Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
10222A
Configurao e soluo de
problemas dos servios de domnio
do Windows Server
2008 Active
Directory
Volume 2
Lembre-se de acessar o contedo de aprendizado ampliado no CD
complementar do curso, includo na contracapa do livro.
ii Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
As informaes includas neste documento, inclusive URLs e referncias a outros sites da Internet,
esto sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas,
organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e
acontecimentos aqui mencionados so fictcios e nenhuma associao a empresas, organizaes,
produtos, nomes de domnio, endereos de email, logotipos, pessoas, lugares ou acontecimentos
reais intencional ou deve ser inferida. O cumprimento de todas as leis de direitos autorais
aplicveis de exclusiva responsabilidade do usurio. Sem limitar-se aos direitos autorais, nenhuma
parte deste documento pode ser reproduzida, armazenada ou apresentada em um sistema de
recuperao ou transmitida de qualquer forma ou por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou de outra forma), ou para qualquer fim, sem a permisso por escrito da
Microsoft Corporation.
A Microsoft pode ter patentes, solicitaes de patente, marcas registradas, direitos autorais ou
outros direitos de propriedade intelectual relativos ao assunto em questo neste documento. Exceto
se expressamente fornecido em qualquer contrato de licena por escrito da Microsoft, o
fornecimento deste documento no lhe concede licena para essas patentes, marcas registradas,
direitos autorais ou outra propriedade intelectual.
Os nomes de fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos, e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais, referentes a
esses fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um
fabricante ou produto no implica endosso da Microsoft em relao ao fabricante ou produto.
Podem ser fornecidos links para sites de terceiros. Esses sites no so controlados pela Microsoft, e a
Microsoft no se responsabiliza pelo contedo de qualquer site vinculado ou qualquer link existente
em um site vinculado, ou qualquer mudana ou atualizao em tais sites. A Microsoft no se
responsabiliza pela divulgao por webcast ou qualquer outra forma de transmisso recebida de
qualquer site vinculado. A Microsoft fornece esses links para sua convenincia, e a incluso de
qualquer link no implica endosso da Microsoft em relao ao site ou a produtos nele contidos.
2010 Microsoft Corporation. Todos os direitos reservados.
Microsoft, Access, Active Directory, ActiveX, Excel, Forefront, Hyper-V, Internet Explorer, MS, MSDN,
Outlook, PowerPoint, Segoe, SharePoint, SQL Server, Visual Studio, Windows, Windows Live,
Windows Mobile, Windows NT, Windows Server e Windows Vista so marcas registradas ou marcas
comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros pases.
Todas as outras marcas comerciais pertencem a seus respectivos proprietrios.
Nmero do produto: 10222A
Pea nmero: X16-99408
Lanamento: 09/2010
TERMOS DE LICENA DA MICROSOFT
OFFICIAL MICROSOFT LEARNING PRODUCTS EDIO DO
INSTRUTOR Verses de Pr-lanamento e final
Estes termos de licena so um acordo entre a Microsoft Corporation e voc. Por favor, leia-os. Eles se
aplicam ao Contedo Licenciado supracitado, que inclui a mdia na qual ele est contido, caso haja uma. Os
termos tambm se aplicam aos seguintes itens da Microsoft:
atualizaes,
suplementos,
servios via Internet e
servios de suporte
referentes a este Contedo Licenciado, a menos que outros termos acompanhem esses itens. Nesse caso,
tais termos se aplicam.
Ao usar o Contedo Licenciado, voc estar aceitando estes termos. Se voc no os aceitar,
no use o Contedo Licenciado.
Se cumprir estes termos de licena, voc ter os direitos a seguir.
1. DEFINIES.
a. Materiais Acadmicos significa a documentao impressa ou eletrnica, como manuais, livros
didticos, white papers, press-releases, folhas de dados e perguntas freqentes, que esteja
includa no Contedo Licenciado.
b. Centro(s) de Aprendizagem Autorizado(s) significa um local de Microsoft Certified Partner
for Learning Solutions, um local do IT Academy ou outra entidade semelhante designada
ocasionalmente pela Microsoft.
c. Sesso(es) de Treinamento Autorizada(s) significa aquelas sesses de treinamento
autorizadas pela Microsoft e conduzidas por um Instrutor em Centros de Aprendizagem
Autorizados ou por meio deles, fornecendo treinamento a Alunos somente em Produtos Microsoft
Official Learning (anteriormente conhecidos como MOC [Microsoft Official Curriculum]) e
Produtos Microsoft Dynamics Learning (anteriormente conhecidos como cursos do Microsoft
Business Solutions). Cada Sesso de Treinamento Autorizada fornecer treinamento sobre a
matria de um (1) Curso.
d. Curso significa um dos cursos que utilizam Contedo Licenciado oferecidos por um Centro de
Aprendizagem Autorizado durante uma Sesso de Treinamento Autorizada, cada um dos quais
fornecendo treinamento sobre uma matria tecnolgica especfica da Microsoft.
e. Dispositivo(s) significa um nico computador, dispositivo, estao de trabalho, terminal ou
outro dispositivo analgico ou eletrnico digital.
f. Contedo Licenciado significa o material que acompanha estes termos de licena. O
Contedo Licenciado pode incluir os seguintes elementos, sem se limitar a eles: (i) Contedo do
Instrutor, (ii) Contedo do Aluno, (iii) guia de configurao da sala de aula e (iv) Software. H
componentes diferentes e separados do Contedo Licenciado para cada Curso.
g. Software significa as Mquinas Virtuais e os Discos Rgidos Virtuais ou outros aplicativos de
software que estejam includos no Contedo Licenciado.
h. Aluno(s) significa um aluno devidamente inscrito em uma Sesso de Treinamento Autorizada
em seu local.
i. Contedo do Aluno significa o material de aprendizagem que acompanha estes termos de
licena e que se destina ao uso por Alunos e Instrutores durante uma Sesso de Treinamento
Autorizada. O Contedo do Aluno pode incluir laboratrios, simulaes e arquivos de curso para
um Curso.
j. Instrutor(es) significa a) uma pessoa devidamente certificada pela Microsoft como um
Microsoft Certified Trainer e b) outro indivduo que esteja autorizado, por escrito, pela Microsoft e
esteja vinculado a um Centro de Aprendizagem Autorizado para ministrar uma Sesso de
Treinamento Autorizada a Alunos em nome do Centro de Aprendizagem Autorizado.
k. Contedo do Instrutor significa o material que acompanha estes termos de licena e que se
destina ao uso por Alunos e Instrutores, conforme aplicvel, unicamente durante uma Sesso de
Treinamento Autorizada. O Contedo do Instrutor pode incluir Mquinas Virtuais, Discos Rgidos
Virtuais, arquivos do Microsoft PowerPoint e anotaes do instrutor, bem como guias de
demonstrao e arquivos de script para um Curso.
l. Discos Rgidos Virtuais significa o Software Microsoft composto por discos rgidos
virtualizados (como um disco rgido virtual bsico ou discos associados) para uma Mquina Virtual
que pode ser carregado em um nico computador ou outro dispositivo para permitir que os
usurios finais executem vrios sistemas operacionais simultaneamente. Para os fins destes
termos de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor.
m. Mquina Virtual significa uma experincia de computao virtualizada, criada e acessada com o
uso de software Microsoft Virtual PC ou Microsoft Virtual Server, que consiste em um ambiente
de hardware virtualizado, um ou mais Discos Rgidos Virtuais e um arquivo de configurao que
define os parmetros do ambiente de hardware virtualizado (p. ex., RAM). Para os fins destes termos
de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor.
n. voc significa o Centro de Aprendizagem Autorizado ou o Instrutor, conforme aplicvel, que
concordou com estes termos de licena.
2. VISO GERAL.
Contedo Licenciado. O Contedo Licenciado inclui Software, Materiais Acadmicos (online e
eletrnicos), Contedo do Instrutor, Contedo do Aluno, guia de configurao da sala de aula e
qualquer mdia associada.
Modelo de Licena. O Contedo Licenciado licenciado por cpia por local de Centro de
Aprendizagem Autorizado ou por Instrutor.
3. DIREITOS DE INSTALAO E USO.
a. Centros de Aprendizagem Autorizados e Instrutores: para cada Sesso de Treinamento
Autorizada, voc pode:
i. instalar cpias individuais do Contedo Licenciado relevante em Dispositivos de sala de aula
somente para uso pelos Alunos inscritos e pelo Instrutor que ministrar a Sesso de
Treinamento Autorizada, desde que o nmero de cpias em uso no exceda o nmero de
Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada, OU
ii. instalar uma cpia do Contedo Licenciado relevante em um servidor de rede somente para
acesso por Dispositivos de sala de aula e somente para uso pelos Alunos inscritos e pelo
Instrutor que ministrar a Sesso de Treinamento Autorizada, desde que o nmero de
Dispositivos que acessem o Contedo Licenciado no dito servidor no exceda o nmero de
Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada;
iii. e permitir que os Alunos inscritos e o Instrutor que ministrar a Sesso de Treinamento
Autorizada utilizem o Contedo Licenciado instalado por voc de acordo com (i) ou (ii) acima
durante a dita Sesso de Treinamento Autorizada de acordo com estes termos de licena.
iv. Separao de Componentes. Os componentes do Contedo Licenciado so licenciados como
uma nica unidade. Voc no poder separar os componentes e instal-los em Dispositivos
diferentes.
v. Programas de Terceiros. O Contedo Licenciado poder conter programas de terceiros. Estes
termos de licena se aplicaro ao uso desses programas de terceiros, a menos que outros
termos acompanhem esses programas.
b. Instrutores:
i. Os Instrutores podem usar o Contedo Licenciado instalado por voc ou por um Centro de
Aprendizagem Autorizado em um Dispositivo de sala de aula para ministrar uma Sesso de
Treinamento Autorizada.
ii. Os Instrutores tambm podem usar uma cpia do Contedo Licenciado conforme se segue:
A. Dispositivo Licenciado. O Dispositivo licenciado o Dispositivo no qual voc usa o
Contedo Licenciado. Voc pode instalar e usar uma cpia do Contedo Licenciado no
Dispositivo licenciado somente para seu uso em treinamento pessoal e para a preparao
de uma Sesso de Treinamento Autorizada.
B. Dispositivo Porttil. Voc pode instalar outra cpia em um dispositivo porttil somente
para seu uso em treinamento pessoal e para a preparao de uma Sesso de Treinamento
Autorizada.
4. VERSES DE PR-LANAMENTO. Se esta for uma verso de pr-lanamento (beta), as seguintes
clusulas sero aplicveis alm de outros termos neste contrato:
a. Contedo Licenciado de Pr-Lanamento. Este Contedo Licenciado uma verso de pr-
lanamento. Ele no pode conter as mesmas informaes e/ou funcionar da mesma maneira que
uma verso definitiva do Contedo Licenciado. Poderemos alter-lo na verso comercial definitiva.
Alm disso, no podemos lanar uma verso comercial. Voc dever informar o disposto acima de
maneira clara e visvel a todos os Alunos participantes de cada Sesso de Treinamento Autorizado.
Alm disso, informe que voc ou a Microsoft no tem qualquer obrigao de fornecer nenhum
outro contedo, incluindo, mas sem limitao, a verso lanada em carter definitivo do Contedo
Licenciado do Curso.
b. Comentrios. Se voc concordar em enviar Microsoft comentrios sobre o Contedo
Licenciado, estar dando Microsoft, a ttulo gratuito, o direito de usar, compartilhar e
comercializar seus comentrios de qualquer maneira e para qualquer finalidade. Alm disso, voc
concede a terceiros, sem custos, todos os direitos de patente necessrios para que seus produtos,
suas tecnologias e seus servios usem, ou estabeleam conexo com, qualquer parte especfica de
um software, Contedo Licenciado ou servio da Microsoft que inclua os comentrios. Voc no
dever enviar comentrios sujeitos a uma licena que exija da Microsoft o licenciamento do seu
software ou da sua documentao a terceiros em virtude da incluso dos seus comentrios nesses
elementos. Esses direitos permanecero em vigor aps o trmino deste contrato.
c. Informaes Confidenciais. O Contedo Licenciado, incluindo qualquer visualizador, interface
de usurio, recursos e documentao que porventura estejam presentes no Contedo Licenciado,
confidencial e de propriedade da Microsoft e de seus fornecedores.
i. Uso. Durante cinco anos aps a instalao do Contedo Licenciado ou do seu lanamento
comercial, o que ocorrer primeiro, voc no poder divulgar informaes confidenciais a
terceiros. Voc poder divulgar informaes confidenciais apenas aos seus funcionrios e
consultores que tenham a necessidade de conhecer essas informaes. Voc dever
firmar contratos por escrito com eles para proteger essas informaes confidenciais, pelo
menos, de maneira idntica a este contrato.
ii. Continuidade da obrigao. Seu dever de proteger as informaes confidenciais
permanecer aps o trmino deste contrato.
iii. Excluses. Voc poder divulgar informaes confidenciais para atender ordens judiciais
ou do Poder Pblico. Voc dever enviar Microsoft uma notificao prvia por escrito
permitindo que ela busque uma medida cautelar ou de outra forma proteja as
informaes. Entre as informaes confidenciais no esto informaes que
passem a ser de conhecimento pblico atravs de atos lcitos;
voc tenha recebido de terceiros que no violaram obrigaes de sigilo para com a
Microsoft ou seus fornecedores; ou
voc tenha desenvolvido de forma independente.
d. Prazo. O prazo deste contrato de verses de pr-lanamento (i) a data que a Microsoft informar
a voc como data final de uso da verso beta, ou (ii) o lanamento comercial da verso definitiva
do Contedo Licenciado, o que for anterior (prazo do beta).
e. Uso. Voc dever deixar de usar todas as cpias da verso beta na resciso ou trmino dessa
verso, bem como destruir todas as cpias dela em seu poder ou sob seu controle e/ou em poder
ou sob controle de qualquer Instrutor que tenha recebido cpias da verso pr-lanada.
f. Cpias. A Microsoft informar os Centros de Treinamento Autorizados se eles podem produzir
cpias da verso beta (seja na verso impressa e/ou em CD) e distribuir essas cpias aos Alunos
e/ou Instrutores. Caso a Microsoft permita essa distribuio, voc dever cumprir todos os outros
termos que a Microsoft apresentar em relao a essas cpias e distribuio.
5. DIREITOS DE USO E/OU REQUISITOS DE LICENCIAMENTO ADICIONAIS.
a. Centros de Aprendizagem Autorizados e Instrutores:
i. Software.
Discos Rgidos Virtuais. O Contedo Licenciado pode conter verses do Microsoft XP,
Microsoft Windows Vista, Windows Server 2003, Windows Server 2008 e Windows 2000
Advanced Server e/ou de outros produtos Microsoft que so fornecidos em Discos Rgidos
Virtuais.
A. Se os Discos Rgidos Virtuais e os laboratrios forem inicializados por meio do
Microsoft Learning Lab Launcher, estes termos sero aplicveis:
Software com limite de tempo. Caso o Software no seja redefinido, deixar de funcionar
dentro do prazo indicado na instalao das Mquinas Virtuais (entre 30 e 500 dias aps a
instalao). Voc no ser avisado antes que o Software deixe de funcionar. possvel
que voc no consiga acessar os dados usados ou as informaes salvas nas Mquinas
Virtuais quando o Software parar de funcionar e poder ser obrigado a redefinir essas
Mquinas Virtuais para o estado original. Voc dever remover o Software dos
Dispositivos no final de cada Sesso de Treinamento Autorizado e reinstal-lo e inici-lo
antes do incio da Sesso de Treinamento Autorizado seguinte.
B. Se os Discos Rgidos Virtuais exigirem uma chave de produto para serem
inicializados, estes termos sero aplicveis:
A Microsoft desativar o sistema operacional associado com cada Disco Rgido Virtual.
Antes de instalar Discos Rgidos Virtuais em Dispositivos de sala de aula para uso durante
uma Sesso de Treinamento Autorizada, voc obter da Microsoft uma chave de produto
para o software de sistema operacional referente aos Discos Rgidos Virtuais e ativar o
dito Software com a Microsoft usando a dita chave de produto.
C. Estes termos sero aplicveis a todas as Mquinas Virtuais e Discos Rgidos
Virtuais:
Voc s poder usar as Mquinas Virtuais e os Discos Rgidos Virtuais se
cumprir os termos e as condies deste contrato e os seguintes requisitos de
segurana:
o Voc no poder instalar Mquinas Virtuais e Discos Rgidos Virtuais em Dispositivos
portteis ou Dispositivos que possam ser acessados por outras redes.
o Voc dever remover as Mquinas Virtuais e os Discos Rgidos Virtuais de todos os
Dispositivos de sala de aula ao final de cada Sesso de Treinamento Autorizada,
exceto os mantidos em locais de Microsoft Certified Partners for Learning Solutions.
o Voc dever remover as partes de unidades associadas dos Discos Rgidos Virtuais de
todos os Dispositivos de sala de aula ao final de cada Sesso de Treinamento
Autorizada em locais de Microsoft Certified Partners for Learning Solutions.
o Voc dever garantir que as Mquinas Virtuais e os Discos Rgidos Virtuais no sejam
copiados ou baixados dos Dispositivos em que foram instalados por voc.
o Voc dever cumprir rigorosamente todas as instrues da Microsoft referentes
instalao, ao uso, ativao e desativao e segurana das Mquinas Virtuais e
dos Discos Rgidos Virtuais.
o Voc no poder modificar as Mquinas Virtuais e os Discos Rgidos Virtuais ou
qualquer contedo dos mesmos.
o Voc no poder reproduzir ou redistribuir as Mquinas Virtuais ou os Discos Rgidos
Virtuais.
ii. Guia de Configurao da Sala de Aula. Voc dever garantir que qualquer Contedo
Licenciado instalado para uso durante uma Sesso de Treinamento Autorizada seja realizado
de acordo com o guia de configurao da sala de aula correspondente ao Curso.
iii. Elementos de Mdia e Modelos. Voc poder permitir que os Instrutores e Alunos utilizem
imagens, clip-arts, animaes, sons, msicas, formas, videoclipes e modelos fornecidos com o
Contedo Licenciado somente em uma Sesso de Treinamento Autorizada. Caso os Instrutores
tenham uma cpia prpria do Contedo Licenciado, eles podero usar Elementos de Mdia
para seu uso em treinamento pessoal.
iv Software de Avaliao. Qualquer Software includo no Contedo do Aluno designado como
Software de Avaliao poder ser usado por Alunos somente para seu treinamento pessoal
fora da Sesso de Treinamento Autorizada.
b. Somente para Instrutores:
i. Uso de Modelos de Slide Deck do PowerPoint. O Contedo do Instrutor pode incluir slide
decks do Microsoft PowerPoint. Os Instrutores podem usar, copiar e modificar os slide decks
do PowerPoint somente para ministrar uma Sesso de Treinamento Autorizada. Caso opte por
exercer os direitos mencionados acima, voc estar concordando ou assegurando que o
Instrutor concorde: (a) que a modificao dos slide decks no constituir a criao de
trabalhos obscenos ou escandalosos, conforme definidos pela legislao federal no momento
em que o trabalho for elaborado; e (b) em cumprir todos os outros termos e condies deste
contrato.
ii. Uso de Componentes Didticos no Contedo do Instrutor. Para cada Sesso de
Treinamento Autorizada, os Instrutores podero personalizar e reproduzir, de acordo com o
Contrato do MCT, as partes do Contedo Licenciado que estejam logicamente associadas
instruo da Sesso de Treinamento Autorizada. Caso opte por exercer os direitos
mencionados acima, voc estar concordando ou assegurando que o Instrutor concorde: (a)
que qualquer uma dessas personalizaes ou reprodues ser usada somente para ministrar
uma Sesso de Treinamento Autorizada; e (b) em cumprir todos os outros termos e condies
deste contrato.
iii. Materiais Acadmicos. Caso o Contedo Licenciado inclua Materiais Acadmicos, voc
poder copiar e usar esses Materiais. No permitido fazer modificaes nos Materiais
Acadmicos nem imprimir livros (eletrnicos ou em verso impressa) integralmente. No caso
da reproduo de Materiais Acadmicos, voc concorda que:
o uso dos Materiais Acadmicos ser exclusivamente para sua referncia ou treinamento
pessoal;
voc no republicar nem postar os Materiais Acadmicos em nenhum computador de
rede, nem os transmitir em nenhuma mdia;
voc incluir o aviso de direitos autorais original dos Materiais Acadmicos, ou um aviso
de direitos autorais em benefcio da Microsoft no formato indicado abaixo:
Formato do Aviso:
2010 Reimpresso para uso como referncia pessoal apenas com a
permisso da Microsoft Corporation. Todos os direitos reservados.
Microsoft, Windows e Windows Server so marcas registradas ou comerciais
da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Outros
nomes de empresas e produtos aqui mencionados so marcas comerciais de
seus respectivos proprietrios.
6. SERVIOS VIA INTERNET. A Microsoft poder fornecer servios via Internet com o Contedo
Licenciado. Ela poder alter-los ou cancel-los a qualquer momento. Voc no poder usar esses
servios de maneira que possa danific-los ou prejudicar seu uso por outros. Em nenhuma hiptese
voc poder usar os servios para tentar obter acesso no autorizado a qualquer servio, dado, conta
ou rede.
7. ESCOPO DA LICENA. O Contedo Licenciado licenciado, no vendido. Este contrato apenas
outorga a voc alguns direitos de uso do Contedo Licenciado. A Microsoft se reserva todos os outros
direitos. Salvo quando a legislao aplicvel lhe conceder mais direitos do que esta limitao, voc s
poder usar o Contedo Licenciado conforme expressamente permitido neste contrato. Ao fazer isso,
voc dever cumprir quaisquer limitaes tcnicas no Contedo Licenciado que permitam o seu uso
apenas de determinadas maneiras. vedado(a):
a instalao de mais cpias do Contedo Licenciado em Dispositivos de sala de aula do que o
nmero de Alunos mais o Instrutor na Sesso de Treinamento Autorizada;
a concesso de permisso de acesso ao servidor para mais Dispositivos de sala de aula do que o
nmero de Alunos inscritos mais o Instrutor que ministrar a Sesso de Treinamento Autorizada,
caso o Contedo Licenciado esteja instalado em um servidor de rede;
a cpia ou reproduo do Contedo Licenciado em qualquer servidor ou local para posterior
reproduo ou distribuio;
a divulgao dos resultados de qualquer teste de desempenho do Contedo Licenciado a terceiros
sem o prvio consentimento, por escrito, da Microsoft;
a resoluo de limitaes tcnicas no Contedo Licenciado;
a realizao de engenharia reversa, descompilao ou desmontagem do Contedo Licenciado,
exceto e somente na medida em que esta atividade seja expressamente permitida pela legislao
aplicvel, no obstante esta limitao;
a produo de mais cpias do Contedo Licenciado do que aquelas especificadas neste contrato
ou permitidas pela legislao aplicvel, no obstante esta limitao;
a publicao do Contedo Licenciado para a cpia por outras pessoas;
a transferncia do Contedo Licenciado, no todo ou em parte, para um terceiro;
o acesso a ou uso de qualquer Contedo Licenciado para o qual voc (i) no esteja ministrando
um Curso e/ou (ii) no tenha sido autorizado pela Microsoft a acessar e usar;
o aluguel, arrendamento ou emprstimo do Contedo Licenciado; ou
o uso do Contedo Licenciado para servios de hospedagem comercial ou fins comerciais gerais.
Os direitos de acesso ao software para servidor que possa estar includo com o Contedo
Licenciado, inclusive os Discos Rgidos Virtuais, no concedem a voc nenhum direito para
implementar patentes da Microsoft ou outras propriedades intelectuais da Microsoft em softwares
ou dispositivos que acessem o servidor.
8. RESTRIES EXPORTAO. O Contedo Licenciado est sujeito s leis e normas de exportao
dos Estados Unidos. Voc dever cumprir todas as leis e normas nacionais e internacionais de
exportao que se aplicam ao Contedo Licenciado. Essas leis incluem restries a destinos, usurios
finais e uso final. Para obter informaes adicionais, visite a pgina www.microsoft.com/exporting.
9. SOFTWARE/CONTEDO LICENCIADO NO COMERCIALIZVEL (NFR ou Not For
Resale). vedada a venda de software ou Contedo Licenciado identificado como NFR ou Not for
Resale (No Comercializvel).
10. EDIO ACADMICA. Voc dever ser um Usurio Educacional Qualificado para usar Contedo
Licenciado identificado como Academic Edition ou AE. Caso voc no saiba se ou no um Usurio
Educacional Qualificado, visite a pgina www.microsoft.com/education ou contate a afiliada da
Microsoft em seu pas.
11. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir este contrato caso
voc no cumpra os termos e condies destes termos de licena. No caso de seu status como Centro
de Aprendizagem Autorizado ou Instrutor a) expirar, b) ser rescindido voluntariamente por voc e/ou
c) ser rescindido pela Microsoft, este contrato ser rescindido automaticamente. Em caso de resciso
deste contrato, voc dever destruir todas as cpias do Contedo Licenciado e de todos os seus
componentes.
12. CONTRATO INTEGRAL. Este contrato, e os termos dos suplementos, das atualizaes, dos
servios via Internet e dos servios de suporte usados por voc, constituem o contrato
integral para o Contedo Licenciado e os servios de suporte.
13. LEGISLAO APLICVEL.
a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados Unidos, as leis
do Estado de Washington regero a interpretao deste contrato e sero aplicveis s reclamaes
de violao do mesmo, independentemente dos princpios de conflito de leis. As leis do Estado
onde voc vive regero todas as outras reclamaes, incluindo leis de defesa do consumidor,
concorrncia desleal e obrigaes extracontratuais.
b. Fora dos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado em qualquer outro
pas, as leis desse pas sero aplicveis.
14. EFEITO LEGAL. Este contrato descreve alguns direitos legais. Voc poder ter outros direitos de
acordo com as leis do seu pas. Voc tambm poder ter direitos em relao ao terceiro de quem o
Contedo Licenciado foi adquirido. Este contrato no alterar os seus direitos de acordo com as leis do
seu pas, caso as leis do seu pas no o permitam.
15. ISENO DE RESPONSABILIDADE. O Contedo Licenciado licenciado no estado em que
se encontra. O risco de us-lo responsabilidade sua. A Microsoft no oferece garantias
ou condies expressas. Voc poder ter direitos de consumidor adicionais de acordo com
suas leis locais, os quais este contrato no poder alterar. Na extenso permitida pelas leis
locais, a Microsoft exclui as garantias implcitas de comercializao, adequao a uma
finalidade especfica e no-violao.
16. LIMITAO E EXCLUSO DE RECURSOS E DANOS. VOC PODE RECUPERAR DA
MICROSOFT E DE SEUS FORNECEDORES APENAS DANOS DIRETOS LIMITADOS A US$ 5,00
(CINCO DLARES AMERICANOS). NO POSSVEL RECUPERAR OUTROS DANOS,
INCLUINDO CONSEQENCIAIS, LUCROS CESSANTES, ESPECIAIS, INDIRETOS OU
INCIDENTAIS.
Esta limitao aplica-se a:
qualquer assunto relacionado ao Contedo Licenciado, ao software, aos servios, ao contedo
(incluindo cdigo) em sites de Internet de terceiros ou a programas de terceiros; e
reclamaes por violao contratual, quebra de garantia ou condio, responsabilidade objetiva,
negligncia ou outra responsabilidade extracontratual, na extenso permitida pela legislao
aplicvel.
Tambm ser aplicada ainda que a Microsoft saiba ou tivesse que saber sobre a possibilidade dos
danos. A limitao ou excluso acima poder no se aplicar a voc pelo fato de o seu pas no permitir
a excluso ou limitao de danos incidentais, conseqenciais ou outros.
Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory xiii
Reconhecimento
O Microsoft
, Active Directory
ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo indicada:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-92 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Se a caixa de dilogo UAC oferecer a opo de usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Implementao da Diretiva de Grupo L6-93
Exerccio 1: Criar, editar e vincular GPOs (Objetos de
Diretiva de Grupo)
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01-A como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-DESKTOP101-A, mas no faa logon no sistema.
Tarefa 2: Criar um GPO
1. Execute o Gerenciamento de Diretiva de Grupo com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Floresta: contoso.com, Domnios e
contoso.com e clique no continer Objetos de Diretiva de Grupo.
3. Na rvore de console, clique com o boto direito do mouse no continer
Objetos de Diretiva de Grupo e clique em Novo.
4. Em Nome, digite CONTOSO Standards e clique em OK.
Tarefa 3: Editar as configuraes de um GPO
1. No painel de detalhes do GPMC (Console de Gerenciamento de Diretiva de
Grupo), clique com o boto direito do mouse no GPO CONTOSO Standards
e clique em Editar.
O GPME ser exibido.
2. Na rvore de console, expanda Configurao do Usurio, Diretivas e
Modelos Administrativos e clique em Sistema.
3. Clique duas vezes na configurao de diretiva Impedir acesso a ferramentas
de edio do Registro.
4. Clique em Habilitado.
5. Na lista suspensa Desativar execuo em modo silencioso do regedit,
selecione Sim.
6. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-94 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
7. Na rvore de console, expanda Configurao do Usurio, Diretivas, Modelos
Administrativos e Painel de Controle e clique em Vdeo.
8. No painel de detalhes, clique na configurao de diretiva Tempo Limite de
Proteo de Tela.
9. Observe o texto explicativo na margem esquerda do painel de detalhes do
console.
10. Clique duas vezes na configurao de diretiva Tempo Limite de Proteo de
Tela.
11. Analise o texto explicativo na guia Explicar.
12. Clique na guia Configurao e clique em Habilitado.
13. Na caixa Segundos, digite 600 e clique em OK.
14. Clique duas vezes na configurao de diretiva Proteger com senha a proteo
de tela.
15. Clique em Habilitado e em OK.
16. Feche o GPME.
As alteraes feitas no GPME so salvas em tempo real. No existe comando
Salvar.
Tarefa 4: Definir o escopo de um GPO com um link de GPO
1. Na rvore de console do GPMC, clique com o boto direito do mouse no
domnio contoso.com e clique em Vincular com GPO Existente.
2. Selecione CONTOSO Standards e clique em OK.
Tarefa 5: Exibir os efeitos da aplicao da Diretiva de Grupo
1. Alterne para DESKTOP101.
2. Faa logon em DESKTOP101 como Pat.Coleman com a senha Pa$$w0rd.
3. Clique com o boto direito do mouse na rea de trabalho e clique em
Personalizar.
4. Clique em Proteo de Tela.
5. Observe que o controle Espera est desabilitado. No possvel alterar o
tempo limite.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Implementao da Diretiva de Grupo L6-95
6. Observe que a opo Ao reiniciar, exibir tela de logon est selecionada e
desabilitada. No possvel desabilitar a proteo por senha.
7. Clique em OK para fechar a caixa de dilogo Proteo de Tela.
8. Clique em Iniciar e digite regedit.exe na caixa Iniciar Pesquisa. Em seguida,
pressione ENTER.
A seguinte mensagem ser exibida: A edio do Registro foi desabilitada pelo
administrador.
9. Clique em OK.
Tarefa 6: Explorar as configuraes do GPO
1. Alterne para HQDC01.
2. Clique com o boto direito do mouse no GPO CONTOSO Standards e clique
em Editar.
3. Explore as configuraes disponveis em um GPO. No faa nenhuma
alterao.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
Perguntas de reviso do laboratrio
Pergunta: Quais configuraes de diretiva j esto sendo implantadas usando-se a
Diretiva de Grupo na sua organizao?
Resposta: A resposta correta ser baseada na sua prpria experincia e na sua
situao.
Pergunta: Quais configuraes de diretiva voc descobriu que poderia querer
implementar na sua organizao?
Resposta: A resposta correta ser baseada na sua prpria experincia e na sua
situao.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-96 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Laboratrio B: Gerenciamento de
configuraes e GPOs
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo indicada:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento de configuraes e GPOs L6-97
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-98 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Exerccio 1: Usar a filtragem e os comentrios
Tarefa 1: Preparar-se para o laboratrio
A mquina virtual j dever ter sido iniciada e estar disponvel aps a concluso do
Laboratrio A. No entanto, caso no esteja, voc dever concluir as etapas abaixo e,
depois, executar o Exerccio 1 no Laboratrio A antes de prosseguir.
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
Tarefa 2: Pesquisar e filtrar configuraes de diretiva
1. Execute o Gerenciamento de Diretiva de Grupo com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Floresta: contoso.com, Domnios e
contoso.com e clique no continer Objetos de Diretiva de Grupo.
3. No painel de detalhes, clique com o boto direito do mouse no GPO
CONTOSO Standards e clique em Editar.
O GPME ser exibido.
4. Na rvore de console, expanda Configurao do Usurio e Diretivas e clique
em Modelos Administrativos.
5. Clique com o boto direito do mouse em Modelos Administrativos e clique
em Opes de Filtro.
6. Marque a caixa de seleo Habilitar Filtros de Palavra-Chave.
7. Na caixa de texto Filtro para palavra(s), digite proteo de tela.
8. Na lista suspensa ao lado da caixa de texto, selecione Exato e clique em OK.
As configuraes de diretiva de Modelos Administrativos so filtradas para
mostrar apenas as que contm o termo proteo de tela.
9. Analise as configuraes encontradas.
10. Na rvore de console, clique com o boto direito do mouse em Modelos
Administrativos em Configurao do Usurio e clique em Opes de Filtro.
11. Desmarque a caixa de seleo Habilitar Filtros de Palavra-Chave.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento de configuraes e GPOs L6-99
12. Na lista suspensa Configurado, selecione Sim e clique em OK.
As configuraes de diretiva de Modelo Administrativo so filtradas para
mostrar apenas as que foram configuradas (habilitadas ou desabilitadas).
13. Dedique algum tempo para analisar essas configuraes.
14. Na rvore de console, clique com o boto direito do mouse em Modelos
Administrativos em Configurao do Usurio e desmarque a opo Filtro
Ativado.
Tarefa 3: Documentar GPOs e configuraes com comentrios
1. Na rvore de console do GPME, clique com o boto direito do mouse no n
raiz, CONTOSO Standards, e clique em Propriedades.
2. Clique na guia Comentrio.
3. Digite Diretivas corporativas padro Contoso. O escopo destas
configuraes inclui todos os usurios e computadores no domnio. Pessoa
responsvel por este GPO: seu nome.
Esse comentrio aparece na guia Detalhes do GPO no GPMC.
4. Clique em OK.
5. Na rvore de console, expanda Configurao do Usurio, Diretivas, Modelos
Administrativos e Painel de Controle e clique em Vdeo.
6. Clique duas vezes na configurao de diretiva Proteo de Tela.
7. Clique na guia Comentrio.
8. Digite Diretiva de Segurana de TI Corporativa implementada com esta
diretiva em combinao com Proteger com Senha a Proteo de Tela e
clique em OK.
9. Clique duas vezes na configurao de diretiva Proteger com senha a proteo
de tela.
10. Clique na guia Comentrio.
11. Digite Diretiva de Segurana de TI Corporativa implementada com esta
diretiva em combinao com Tempo Limite da Proteo de Tela e clique em
OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-100 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Exerccio 2: Gerenciar modelos administrativos
Tarefa 1: Explorar a sintaxe de um modelo administrativo
1. Clique em Iniciar e em Executar. Em seguida, digite
%SystemRoot%\PolicyDefinitions e pressione ENTER.
A pasta PolicyDefinitions ser aberta.
2. Abra a pasta pt-br ou a pasta da sua regio e idioma.
3. Clique duas vezes em ControlPanelDisplay.adml.
4. Clique na opo Selecionar um programa em uma lista de programas
instalados e em OK.
5. Clique em Bloco de notas e em OK.
6. Clique no menu Formatar e selecione Quebra automtica de linha para
habilitar essa opo.
7. Procure o texto ScreenSaverIsSecure.
Essa uma definio de uma varivel de cadeia de caracteres denominada
ScreenSaverIsSecure.
8. Observe o texto entre as marcas <string> e </string>.
9. Observe o nome da varivel na linha seguinte, ScreenSaverIsSecure_Help, e o
texto entre as marcas <string> e </string>.
10. Feche o arquivo.
11. Navegue at a pasta PolicyDefinitions.
12. Clique duas vezes em ControlPanelDisplay.admx.
13. Clique na opo Selecionar um programa em uma lista de programas
instalados e em OK.
14. Clique em Bloco de notas e em OK.
15. Procure o texto ScreenSaverIsSecure.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento de configuraes e GPOs L6-101
16. Analise o cdigo no arquivo, tambm mostrado abaixo:
<policy name="ScreenSaverIsSecure" class="User"
displayName="$(string.ScreenSaverIsSecure)"
explainText="$(string.ScreenSaverIsSecure_Help)"
key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"
valueName="ScreenSaverIsSecure">
<parentCategory ref="Display" />
<supportedOn ref="windows:SUPPORTED_Win2kSP1" />
<enabledValue>
<string>1</string>
</enabledValue>
<disabledValue>
<string>0</string>
</disabledValue>
</policy>
17. Identifique as partes do modelo que definem o seguinte:
O nome da configurao de diretiva que aparece no GPME
Resposta: $(string.ScreenSaverIsSecure)
O texto explicativo da configurao de diretiva
Resposta: $(string.ScreenSaverIsSecure_Help)
A chave do Registro e o valor afetado pela configurao de diretiva
class="User" (HKCU)
key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"
valueName="ScreenSaverIsSecure
Os dados inseridos no Registro se a diretiva for habilitada
<enabledValue><string>1</string></enabledValue>
Os dados inseridos no Registro se a diretiva for desabilitada
<disabledValue><string>0</string></disabledValue>
18. Feche o arquivo e, em seguida, feche a janela do Windows Explorer,
PolicyDefinitions.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-102 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Tarefa 2: Gerenciar modelos administrativos clssicos (arquivos .ADM)
1. Alterne para o GPME.
2. Na rvore de console, expanda Configurao do Usurio e Diretivas e clique
em Modelos Administrativos.
3. Clique com o boto direito do mouse em Modelos Administrativos e clique
em Adicionar ou Remover Modelos.
4. Clique em Adicionar.
5. Navegue at D:\Labfiles\Lab06b\Modelos Administrativos do Office 2007.
6. Abra a pasta ADM e a pasta pt-br.
7. Clique em office12.adm e em Abrir.
8. Clique em Fechar.
O n ADM (Modelos Administrativos Clssicos) exibido na rvore de
Modelos Administrativos.
9. Na rvore de console, expanda Modelos Administrativos, ADM (Modelos
Administrativos Clssicos) e Microsoft Office 2007 System.
Modelos administrativos clssicos (arquivos .ADM) so fornecidos
principalmente para empresas que no gerenciam Diretiva de Grupo com o
Windows Vista ou o Windows Server 2008 ou sistemas operacionais
posteriores.
Voc deve usar um computador que execute a verso mais recente do
Windows para gerenciar a Diretiva de Grupo. Ao fazer isso, voc poder exibir
e modificar todas as configuraes de diretiva disponveis, incluindo as que se
aplicam a verses anteriores do Windows. Se voc tiver pelo menos um
computador executando o Windows Vista, Windows Server 2008 ou
posterior, dever usar esse computador para gerenciar a Diretiva de Grupo e,
depois, voc no precisar dos modelos administrativos clssicos (arquivos
.ADM) quando os arquivos .ADMX/.ADML estiverem disponveis.
Observe que o formato do modelo afeta somente o gerenciamento da Diretiva
de Grupo. As configuraes sero aplicadas s verses do Windows conforme
descrito na seo Com suporte ou Requisitos das propriedades de
configurao de diretiva.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento de configuraes e GPOs L6-103
10. Clique com o boto direito do mouse em Modelos Administrativos e clique
em Adicionar ou Remover Modelos.
11. Clique em office12 e em Remover.
12. Clique em Fechar.
Tarefa 3: Gerenciar arquivos .ADMX e .ADML
1. Clique em Iniciar e em Executar. Em seguida, digite
D:\Labfiles\Lab06b\Modelos Administrativos do Office 2007 e pressione
ENTER.
2. Abra a pasta ADMX.
3. Selecione todos os arquivos .ADMX e a pasta pt-br, ou a pasta apropriada do
seu idioma e regio, e pressione CTRL+C para copiar os arquivos e a pasta.
4. Clique em Iniciar e em Executar. Em seguida, digite
%SystemRoot%\PolicyDefinitions e pressione ENTER.
5. Pressione CTRL+V para colar os arquivos e a pasta.
Ser solicitada a confirmao da mesclagem da pasta pt-br.
6. Marque a caixa de seleo Fazer isso para todos os itens atuais e clique em Sim.
So solicitadas as permisses administrativas.
7. Marque a caixa de seleo Fazer isso para todos os itens atuais e clique em
Continuar. A caixa de dilogo Controle de Conta de Usurio ser exibida.
8. Em Nome de usurio, digite Pat.Coleman Admin.
9. Em Senha, digite Pa$$w0rd.
10. Clique em OK.
11. Feche o Windows Explorer.
12. Feche o GPME.
13. Na rvore de console do GPMC, clique com o boto direito do mouse em
CONTOSO Standards e clique em Editar. O GPME ser exibido.
14. Na rvore de console, expanda Configurao do Usurio e Diretivas e clique
em Modelos Administrativos.
15. Observe a adio de pastas de configurao de diretiva do
Microsoft Office 2007.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-104 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Tarefa 4: Criar o armazenamento central
1. No GPME, clique no n Modelos Administrativos, em Configurao do
Usurio\Diretivas.
2. No ttulo do painel de detalhes, observe a mensagem: Definies de diretiva
(arquivos ADMX) recuperadas do computador local.
3. Feche o GPME.
4. Execute o prompt de comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
5. Digite md \\contoso.com\SYSVOL\contoso.com\Policies
\PolicyDefinitions\pt-br e pressione ENTER.
Se voc estiver usando outro idioma ou regio, substitua pt-br pela pasta
apropriada.
6. Digite xcopy %systemroot%\PolicyDefinitions \\contoso.com\SYSVOL
\contoso.com\Policies\PolicyDefinitions e pressione ENTER.
Os arquivos .ADMX sero copiados.
7. Digite xcopy %systemroot%\PolicyDefinitions\pr-br
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\pt-br e
pressione ENTER.
Se voc estiver usando outro idioma ou regio, substitua pt-br pela pasta
apropriada.
Os arquivos .ADML sero copiados.
8. No GPMC, clique com o boto direito do mouse em CONTOSO Standards e
clique em Editar.
9. Na rvore de console, expanda Configurao do Usurio e Diretivas e clique
em Modelos Administrativos.
10. No ttulo do painel de detalhes, observe a mensagem: Definies de diretiva
(arquivos ADMX) recuperadas do armazenamento central.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento de configuraes e GPOs L6-105
Perguntas de reviso do laboratrio
Pergunta: Descreva a relao entre os arquivos de modelo administrativo
(arquivos .ADMX e .ADML) e o GPME.
Resposta: Os arquivos .ADMX criam a interface do usurio do GPME e
determinam os valores do Registro que so aplicados quando uma configurao de
diretiva definida. Os arquivos .ADML fornecem os elementos especficos do
idioma (o texto) na interface do usurio.
Pergunta: Quando uma empresa obtm um armazenamento central? Que
benefcios ele fornece?
Resposta: Um armazenamento central criado manualmente adicionando-se uma
pasta PolicyDefinitions a \\domnio\sysvol\domnio\Policies.
Pergunta: Quais so as vantagens de se gerenciar uma Diretiva de Grupo de um
cliente que execute a verso mais recente do Windows? As configuraes que voc
gerencia se aplicam a verses anteriores do Windows?
Resposta: Se voc gerenciar a Diretiva de Grupo com um cliente que executa a
verso mais recente do Windows, poder usar os modelos administrativos mais
recentes e exibir as configuraes que se aplicam a essa verso do Windows e a
todas as verses anteriores. As configuraes de diretiva que voc configurar sero
aplicadas no com base na verso do Windows em que voc gerencia a Diretiva de
Grupo, mas com base nas verses do Windows s quais a configurao de diretiva
pode ser aplicada.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-106 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Laboratrio C: Gerenciamento do
escopo de Diretiva de Grupo
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo indicada:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do escopo de Diretiva de Grupo L6-107
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-108 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Exerccio 1: Configurar o escopo do GPO com links
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devero ter sido iniciadas e estar disponveis aps a
concluso dos Laboratrios A e B. No entanto, caso no estejam, voc dever
concluir as etapas abaixo e percorrer os exerccios desses laboratrios antes de
prosseguir.
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-DESKTOP101-A, mas no faa logon no sistema.
Tarefa 2: Criar um GPO com uma configurao de diretiva que tenha
precedncia sobre uma configurao conflitante
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio contoso.com e a UO User
Accounts e clique na UO Employees.
3. Clique com o boto direito do mouse na UO Employees, aponte para Novo e
clique em Unidade organizacional.
4. Digite Engenheiros e clique em OK.
5. Feche Usurios e Computadores do Active Directory.
6. Execute o GPMC com credenciais administrativas. Use a conta Pat.Coleman
Admin com a senha Pa$$w0rd.
O GPMC ser exibido.
7. Na rvore de console, expanda Floresta: contoso.com, Domnios,
contoso.com, User Accounts e Employees e clique na UO Engineers.
8. Clique com o boto direito do mouse na UO Engineers e clique em Criar um
GPO neste domnio e fornecer um link para ele aqui.
9. Digite Substituio de Aplicativo de Engenharia e pressione ENTER.
10. Clique com o boto direito do mouse no GPO Engineering Application
Override e clique em Editar.
O GPME ser exibido.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do escopo de Diretiva de Grupo L6-109
11. Na rvore de console, expanda Configurao do Usurio, Diretivas, Modelos
Administrativos e Painel de Controle e clique em Vdeo.
12. Clique duas vezes na configurao de diretiva Tempo Limite de Proteo de
Tela.
13. Clique em Desabilitado e em OK.
14. Feche o GPME.
15. Na rvore de console do GPMC, clique na UO Engineers.
16. Clique na guia Herana de Diretiva de Grupo.
17. Observe que o GPO Engineering Application Override tem precedncia
sobre o GPO CONTOSO Standards.
A configurao de diretiva de tempo limite da proteo de tela que voc
acabou de definir no GPO Engineering Application Override ser aplicada
depois da configurao no GPO CONTOSO Standards. Assim, a nova
configurao substituir a configurao padro e ser a "vencedora". O tempo
limite da proteo de tela ser desabilitado para usurios no escopo do GPO
Engineering Application Override.
Tarefa 3: Exibir o efeito de um link de GPO imposto
1. Na rvore de console do GPMC, clique na UO Domain Controllers e na guia
Herana de Diretiva de Grupo.
2. Observe que o GPO chamado 10222A tem a precedncia mais elevada. As
configuraes nesse GPO substituiro as configuraes conflitantes em
qualquer um dos outros GPOs.
O GPO Default Domain Controllers especifica, entre outras coisas, quais
grupos recebem o direito de fazer logon localmente em controladores de
domnio. Para aumentar a segurana dos controladores de domnio, os
usurios padro no recebem o direito de fazer logon localmente. Para
permitir que uma conta de usurio no privilegiada como Pat.Coleman faa
logon nos controladores de domnio neste curso, o GPO 10222A confere aos
Usurios do Domnio o direito de fazer logon localmente em um computador.
O GPO 10222A vinculado ao domnio. Assim, suas configuraes
normalmente seriam substitudas pelas configuraes no GPO Default Domain
Controllers. Por isso, o link do GPO 10222A com o domnio configurado
como Imposto. Dessa forma, o conflito na atribuio de direitos de usurio
entre os dois GPOs "vencido" pelo GPO 10222A.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-110 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Tarefa 4: Aplicar Bloquear Herana
1. Na rvore de console do GPMC, clique na UO Engineers e na guia Herana
de Diretiva de Grupo.
2. Examine a precedncia e a herana dos GPOs.
3. Clique com o boto direito do mouse na UO Engineers e clique em Bloquear
Herana.
Pergunta: Quais GPOs continuam sendo aplicados a usurios na UO Engineers?
Onde esses GPOs esto vinculados? Por que eles continuam sendo aplicados?
Resposta: O GPO Engineering Application Override, que est vinculado prpria
UO Engineers, e o GPO 10222A, vinculado ao domnio, continuam a ser aplicados.
O GPO 10222A continua a ser aplicado a usurios nessa UO, pois seu link
Imposto.
4. Clique com o boto direito do mouse na UO Engineers e desmarque
Bloquear Herana.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do escopo de Diretiva de Grupo L6-111
Exerccio 2: Configurar o escopo do GPO com filtragem
Tarefa 1: Configurar a aplicao de diretiva com a filtragem de
segurana
1. Alterne para Usurios e Computadores do Active Directory.
2. Na rvore de console, expanda o domnio contoso.com e a UO Groups e
clique na UO Configuration.
3. Clique com o boto direito do mouse na UO Configuration, aponte para
Novo e clique em Grupo.
4. Digite Aplicar GPO Engineering Application Override e pressione ENTER.
5. Alterne para o GPMC.
6. Na rvore de console, expanda a UO Engineers e clique no link do GPO
Engineering Application Override na UO Engineers.
Uma mensagem ser exibida.
7. Leia a mensagem e clique em No exibir esta mensagem novamente e em
OK.
8. Na seo Filtragem de Segurana, observe que o GPO aplicado por padro a
todos os usurios autenticados.
9. Na seo Filtragem de Segurana, clique em Usurios Autenticados.
10. Clique no boto Remover. Um prompt de confirmao ser exibido.
11. Clique em OK.
12. Clique no boto Adicionar.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
13. Digite Aplicar GPO Engineering Application Override e pressione ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-112 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Tarefa 2: Configurar uma iseno com filtragem de segurana
1. Alterne para Usurios e Computadores do Active Directory.
2. Na rvore de console, expanda o domnio contoso.com e a UO Groups e
clique na UO Configuration.
3. Clique com o boto direito do mouse na UO Configuration, aponte para
Novo e clique em Grupo.
4. Digite Iseno GPO CONTOSO Standards e pressione ENTER.
5. Alterne para o GPMC.
6. Na rvore de console, clique no link do GPO CONTOSO Standards com o
domnio contoso.com.
7. Na seo Filtragem de Segurana, observe que o GPO aplicado por padro a
todos os usurios autenticados.
8. Clique na guia Delegao.
9. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana de CONTOSO Standards ser
exibida.
10. Clique no boto Adicionar.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
11. Digite Iseno GPO CONTOSO Standards e pressione ENTER.
12. Clique na caixa de seleo abaixo de Negar e ao lado de Aplicar diretiva de
grupo.
13. Clique em OK.
Ser exibida uma mensagem de aviso para lembr-lo de que as permisses
negadas substituem as permitidas.
14. Clique em Sim.
15. Observe que a permisso exibida na guia Delegao como Personalizada.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do escopo de Diretiva de Grupo L6-113
Exerccio 3: Configurar o processamento de loopback
Tarefa 1: Configurar o processamento de loopback
1. Na rvore de console do GPMC, expanda a UO Configuration e clique na UO
Conference Rooms.
2. Clique com o boto direito do mouse na UO Conference Rooms e clique em
Criar um GPO neste domnio e fornecer um link para ele aqui.
3. Em Nome, digite Diretivas de Sala de Reunio e pressione ENTER.
4. Na rvore de console, expanda Conference Rooms e clique no GPO
Conference Room Policies.
5. Clique na guia Escopo.
6. Confirme se o GPO tem escopo definido para ser aplicado a Usurios
Autenticados.
7. Clique com o boto direito do mouse no GPO Conference Room Policies na
rvore de console e clique em Editar.
O GPME ser exibido.
8. Na rvore de console do GPME, expanda Configurao do Usurio,
Diretivas, Modelos Administrativos e Painel de Controle e clique em Vdeo.
9. Clique duas vezes na configurao de diretiva Tempo Limite de Proteo de Tela.
10. Clique em Habilitado.
11. Na caixa Segundos, digite 2700 e clique em OK.
12. Na rvore de console, expanda Configurao do Computador, Diretivas,
Modelos Administrativos e Sistema e clique em Diretiva de Grupo.
13. Clique duas vezes na configurao de diretiva Modo de processamento de
loopback de diretiva de grupo de usurios.
14. Clique em Habilitado.
15. Na lista suspensa Modo, selecione Mesclar e clique em OK.
16. Feche o GPME.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-114 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Perguntas de reviso do laboratrio
Pergunta: Muitas organizaes confiam plenamente na filtragem do grupo de
segurana para definir o escopo dos GPOs, em vez de vincul-los a UOs
especficas. Nessas organizaes, os GPOs so, geralmente, vinculados em posies
muito elevadas da estrutura lgica do AD (Active Directory
): ao prprio domnio
ou a uma UO de primeiro nvel. Que vantagens so obtidas com o uso da filtragem
de grupo de segurana em vez de links de GPO para gerenciar o escopo do GPO?
Resposta: O problema fundamental de depender das UOs para definir o escopo da
aplicao dos GPOs consiste no fato de que uma UO uma estrutura fixa e
inflexvel do AD e s pode conter um nico usurio ou computador. medida que
as organizaes crescem e tornam-se mais complexas, fica cada vez mais difcil
atender aos requisitos de configurao em uma relao um-para-um com uma
estrutura de continer. Com grupos de segurana, um usurio ou computador
pode existir em quantos grupos forem necessrios e pode ser adicionado ou
removido facilmente sem afetar a segurana ou o gerenciamento da conta de
usurio ou de computador.
Pergunta: Por que pode ser til criar um grupo de iseno (um grupo para o qual
a permisso Aplicar Diretiva de Grupo negada) para cada GPO criado?
Resposta: H alguns cenrios em que voc pode ter a garantia de que todas as
configuraes de um GPO sempre precisaro ser aplicadas a todos os usurios e
computadores dentro de seu escopo. Com um grupo de iseno, voc sempre
poder reagir a situaes que exijam a excluso de um usurio ou computador.
Isso tambm pode ajudar na soluo de problemas de compatibilidade e de
funcionalidade. Em alguns casos, determinadas configuraes do GPO podem
interferir na funcionalidade de um aplicativo. Para verificar se o aplicativo funciona
em uma instalao "pura" do Windows, talvez seja necessrio excluir o usurio ou
computador do escopo dos GPOs, pelo menos temporariamente para fins de teste.
Pergunta: Voc usa o processamento da diretiva loopback na sua organizao? Em
quais cenrios e para quais configuraes de diretiva o processamento da diretiva
loopback pode ser interessante?
Resposta: As respostas variaro. Cenrios como salas de reunio, quiosques, VDIs
e outros ambientes "padro" devero, com certeza, ser mencionados.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Soluo de problemas de aplicao de diretiva L6-115
Laboratrio D: Soluo de
problemas de aplicao de diretiva
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo indicada:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-116 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Soluo de problemas de aplicao de diretiva L6-117
Exerccio 1: Realizar anlise RSoP (Conjunto de Diretivas
Resultante)
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devero ter sido iniciadas e estar disponveis aps a
concluso dos Laboratrios A, B e C. No entanto, caso no estejam, voc dever
concluir as etapas abaixo e percorrer os exerccios desses laboratrios antes de
prosseguir.
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-DESKTOP101-A.
4. Faa logon em DESKTOP101 como Pat.Coleman com a senha Pa$$w0rd.
Tarefa 2: Atualizar a Diretiva de Grupo
1. Na mquina virtual DESKTOP101, execute o prompt de comando com
credenciais administrativas. Use a conta Pat.Coleman Admin com a senha
Pa$$w0rd.
2. Digite gpupdate.exe /force.
3. Espere at que o comando seja concludo.
4. Anote o horrio do sistema atual, que ser necessrio para uma tarefa posterior
neste laboratrio.
5. Reinicie DESKTOP101.
6. Aguarde at que DESKTOP101 seja reiniciado antes de prosseguir com a
prxima tarefa. No faa logon em DESKTOP101.
Tarefa 3: Criar um relatrio de RSoP de resultados de Diretiva de Grupo
1. Alterne para HQDC01.
2. Execute o Gerenciamento de Diretiva de Grupo com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda Floresta: contoso.com e clique em Resultados
da Diretiva de Grupo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-118 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
4. Clique com o boto direito do mouse em Resultados da Diretiva de Grupo e
clique em Assistente de Resultados de Diretiva de Grupo.
5. Na pgina Bem-vindo ao Assistente de Resultados de Diretiva de Grupo,
clique em Avanar.
6. Na pgina Seleo de Computador, clique em Outro computador e digite
DESKTOP101 na caixa de texto. Clique em Avanar.
7. Na pgina Seleo de Usurio, clique em Exibir configuraes de diretiva
para e em Selecione um usurio especfico e selecione
CONTOSO\Pat.Coleman. Clique em Avanar.
8. Na pgina Resumo das Selees, analise as suas configuraes e clique em
Avanar.
9. Clique em Concluir. O relatrio de RSoP ser exibido no painel de detalhes do
console.
10. Se voc receber uma mensagem de segurana do Internet Explorer
que se
refira a about:security_mmc.exe, clique em Adicionar. Na caixa de dilogo
Sites Confiveis, clique em Adicionar e em Fechar.
11. Analise os resultados do Resumo da Diretiva de Grupo. Para a configurao
do usurio e do computador, identifique a hora da ltima atualizao de
diretiva e a lista de GPOs permitidos e negados. Identifique os componentes
que foram usados para processar as configuraes de diretiva.
12. Clique na guia Configuraes. Analise as configuraes que foram usadas
durante a aplicao da diretiva de usurio e computador e identifique o GPO
do qual as configuraes foram obtidas.
13. Clique na guia Eventos de Diretivas e localize o evento que registra no log a
atualizao de diretiva acionada com o comando GPUpdate na Tarefa 1.
14. Clique na guia Resumo, clique com o boto direito do mouse na pgina e
clique em Salvar Relatrio.
15. Salve o relatrio como um arquivo HTML na unidade D com um nome de sua
escolha.
16. Abra o relatrio de RSoP da unidade D. Examine o relatrio de RSoP e feche-o.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Soluo de problemas de aplicao de diretiva L6-119
Tarefa 4: Analisar RSoP com GPResults
1. Faa logon em DESKTOP101 como Pat.Coleman Admin com a senha
Pa$$w0rd.
2. Execute o prompt de comando com credenciais administrativas.
3. Digite gpresult /r e pressione ENTER.
Os resultados de resumo de RSoP sero exibidos.
As informaes so muito semelhantes guia Resumo do relatrio de RSoP
produzido pelo Assistente de Resultados de Diretiva de Grupo.
4. Digite gpresult /v e pressione ENTER.
Um relatrio de RSoP mais detalhado ser produzido.
Observe que muitas das configuraes de Diretiva de Grupo aplicadas pelo
cliente so listadas nesse relatrio.
5. Digite gpresult /z e pressione ENTER.
O relatrio de RSoP mais detalhado ser produzido.
6. Digite gpresult /h:"%userprofile%\Desktop\RSOP.html" e pressione
ENTER.
Um relatrio de RSoP salvo como um arquivo HTML na sua rea de
trabalho.
7. Abra o relatrio de RSoP salvo da sua rea de trabalho.
8. Compare o relatrio, suas informaes e sua formatao com o relatrio de
RSoP salvo na tarefa anterior.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-120 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Exerccio 2: Usar o Assistente para Modelagem de Diretiva
de Grupo
Tarefa 1: Realizar a modelagem de resultados da Diretiva de Grupo
1. Alterne para HQDC01.
2. Na rvore de console do Gerenciamento de Diretiva de Grupo, expanda
Floresta:Contoso.com e clique em Modelagem da Diretiva de Grupo.
3. Clique com o boto direito do mouse em Modelagem da Diretiva de Grupo e
clique em Assistente para Modelagem de Diretiva de Grupo.
O Assistente para Modelagem de Diretiva de Grupo ser exibido.
4. Clique em Avanar.
5. Na pgina Seleo de Controlador de Domnio, clique em Avanar.
6. Na pgina Seleo de Usurio e Computador, na seo Informaes do
Usurio, clique no boto de opo Usurio e clique em Procurar.
A caixa de dilogo Selecionar Usurio ser exibida.
7. Digite Mike.Danseglio e pressione ENTER.
8. Na seo Informaes do Computador, clique no boto de opo
Computador e clique em Procurar.
A caixa de dilogo Selecionar Computador ser exibida.
9. Digite DESKTOP101 e pressione ENTER.
10. Clique em Avanar.
11. Na pgina Opes de Simulao Avanadas, marque a caixa de seleo
Processamento de Loopback e clique em Mesclar.
Embora o GPO Conference Room Polices especifique o processamento de
loopback, voc deve instruir o Assistente para Modelagem de Diretiva de
Grupo a considerar o processamento de loopback na simulao.
12. Clique em Avanar.
13. Na pgina Caminhos Alternativos do Active Directory, clique no boto
Procurar ao lado de Local do computador.
A caixa de dilogo Escolha o Continer de Computador ser exibida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Soluo de problemas de aplicao de diretiva L6-121
14. Expanda contoso.com e Quiosques e clique em Salas de Reunio.
Voc est simulando o efeito de DESKTOP101 como um computador de sala
de reunio.
15. Clique em OK.
16. Clique em Avanar.
17. Na pgina Grupos de Segurana de Usurio, clique em Avanar.
18. Na pgina Grupos de Segurana do Computador, clique em Avanar.
19. Na pgina Filtros WMI para Usurios, clique em Avanar.
20. Na pgina Filtros WMI para Computadores, clique em Avanar.
21. Analise as suas configuraes na pgina Resumo das Selees e clique em
Avanar.
22. Clique em Concluir.
23. Na guia Resumo, role at os ns Configurao do Usurio, Objetos de
Diretiva de Grupo e GPOs Aplicados e expanda-os, se necessrio.
24. O GPO Conference Room Policies ser aplicado a Mike Danseglio como uma
diretiva de usurio quando ele fizer logon em DESKTOP101 se essa mquina
virtual estiver na UO Conference Rooms?
Caso no seja, verifique o escopo do GPO Conference Room Policies. Ele deve
estar vinculado UO Conference Rooms com filtragem de grupo de segurana
que aplica o GPO identidade especial Usurios Autenticados. Voc pode
clicar com o boto direito do mouse na consulta de modelagem para execut-la
novamente. Se o GPO ainda no for aplicado, tente excluir e recriar o relatrio
Modelagem da Diretiva de Grupo e tenha muito cuidado para seguir cada
etapa de forma precisa.
25. Clique na guia Configuraes.
26. Role at os ns Configurao do Usurio, Diretivas, Modelos
Administrativos e Painel de Controle/Vdeo e expanda-os, se necessrio.
27. Confirme se o tempo limite da proteo de tela 2.700 segundos
(45 minutos), a configurao definida pelo GPO Conference Room Policies
que substitui o padro de 10 minutos configurado pelo GPO CONTOSO
Standards.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L6-122 Mdulo 6: Implementao de uma infraestrutura de Diretiva de Grupo
Exerccio 3: Exibir eventos de diretiva
Tarefa 1: Exibir os eventos da diretiva
1. Alterne para DESKTOP101.
2. Clique em Iniciar e em Painel de Controle.
3. Clique em Sistema e Manuteno.
4. Clique em Ferramentas Administrativas.
5. Clique duas vezes em Visualizador de Eventos.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
6. Clique em Continuar.
O Visualizar Eventos ser aberto.
7. Na rvore de console, expanda Logs do Windows e clique no log do Sistema.
8. Localize eventos com GroupPolicy como Fonte.
Voc pode at mesmo clicar no link Filtrar Log Atual no painel Aes e, em
seguida, selecionar GroupPolicy na lista suspensa Fontes de Evento.
9. Analise as informaes associadas a eventos GroupPolicy.
10. Na rvore de console, clique no log do Aplicativo.
11. Classifique o log do Aplicativo pela coluna Fonte.
12. Analise os eventos e identifique os eventos de Diretiva de Grupo que foram
inseridos nesse log. Quais eventos esto relacionados aplicao de Diretiva
de Grupo e quais esto relacionados s atividades que voc est executando
para gerenciar a Diretiva de Grupo?
Dependendo do tempo em que a mquina virtual estiver em execuo, talvez
no haja nenhum Evento de Diretiva de Grupo no log do aplicativo.
13. Na rvore de console, expanda Logs de Aplicativos e Servios, Microsoft,
Windows e GroupPolicy e clique em Operacional.
14. Localize o primeiro evento relacionado na atualizao de Diretiva de Grupo
iniciada no Exerccio 1, com o comando GPUpdate. Analise esse evento e os
eventos subsequentes.
Observao: aps concluir esse exerccio, desligue todas as mquinas virtuais e descarte
os discos de desfazer.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Soluo de problemas de aplicao de diretiva L6-123
Perguntas de reviso do laboratrio
Pergunta: Em quais situaes voc usou relatrios de RSoP para solucionar
problemas de aplicao de Diretiva de Grupo na sua organizao?
Resposta: A resposta correta ser baseada na sua prpria experincia e na sua
situao.
Pergunta: Em quais situaes voc usou, ou pensou em usar, a modelagem de
Diretiva de Grupo?
Resposta: A resposta correta ser baseada na sua prpria experincia e na sua
situao.
Pergunta: Voc j diagnosticou um problema de aplicao de Diretiva de Grupo
com base nos eventos de um dos logs de eventos?
Resposta: A resposta correta ser baseada na sua prpria experincia e na sua
situao.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao do suporte de computadores L7-125
Mdulo 7: Gerenciamento da segurana e da
configurao da empresa com as configuraes
de Diretiva de Grupo
Laboratrio A: Delegao do
suporte de computadores
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-126 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao do suporte de computadores L7-127
Exerccio 1: Configurar a associao de Administradores
usando diretivas de grupos restritos
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01-A como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-DESKTOP101-A, mas no faa logon no sistema.
Tarefa 2: Delegar a administrao de todos os clientes do domnio
1. Em HQDC01-A, clique em Iniciar >Ferramentas Administrativas e execute
Gerenciamento de Diretiva de Grupo com credenciais administrativas. Use a
conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Forest:contoso.com, Domnios e
contoso.com e clique no continer Objetos de Diretiva de Grupo.
3. Clique com o boto direito do mouse no continer Objetos de Diretiva de
Grupo e clique em Novo.
4. Na caixa Nome, digite Suporte Tcnico Corporativo e clique em OK.
5. No painel de detalhes, clique com o boto direito do mouse em Suporte
Tcnico Corporativo e clique em Editar.
O GPME ser exibido.
6. Na rvore de console, expanda Configurao do Computador, Diretivas,
Configuraes do Windows e Configuraes de Segurana e clique em
Grupos Restritos.
7. Clique com o boto direito do mouse em Grupos Restritos e clique em
Adicionar Grupo.
8. Clique no boto Procurar.
A caixa de dilogo Selecione Grupos ser exibida.
9. Digite CONTOSO\Suporte Tcnico e pressione ENTER.
10. Clique em OK para fechar a caixa de dilogo Adicionar Grupo.
A caixa de dilogo Propriedades de CONTOSO\Suporte Tcnico ser exibida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-128 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
11. Na seo Este grupo um membro de, clique no boto Adicionar.
A caixa de dilogo Associao de Grupo ser exibida.
12. Digite Administradores e clique em OK.
13. Clique em OK novamente para fechar a caixa de dilogo Propriedades.
14. Feche o GPME.
15. Na rvore de console do Gerenciamento de Diretiva de Grupo, clique com o
boto direito do mouse na UO Client Computers e clique em Vincular com
GPO Existente.
A caixa de dilogo Selecionar GPO ser exibida.
16. Selecione o GPO Corporate Help Desk e clique em OK.
17. Feche o console do Gerenciamento de Diretiva de Grupo.
Tarefa 3: Criar um grupo Suporte Seattle
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio contoso.com e a UO Groups e
clique na UO Role.
3. Clique com o boto direito do mouse em Funo, aponte para Novo e clique
em Grupo.
4. Na caixa Nome do Grupo, digite Suporte SEA e clique em OK.
5. Feche Usurios e Computadores do Active Directory.
Tarefa 4: Delegar a administrao de um subconjunto de clientes no
domnio
1. Na rvore de console do Gerenciamento de Diretiva de Grupo, expanda
Forest:contoso.com, Domnios e contoso.com e clique no continer Objetos
de Diretiva de Grupo.
2. Clique com o boto direito do mouse no continer Objetos de Diretiva de
Grupo e clique em Novo.
3. Na caixa Nome, digite Suporte Seattle e clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao do suporte de computadores L7-129
4. No painel de detalhes, clique com o boto direito do mouse em Suporte
Seattle e clique em Editar.
O GPME ser exibido.
5. Na rvore de console, expanda Configurao do Computador, Diretivas,
Configuraes do Windows e Configuraes de Segurana e clique em
Grupos Restritos.
6. Clique com o boto direito do mouse em Grupos Restritos e clique em
Adicionar Grupo.
7. Clique no boto Procurar.
A caixa de dilogo Selecione Grupos ser exibida.
8. Digite CONTOSO\Suporte SEA e pressione ENTER.
9. Clique em OK para fechar a caixa de dilogo Adicionar Grupo.
A caixa de dilogo Propriedades de CONTOSO\Suporte SEA ser exibida.
10. Na seo Este grupo um membro de, clique no boto Adicionar.
A caixa de dilogo Associao de Grupo ser exibida.
11. Digite Administradores e clique em OK.
12. Clique em OK novamente para fechar a caixa de dilogo Propriedades.
13. Feche o GPME.
14. Na rvore de console do GPMC, expanda a UO Client Computers e clique na
UO SEA.
15. Clique com o boto direito do mouse em SEA e clique em Vincular com GPO
Existente.
A caixa de dilogo Selecionar GPO ser exibida.
16. Selecione o GPO Seattle Support e clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-130 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Tarefa 5: Confirmar a aplicao cumulativa das diretivas Membro de
1. Na rvore de console do Gerenciamento de Diretiva de Grupo, expanda
Floresta:contoso.com e clique no n Modelagem da Diretiva de Grupo.
2. Clique com o boto direito do mouse no n Modelagem da Diretiva de
Grupo e clique em Assistente para Modelagem de Diretiva de Grupo. O
Assistente para Modelagem de Diretiva de Grupo ser exibido.
3. Clique em Avanar.
4. Na pgina Seleo de Controlador de Domnio, clique em Avanar.
5. Na pgina Seleo de Usurio e Computador, na seo Informaes do
Computador, clique no boto Procurar ao lado de Continer.
6. Expanda o domnio contoso e a UO Client Computers e, em seguida, clique
na UO SEA.
7. Clique em OK.
8. Marque a caixa de seleo Ir para a pgina final deste assistente sem coletar
dados adicionais. Clique em Avanar.
9. Na pgina Resumo das selees, clique em Avanar.
10. Clique em Concluir. O relatrio Modelagem de Diretiva de Grupo ser exibido.
11. Clique na guia Configuraes.
12. Role at os ns Configurao do Computador, Diretivas, Configuraes do
Windows, Configuraes de Segurana e Grupos Restritos e expanda-os, se
necessrio.
13. Confirme se os grupos Suporte Tcnico e Suporte SEA esto sendo exibidos.
As diretivas de Grupos Restritos que usam a configurao 'Este grupo um
membro de' so cumulativas.
Observe que o relatrio no especifica se os grupos listados so membros do
grupo Administradores. Isso uma limitao do relatrio Modelagem de
Diretiva de Grupo. Depois que a diretiva aplicada a um computador, o
relatrio de Resultados da Diretiva de Grupo (RSoP) especifica se os grupos
so membros de Administradores.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao do suporte de computadores L7-131
Perguntas de reviso do laboratrio
Pergunta: Se voc quisesse assegurar que apenas os membros do grupo
Administradores local de um computador cliente fosse o Suporte Tcnico do grupo
Suporte especfico do site e quisesse remover quaisquer outros membros do grupo
Administradores local, como conseguiria fazer isso usando apenas diretivas de
grupos restritos?
Resposta: esta uma pergunta um pouco complicada e requer certa criatividade.
Voc pode definir uma configurao de diretiva Membros para o grupo
Administradores que adiciona a conta Administrador. Isso ter o mesmo efeito que
limpar todos os outros membros de grupo e, naturalmente, a conta Administrador
j ser um membro da floresta Administrador e no poder ser removida. Em
seguida, voc poder definir configuraes de diretiva de grupo restrito para o
Suporte Tcnico e os grupos de Suporte especficos de site, como fez no
Laboratrio. Se desejar, voc poder usar uma preferncia de Grupo Local
configurada para excluir todos os grupos e usurios membros.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-132 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Laboratrio B: Gerenciamento das
configuraes de segurana
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento das configuraes de segurana L7-133
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-134 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Exerccio 1: Gerenciar configuraes de segurana local
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devero ter sido iniciadas e estar disponveis aps a
concluso do Laboratrio A. No entanto, caso no estejam, voc dever concluir as
etapas abaixo.
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01-AHQDC01 como Pat.Coleman com a senha
Pa$$w0rd.
Tarefa 2: Habilitar a rea de Trabalho Remota em HQDC01-A
1. Clique no cone Gerenciador de Servidores ao lado do boto Iniciar. A caixa
de dilogo Controle de Conta de Usurio ser exibida.
2. Na caixa Nome de usurio, digite Pat.Coleman Admin.
3. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O Gerenciador de Servidores ser aberto.
4. Na seo Resumo do Servidor, clique em Configurar rea de Trabalho
Remota.
A caixa de dilogo Propriedades do Sistema ser aberta.
5. Clique em Permitir conexes somente de computadores que estejam
executando a rea de Trabalho Remota com Autenticao no Nvel da Rede
(mais seguro).
6. Clique em OK.
7. Feche o Gerenciador de Servidores.
Tarefa 3: Criar um grupo de segurana global denominado SYS_rea
de Trabalho Remota do DC
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio contoso.com, a UO Admins e a UO
Admin Groups e clique na UO Server Delegation.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento das configuraes de segurana L7-135
3. Clique com o boto direito do mouse na UO Server Delegation, aponte para
Novo e clique em Grupo.
4. Digite SYS_rea de Trabalho Remota do DC e clique em OK.
Tarefa 4: Adicionar SYS_rea de Trabalho Remota do DC ao grupo
Usurios da rea de Trabalho Remota
Para se conectar usando a rea de trabalho remota, um usurio deve ter o direito
de logon de usurio para fazer logon pelos Servios de Terminal, que voc
conceder ao grupo SYS_rea de Trabalho Remota do DC na prxima tarefa.
Alm disso, o usurio deve ter permisso para se conectar ao RDP-Tcp. Por padro,
os grupos Usurios da rea de Trabalho Remota e Administradores tm permisso
para se conectar ao RDP-Tcp. Portanto, voc deve adicionar o usurio (ou o grupo
SYS_rea de Trabalho Remota do DC neste caso) ao grupo Usurios da rea de
Trabalho Remota.
1. Ainda no HQDC01-A, na rvore de console Usurios e Computadores do
Active Directory, clique em Builtin.
2. No painel de detalhes, clique duas vezes em Usurios da rea de Trabalho
Remota.
3. Clique na guia Membros.
4. Clique no boto Adicionar.
A caixa de dilogo Selecionar Usurios, Contatos, Computadores ou Grupos
ser exibida.
5. Digite SYS_rea de Trabalho Remota do DC e pressione ENTER.
6. Clique em OK.
7. Feche Usurios e Computadores do Active Directory.
Observao: em vez de adicionar o grupo aos Usurios da rea de Trabalho Remota,
voc pode adicionar o grupo SYS_rea de Trabalho Remota do DC ACL (lista de
controle de acesso) da conexo RDP-Tcp, usando o console da Configurao dos
Servios de Terminal. Clique com o boto direito do mouse em RDP-Tcp e clique em
Propriedades. Em seguida, clique na guia Segurana e no boto Adicionar e digite
SYS_rea de Trabalho Remota do DC. Clique em OK duas vezes para fechar as caixas de
dilogo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-136 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Tarefa 5: Configurar a Diretiva de Segurana Local para permitir as
conexes de rea de Trabalho Remota pelo SYS_rea de Trabalho
Remota do DC
1. Em HQDC01-A, v para Iniciar > Ferramentas Administrativas e execute
Diretiva de Segurana Local com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Diretivas Locais e clique em Atribuio de
Direitos de Usurio.
3. Clique duas vezes em Permitir logon pelos Servios de Terminal.
A caixa de dilogo Propriedades de Permitir Logon pelos Servios de Terminal
ser aberta.
4. Clique em Adicionar Usurio ou Grupo.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
5. Digite SYS_rea de Trabalho Remota do DC e pressione ENTER.
6. Clique em OK.
7. Feche a caixa de dilogo Permitir logon pelos Servios de Terminal.
Tarefa 6: Reverter a diretiva de segurana local para sua configurao
padro
Agora, voc reverter a diretiva para seu valor padro em preparao aos exerccios
a seguir.
1. Clique duas vezes em Permitir logon pelos Servios de Terminal.
A caixa de dilogo Propriedades de Permitir Logon pelos Servios de Terminal
ser aberta.
2. Clique em CONTOSO\SYS_rea de Trabalho Remota do DC.
3. Clique em Remover.
4. Clique em OK.
5. Feche Diretiva de Segurana Local.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento das configuraes de segurana L7-137
Exerccio 2: Criar um modelo de segurana
Tarefa 1: Criar um console personalizado do MMC com o snap-in
Modelos de Segurana
1. Ainda em HQDC01-A, clique em Iniciar, digite mmc.exe na caixa de pesquisa
e pressione ENTER quando forem solicitadas as credenciais administrativas.
Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Clique em Arquivo e em Adicionar/Remover Snap-in.
3. Na lista Snap-ins disponveis, selecione Modelos de Segurana e clique em
Adicionar.
4. Clique em OK.
5. Clique em Arquivo e em Salvar.
A caixa de dilogo Salvar como ser exibida.
6. Digite D:\Security Management e pressione ENTER.
Tarefa 2: Criar um modelo de segurana
1. Na rvore de console, expanda Modelos de Segurana.
2. Clique com o boto direito do mouse em C:\Users\Pat.Coleman Admin
\Documents\Security\Templates e clique em Novo Modelo.
3. Digite rea de Trabalho Remota do DC e clique em OK.
4. Na rvore de console, expanda C:\Users\Pat.Coleman Admin\Documents
\Security\Templates, rea de Trabalho Remota do DC e Diretivas Locais e
clique em Atribuio de Direitos de Usurio.
5. No painel de detalhes, clique duas vezes em Permitir logon pelos Servios de
Terminal.
A caixa de dilogo Propriedades de Permitir Logon pelos Servios de Terminal
ser exibida.
6. Selecione Definir essas configuraes de diretivas no modelo.
7. Clique em Adicionar Usurio ou Grupo.
A caixa de dilogo Adicionar Usurio ou Grupo ser exibida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-138 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
8. Clique no boto Procurar.
A caixa de dilogo Selecionar Usurios ou Grupos ser exibida.
9. Digite SYS_rea de Trabalho Remota do DC e clique em OK.
10. Clique em OK para fechar a caixa de dilogo Adicionar Usurio ou Grupo.
11. Clique em OK para fechar a caixa de dilogo Propriedades de Diretiva.
12. Na rvore de console, clique em Grupos Restritos.
13. Clique com o boto direito do mouse em Grupos Restritos e clique em
Adicionar Grupo.
A caixa de dilogo Adicionar Grupo ser exibida.
14. Clique no boto Procurar.
15. Digite SYS_rea de Trabalho Remota do DC e clique em OK.
16. Clique em OK novamente para fechar a caixa de dilogo Adicionar Grupo.
A caixa de dilogo Propriedades de CONTOSO\SYS_rea de Trabalho Remota
do DC ser exibida.
17. Na seo Este grupo um membro de, clique em Adicionar Grupos.
A caixa de dilogo Associao de Grupo ser exibida
18. Clique no boto Procurar.
A caixa de dilogo Selecione Grupos ser exibida.
19. Digite Usurios da rea de Trabalho Remota e clique em OK.
20. Clique em OK para fechar a caixa de dilogo Associao de Grupo.
21. Clique em OK para fechar a caixa de dilogo de propriedades.
22. Na rvore de console, clique com o boto direito do mouse em rea de
Trabalho Remota do DC e clique em Salvar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento das configuraes de segurana L7-139
Exerccio 3: Usar Configurao e Anlise de Segurana
Tarefa 1: Adicionar o snap-in Configurao e Anlise de Segurana a
um console personalizado
1. Clique em Arquivo e em Adicionar/Remover Snap-in.
2. Na lista Snap-ins disponveis, selecione Configurao e Anlise de
Segurana e clique no boto Adicionar.
3. Clique em OK.
4. No menu Arquivo, clique em Salvar.
Tarefa 2: Criar um banco de dados de segurana e importar um
modelo de segurana
1. Na rvore de console, clique em Configurao e Anlise de Segurana.
2. Clique com o boto direito do mouse em Configurao e Anlise de
Segurana e clique em Abrir Banco de Dados.
A caixa de dilogo Abrir Banco de Dados ser exibida.
O comando Abrir Banco de Dados permite criar um novo banco de dados de
segurana.
3. Digite HQDC01Test e clique em Abrir.
A caixa de dilogo Importar Modelo ser exibida.
4. Selecione o modelo rea de Trabalho Remota do DC criado no Exerccio 2 e
clique em Abrir.
Tarefa 3: Analisar a configurao de um computador usando o banco
de dados de segurana
1. Na rvore de console, clique com o boto direito do mouse em Configurao
e Anlise de Segurana e clique em Analisar Computador Agora.
2. Clique em OK para confirmar o caminho padro do log de erros.
O snap-in executa a anlise.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-140 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
3. Na rvore de console, expanda Configurao e Anlise de Segurana e
Diretivas Locais e clique em Atribuio de Direitos de Usurio.
Observe que a diretiva Permitir logon pelos Servios de Terminal est
sinalizada com um crculo vermelho e um X. Isso indica uma discrepncia
entre a configurao do banco de dados e a configurao do computador.
4. Clique duas vezes em Permitir logon pelos Servios de Terminal.
Observe as discrepncias. O computador no est configurado para permitir
que o grupo Usurios do SYS_rea de Trabalho Remota do DC faa logon
pelos Servios de Terminal.
Observe tambm que a configurao do computador permite atualmente que
os Administradores faam logon pelos Servios de Terminal. Essa uma
configurao importante que deve ser incorporada ao banco de dados.
5. Confirme se a caixa de seleo Definir a diretiva no banco de dados est
marcada.
6. Marque a caixa de seleo Administradores, em Config. Banco de Dados.
Isso conferir aos administradores o direito de fazer logon no banco de dados
pelos Servios de Terminal. Esse procedimento no altera o modelo e no afeta
a configurao atual do computador.
7. Clique em OK.
8. Na rvore de console, selecione Grupos Restritos.
9. No painel de detalhes, clique duas vezes em CONTOSO\SYS_rea de
Trabalho Remota do DC.
10. Clique na guia Membro de.
Observe que o banco de dados especifica que o grupo SYS_rea de Trabalho
Remota do DC deve ser um membro de Usurios da rea de Trabalho Remota,
mas o computador no est em conformidade com essa configurao no
momento.
11. Confirme se a caixa de seleo Definir este grupo no banco de dados est
marcada.
12. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento das configuraes de segurana L7-141
13. Clique com o boto direito do mouse em Configurao e Anlise de
Segurana e clique em Salvar.
Esse procedimento salva o banco de dados de segurana, que inclui as
configuraes importadas do modelo e a alterao que voc fez para permitir
que os Administradores faam logon pelos Servios de Terminal.
A dica exibida na barra de status quando voc passa o cursor sobre o comando
Salvar sugere que o modelo est sendo salvo. A informao est incorreta. Voc
est salvando o banco de dados.
14. Clique com o boto direito do mouse em Configurao e Anlise de
Segurana e clique em Exportar Modelo.
A caixa de dilogo Exportar modelo para ser exibida.
15. Selecione rea de Trabalho Remota do DC e clique em Salvar.
Agora voc substituiu o modelo criado no Exerccio 2 pelas configuraes
definidas no banco de dados do snap-in Configurao e Anlise de Segurana.
Tarefa 4: Definir configuraes de segurana usando um banco de
dados de segurana
1. Feche o console do Gerenciamento de Segurana. Se voc for solicitado a
salvar as configuraes, clique em Sim.
O fechamento e a reabertura do console so necessrios para atualizar as
configuraes mostradas no snap-in Modelos de Segurana.
2. Execute D:\Security Management.msc com credenciais administrativas. Use a
conta Pat.Coleman Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda Modelos de Segurana,
C:\Users\Pat.Coleman Admin\Documents\Security\Templates, rea de
Trabalho Remota do DC e Diretivas Locais e clique em Atribuio de
Direitos de Usurio.
4. No painel de detalhes, clique duas vezes em Permitir logon pelos Servios de
Terminal.
Observe que os grupos Administradores e SYS_rea de Trabalho Remota do
DC tm permisso para fazer logon no modelo de segurana pelos Servios de
Terminal.
5. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-142 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
6. Clique com o boto direito do mouse em Configurao e Anlise de
Segurana e clique em Configurar Computador Agora.
7. Clique em OK para confirmar o caminho do log de erros. As configuraes do
banco de dados so aplicadas ao servidor. Agora, voc confirmar que a
alterao feita no direito de usurio foi aplicada.
8. Execute Diretiva de Segurana Local com credenciais administrativas. Use a
conta Pat.Coleman Admin com a senha Pa$$w0rd.
9. Na rvore de console, expanda Diretivas Locais e clique em Atribuio de
Direitos de Usurio.
10. Clique duas vezes em Permitir Logon pelos Servios de Terminal.
A caixa de dilogo Propriedades de Permitir Logon pelos Servios de Terminal
ser aberta.
11. Confirme que Administradores e SYS_rea de Trabalho Remota do DC
esto listados.
O console da Diretiva de Segurana Local exibe as configuraes atuais reais
do servidor.
12. Feche o console da Diretiva de Segurana Local.
13. Feche o console personalizado do Gerenciamento de Segurana.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento das configuraes de segurana L7-143
Exerccio 4: Usar o Assistente de Configurao de
Segurana
Tarefa 1: Criar uma diretiva de segurana
1. Ainda em HQDC01-A, clique em Iniciar > Ferramentas Administrativas e
execute o Assistente de Configurao de Segurana com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na pgina Bem-vindo ao Assistente de Configurao de Segurana, clique
em Avanar.
3. Na pgina Ao de Configurao, selecione Criar nova diretiva de segurana
e clique em Avanar.
4. Na pgina Selecionar Servidor, aceite o nome de servidor padro, HQDC01-
A, e clique em Avanar.
5. Se desejar, na pgina Processando o Banco de Dados de Configurao de
Segurana, voc pode clicar em Exibir Banco de Dados de Configurao e
explorar a configurao descoberta em HQDC01-A.
6. Clique em Avanar.
7. Na pgina de introduo da seo Configurao de Servios com Base em
Funes, clique em Avanar.
8. Se desejar, na pgina Selecionar Funes do Servidor, voc pode explorar as
configuraes descobertas em HQDC01-A, mas no altere nenhuma
configurao. Clique em Avanar.
9. Se desejar, na pgina Selecionar Recursos de Cliente, voc pode explorar as
configuraes descobertas em HQDC01-A, mas no altere nenhuma
configurao. Clique em Avanar.
10. Se desejar, na pgina Selecionar Administrao e Outras Opes, voc pode
explorar as configuraes descobertas em HQDC01-A, mas no altere
nenhuma configurao. Clique em Avanar.
11. Se desejar, na pgina Selecionar Servios Adicionais, voc pode explorar as
configuraes descobertas em HQDC01-A, mas no altere nenhuma
configurao. Clique em Avanar.
12. Na pgina Tratando Servios No Especificados, no altere a configurao
padro No alterar o modo de inicializao do servio. Clique em Avanar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-144 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
13. Na pgina Confirmar Alteraes no Servio, na lista Exibir, escolha Todos os
Servios.
14. Examine as configuraes da coluna Modo de Incio Atual, que reflete os
modos de inicializao de servio em HQDC01-A, e as compare com as
configuraes da coluna Modo do Incio da Diretiva.
15. Na lista Exibir, selecione Servios Alterados.
16. Clique em Avanar.
17. Na pgina de introduo da seo Segurana de Rede, clique em Avanar.
18. Se desejar, na pgina Regras de Segurana de Rede, voc pode examinar as
regras de firewall derivadas da configurao de HQDC01-A. No altere
nenhuma configurao. Clique em Avanar.
19. Na pgina de introduo da seo Configuraes do Registro, clique em
Avanar.
20. Em cada pgina da seo Configuraes do Registro, examine as
configuraes, mas no altere nenhuma delas, e clique em Avanar. Continue
clicando em Avanar em cada pgina at que seja exibida a pgina Resumo
das Configuraes no Registro, examine as configuraes e clique em
Avanar.
21. Na pgina de introduo da seo Diretiva de Auditoria, clique em Avanar.
22. Na pgina Diretiva de Auditoria do Sistema, examine as configuraes, mas
no as altere. Clique em Avanar.
23. Na pgina Resumo da Diretiva de Auditoria, examine as configuraes nas
colunas Configurao Atual e Configurao de Diretiva. Clique em Avanar.
24. Na pgina de introduo da seo Salvar Diretiva de Segurana, clique em
Avanar.
25. Na caixa de texto Nome do Arquivo da Diretiva de Segurana, clique no final
do caminho do arquivo e digite Diretiva de Segurana do DC.
26. Clique no boto Incluir Modelos de Segurana.
27. Clique em Adicionar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento das configuraes de segurana L7-145
28. Navegue at o modelo rea de Trabalho Remota do DC criado no
Exerccio 3, localizado na pasta C:\Users\Pat.Coleman Admin\Documents
\Security\Templates. Depois que tiver localizado e selecionado o modelo,
clique em Abrir.
Tome cuidado para adicionar o arquivo Documents\Security\Templates\rea
de Trabalho Remota do DC.inf, e no o modelo de segurana padro DC
Security.inf.
29. Clique em OK para fechar a caixa de dilogo Incluir Modelos de Segurana.
30. Clique no boto Exibir Diretiva de Segurana.
Voc ser solicitado a confirmar o uso do controle ActiveX.
31. Clique em Sim.
32. Examine a diretiva de segurana. Observe que o modelo rea de Trabalho
Remota do DC est listado na seo Modelos.
33. Feche a janela aps ter examinado a diretiva.
34. No Assistente de Configurao de Segurana, clique em Avanar.
35. Na pgina Aplicar Diretiva de Segurana, aceite a configurao padro
Aplicar Mais Tarde e clique em Avanar.
36. Clique em Concluir.
Tarefa 2: Transformar uma diretiva de segurana em objeto de
Diretiva de Grupo
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. Digite cd c:\windows\security\msscw\policies e pressione ENTER.
3. Digite scwcmd transform /? e pressione ENTER.
4. Digite scwcmd transform /p:"Diretiva de Segurana do DC.xml"
/g:"Diretiva de Segurana do DC e pressione ENTER.
5. Execute o Gerenciamento de Diretiva de Grupo com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
6. Na rvore de console, expanda Forest:contoso.com, Domnios, contoso.com
e Objetos de Diretiva de Grupo e clique em Diretiva de Segurana do DC.
Esse o GPO criado pelo comando Scwcmd.exe.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-146 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
7. Clique na guia Configuraes para examinar as configuraes do GPO.
8. Expanda Configuraes de Segurana e Diretivas Locais/Atribuio de
Direitos de Usurio.
9. Confirme que os grupos BUILTIN\Administradores e CONTOSO\SYS_rea
de Trabalho Remota do DC receberam o direito de usurio Permitir logon
pelos Servios de Terminal.
10. Expanda Grupos Restritos.
11. Confirme tambm que CONTOSO\SYS_rea de Trabalho Remota do DC
membro de BUILTIN\Usurios da rea de Trabalho Remota.
O GPO no aplicado a DCs (controladores de domnio) porque ainda no
est vinculado UO Domain Controllers. Neste laboratrio, no vincule o
GPO ao domnio, ao site ou a qualquer UO. Em um ambiente de produo,
voc dedicaria mais tempo examinando, configurando e testando
configuraes de segurana na diretiva de segurana antes de implant-la
como um GPO em controladores de domnio de produo.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
Pergunta de reviso do laboratrio
Pergunta: Descreva a relao entre as configuraes de segurana em um servidor,
a Diretiva de Grupo Local, os modelos de segurana, o banco de dados usado em
Configurao e Anlise de Segurana, a diretiva de segurana criada pelo Assistente
de Configurao de Segurana e a Diretiva de Grupo baseada em domnio.
Resposta: Embora algumas configuraes de segurana possam ser modificadas
diretamente (por exemplo, ACLs do sistema de arquivos ou associao de grupo
local), muitas delas s podem ser configuradas diretamente em um sistema atravs
da Diretiva de Grupo Local. Os modelos de segurana permitem que voc crie uma
diretiva de segurana que pode ser facilmente transferida para outro sistema e,
atravs da Configurao e Anlise de Segurana, carregada em um banco de dados
que pode ser usado para analisar ou configurar um computador. O banco de dados
usado pela Configurao e Anlise de Segurana pode ser exportado para um
modelo de segurana.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento das configuraes de segurana L7-147
O Assistente de Configurao de Segurana a ferramenta mais recente que
permite a configurao baseada em funes de servios, configuraes de
segurana de rede, valores do Registro e diretivas de auditoria. Ele cria um arquivo
.xml que pode incorporar um modelo de segurana e, em seguida, ser aplicado a
outro sistema atravs do Assistente de Configurao de Segurana. O Assistente de
Configurao de Segurana permite que voc reverta uma diretiva de segurana
caso ela no gere os resultados desejados. Uma diretiva de segurana gerada pelo
Assistente de Configurao de Segurana pode ser transformada em um GPO
baseado em domnio, que, em seguida, poder ser aplicado a vrios servidores.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-148 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Laboratrio C: Gerenciamento do
software com o GPSI
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do software com o GPSI L7-149
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-150 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Exerccio 1: Implantar software com o GPSI
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devero ter sido iniciadas e estar disponveis aps a
concluso dos laboratrios anteriores. No entanto, caso no estejam, voc dever
concluir as etapas abaixo.
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01-A como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-SERVER01-A, mas no faa logon.
4. Aguarde at que SERVER01 conclua a inicializao antes de passar para a
prxima tarefa.
Tarefa 2: Crie uma pasta de distribuio de software
1. Alterne para HQDC01-A.
2. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda o domnio contoso.com e a UO Groups e, em
seguida, clique na UO Application.
4. Clique com o boto direito do mouse na UO Application, aponte para Novo e
clique em Grupo.
5. Digite APP_Bloco de notas XML e pressione ENTER.
6. Na rvore de console, expanda o domnio contoso.com e a UO Servers e
clique na UO File.
7. No painel de detalhes, clique com o boto direito do mouse em SERVER01 e
clique em Gerenciar.
O console do Gerenciamento de Computador ser aberto, com foco no
SERVER01.
8. Na rvore de console, expanda Ferramentas do Sistema e Pastas
Compartilhadas. Em seguida, clique em Compartilhamentos.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do software com o GPSI L7-151
9. Clique com o boto direito do mouse em Compartilhamentos e clique em
Novo Compartilhamento. O Assistente para Criar Pasta Compartilhada ser
exibido.
10. Clique em Avanar.
11. Na caixa Caminho da Pasta, digite C:\Software e clique em Avanar.
Ser exibida uma mensagem perguntando se voc deseja criar a pasta.
12. Clique em Sim.
13. Aceite o nome de compartilhamento padro, Software, e clique em Avanar.
14. Clique em Personalizar Permisses e, em seguida, clique no boto
Personalizar.
15. Clique na guia Segurana.
16. Clique em Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas ser exibida.
17. Clique em Editar.
18. Desmarque a opo Incluir permisses herdveis provenientes do pai deste
objeto.
Ser exibida uma caixa de dilogo perguntando se voc deseja copiar ou
remover permisses herdadas.
19. Clique em Copiar.
20. Selecione a primeira permisso atribuda ao grupo Usurios e clique em
Remover.
21. Selecione a permisso restante atribuda ao grupo Usurios e clique em
Remover.
22. Selecione a permisso atribuda ao Proprietrio Criador e clique em
Remover.
23. Clique em OK duas vezes para fechar as caixas de dilogo Configuraes de
Segurana Avanadas.
24. Na caixa de dilogo Personalizar Permisses, clique na guia Permisses de
Compartilhamento.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-152 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
25. Marque a caixa de seleo ao lado de Controle Total e, abaixo, marque
Permitir.
A prtica recomendada para gerenciamento de segurana configurar
permisses de privilgios mnimos na ACL do recurso, que tambm se aplicar
aos usurios, independentemente de como eles se conectam ao recurso; nesse
ponto, voc poder usar a permisso Controle Total na pasta compartilhada
SMB. O nvel de acesso resultante ser as permisses mais restritivas definidas
na ACL da pasta.
26. Clique em OK.
27. Clique em Concluir.
28. Clique em Concluir para fechar o assistente.
29. Clique em Iniciar e em Executar, digite \\SERVER01\c$ e pressione ENTER.
A caixa de dilogo Conectar a SERVER01 ser exibida.
30. Na caixa Nome de usurio, digite CONTOSO\Pat.Coleman Admin.
31. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
A janela do Windows Explorer ser aberta, com foco na raiz da unidade C no
SERVER01.
32. Abra a pasta Software.
33. No menu Arquivo, aponte para Novo e clique em Pasta.
Uma nova pasta ser criada e estar no "modo de renomeao".
34. Digite Bloco de notas XML e pressione ENTER.
35. Clique com o boto direito do mouse na pasta Bloco de notas XML e clique
em Propriedades.
36. Clique na guia Segurana.
37. Clique em Editar.
38. Clique em Adicionar. A caixa de dilogo Selecionar Usurios, Computadores
ou Grupos ser exibida.
39. Digite APP_Bloco de notas XML e pressione ENTER.
O grupo recebe a permisso padro Ler e Executar.
40. Clique em OK duas vezes para fechar todas as caixas de dilogo abertas.
41. Abra a pasta Bloco de notas XML.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do software com o GPSI L7-153
42. Abra a pasta D:\Labfiles\Lab07b em uma nova janela.
43. Clique com o boto direito do mouse em XMLNotepad.msi e clique em
Copiar.
44. Alterne para a janela do Windows Explorer exibindo
\\server01\c$\Software\Bloco de notas XML.
45. Clique com o boto direito do mouse no painel de detalhes vazio e clique em
Colar.
O Bloco de notas XML copiado para a pasta em SERVER01.
46. Feche todas as janelas abertas do Windows Explorer.
47. Feche o console de Gerenciamento do Computador.
Tarefa 3: Criar um GPO de implantao de software
1. Execute o Gerenciamento de Diretiva de Grupo com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Forest:contoso.com, Domnios e
contoso.com e clique no continer Objetos de Diretiva de Grupo.
3. Clique com o boto direito do mouse no continer Objetos de Diretiva de
Grupo e clique em Novo.
4. Na caixa Nome, digite Bloco de notas XML e clique em OK.
5. Clique com o boto direito do mouse no GPO XML Notepad e clique em
Editar.
6. Na rvore de console, expanda Configurao do Computador, Diretivas e
Configuraes de Software e clique em Instalao de Software.
7. Clique com o boto direito do mouse em Instalao de Software, aponte para
Novo e clique em Pacote.
8. Na caixa de texto Nome do arquivo, digite o caminho de rede da pasta de
distribuio de software, \\server01\software\Bloco de notas XML, e
pressione ENTER.
9. Selecione o pacote do Windows Installer, XmlNotepad.msi, e clique em Abrir.
Aps alguns instantes, a caixa de dilogo Implantar Software ser exibida.
10. Clique em Avanado e em OK.
A caixa de dilogo Propriedades de Bloco de notas XML 2007 ser exibida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-154 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
11. Na guia Geral, observe que o nome do pacote inclui a verso, Bloco de notas
XML 2007.
12. Clique na guia Implantao.
Observe que, ao implantar software nos computadores, Atribudo a nica
opo. Examine as opes que estariam disponveis se voc estivesse
atribuindo ou publicando o aplicativo para os usurios.
13. Selecione Desinstalar Este Aplicativo Quando Ele Ficar Fora do Escopo de
Gerenciamento.
14. Clique em OK.
15. Feche o GPME.
16. Na rvore de console do Gerenciamento de Diretiva de Grupo, expanda
Objetos de Diretiva de Grupo e clique no GPO XML Notepad.
17. No painel de detalhes, clique na guia Escopo.
18. Na seo Filtragem de Segurana, selecione o grupo Usurios Autenticados
e clique em Remover. Voc ser solicitado a confirmar a escolha.
19. Clique em OK.
20. Clique no boto Adicionar.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
21. Digite APP_Bloco de notas XML e pressione ENTER.
Agora, o GPO filtrado para ser aplicado apenas ao grupo APP_Bloco de notas
XML. No entanto, as configuraes do GPO s sero aplicadas quando ele for
vinculado a uma UO, a um site ou ao domnio.
22. Na rvore de console, clique com o boto direito do mouse na UO Client
Computers e clique em Vincular com GPO Existente.
23. Selecione Bloco de notas XML na lista de GPOs e clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do software com o GPSI L7-155
Tarefa 4: Implantar software em computadores
1. Alterne para Usurios e Computadores do Active Directory.
2. Na rvore de console, expanda Grupos e clique na UO Application.
3. No painel de detalhes, clique duas vezes em APP_Bloco de notas XML.
4. Clique na guia Membros.
5. Clique no boto Adicionar.
6. Clique no boto Tipos de Objeto.
7. Selecione Computadores e clique em OK.
8. Digite DESKTOP101 e pressione ENTER.
9. Clique em OK.
10. Inicie 10222A-DESKTOP101-A, mas no faa logon.
Tarefa 5: Confirmar a implantao bem-sucedida do software
1. Alterne para DESKTOP101.
2. Faa logon em DESKTOP101 como Pat.Coleman com a senha Pa$$w0rd.
3. Clique no boto Iniciar e em Todos os Programas.
4. Abra Bloco de notas XML.
Se o Bloco de notas XML no estiver instalado, reinicie DESKTOP101 e repita
as etapas de 2 a 4.
Observao: ao verificar a implantao do bloco de notas xml, talvez sejam necessrias
duas inicializaes para que a implantao tenha xito. Ou seja, se voc no vir o Bloco
de notas instalado, reinicie a mquina virtual. Talvez seja necessrio fazer isso algumas
vezes.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-156 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Exerccio 2: Atualizar aplicativos com o GPSI
Tarefa 1: Criar um pacote de atualizao usando o GPSI
1. Alterne para HQDC01-A.
2. Na rvore de console do Gerenciamento de Diretiva de Grupo, clique com o
boto direito do mouse no GPO XML Notepad no continer Objetos de
Diretiva de Grupo e clique em Editar.
O GPME ser aberto.
3. Na rvore de console, expanda Configurao do Computador, Diretivas e
Configuraes de Software e clique em Instalao de Software.
4. Clique com o boto direito do mouse em Instalao de Software, aponte para
Novo e clique em Pacote.
5. Na caixa de texto Nome do arquivo, digite o caminho de rede da pasta de
distribuio de software, \\server01\software\Bloco de notas XML, e
pressione ENTER.
Este exerccio usar o arquivo XmlNotepad.msi existente como se ele fosse
uma verso atualizada do Bloco de notas XML.
6. Selecione o pacote do Windows Installer, XmlNotepad.msi, e clique em Abrir.
A caixa de dilogo Implantar Software ser exibida.
7. Clique em Avanado e em OK.
8. Na guia Geral, altere o nome do pacote de modo a sugerir que ele a prxima
verso do aplicativo. Digite Bloco de notas XML 2010.
9. Clique na guia Implantao. Como voc est implantando o aplicativo em
computadores, Atribudo a nica opo de tipo de implantao.
10. Clique na guia Atualizaes.
11. Clique no boto Adicionar.
12. Clique na opo Objeto de Diretiva de Grupo Atual.
13. Na lista Pacote a ser atualizado, selecione o pacote da verso anterior
simulada, Bloco de notas XML 2007.
14. Clique na opo Desinstalar o pacote existente e instalar o pacote de
atualizao.
15. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do software com o GPSI L7-157
16. Clique em OK.
Se essa fosse uma atualizao real, o novo pacote atualizaria a verso anterior
do aplicativo quando os clientes aplicassem o GPO XML Notepad. Como se
trata apenas de uma simulao, voc pode remover o pacote da atualizao
simulada.
17. Clique com o boto direito do mouse em Bloco de notas XML 2010, que voc
acabou de criar para simular uma atualizao, aponte para Todas as Tarefas e
selecione Remover.
18. Na caixa de dilogo Remover Software, clique em Desinstalar
imediatamente o software dos usurios e computadores e, em seguida,
clique em OK.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-158 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Perguntas de reviso do laboratrio
Pergunta: Considere as permisses NTFS que voc aplicou s pastas Software e
Bloco de notas XML em SERVER01. Explique por que essas permisses de
privilgios mnimos so preferenciais em relao s permisses padro.
Resposta: As permisses padro em uma nova pasta NTFS incluem permisses
herdadas que no so de privilgios mnimos. Primeiro, o grupo USURIOS recebe
permisso para adicionar arquivos e pastas. Em uma pasta de distribuio de
software, somente os administradores que precisam adicionar novos aplicativos
devem poder adicionar arquivos e pastas. Segundo, a identidade especial
PROPRIETRIO CRIADOR recebe controle total. Isso significa que qualquer
pessoa que adiciona um arquivo ou pasta recebe uma permisso explcita que
permite o controle total, que pode ou no ser apropriado para cada arquivo ou
pasta adicionado a um ponto de implantao de software. Terceiro, o grupo
USURIOS tambm recebe permisso para ler todos os arquivos e pastas, o que
permitir que eles instalem qualquer software na pasta de distribuio de software.
Como a maioria dos softwares licenciada por computador ou por usurio, voc
pode melhorar a sua conformidade permitindo que somente um grupo
especificado leia os arquivos de instalao de cada aplicativo. A pasta SOFTWARE
(a raiz) concede acesso (controle total) somente aos Administradores e ao Sistema.
A subpasta do aplicativo, por exemplo, Bloco de notas XML, concede acesso de
leitura a um grupo que tem permisso para instalar o aplicativo, por exemplo,
APP_Bloco de notas XML. Esses usurios podem acessar a subpasta mesmo que
no tenham acesso pasta SOFTWARE. Por padro, o Windows concede a todos
os usurios autenticados o privilgio de "desviar pasta", que permite navegar at
uma subpasta especfica qual tenham acesso, mesmo que no tenham permisso
em uma pasta pai. As ACLs de privilgio mnimo usadas neste Laboratrio so um
perfeito exemplo do valor desse direito de usurio.
Pergunta: Considere os mtodos usados para definir o escopo da implantao do
Bloco de notas XML: atribuio do aplicativo aos computadores, filtragem do GPO
de modo a aplic-lo ao grupo APP_Bloco de notas XML que contm apenas
computadores e vinculao do GPO UO Client Computers. Por que essa
abordagem vantajosa na implantao da maioria dos softwares? Qual seria a
desvantagem em criar o escopo da implantao do software para os usurios, e no
para os computadores?
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Gerenciamento do software com o GPSI L7-159
Resposta: A maioria dos softwares licenciada por computador. Por isso,
importante implantar esses aplicativos com escopo nos computadores, e no nos
usurios. O resultado o mesmo: o aplicativo implantado nos computadores dos
usurios que precisam dele. Se voc fosse implantar um aplicativo em usurios, ele
"acompanharia" os usurios em qualquer computador em que fizessem logon. Por
exemplo, se um usurio estivesse conectado a um computador da sala de reunio
ou ao computador de um colega, o aplicativo tambm seria instalado nesses
computadores. A criao do escopo para um grupo de computadores e a
vinculao do GPO a uma UO de alto nvel (ou at mesmo ao domnio)
proporcionar a voc flexibilidade mxima para implantar o aplicativo em
qualquer computador que precise dele.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-160 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Laboratrio D: Auditoria do acesso
ao sistema de arquivos
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Auditoria do acesso ao sistema de arquivos L7-161
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-162 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Exerccio 1: Configurar permisses e configuraes de
auditoria
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devero ter sido iniciadas e estar disponveis aps a
concluso dos laboratrios anteriores. No entanto, caso no estejam, voc dever
concluir as etapas abaixo.
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01-A como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-SERVER01-A, mas no faa logon no sistema.
4. Inicie 10222A-DESKTOP101-A, mas no faa logon.
5. Aguarde todas as mquinas virtuais conclurem a inicializao antes de passar
para a prxima tarefa.
Tarefa 2: Criar e proteger uma pasta compartilhada
1. Alterne para HQDC01-A.
2. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda o domnio contoso.com e a UO Groups e
clique na UO Role.
4. Clique com o boto direito do mouse na UO Role, aponte para Novo e clique
em Grupo.
5. Digite Consultores e pressione ENTER.
6. Clique duas vezes no grupo Consultores.
7. Clique na guia Membros.
8. Clique no boto Adicionar.
A caixa de dilogo Selecionar Usurios, Contatos, Computadores ou Grupos
ser exibida.
9. Digite Mike.Danseglio e pressione ENTER.
10. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Auditoria do acesso ao sistema de arquivos L7-163
11. Clique em Iniciar e em Executar, digite \\SERVER01\c$ e pressione ENTER.
A caixa de dilogo Conectar a SERVER01 ser exibida.
12. Na caixa Nome de usurio, digite CONTOSO\Pat.Coleman Admin.
13. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
A janela do Windows Explorer ser aberta, com foco na raiz da unidade C no
SERVER01.
14. Abra a pasta Dados.
15. No menu Arquivo, aponte para Novo e clique em Pasta.
Uma nova pasta ser criada no "modo de renomeao".
16. Digite Dados Confidenciais e pressione ENTER.
17. Clique com o boto direito do mouse em Dados Confidenciais e clique em
Propriedades.
18. Clique na guia Segurana.
19. Clique em Editar.
20. Clique em Adicionar.
21. Digite Consultores e clique em OK.
22. Marque a caixa de seleo Negar da permisso Controle Total.
23. Clique em Aplicar.
24. Clique em Sim para confirmar o uso de uma permisso Negar.
25. Clique em OK para fechar todas as caixas de dilogo abertas.
Tarefa 3: Definir configuraes de auditoria em uma pasta
1. Clique com o boto direito do mouse em Dados Confidenciais e clique em
Propriedades.
2. Clique na guia Segurana.
3. Clique em Avanadas.
4. Clique na guia Auditoria.
5. Clique em Editar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-164 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
6. Clique em Adicionar.
7. Digite Consultores e clique em OK.
8. Na caixa de dilogo Entrada de Auditoria, marque a caixa de seleo em
Falhou, ao lado de Controle Total.
9. Clique em OK para fechar todas as caixas de dilogo abertas.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Auditoria do acesso ao sistema de arquivos L7-165
Exerccio 2: Configurar diretiva de auditoria
Tarefa 1: Habilitar a auditoria do acesso ao sistema de arquivos usando
a Diretiva de Grupo
1. Execute o Gerenciamento de Diretiva de Grupo com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Forest:contoso.com, Domnios e
contoso.com e clique no continer Objetos de Diretiva de Grupo.
3. Clique com o boto direito do mouse no continer Objetos de Diretiva de
Grupo e clique em Novo.
4. Na caixa Nome, digite Auditoria do Servidor de Arquivos e clique em OK.
5. Clique com o boto direito do mouse no GPO File Server Auditing e clique
em Editar.
O GPME ser aberto.
6. Na rvore de console, expanda Configurao do Computador, Diretivas,
Configuraes do Windows, Configuraes de Segurana e Diretivas
Locais e clique em Diretiva de Auditoria.
7. Clique duas vezes em Auditoria de acesso a objetos.
8. Selecione Definir estas configuraes de diretivas.
9. Marque a caixa de seleo Falha.
10. Clique em OK.
11. Feche o GPME.
12. Na rvore de console do GPMC, expanda a UO Servers e clique na UO File.
13. Clique com o boto direito do mouse na UO File e clique em Vincular com
GPO Existente.
A caixa de dilogo Selecionar GPO ser exibida.
14. Selecione Auditoria do Servidor de Arquivos e clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L7-166 Mdulo 7: Gerenciamento da segurana e da configurao da empresa com as configuraes de Diretiva de Grupo
Exerccio 3: Examinar eventos de auditoria
Tarefa 1: Gerar eventos de auditoria
1. Alterne para SERVER01.
2. Faa logon em SERVER01 como Pat.Coleman com a senha Pa$$w0rd.
3. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
4. Digite gpupdate.exe /force e pressione ENTER.
5. Alterne para DESKTOP101.
6. Faa logon em DESKTOP101 como Mike.Danseglio com a senha Pa$$w0rd.
7. Clique em Iniciar. Na caixa Iniciar Pesquisa, digite \\server01\data\Dados
Confidenciais e pressione ENTER.
Ser exibida uma mensagem informando que o Windows no conseguiu
acessar \\server01\data\Dados Confidenciais.
8. Clique em Cancelar.
Tarefa 2: Examinar mensagens de log de eventos de auditoria
1. Alterne para SERVER01.
2. Execute o Visualizar Eventos com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda Logs do Windows e clique em Segurana.
4. Localize os eventos de falha de auditoria relacionados ao acesso de
Mike Danseglio pasta Dados Confidenciais.
Observao: aps concluir esse exerccio, desligue todas as mquinas virtuais e descarte
os discos de desfazer.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Auditoria do acesso ao sistema de arquivos L7-167
Perguntas de reviso do laboratrio
Pergunta: Quais so as trs principais etapas necessrias para configurar a
auditoria do sistema de arquivos e outro acesso a objeto?
Resposta: 1) Definir as configuraes de auditoria na SACL (ACL do sistema) do
arquivo/pasta. 2) Habilitar a diretiva de auditoria para acesso a objetos em um
GPO com escopo no servidor. 3) Examinar as entradas de auditoria do log de
eventos.
Pergunta: Quais sistemas devem ter a auditoria configurada? Existe algum motivo
para no realizar a auditoria de todos os sistemas da sua empresa? Quais tipos de
acesso devem passar por auditoria e por quem eles devem ser auditados? Existe
algum motivo para no realizar a auditoria de todos os acessos realizados por
todos os usurios?
Resposta: A auditoria deve refletir as diretivas de uso e segurana de TI. A
auditoria no apenas sobrecarrega (um pouco) o desempenho de um sistema, mas
tambm gera um rudo excessivo, que pode tornar a localizao dos eventos
importantes ainda mais difcil. Qual auditoria ser feita, quem realizar a
auditoria e quando ela ser feita so pontos que devem estar alinhados ao motivo
pelo qual a auditoria est sendo executada, conforme orientado pelos seus
requisitos de negcios.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao de administrao L8-169
Mdulo 8: Administrao segura
Laboratrio A: Delegao de
administrao
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-170 Mdulo 8: Administrao segura
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao de administrao L8-171
Exerccio 1: Delegar permisso para criar e dar suporte a
contas de usurio
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Abra D:\Labfiles\Lab08a.
4. Execute Lab08a_Setup.bat usando credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
5. O script de instalao do laboratrio ser executado. Quando ele estiver
concludo, pressione qualquer tecla para continuar.
6. Feche a janela do Windows Explorer, Lab08a.
Tarefa 2: Criar grupos de segurana para gerenciamento baseado em
funo
1. Em HQDC01, clique em Iniciar >Ferramentas Administrativas e execute
Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio contoso.com e a UO Groups e
clique na UO Role.
3. Clique com o boto direito do mouse na UO Role, aponte para Novo e clique
em Grupo.
4. Em Nome do grupo, digite Suporte Tcnico.
5. Verifique se Escopo do grupo global e se Tipo de grupo Segurana.
6. Clique em OK.
7. Repita as etapas de 3 a 5 para criar um grupo de segurana global chamado
Admins. de Conta de Usurio.
8. Clique com o boto direito do mouse em Suporte Tcnico e clique em
Propriedades.
9. Clique na guia Membros.
10. Clique no boto Adicionar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-172 Mdulo 8: Administrao segura
11. Digite Aaron.Painter_Admin; Elly.Nkya_Admin;
Julian.Price_Admin;Holly.Dickson_Admin e pressione ENTER.
12. Clique em OK para fechar a caixa de dilogo Propriedades do grupo.
13. Clique com o boto direito do mouse em Admins. de Conta de Usurio e
clique em Propriedades.
14. Clique na guia Membros.
15. Clique no boto Adicionar.
16. Digite Pat.Coleman Admin;April.Meyer_Admin;Max.Stevens_Admin e
pressione ENTER.
18. Clique em OK para fechar a caixa de dilogo Propriedades do grupo.
19. Na rvore de console, expanda as UOs Admins e Admin Groups e clique em
AD Delegation.
20. Clique com o boto direito do mouse em AD Delegation, aponte para Novo e
clique em Grupo.
21. Em Nome do grupo, digite AD_Contas de Usurio_Suporte.
22. Em Escopo do grupo, clique em Domnio local.
23. Verifique se Tipo de grupo Segurana.
24. Clique em OK.
25. Clique com o boto direito do mouse em AD Delegation, aponte para Novo e
clique em Grupo.
26. Em Nome do grupo, digite AD_Contas de Usurio_Controle Total.
27. Em Escopo do grupo, clique em Domnio local.
28. Verifique se Tipo de grupo Segurana.
29. Clique em OK.
30. Clique com o boto direito do mouse em AD_Contas de Usurio_Suporte e
clique em Propriedades.
31. Clique na guia Membros.
32. Clique no boto Adicionar.
33. Digite Suporte Tcnico e pressione ENTER.
34. Clique em OK para fechar a caixa de dilogo Propriedades do grupo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao de administrao L8-173
35. Clique com o boto direito do mouse em AD_Contas de Usurio_Controle
Total e clique em Propriedades.
36. Clique na guia Membros.
37. Clique no boto Adicionar.
38. Digite Admins. de Conta de Usurio e pressione ENTER.
39. Clique em OK para fechar a caixa de dilogo Propriedades do grupo.
Tarefa 3: Delegar controle de suporte ao usurio com o Assistente
para Delegao de Controle
1. Na rvore de console, clique com o boto direito do mouse na UO User
Accounts e clique em Delegar Controle.
A pgina Bem-vindo ao Assistente para Delegao de Controle ser exibida.
2. Clique em Avanar.
3. Na pgina Usurios ou Grupos, clique no boto Adicionar.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
4. Digite AD_Contas de Usurio_Suporte, e pressione ENTER.
5. Clique em Avanar.
6. Na pgina Tarefas a Delegar, marque a caixa de seleo Redefinir senhas de
usurio e forar alterao no prximo logon.
7. Clique em Avanar.
8. Na pgina Concluindo o Assistente para Delegao de Controle, clique em
Concluir.
Tarefa 4: Delegar permisso para criar e excluir usurios com a
interface do Editor de Listas de Controle de Acesso
1. Clique no menu Exibir e selecione Recursos Avanados para que a opo
Recursos Avanados seja habilitada.
2. Na rvore de console, clique com o boto direito do mouse na UO User
Accounts e clique em Propriedades.
A caixa de dilogo Propriedades de Contas de Usurio ser exibida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-174 Mdulo 8: Administrao segura
3. Clique na guia Segurana.
4. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas de Contas de
Usurio ser exibida.
5. Clique no boto Adicionar.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
6. Digite AD_Contas de Usurio_Controle Total e pressione ENTER.
A caixa de dilogo Entrada de Permisso para Contas de Usurio ser exibida.
7. Na lista Aplicar a, selecione Este objeto e todos os descendentes.
8. Na lista Permisses, marque a caixa de seleo Permitir ao lado de Criar
objetos de Usurio.
9. Na lista Permisses, marque a caixa de seleo Permitir ao lado de Excluir
Usurio objetos.
10. Clique em OK.
11. Clique no boto Adicionar.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
12. Digite AD_Contas de Usurio_Controle Total e pressione ENTER.
A caixa de dilogo Entrada de Permisso para Contas de Usurio ser exibida.
13. Na lista Aplicar a, selecione Usurio objetos descendentes.
14. Na lista Permisses, marque a caixa de seleo Permitir ao lado de Controle
total.
15. Clique em OK.
16. Clique em OK para fechar cada caixa de dilogo que ainda est aberta.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao de administrao L8-175
Tarefa 5: Validar a implementao de delegao
1. Feche Usurios e Computadores do Active Directory.
2. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Aaron.Painter_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda o domnio contoso.com e a UO User
Accounts e clique na UO Employees.
4. No painel de detalhes, clique com o boto direito do mouse em Jeff Ford e
clique em Redefinir Senha.
A caixa de dilogo Redefinir Senha ser exibida.
5. Em Nova senha, digite Pa$$w0rd.
6. Em Confirmar senha, digite Pa$$w0rd.
7. Observe que a caixa de seleo O usurio deve alterar a senha no prximo
logon est desmarcada.
8. Clique em OK.
A seguinte mensagem ser exibida: A senha de Jeff Ford foi alterada.
9. Clique em OK.
10. Clique com o boto direito do mouse em Jeff Ford e clique em Desabilitar
Conta. A seguinte mensagem ser exibida: O Windows no pode desabilitar o
objeto Jeff Ford: direitos de acesso insuficientes para executar a operao.
11. Clique em OK.
12. Na rvore de console, expanda o domnio contoso.com e a UO Admins e
clique na UO Admin Identities.
13. No painel de detalhes, clique com o boto direito do mouse em Pat Coleman
(Administrador) e clique em Redefinir Senha.
A caixa de dilogo Redefinir Senha ser exibida.
14. Em Nova senha, digite Pa$$w0rd.
15. Em Confirmar senha, digite Pa$$w0rd.
16. Observe que a caixa de seleo O usurio deve alterar a senha no prximo
logon est desmarcada.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-176 Mdulo 8: Administrao segura
17. Clique em OK.
A seguinte mensagem ser exibida: O Windows no pode concluir a alterao
da senha de Pat Coleman (Administrador): O acesso foi negado.
18. Feche Usurios e Computadores do Active Directory.
19. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta April.Meyer_Admin com a senha Pa$$w0rd.
20. Na rvore de console, expanda o domnio contoso.com e a UO User
Accounts e clique em Employees.
21. Clique com o boto direito do mouse em Funcionrios, aponte para Novo e
clique em Usurio. A caixa de dilogo Novo Objeto - Usurio ser exibida.
22. Em Nome, digite seu nome.
23. Em Sobrenome, digite seu sobrenome.
24. Em Nome de logon do usurio, digite um nome de usurio para voc
conforme o padro de nomenclatura Nome.Sobrenome.
25. Clique em Avanar.
Observe que os nomes de logon de usurio s podem ter 20 caracteres.
Se for exibida uma mensagem indicando que j existe outra conta de usurio
com o mesmo nome, altere o nome de logon do usurio adicionando _10222
ao final do nome para que ele seja exclusivo.
26. Em Senha, digite Pa$$w0rd.
27. Em Confirmar senha, digite Pa$$w0rd.
28. Clique em Avanar.
29. Clique em Concluir.
30. Feche Usurios e Computadores do Active Directory.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao de administrao L8-177
Exerccio 2: Exibir permisses delegadas
Tarefa 1: Exibir permisses nas interfaces do Editor de Listas de
Controle de Acesso
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio contoso.com e clique na UO User
Accounts.
3. Clique com o boto direito do mouse na UO User Accounts e clique em
Propriedades.
A caixa de dilogo Propriedades de Contas de Usurio ser exibida.
4. Clique na guia Segurana.
Se voc no vir a guia Segurana, feche a caixa de dilogo. Clique no menu
Exibir do console do MMC e verifique se a opo Recursos Avanados est
selecionada. Em seguida, abra as propriedades do objeto novamente.
5. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas de Contas de
Usurio ser exibida.
6. Clique no cabealho de coluna Nome para que a coluna Nome seja
classificada em ordem alfabtica.
Pergunta: Quantas entradas de permisso o Assistente para Delegao de Controle
criou para o grupo AD_Contas de Usurio_Suporte? fcil enumerar quais
permisses foram atribudas na lista Entradas de Permisso? Liste as permisses
atribudas a AD_Contas de Usurio_Suporte.
Resposta: Duas entradas de permisso aparecem na lista. No fcil dizer
exatamente que permisses foram atribudas na lista: uma entrada informa
"Especial" e a outra no contm nada na coluna Permisso. Clicar em Editar na
permisso Especial mostra que se trata de Redefinir Senha. Clicar em Editar na
outra permisso mostra que se trata de Ler pwdLastSet e Gravar pwdLastSet.
7. Clique em Cancelar para fechar todas as caixas de dilogo abertas.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-178 Mdulo 8: Administrao segura
Tarefa 2: Relatar permisses usando o DSACLs
1. Clique em Iniciar e em Prompt de Comando.
2. Digite o comando dsacls "ou=Contas de Usurio,dc=contoso,dc=com" e
pressione ENTER.
Pergunta: Que permisses so relatadas para AD_Contas de Usurio_Suporte pelo
comando DSACLs?
Resposta: As DSACLs reportam as seguintes permisses para AD_Contas de
Usurio_Suporte:
ACESSO ESPECIAL para pwdLastSet: PROPRIEDADE DE GRAVAO e
PROPRIEDADE DE LEITURA
Redefinir Senha
Tarefa 3: Avaliar permisses efetivas
1. Na rvore de console de Usurios e Computadores do Active Directory,
expanda o domnio contoso.com e a UO User Accounts.
2. Clique com o boto direito do mouse na UO User Accounts e clique em
Propriedades.
A caixa de dilogo Propriedades de Contas de Usurio ser exibida.
3. Clique na guia Segurana.
4. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas de Contas de
Usurio ser exibida.
5. Clique na guia Permisses Efetivas.
6. Clique no boto Selecionar.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
7. Digite April.Meyer_Admin e pressione ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao de administrao L8-179
8. Localize as permisses Criar objetos de Usurio e Excluir Usurio objetos,
aproximadamente na metade da lista Permisses efetivas.
Pergunta: voc v a permisso Redefinir Senha nesta lista?
Resposta: No. Uma pergunta da Reviso do laboratrio, ao final deste laboratrio,
explicar por que a permisso no exibida.
9. Clique em Cancelar para fechar todas as caixas de dilogo abertas.
10. Na rvore de console, expanda o domnio contoso.com e a UO User
Accounts e clique na UO Employees.
11. No painel de detalhes, clique com o boto direito do mouse em Aaron Lee e
clique em Propriedades.
A caixa de dilogo Propriedades de Aaron Lee ser exibida.
12. Clique na guia Segurana.
13. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas de Aaron Lee ser
exibida.
14. Clique na guia Permisses Efetivas.
15. Clique no boto Selecionar
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
16. Digite Aaron.Painter_Admin e pressione ENTER.
17. Localize a permisso Redefinir Senha na lista Permisses Efetivas.
18. Clique em Cancelar para fechar todas as caixas de dilogo abertas.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-180 Mdulo 8: Administrao segura
Exerccio 3: Remover e redefinir permisses
Tarefa 1: Remover as permisses atribudas a AD_Contas de
Usurio_Suporte
1. Na rvore de console, expanda o domnio contoso.com e clique na UO User
Accounts.
2. Clique com o boto direito do mouse na UO User Accounts e clique em
Propriedades.
A caixa de dilogo Propriedades de Contas de Usurio ser exibida.
3. Clique na guia Segurana.
4. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas de Contas de
Usurio ser exibida.
5. Clique no cabealho de coluna Nome para que a coluna Nome seja
classificada em ordem alfabtica.
6. Selecione a primeira permisso atribuda a AD_Contas de Usurio_Suporte e
clique em Remover.
7. Selecione a permisso restante atribuda a AD_Contas de Usurio_Suporte e
clique em Remover.
8. Clique em OK para fechar as caixas de dilogo que ainda esto abertas.
Tarefa 2: Restaurar as permisses padro da UO User Accounts
1. Na rvore de console, expanda o domnio contoso.com e clique na UO User
Accounts.
2. Clique com o boto direito do mouse na UO User Accounts e clique em
Propriedades.
A caixa de dilogo Propriedades de Contas de Usurio ser exibida.
3. Clique na guia Segurana.
4. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas de Contas de
Usurio ser exibida.
5. Clique em Restaurar padres e em Aplicar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Delegao de administrao L8-181
Observao: no desligue a mquina virtual quando terminar de fazer este laboratrio
porque as configuraes definidas aqui sero usadas no prximo laboratrio.
Pergunta: O que acontece quando voc clica em Restaurar padres? Que
permisses so mantidas?
Resposta: Todas as permisses explcitas personalizadas so removidas. O que
permanece so as permisses padro explicitamente atribudas a qualquer objeto
de UO novo, conforme definido pelo Esquema do Active Directory. Alm disso, as
permisses herdadas de objetos pai so aplicadas.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-182 Mdulo 8: Administrao segura
Laboratrio B: Auditoria Alteraes
no Active Directory
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Auditoria Alteraes no Active Directory L8-183
Se a caixa de dilogo UAC no oferecer a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-184 Mdulo 8: Administrao segura
Exerccio 1: Auditar alteraes feitas no Active Directory
usando a diretiva de auditoria padro
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devem estar iniciadas e disponveis aps a concluso do
Laboratrio A. Entretanto, caso no estejam, voc deve concluir as etapas abaixo e
depois percorrer os Exerccios 1 a 3 no Laboratrio A antes de continuar.
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
Tarefa 2: Confirmar que o grupo Administradores de Domnio est
configurado para auditar alteraes feitas em sua associao
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio contoso.com e clique no continer
Users.
3. Clique com o boto direito do mouse no grupo Admins. do Domnio e clique
em Propriedades.
A caixa de dilogo Propriedades de Admins. do Domnio ser exibida.
4. Clique na guia Segurana.
Se voc no vir a guia Segurana, feche a caixa de dilogo. Clique no menu
Exibir do console do MMC e verifique se a opo Recursos Avanados est
selecionada. Em seguida, abra as propriedades do objeto novamente.
5. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas de Admins. do
Domnio ser exibida.
6. Clique na guia Auditoria.
7. Selecione a primeira entrada de auditoria, cuja coluna Acesso Especial e
clique em Editar.
A caixa de dilogo Entrada de Auditoria para Admins. do Domnio ser
exibida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Auditoria Alteraes no Active Directory L8-185
8. Localize a entrada que especifica a auditoria de tentativas bem-sucedidas de
modificar propriedades do grupo, como associao.
Pergunta: Qual a Entrada de Auditoria que atinge este objetivo?
Resposta: Tentativas bem-sucedidas de Gravar todas as propriedades pelo grupo
Todos.
9. Clique em Cancelar para cada caixa de dilogo aberta.
Tarefa 3: Fazer uma alterao na associao do Administradores de
Domnio
1. Clique com o boto direito do mouse no grupo Admins. do Domnio e clique
em Propriedades.
A caixa de dilogo Propriedades de Admins. do Domnio ser exibida.
2. Clique na guia Membros.
3. Clique em Adicionar.
4. Digite Stuart.Munson, e pressione ENTER.
5. Clique em Aplicar para aplicar a alterao.
6. Selecione Stuart Munson.
7. Clique em Remover.
Uma mensagem pedindo para voc confirmar a remoo ser exibida.
8. Clique em Sim.
9. Clique em OK para fechar a caixa de dilogo Propriedades de Admins. do
Domnio.
10. Tome nota do horrio em que voc fez as alteraes. Isso facilitar localizar as
entradas de auditoria nos logs de eventos.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-186 Mdulo 8: Administrao segura
Tarefa 4: Examinar os eventos que foram gerados
1. Execute Visualizador de Eventos com credenciais administrativas. Use a
conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Logs do Windows e clique em Segurana.
3. Role a lista at localizar os eventos que ocorreram perto do horrio em que
voc fez as alteraes em Admins. do Domnio. Voc dever ver os eventos
que no so relacionados a logon, logoff ou Kerberos (autenticao).
Pergunta: Qual a ID de Evento do evento registrado em log quando voc fez as
alteraes? Qual a Categoria da Tarefa?
Resposta: 4662. Acesso ao Servio de Diretrio.
Pergunta: Examine as informaes fornecidas na guia Geral. Voc consegue
identificar os itens a seguir na entrada do log de eventos?
Quem fez a alterao?
Quando a alterao foi feita?
Que objeto foi alterado?
Que tipo de acesso foi realizado?
Que atributo foi alterado? Qual a identificao do atributo alterado?
Que alterao foi feita nesse atributo?
Resposta: Voc poder identificar que um usurio (Pat.Coleman Admin) acessou
um objeto (Admins. do Domnio) e usou um acesso Propriedade de Gravao. O
horrio da alterao exibido. A propriedade em si exibida como um GUID
(identificador global exclusivo) no possvel identificar prontamente que a
propriedade Membros foi alterada. O evento tambm no detalha a alterao exata
que foi feita na propriedade.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Auditoria Alteraes no Active Directory L8-187
Exerccio 2: Auditar alteraes feitas no Active Directory
usando a auditoria Alteraes no Servio de Diretrio
Tarefa 1: Habilitar a auditoria Alteraes nos Servios de Diretrio
1. Execute Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. Digite o comando a seguir e pressione ENTER:
auditpol /set /subcategory:"directory service changes"
/success:enable
Tarefa 2: Fazer uma alterao na associao do Administradores de
Domnio
1. Alterne para Usurios e Computadores do Active Directory.
2. Na rvore de console, expanda o domnio contoso.com e clique no continer
Users.
3. Clique com o boto direito do mouse no grupo Admins. do Domnio e clique
em Propriedades.
A caixa de dilogo Propriedades de Admins. do Domnio ser exibida.
4. Clique na guia Membros.
5. Clique em Adicionar.
6. Digite Stuart.Munson, e pressione ENTER.
7. Clique em Aplicar para aplicar a alterao.
8. Selecione Stuart Munson.
9. Clique em Remover.
Uma mensagem pedindo para voc confirmar a remoo ser exibida.
10. Clique em Sim.
11. Clique em OK para fechar a caixa de dilogo Propriedades de Admins. do
Domnio.
12. Tome nota do horrio em que voc fez as alteraes. Isso facilitar localizar as
entradas de auditoria nos logs de eventos.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L8-188 Mdulo 8: Administrao segura
Tarefa 3: Examinar os eventos que foram gerados
1. Alterne para o Visualizador de Eventos.
2. Na rvore de console, expanda Logs do Windows e clique em Segurana.
3. Clique com o boto direito do mouse em Segurana e clique em Atualizar.
4. Role a lista at localizar os eventos que ocorreram perto do horrio em que
voc fez as alteraes em Admins. do Domnio. Voc dever ver eventos
diferentes daqueles vistos na tarefa anterior.
Observao: aps concluir esse exerccio, desligue todas as mquinas virtuais e descarte
os discos de desfazer.
Pergunta: Quais so as IDs de Evento do evento registrado no log quando voc fez
as alteraes? Qual a Categoria da Tarefa?
Resposta: Adicionar um membro o evento 4728. Remover um membro o
evento 4729. Ambos os eventos esto na Categoria de Tarefa Gerenciamento de
Grupo de Segurana.
Pergunta: Examine as informaes fornecidas na guia Geral. Voc consegue
identificar os itens a seguir na entrada do log de eventos?
Que tipo de alterao foi feita?
Quem fez a alterao?
Qual membro foi adicionado ou removido?
Que grupo foi afetado?
Quando a alterao foi feita?
Resposta: possvel identificar que um membro foi adicionado ou removido, que
Pat.Coleman Admin fez a alterao, que Stuart Munson o membro que foi
adicionado ou removido e que a alterao foi feita no grupo Admins. do Domnio.
Os metadados do evento tambm mostram quando ocorreu a alterao.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Configurao de diretivas de senha e de bloqueio de conta L9-189
Mdulo 9: Aperfeioamento da segurana da
autenticao em um domnio do AD DS
(Servios de Domnio Active Directory)
Laboratrio A: Configurao de
diretivas de senha e de bloqueio
de conta
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-190 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Configurao de diretivas de senha e de bloqueio de conta L9-191
Exerccio 1: Configurar diretivas de senha e bloqueio de
domnio
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
Tarefa 2: Configurar as diretivas de conta de domnio
1. Execute Gerenciamento de Diretiva de Grupo com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Forest:contoso.com, Domnios e
contoso.com.
3. Clique com o boto direito do mouse em Default Domain Policy abaixo do
domnio contoso.com e clique em Editar.
Talvez voc receba um lembrete de que est alterando as configuraes de um
GPO. Nesse caso, clique em OK.
O GPME ser aberto.
4. Na rvore de console, expanda Configurao do Computador, Diretivas,
Configuraes do Windows, Configuraes de Segurana e Diretivas de
Conta. Em seguida, clique em Diretiva de Senha.
5. Clique duas vezes nas configuraes de diretiva a seguir no painel de detalhes
do console e defina as configuraes como indicado:
Tempo de vida mximo da senha: 90 dias
Comprimento mnimo da senha: 10 caracteres
6 Na rvore de console, clique em Diretiva de Bloqueio de Conta.
7. Clique duas vezes na configurao de diretiva Limite de bloqueio de conta e
configure-a para5 tentativas invlidas de logon. Em seguida, clique em OK.
A janela Alteraes de Valor Sugeridas ser exibida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-192 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
8. Clique em OK.
Os valores para Limite de bloqueio de conta e Zerar contador de bloqueios de
conta aps sero automaticamente definidos como 30 minutos.
9. Feche a janela Editor de Gerenciamento da Diretiva de Grupo.
10. Feche a janela Gerenciamento de Diretiva de Grupo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Configurao de diretivas de senha e de bloqueio de conta L9-193
Exerccio 2: Configurar diretiva de senha refinada
Tarefa 1: Criar um PSO
1. Clique em Iniciar, aponte para Ferramentas Administrativas, clique com o
boto direito do mouse em ADSI Editar e clique em Executar como
administrador.
2. Clique em Usar outra conta.
3. Na caixa Nome de usurio, digite Pat.Coleman Admin.
4. Na caixa Senha, digite Pa$$w0rd e pressione ENTER. O ADSI Editar ser
aberto.
5. Clique com o boto direito do mouse em ADSI Editar e clique em Conectar a.
6. Aceite todos os padres. Clique em OK.
7. Na rvore de console, clique em Contexto de Nomenclatura Padro.
8. Na rvore de console, expanda Contexto de Nomenclatura Padro e clique
em DC=contoso,DC=com.
9. Na rvore de console, expanda DC=contoso,DC=com e clique em
CN=System.
10. Na rvore de console, expanda CN=System e clique em CN=Password
Settings Container.
Todos os PSOs so criados e armazenados no PSC (Password Settings
Container).
11. Clique com o boto direito do mouse em PSC, aponte para Novo e clique em
Objeto.
A caixa de dilogo Criar Objeto ser exibida. Ela solicita que voc selecione o
tipo de objeto a ser criado. H somente uma opo: msDS-PasswordSettings, o
nome tcnico da classe de objeto conhecida como PSO.
12. Clique em Avanar.
Em seguida, ser solicitado que voc fornea o valor para cada atributo de um
PSO. Os atributos so semelhantes aos encontrados nas diretivas de conta de
domnio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-194 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
13. Configure cada atributo conforme indicado abaixo. Clique em Avanar aps
cada atributo.
cn: PSO Meu admin do domnio. Este o nome comum do PSO.
msDS-PasswordSettingsPrecedence: 1. Esse PSO tem a maior precedncia
possvel.
msDS-PasswordReversibleEncryptionEnabled: False. A senha no
armazenada usando criptografia reversvel.
msDS-PasswordHistoryLength: 30. O usurio no pode reutilizar nenhuma
das ltimas 30 senhas.
msDS-PasswordComplexityEnabled: True. As regras de complexidade de
senha so impostas.
msDS-MinimumPasswordLength: 15. As senhas devem ter 15 caracteres, no
mnimo.
msDS-MinimumPasswordAge: 1:00:00:00. Um usurio no pode alterar sua
senha com menos de um dia da alterao anterior. O formato
d:hh:mm:ss (dias, horas, minutos, segundos).
msDS-MaximumPasswordAge: 45:00:00:00. A senha deve ser alterada a
cada 45 dias.
msDS-LockoutThreshold: 5. Cinco logons invlidos no intervalo de tempo
especificado por XXX (o prximo atributo) resultaro no bloqueio da
conta.
msDS-LockoutObservationWindow: 0:01:00:00. Cinco logons invlidos
(especificados pelo atributo anterior) em uma hora resultaro no bloqueio
da conta.
msDS-LockoutDuration: 1:00:00:00. Uma conta, se bloqueada,
permanecer assim por um dia ou at que seja desbloqueada
manualmente. Um valor igual a zero resultar na permanncia do
bloqueio da conta at que um administrador a desbloqueie.
14. Clique em Concluir.
15. Feche o ADSI Editar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Configurao de diretivas de senha e de bloqueio de conta L9-195
Tarefa 2: Vincular um PSO a um grupo
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o continer System.
Se o continer System no for exibido, clique no menu Exibir do console MMC
e verifique se a opo Recursos Avanados est selecionada.
3. Na rvore de console, clique em Password Settings Container.
4. Clique com o boto direito do mouse em PSO Meu admin do domnio e
clique em Propriedades e na guia Editor de Atributos.
5. Na lista Atributos, selecione msDS-PSOAppliesTo e clique em Editar.
A caixa de dilogo Nome Diferenciado com Valores Mltiplos com Editor de
Entidades de Segurana ser exibida.
6. Clique em Adicionar Conta do Windows.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
7. Digite Admins. do domnio e pressione ENTER.
8. Clique em OK duas vezes para fechar as caixas de dilogo abertas.
Tarefa 3: Identificar o PSO Resultante para um usurio
1. Na rvore de console, expanda o domnio contoso.com e a UO Admins e
clique na UO Admin Identities.
2. Clique com o boto direito do mouse em Pat Coleman (Administrador) e
clique em Propriedades.
3. Clique na guia Editor de Atributos.
4. Clique no boto Filtro e depois na opo Criado, para que ele seja
selecionado.
O atributo que voc localizar na prxima etapa um atributo construdo, o
que significa que o PSO resultante no um atributo embutido em cdigo de
um usurio, mas sim que calculado examinando-se os PSOs vinculados a um
usurio em tempo real.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-196 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
Pergunta: Qual o PSO resultante para Pat Coleman (Administrador)?
Resposta: Abra o valor do atributo msDS-ResultantPSO. O PSO resultante PSO
Meu admin do domnio, que exibido por meio de seu respectivo nome
diferenciado (DN), CN=PSO My Domain Admins,CN=Password Settings
Container,CN=System,DC=contoso,DC=com.
Tarefa 4: Excluir um PSO
1. Feche as caixas de dilogo abertas em Usurios e Computadores do Active
Directory.
2. Na rvore de console, expanda o domnio contoso.com e o continer System
e clique em Password Settings Container.
3. Clique com o boto direito do mouse em PSO Meu admin do domnio e
clique em Excluir.
Um prompt de confirmao ser exibido.
4. Clique em Sim.
Observao: no desligue a mquina virtual ao concluir este laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
Perguntas de reviso do laboratrio
Pergunta: Onde voc deve definir as diretivas padro de senha e de bloqueio de
conta para contas de usurio no domnio?
Resposta: Configure as diretivas de senha e de bloqueio de conta da linha de base
no GPO Default Domain Policy.
Pergunta: Quais so as prticas recomendadas para gerenciar PSOs em um
domnio?
Resposta: Cada PSO deve definir totalmente as diretivas de senha e de bloqueio de
conta apropriadas, pois os PSOs no podem ser "mesclados". Vincule os PSOs a
grupos globais, e no a contas de usurio individuais. Verifique se cada PSO tem
um valor de precedncia exclusivo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Configurao de diretivas de senha e de bloqueio de conta L9-197
Pergunta: Como voc pode definir uma diretiva de senha exclusiva para todas as
contas de servio na UO Service Accounts?
Resposta: Os PSOs no podem ser vinculados a uma UO. Voc deve primeiro criar
um grupo global que contenha as contas existentes na UO Service Accounts e
depois criar e vincular um PSO a esse grupo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-198 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
Laboratrio B: Auditoria de
autenticao
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Auditoria de autenticao L9-199
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-200 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
Exerccio 1: Fazer a auditoria de autenticao
Tarefa 1: Preparar-se para o laboratrio
A mquina virtual necessria para este laboratrio j deve estar iniciada e
disponvel aps a concluso do Laboratrio A. Caso no esteja, siga as etapas
abaixo e execute os exerccios 1 e 2 no Laboratrio A.
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Abra D:\Labfiles\Lab09b.
4. Execute Lab09b_Setup.bat com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
5. O script de instalao do laboratrio ser executado. Quando ele estiver
concludo, pressione qualquer tecla para continuar.
6. Feche a janela do Windows Explorer, Lab09b.
Tarefa 2: Configurar a auditoria dos eventos de logon de conta
1. Execute Gerenciamento de Diretiva de Grupo com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Forest:contoso.com, Domnios, contoso.com
e a UO Domain Controllers.
3. Clique com o boto direito do mouse em Default Domain Controllers Policy
e clique em Editar.
O GPME ser exibido.
4. Na rvore de console, expanda Configurao do Computador, Diretivas,
Configuraes do Windows, Configuraes de Segurana e Diretivas
Locais e clique em Diretiva de Auditoria.
5. Clique duas vezes em Eventos de logon de conta de auditoria.
6. Marque a caixa de seleo Definir estas configuraes de diretivas.
7. Marque as caixas de seleo xito e Falha. Clique em OK.
8. Feche o Editor de Gerenciamento de Diretiva de Grupo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Auditoria de autenticao L9-201
Tarefa 3: Configurar a auditoria dos eventos de logon
1. Na rvore de console de Gerenciamento de Diretiva de Grupo, expanda
Floresta, Domnios, contoso.com e a UO Servers e clique na UO Important
Project.
2. Clique com o boto direito do mouse na UO Important Project e clique em
Criar um GPO neste domnio e fornecer um link para ele aqui.
3. Na caixa Nome, digite Diretiva de Bloqueio de Servidor e clique em OK.
4. Na rvore de console, expanda a UO Important Project.
5. Na rvore de console, clique com o boto direito do mouse no link para o
GPO de Diretiva de Bloqueio de Servidor e clique em Editar.
O GPME ser exibido.
6. Na rvore de console, expanda Configurao do Computador, Diretivas,
Configuraes do Windows, Configuraes de Segurana e Diretivas
Locais e clique em Diretiva de Auditoria.
7. Clique duas vezes em Eventos de logon de auditoria.
8. Marque a caixa de seleo Definir estas configuraes de diretivas.
9. Marque as caixas de seleo xito e Falha. Clique em OK.
10. Feche o GPME.
11. Feche o Gerenciamento de Diretiva de Grupo.
Tarefa 4: Impor uma Diretiva de Grupo atualizada
1. Inicie 10222A-SERVER01-A.
Quando o computador for iniciado, as alteraes feitas na Diretiva de Grupo
sero aplicadas.
2. Alterne para HQDC01.
3. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
4. Digite gpupdate.exe /force.
Esse comando faz com que HQDC01 atualize suas diretivas; nesse momento,
as novas configuraes de auditoria entraro em vigor.
5. Feche a janela do Prompt de Comando.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-202 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
Tarefa 5: Gerar eventos de logon de conta
1. Alterne para SERVER01.
2. Pressione ALT+DELETE, que envia a sequncia de teclas segura
(CTRL+ALT+DELETE) para o convidado da mquina virtual.
3. Clique em Trocar Usurio e em Outro Usurio.
4. Na caixa Nome de usurio, digite Pat.Coleman.
5. Na caixa Senha, digite NotMyPassword e pressione ENTER.
A seguinte mensagem ser exibida: Nome de usurio ou senha incorretos.
6. Clique em OK.
7. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
Tarefa 6: Examinar eventos de logon de conta
1. Alterne para HQDC01.
2. Execute o Visualizador de Eventos com credenciais administrativas. Use a
conta Pat.Coleman Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda Logs do Windows e clique em Security.
4. Examine a primeira coluna para identificar eventos de falha e depois a segunda
para ver a data e a hora dos eventos. Dever aparecer apenas um evento de
falha, registrado no momento em que voc fez logon incorretamente.
Pergunta: Qual ID de evento est associada aos eventos de falha de logon de
conta? (Dica: procure os primeiros de uma srie de eventos de falha no momento
que voc fez logon incorretamente em SERVER01.)
Resposta: 4771: Falha na pr-autenticao do Kerberos.
5. Procure o evento de autenticao do Kerberos ocorrido aps o logon incorreto.
Deve ser um evento bem-sucedido gerado quando voc fez logon com xito.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Auditoria de autenticao L9-203
Pergunta: Qual ID de evento est associada ao logon de conta bem-sucedido?
(Dica: procure os primeiros de uma srie de eventos no momento que voc fez
logon com xito em SERVER01.)
Resposta: 4768: Tquete de autenticao Kerberos solicitado.
Tarefa 7: Examinar eventos de logon
1. Alterne para SERVER01.
2. Execute o Visualizador de Eventos com credenciais administrativas. Use a
conta Pat.Coleman Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda Logs do Windows e clique em Security.
4. Examine a primeira coluna para identificar eventos de falha e depois a segunda
para ver a data e a hora dos eventos. Dever aparecer apenas um evento de
falha, registrado no momento em que voc fez logon incorretamente.
Pergunta: Qual ID de evento est associada aos eventos de falha de logon? (Dica:
procure os primeiros de uma srie de eventos de falha no momento que voc fez
logon incorretamente em SERVER01.)
Resposta: 4625: Falha no logon de uma conta.
5. Procure o evento de logon ocorrido aps o logon incorreto. Deve ser um
evento bem-sucedido gerado quando voc fez logon com xito.
Pergunta: Qual ID de evento est associada ao logon bem-sucedido? (Dica:
procure os primeiros de uma srie de eventos no momento que voc fez logon com
xito em SERVER01.)
Resposta: 4624: O logon de uma conta foi efetuado com sucesso. O evento 4648
tambm foi registrado. A informao no evento indica "Tentativa de logon com uso
de credenciais explcitas". Esse evento mostra a inicializao de um logon, mas o
evento 4624 que mostra o logon que realmente obteve xito.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-204 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
Observao: no desligue as mquinas virtuais ao concluir este laboratrio, pois as
configuraes feitas aqui sero usadas nos laboratrios subsequentes neste mdulo.
Perguntas de reviso do laboratrio
Pergunta: Qual seria a desvantagem de auditar todos os logons bem-sucedidos e
malsucedidos em todas as mquinas no seu domnio?
Resposta: Tal diretiva de auditoria geraria uma quantidade enorme de entradas de
auditoria em cada mquina no domnio. Isso dificultaria muito o gerenciamento de
logs de eventos de segurana e a localizao de eventos que indiquem possveis
problemas. melhor alinhar a diretoria de auditoria a requisitos e objetivos de
auditoria bem orientados e especficos da sua organizao.
Pergunta: Foi solicitado que voc audite as tentativas de logon em desktops e
laptops na diviso de Finanas usando contas locais como Administrador. Que
tipo de diretiva de auditoria voc define e em que GPO(s)?
Resposta: Voc precisar habilitar a auditoria para eventos de logon de conta bem-
sucedidos e malsucedidos. Porm, como as contas nas quais voc est interessado
so locais (ou seja, so autenticadas pela autoridade de segurana local em cada
desktop e laptop), necessrio fazer isso em um GPO com escopo para aplicao
aos desktops e laptops da diviso de Finanas. As configuraes no precisam ter
escopo em controladores de domnio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao de controladores de domnio somente leitura L9-205
Laboratrio C: Configurao de
controladores de domnio somente
leitura
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-206 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao de controladores de domnio somente leitura L9-207
Exerccio 1: Instalar um RODC
Tarefa 1: Preparar-se para o laboratrio
A mquina virtual necessria para este laboratrio j deve estar iniciada e
disponvel aps a concluso do Laboratrio A. Caso no esteja, siga as etapas
abaixo.
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Abra D:\Labfiles\Lab09c.
4. Execute Lab09c_Setup.bat com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
5. O script de instalao do laboratrio ser executado. Quando ele estiver
concludo, pressione qualquer tecla para continuar.
6. Feche a janela do Windows Explorer, Lab09c.
Tarefa 2: Preparar uma instalao delegada de um RODC
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio contoso.com e clique na UO
Domain Controlllers.
3. Clique com o boto direito do mouse na UO Controladores de Domnio e
clique em Pr-criar conta do Controlador de Domnio Somente Leitura.
O Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
4. Clique em Avanar.
5. Na pgina Compatibilidade de Sistema Operacional, clique em Avanar.
6. Na pgina Credenciais de Rede, clique em Avanar.
7. Na pgina Especifique o Nome do Computador, digite BRANCHDC01 e
clique em Avanar.
8. Na pgina Selecione um Site, clique em Avanar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-208 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
9. Na pgina Opes Adicionais de Controlador de Domnio, clique em
Avanar.
Observe que a opo Controlador de domnio somente leitura est selecionada
e no pode ser desmarcada. Isso ocorre porque, obviamente, voc iniciou o
assistente escolhendo criar previamente uma conta de controlador de domnio
somente leitura.
10. Na pgina Instalao e Administrao de Delegao de RODC, clique no
boto Definir.
A caixa de dilogo Selecionar Usurio ou Computador ser exibida.
11. Digite Aaron.Painter_Admin e pressione ENTER.
12. Clique em Avanar.
13. Examine suas selees na pgina Resumo e clique em Avanar.
14. Na pgina Concluindo o Assistente de Instalao dos Servios de Domnio
Active Directory, clique em Concluir.
Observe que, na coluna Tipo de Controlador de Domnio, o novo servidor est
listado como Conta de DC Desocupada (Somente leitura, GC).
Tarefa 3: Executar o Assistente de Instalao dos Servios de Domnio
Active Directory em um servidor de grupo de trabalho
1. Inicie 10222A-BRANCHDC01-A.
2. Faa logon em BRANCHDC01 como Administrador com a senha Pa$$w0rd.
3. Clique em Iniciar e em Executar.
4. Digite dcpromo e pressione ENTER.
Ser exibida uma janela informando que os binrios dos Servios de Domnio
Active Directory esto sendo instalados. Quando a instalao for concluda, o
Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
5. Clique em Avanar.
6. Na pgina Compatibilidade de Sistema Operacional, clique em Avanar.
7. Na pgina Escolher uma Configurao de Implantao, clique na opo
Floresta existente, depois em Adicionar um controlador de domnio a um
domnio existente e, por ltimo, clique em Avanar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao de controladores de domnio somente leitura L9-209
8. Na pgina Credenciais de Rede, digite contoso.com.
9. Clique no boto Definir.
A caixa de dilogo Segurana do Windows ser exibida.
10. Na caixa Nome de Usurio, digite Aaron.Painter_Admin.
11. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
12. Clique em Avanar.
13. Na pgina Selecione um Domnio, escolha contoso.com e clique em Avanar.
Ser exibida uma mensagem para inform-lo de que suas credenciais no
pertencem ao grupo Administradores do Domnio ou Administradores de
Empresa. Como voc incluiu no pr-teste a administrao do RODC e a
delegou, poder continuar com as credenciais delegadas.
14. Clique em Sim.
Ser exibida uma mensagem para inform-lo de que a conta para
BRANCHDC01 foi includa no pr-teste no Active Directory como um RODC.
15. Clique em OK.
Ser exibida uma mensagem de aviso indicando que o computador tem um
endereo IP atribudo dinamicamente. BRANCHDC01 tem um endereo IPv6
atribudo dinamicamente, mas o servidor tem um endereo IPv4 fixo. Os
endereos IPv6 no esto sendo usados nesse curso, por isso voc pode
ignorar essa mensagem.
16. Clique em Sim, o computador usar um endereo IP atribudo
dinamicamente (no recomendvel).
17. Na pgina Local de Banco de Dados, Arquivos de Log e SYSVOL, clique em
Avanar.
18. Na pgina Senha do Administrador do Modo de Restaurao dos Servios
de Diretrio, digite Pa$$w0rd12345 nas caixas Senha e Confirmar senha e
clique em Avanar.
Em um ambiente de produo, voc deve atribuir uma senha complexa e
segura conta do Modo de Restaurao dos Servios de Diretrio.
Alm disso, observe que alteramos a diretiva de senha de domnio no
Laboratrio A e que a senha do modo de restaurao de servios de diretrio
(Pa$$w0rd) no mais suficientemente longa. Por isso, precisamos
acrescentar caracteres adicionais para atender ao requisito de comprimento
mnimo necessrio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-210 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
19. Na pgina Resumo, clique em Avanar.
20. Na janela de progresso, marque a caixa de seleo Reinicializar ao Concluir.
Os Servios de Domnio Active Directory sero instalados no BRANCHDC01 e
o servidor ser reinicializado.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao de controladores de domnio somente leitura L9-211
Exerccio 2: Configurar a Diretiva de Replicao de Senha
Tarefa 1: Configurar a diretiva de replicao de senha em todo o
domnio
1. Alterne para HQDC01.
2. Na rvore de console de Usurios e Computadores do Active Directory,
clique no continer Users.
3. Clique duas vezes em Grupo de Replicao de Senha RODC Permitido.
4. Clique na guia Membros.
5. Examine a associao padro do Grupo de Replicao de Senha RODC
Permitido.
Pergunta: Quem so os membros padro do Grupo de Replicao de Senha RODC
Permitido?
Resposta: No h nenhum membro por padro.
6. Clique em OK.
7. Clique duas vezes em Grupo de Replicao de Senha RODC Negado.
8. Clique na guia Membros.
Pergunta: Quem so os membros padro do Grupo de Replicao de Senha RODC
Negado?
Resposta: Grupos de segurana sigilosos, como Editores de Certificados,
Administradores de Domnio, Controladores de Domnio, Administradores de
Empresa, Proprietrios Criadores de Diretiva de Grupo, krbtgt, Controladores de
Domnio Somente Leitura e Administradores de Esquemas.
9. Clique no boto Adicionar.
A caixa de dilogo Selecionar Usurios, Contatos, Computadores ou Grupos
ser exibida.
10. Digite DNSAdmins e pressione ENTER.
11. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-212 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
12. Na rvore de console, clique na UO Domain Controllers.
13. Clique com o boto direito do mouse em BRANCHDC01 e clique em
Propriedades.
14. Clique na guia Diretiva de Replicao de Senha.
Pergunta: Qual a diretiva de replicao de senha para o Grupo de Replicao de
Senha RODC Permitido? E para o Grupo de Replicao de Senha RODC Negado?
Resposta: Permitir e Negar, respectivamente.
15. Clique em OK para fechar a caixa de dilogo.
Tarefa 2: Criar um grupo para gerenciar a replicao de senha no
RODC da filial
1. Na rvore de console de Usurios e Computadores do Active Directory,
expanda Groups, e clique na UO Role.
2. Clique com o boto direito do mouse em Funo, aponte para Novo e clique
em Grupo.
3. No campo Nome do grupo:, digite Usurios da Filial e clique em OK.
4. Clique com o boto direito do mouse em Usurios da Filial e clique em
Propriedades.
5. Clique na guia Membros e depois no boto Adicionar.
6. Digite Anav.Silverman; Chris.Gallagher; Christa.Geller; Daniel.Roth e
clique em OK.
7. Clique em OK para fechar a caixa de dilogo Proprietrios de Usurios da
Filial.
Tarefa 3: Configurar a diretiva de replicao de senha para o RODC da
filial
1. Na rvore de console, clique na UO Domain Controllers.
2. Clique com o boto direito do mouse em BRANCHDC01 e clique em
Propriedades.
3. Clique na guia Diretiva de Replicao de Senha.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao de controladores de domnio somente leitura L9-213
4. Clique no boto Adicionar.
5. Clique em Permitir a replicao de senhas da conta para este RODC e em
OK.
A caixa de dilogo Selecionar Usurios, Computadores ou Grupos ser
exibida.
6. Digite Usurios da Filial e pressione ENTER.
7. Clique em OK para fechar a caixa de dilogo Propriedades de
BRANCHDC01.
Tarefa 4: Avaliar a diretiva de replicao de senha resultante
1. Clique com o boto direito do mouse em BRANCHDC01 e clique em
Propriedades.
2. Clique na guia Diretiva de Replicao de Senha.
3. Clique no boto Avanado.
A caixa de dilogo Diretiva de Replicao de Senha Avanada para
BRANCHDC01 ser exibida.
4. Clique na guia Diretiva Resultante e no boto Adicionar.
A caixa de dilogo Selecionar Usurios ou Computadores ser exibida.
5. Digite Chris.Gallagher e pressione ENTER.
Pergunta: Qual a diretiva resultante para Chris.Gallagher?
Resposta: Permitir.
6. Clique em Fechar.
7. Clique em OK para fechar a caixa de dilogo Propriedades de
BRANCHDC01.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-214 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
Exerccio 3: Gerenciar o cache de credenciais
Tarefa 1: Monitorar o cache de credenciais
1. Alterne para BRANCHDC01.
2. Faa logon em BRANCHDC01 como Chris.Gallagher com a senha
Pa$$w0rd.
3. Clique em Iniciar, aponte para a seta ao lado do boto Bloquear e clique em
Fazer Logoff.
4. Faa logon em BRANCHDC01 como Mike.Danseglio com a senha Pa$$w0rd.
5. Clique em Iniciar, aponte para a seta ao lado do boto Bloquear e clique em
Fazer Logoff.
6. Alterne para HQDC01.
7. Na rvore de console de Usurios e Computadores do Active Directory,
clique na UO Domain Controllers.
8. No painel de detalhes, clique com o boto direito do mouse em
BRANCHDC01 e clique em Propriedades.
9. Clique na guia Diretiva de Replicao de Senha.
10. Clique no boto Avanado.
A caixa de dilogo Diretiva de Replicao de Senha Avanada para
BRANCHDC01 ser exibida.
A guia Uso da Diretiva exibir Contas cujas senhas esto armazenadas neste
Controlador de Domnio Somente Leitura.
Pergunta: Que senhas de usurios esto armazenadas em cache no momento em
BRANCHDC01?
Resposta: O nico usurio cuja senha est armazenada em BRANCHDC01 Chris
Gallagher. H tambm as senhas para a conta de computador de BRANCHDC01
em si e a conta de servio Kerberos, krbtgt_xyz.
11. Na lista suspensa, selecione Contas que foram autenticadas para este
Controlador de Domnio Somente Leitura.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao de controladores de domnio somente leitura L9-215
Pergunta: Quais usurios foram autenticados por BRANCHDC01?
Resposta: Mike Danseglio e Chris Gallagher.
12. Clique em Fechar e em OK.
Tarefa 2: Pr-popular o cache de credenciais
1. Na rvore de console de Usurios e Computadores do Active Directory,
clique na UO Domain Controllers.
2. No painel de detalhes, clique com o boto direito do mouse em
BRANCHDC01 e clique em Propriedades.
3. Clique na guia Diretiva de Replicao de Senha.
4. Clique no boto Avanado.
A caixa de dilogo Diretiva de Replicao de Senha Avanada para
BRANCHDC01 ser exibida.
5. Clique no boto Pr-popular Senhas.
A caixa de dilogo Selecionar Usurios ou Computadores ser exibida.
6. Digite Christa Geller e clique em OK.
7. Clique em Sim para confirmar que deseja enviar as credenciais para o RODC.
A seguinte mensagem ser exibida: As senhas para todas as contas foram pr-
populadas com xito.
8. Na guia Uso da Diretiva, selecione Contas cujas senhas esto armazenadas
neste Controlador de Domnio Somente Leitura.
9. Localize a entrada para Christa Geller. Agora as credenciais de Christa esto
armazenadas no RODC.
10. Clique em Fechar.
11. Clique em OK.
Observao: aps concluir esse exerccio, desligue todas as mquinas virtuais e descarte
os discos de desfazer.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L9-216 Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory)
Perguntas de reviso do laboratrio
Pergunta: Por que voc deve garantir que a PRP do RODC de uma filial tenha, em
sua Lista de permisses, as contas dos computadores na filial, bem como dos
usurios?
Resposta: Os computadores devem fazer autenticao no domnio, assim como os
usurios, por isso a lgica a mesma: convm melhorar o desempenho da
autenticao pela WAN e garantir que essa autenticao possa continuar mesmo
que o link WAN esteja indisponvel.
Pergunta: Qual seria a forma mais gerencivel de garantir que os computadores
em uma filial estejam na Lista de permisses da PRP do RODC?
Resposta: Crie um grupo para computadores (por exemplo, Computadores da
Filial).
Pergunta: Quais so os prs e contras de pr-popular as credenciais de todos os
usurios e computadores de uma filial no RODC dessa filial?
Resposta: No h uma resposta bem definida para esta pergunta. Use-a para rever
a funo estratgica de um RODC. Pr-populando as credenciais de usurios (e
computadores) no cache do RODC da filial, voc garante que o desempenho da
autenticao seja maximizado (no primeiro logon; depois disso, a credencial seria
armazenada em cache de qualquer forma porque os usurios esto na Lista de
permisses) e que, se o link WAN estiver indisponvel no primeiro logon, os
usurios consigam se autenticar. A desvantagem que, caso haja uma violao da
segurana fsica no RODC, essas credenciais sero expostas mesmo que os
usurios ainda no tenham feito logon na filial.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao do servio DNS L10-217
Mdulo 10: Configurao do DNS (Sistema de
Nomes de Domnio)
Laboratrio A: Instalao do
servio DNS
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L10-218 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao do servio DNS L10-219
Exerccio 1: Adicionar a funo de servidor DNS
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-B.
2. Espere at que a inicializao seja concluda.
3. Inicie 10222A-HQDC02-B.
4. Faa logon em HQDC02-B como Pat.Coleman com a senha Pa$$w0rd.
Tarefa 2: Adicionar a funo de servidor DNS
1. Em HQDC02-B, clique no cone Gerenciador de Servidores ao lado do boto
Iniciar.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
2. Em Nome de usurio, digite Pat.Coleman Admin.
3. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O Gerenciador de Servidores ser aberto.
4. No painel de detalhes, em Resumo de Funes, clique em Adicionar Funes.
O Assistente para Adicionar Funes ser exibido.
5. Na pgina Antes de Comear, clique em Avanar.
6. Na lista Funes, clique em Servidor DNS e em Avanar.
7. Leia as informaes na pgina Servidor DNS e clique em Avanar.
8. Na pgina Confirmar Selees de Instalao, verifique se a funo Servidor
DNS ser instalada e clique em Instalar.
9. Na pgina Resultados da Instalao, clique em Fechar.
10. Feche o Gerenciador de Servidores.
11. Reinicie HQDC02-B.
Isso no necessrio em um ambiente de produo, mas acelera o processo de
reincio dos servios e de replicao dos registros DNS no HQDC02-B para os
objetivos deste exerccio.
12. Faa logon em HQDC02-B como Pat.Coleman com a senha Pa$$w0rd.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L10-220 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
Tarefa 3: Alterar a configurao do servidor DNS do cliente DNS
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. Digite netsh interface ipv4 set dnsserver "Conexo Local" static 10.0.0.12
primary e pressione ENTER.
3. Digite netsh interface ipv4 add dnsserver "Conexo Local" 10.0.0.11 e
pressione ENTER.
Tarefa 4: Examinar a zona de pesquisa direta do domnio
1. Execute o Gerenciador DNS com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
O Gerenciador DNS est listado como DNS na pasta Ferramentas
Administrativas.
O Gerenciador DNS ser aberto.
2. Na rvore de console, expanda HQDC02-B e Zonas de pesquisa direta e
clique em contoso.com.
3. Examine os registros SOA, NS e A na zona.
Tarefa 5: Configurar encaminhadores para a resoluo de nomes na
Internet
1. Na rvore de console, clique com o boto direito do mouse em HQDC02-B e
clique em Propriedades.
A caixa de dilogo Propriedades de HQDC02-B ser exibida.
2. Clique na guia Encaminhadores.
3. Clique no boto Editar.
A caixa de dilogo Editar Encaminhadores ser exibida.
4. Digite 192.168.200.12 e pressione ENTER.
5. Digite 192.168.200.13 e pressione ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao do servio DNS L10-221
6. Clique em OK.
Como esses servidores DNS no existem realmente, o FQDN do Servidor
exibir <Tentando resolver> ou <No foi possvel resolver>. Em um
ambiente de produo, voc configuraria encaminhadores para servidores
DNS upstream na Internet, normalmente os fornecidos pelo seu ISP (provedor
de servios de Internet).
7. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L10-222 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
Exerccio 2: Configurar zonas de pesquisa direta e registros
de recurso
Tarefa 1: Criar uma zona de pesquisa direta
1. Na rvore de console, clique com o boto direito do mouse em Zonas de
pesquisa direta e clique em Nova Zona.
O Assistente de Nova Zona ser exibido.
2. Clique em Avanar.
3. Na pgina Tipo de Zona, clique em Zona primria, verifique se a opo
Armazenar a zona no Active Directory est selecionada e clique em Avanar.
4. Na pgina Escopo de Replicao de Zona do Active Directory, clique em
Para todos os controladores neste domnio (para compatibilidade com o
Windows 2000): contoso.com. Em seguida, clique em Avanar.
5. Na pgina Nome da Zona, digite development.contoso.com e clique em
Avanar.
6. Na pgina Atualizao Dinmica, clique em No permitir atualizaes
dinmicas e em Avanar.
7. Na pgina Concluindo o Assistente de Nova Zona, clique em Concluir.
Tarefa 2: Criar registros CNAME e de host
1. Na rvore de console, expanda HQDC02-B e Zonas de pesquisa direta e
clique em development.contoso.com.
2. Clique com o boto direito do mouse em development.contoso.com e clique
em Novo Host (A ou AAAA).
A caixa de dilogo Novo Host ser exibida.
3. Em Nome, digite APPDEV01.
4. Em Endereo IP, digite 10.0.0.24.
5. Clique em Adicionar Host.
Ser exibida uma mensagem informando que o registro de host foi concludo
com xito.
6. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao do servio DNS L10-223
7. Clique em Concludo.
8. Clique com o boto direito do mouse em development.contoso.com e clique
em Novo alias (CNAME).
A caixa de dilogo Novo Registro de Recursos ser exibida.
9. Em Nome do alias, digite www.
10. Em Nome de domnio totalmente qualificado (FQDN) para o host de
destino, digite appdev01.development.contoso.com e clique em OK.
Tarefa 3: Testar a resoluo de nomes
1. Alterne para o prompt de comando.
2. Digite nslookup www.development.contoso.com e pressione ENTER.
3. Examine a sada do comando. O que ela informa?
A primeira seo da sada informa qual servidor DNS foi consultado. As linhas
Tempo limite e Servidor: Desconhecido so resultado do fato de no haver
uma zona de pesquisa inversa. O comando nslookup tentar resolver o nome
do servidor com base no respectivo endereo IP, 10.0.0.12, mas falhar. A
segunda seo da sada o resultado da consulta. O campo Aliases mostra o
nome consultado. O campo Nome mostra o nome de host como o qual foi
resolvido o registro CNAME (Alias). E o campo Endereo o endereo IP do
host.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
Perguntas de reviso do laboratrio
Pergunta: Se voc no tivesse configurado encaminhadores no HQDC02-B, qual
seria o resultado para clientes que usam o HQDC02-B como servidor DNS
primrio?
Resposta: Eles no poderiam resolver nomes diferentes dos encontrados no
domnio (zona) contoso.com.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L10-224 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
Pergunta: O que aconteceria com a capacidade dos clientes de resolver nomes no
domnio development.contoso.com se voc tivesse escolhido uma zona DNS
autnoma em vez de uma zona integrada ao Active Directory? Por que isso
aconteceria? O que voc faria para solucionar esse problema?
Resposta: Os clientes que consultassem o outro servidor DNS no conseguiriam
resolver nomes na zona, porque o servidor no receberia uma rplica da zona. Isso
poderia ser solucionado fazendo com que a zona passasse a ser integrada ao Active
Directory, hospedando uma zona secundria no outro servidor DNS ou criando
uma zona de stub que faa referncia a consultas no servidor que hospeda a zona
development.contoso.com.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Configurao avanada do DNS L10-225
Laboratrio B: Configurao
avanada do DNS
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L10-226 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Configurao avanada do DNS L10-227
Exerccio 1: Habilitar a eliminao de zonas DNS
Tarefa 1: Preparar-se para o laboratrio
Algumas das mquinas virtuais j devem estar iniciadas e disponveis aps a
concluso do Laboratrio A. Entretanto, se no estiverem, voc deve executar os
Exerccios 1 e 2 no Laboratrio A antes de continuar porque h dependncias
entre os dois laboratrios.
1. Inicie 10222A-HQDC01-B.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Abra D:\Labfiles\Lab10b.
4. Execute Lab10b_Setup.bat com credenciais administrativas. Use a conta
Administrador com a senha Pa$$w0rd.
5. O script de instalao do laboratrio ser executado. Quando ele estiver
concludo, pressione qualquer tecla para continuar.
6. Feche a janela do Windows Explorer, Lab10b.
7. Inicie 10222A-HQDC02-B.
8. Faa logon em HQDC02-B como Pat.Coleman com a senha Pa$$w0rd.
9. Inicie 10222A-TSTDC01-A.
10. Faa logon em TSTDC01 como Sara.Davis com a senha Pa$$w0rd.
11. Inicie 10222A-BRANCHDC01-B.
12. Espere at que a inicializao de BRANCHDC01 esteja concluda para
continuar.
Tarefa 2: Habilitar a eliminao de uma zona DNS
1. Alterne para HQDC02-B.
2. Execute o Gerenciamento de DNS com credenciais administrativas. Use a
conta Pat.Coleman Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda HQDC02-B e Zonas de pesquisa direta e
clique em contoso.com.
4. Clique com o boto direito do mouse em contoso.com e clique em
Propriedades.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L10-228 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
5. Na guia Geral, clique no boto Durao.
A caixa de dilogo Propriedades de Eliminao/Durao de Zona ser exibida.
6. Marque a caixa de seleo Eliminar registros de recursos obsoletos.
7. Clique em OK.
8. Clique em OK para fechar a caixa de dilogo Propriedades de contoso.com.
Tarefa 3: Definir as configuraes de eliminao padro
1. Na rvore de console, clique com o boto direito do mouse em HQDC02-B e
clique em Definir Durao/Eliminao para Todas as Zonas.
A caixa de dilogo Propriedades de Eliminao/Durao de Servidor ser
exibida.
2. Marque a caixa de seleo Eliminar registros de recursos obsoletos.
3. Clique em OK.
A caixa de dilogo Confirmao de Eliminao/Durao de Servidor ser
exibida.
4. Marque a caixa de seleo Aplicar configuraes s zonas existentes
integradas ao Active Directory.
5. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Configurao avanada do DNS L10-229
Exerccio 2: Criar zonas de pesquisa inversa
Tarefa 1: Criar uma zona de pesquisa inversa
1. Na rvore de console, clique em Zonas de Pesquisa Inversa.
2. Clique com o boto direito do mouse em Zonas de Pesquisa Inversa e clique
em Nova Zona.
O Assistente de Nova Zona ser exibido.
3. Clique em Avanar.
4. Na pgina Tipo de Zona, clique em Avanar.
5. Na pgina Escopo de Replicao de Zona do Active Directory, clique em
Para todos os controladores neste domnio (para compatibilidade com o
Windows 2000): contoso.com. Clique em Avanar.
6. Na pgina Nome da Zona de Pesquisa Inversa, clique em Zona de Pesquisa
Inversa IPv4. Clique em Avanar.
7. Na pgina Nome da Zona de Pesquisa Inversa, em Identificao de Rede,
digite 10. Deixe em branco os outros dois octetos. Clique em Avanar.
8. Na pgina Atualizao Dinmica, clique em Permitir apenas atualizaes
dinmicas seguras. Clique em Avanar.
9. Na pgina Concluindo o Assistente de Nova Zona, clique em Concluir.
Tarefa 2: Explorar e verificar a funcionalidade de uma zona de
pesquisa inversa
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. Digite nslookup www.development.contoso.com e pressione ENTER.
3. Observe que a primeira seo da sada de comando (que identifica o servidor
DNS que foi consultado) indica o endereo IP do servidor, mas, ao lado de
Servidor, informa que o servidor Desconhecido. Isso ocorre porque o
comando nslookup.exe no pode resolver o endereo IP como um nome.
4. Alterne para o Gerenciador DNS.
5. Na rvore de console, clique na zona 10.in-addr.arpa em Zonas de Pesquisa
Inversa.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L10-230 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
6. Examine os registros na zona.
7. Alterne para o prompt de comando.
8. Digite ipconfig /registerdns e pressione ENTER.
9. Alterne para o Gerenciador DNS.
10. Clique com o boto direito do mouse na zona 10.in-addr.arpa e depois clique
em Atualizar.
11. Examine os registros de recurso exibidos.
12. Alterne para o prompt de comando.
13. Digite nslookup www.development.contoso.com e pressione ENTER.
14. Note que agora a primeira seo do comando consegue identificar o servidor
pelo endereo e pelo nome.
15. Observe que o servidor DNS que foi consultado em 10.0.0.12 agora est
resolvido como seu respectivo nome.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Configurao avanada do DNS L10-231
Exerccio 3: Explorar a localizao de controlador de
domnio
Tarefa 1: Explorar _tcp
1. Alterne para o Gerenciador DNS.
2. Na rvore de console, expanda HQDC02-B, Zonas de pesquisa direta e
contoso.com e clique no n _tcp.
Pergunta: O que representam os registros de recurso no painel de detalhes?
Resposta: Os servios oferecidos por todo controlador de domnio no domnio
contoso.com
Tarefa 2: Explorar _tcp.brancha._sites.contoso.com
1. Alterne para o Gerenciador DNS.
2. Na rvore de console, expanda HQDC02-B, Zonas de pesquisa direta,
contoso.com, _sites, BRANCHA e clique no n _tcp.
Pergunta: O que representam os registros de recurso no painel de detalhes?
Resposta: Os servios oferecidos por todo controlador de domnio que esteja
localizado no site BRANCHA ou que o esteja cobrindo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L10-232 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
Exerccio 4: Configurar a resoluo de nomes para domnios
externos
Tarefa 1: Configurar uma zona de stub
1. Na rvore de console, expanda HQDC02-B e clique em Zonas de pesquisa
direta.
2. Clique com o boto direito do mouse em Zonas de pesquisa direta e clique
em Nova Zona.
A pgina Bem-vindo ao Assistente de Nova Zona ser exibida.
3. Clique em Avanar.
A pgina Tipo de Zona ser exibida.
4. Clique em Zona de stub e em Avanar.
O Escopo de Replicao de Zona do Active Directory ser exibido.
5. Clique em Avanar.
A pgina Nome da Zona ser exibida.
6. Digite tailspintoys.com e clique em Avanar.
A pgina Servidores DNS Principais ser exibida.
7. Digite 10.0.0.31 e pressione TAB.
8. Marque a caixa de seleo Usar os servidores acima para criar uma lista
local de servidores mestres.
9. Clique em Avanar e em Concluir.
Tarefa 2: Configurar um encaminhador condicional
1. Alterne para TSTDC01.
2. Execute o Gerenciamento de DNS com credenciais administrativas. Use a
conta Sara.Davis_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda TSTDC01 e clique em Encaminhadores
Condicionais.
4. Clique com o boto direito do mouse na pasta Encaminhadores
Condicionais e clique em Novo Encaminhador Condicional.
5. Na caixa Domnio DNS, digite contoso.com.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Configurao avanada do DNS L10-233
6. Clique em Clique aqui para adicionar um endereo IP ou nome DNS e
digite 10.0.0.11.
7. Marque a caixa de seleo Armazenar o encaminhador condicional no
Active Directory e replic-lo desta forma.
8. Clique em OK.
Tarefa 3: Validar a resoluo de nomes para domnios externos
1. Clique em Iniciar e em Prompt de Comando.
2. Digite nslookup www.development.contoso.com e pressione ENTER.
O comando dever retornar o endereo 10.0.0.24.
3. Alterne para o Gerenciador DNS.
4. Na rvore de console, expanda TSTDC01 e Zonas de pesquisa direta e clique
na zona tailspintoys.com.
5. Clique com o boto direito do mouse em tailspintoys.com e clique em Novo
Host (A ou AAAA).
A caixa de dilogo Novo Host ser exibida.
6. Em Nome, digite www.
7. Em Endereo IP, digite 10.0.0.143.
8. Clique em Adicionar Host.
Ser exibida uma mensagem informando que o registro foi adicionado com
xito.
9. Clique em OK.
10. Clique em Concludo.
11. Alterne para HQDC02-B.
12. Clique em Iniciar e em Prompt de Comando.
13. Digite nslookup www.tailspintoys.com e pressione ENTER.
O comando dever retornar o endereo 10.0.0.143.
Observao: aps concluir esse exerccio, desligue todas as mquinas virtuais e descarte
os discos de desfazer.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L10-234 Mdulo 10: Configurao do DNS (Sistema de Nomes de Domnio)
Perguntas de reviso do laboratrio
Pergunta: Neste laboratrio, voc usou uma zona de stub e um encaminhador
condicional para fornecer resoluo de nomes entre dois domnios distintos. Que
outras opes voc poderia ter usado?
Resposta: Voc criaria uma zona secundria em cada domnio que hospedasse
uma cpia da zona do outro. Se os domnios tivessem delegaes no domnio .com
de primeiro nvel, voc poderia usar dicas de raiz e consultas recursivas DNS
padro para obt-las, a fim de resolver nomes em cada domnio do outro.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao de controladores de domnio L11-235
Mdulo 11: Administrao de controladores de
domnio do AD DS (Servios de Domnio Active
Directory)
Laboratrio A: Instalao de
controladores de domnio
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-236 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao de controladores de domnio L11-237
Exerccio 1: Criar um controlador de domnio adicional com
o Assistente de Instalao dos Servios de Domnio Active
Directory
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-HQDC02-A.
4. Faa logon em HQDC02 como Administrador com a senha Pa$$w0rd.
A rea de trabalho do Windows ser exibida.
Tarefa 2: Promover um controlador de domnio usando o Assistente
de Instalao dos Servios de Domnio Active Directory
1. Em HQDC02, clique em Iniciar e, na caixa Iniciar Pesquisa, digite
DCPromo.exe e pressione ENTER.
Ser exibida uma mensagem indicando que os binrios do AD DS esto sendo
instalados. Isso levar alguns minutos.
O Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
2. Na pgina Bem-vindo, clique em Avanar.
3. Na pgina Compatibilidade de Sistema Operacional, verifique o aviso sobre
as configuraes de segurana padro dos controladores de domnio do
Windows Server 2008 e clique em Avanar.
4. Na pgina Escolher uma Configurao de Implantao, clique em Floresta
existente, depois em Adicionar um controlador de domnio a um domnio
existente e, por ltimo, clique em Avanar.
5. Na pgina Credenciais de Rede, digite contoso.com na caixa de texto.
6. Clique no boto Definir.
A caixa de dilogo Segurana do Windows ser exibida.
7. Na caixa Nome de usurio, digite Pat.Coleman Admin.
8. Na caixa Senha, digite Pa$$w0rd e clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-238 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
9. Clique em Avanar.
10. Na pgina Selecione um Domnio, escolha contoso.com e clique em Avanar.
11. Na pgina Selecione um Site, escolha Default-First-Site-Name e clique em
Avanar.
A pgina Opes Adicionais de Controlador de Domnio ser exibida. O
Servidor DNS e o Catlogo Global so selecionados por padro.
12. Clique em Avanar.
Ser exibido um aviso de atribuio de IP esttico informando que o servidor
tem um endereo IP atribudo dinamicamente.
HQDC02 tem um endereo IPv4 fixo e um endereo IPv6 dinmico. Como
IPv6 no faz parte do escopo desta aula, voc pode ignorar esse aviso.
13. Clique em Sim, o computador usar um endereo IP atribudo
dinamicamente (no recomendvel).
Ser exibido um aviso do Assistente de Instalao dos Servios de Domnio
Active Directory informando que no foi possvel localizar uma delegao.
Como a configurao do DNS est correta no domnio de exemplo
contoso.com, voc pode ignorar esse aviso.
14. Clique em Sim.
15. Na pgina Local de Banco de Dados, Arquivos de Log e SYSVOL, aceite os
locais padro para o arquivo de banco de dados, os arquivos de log do servio
de diretrio e os arquivos de SYSVOL e clique em Avanar.
A prtica recomendada em um ambiente de produo armazenar esses
arquivos em trs volumes separados que no contenham aplicativos ou outros
arquivos no relacionados ao AD DS. Esse design de prtica recomendada
melhora o desempenho e aumenta a eficincia de backup e restaurao.
16. Na pgina Senha do Administrador do Modo de Restaurao dos Servios
de Diretrio, digite Pa$$w0rd nas caixas Senha e Confirmar senha. Clique
em Avanar.
No esquea a senha que voc atribuiu ao Administrador do Modo de
Restaurao dos Servios de Diretrio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao de controladores de domnio L11-239
17. Na pgina Resumo, examine suas selees.
Importante: NO CLIQUE EM AVANAR.
Se alguma configurao estiver incorreta, clique em Voltar para fazer
modificaes.
18. Clique em Exportar Configuraes.
19. Clique em Procurar Pasta.
20. Clique em Desktop.
21. Na caixa Nome do Arquivo, digite DCAdicional e clique em Salvar.
Ser exibida uma mensagem indicando que as configuraes foram salvas com
xito.
22. Clique em OK.
Agora voc cancelar a instalao do controlador de domnio e, em seu lugar,
promover o servidor a um controlador de domnio no prximo exerccio.
23. Na pgina Resumo do Assistente de Instalao dos Servios de Domnio
Active Directory, clique em Cancelar.
24. Clique em Sim para confirmar que est cancelando a instalao do controlador
de domnio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-240 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
Exerccio 2: Adicionar um controlador de domnio a partir
da linha de comando
Tarefa 1: Criar o comando DCPromo
1. Abra o arquivo DCAdicional.txt criado no Exerccio 1.
2. Examine as respostas contidas no arquivo. Voc consegue identificar o que
significam algumas das opes?
Dica: as linhas que comeam com ponto e vrgula so comentrios ou linhas inativas que
foram comentadas.
3. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite Bloco de notas. Em
seguida, pressione ENTER.
O Bloco de notas ser aberto.
4. No menu Formatar, clique em Quebra Automtica de Linha.
5. Posicione a janela do Bloco de notas em branco e o arquivo DCAdicional.txt de
forma que voc possa ver os dois arquivos.
6. No Bloco de notas, digite a linha de comando dcpromo.exe exatamente como
faria em um prompt de comando. Determine a linha de comando para instalar
o controlador de domnio com as mesmas opes listadas no arquivo de
resposta. As opes na linha de comando assumiro a forma /opo:valor,
enquanto que, no arquivo de resposta, elas tero a forma opo=valor.
Configure os valores de Password e SafeModeAdminPassword como
Pa$$w0rd. Instrua o DCPromo a reinicializar aps a concluso.
Digite em uma linha (com a quebra automtica de linha habilitada):
dcpromo /unattend /ReplicaOrNewDomain:Replica
/ReplicaDomainDNSName:contoso.com
/SiteName:Default-First-Site-Name /InstallDNS:Yes /ConfirmGc:Yes
/CreateDNSDelegation:No /UserDomain:contoso.com
/UserName:contoso.com\Pat.Coleman Admin /Password:Pa$$w0rd
/DatabasePath:"C:\Windows\NTDS" /LogPath:"C:\Windows\NTDS"
/SYSVOLPath:"C:\Windows\SYSVOL" /SafeModeAdminPassword:Pa$$w0rd
/RebootOnCompletion:Yes
Como voc aprender no Laboratrio B, possvel definir o valor de Password
como um asterisco (*) e digitar a senha quando o comando for executado.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao de controladores de domnio L11-241
7. Abra \\HQDC01\d$\Labfiles\Lab11a\Exercise2.txt.
8. Compare o comando correto no arquivo Exercise2.txt com o que voc criou
na etapa anterior. Faa as correes necessrias no seu comando.
Tarefa 2: Executar o comando DCPromo
1. Clique em Iniciar e em Prompt de Comando.
A janela do Prompt de Comando ser aberta.
2. Alterne para a janela do Bloco de notas que contm o seu comando
dcpromo.exe.
3. Clique no menu Formatar e desmarque a opo Quebra Automtica de
Linha.
Se a quebra automtica de linha estiver ativada, o comando no ser copiado e
colado corretamente no prompt de comando, pois cada linha quebrada
automaticamente ser interpretada como um comando separado.
4. Pressione CTRL+A. Em seguida, clique no menu Editar e em Copiar.
5. Alterne para a janela do Prompt de Comando.
6. Clique com o boto direito do mouse na janela do Prompt de Comando e
clique em Colar.
7. Pressione ENTER para executar o comando.
Dica: os erros detectados provavelmente so decorrentes de erro de digitao no
comando. Compare o que voc digitou com o comando correto, contido em
\\HQDC01\d$\Labfiles\Lab11a \Exercise2.txt. Outra alternativa copiar e colar o
comando do arquivo Exercise2.txt em vez de usar o criado por voc.
O HQDC02 ser promovido a controlador de domnio. Isso levar alguns
minutos.
O computador ser reiniciado quando a configurao for concluda.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-242 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
Exerccio 3: Remover um controlador de domnio
Tarefa 1: Remover um controlador de domnio
1. Espere at que a inicializao de HQDC02 seja concluda.
2. Faa logon em HQDC02 como Pat.Coleman com a senha Pa$$w0rd.
A rea de trabalho do Windows ser exibida.
3. Clique no boto Iniciar e em Executar.
4. Digite dcpromo.exe e pressione ENTER.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
5. Na caixa Nome de usurio, digite Pat.Coleman Admin.
6. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
7. Na pgina Bem-vindo, clique em Avanar.
Ser exibida uma mensagem lembrando que voc deve verificar se este no o
ltimo servidor de catlogo global na floresta.
8. Clique em OK.
9. Na pgina Excluir o Domnio, clique em Avanar.
10. Na pgina Senha do Administrador, digite Pa$$w0rd nas caixas Senha e
Confirmar Senha. Em seguida, clique em Avanar.
11. Na pgina Resumo, clique em Avanar.
O AD DS ser removido do HQDC02.
12. Clique em Concluir.
Ser exibida uma mensagem solicitando que voc reinicie o servidor.
13. Clique em Reiniciar Agora.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao de controladores de domnio L11-243
Exerccio 4: Criar um controlador de domnio a partir da
mdia de instalao
Tarefa 1: Criar a mdia de instalao
1. Alterne para HQDC01.
2. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
3. Digite ntdsutil e pressione ENTER.
4. Digite activate instance ntds e pressione ENTER.
5. Digite ifm e pressione ENTER.
6. Digite ? e pressione ENTER para listar os comandos disponveis no modo IFM.
7. Digite create sysvol full c:\IFM e pressione ENTER.
Os arquivos da mdia de instalao sero copiados para c:\IFM.
Quando o processo for concludo, a seguinte mensagem ser exibida: Mdia
IFM criada com xito em c:\IFM.
8. Digite quit e pressione ENTER.
9. Digite quit e pressione ENTER.
Tarefa 2: Promover um controlador de domnio usando a mdia de
instalao
1. Faa logon em HQDC02 como Pat.Coleman com a senha Pa$$w0rd.
A rea de trabalho do Windows ser exibida.
2. Clique no boto Iniciar e em Executar.
3. Digite \\HQDC01\c$ e pressione ENTER.
A caixa de dilogo Conectar a hqdc01.contoso.com ser exibida.
4. Na caixa Nome de usurio, digite CONTOSO\Pat.Coleman Admin.
5. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
A janela do Windows Explorer ser aberta, mostrando a raiz da unidade C em
HQDC01.
6. Clique com o boto direito do mouse na pasta IFM e clique em Copiar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-244 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
7. Na barra de endereos, digite C:\ e pressione ENTER.
8. Clique com o boto direito do mouse em uma rea vazia do painel de detalhes
e clique em Colar.
A pasta IFM ser copiada de HQDC01para a unidade C.
9. Feche a janela do Windows Explorer.
10. Clique no boto Iniciar e em Executar.
11. Digite dcpromo.exe e pressione ENTER.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
12. Na caixa Nome de usurio, digite Pat.Coleman Admin.
13. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
14. Na pgina Bem-vindo, marque a caixa de seleo Usar a instalao em modo
avanado.
15. Clique em Avanar.
16. Na pgina Compatibilidade de Sistema Operacional, examine o aviso sobre
as configuraes de segurana padro dos controladores de domnio do
Windows Server 2008 e clique em Avanar.
17. Na pgina Escolher uma Configurao de Implantao, clique em Floresta
existente, depois em Adicionar um controlador de domnio a um domnio
existente e, por ltimo, clique em Avanar.
18. Na pgina Credenciais de Rede, digite contoso.com na caixa de texto.
19. Clique em Avanar.
20. Na pgina Selecione um Domnio, escolha contoso.com e clique em Avanar.
21. Na pgina Selecione um Site, escolha Primeiro-site-padro e clique em
Avanar.
A pgina Opes Adicionais de Controlador de Domnio ser exibida. O
Servidor DNS e o Catlogo Global so selecionados por padro.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Instalao de controladores de domnio L11-245
22. Clique em Avanar.
Ser exibido um aviso de atribuio de IP esttico informando que o servidor
tem um endereo IP atribudo dinamicamente.
HQDC01 tem um endereo IPv4 fixo e um endereo IPv6 dinmico. Como
IPv6 no faz parte do escopo desta aula, voc pode ignorar esse aviso.
23. Clique em Sim, o computador usar um endereo IP atribudo
dinamicamente (no recomendvel).
Ser exibido um aviso do Assistente de Instalao dos Servios de Domnio
Active Directory informando que no foi possvel localizar uma delegao.
Como a configurao do DNS est correta no domnio de exemplo
contoso.com, voc pode ignorar esse aviso.
24. Clique em Sim.
25. Na pgina Instalar da Mdia, clique em Replicar dados de mdia no seguinte
local.
26. Na caixa Local, digite C:\IFM e clique em Avanar.
27. Na pgina Controlador de Domnio de Origem, clique em Avanar.
Agora voc cancelar a instalao do controlador de domnio.
28. Clique em Cancelar.
29. Clique em Sim para confirmar que est cancelando a instalao do controlador
de domnio.
30. Desligue HQDC02, mas no HQDC01, pois ele ser usado nos laboratrios
subsequentes.
Observao: quando terminar, no desligue as mquinas virtuais porque as
configuraes definidas aqui sero usadas no Laboratrio B.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-246 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
Perguntas de reviso do laboratrio
Pergunta: Por que voc optaria por usar um arquivo de resposta ou uma linha de
comando dcpromo.exe para instalar um controlador de domnio, em vez de usar o
Assistente de Instalao dos Servios de Domnio Active Directory?
Resposta: Automao da instalao. Consistncia (usar sempre as mesmas opes
em um script versus esperar que um administrador use as opes corretas).
Documentao (o script documenta como o controlador de domnio foi
instalado). E, obviamente, em uma instalao Server Core.
Pergunta: Em que situaes convm criar um controlador de domnio usando a
mdia de instalao?
Resposta: Quando a replicao do Active Directory no novo controlador de
domnio for problemtica do ponto de vista de desempenho ou impacto na rede.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Instalao de um controlador de domnio do Server Core L11-247
Laboratrio B: Instalao de um
controlador de domnio do Server
Core
Exerccio 1: Realizar a configurao de ps-instalao no
Server Core
Tarefa 1: Preparar-se para o laboratrio
A mquina virtual 10222A-HQDC01-A j dever estar iniciada e disponvel aps a
concluso do Laboratrio A.
1. Inicie 10222A-HQDC01-A, mas no faa logon.
2. Inicie 10222A-HQDC03-A, mas no faa logon.
Tarefa 2: Realizar a configurao de ps-instalao do Server Core
1. Faa logon em HQDC03 como Administrador com a senha Pa$$w0rd.
A janela do Prompt de Comando ser exibida.
2. Digite o comando a seguir e pressione ENTER:
netsh interface ipv4 set address name="Conexo Local"
source=static address=10.0.0.13 mask=255.255.255.0
gateway=10.0.0.1
3. Digite o comando a seguir e pressione ENTER:
netsh interface ipv4 set dns name="Conexo Local"
source=static address=10.0.0.11 primary
4. Digite ipconfig /all e pressione ENTER.
5. Digite o comando a seguir e pressione ENTER:
netdom renamecomputer %computername% /newname:HQDC03
Quando solicitado, confirme a operao.
6. Pressione S e depois ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-248 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
7. Digite shutdown -r -t 0, e pressione ENTER.
O servidor ser reiniciado.
8. Espere at que a reinicializao de HQDC03 seja concluda.
9. Faa logon em HQDC03 como Administrador com a senha Pa$$w0rd.
A janela do Prompt de Comando ser exibida.
10. Digite o comando a seguir e pressione ENTER:
netdom join %computername% /domain:contoso.com
/UserD:CONTOSO\Pat.Coleman Admin /PasswordD:Pa$$w0rd
/OU:"ou=servers,dc=contoso,dc=com"
11. Digite shutdown -r -t 0, e pressione ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Instalao de um controlador de domnio do Server Core L11-249
Exerccio 2: Criar um controlador de domnio com Server
Core
Tarefa 1: Adicionar a funo de servidor DNS ao Server Core
1. Espere at que a reinicializao de HQDC03 seja concluda.
2. Faa logon em HQDC03 como Pat.Coleman Admin com a senha Pa$$w0rd.
3. Digite oclist e pressione ENTER.
Pergunta: Qual o identificador de pacote da funo de servidor DNS?
Resposta: DNS-Server-Core-Role.
Pergunta: Qual o status?
Resposta: No instalado.
4. Digite ocsetup e pressione ENTER.
A caixa de dilogo Instalao de Componente Opcional do Windows ser
exibida.
Surpresa! H uma pequena parte da GUI no Server Core.
5. Clique em OK.
6. Digite ocsetup DNS-Server-Core-Role e pressione ENTER.
Os identificadores de pacote diferenciam maisculas de minsculas.
7. Digite oclist e pressione ENTER.
8. Confirme que DNS-Server-Core-Role exibe o status Instalado.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-250 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
Tarefa 2: Criar um controlador de domnio no Server Core com o
comando dcpromo.exe
1. Verifique se voc ainda est conectado a HQDC03 como Pat.Coleman Admin
com a senha Pa$$w0rd
2. Digite dcpromo.exe /? e pressione ENTER.
3. Examine as informaes de uso.
4. Digite dcpromo.exe /?:Promotion e pressione ENTER.
5. Examine as informaes de uso.
6. Digite o seguinte comando para adicionar e configurar a funo do AD DS e
pressione ENTER:
dcpromo /unattend /ReplicaOrNewDomain:replica
/ReplicaDomainDNSName:contoso.com /ConfirmGC:Yes
/UserName:CONTOSO\Pat.Coleman Admin /Password:*
/safeModeAdminPassword:Pa$$w0rd
7. Quando for solicitado que voc insira as credenciais de rede, digite Pa$$w0rd
e clique em OK.
A funo do AD DS ser instalada e configurada, e o servidor ser reiniciado.
Observao: voc pode desligar as duas mquinas virtuais, pois sero usadas outras no
prximo laboratrio.
Perguntas de reviso do laboratrio
Pergunta: Voc achou a configurao do Server Core particularmente difcil?
Resposta: A resposta correta ser baseada na sua prpria experincia e na sua
situao.
Pergunta: Quais so as vantagens de usar o Server Core para controladores de
domnio?
Resposta: Menos requisitos do sistema, superfcie de ataque (vulnerabilidade)
reduzida e, portanto, maior segurana.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Transferncia de funes de mestre de operaes L11-251
Laboratrio C: Transferncia de
funes de mestre de operaes
Exerccio 1: Identificar mestres de operaes
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-B.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Abra o arquivo D:\Labfiles\Lab11c.
4. Execute Lab11c_Setup.bat com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
5. O script de instalao do laboratrio ser executado. Quando ele estiver
concludo, pressione qualquer tecla para continuar.
6. Feche a janela do Windows Explorer, Lab11c.
7. Inicie 10222A-HQDC02-B, mas no faa logon.
8. Espere at que a inicializao de HQDC02 esteja concluda para continuar.
Tarefa 2: Identificar mestres de operaes usando os snap-ins
administrativos do Active Directory
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, clique com o boto direito do mouse no domnio
contoso.com e clique em Mestres de Operaes.
A caixa de dilogo Mestres de Operaes ser exibida.
As guias identificam os controladores de domnio que esto executando
funes de operaes de mestre nico para o domnio: emulador PDC, mestre
RID e mestre de infraestrutura.
3. Clique na guia referente a cada mestre de operaes.
Pergunta: Que controlador de domnio detm essas funes?
Resposta: HQDC01.contoso.com detm as trs funes.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-252 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
4. Clique em Fechar.
5. Feche Usurios e Computadores do Active Directory.
6. Execute Domnios e Relaes de Confiana do Active Directory com
credenciais administrativas. Use a conta Pat.Coleman Admin com a senha
Pa$$w0rd.
7. Na rvore de console, clique com o boto direito do mouse no n raiz do snap-
in Domnios e Relaes de Confiana do Active Directory e clique em
Mestre de Operaes.
A caixa de dilogo Mestre de Operaes ser exibida.
Pergunta: Que controlador de domnio detm a a funo de mestre de operaes
de nomeao de domnios?
Resposta: HQDC01.contoso.com.
8. Clique em Fechar.
9. Feche Domnios e Relaes de Confiana do Active Directory.
Como no tem um console prprio, o snap-in Esquema do Active Directory
no poder ser adicionado a um console personalizado enquanto no for
registrado.
10. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
11. Digite regsvr32 schmmgmt.dll e pressione ENTER.
12. Clique em OK para fechar a caixa de mensagem exibida.
13. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite mmc.exe e pressione
ENTER.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
14. Clique em Usar outra conta.
15. Na caixa Nome de usurio, digite Pat.Coleman Admin.
16. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
Um console do MMC vazio ser exibido.
17. Clique no menu Arquivo e em Adicionar/Remover Snap-in.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Transferncia de funes de mestre de operaes L11-253
18. Na lista Snap-ins disponveis, selecione Esquema do Active Directory, clique
em Adicionar e em OK.
19. Clique no n raiz do snap-in Esquema do Active Directory.
20. Clique com o boto direito do mouse em Esquema do Active Directory e
clique em Mestre de Operaes.
A caixa de dilogo Alterar Mestre de Esquema ser exibida.
Pergunta: Que controlador de domnio detm a funo de mestre de esquema?
Resposta: HQDC01.contoso.com.
21. Clique em Fechar.
22. Feche o console. No necessrio salvar as alteraes.
Tarefa 3: Identificar mestres de operaes usando NetDom
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. Digite o comando netdom query fsmo e pressione ENTER.
Todos os detentores de funes de mestre de operaes sero listados.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-254 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
Exerccio 2: Transferir funes de mestre de operaes
Tarefa 1: Transferir a funo de PDC usando o snap-in Usurios e
Computadores do Active Directory
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Clique com o boto direito do mouse no domnio contoso.com e clique em
Alterar Controlador de Domnio.
3. Na lista de servidores de diretrio, selecione HQDC02.contoso.com e clique
em OK.
Antes de transferir um mestre de operaes, preciso conectar-se ao
controlador de domnio para o qual a funo ser transferida.
O n raiz do snap-in indica o controlador de domnio ao qual voc est
conectado: Usurios e Computadores do Active Directory
[HQDC02.contoso.com].
4. Clique com o boto direito do mouse no domnio contoso.com e clique em
Mestres de Operaes.
5. Clique na guia PDC.
Ela indica que HQDC01.contoso.com detm atualmente o token de funo.
HQDC02.contoso.com ser listado na segunda caixa de texto.
6. Clique no boto Alterar.
Uma caixa de dilogo dos Servios de Domnio Active Directory solicitar que
voc confirme a transferncia da funo de mestre de operaes.
7. Clique em Sim.
Uma caixa de dilogo dos Servios de Domnio Active Directory confirmar
que a funo foi transferida com xito.
8. Clique em OK e em Fechar.
Neste ponto em um ambiente de produo, voc transferiria tambm outras
funes FSMO mantidas por HQDC01 para HQDC02 ou outros controladores
de domnio. Voc garantiria que outras funes executadas por HQDC01
(DNS e catlogo global, por exemplo) fossem cobertas por outros servidores.
Em seguida, colocaria HQDC01 offline.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Transferncia de funes de mestre de operaes L11-255
Lembre-se de que no ser possvel colocar um controlador de domnio online
novamente se as funes de RID, esquema ou nomeao de domnios tiverem
sido capturadas. Mas voc poder coloc-lo online novamente se uma funo
tiver sido transferida.
Tarefa 2: Considerar outras funes antes de colocar um controlador
de domnio offline
Voc est se preparando para colocar HQDC01 offline. Para isso, acabou de
transferir a funo de operaes PDC para HQDC02.
Pergunta: Liste outras funes de mestre de operaes que devem ser transferidas
antes de colocar HQDC01 offline.
Resposta: Todas as outras funes de mestre de operaes mantidas por HQDC01
devem ser transferidas para HQDC02 ou outros controladores de domnio antes
que HQDC01 seja colocado offline. Especificamente, as funes de mestre RID,
esquema, infraestrutura e nomeao de domnios.
Pergunta: Liste outras funes de servidor que devem ser transferidas antes de
colocar HQDC01 offline.
Resposta: Voc consideraria outras funes executadas por HQDC01, como
Servidor DNS e catlogo global. Verifique se essas funes esto cobertas por
outros servidores ou controladores de domnio antes de colocar o HQDC01
offline.
Tarefa 3: Transferir a funo de PDC usando NTDSUtil
Voc concluiu a manuteno em HQDC01 e vai coloc-lo online novamente.
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. Digite ntdsutil e pressione ENTER.
3. Digite roles e pressione ENTER.
4. Digite connections e pressione ENTER.
5. Digite connect to server HQDC01 e pressione ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-256 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
6. Digite quit e pressione ENTER.
7. Digite transfer PDC e pressione ENTER.
A caixa de dilogo de confirmao de transferncia de funo ser exibida.
8. Clique em Sim.
Observao: desligue essas mquinas virtuais quando tiver concludo porque elas
precisaro ser reiniciadas para o prximo laboratrio.
Perguntas de reviso do laboratrio
Pergunta: Se voc transferir todas as funes antes de colocar um controlador de
domnio offline, poder coloc-lo online novamente?
Resposta: Sim
Pergunta: Se um controlador de domnio falhar e voc capturar funes para outro
controlador de domnio, poder colocar online novamente o controlador de
domnio que falhou?
Resposta: Somente se o controlador de domnio que falhou for o emulador PDC
ou o mestre de infraestrutura. Os detentores das funes de mestre de esquema, de
nomeao de domnios ou RID no podero voltar a ficar online se a funo tiver
sido capturada enquanto o controlador de domnio estava offline. Em vez disso, o
controlador de domnio com falha dever ser rebaixado ou, preferencialmente,
reinstalado por completo enquanto estiver offline. Depois que o servidor estiver
online novamente, ele poder voltar a ser promovido a controlador de domnio e,
nessa ocasio, a funo de mestres de operaes poder ser transferida
normalmente para ele.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Configurao da replicao DFS-R de SYSVOL L11-257
Laboratrio D: Configurao da
replicao DFS-R de SYSVOL
Exerccio 1: Observar a replicao de SYSVOL
Tarefa 1: Preparar-se para o laboratrio
1. Desligue todas as mquinas virtuais.
2. Inicie 10222A-HQDC01-B.
3. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
4. Abra o arquivo D:\Labfiles\Lab11d.
5. Execute Lab11d_Setup.bat com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
6. O script de instalao do laboratrio ser executado. Quando ele estiver
concludo, pressione qualquer tecla para continuar.
7. Feche a janela do Windows Explorer, Lab11d.
8. Inicie 10222A-HQDC02-B.
9. Faa logon em HQDC02 como Pat.Coleman Admin com a senha Pa$$w0rd.
Tarefa 2: Observar a replicao de SYSVOL
1. Alterne para HQDC01.
2. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite
%SystemRoot%\Sysvol\Sysvol\contoso.com\Scripts. Em seguida, pressione
ENTER.
3. Execute o Bloco de notas com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
4. Clique em Arquivo e em Salvar.
5. Na caixa Nome do arquivo, digite
%SystemRoot%\Sysvol\Sysvol\contoso.com\Scripts\TestFRS.txt e
pressione ENTER.
6. Feche o Bloco de notas.
7. Confirme se o arquivo TestFRS.txt aparece na pasta Scripts.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-258 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
8. Alterne para HQDC02.
9. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite
%SystemRoot%\Sysvol\Sysvol\contoso.com\Scripts. Em seguida, pressione
ENTER.
10. Confirme se o arquivo TestFRS.txt aparece na pasta Scripts do HQDC02.
Se o arquivo no for exibido imediatamente, espere um pouco. A replicao
pode levar at 15 minutos para ser concluda. Se desejar, continue com o
Exerccio 2. Antes de passar para o Exerccio 3, faa uma verificao para ter
certeza de que o arquivo foi replicado.
11. Depois de observar a replicao, feche a janela do Windows Explorer que
mostra a pasta Scripts em HQDC01 e em HQDC02.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Configurao da replicao DFS-R de SYSVOL L11-259
Exerccio 2: Preparar-se para migrar para DFS-R
Tarefa 1: Confirmar se o nvel funcional de domnio atual inferior ao
Windows Server 2008
1. Ainda em HQDC02, execute Usurios e Computadores do Active Directory
com credenciais administrativas. Use a conta Pat.Coleman Admin com a
senha Pa$$w0rd se solicitado; caso contrrio, clique em Continuar na caixa
de dilogo Controle de Conta de Usurio.
2. Na rvore de console, clique com o boto direito do mouse no domnio
contoso.com e clique em Elevar o Nvel Funcional do Domnio.
A caixa de dilogo Elevar o Nvel Funcional do Domnio ser exibida.
3. Confirme se o Nvel funcional atual do domnio Windows Server 2003.
4. Clique em Cancelar. No faa nenhuma modificao no nvel funcional do
domnio.
Tarefa 2: Confirmar se a replicao DFS-R no est disponvel nos
nveis funcionais de domnio inferiores ao Windows Server 2008
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd se solicitado; caso contrrio,
clique em Continuar na caixa de dilogo Controle de Conta de Usurio.
2. Digite dfsrmig /getglobalstate e pressione ENTER.
Ser exibida uma mensagem informando que somente domnios no nvel
funcional do Windows Server 2008 oferecem suporte a dfsrmig.
Tarefa 3: Elevar o nvel funcional do domnio
1. Alterne para Usurios e Computadores do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse no domnio
contoso.com e clique em Elevar o Nvel Funcional do Domnio.
3. Confirme se a lista Selecione um nvel funcional de domnio disponvel
indica Windows Server 2008.
4. Clique em Aumentar.
Ser exibida uma mensagem lembrando que a ao no poder ser revertida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-260 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
5. Clique em OK para confirmar a alterao.
Ser exibida uma mensagem informando que o nvel funcional foi elevado
com xito.
6. Clique em OK.
7. Feche Usurios e Computadores do Active Directory.
Tarefa 4: Confirmar se a replicao DFS-R est disponvel no nvel
funcional de domnio do Windows Server 2008
1. Alterne para o Prompt de Comando.
2. Digite dfsrmig /getglobalstate e pressione ENTER.
Ser exibida uma mensagem informando que a migrao de DFS-R ainda no
foi inicializada.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Configurao da replicao DFS-R de SYSVOL L11-261
Exerccio 3: Migrar a replicao de SYSVOL para DFS-R
Tarefa 1: Migrar a replicao de SYSVOL para DFS-R
1. Alterne para o Prompt de Comando
2. Digite dfsrmig /setglobalstate 0 e pressione ENTER.
A seguinte mensagem ser exibida:
Estado global atual de DFSR: 'Incio'
Novo estado global de DFSR: 'Incio'
Alterao de estado invlida solicitada.
O estado global padro j 0, Incio, por isso o comando no vlido. No
entanto, isso serve para inicializar a migrao de DFSR.
3. Digite dfsrmig /getglobalstate e pressione ENTER.
A seguinte mensagem ser exibida:
Estado global atual de DFSR: 'Incio'
xito.
4. Digite dfsrmig /getmigrationstate e pressione ENTER.
A seguinte mensagem ser exibida:
Todos os controladores de domnio migraram com xito para o estado
global
('Incio').
A migrao alcanou um estado compatvel em todos os controladores
de domnio.
xito.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-262 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
5. Digite dfsrmig /setglobalstate 1 e pressione ENTER.
A seguinte mensagem ser exibida:
Estado global atual de DFSR: 'Incio'
Novo estado global de DFSR: 'Preparado'
A migrao seguir para o estado 'Preparado'. O servio DFSR
copiar o contedo de SYSVOL na pasta SYSVOL_DFSR.
Se algum controlador de domnio no tiver conseguido iniciar a
migrao, tente a sondagem manual.
OU execute com a opo /CreateGlobalObjects.
A migrao pode iniciar a qualquer momento, de 15 minutos a 1
hora.
xito.
6. Digite dfsrmig /getmigrationstate e pressione ENTER.
Ser exibida uma mensagem informando o estado da migrao de cada
controlador de domnio. A migrao pode levar at 15 minutos.
7. Repita esta etapa at ser exibida a mensagem a seguir indicando que a
migrao progrediu para o estado Preparado e obteve xito:
Todos os controladores de domnio migraram com xito para o estado
global
('Preparado').
A migrao alcanou um estado compatvel em todos os controladores
de domnio.
xito.
Quando receber essa mensagem, v para a prxima etapa.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Configurao da replicao DFS-R de SYSVOL L11-263
Durante a migrao para o estado Preparado, uma destas mensagens poder
ser exibida:
Os seguintes controladores de domnio no esto sincronizados com
o estado global
('Preparado'):
Controlador de Domnio (Estado de Migrao Local) - Tipo de DC
===================================================
HQDC01 ('Incio') - DC primrio
HQDC02 ('Incio') - DC gravvel
A migrao ainda no alcanou um estado compatvel em todos os
controladores de domnio.
As informaes de estado podem ser obsoletas devido latncia do
AD.
ou
Os seguintes controladores de domnio no esto sincronizados com
o estado global
('Preparado'):
Controlador de Domnio (Estado de Migrao Local) - Tipo de DC
===================================================
HQDC01 ('Incio') - DC primrio
HQDC02 ('Aguardando a Sincronizao Inicial') - DC gravvel
A migrao ainda no alcanou um estado compatvel em todos os
controladores de domnio.
As informaes de estado podem ser obsoletas devido latncia do
AD.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-264 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
ou
Os seguintes controladores de domnio no esto sincronizados com
o estado global
('Preparado'):
Controlador de Domnio (Estado de Migrao Local) - Tipo de DC
===================================================
HQDC02 ('Aguardando a Sincronizao Inicial') - DC gravvel
A migrao ainda no alcanou um estado compatvel em todos os
controladores de domnio.
As informaes de estado podem ser obsoletas devido latncia do
AD.
8. Execute o Visualizar Eventos com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd se solicitado; caso contrrio,
clique em Continuar na caixa de dilogo Controle de Conta de Usurio.
9. Na rvore de console, expanda Logs de Aplicativos e Servios e clique em
Replicao DFS.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Configurao da replicao DFS-R de SYSVOL L11-265
10. Localize o evento com ID de Evento 8014 e abra suas propriedades.
Verifique os detalhes mostrados na captura de tela a seguir.
11. Feche o Visualizar Eventos.
12. Alterne para o Prompt de Comando.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-266 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
13. Digite dfsrmig /setglobalstate 2 e pressione ENTER.
A seguinte mensagem ser exibida:
Estado global atual de DFSR: 'Preparado'
Novo estado global de DFSR: 'Redirecionado'
A migrao seguir para o estado 'Redirecionado'. O
compartilhamento SYSVOL ser
alterado para a pasta SYSVOL_DFSR.
Caso tenham sido feitas alteraes no compartilhamento de SYSVOL
durante a transio de estado de 'Preparado' para 'Redirecionado',
execute robocopy das alteraes
de SYSVOL para SYSVOL_DFSR em qualquer RWDC replicado.
xito.
14. Digite dfsrmig /getmigrationstate e pressione ENTER.
Ser exibida uma mensagem informando o estado da migrao de cada
controlador de domnio. A migrao pode levar at 15 minutos.
15. Repita a etapa 14 at ser exibida a seguinte mensagem indicando que a
migrao progrediu para o estado Preparado e obteve xito:
Todos os controladores de domnio migraram com xito para o estado
global
('Redirecionado').
A migrao alcanou um estado compatvel em todos os controladores
de domnio.
xito.
Quando receber essa mensagem, v para a prxima tarefa.
Durante a migrao, podero ser exibidas mensagens como esta:
Os seguintes controladores de domnio no esto sincronizados com
o estado global
('Redirecionado'):
Controlador de Domnio (Estado de Migrao Local) - Tipo de DC
===================================================
HQDC02 ('Preparado') - DC gravvel
A migrao ainda no alcanou um estado compatvel em todos os
controladores de domnio.
As informaes de estado podem ser obsoletas devido latncia do AD.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio D: Configurao da replicao DFS-R de SYSVOL L11-267
Exerccio 4: Verificar a replicao DFS-R de SYSVOL
Tarefa 1: Confirmar o novo local de SYSVOL
1. Ainda em HQDC02, alterne para o Prompt de Comando.
2. Digite net share e pressione ENTER.
3. Confirme se o compartilhamento NETLOGON refere-se pasta
%SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts.
4. Confirme se o compartilhamento SYSVOL refere-se pasta
%SystemRoot%\SYSVOL_DFSR\Sysvol.
Tarefa 2: Observar a replicao de SYSVOL
1. Alterne para HQDC01.
2. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite
%SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts. Em seguida,
pressione ENTER.
Observe que o arquivo TestFRS.txt criado anteriormente j est na pasta
Scripts. Enquanto os controladores de domnio estavam no estado Preparado,
os arquivos foram replicados entre a pasta SYSVOL de FRS herdada e a nova
pasta SYSVOL de DFS-R.
3. Execute o Bloco de notas com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd se solicitado; caso contrrio,
clique em Continuar na caixa de dilogo Controle de Conta de Usurio.
4. Clique em Arquivo e em Salvar.
5. Na caixa Nome do arquivo, digite
%SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts \TestDFSR e
pressione ENTER.
6. Feche o Bloco de notas.
7. Confirme se o arquivo TestDFSR.txt aparece na pasta Scripts.
8. Alterne para HQDC02.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L11-268 Mdulo 11: Administrao de controladores de domnio do AD DS (Servios de Domnio Active Directory)
9. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite
%SystemRoot%\SYSVOL_DFSR\Sysvol\contoso.com\Scripts. Em seguida,
pressione ENTER.
10. Confirme se o arquivo TestDFSR.txt aparece na pasta Scripts.
Se o arquivo no for exibido imediatamente, espere um pouco.
Observao: aps concluir esse exerccio, desligue todas as mquinas virtuais e descarte
os discos de desfazer.
Perguntas de reviso do laboratrio
Pergunta: Que diferena voc acha que h entre uma empresa que criou seu
domnio inicialmente com controladores de domnio do Windows 2008 e a outra
que migrou de Windows Server 2003 para Windows Server 2008?
Resposta: Em um domnio criado originalmente com o Windows 2008, o
compartilhamento SYSVOL far referncia a uma pasta chamada SYSVOL que
replicada com DFS-R. Em um domnio criado com controladores de domnio
anteriores ao Windows 2008, o SYSVOL ser replicado com FRS, at que tenha
sido migrado. Depois desse ponto, o compartilhamento SYSVOL far referncia a
uma pasta chamada SYSVOL_DFSR.
Pergunta: De que voc precisa estar ciente durante a migrao do estado
Preparado para Redirecionado?
Resposta: Durante a migrao do estado Preparado para Redirecionado, qualquer
alterao feita no SYSVOL deve ser duplicada manualmente em SYSVOL_DFSR.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Configurao de sites e sub-redes L12-269
Mdulo 12: Gerenciamento de sites e replicao
do Active Directory
Laboratrio A: Configurao de
sites e sub-redes
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-270 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Configurao de sites e sub-redes L12-271
Exerccio 1: Configurar o site padro
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-B. Esta mquina virtual pode levar alguns minutos
para iniciar.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-HQDC02-B, mas no faa logon.
4. Depois que HQDC02-B tiver sido iniciado, inicie 10222A-HQDC03-B, mas no
faa logon.
5. Depois que HQDC03-B tiver sido iniciado, inicie 10222A-BRANCHDC01-B,
mas no faa logon.
6. Espere at que a inicializao de BRANCHDC01 esteja concluda para
continuar com a prxima tarefa.
Tarefa 2: Renomear o Default-First-Site-Name
1. Em HQDC01, execute Servios e Sites do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda Sites e clique em Default-First-Site-Name.
3. Clique com o boto direito do mouse em Default-First-Site-Name e clique em
Renomear.
4. Digite HEADQUARTERS e pressione ENTER.
Como os nomes de site so registrados no DNS, voc deve usar nomes
compatveis com DNS que evitem espaos e caracteres especiais.
Tarefa 3: Criar uma sub-rede e associ-la a um site
1. Na rvore de console, clique em Subnets.
2. Clique com o boto direito do mouse em Subnets e clique em Nova Sub-rede.
3. Na caixa Prefixo, digite 10.0.0.0/24.
4. Na lista Selecione um objeto de site para este prefixo, escolha
HEADQUARTERS.
5. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-272 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
6. Clique com o boto direito do mouse em 10.0.0.0/24 e clique em
Propriedades.
7. Na caixa Descrio, digite Servidor e sub-rede back-end e clique em OK.
8. Na rvore de console, clique com o boto direito do mouse em Subnets e
clique em Nova Sub-rede.
9. Na caixa Prefixo, digite 10.0.1.0/24.
10. Na lista Selecione um objeto de site para este prefixo, escolha
HEADQUARTERS.
11. Clique em OK.
12. Clique com o boto direito do mouse em 10.0.1.0/24 e clique em
Propriedades.
13. Na caixa Descrio, digite Sub-rede de cliente e clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Configurao de sites e sub-redes L12-273
Exerccio 2: Criar sites adicionais
Tarefa 1: Criar sites adicionais
1. Na rvore de console, clique com o boto direito do mouse em Sites e clique
em Novo Site.
2. Na caixa Nome, digite HQ-BUILDING-2.
3. Selecione DEFAULTIPSITELINK.
4. Clique em OK.
Ser exibida uma caixa de dilogo dos Servios de Domnio Active Directory,
explicando as etapas necessrias para concluir a configurao do site.
5. Clique em OK.
6. Na rvore de console, clique com o boto direito do mouse em Sites e clique
em Novo Site.
7. Na caixa Nome, digite BRANCHA.
8. Selecione DEFAULTIPSITELINK.
9. Clique em OK.
Tarefa 2: Criar sub-redes e associ-las a sites
1. Na rvore de console, clique com o boto direito do mouse em Subnets e
clique em Nova Sub-rede.
2. Na caixa Prefixo, digite 10.1.0.0/24.
3. Na lista Selecione um objeto de site para este prefixo, escolha
HQ-BUILDING-2.
4. Clique em OK.
5. Clique com o boto direito do mouse em 10.1.0.0/24 e clique em
Propriedades.
6. Na caixa Descrio, digite Prdio 2 da Matriz.
7. Na lista suspensa Site, selecione HQ-BUILDING-2.
8. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-274 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
9. Na rvore de console, clique com o boto direito do mouse em Subnets e
clique em Nova Sub-rede.
10. Na caixa Prefixo, digite 10.2.0.0/24.
11. Na lista Selecione um objeto de site para este prefixo, escolha BRANCHA.
12. Clique em OK.
13. Clique com o boto direito do mouse em 10.2.0.0/24 e clique em
Propriedades.
14. Na caixa Descrio, digite Filial A.
15. Na lista suspensa Site, selecione BRANCHA.
16. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Configurao de sites e sub-redes L12-275
Exerccio 3: Mover controladores de domnio para sites
Tarefa 1: Mover controladores de domnio para novos sites
1. Na rvore de console, expanda HEADQUARTERS e clique no n Servers.
2. No painel de detalhes, clique com o boto direito do mouse em HQDC03-B e
clique em Mover.
A caixa de dilogo Mover Servidor ser exibida.
3. Clique em HQ-BUILDING-2 e em OK.
4. No painel de detalhes, clique com o boto direito do mouse em
BRANCHDC01 e clique em Mover.
A caixa de dilogo Mover Servidor ser exibida.
5. Clique em BRANCHA e em OK.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
Perguntas de reviso do laboratrio
Pergunta: Voc tem um site com 50 sub-redes, cada uma com um endereo de
sub-rede 10.0.x.0/24, e no existem outras sub-redes 10.0.x.0. O que voc poderia
fazer para facilitar a identificao das 50 sub-redes e associ-las a um site?
Resposta: Defina uma sub-rede nica, 10.0.0.0/16.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-276 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
Pergunta: Por que importante que todas as sub-redes sejam identificadas e
associadas a um site em uma empresa com vrios sites?
Resposta: A localizao de controlador de domnio (e outros servios) fica mais
eficiente por meio da referncia de clientes ao site correto, com base no endereo
IP do cliente e na definio de sub-redes. Se um cliente tiver um endereo IP que
no pertena a um site, a consulta ser feita sobre todos os controladores de
domnio no domnio, e isso no nada eficaz. Na verdade, um nico cliente pode
estar executando aes em controladores de domnio localizados em diferentes
sites, o que pode levar a resultados muito estranhos (se essas alteraes no
tiverem sido replicadas ainda). muito importante que cada cliente saiba em que
site est, e isso conseguido verificando se os controladores de domnio so
capazes de identificar em que site um cliente est.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Configurao do catlogo global e das parties de aplicativos L12-277
Laboratrio B: Configurao do
catlogo global e das parties de
aplicativos
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-278 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Configurao do catlogo global e das parties de aplicativos L12-279
Exerccio 1: Configurar um catlogo global
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devem estar iniciadas e disponveis aps a concluso do
Laboratrio A. Entretanto, caso no estejam, voc deve concluir as etapas abaixo e
depois percorrer os Exerccios 1 a 3 no Laboratrio A antes de continuar.
1. Inicie 10222A-HQDC01-B. Esta mquina virtual pode levar alguns minutos
para iniciar.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-HQDC02-B, mas no faa logon.
4. Depois que HQDC02-B tiver sido iniciado, inicie 10222A-HQDC03-B, mas no
faa logon.
5. Depois que HQDC03-B tiver sido iniciado, inicie 10222A-BRANCHDC01-B,
mas no faa logon.
6. Espere at que a inicializao de BRANCHDC01 esteja concluda para
continuar com a prxima tarefa.
Tarefa 2: Configurar um servidor de catlogo global
1. Em HQDC01, execute Servios e Sites do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda HEADQUARTERS, Servers e HQDC02 e
clique no n NTDS Settings abaixo de HQDC02.
3. Clique com o boto direito do mouse no n NTDS Settings abaixo de
HQDC02 e clique em Propriedades.
4. Marque a caixa Catlogo global e clique em OK.
5. Repita as etapas 2 e 3 para confirmar que BRANCHDC01 no site BRANCHA
um servidor de catlogo global.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-280 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
Exerccio 2: Configurar o cache de associao de grupo
universal
Tarefa 1: Configurar o cache de associao de grupo universal
1. Na rvore de console, clique em BRANCHA.
2. No painel de detalhes, clique com o boto direito do mouse em NTDS Site
Settings e clique em Propriedades.
3. Clique na guia Configuraes de Site.
4. Marque a caixa de seleo Ativar cache de associao de grupo universal.
5. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Configurao do catlogo global e das parties de aplicativos L12-281
Exerccio 3: Examinar o DNS e as parties de diretrio de
aplicativos
Tarefa 1: Examinar os registros DNS relacionados replicao
1. Execute o Gerenciador DNS com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda HQDC01, Zonas de Pesquisa Direta,
contoso.com, _sites e HEADQUARTERS e clique em _tcp em
HEADQUARTERS..
3. Examine os registros de localizador de servio.
4. Na rvore de console, expanda BRANCHA e clique em _tcp em BRANCHA.
5. Examine os registros de localizador de servio.
Tarefa 2: Examinar a partio de diretrio de aplicativos do DNS
1. Clique em Iniciar > Ferramentas Administrativas > ADSI Editar e insira as
credenciais administrativas quando solicitado. Use a conta Pat.Coleman
Admin com a senha Pa$$w0rd.
2. Na rvore de console, clique com o boto direito do mouse em ADSI Editar e
clique em Conectar-se a.
3. Na lista suspensa Selecione um contexto de nomenclatura bem conhecido,
selecione Configurao.
4. Aceite todos os outros padres. Clique em OK.
5. Na rvore de console, clique em Configurao e expanda.
6. Na rvore de console, clique em CN=Configuration, DC=contoso, DC=com e
expanda.
7. Na rvore de console, clique em CN=Partitions.
8. Clique com o boto direito do mouse em ADSI Editar e clique em
Conectar-se a.
9. Clique em Selecione ou digite um Nome Distinto ou Contexto de
Nomenclatura.
10. Na caixa de combinao, digite DC=DomainDnsZones,DC=contoso,DC=com.
Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-282 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
11. Na rvore de console, clique em Contexto de nomenclatura padro e
expanda.
12. Clique em DC=DomainDnsZones,DC=contoso,DC=com e expanda.
13. Clique em CN=MicrosoftDNS e expanda.
14. Clique em DC=contoso.com.
15. Examine os objetos neste continer. Compare os registros com os registros
DNS que voc examinou no exerccio anterior.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
Perguntas de reviso do laboratrio
Pergunta: Descreva a relao entre os registros exibidos no ADSI Editar e no
Gerenciador DNS.
Resposta: Todo registro visto nas zonas de pesquisa direta do Gerenciador DNS
tem um registro correspondente nas parties de diretrio de aplicativos do DNS.
Entretanto, os registros conforme exibidos na partio de diretrio de aplicativos
so simples. O Gerenciador DNS apresenta os registros em uma hierarquia.
Pergunta: Quando voc examinou os registros DNS em
_tcp.BRANCHA._sites.contoso.com, qual controlador de domnio estava
registrando os registros de localizador de servio no site? Explique por que ele fez
isso.
Resposta: As respostas iro variar dependendo de qual controlador de domnio
cobrir BRANCHA. Quando o site no tem controladores de domnio, um
controlador de domnio cobre os clientes no site anunciando a si mesmo com o
uso dos registros SRV no site.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao da replicao L12-283
Laboratrio C: Configurao da
replicao
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-284 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao da replicao L12-285
Exerccio 1: Criar um objeto de conexo
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devem estar iniciadas e disponveis aps a concluso dos
Laboratrios A e B. Entretanto, caso no estejam, voc deve concluir as etapas
abaixo e depois percorrer os Exerccios 1 a 3 nos Laboratrios A e B antes de
continuar.
1. Inicie 10222A-HQDC01-B.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Depois de fazer logon em HQDC01, inicie 10222A-HQDC02-B, mas no faa
logon.
4. Depois que HQDC02-B tiver sido iniciado, inicie 10222A-HQDC03-B, mas no
faa logon.
5. Depois que HQDC03-B tiver sido iniciado, inicie 10222A-BRANCHDC01-B,
mas no faa logon.
6. Espere at que a inicializao de BRANCHDC01 esteja concluda para
continuar com a prxima tarefa.
Tarefa 2: Criar um objeto de conexo
1. Execute Servios e Sites do Active Directory com credenciais administrativas.
Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda HEADQUARTERS, Servers e HQDC02 e
clique no n NTDS Settings abaixo de HQDC02.
3. Clique com o boto direito do mouse em NTDS Settings e clique em Nova
Conexo dos Servios de Domnio Active Directory.
4. Na caixa de dilogo Localizar Controladores de Domnio do Active
Directory, selecione HQDC01 e clique em OK.
Ser exibida uma mensagem perguntando se voc deseja criar outra conexo.
Como o KCC (Verificador de Consistncia de Conhecimento) j criou uma
conexo de HQDC01 para HQDC02, ser exibida uma mensagem
perguntando se voc deseja criar uma conexo duplicada. A conexo direta
que voc criar ser persistente, enquanto que as conexes geradas
automaticamente pelo KCC podero ser alteradas. Voc deseja garantir que a
conexo sempre ser mantida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-286 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
5. Clique em Sim.
6. Na caixa de dilogo Novo Objeto Conexo, digite o nome HQDC01 -
MESTRE DE OPERAES e clique em OK.
7. Clique com o boto direito do mouse no objeto de conexo HQDC01 -
MESTRE DE OPERAES em objeto de configuraes NTDS no painel de
detalhes e clique em Propriedades.
Pergunta: Examine as propriedades do objeto de conexo. No faa nenhuma
alterao. Quais parties so replicadas a partir de HQDC01? HQDC02 um
servidor GC? Como saber?
Resposta: HQDC02 replica o domnio (contoso.com), o Esquema e a
Configurao de HQDC01. Ele tambm um servidor de catlogo global. A
propriedade Contexto(s) de Nomenclatura Parcialmente Replicado(s) mostra
Todos os outros domnios. Essa outra forma de descrever o conjunto de atributos
parcial da floresta.
8. Clique em OK para fechar a caixa de dilogo Propriedades.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao da replicao L12-287
Exerccio 2: Criar links de sites
Tarefa 1: Criar links de sites
1. Na rvore de console Servios e Sites do Active Directory, expanda Inter-Site
Transports e clique em IP.
2. No painel de detalhes, clique com o boto direito do mouse em
DEFAULTIPSITELINK e clique em Renomear.
3. Digite HQ-HQB2 e pressione ENTER.
4. Clique duas vezes em HQ-HQB2.
5. Na guia Geral, na lista Sites presentes neste link de site, clique em
BRANCHA e em Remover. Clique em OK.
6. Na rvore de console, clique com o boto direito do mouse em IP e clique em
Novo Link de Site.
7. Na caixa Nome, digite HQ-BRANCHA.
8. Na lista Sites no presentes neste link de site, clique em HEADQUARTERS e
em Adicionar.
9. Na lista Sites no presentes neste link de site, clique em BRANCHA e em
Adicionar.
10. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-288 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
Exerccio 3: Mover controladores de domnio para sites
Tarefa 1: Mover controladores de domnio para novos sites
1. Na rvore de console, expanda HEADQUARTERS e clique no n Servers.
2. No painel de detalhes, clique com o boto direito do mouse em
BRANCHDC01 e clique em Mover.
A caixa de dilogo Mover Servidor ser exibida.
3. Clique em BRANCHA e em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao da replicao L12-289
Exerccio 4: Designar um servidor bridgehead preferencial
Tarefa 1: Designar um servidor bridgehead preferencial
1. Na rvore de console, expanda HEADQUARTERS e Servers e clique no n
HQDC02.
2. Clique com o boto direito do mouse em HQDC02 e clique em Propriedades.
3. Na lista Transportes disponveis para transferncia de dados entre sites,
clique em IP.
4. Clique em Adicionar e em OK.
Uma mensagem de aviso longa ser exibida.
5. Leia a mensagem. Voc ir discuti-la no fim do laboratrio.
6. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L12-290 Mdulo 12: Gerenciamento de sites e replicao do Active Directory
Exerccio 5: Configurar a replicao entre sites
Tarefa 1: Configurar a replicao entre sites
1. Na rvore de console, expanda Inter-Site Transports e clique no n IP.
2. No painel de detalhes, clique duas vezes no link de site HQ-HQB2.
3. Na caixa de rotao Replicar a cada, digite 15 e clique em OK.
4. No painel de detalhes, clique duas vezes no link de site HQ-BRANCHA.
5. Na caixa de rotao Replicar a cada, digite 15.
6. Clique no boto Alterar Agendamento.
7. Examine a caixa de dilogo Agendar para HQ-BRANCHA. Experimente a
configurao do agendamento, mas clique em Cancelar quando tiver
terminado.
8. Na caixa de rotao Custo, digite 200.
9. Clique em OK.
Observao: aps concluir esse exerccio, desligue todas as mquinas virtuais e descarte
os discos de desfazer.
Perguntas de reviso do laboratrio
Pergunta: Explique a mensagem de aviso exibida quando voc designou HQDC02
como um servidor bridgehead preferencial.
Resposta: Um servidor bridgehead atua como bridgehead somente para as
parties do Active Directory que ele contm. Como HQDC02 no um servidor
DNS, ele no hospeda as parties de aplicativos ForestDnsZones ou
DomainDnsZones. O ISTG continuar a designar automaticamente outro
controlador de domnio no site como servidor bridgehead para essas duas
parties. A mensagem de aviso explicou que a prtica recomendada designar
bridgeheads para cada partio. O ideal seria que o servidor bridgehead
hospedasse todas as parties (nesse caso, inclusive as parties de aplicativos
DNS).
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Configurao da replicao L12-291
Pergunta: Quais so as vantagens da reduo do intervalo de replicao entre
sites? Quais so as desvantagens?
Resposta: A convergncia aprimorada. As alteraes feitas em um site so
replicadas com mais rapidez em outros sites. Na verdade, se houver, so poucas as
desvantagens. Se voc considerar que as mesmas alteraes devem ser replicadas
dentro de 15 minutos ou 3 horas, conclui-se que uma questo de durao da
replicao, e no de quantidade de replicao. Entretanto, em algumas situaes
extremas, possvel que a ao de permitir a ocorrncia de um nmero menor de
alteraes com mais frequncia pode ser menos prefervel do que permitir a
replicao de um grande nmero de alteraes com menos frequncia.
Pergunta: O procedimento que voc realizou no Exerccio 2 suficiente para criar
uma topologia de replicao hub e spoke, que garante que todas as alteraes nas
filiais sejam replicadas na matriz antes de serem replicadas em outras filiais? Caso
contrrio, o que ainda deve ser feito?
Resposta: Voc deve desabilitar Ponte entre links de sites.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-293
Mdulo 13: Continuidade do servio de
diretrio
Laboratrio A: Monitoramento do
desempenho e dos eventos do
Active Directory
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-294 Mdulo 13: Continuidade do servio de diretrio
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-295
Exerccio 1: Monitorar o desempenho em tempo real
usando o Gerenciador de Tarefas e o Monitor de Recursos
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-B.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Abra o arquivo D:\Labfiles\Lab13a.
4. Execute Lab13a_Setup.bat com credenciais administrativas. Use a conta
Administrador com a senha Pa$$w0rd.
5. O script de instalao do laboratrio ser executado. Quando ele estiver
concludo, pressione qualquer tecla para continuar.
6. Feche a janela do Windows Explorer, Lab13a.
7. Inicie 10222A-HQDC02-B.
8 Faa logon em HQDC02 como Pat.Coleman com a senha Pa$$w0rd.
Tarefa 2: Monitorar o desempenho em tempo real com o Gerenciador
de Tarefas
1. Alterne para HQDC01.
2. Pressione CTRL+SHIFT+ESC para iniciar o Gerenciador de Tarefas.
3. Clique na guia Processos.
4. Clique com o boto direito do mouse em taskmgr.exe e examine os comandos
disponveis. Em seguida, clique em Propriedades.
A caixa de dilogo Propriedades do executvel ser aberta.
5. Feche a caixa de dilogo Propriedades.
6. Clique em Mostrar processos de todos os usurios.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
7. Clique em Usar Outra Conta.
8. Em Nome de usurio, digite Pat.Coleman Admin.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-296 Mdulo 13: Continuidade do servio de diretrio
9. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O Gerenciador de Tarefas ser reaberto com todos os processos exibidos e
todos os recursos administrativos habilitados.
10. Voc pode no ver o Gerenciador de Tarefas porque ele pode estar
minimizado ou atrs de outras janelas. Clique no cone do Gerenciador de
Tarefas na barra de tarefas para torn-lo visvel.
11. Clique na guia Processos.
12. Examine a lista completa de processos sendo executados no sistema.
13. Clique na guia Servios.
14. Clique com o boto direito do mouse no servio Dnscache e clique em
Interromper Servio.
15. Clique com o boto direito do mouse no servio Dnscache e clique em Iniciar
Servio.
16. Clique com o boto direito do mouse no servio Dnscache e clique em Ir para
Processo.
Pergunta: Qual processo est hospedando o servio Cliente DNS?
Resposta: svchost.exe
17. Clique com o boto direito do mouse no processo e clique em Ir para
Servio(s).
Pergunta: A guia Servios expe um subconjunto da funcionalidade mais utilizada
de qual snap-in administrativo?
Resposta: O snap-in Servios
18. Clique no boto Servios.
O console Servios ser exibido.
19. Feche o console Servios.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-297
20. Clique na guia Usurios.
Essa guia exibe os usurios que possuem conexes locais (Console) ou de rea
de trabalho remota com o servidor.
21. Clique na guia Rede.
Essa guia fornece uma viso geral do desempenho de cada adaptador de rede
disponvel.
22. Clique na guia Desempenho.
Essa guia fornece uma viso geral do desempenho de memria e utilizao da
CPU.
Pergunta: Que principal componente do sistema no mostrado pelo gerenciador
de tarefas?
Resposta: Disco
Tarefa 3: Monitorar o desempenho em tempo real com o Monitor de
Recursos
1. No Gerenciador de Tarefas, na guia Desempenho, clique no boto Monitor de
Recursos.
Se for solicitado que voc fornea credenciais administrativas, use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. O Monitor de Recursos ser exibido. Maximize a janela Monitor de Recursos e
feche o Gerenciador de Tarefas.
3. Clique no grfico CPU. A seo CPU ser expandida.
Pergunta: Quanta utilizao de CPU est sendo gerada pelo prprio Monitor de
Desempenho?
Resposta: As respostas variaro. A utilizao ser elevada no incio, quando a
ferramenta for aberta, e aumentar quando os modos de exibio forem alterados.
Se um modo de exibio for mantido, a utilizao diminui.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-298 Mdulo 13: Continuidade do servio de diretrio
5. Clique no grfico CPU. A seo CPU ser recolhida.
6. Clique no grfico Disco. A seo Disco ser expandida.
Perguntas: Qual arquivo est com maior atividade de leitura? Qual processo est
causando a atividade de leitura desse arquivo? Qual arquivo est com maior
atividade de gravao? Qual processo est causando a atividade de gravao desse
arquivo?
Resposta: As respostas variaro.
7. Para visualizar a atividade do arquivo de paginao, clique no rtulo da coluna
Arquivo.
8. Se o arquivo C:\pagefile.sys no estiver listado, abra um aplicativo (como o
Gerenciador de Servidores) com credenciais administrativas. Use a conta
Pat.Coleman admin com a senha Pa$$w0rd. Isso deve gerar alguma atividade
de paginao.
Perguntas: Quantos processos esto lendo ou gravando em pagefile.sys?
Resposta: As respostas variaro.
Pergunta: Se a atividade de leitura e de gravao do arquivo de paginao for
constantemente alta, que componente do sistema dever ser aumentado?
Resposta: Memria. A paginao excessiva provoca atividade de disco, mas a
prpria paginao provocada pela insuficincia de memria RAM.
9. Feche o Gerenciador de Recursos
10. Clique no boto Iniciar.
11. Na caixa Iniciar Pesquisa, digite perfmon e pressione ENTER.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
12. Clique em Usar Outra Conta.
13. Em Nome de usurio, digite Pat.Coleman Admin.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-299
14. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
Usurios, membros do grupo Usurios do Monitor de Desempenho, membros
do grupo Usurios do Log de Desempenho e membros do grupo
Administradores local podem acessar nveis crescentes de funcionalidade do
WRPM (Monitor de Desempenho do Windows).
O Monitor de Desempenho ser aberto.
O modo de exibio inicial do console Viso Geral do Recurso, equivalente
ao Monitor de Recursos.
Observe que a rvore de console contm cada um dos snap-ins do WRPM.
15. Feche o Monitor de Desempenho.
16. Clique no boto Iniciar.
17. Na caixa Iniciar Pesquisa, digite perfmon /res e pressione ENTER.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
18. Em Nome de usurio, digite Pat.Coleman Admin.
19. Na caixa Senha, digite Pa$$w0rd e pressione ENTER. O Monitor de Recursos
ser aberto.
Essa uma forma alternativa de abrir o Monitor de Recursos (aberto por voc
a partir do Gerenciador de Tarefas), que o modo de exibio inicial do
console do Monitor de Desempenho.
20. Feche o Monitor de Recursos.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-300 Mdulo 13: Continuidade do servio de diretrio
Exerccio 2: Usar o Monitor de Confiabilidade e o Visualizar
Eventos para identificar eventos relacionados a
desempenho
Tarefa 1: Monitorar eventos relacionados estabilidade com o
Monitor de Confiabilidade
1. Clique no cone Gerenciador de Servidores ao lado do boto Iniciar.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
2. Em Nome de usurio, digite Pat.Coleman Admin.
3. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O Gerenciador de Servidores ser aberto.
4. Na rvore de console, expanda Diagnstico, Desempenho e Confiana e
Ferramentas de Monitoramento. Em seguida, clique em Monitor de
Confiabilidade.
5. No Relatrio de Estabilidade do Sistema, role a barra para a esquerda e para
a direita.
6. Clique no cone Informaes na linha (Des)instalaes de Software em 9 de
setembro de 2009.
7. Examine os eventos que afetaram a estabilidade do sistema em 9 de setembro
de 2009.
Tarefa 2: Identificar eventos relacionados funo com o Gerenciador
de Servidores
1. Na rvore de console do Gerenciador de Servidores, clique no n raiz
Gerenciador de Servidores.
2. No painel de detalhes, role at a seo Resumo de Funes.
Pergunta: Quais cones aparecem ao lado das funes ADDS e Servidor DNS?
Resposta: As respostas variaro.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-301
3. Clique no link da funo Servios de Domnio Active Directory na seo
Resumo de Funes.
4. Na seo Resumo, examine as informaes mostradas na seo Eventos.
5. Clique no link Filtrar Eventos na seo Eventos.
A caixa de dilogo Filtrar Eventos ser exibida.
6. Desmarque a caixa de seleo Informaes e clique em OK.
7. Clique duas vezes em um evento para abrir seus detalhes, examine-o e feche-o.
8. Observe as informaes mostradas na seo Servios do Sistema.
Tarefa 3: Examinar os logs de eventos
1. Na rvore de console do Gerenciador de Servidores, expanda Diagnstico e
Visualizar Eventos. Em seguida, clique em Visualizar Eventos.
O modo de exibio Viso Geral e Resumo do Visualizar Eventos ser aberto
no painel de detalhes.
2. Na seo Resumo dos Eventos Administrativos, clique no cone do sinal de
adio (+) ao lado de Erro para expandir o resumo dos eventos de Erro.
3. Clique duas vezes em uma linha de resumo com ActiveDirectory como
origem.
Se voc no vir uma linha no resumo com ActiveDirectory como a origem,
clique duas vezes em outra linha no resumo de eventos de Erro.
O modo de exibio Eventos da pgina de resumo ser aberto no painel de
detalhes.
Esse modo de exibio "faz uma busca detalhada" para mostrar os eventos que
foram resumidos na linha do resumo de eventos de Erro.
4. Na rvore de console, expanda Logs do Windows e Logs de Aplicativos e
Servios.
5. Examine os logs contidos nos ns e os tipos de eventos exibidos.
6. Na rvore de console, clique no n Eventos Administrativos em Modos de
Exibio Personalizados.
7. Examine os eventos no modo de exibio.
8. Clique com o boto direito do mouse em Eventos Administrativos e em
Propriedades.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-302 Mdulo 13: Continuidade do servio de diretrio
9. Observe que Descrio indica que o modo de exibio mostra os eventos
Crtico, Erro e Aviso de todos os logs administrativos.
10. Clique no boto Editar Filtro.
A caixa de dilogo Propriedades do Modo de Exibio Personalizado (Somente
Leitura) ser exibida
11. Observe que esse modo de exibio personalizado no pode ser modificado
pois ele Somente Leitura.
12. Observe tambm que difcil saber exatamente quais logs esto sendo
includos na lista Logs de Eventos. As informaes esto truncadas.
13. Clique na guia XML.
Pergunta: Voc pode identificar quais logs esto includos usando as informaes
da guia XML?
Resposta: Os logs de Aplicativo, Segurana, Sistema, Replicao DFS, Servio de
Diretrio, Servidor DNS, Eventos de hardware, Internet Explorer, Servio de
Gerenciamento de Chaves e Microsoft-Windows-TerminalServices-
PnPDevices/Admin esto includos.
Pergunta: Em cada elemento XML Select, voc acha que Nvel se refere a qu?
Resposta: O Nvel se refere ao nvel do evento: eventos de Aviso, de Erro ou
Crticos.
14. Clique em Cancelar duas vezes para fechar as caixas de dilogo abertas.
Tarefa 4: Criar um modo de exibio personalizado
1. Na rvore de console, clique em Modos de Exibio Personalizados.
2. Clique com o boto direito do mouse em Modos de Exibio Personalizados
e clique em Criar Modo de Exibio Personalizado.
A caixa de dilogo Criar Modo de Exibio Personalizado ser exibida.
3. Nas opes de Nvel do evento, selecione Nvel crtico, Aviso e Erro.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-303
4. Na lista Logs de eventos, expanda Logs de Aplicativos e Servios e selecione
Replicao DFS, Servio de Diretrio e Servidor DNS.
5. Clique em OK.
A caixa de dilogo Salvar Filtro no Modo de Exibio Personalizado ser
exibida.
6. Em Nome, digite Modo de Exibio Personalizado de Eventos do Servio de
Diretrio e clique em OK.
7. Na rvore de console, clique com o boto direito do mouse em Modo de
Exibio Personalizado de Eventos do Servio de Diretrio e examine os
comandos que esto disponveis para o modo de exibio.
Tarefa 5: Exportar um modo de exibio personalizado
1. Na rvore de console, clique com o boto direito do mouse em Modo de
Exibio Personalizado de Eventos do Servio de Diretrio e clique em
Exportar Modo de Exibio Personalizado.
A caixa de dilogo Salvar como ser exibida.
2. Em Nome do arquivo, digite D:\Data\DSEventView e pressione ENTER.
Tarefa 6: Importar um modo de exibio personalizado
1. Alterne para HQDC02.
2. Clique no cone Gerenciador de Servidores ao lado do boto Iniciar.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
3. Em Nome de usurio, digite Pat.Coleman Admin.
4. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O Gerenciador de Servidores ser aberto.
5. Na rvore de console, expanda Diagnstico, Visualizar Eventos e Modos de
Exibio Personalizados. Em seguida, clique em Modos de Exibio
Personalizados.
6. Clique com o boto direito do mouse em Modos de Exibio Personalizados
e clique em Importar Modo de Exibio Personalizado.
A caixa de dilogo Importar Modo de Exibio Personalizado ser aberta.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-304 Mdulo 13: Continuidade do servio de diretrio
7. Em Nome do Arquivo, digite \\HQDC01\Data\DSEventView.xml e
pressione ENTER.
A caixa de dilogo Importar Arquivo de Modo de Exibio Personalizado ser
exibida.
8. Em Nome, digite Modo de Exibio Personalizado de Eventos do Servio de
Diretrio e clique em OK.
A mensagem Erro de Consulta ser exibida, pois HQDC02 no um Servidor
DNS (Sistema de Nomes de Domnio) e, portanto, no possui log de Servidor
DNS.
9. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-305
Exerccio 3: Monitorar eventos em computadores remotos
com inscries de eventos
Tarefa 1: Configurar computadores para encaminhar e coletar eventos
1. Alterne para HQDC01 (o computador coletor).
2. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
3. Digite wecutil qc e pressione ENTER.
Voc solicitado a confirmar a alterao.
4. Digite Y e pressione ENTER.
5. Alterne para HQDC02 (o computador de origem).
6. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
7. Digite winrm quickconfig e pressione ENTER.
Voc solicitado a confirmar a alterao.
8. Digite Y e pressione ENTER.
Tarefa 2: Criar uma inscrio para coletar eventos
1. Alterne para HQDC01.
2. Alterne para o Gerenciador de Servidores.
3. Na rvore de console, em Visualizar Eventos, clique em Inscries.
4. Clique com o boto direito do mouse em Inscries e clique em Criar
Inscrio.
A caixa de dilogo Propriedades da Inscrio ser exibida.
5. Em Nome da inscrio, digite Servios do DC.
6. Verifique se a opo Coletor iniciado est selecionada.
7. Clique no boto Selecionar Computadores.
A caixa de dilogo Computadores ser exibida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-306 Mdulo 13: Continuidade do servio de diretrio
8. Clique no boto Adicionar Computadores de Domnio.
A caixa de dilogo Selecionar Computador ser exibida.
9. Digite HQDC02 e clique em OK.
10. Clique no boto Testar.
Ser exibida uma mensagem do Visualizar Eventos, indicando que o teste de
conectividade foi bem-sucedido.
11. Clique em OK.
12. Clique em OK para fechar a caixa de dilogo Computadores.
13. Clique no boto Selecionar Eventos.
A caixa de dilogo Filtro de Consulta ser aberta.
14. Clique na caixa de seleo Informaes na seo Nvel do evento: .
15. Clique na seta suspensa Logs de Eventos.
16. Expanda Logs do Windows e selecione o Log do sistema.
17. Clique na caixa Inclui/Exclui Identificaes de Evento.
18. Digite 7036, a Identificao do Evento associada inicializao ou
interrupo de um servio.
19. Clique em OK.
20. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Inscrio Avanadas ser exibida.
21. Clique em Usurio Especfico.
22. Clique no boto Usurio e Senha.
A caixa de dilogo Credenciais para a Origem da Inscrio ser exibida.
23. Em Nome de usurio, digite CONTOSO\Pat.Coleman Admin.
Estamos usando uma conta que membro do grupo Admins do Domnio
neste laboratrio, mas voc dever criar uma conta dedicada a executar esse
monitoramento em um ambiente do mundo real.
24. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
25. Clique na opo Minimizar Latncia e clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-307
26. Clique em OK para fechar a caixa de dilogo Propriedades da Inscrio.
27. Se forem exibidas mensagens do Visualizar Eventos, clique em Sim.
28. Verifique se a coluna Status da inscrio indica Ativa.
Tarefa 3: Gerar eventos
1. Alterne para HQDC02.
2. No prompt de comando (sendo executado como administrador), digite net
stop dfsr e pressione ENTER.
3. Digite net start dfsr e pressione ENTER.
Tarefa 4: Exibir eventos encaminhados
1. Alterne para HQDC01.
2. Na rvore de console do Gerenciador de Servidores, em Visualizar
Eventos\Logs do Windows, clique em Eventos Encaminhados.
Os eventos encaminhados podem levar alguns minutos para serem exibidos.
Se os eventos no forem exibidos imediatamente, aguarde alguns minutos,
inicie e pare o servio DFSR (Replicao do Sistema de Arquivos Distribudos)
em HQDC02 novamente e aguarde mais alguns minutos.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-308 Mdulo 13: Continuidade do servio de diretrio
Exerccio 4: Anexar tarefas a eventos e logs de eventos
Tarefa 1: Anexar uma tarefa a um log de eventos e a um evento
1. Alterne para HQDC01.
2. Na rvore de console do Gerenciador de Servidores, em Visualizar
Eventos\Logs do Windows, clique em Eventos Encaminhados.
3. Clique com o boto direito do mouse em Eventos Encaminhados e clique em
Anexar uma Tarefa a este Log e em Avanar.
4. Na pgina Quando um Evento Especfico for Registrado, clique em Avanar.
Voc pode invocar uma tarefa quando um evento correspondente a critrios
especificados for registrado ou quando algum evento for adicionado a um log.
Para cada disparador, possvel enviar uma mensagem de email, iniciar um
programa ou exibir uma mensagem na rea de trabalho. Em um ambiente de
produo, enviar uma mensagem de email ou iniciar um programa que
responda a um evento so as tarefas mais comuns para serem invocadas.
Entretanto, neste laboratrio, voc usar a tarefa "exibir uma mensagem" para
demonstrar que, na prtica, as tarefas so disparadas.
5. Na pgina Ao, clique em Exibir uma Mensagem e em Avanar.
6. Na pgina Exibir uma Mensagem, em Ttulo, digite Evento Encaminhado
Recebido.
7. Em Mensagem, digite Um evento encaminhado foi recebido.
8. Clique em Avanar e em Concluir.
9. Clique em OK para reconhecer a mensagem do Visualizar Eventos.
10. No painel de detalhes, clique com o boto direito do mouse em um dos 7036
eventos. Em seguida, clique em Anexar Tarefa a este Evento e em Avanar.
11. Na pgina Quando um Evento Especfico for Registrado, clique em Avanar.
12. Na pgina Ao, clique em Exibir uma Mensagem e em Avanar.
13. Na pgina Exibir uma Mensagem, em Ttulo, digite Evento do Servio DC.
14. Em Mensagem, digite Um servio foi iniciado ou parado.
15. Clique em Avanar e em Concluir.
16. Clique em OK para reconhecer a mensagem do Visualizar Eventos.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-309
17. Na rvore de console, expanda Configurao, Agendador de Tarefas e
Biblioteca do Agendador de Tarefas. Em seguida, clique em Tarefas de
Visualizar Eventos.
18. Clique duas vezes na primeira tarefa do visualizar eventos.
19. Explore as propriedades da tarefa que voc criou.
Tarefa 2: Preparar para exibir as mensagens de tarefa do visualizar
eventos
Ao optar por exibir uma mensagem em uma tarefa, pois as mensagens so exibidas
na rea de trabalho do usurio cuja conta usada para criar a tarefa do visualizar
eventos (Pat.Coleman Admin), voc precisar fazer logon interativamente como
Pat.Coleman Admin para experimentar completamente essa simulao.
1. Clique no boto Iniciar, em seguida, clique na seta ao lado do boto Bloquear
e clique em Fazer Logoff.
O prompt de logon ser exibido.
2. Pressione ALT+DEL. Isso envia a sequncia de teclas segura
(CTRL+ALT+DELETE) para o convidado da mquina virtual.
3. Clique em Trocar Usurio.
4. Clique em Outro Usurio.
5. Em Nome de usurio, digite Pat.Coleman Admin.
6. Na caixa Senha, digite Pa$$w0rd e pressione ENTER ou clique na seta de
logon.
A rea de trabalho do Windows ser exibida.
Tarefa 3: Confirmar se as tarefas do visualizar eventos esto
funcionando
1. Alterne para HQDC02.
2. No prompt de comando (sendo executado como administrador), digite net
stop dfsr e pressione ENTER.
3. Digite net start dfsr e pressione ENTER.
4. Alterne para HQDC01.
5. Aguarde at que as mensagens de tarefa de visualizar eventos sejam exibidas.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-310 Mdulo 13: Continuidade do servio de diretrio
Exerccio 5: Monitorar o AD DS (Servios de Domnio Active
Directory) com o Monitor de Desempenho
Tarefa 1: Configurar o Monitor de Desempenho para monitorar o AD
DS
1. Alterne para HQDC02.
2. Na rvore de console do Gerenciador de Servidores, expanda Diagnstico,
Confiabilidade e Desempenho e Ferramentas de Monitoramento. Em
seguida, clique em Monitor de Desempenho.
3. Clique no boto Adicionar (o sinal de adio verde) na barra de ferramentas
para adicionar objetos e contadores.
A caixa de dilogo Adicionar Contadores ser exibida.
4. Na lista Contadores disponveis, expanda o objeto DirectoryServices.
5. Clique no contador Total de Bytes de Entrada DRA/s e no boto Adicionar.
6. Repita a etapa anterior para adicionar os contadores a seguir:
Total de Bytes de Sada DRA/s
Threads DS em Uso
Leituras de Pastas DS/s
Gravaes em Pastas DS/s
Pesquisas de Pastas DS/s
7. Na lista Contadores disponveis, expanda o objeto Estatsticas Vastas do
Sistema de Segurana.
8. Selecione o contador Autenticaes Kerberos e clique no boto Adicionar.
9. Na lista Contadores disponveis, expanda o objeto DNS.
10. Selecione o contador Consulta UDP Recebida/s e clique no boto Adicionar.
11. Clique em OK.
12. Observe o desempenho por algum tempo.
13. Na lista de contadores abaixo do grfico, selecione Consulta UDP Recebida/s.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-311
14. Clique no boto Realar na barra de ferramentas.
O contador selecionado ser realado, facilitando a visualizao do
desempenho desse contador.
15. Clique novamente no boto Realar na barra de ferramentas para desativar o
realce.
16. Gaste algum tempo explorando a funcionalidade do Monitor de Desempenho.
Entretanto, no adicione nem remova contadores.
Tarefa 2: Criar um Conjunto de Coletores de Dados a partir de
contadores do Monitor de Desempenho
1. Na rvore de console, clique com o boto direito do mouse em Monitor de
Desempenho, aponte para Novo e clique em Conjunto de Coletores de
Dados.
A caixa de dilogo Criar novo Conjunto de Coletores de Dados ser exibida.
2. Em Nome, digite Contadores de Desempenho Personalizados do ADDS e
clique em Avanar.
3. Anote o diretrio raiz padro no qual o conjunto de coletores de dados ser
salvo e clique em Avanar.
4. Clique em Concluir.
Tarefa 3: Iniciar um Conjunto de Coletores de Dados
1. Na rvore de console, expanda Conjuntos de Coletores de Dados e Definido
pelo Usurio. Em seguida, clique em Definido pelo Usurio.
2. Clique com o boto direito do mouse em Contadores de Desempenho
Personalizados do ADDS e clique em Iniciar.
O n Contadores de Desempenho Personalizados do ADDS ser selecionado
automaticamente.
Voc pode identificar os coletores de dados individuais no Conjunto de
Coletores de Dados. Neste caso, s existe um coletor de dados (os contadores
de desempenho do Log do Monitor do Sistema) no conjunto de coletores de
dados.
Voc tambm pode identificar onde a sada do coletor de dados est sendo
salva.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-312 Mdulo 13: Continuidade do servio de diretrio
3. Na rvore de console, clique com o boto direito do mouse no conjunto de
coletores de dados Contadores de Desempenho Personalizados do ADDS e
clique em Parar.
Tarefa 4: Exibir um relatrio do Conjunto de Coletores de Dados
Na rvore de console, expanda Relatrios, Definido pelo Usurio e
Contadores de Desempenho Personalizados do ADDS. Em seguida, clique
em Log do Monitor do Sistema.blg.
O grfico dos contadores de desempenho do log ser exibido.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-313
Exerccio 6: Trabalhar com Conjuntos de Coletores de
Dados
Tarefa 1: Examinar um Conjunto de Coletores de Dados predefinido
1. Ainda em HQDC02 conectado como contoso\Pat.Coleman com a senha
Pa$$w0rd.
2. Na rvore de console do Gerenciador de Servidores, expanda Diagnstico,
Confiabilidade e Desempenho, Conjuntos de Coletores de Dados e Sistema.
Em seguida, clique em Diagnstico do Active Directory.
Pergunta: Quais coletores de dados fazem parte do Conjunto de Coletores de
Dados?
Resposta: Rastreamentos de evento para Ncleo do NT e Active Directory,
Configurao para Registro do AD e Contadores de Desempenho
3. Clique com o boto direito do mouse em Diagnstico do Active Directory e
clique em Iniciar.
4. Na rvore de console, expanda Relatrios, Sistema e Diagnstico do Active
Directory. Em seguida, clique no relatrio, que ser denominado aaaammdd-
xxxx, onde aaaa o ano atual, mm o ms atual, dd o dia atual e xxxx um
nmero de srie crescente de quatro dgitos.
O Status do Relatrio indica que os dados esto sendo coletados por 300
segundos (cinco minutos).
5. Espere cinco minutos ou pelo menos um minuto e clique com o boto direito
do mouse em Diagnstico do Active Directory em Conjuntos de Coletores
de Dados\Sistema. Em seguida, clique em Parar.
O Status do Relatrio indica que o relatrio est sendo gerado.
O relatrio ser exibido.
6. Gaste alguns minutos examinando as sees do relatrio.
7. Clique com o boto direito do mouse no relatrio, aponte para Exibir e clique
em Monitor de Desempenho.
8. Clique com o boto direito do mouse no relatrio, aponte para Exibir e clique
em Relatrio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-314 Mdulo 13: Continuidade do servio de diretrio
9. Clique com o boto direito do mouse no relatrio, aponte para Exibir e clique
em Pasta.
10. No painel de detalhes, clique duas vezes em Contador de Desempenho.
O log ser aberto em uma nova instncia do Monitor de Desempenho.
11. Se a nova instncia do WRPM estiver minimizada, abra-a clicando no boto
correspondente na barra de ferramentas.
12. Feche a nova instncia do WRPM.
13. Na rvore de console do Gerenciador de Servidores, expanda Ferramentas de
Monitoramento e clique em Monitor de Desempenho.
14. Clique no boto Exibir Dados de Logs na barra de ferramentas, que o
segundo boto na extrema esquerda da barra.
A caixa de dilogo Propriedades do Monitor de Desempenho ser aberta.
15. Clique na opo Arquivos de log.
16. Clique no boto Adicionar.
A caixa de dilogo Selecionar Arquivo de Log ser aberta, com foco em
C:\PerfLogs.
17. Clique duas vezes em ADDS.
18. Clique duas vezes na pasta com o mesmo nome que o relatrio gerado por
voc.
19. Clique em Contador de Desempenho e em Abrir.
20. Clique em OK.
21. Observe que os contadores no ficam visveis imediatamente.
22. Clique no sinal de adio verde (o boto Adicionar) na barra de ferramentas.
23. Na lista Contadores disponveis, expanda o objeto DirectoryServices.
24. Selecione Leituras de Pastas DS/s, Pesquisas de Pastas DS/s e Gravaes
em Pastas DS/s. Em seguida, clique em Adicionar.
25. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-315
Tarefa 2: Criar um Conjunto de Coletores de Dados
1. Na rvore de console do Gerenciador de Servidores, expanda Diagnstico,
Confiabilidade e Desempenho e Conjuntos de Coletores de Dados. Em
seguida, clique em Definido pelo Usurio.
2. Clique com o boto direito do mouse em Definido pelo Usurio, aponte para
Novo e clique em Conjunto de Coletores de Dados.
3. Na pgina Criar novo Conjunto de Coletores de Dados, na caixa Nome,
digite Diagnstico Personalizado do ADDS.
4. Clique na opo Criar usando um modelo (recomendado).
5. Clique em Avanar.
6. Na pgina Qual modelo deseja usar?, selecione Diagnstico do Active
Directory e clique em Avanar.
7. Na pgina Onde deseja salvar os dados?, no Diretrio raiz, crie uma pasta
C:\Conjuntos de Coletores de Dados do ADDS e clique em Avanar.
8. Na pgina Criar conjunto de coletores de dados?, clique no boto Alterar.
A caixa de dilogo Credenciais do Monitor de Desempenho ser exibida.
9. Em Nome de usurio, digite CONTOSO\Pat.Coleman Admin.
10. Em Senha, digite Pa$$w0rd e clique em OK.
Em um ambiente de produo, a conta que voc usa deve ser uma conta de
domnio exclusiva e membro do grupo Usurios do Log de Desempenho e ter
o direito de logon de usurio como um trabalho em lotes. Por padro, o grupo
Usurios do Log de Desempenho tem esse direito, portanto voc pode
simplesmente criar uma conta de domnio e torn-la um membro do grupo.
11. Clique em Concluir.
Tarefa 3: Configurar condies de incio de um Conjunto de Coletores
de Dados
1. Na rvore de console, clique com o boto direito do mouse em Diagnstico
Personalizado do ADDS e clique em Propriedades.
A caixa de dilogo Propriedades de Diagnstico Personalizado do ADDS ser
exibida.
2. Clique na guia Agendar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-316 Mdulo 13: Continuidade do servio de diretrio
3. Clique no boto Adicionar.
A caixa de dilogo Ao da Pasta ser exibida.
4. Confirme que Data de incio a data de hoje.
5. Marque a caixa de seleo Data de validade.
6. Na lista suspensa Data de validade, selecione a data correspondente a daqui a
uma semana.
7. Configure a hora de incio para cinco minutos aps o horrio atual. Anote a
hora de incio configurada.
Observe que a propriedade Data de validade especifica quando novas
instncias da coleta de dados deixaro de ser iniciadas. Ela no interrompe
sesses existentes. preciso configurar a Condio de Parada para especificar
quando a coleta de dados ser interrompida.
8. Clique em OK.
9. Na caixa de dilogo Propriedades de Diagnstico Personalizado do ADDS,
clique em Aplicar.
A caixa de dilogo Credenciais do Monitor de Desempenho ser exibida.
10. Em Nome de usurio, digite CONTOSO\Pat.Coleman Admin.
11. Em Senha, digite Pa$$w0rd e clique em OK.
Tarefa 4: Configurar condies de parada de um Conjunto de
Coletores de Dados
1. Clique na guia Condio de Parada.
2. Marque a caixa de seleo Durao Geral.
3. Configure a durao como 2 Minutos.
Em um ambiente de produo, provavelmente voc executaria um coletor de
dados por um perodo de tempo mais longo.
4. Marque a caixa de seleo Interromper quando todos os coletores de dados
tiverem terminado.
Essa opo permite que os coletores de dados que estejam sendo executados
quando a Durao Geral for atingida terminem de gravar os valores mais
recentes.
5. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Monitoramento do desempenho e dos eventos do Active Directory L13-317
Tarefa 5: Configurar o gerenciamento de dados de um coletor de
dados
1. Clique com o boto direito do mouse em Diagnstico Personalizado do
ADDS e clique em Gerenciador de Dados.
2. Na guia Gerenciador de Dados, clique na lista Diretiva de recurso e selecione
Excluir mais antigo.
3. Clique na guia Aes.
4. Clique em 1 Dia(s).
5. Clique no boto Editar.
A caixa de dilogo Ao da Pasta ser exibida.
6. Na seo Ao, marque a caixa de seleo Copiar arquivo cab para este
diretrio.
7. Na caixa Copiar arquivo cab para este diretrio, digite
\\hqdc01\ADDS_Diag_Reports.
8. Confirme se as caixas de seleo Criar arquivo cab e Excluir arquivo de
dados esto selecionadas.
9. Clique em OK.
10. Clique em OK.
A caixa de dilogo Credenciais do Monitor de Desempenho ser exibida.
11. Em Nome de usurio, digite Contoso\Pat.Coleman Admin.
12. Em Senha, digite Pa$$w0rd e clique em OK.
Tarefa 6: Exibir os resultados da coleta de dados
1. Espere at o horrio que voc configurou como a hora de incio do Conjunto
de Coletores de Dados.
2. Selecione o relatrio em Relatrios\Definido pelo Usurio\Diagnstico
Personalizado do ADDS.
O Status do Relatrio indica que os dados esto sendo coletados por 120
segundos (dois minutos).
Aps a concluso da coleta de dados, o Status do Relatrio indica que o
relatrio est sendo gerado.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-318 Mdulo 13: Continuidade do servio de diretrio
3. Gaste alguns minutos examinando o relatrio.
4. Clique com o boto direito do mouse no relatrio na rvore de console, aponte
para Exibir e clique em Pasta.
5. Clique duas vezes em Contador de Desempenho no painel de detalhes.
Uma nova instncia do Monitor de Desempenho ser aberta, com o Monitor
de Desempenho exibindo os dados registrados no log Contador de
Desempenho.
6. Gaste alguns minutos examinando o grfico de desempenho e, em seguida,
feche a janela.
Observao: no desligue as mquinas virtuais ao concluir este laboratrio, pois as
configuraes feitas aqui sero usadas nos laboratrios subsequentes neste mdulo.
Perguntas de reviso do laboratrio
Pergunta: No momento, em quais situaes voc usa ou pretende usar inscries
de eventos como uma ferramenta de monitoramento?
Resposta: As respostas podem variar de acordo com a situao.
Pergunta: Para quais eventos ou contadores de desempenho voc consideraria a
possibilidade de anexar aes ou notificaes por email? No momento, voc usa
aes ou notificaes no monitoramento da sua empresa?
Resposta: As respostas podem variar de acordo com a situao.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento do banco de dados do Active Directory L13-319
Laboratrio B: Gerenciamento do
banco de dados do Active
Directory
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-320 Mdulo 13: Continuidade do servio de diretrio
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento do banco de dados do Active Directory L13-321
Exerccio 1: Realizar manuteno do banco de dados
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devem estar iniciadas e disponveis aps a concluso do
Laboratrio A. Entretanto, caso no estejam, voc deve concluir as etapas abaixo.
1. Inicie 10222A-HQDC01-B.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-HQDC02-B, mas no faa logon.
Tarefa 2: Preparar para compactar o banco de dados do Active
Directory
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
2. Digite md D:\NTDSCompact.
3. Digite md D:\NTDSOriginal.
Tarefa 3: Parar o servio do AD DS
1. Clique em Iniciar, aponte para Ferramentas Administrativas, clique com o
boto direito do mouse em Servios e clique em Executar como
administrador.
2. Clique em Usar outra conta.
3. Em Nome de usurio, digite Pat.Coleman Admin.
4. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O console Servios ser aberto.
5. Clique em Servios de Domnio Active Directory.
6. Clique no boto Parar na barra de ferramentas.
Ser exibida a caixa de dilogo Interromper Outros Servios, informando
sobre os servios dependentes que tambm sero parados.
7. Clique em Sim.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-322 Mdulo 13: Continuidade do servio de diretrio
Tarefa 4: Compactar o banco de dados do Active Directory
1. Alterne para o prompt de comando.
2. Digite ntdsutil e pressione ENTER.
3. Digite activate instance ntds e pressione ENTER.
4. Digite files e pressione ENTER.
5. Digite compact to D:\NTDSCompact e pressione ENTER.
NTDSUtil compactar o banco de dados em uma nova cpia de NTDS.dit na
pasta D:\NTDSCompact.
6. Espere at que a operao seja concluda.
Voc ser lembrado de que precisa copiar o arquivo compactado sobre a
verso atual de ntds.dit e excluir os arquivos de log. Na prxima tarefa, voc
realizar procedimentos mais eficazes que tambm fazem backup do Active
Directory.
7. Digite quit e pressione ENTER.
8. Digite quit e pressione ENTER.
Tarefa 5: Substituir o banco de dados do Active Directory pela cpia
compactada
1. Digite cd %systemroot%\ntds e pressione ENTER.
2. Digite move ntds.dit D:\NTDSOriginal e pressione ENTER.
3. Digite move *.log D:\NTDSOriginal e pressione ENTER.
4. Digite copy D:\NTDSCompact\ntds.dit e pressione ENTER.
Tarefa 6: Verificar a integridade do banco de dados compactado
1. Digite ntdsutil e pressione ENTER.
2. Digite activate instance NTDS e pressione ENTER.
3. Digite files e pressione ENTER.
4. Digite integrity e pressione ENTER.
5. Digite quit e pressione ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento do banco de dados do Active Directory L13-323
6. Digite semantic database analysis e pressione ENTER.
7. Digite go fixup e pressione ENTER.
8. Digite quit e pressione ENTER.
9. Digite quit e pressione ENTER.
Tarefa 7: Iniciar o servio do AD DS
1. Alterne para o console Servios.
2. Clique em Servios de Domnio Active Directory.
3. Clique no boto Iniciar na barra de ferramentas.
4. Feche o console Servios.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-324 Mdulo 13: Continuidade do servio de diretrio
Exerccio 2: Trabalhar com instantneos e recuperar um
usurio excludo
Tarefa 1: Criar um instantneo do Active Directory
1. Alterne para o prompt de comando.
2. Digite ntdsutil e pressione ENTER.
3. Digite snapshot e pressione ENTER.
4. Digite activate instance ntds e pressione ENTER.
5. Digite create e pressione ENTER.
O comando retornar uma mensagem indicando que o conjunto de
instantneos foi gerado com xito. O GUID exibido importante para
comandos em tarefas posteriores. Anote-o ou copie-o na rea de Transferncia.
6. Digite quit e pressione ENTER.
7. Digite quit e pressione ENTER.
Tarefa 2: Fazer uma alterao no Active Directory
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio contoso.com e a UO User
Accounts. Em seguida, clique na UO Employees.
3. Clique com o boto direito do mouse na conta de usurio referente a
CN=Adriana Giorgi e clique em Excluir.
Um prompt de confirmao ser exibido.
4. Clique em Sim.
Tarefa 3: Montar um instantneo do Active Directory e criar uma nova
instncia
1. Alterne para o prompt de comando.
2. Digite ntdsutil e pressione ENTER.
3. Digite activate instance ntds e pressione ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento do banco de dados do Active Directory L13-325
4. Digite snapshot e pressione ENTER.
5. Digite list all e pressione ENTER.
O comando retornar uma lista de todos os instantneos.
6. Digite mount guid, onde guid o GUID retornado pelo comando para criar
instantneo. Em seguida, pressione ENTER.
Por exemplo, mount xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
Voc dever receber uma mensagem informando: "..xxxxxx foi montado.."
7. Digite quit e pressione ENTER.
8. Digite quit e pressione ENTER.
9. Digite dsamain -dbpath
c:\$snap_datetime_volumec$\windows\ntds\ntds.dit -ldapport 50000 e
pressione ENTER.
Observe que datetime ser um valor exclusivo para voc. Deve haver apenas
uma pasta na unidade C com um nome que comece com $snap.
Uma mensagem indicar que a inicializao dos Servios de Domnio Active
Directory est concluda. Deixe Dsamain.exe em execuo. No feche o
prompt de comando.
Tarefa 4: Explorar um instantneo com Usurios e Computadores do
Active Directory
1. Alterne para Usurios e Computadores do Active Directory.
2. Clique com o boto direito do mouse no n raiz e clique em Alterar
Controlador de Domnio.
A caixa de dilogo Alterar Servidor de Diretrio ser exibida.
3. Clique em <Digite um nome de Servidor de Diretrio[:porta] aqui>.
4. Digite HQDC01:50000 e pressione ENTER.
5. Clique em OK.
6. Na rvore de console, expanda o domnio contoso.com e a UO User
Accounts. Em seguida, clique na UO Employees.
7. Observe que o objeto de Adriana Giorgi exibido porque o instantneo foi
feito antes de exclu-lo.
8. Feche Usurios e Computadores do Active Directory.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-326 Mdulo 13: Continuidade do servio de diretrio
Tarefa 5 (opcional): Usar LDP para restaurar um objeto excludo
Restaurar uma conta de usurio excluda uma tarefa que no est relacionada
diretamente com os instantneos. Use o comando Ldp.exe para reanimar objetos
do continer Objetos Excludos do Active Directory. Como um objeto excludo tem
a maioria dos seus atributos eliminados, um instantneo pode ser til para
examinar os atributos do objeto antes de sua excluso.
1. Clique no boto Iniciar. Na caixa Iniciar Pesquisa, digite LDP.exe e pressione
CTRL+SHIFT+ENTER, o que executa o comando como administrador.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
2. Clique em Usar outra conta.
3. Em Nome de usurio, digite Pat.Coleman Admin.
4. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O LDP ser aberto.
5. Clique no menu Conexo, em Conectar e em OK.
6. Clique no menu Conexo, em Associar e em OK.
7. Clique no menu Opes e em Controles.
8. Na lista Carregar Predefinidos, clique em Retornar Objetos Excludos e em
OK.
9. Clique no menu Exibir, em rvore e em OK.
10. Na rvore de console, expanda DC=contoso,DC=com e clique duas vezes em
CN=Deleted Objects,DC=contoso,DC=com.
11. Clique com o boto direito do mouse em CN=Adriana Giorgi e clique em
Modificar.
12. Na caixa Atributo, digite isDeleted.
13. Na seo Operao, clique em Excluir.
14. Clique no boto Enter.
15. Na caixa Atributo, digite distinguishedName.
16. Na caixa Valores, digite CN=Adriana Giorgi,OU=Employees,OU=User
Accounts,DC=contoso,DC=com.
17. Na seo Operao, clique em Substituir.
18. Clique no boto ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Gerenciamento do banco de dados do Active Directory L13-327
19. Marque a caixa de seleo Estendido.
20. Clique no boto Executar.
21. Clique no boto Fechar.
22. Feche o LDP.
23. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
24. Na rvore de console, expanda o domnio contoso.com e a UO User
Accounts. Em seguida, clique na UO Employees.
25. Observe que a conta de Adriana Giorgi est restaurada. Entretanto, todos os
atributos esto faltando, inclusive a descrio e a senha. Como a senha est
faltando, a conta foi desabilitada.
26. Alterne para a instncia de Usurios e Computadores do Active Directory que
est exibindo os dados do instantneo.
27. Observe que voc pode usar os atributos contidos no instantneo para
repopular manualmente os atributos no Active Directory.
28. Feche ambas as instncias de Usurios e Computadores do Active Directory.
Tarefa 6: Desmontar um instantneo do Active Directory
1. Alterne para o prompt de comando.
2. Pressione CTRL+C para parar o DSAMain.exe.
3. Digite ntdsutil e pressione ENTER.
4. Digite activate instance ntds e pressione ENTER.
5. Digite snapshot e pressione ENTER.
6. Digite unmount guid, onde guid o GUID do instantneo. Em seguida,
pressione ENTER.
7. Digite quit e pressione ENTER.
8. Digite quit e pressione ENTER.
Observao: no desligue as mquinas virtuais ao concluir este laboratrio, pois as
configuraes feitas aqui sero usadas nos laboratrios subsequentes neste mdulo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-328 Mdulo 13: Continuidade do servio de diretrio
Perguntas de reviso do laboratrio
Pergunta: Em que outras situaes pode ser til montar um instantneo do Active
Directory?
Resposta: Se voc descobrir um problema com o Active Directory que exija a
restaurao de um backup, convm examinar os instantneos para determinar
exatamente at onde precisar restaurar. Depois que tiver encontrado o
instantneo onde residem os dados corretos, voc poder restaurar o backup feito
na mesma data.
Pergunta: Quais so as desvantagens de restaurar um objeto excludo com uma
ferramenta como LDP?
Resposta: Voc precisa repopular todos os atributos.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Backup e restaurao do Active Directory L13-329
Laboratrio C: Backup e
restaurao do Active Directory
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-330 Mdulo 13: Continuidade do servio de diretrio
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Backup e restaurao do Active Directory L13-331
Exerccio 1: Fazer backup do Active Directory
Tarefa 1: Preparar-se para o laboratrio
As mquinas virtuais j devem estar iniciadas e disponveis aps a concluso dos
Laboratrios A e B. Entretanto, caso no estejam, voc deve concluir as etapas
abaixo.
1. Inicie 10222A-HQDC01-B.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-HQDC02-B.
4. Faa logon em HQDC02 como Pat.Coleman com a senha Pa$$w0rd.
Tarefa 2: Instalar o recurso Backup do Windows Server
1. Alterne para HQDC01.
2. Clique no cone Gerenciador de Servidores ao lado do boto Iniciar.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
3. Em Nome de usurio, digite Pat.Coleman Admin.
4. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
5. O Gerenciador de Servidores ser aberto.
6. Na rvore de console, clique em Recursos.
7. No painel de detalhes, clique no link Adicionar Recursos.
8. Na pgina Selecionar Recursos, expanda Recursos de Backup do Windows
Server e marque as caixas de seleo Backup do Windows Server e
Ferramentas da Linha de Comando.
Quando voc seleciona Ferramentas da Linha de Comando, o Assistente para
Adicionar Recursos solicita que seja instalado o Windows PowerShell, um
recurso necessrio.
9. Clique em Adicionar Recursos Necessrios.
10. Clique em Avanar.
11. Clique em Instalar.
12. Quando a instalao for concluda, clique em Fechar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-332 Mdulo 13: Continuidade do servio de diretrio
Tarefa 3: Criar um backup agendado
1. V para Iniciar > Ferramentas Administrativas > e execute o Backup do
Windows Server com credenciais administrativas. Use a conta Pat.Coleman
Admin com a senha Pa$$w0rd.
2. No painel Aes, clique no link Agendamento de Backup .
O Assistente de Agendamento de Backup ser exibido.
3. Na pgina Iniciando, clique em Avanar.
4. Na pgina Selecionar configurao de backup, clique em Personalizar e em
Avanar.
5. Na pgina Selecione os itens de backup, desmarque a caixa de seleo
Unidade 10222A (D:) e clique em Avanar.
6. Na pgina Especificar horrio do backup, clique em Uma vez por dia.
7. Na lista Selecione a hora do dia, selecione 00:00.
8. Clique em Avanar.
9. Na pgina Selecione o disco de destino, clique em Mostrar Todos os Discos
Disponveis.
A caixa de dilogo Mostrar Todos os Discos Disponveis ser exibida.
10. Utilize a tecla TAB para marcar a caixa de seleo Disco 1 e clique na tecla TAB
trs vezes (caso o boto OK no esteja visvel).
11. Na pgina cjcagml cmbgqambcbcqrgl m, marque a caixa de seleo Disco 1 e
clique em Avanar (caso o boto OK ou Avanar no esteja visvel, utilize
sempre a tecla TAB para continuar e selecionar).
A caixa de dilogo Backup do Windows Server ser exibida, informando que
todos os dados do disco sero excludos.
12. Clique em Sim para continuar.
13. Na pgina Rotular disco de destino, clique em Avanar.
14. Na pgina Confirmao, clique em Cancelar para evitar a formatao da
unidade D.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Backup e restaurao do Active Directory L13-333
Tarefa 4: Fazer um backup interativo
1. No painel Aes do console Backup do Windows Server, clique no link
Backup nico.
O Assistente de Backup nico ser exibido.
2. Na pgina Opes de backup, verifique se Opes diferentes est selecionado
e clique em Avanar.
3. Na pgina Selecionar configurao de backup, clique em Personalizar e em
Avanar.
4. Na pgina Selecione os itens de backup, verifique se a caixa de seleo
Habilitar recuperao do sistema est marcada e clique em Avanar.
5. Na pgina Especifique o tipo de destino, clique em Avanar.
6. Na pgina Selecione os itens de backup, clique em Avanar.
7. Na pgina Especificar opo avanada, clique em Backup completo VSS e
em Avanar.
8. Na pgina Confirmao, clique em Backup.
O backup levar aproximadamente 10 a 15 minutos para ser concludo. Aps
a concluso do backup, feche o Backup do Windows Server.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-334 Mdulo 13: Continuidade do servio de diretrio
Exerccio 2: Restaurar o Active Directory e uma UO excluda
Tarefa 1: Excluir a UO Employees
1. Ainda em HQDC01, execute Usurios e Computadores do Active Directory
com credenciais administrativas. Use a conta Pat.Coleman Admin com a
senha Pa$$w0rd.
2. Na rvore de console, expanda contoso.com, e clique na UO User Accounts.
3. No painel de detalhes, clique com o boto direito do mouse em Prestadores
de Servios e clique em Excluir.
Uma mensagem de confirmao ser exibida.
4. Clique em Sim.
Um aviso de confirmao ser exibido.
5. Clique em Sim.
6. Espere at que a excluso seja concluda.
7. Alterne para HQDC02.
8. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
9. Na rvore de console, expanda contoso.com, e clique na UO User Accounts.
10. Verifique se a UO Contractors foi excluda.
Tarefa 2: Reiniciar no DSRM (Modo de Restaurao de Servios de
Diretrio)
1. Alterne para HQDC01.
2. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Pat.Coleman Admin com a senha Pa$$w0rd.
3. Digite bcdedit /set safeboot dsrepair e pressione ENTER.
4. Digite shutdown -t 0 -r e pressione ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Backup e restaurao do Active Directory L13-335
Tarefa 3: Restaurar os dados do estado do sistema
1. Faa logon em HQDC01 como Administrador com a senha Pa$$w0rd.
2. Clique em Iniciar, clique com o boto direito do mouse em Prompt de
Comando e clique em Executar como administrador.
O prompt de comando ser aberto.
3. Digite wbadmin get versions -backuptarget:D: -machine:HQDC01 e
pressione ENTER.
4. Observe as informaes de verso retornadas.
5. Digite wbadmin start systemstaterecovery -version:verso -backuptarget:D: -
machine:HQDC01, onde verso o nmero que voc gravou na etapa
anterior. Em seguida, pressione ENTER.
Ou seja, wbadmin inicia systemstaterecovery -version:10/14/2009-01:11 -
backuptarget:D: -machine:HQDC01
6. Digite Y e pressione ENTER.
A restaurao levar cerca de 30 a 35 minutos. Dependendo da mquina host,
pode levar at uma hora.
Tarefa 4: Marcar as informaes restauradas como autoritativas e
reiniciar o servidor
1. No prompt de comando, digite ntdsutil e pressione ENTER.
2. Digite activate instance ntds e pressione ENTER.
3. Digite authoritative restore e pressione ENTER.
4. Digite restore subtree "ou=Contractors,ou=User
Accounts,dc=contoso,dc=com" e pressione ENTER.
5. Clique em Sim na caixa de mensagem de confirmao exibida.
6. Digite quit e pressione ENTER.
7. Digite quit e pressione ENTER.
8. Digite bcdedit /deletevalue safeboot e pressione ENTER.
9. Digite shutdown -t 0 -r e pressione ENTER.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L13-336 Mdulo 13: Continuidade do servio de diretrio
Tarefa 5: Verificar se os dados excludos foram restaurados
1. Espere at que a reinicializao de HQDC01 seja concluda.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
4. Na rvore de console, expanda contoso.com, e clique na UO User Accounts.
5. Verifique se a UO Contractors foi restaurada.
6. Alterne para HQDC02.
7. Na rvore de console de Usurios e Computadores do Active Directory,
clique na UO User Accounts
8. Pressione F5 (Atualizar).
9. Verifique se a UO Contractors foi restaurada.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio C: Backup e restaurao do Active Directory L13-337
Perguntas de reviso do laboratrio
Pergunta: Que tipo de controlador de domnio e plano de backup do servio de
diretrio voc possui? O que voc espera fazer depois de ter concludo esta lio e
este Laboratrio?
Resposta: As respostas variaro.
Pergunta: Quando voc restaurar um usurio excludo (ou uma UO com objetos
de usurio) usando a restaurao autoritativa, os objetos sero exatamente os
mesmos de antes? Que atributos talvez no sejam os mesmos?
Resposta: As respostas podem variar um pouco, mas a pergunta visa provocar uma
discusso sobre associao de grupo. A associao de grupo de um usurio no
um atributo do objeto de usurio, mas sim do objeto de grupo. Quando voc
restaura um usurio de forma autoritativa, no est restaurando a associao dos
usurios nos grupos. O usurio foi removido do atributo de membro dos grupos
ao ser excludo. Por isso, o usurio restaurado no ser membro de nenhum grupo
que no seja o primrio. Para restaurar associaes de grupo, voc precisaria
considerar a possibilidade de restaurar tambm os grupos de forma autoritativa.
Isso pode ou no ser desejvel, pois, quando voc restaura autoritativamente os
grupos, retorna a associao deles ao dia em que o backup foi feito.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Elevao de nveis funcionais de domnio e de floresta L14-339
Mdulo 14: Gerenciamento de vrios domnios
e florestas
Laboratrio A: Elevao de nveis
funcionais de domnio e de floresta
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-340 Mdulo 14: Gerenciamento de vrios domnios e florestas
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Elevao de nveis funcionais de domnio e de floresta L14-341
Exerccio 1: Elevar o nvel funcional de domnio para
Windows Server 2003
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-TSTDC01-A.
2. Faa logon em TSTDC01 como Sara.Davis com a senha Pa$$w0rd.
Tarefa 2: Confirmar se o nvel funcional de domnio atual Windows
2000 Nativo
1. Execute Domnios e Relaes de Confiana do Active Directory com
credenciais administrativas. Use a conta Sara.Davis_Admin com a senha
Pa$$w0rd.
2. Na rvore de console, clique com o boto direito do mouse no domnio
tailspintoys.com e clique em Elevar o Nvel Funcional do Domnio.
A caixa de dilogo Elevar o Nvel Funcional do Domnio ser exibida.
3. Confirme se o Nvel funcional atual do domnio Windows 2000 Nativo.
4. Clique em Cancelar. No faa nenhuma modificao no nvel funcional do
domnio.
Tarefa 3: Experimentar a funcionalidade sem suporte no nvel
funcional de domnio do Windows 2000 Nativo
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Sara.Davis_Admin com a senha Pa$$w0rd.
2. Digite redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" e
pressione ENTER.
Ser exibida uma mensagem indicando que o redirecionamento no foi
bem-sucedido.
Isso ocorre porque o nvel funcional do domnio deve ser, no mnimo,
Windows Server 2003.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-342 Mdulo 14: Gerenciamento de vrios domnios e florestas
3. Digite redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" e pressione
ENTER.
Ser exibida uma mensagem indicando que o redirecionamento no foi
bem-sucedido.
Isso ocorre porque o nvel funcional do domnio deve ser, no mnimo,
Windows Server 2003.
Tarefa 4: Elevar o nvel funcional do domnio para Windows Server
2003
1. Alterne para Domnios e Relaes de Confiana do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse no domnio
tailspintoys.com e clique em Elevar o Nvel Funcional do Domnio.
3. Na lista Selecione um nvel funcional de domnio disponvel, escolha
Windows Server 2003.
4. Clique em Aumentar.
Ser exibida uma mensagem lembrando que a ao no poder ser revertida.
5. Clique em OK para confirmar a alterao.
Ser exibida uma mensagem informando que o nvel funcional foi elevado
com xito.
6. Clique em OK.
Tarefa 5: Verificar a funcionalidade com suporte no nvel funcional de
domnio do Windows Server 2003
1. Alterne para o Prompt de Comando.
2. Digite redircmp.exe "ou=Client Computers,dc=tailspintoys,dc=com" e
pressione ENTER.
Ser exibida uma mensagem indicando que o redirecionamento foi bem-
sucedido.
3. Digite redirusr.exe "ou=User Accounts,dc=tailspintoys,dc=com" e pressione
ENTER.
Ser exibida uma mensagem indicando que o redirecionamento foi bem-
sucedido.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Elevao de nveis funcionais de domnio e de floresta L14-343
Exerccio 2: Elevar o nvel funcional da floresta para
Windows Server 2003
Tarefa 1: Confirmar se o nvel funcional da floresta atual Windows
2000 Nativo
1. Alterne para Domnios e Relaes de Confiana do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse no n raiz
Domnios e Relaes de Confiana do Active Directory e clique em Elevar o
Nvel Funcional da Floresta.
A caixa de dilogo Elevar o Nvel Funcional da Floresta ser exibida.
3. Confirme se o Nvel funcional atual da floresta Windows 2000 Nativo.
4. Clique em Cancelar. No faa nenhuma modificao no nvel funcional da
floresta.
Tarefa 2: Experimentar a funcionalidade sem suporte no nvel
funcional da floresta do Windows 2000 Nativo
1. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Sara.Davis_Admin com a senha Pa$$w0rd.
2. Na rvore de console, expanda o domnio Tailspintoys.com e clique na UO
Domain Controllers.
3. Clique com o boto direito do mouse na UO Domain Controllers e clique na
conta Pr-criar Controladores de Domnio Somente Leitura.
O Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
4. Clique em Avanar.
5. Na pgina Compatibilidade de Sistema Operacional, clique em Avanar.
6. Na pgina Credenciais de Rede, clique em Avanar.
Ser exibida uma mensagem informando que o nvel funcional da floresta deve
ser Windows Server 2003 ou superior.
7. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-344 Mdulo 14: Gerenciamento de vrios domnios e florestas
8. Clique em Cancelar para fechar o Assistente de Instalao dos Servios de
Domnio Active Directory.
Ser exibida uma mensagem perguntando se voc deseja sair do assistente.
9. Clique em Sim.
Tarefa 3: Elevar o nvel funcional da floresta para Windows Server
2003
1. Alterne para Domnios e Relaes de Confiana do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse no n raiz
Domnios e Relaes de Confiana do Active Directory e clique em Elevar o
Nvel Funcional da Floresta.
3. Na lista Selecione um nvel funcional da floresta disponvel, escolha
Windows Server 2003.
4. Clique em Aumentar.
Ser exibida uma mensagem lembrando que a ao no poder ser revertida.
5. Clique em OK para confirmar a alterao.
Ser exibida uma mensagem informando que o nvel funcional foi elevado
com xito.
6. Clique em OK.
Tarefa 4: Verificar a funcionalidade com suporte no nvel funcional da
floresta do Windows Server 2003
1. Alterne para Usurios e Computadores do Active Directory.
2. Clique com o boto direito do mouse na UO Domain Controllers e clique na
conta Pr-criar Controladores de Domnio Somente Leitura.
O Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
3. Clique em Avanar.
4. Na pgina Compatibilidade de Sistema Operacional, clique em Avanar.
5. Na pgina Credenciais de Rede, clique em Avanar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Elevao de nveis funcionais de domnio e de floresta L14-345
6. Na pgina Especifique o Nome do Computador, digite TSTDC03 e clique em
Avanar.
7. Na pgina Selecione um Site, clique em Avanar.
8. Na pgina Opes Adicionais de Controlador de Domnio, clique em
Avanar.
9. Na pgina Instalao e Administrao de Delegao de RODC, clique em
Avanar.
10. Na pgina Resumo, clique em Avanar.
11. Clique em Concluir.
Um objeto RODC pr-configurado chamado TSTDC03 ser criado na UO
Domain Controllers.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-346 Mdulo 14: Gerenciamento de vrios domnios e florestas
Exerccio 3: Elevar o nvel funcional de domnio para
Windows Server 2008
Tarefa 1: Confirmar se o nvel funcional de domnio atual inferior ao
Windows Server 2008.
1. Alterne para Domnios e Relaes de Confiana do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse no domnio
tailspintoys.com e clique em Elevar o Nvel Funcional do Domnio.
A caixa de dilogo Elevar o Nvel Funcional do Domnio ser exibida.
3. Confirme se o Nvel funcional atual do domnio Windows Server 2003.
4. Clique em Cancelar. No faa nenhuma modificao no nvel funcional do
domnio.
Tarefa 2: Confirmar se a replicao DFS-R no est disponvel nos
nveis funcionais de domnio inferiores ao Windows Server 2008
1. Execute o Prompt de Comando com credenciais administrativas. Use a conta
Sara.Davis_Admin com a senha Pa$$w0rd.
2. Digite dfsrmig /getglobalstate e pressione ENTER.
Ser exibida uma mensagem informando que somente domnios no nvel
funcional do Windows Server 2008 oferecem suporte a dfsrmig.
Tarefa 3: Elevar o nvel funcional do domnio
1. Alterne para Domnios e Relaes de Confiana do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse no domnio
tailspintoys.com e clique em Elevar o Nvel Funcional do Domnio.
3. Confirme se a lista Selecione um nvel funcional de domnio disponvel
indica Windows Server 2008.
4. Clique em Aumentar.
Ser exibida uma mensagem lembrando que a ao no poder ser revertida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio A: Elevao de nveis funcionais de domnio e de floresta L14-347
5. Clique em OK para confirmar a alterao.
Ser exibida uma mensagem informando que o nvel funcional foi elevado
com xito.
6. Clique em OK.
7. Feche Domnios e Relaes de Confiana do Active Directory.
Tarefa 4: Confirmar se a replicao DFS-R est disponvel no nvel
funcional de domnio do Windows Server 2008
1. Alterne para o prompt de comando.
2. Digite dfsrmig /getglobalstate e pressione ENTER.
Ser exibida uma mensagem informando que a migrao de DFS-R ainda no
foi inicializada. Isso indica que agora o recurso est disponvel, mas ainda no
foi inicializado.
Observao: no desligue as mquinas virtuais ao concluir esse laboratrio, pois as
configuraes definidas aqui sero usadas nos laboratrios subsequentes.
Perguntas de reviso do laboratrio
Pergunta: possvel elevar o nvel funcional do domnio para Windows Server
2008 quando o servidor Microsoft Exchange ainda est sendo executado com o
Windows Server 2003?
Resposta: Sim. Desde que o servidor Exchange no seja um controlador de
domnio. Ao determinar o nvel funcional do domnio, o que importa o sistema
operacional do controlador de domnio.
Pergunta: possvel elevar o nvel funcional do domnio de um domnio para
Windows Server 2008 quando outros domnios contm controladores de domnio
que esto sendo executados com o Windows Server 2003?
Resposta: Sim. Os nveis funcionais de domnio dentro de um floresta podem ser
diferentes.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-348 Mdulo 14: Gerenciamento de vrios domnios e florestas
Laboratrio B: Administrao de
uma relao de confiana
Fazer logon em uma mquina virtual
A menos que especificado de outra forma, use as etapas a seguir para fazer logon
em uma mquina virtual.
1. Pressione ALT+DELETE.
Isso envia a sequncia de teclas segura (CTRL+ALT+DELETE) para a mquina
virtual. Se voc pressionar CTRL+ALT+DELETE, enviar a sequncia de teclas
segura para o sistema operacional do host.
2. Clique em Trocar Usurio.
3. Clique em Outro Usurio.
4. Em Nome de usurio, digite o nome do usurio.
5. Em Senha, digite a senha.
6. Pressione ENTER ou clique na seta de logon.
A rea de trabalho do Windows ser exibida.
Executar um aplicativo com credenciais administrativas
1. Clique com o boto direito do mouse no aplicativo e clique em Executar como
administrador.
A caixa de dilogo UAC (Controle de Conta de Usurio) ser exibida.
2. A caixa de dilogo UAC exibir uma das trs opes a seguir. Execute as
etapas com base na opo exibida:
Se a caixa de dilogo UAC solicitar que voc continue ou cancele a operao:
Clique em Continuar.
Se a caixa de dilogo UAC oferecer a opo de Usar outra conta:
1. Clique em Usar Outra Conta.
2. Em Nome de Usurio, digite o nome do usurio.
3. Em Senha, digite a senha.
4. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Administrao de uma relao de confiana L14-349
Se a caixa de dilogo UAC no lhe der a opo de usar outra conta e solicitar
um nome de usurio e uma senha:
1. Em Nome de Usurio, digite o nome do usurio.
2. Em Senha, digite a senha.
3. Pressione ENTER ou clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-350 Mdulo 14: Gerenciamento de vrios domnios e florestas
Exerccio 1: Configurar o DNS
Tarefa 1: Preparar-se para o laboratrio
1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
3. Inicie 10222A-TSTDC01-A.
4. Faa logon em TSTDC01 como Sara.Davis com a senha Pa$$w0rd.
Tarefa 2: Configurar o DNS em contoso.com
1. Alterne para HQDC01.
2. Execute o Gerenciamento de DNS com credenciais administrativas. Use a
conta Pat.Coleman Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda HQDC01 e clique em Zonas de pesquisa
direta.
4. Clique com o boto direito do mouse em Zonas de pesquisa direta e clique
em Nova zona.
A pgina Bem-vindo ao Assistente de Nova Zona ser exibida.
5. Clique em Avanar.
A pgina Tipo de Zona ser exibida.
6. Clique em Zona de Stub e em Avanar.
O Escopo de Replicao de Zona do Active Directory ser exibido.
7. Clique em Avanar.
A pgina Nome da Zona ser exibida.
8. Digite tailspintoys.com e clique em Avanar.
A pgina Servidores DNS Principais ser exibida.
9. Digite 10.0.0.31 e pressione Tab.
10. Marque a caixa de seleo Usar os servidores acima para criar uma lista
local de servidores mestres.
11. Clique em Avanar e em Concluir.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Administrao de uma relao de confiana L14-351
Tarefa 3: Configurar o DNS em tailspintoys.com
1. Alterne para TSTDC01.
2. Execute o Gerenciamento de DNS com credenciais administrativas. Use a
conta Sara.Davis_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda TSTDC01 e clique em Encaminhadores
Condicionais.
4. Clique com o boto direito do mouse na pasta Encaminhadores
Condicionais e clique em Novo Encaminhador Condicional.
5. Na caixa Domnio DNS, digite contoso.com.
6. Clique em Clique aqui para adicionar um endereo IP e digite 10.0.0.11.
7. Marque a caixa de seleo Armazenar o encaminhador condicional no
Active Directory e replic-lo desta forma.
8. Clique em OK.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-352 Mdulo 14: Gerenciamento de vrios domnios e florestas
Exerccio 2: Criar uma relao de confiana
Tarefa 1: Identificar os domnios confiveis e confiantes
Os usurios do tailspintoys.com necessitam de acesso a uma pasta compartilhada
do contoso.com. Responda s seguintes perguntas:
Perguntas:
Qual deles o domnio confiante e qual o domnio confivel?
Qual domnio tem uma relao de confiana de sada e qual tem uma relao
de confiana de entrada?
Resposta:
O domnio contoso.com o domnio de confiana com uma confiana de
sada para o domnio tailspintoys.com, que o domnio confivel com uma
confiana de entrada.
Tarefa 2: Iniciar a relao de confiana no domnio confivel
1. Alterne para HQDC01.
2. Execute Domnios e Relaes de Confiana do Active Directory com
credenciais administrativas. Use a conta Pat.Coleman Admin com a senha
Pa$$w0rd.
3. Na rvore de console, clique com o boto direito do mouse no domnio
contoso.com e clique em Propriedades.
4. Clique na guia Relaes de Confiana.
5. Clique em Nova Relao de Confiana.
A pgina Bem-vindo ao Assistente de Nova Relao de Confiana ser exibida.
6. Clique em Avanar.
A pgina Nome de Relao de Confiana ser exibida.
7. Na caixa Nome, digite tailspintoys.com e clique em Avanar.
A pgina Tipo de Relao de Confiana ser exibida.
8. Clique em Relao de Confiana Externa. Clique em Avanar.
A pgina Direo da Relao de Confiana ser exibida.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Administrao de uma relao de confiana L14-353
9. Clique em Unidirecional: sada. Clique em Avanar.
A pgina Lados da Relao de Confiana ser exibida.
10. Clique em Este Domnio Apenas. Clique em Avanar.
A pgina Nvel de Autenticao da Relao de Confiana de Sada ser exibida.
11. Clique em Autenticao em Todo o Domnio. Clique em Avanar.
A pgina Senha de Confiana ser exibida.
12. Digite Pa$$w0rd nas caixas Senha de confiana e Confirmar senha de
confiana.
Em um ambiente de produo, recomendvel usar uma senha complexa
exclusiva, que no deve ser a senha de uma conta de usurio.
13. Clique em Avanar.
A pgina Selees de Relao de Confiana Concludas ser exibida.
14. Revise as configuraes. Clique em Avanar.
A pgina Criao de relao de confiana concluda ser exibida.
15. Examine o status das alteraes. Clique em Avanar.
A pgina Confirmar Relao de Confiana de Sada ser exibida. Voc no deve
confirmar a relao de confiana at que os dois lados dela tenham sido
criados.
16. Clique em Avanar.
A pgina Concluindo o Assistente de Nova Relao de Confiana ser exibida.
17. Clique em Concluir.
Ser exibida uma caixa de dilogo lembrando que a filtragem de SID
habilitada por padro.
18. Clique em OK.
19. Clique em OK para fechar a caixa de dilogo Propriedades de contoso.com.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-354 Mdulo 14: Gerenciamento de vrios domnios e florestas
Tarefa 3: Concluir a relao de confiana no domnio de confiana
1. Alterne para TSTDC01.
2. Execute Domnios e Relaes de Confiana do Active Directory com
credenciais administrativas. Use a conta Sara.Davis_Admin com a senha
Pa$$w0rd.
3. Na rvore de console, clique com o boto direito do mouse no domnio
tailspintoys.com e clique em Propriedades.
4. Clique na guia Relaes de Confiana.
5. Clique em Novas Relaes de Confiana.
A pgina Bem-vindo ao Assistente de Nova Relao de Confiana ser exibida.
6. Clique em Avanar.
A pgina Nome de Relao de Confiana ser exibida.
7. Na caixa Nome, digite contoso.com. Clique em Avanar.
A pgina Tipo de Relao de Confiana ser exibida.
8. Clique em Relao de Confiana Externa. Clique em Avanar.
A pgina Direo da Relao de Confiana ser exibida.
9. Clique em Unidirecional: entrada. Clique em Avanar.
A pgina Lados da Relao de Confiana ser exibida.
10. Clique em Este Domnio Apenas. Clique em Avanar.
A pgina Senha de Confiana ser exibida.
11. Digite Pa$$w0rd nas caixas Senha de confiana e Confirmar senha de
confiana. Clique em Avanar.
A pgina Selees de Relao de Confiana Concludas ser exibida.
12. Clique em Avanar.
A pgina Criao de relao de confiana concluda ser exibida.
13. Examine o status das alteraes. Clique em Avanar.
A pgina Confirmar Relao de Confiana de Entrada ser exibida.
Voc validar a relao de confiana no prximo exerccio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Administrao de uma relao de confiana L14-355
14. Clique em Avanar.
A pgina Concluindo o Assistente de Nova Relao de Confiana ser exibida.
15. Clique em Concluir.
16. Clique em OK para fechar a caixa de dilogo Propriedades de
tailspintoys.com.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-356 Mdulo 14: Gerenciamento de vrios domnios e florestas
Exerccio 3: Validar uma relao de confiana
Tarefa 1: Valide uma relao de confiana
1. Alterne para HQDC01.
2. Na rvore de console de Domnios e Relaes de Confiana do Active
Directory, clique com o boto direito do mouse no domnio contoso.com e
clique em Propriedades.
3. Clique na guia Relaes de Confiana.
4. Clique em tailspintoys.com e em Propriedades.
5. Clique em Validar.
Ser exibida uma mensagem indicando que a relao de confiana foi validada
e que est em vigor e ativa.
6. Clique em OK.
7. Clique em OK duas vezes para fechar as caixas de dilogo Propriedades.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Administrao de uma relao de confiana L14-357
Exerccio 4: Atribuir permisses a identidades confiveis
Tarefa 1: Atribuir permisses a grupos confiveis
1. Alterne para TSTDC01.
2. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Sara.Davis_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda o domnio tailspintoys.com e clique na UO
User Accounts.
4. Clique com o boto direito do mouse em Contas de Usurio, aponte para
Novo e clique em Usurio.
5. Em Primeiro Nome, digite Pat.
6. Em Sobrenome, digite Coleman.
7. Em Nome de logon do usurio, digite Pat.Coleman.
8. Clique em Avanar.
9. Nas caixas Senha e Confirmar senha, digite Pa$$w0rd.
10. Desmarque a caixa de seleo O usurio deve alterar a senha no prximo
logon.
11. Clique em Avanar.
12. Clique em Concluir.
13. Na rvore de console, clique com o boto direito do mouse no domnio
tailspintoys.com, aponte para Novo e clique em Unidade Organizacional.
A caixa de dilogo Novo Objeto - Unidade Organizacional ser exibida.
14. Na caixa Nome, digite Grupos.
15. Clique em OK.
16. Na rvore de console, clique com o boto direito do mouse na UO Groups,
aponte para Novo e clique em Grupo.
A caixa de dilogo Novo Objeto - Grupo ser exibida.
17. Em Nome do grupo, digite Equipe do Produto.
18. Clique em OK.
19. Alterne para HQDC01.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-358 Mdulo 14: Gerenciamento de vrios domnios e florestas
20. Execute Usurios e Computadores do Active Directory com credenciais
administrativas. Use a conta Pat.Coleman Admin com a senha Pa$$w0rd.
21. Na rvore de console, expanda o domnio contoso.com e a UO Groups e
clique na UO Role.
22. Clique com o boto direito do mouse na UO Role, aponte para Novo e clique
em Grupo.
A caixa de dilogo Novo Objeto - Grupo ser exibida.
23. Em Nome do grupo, digite Desenvolvedores do Produto.
24. Clique em OK.
25. Na rvore de console, clique na UO Access.
26. Clique com o boto direito do mouse na UO Access, aponte para Novo e
clique em Grupo.
A caixa de dilogo Novo Objeto - Grupo ser exibida.
27. Em Nome do grupo, digite ACL_Informaes do Produto_Modificar.
28. Na seo Escopo do grupo, clique em Domnio local.
29. Clique em OK.
30. Abra a unidade C.
31. Crie nela uma nova pasta chamada Informaes do Produto.
32. Clique com o boto direito do mouse na pasta Informaes do Produto e
clique em Propriedades.
A caixa de dilogo Propriedades de Informaes do Produto ser exibida.
33. Clique na guia Segurana.
34. Clique em Editar.
35. Clique em Adicionar.
36. Digite ACL_Informaes do Produto_Modificar e pressione ENTER.
37. Marque a caixa de seleo abaixo de Permitir e ao lado de Modificar.
38. Clique em OK duas vezes para fechar as caixas de dilogo.
39. Alterne para Usurios e Computadores do Active Directory.
40. No painel de detalhes, clique duas vezes em ACL_Informaes do
Produto_Modificar.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Administrao de uma relao de confiana L14-359
41. Clique na guia Membros.
42. Clique em Adicionar.
43. Digite Desenvolvedores do Produto e pressione ENTER.
44. Clique em Adicionar.
45. Digite TAILSPINTOYS\Equipe do Produto e pressione ENTER.
A caixa de dilogo Segurana do Windows ser exibida.
Sua conta que administrador de contoso.com (Pat.Coleman Admin) no tem
permisses para ler o diretrio do domnio tailspintoys.com.
Voc precisa ter uma conta no tailspintoys.com para ler o diretrio. Se a
relao de confiana fosse bidirecional, essa mensagem no teria sido exibida.
Sua conta de usurio padro no domnio tailspintoys.com ser usada para
conceder Acesso de Leitura ao servio de diretrio.
46. Na caixa Nome de Usurio, digite TAILSPINTOYS\Pat.Coleman.
47. Na caixa Senha, digite Pa$$w0rd e clique em OK.
Observe que agora os dois grupos globais dos dois domnios so membros do
grupo de domnio local no domnio contoso.com que tem acesso pasta
Informaes sobre o Produto.
48. Clique em OK para fechar a caixa de dilogo de propriedades do grupo.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
L14-360 Mdulo 14: Gerenciamento de vrios domnios e florestas
Exerccio 5: Implementar a autenticao seletiva
Tarefa 1: Implementar a autenticao seletiva
1. Em HQDC01, alterne para Domnios e Relaes de Confiana do Active
Directory.
2. Clique com o boto direito do mouse no domnio contoso.com e clique em
Propriedades.
3. Clique na guia Relaes de Confiana.
4. Clique em tailspintoys.com e em Propriedades.
5. Clique na guia Autenticao.
6. Clique na opo Autenticao Seletiva e clique em OK duas vezes.
Com a autenticao seletiva habilitada, os usurios de um domnio confivel
no podero autenticar em computadores no domnio de confiana, mesmo
que tenham recebido permisses para uma pasta. Aos usurios confiveis
precisa ser concedida tambm a permisso Permitido Autenticar no prprio
computador.
7. Alterne para Usurios e Computadores do Active Directory.
8. Clique no menu Exibir e verifique se a opo Recursos Avanados est
selecionada.
9. Na rvore de console, clique na UO Domain Controllers.
10. No painel de detalhes, clique com o boto direito do mouse em HQDC01 e
clique em Propriedades.
11. Clique na guia Segurana.
12. Clique em Adicionar.
13. Digite TAILSPINTOYS\Equipe do Produto e clique em OK.
A caixa de dilogo Segurana do Windows ser exibida.
Sua conta que administrador de contoso.com (Pat.Coleman Admin) no tem
permisses para ler o diretrio do domnio tailspintoys.com.
Voc precisa ter uma conta no tailspintoys.com para ler o diretrio. Se a
relao de confiana fosse bidirecional, essa mensagem no teria sido exibida.
Sua conta de usurio padro no domnio tailspintoys.com ser usada para
conceder Acesso de Leitura ao servio de diretrio.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Laboratrio B: Administrao de uma relao de confiana L14-361
14. Na caixa Nome de Usurio, digite TAILSPINTOYS\Pat.Coleman.
15. Na caixa Senha, digite Pa$$w0rd e clique em OK.
16. Marque a caixa de seleo abaixo de Permitir e ao lado de Permitido
autenticar.
Agora, a Equipe do Produto de Tailspintoys.com pode autenticar em HQDC01
e recebeu permisso para acessar a pasta Informaes do Produto por meio de
sua associao no grupo ACL_Informaes do Produto_Modificar.
17. Clique em OK.
Observao: aps concluir esse exerccio, desligue todas as mquinas virtuais e descarte
os discos de desfazer.
Perguntas de reviso do laboratrio
Pergunta: Voc concedeu ao grupo de Pesquisa e Desenvolvimento da Tailspin
Toys a permisso Modificar para a pasta Informaes do Produto em HQDC01. No
entanto, de dez usurios do grupo, apenas um que por acaso tambm membro
do grupo Equipe do produto tem acesso. Os outros no podem acessar a pasta. O
que deve ser feito?
Resposta: Como a autenticao seletiva est habilitada, os usurios no grupo de
Pesquisa e Desenvolvimento devem receber a permisso Permitido Autenticar para
HQDC01. O grupo Equipe do Produto j tinha essa permisso, por isso que um
dos usurios conseguiu fazer autenticao e depois acessar a pasta.
Pergunta: Um usurio da Contoso tenta acessar uma pasta compartilhada no
domnio da Tailspin Toys e recebe um erro de Acesso Negado. O que deve ser feito
para fornecer acesso ao usurio?
Resposta: Deve ser estabelecida uma relao de confiana na qual Tailspin Toys
confia em Contoso. Em seguida, deve ser concedida permisso ao usurio (ou a
um grupo ao qual o usurio pertena) para a pasta compartilhada no domnio da
Tailspin Toys.
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Notas
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Notas
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Notas
U
S
O
E
X
C
L
U
S
I
V
O
D
E
I
N
S
T
R
U
T
O
R
E
S
M
C
T
.
P
R
O
I
B
I
D
O
O
U
S
O
P
O
R
A
L
U
N
O
S
Notas