, estejam efetivamente configurados. Para minimizar este tempo de "leitura", podemos desativar parte da diretiva que no tenha configuraes. J vimos que uma policy dividida em 2 grandes "reas": Usurio e Computador. Se uma destas reas no tiver configurao, desabilite esta parte. Para tal, clique com o boto direito do mouse na diretiva em questo, na pasta Objetos de Diretiva de Grupo. Aponte para Status do GPO e escolha a opo que se aplica, clicando sobre ela:
220
Configuraes de Segurana de uma diretiva:

Em todas as policies, sejam locais ou de AD, temos um tpico bastante importante: as configuraes de segurana do Windows. Fica abaixo das Configuraes do Computador, Diretivas (se for no AD), Configuraes do Windows e finalmente, Configuraes de Segurana
221
Solues Microsoft Workgroup e AD Nesta parte da policy que definimos caractersticas de senha e bloqueio de conta (estes itens so configurados por padro na diretiva "Default Domain Policy"), definimos padro para os logs de eventos, Restrio de Software, Firewall do Windows com segurana avanada, etc. O que veremos a seguir com mais detalhes a configurao dos "direitos de usurio". Em alguns pontos deste treinamento, falamos muito nos grupos internos locais e de domnio. E uma das caractersticas destes grupos eles possuirem "um conjunto de direitos pr definidos" e que podemos colocar usurios nestes grupos para que eles adquiram estes direitos. Mas que direitos so estes e onde podemos consultar/configurar? No item Diretivas Locais, em Atribuies de direitos de usurio, na policy de segurana:
Os direitos de usurio dos grupos internos locais esto configurados, por padro, na Diretiva de Segurana do Computador Local Os direitos de usurio dos grupos internos do AD esto configurados, por padro, na "Default Domain Controllers Policy". Para adicionar ou remover um direito, d duplo clique no direito desejado, clique em Adicionar usurio ou grupo e escolha o usurio ou grupo ao qual quer dar o direito.
222
Para tirar um direito, d duplo clique no direito desejado, clique sobre o nome do usurio ou grupo que deseja tirar o direito e clique no boto Remover. Saiba ainda mais sobre diretivas... Podemos gerar relatrios de policies aplicadas a uma estao, servidor ou usurio localmente, digitando GPRESULT em um prompt de comando Podemos gerar relatrios de policies aplicadas a uma estao, servidor e/ou usurio atravs da console GPMC (Gerenciamento de Diretiva de 223
Solues Microsoft Workgroup e AD Grupo), no item "Resultados da Diretiva de Grupo". Este um assistente, bastante simples, que gera o relatrio das policies aplicadas, com todos os itens configurados e de qual policy veio cada item configurado. muito til para resolver problemas, principalmente localizar conflitos de policies e configuraes incorretas. Abaixo, um exemplo de um relatrio gerado pelo GPMC:
OBS: O item do GPMC - "Modelagem da Diretiva de Grupo" trata da possibilidade de fazermos um teste "E Se" de diretivas. Podemos, atravs deste item, respondendo a um assistente, ver como ficaria o resultado de diretivas aplicadas a um usurio e/ou computador se juntssemos as diretivas de uma OU com as de outra OU.
224
Unidade 14
14.1 Configurao domstica de rede e criao
ANEXOS
de rede
Logo depois de instalar o Windows 7 ou Server 2008, se foi detectada uma placa de rede, esta foi configurada para receber configuraes dinmicas. Como j dissemos no andamento do treinamento, nem sempre teremos um servidor de DHCP disponvel na rede ou poderemos usar as configuraes APIPA. Como tambm j vimos, pode ser necessrio configurar a placa de rede com uma configurao esttica de TCP-IP, pelo menos seu endereo e mscara de subrede. Lembre abaixo como fazer esta configurao: A maneira mais rpida de acessar as configuraes da rede clicando com o boto direito do mouse no cone de rede na rea de notificao. Clique na opo para abrir a Central de Redes e Compartilhamento
225
Solues Microsoft Workgroup e AD Clique em Alterar as configuraes do adaptador e depois, clique na placa de rede a ser configurada, com o boto direito do mouse, e escolha a opo Propriedades. Na caixa de dilogo das configuraes da placa de rede, role a lista e clique em Protocolo TCP/IP verso 4 (TCP/IPv4) e clique no boto Propriedades:
Inicialmente, estar configurado para obter endereo automaticamente:
226
Mas, na falta de um servidor DHCP, e na impossibilidade de usar o APIPA, temos que configurar manualmente:
227
J vimos mais informaes sobre estas configuraes. E tudo se aplica aqui da mesma forma! Com domnio de Active Directory, poderamos ter um servidor de DHCP em um Server 2008, mas como estamos tratando de workgroup, com Windows esta soluo no possvel. Mas podemos ter disponveis roteadores ou outra soluo que executem esta funo. Se for o caso, podemos configurar nossos computadores para Obter endereamento dinmico ou automtico e eles receberem suas configuraes destes roteadores.
228
Lembrando... Caso voc configure o seu computador como cliente de DHCP, e no tiver nenhum servidor de DHCP disponvel na rede, o Windows ir gerar um endereo automtico, chamado APIPA (Automatic Private IP Address), com as configuraes de rede IP 169.254.x.x e mscara de subrede255.255.0.0 Se todos os computadores da rede local tiverem este mesmo comportamento, todos iro se comunicar localmente no grupo de trabalho local, mas no tero acesso Internet. Abaixo, uma tela com o retorno do comando IPCONFIG, em um computador configurado com endereamento automtico, em uma rede sem servidor de DHCP:
229
Configurao das opes avanadas de compartilhamento e descoberta de rede: Se for necessrio, podemos ativar a descoberta de rede e definir informaes sobre compartilhamento de pastas, impressoras e pasta pblica pela opo Alterar as configuraes de compartilhamento avanadas:
Configurao da rede domstica
230
Solues Microsoft Workgroup e AD No Windows 7 podemos criar uma rede do tipo workgroup chamada rede domstica, com um grau de segurana um pouco maior que uma simples rede padro grupo de trabalho. Para isto, siga o procedimento abaixo: Pelo Painel de Controle, solicite a criao de uma rede domstica.
Clique no boto Criar um grupo domstico.
Clique em Avanar. 231
Solues Microsoft Workgroup e AD Ser gerada uma senha para que outros computadores possam ingressar na mesma rede domstica. Tome nota!
Mesmo depois de criado, podemos modificar a rede domstica nas opes abaixo:
232
14.2 Anexo 2 - Uso do MMC e dos Snap-ins

Ferramentas administrativas da Microsoft
Hoje em dia todas as ferramentas administrativas Microsoft rodam dentro de uma console chamada MMC - Microsoft Management Console. Junto com o Windows, quando efetuamos a instalao do sistema operacional, e aps, quando efetuamos a instalao de outros produtos que contenham consoles de administrao, uma srie de consoles de MMC so criadas automaticamente. As que so referentes ao Windows, so colocadas dentro de uma pasta chamada "Ferramentas Administrativas", que podemos localizar no menu Iniciar, ou no Painel de Controle. As que so referentes a outras aplicaes podem estar tanto na pasta Ferramentas Administrativas, quanto em algum item (ou pasta) individual da aplicao (MS Exchange, MS SQL Server so exemplos de aplicativos que tem consoles de MMC para adminstrao) Estas consoles que vem pr configuradas so formadas de uma console de MMC, com um ou mais Snap-Ins adicionados. Podemos criar nossas prprias consoles, seja para personalizar nossas consoles de trabalho, seja para criar consoles para tarefas administrativas que no constem das pr configuradas por padro (a ferramenta para criar Modelos de Segurana, por exemplo) Para criar uma console personalizada, digite MMC no menu Iniciar ou no item "Executar". Na tela que se abre, clique em Arquivo e na opo Adicionar/remover snap-In
233
Solues Microsoft Workgroup e AD Selecione na lista os snap-ins desejados (podemos adicionar quando quisermos, e podemos criar quantas consoles desejarmos).
A lista de snap-ins pode variar de um computador a outro, pois dependem do que temos instalado localmente. Salve a console e armazene onde desejar. Importante: Podemos salvar uma console de MMC na rede, mas para podermos utiliza-las precisamos que o snap-in exista na mquina onde ela ser usada.
234
14.3 Anexo 3 - Backup e Restore do Active Directory

Ferramentas de Backup do Windows Instalao e uso
No Windows Server 2008 R2, a ferramenta de Backup no instalada automaticamente. Ela uma "feature" a ser adicionada caso quisermos. Ela vem com duas interfaces: grfica e linha de comando (Wbadmin.exe). Podemos instalar uma ou as duas, da forma como quisermos. Para instalar este recurso, usamos o Gerenciador de Servidores. Clique em "Recursos" na lista da esquerda. Clique na opo Adicionar recursos
Na janela que se abre, clique em Recursos de Backup do Windows Server e selecione qual das ferramentas deseja (interface grfica, clicando em Backup do Windows Server; linha de comando, clicando em Ferramentas da Linha de Comando) clicando na caixa de seleo ao lado do item desejado.
235
Clique em Prximo. Leia as informaes e clique em Instalar. Depois de finalizado, leia as informaes se a instalao foi bem sucedida ou no, e clique em Fechar.
A Ferrramenta de Backup do Windows Server 2008 era bastante limitada. Permitia fazer backup somente do computador todo ou de um volume 236
Solues Microsoft Workgroup e AD completo. Na verso R2 do Windows Server 2008, esta ferramenta foi bastante modificada, permitindo fazer backup de arquivos e pastas desejados, fazer backup do "estado do sistema", inclusive de forma "incremental" (somente as diferenas desde o ltimo backup do item), backup de compartilhamentos, alm de recuperao "bare metal". Para iniciar a ferramenta Backup do Windows Server, clique nela dentro das "Ferramentas Administrativas"
Para iniciar a configurao de um trabalho de backup, podemos usar dois assistentes: Assistente de Agendamento de Backup Assistente de Backup nico O Assistente de Agendamento de Backup permite que ns criemos uma tarefa recursiva de backup, que executar com uma periodicidade determinada (por exemplo, todos os dias teis, s 23:30h) O Assistente de Backup nico usado quando desejamos fazer um backup especial, uma nica vez, ou forar a execuo de um backup agendado, em horrio diferente ("agora") do que foi configurado no Agendamento. Abaixo, siga o exemplo para a criao de uma tarefa de backup:
237
Solues Microsoft Workgroup e AD No Painel da direita da console da ferramenta grfica Backup do Windows Server, clique em Agendamento de Backup
No Assistente, na primera janela, clique em Avanar. Na janela seguinte, escolha entre duas opes: Servidor completo ou Personalizar Aqui, selecionaremos Personalizar para poder escolher algumas pastas para fazer nosso backup e clique em Avanar
238
Clique em Adicionar Itens e escolha do que deseja fazer backup. Aqui, selecionaremos uma pasta e o "Estado do Sistema" OBS: Fazer backup do Estado do Sistema (System State) faz backup de todas as configuraes do servidor entre elas: o registro (e se ele for Controlador de Domnio, o registro contm a base de dados de segurana do domnio), a base do Certificate Services, configuraes da metabase do IIS, os arquivos sob "proteo do windows". Devemos fazer backup do "Estado do Sistema" de pelo menos 1 controlador de domnio, afim de fazer backup do AD.
239
Clique em Ok quando tiver terminado de selecionar as pastas e itens desejados. Quando pronto, clique em Avanar. Na prxima janela, selecione a frequncia desta tarefa de backup
240
Clique em Avanar quando estiver satisfeito com a configurao. Na prxima janela, escolha onde deseja fazer armazenar o backup
241
Clique em Avanar. De acordo com o item selecionado, escolha o volume, disco ou compartilhamento e continue. Aqui, escolhemos um "volume", ento clicando em Adicionar, escolha o volume desejado e clique em Ok e depois em Avanar.
242
Clique em Concluir para finaliza a criao deste "job" de backup. Quando pronto, clique em Fechar. Para a restaurao, depende da forma como o backup foi feito e do que desejamos recuperar, para definir o procedimento. Para recuperar um arquivo ou pasta, clique em Recuperar no lado direito da console da ferramenta de Backup do Windows Server
243
Solues Microsoft Workgroup e AD No Assistente que inicia, marque o local de onde est recuperando o backup
Clique em Avanar. Na prxima tela, marque a data do backup a ser restaurado clicando no dia desejado
244
Solues Microsoft Workgroup e AD Clique em Avanar. Selecione o que deseja recuperar - escolheremos Arquivos e pastas neste momento
Clique em Avanar. Selecione o que deseja recuperar
Clique em Avanar. Defina para onde deseja recuperar o item selecionado, o que fazer em caso do item existir no local de recuperao e se deseja restaurar permisses originais 245
Clique em Avanar quando pronto. Confirme, clicando em Recuperar
Aguarde a concluso da recuperao
246
Clique em Fechar quando estiver concludo. Atravs da Restaurao, possvel recuperar todo um servidor (desde que tenha sido feito o backup, lgico) usando o "Windows Recovery" WinRE, aplicativos e suas configuraes, volumes completos, o sistema operacional (usando o WinRE, tambm), o "estado do sistema" (trazendo o computador a um status anterior - o do momento do backup), alm de arquivos e pastas. Atravs da recuperao do "estado do sistema" (System State) possvel recuperar um controlador de domnio, um domnio inteiro, um item excludo, alm de ser possvel criar um novo controlador de domnio a partir de um backup do system state de um controlador de domnio existente (a criao deste controlador de domnio se d pela linha de comando DCPROMO, padro, mas com o parmentro /ADV).
Recuperao de Active Directory

Como j visto, podemos recuperar um controlador de domnio, um domnio inteiro, um item excludo do AD atravs da Restaurao do Backup do Windows Server. Basicamente, temos 2 mtodos possveis para a recuperao do AD: Autoritativo No autoritativo Para compreender melhor a diferena, um pouco da teoria do Active Directory: Quando criamos ou exclumos um item no AD, ou quando h qualquer tipo de alterao na base de dados de segurana do domnio, iniciado o processo de replicao do AD.
247
Solues Microsoft Workgroup e AD Neste processo, atravs do "time stamp" do objeto, definimos qual deles o mais novo e aquele que deve ser replicado para os outros controladores de domnio. Quando exclumos um objeto, na verdade ele no efetivamente excludo na hora - ele marcado para excluso, a fim de que todos os outros controladores de domnio saibam desta excluso e possam tambm deletar de suas bases. Quando um controlador de domnio inicia, ele consulta outro controlador existente do domnio dele a fim de atualizar sua base em relao quele que estava no ar (ele pode ter recebido alteraes enquanto o outro estava "fora"). Ele s sobe efetivamente a funo "Controlador de domnio" depois que estiver sincronizado e atualizado sua base local. Entendido este processo, fica mais simples explicar a diferena nos dois tipos de restauraes possveis para os itens do AD. Quando recuperamos um item do AD, necessrio que a funo "Controlador de Domnio" no esteja ativa. Ento, depois de restaurado o item desejado do AD, precisamos reiniciar esta funo. No retorno, o que acontecer? Ele ir sincronizar com o controlador de domnio existente e receber as atualizaes desde o backup. Se caso estivermos recuperando um item excludo, a informao mais nova em relao este item seria a sua "excluso", o que faria com que o item fosse excludo novamente. Em uma restaurao "no autoritativa" (sem autoridade), o item seria novamente excludo. Em uma restaurao "autoritativa" (com autoridade), o item no seria novamente excludo, pelo contrrio, o item seria sincronizado e recriado nos controladores de domnio restantes. Usamos a restaurao no autoritativa, normalmente, para recuperar uma base completa, em um controlador de domnio que tenha danificado sua base Usamos a restaurao autoritativa, normalmente, em uma de duas situaes: para recuperar um item excludo, ou para recuperar uma base completa de um controlador de domnio nico em um domnio de AD, ou ainda quando a base danificada foi "sincronizada" para os outros controladores e queremos recupera-la para TODOS os controladores de domnio do domnio em questo. Para restaurar um item ou a base toda, o procedimento o seguinte: Reinicie o Controlador de domnio em questo. Pressione F8 para obter o menu de opes de inicializao. Selecione a opo Modo de Restaurao de Servios de Diretrio e pressione Enter 248
Solues Microsoft Workgroup e AD Use a conta Administrador local (controlador_de_domnio\administrador) e a senha que foi configurada na criao deste controlador de domnio (durante a execuo do DCPROMO) Inicie a ferramenta de Backup do Windows Server. Inicie o processo de recuperao (restaurao) descrito acima, apenas escolha a opo "Estado do Sistema" na tela abaixo:
Clique em Avanar. Marque a opo Local original.
249
OBS: Se marcarmos a opo Executar uma restaurao autorizada do Active Directory faremos uma "restaurao autoritativa" do Active Directory, da base toda, como explicado acima. Aqui, faremos uma restaurao no autoritativa. Clique em Ok na mensagem que aparece:
Para que possamos recuperar um item excludo, no podemos marcar a caixa de seleo Reinicializar automaticamente o servidor para concluir o processo de recuperao. Se marcarmos esta caixa de seleo, o Windows reiniciar automaticamente, no permitindo que possamos informar qual item a ser marcado como "autoritativo". Neste procedimento, vamos recuperar um item excludo, ento no devemos marcar a caixa de seleo. Apenas devemos clicar em Recuperar
250
Clique Sim na caixa de mensagem:
Espere at finalizar o processo
251
OBS: Se caso vocs esqueceu (ou mudou de idia depois do processo iniciado), ainda possvel marcar a caixa de seleo para "Reiniciar automaticamente.." durante a recuperao, como mostra na tela acima Clique em Reiniciar quando pronto
Confirme, pressionando Enter, que a restaurao ocorreu com xito Inicie o Prompt de Comando em modo "elevado" (Executar como Administrador) Digite net stop ntds OBS: Confirme que deseja parar o servio, digitando S na mensagem que aparece Digite NTDSUTIL Digite activate instance NTDS 252
Solues Microsoft Workgroup e AD Digite authoritative restore Digite restore object CN=objeto,OU=ou_original,DC=dominio,DC=local OBS: Se estiver restaurando uma OU, a sintaxe "restore subtree" Confirme a restaurao, clicando em Sim
Digite Quit at sair da console do NTDSUTIL Reinicie o controlador de domnio Saiba mais... Se o domnio e a floresta estiverem no nvel funcional Windows Server 2008 R2 possvel recuperar objetos excludos atravs da Lixeira do Active Directory (Active Directory Recicle Bin). Os objetos excludos (marcados para excluso) ficam ainda na base do AD durante 180 dias. Neste perodo, podem ser recuperados atravs da lixeira, caso ela tinha sido previamente ativada. Um item recuperado da lixeira trs de volta todas as configuraes do objeto, igual ao que ele se encontrava configurado no momento da excluso. A Lixeira do AD no possui interface grfica, s pode ser usada via "PowerShell" Para ativar a lixeira, inicie o PowerShell com o mdulo do Active Directory (Active Directory Module for Windows PowerShell) Digite o seguinte cmdlet: Enable-ADOptionalFeature CN=Optional Features, Identity CN=Recycle Bin Feature,
CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration, DC=dominio,DC=local Scope ForestOrConfigurationSet Target dominio.local Para recuperar um usurio, por exemplo, digite o cmdlet abaixo: Get-ADObject -Filter {displayName -eq IncludeDeletedObjects | Restore-ADObject Saiba ainda mais... Tambm possvel recuperar obetos excludos usando a ferramenta LDP.EXE. 253 "Nome do usurio"} -
Solues Microsoft Workgroup e AD Inicie esta ferramenta, configure para que ela recupere objetos excluidos, clicando no menu Options e na opo Controles. Na caixa Carregar Predefinidos, selecione Return deleted objects na lista e clique em Ok
Conecte-se ao domnio desejado (Menu Conexo, item Conectar). Associe a conta do usurio logado (Menu Conexo, item Associar). Exiba a rvore do domnio (Menu Exibir, item rvore). Localize o container Deleted Objects. D duplo clique para abrir o container. Restaure o objeto que desejar clicando com o boto direito sobre ele e clicando em Modificar. Na caixa Editar Entrada, em Atributo digite isDeleted. Na seo Operao (Operation) clique em Excluir (Delete) e clique Digitar (Enter)
254
Na caixa Atributom digite distinguishedname Na caixa Valores digite o DN completo (nome do usurio mais o local para onde ele ser recuperado ex: cn=usuario,ou=teste=dc=treinamento,dc=local) Na seo Operao (Operation) clique em Substituir (Replace) e clique Digitar (Enter) Clique em Executar (Run)
255
Verifique o sucesso da operao e veja que o objeto foi recuperado!
Clique em Fechar para retornar console do LDP. O objeto ter retornado para o caminho solicitado.
14.4 Anexo 4 - Como criar uma mquina virtual usando o Hyper-V Manager:
Como criar uma VM usando o Hyper-V Manager
Neste treinamento usamos mquinas virtuais para as prticas e exerccios. E a soluo escolhida a soluo da Microsoft, com Hyper-V. Abaixo, o procedimento passo-a-passo para a criao de uma VM com o Hyper-V Manager OBS: Para o treinamento, usaremos o Windows em portugus, mas nas mquinas fsicas temos o Windows em verso "Ingls". Por isto, as telas abaixo, da criao da VM, esto em ingls 256
Solues Microsoft Workgroup e AD Abra a console do Hyper-V Manager, que se encontra no Menu Iniciar, nas Ferramentas Administrativas (Administrative Tools) Na console que se abre, clique sobre o nome do seu servidor "fsico" e no painel mais a direita da tela, clique na opo New e em seguida, clique em Virtual Machine no menu que se abre;
No assistente que inicia, clique em Next Logo na prxima tela, digite o nome da mquina virtual que deseja criar na caixa Name, marque a opo "Store the virtual machine in a different location" se desejar escolher onde armazenar a VM e pelo boto Browse (ou digitando diretamente na caixa Location) escolha onde ir salvar (armazenar) a VM. Quando pronto, clique em Next
257
Na prxima tela, digite a quantidade de memria RAM que deseja utilizar para esta VM e clique em Next
Na prxima tela, selecione a conexo de rede que ir usar para esta VM (ser mostrado mais abaixo como criar as conexes de rede. Isto deve 258
Solues Microsoft Workgroup e AD ser feito preferencialmente ANTES de criar as VMs, mas pode ser modificado depois, atravs das propriedades - Settings - da VM em questo). Clique em Next quando ok
Escolha opo desejada parao VHD (Virtual Hard Disk - Disco virtual). Pode ser criado um novo VHD, usado um j existente ou marcado para configurar depois. Neste assistente, marcamos a opo para criar um. Digite o nome do arquivo do VHD na caixa Name e onde ele ser salvo (criado) na caixa Location - pode ser digitado ou usar o boto "Browse". Clique em Next quando Ok.
259
Se voc estiver criando uma nova mquina virtual, pode ser necessrio instalar um sistema operacional. Neste caso, na prxima tela, defina se voc j deseja instalar o sistema operacional e de onde e como ser feita a instalao deste SO. Marque o boto com a opo escolhida. Se deseja instalar a partir de um DVD, CD ou ISO, marque a opo equivalente e aponte onde esto os arquivos de instalao. Clique em Next OBS: Esta opo pode ser modificada depois, atravs das configuraes da VM, clicando com o boto direito do mouse sobre ela e escolhendo a opo Settings
260
Clique em Finish para criar a VM. A VM recm criada aparecer na tela do Hyper-V Manager
Clique com o boto direito do mouse sobre ela e tenha acesso s aes mais comumente utilizadas: Iniciar, conectar, alterar configuraes, salvar snapshot, etc. Pela opo de Configuraes (Settings) possvel alterar o que foi definido na criao, como a quantidade de memria RAM, o VHD, o local dos arquivos de instalao, a conexo de rede...
261
Na tela do exemplo acima, esto as configuraes referentes ao VHD Saiba mais... As conexes de rede do Hyper-V possvel ter trs tipos de conexo de rede em mquinas virtuais criadas com Hyper-V Manager. As mais usadas so a External e a Private. A External aponta para a placa de rede real (fsica) do servidor onde estamos rodando o Hyper-V. As mquinas virtuais que usarem este tipo de conexo sero "visveis" na rede real e estaro acessveis como se fossem "mquinas fsicas". Cada mquina virtual que usar uma conexo External ter seu prprio nome e seu prprio IP, vlidos na rede fsica, podendo inclusive acessar a Internet, por exemplo, de acordo com a poltica de acesso da empresa. A Private cria uma rede "virtual privativa" entre as mquinas virtuais deste servidor. Estas mquinas iro conectar-se umas s outras, mas no sero visveis na rede fsica (rede real da empresa). Para criar uma conexo de rede, utiliza-se a opo Virtual Network Manager, que est no painel mais a direita da tela do Hyper-V Manager. 262
Clique em Virtual Machine Manager e na tela que se abre, marque o tipo de conexo que deseja criar e clique em Add:
Para External, configure como abaixo e clique em Ok ou Apply:
263
Para Private, configure como abaixo e clique em Ok ou Apply:
264
265

MS Ad

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

MS Ad

Caricato da

Copyright:

Formati disponibili

Alfamdia Redes: Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

01/2012 Alfamdia Prow http://www.alfamidia.com.br

Solues Microsoft Workgroup e AD Unidade 1 Unidade 2

Workgroup ....................................................................................... 5 Instalao e Configurao Inicial de Windows 7 e Server 2008 .. 7

Instalao do Windows 7 ........................................................................................... 7

Configurao de rede no Windows 7................................................................... 19

Conceitos de Active Directory ....................................................... 77

Nomenclatura LDAP ..................................................................... 80 Criao de um Domnio de Active Directory ................................ 81

Conhecimento adicional: como formar um nome LDAP ................................. 80

Configurao dos pr-requisitos da Role Active Directory Domain Services .... 81

Configurao e Administrao dos Objetos do ADDS ............... 107

O que uma OU? ................................................................................................... 108 Planejamento e criao de OU .............................................................................. 108

Configurao de usurios e grupos ............................................ 111

Criao de grupos ........................................................................ 133

Unidade 9 Segurana dos Recursos de Disco: Configurao de compartilhamento .............................................................................................. 145 3

Solues Microsoft Workgroup e AD

Unidade 13 Diretiva local e de grupo ............................................................ 197

Unidade 14 ANEXOS ...................................................................................... 225

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Unidade 2 Instalao e Configurao Inicial de Windows 7 e Server 2008

Na tela seguinte, para iniciar a instalao, deve-se clicar em Instalar agora

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

O procedimento de instalao continua.

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Configurao de rede no Windows 7

Clique na opo para abrir a Central de Redes e Compartilhamento

Solues Microsoft Workgroup e AD

Inicialmente, estar configurado para obter endereo automaticamente:

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

2.2 Instalao do Windows Server 2008

Solues Microsoft Workgroup e AD

Na tela seguinte, clique em Instalar agora

O processo de instalao inicia

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Viso Geral do Windows Server 2008

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Veremos mais sobre o Windows Server 2008 nas lies seguintes.

Roles e Features (Funes e Recursos)

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Criao de usurios e grupos locais

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD

Solues Microsoft Workgroup e AD