Treinamento I-290

Rumo a Certificao
Gerenciando o acesso a objetos nas
unidades organizacionais
O que so permisses de objeto do Active
Directory?

Permisso Permite ao usurio:

Alterar permisses, assumir a propriedade e executar
Controle Total as tarefas permitidas por todas as outras permisses
padro
Gravao Alterar os atributos do objeto

Exibir objetos, atributos do objeto e propriedade

Leitura do objeto, e permisses do Active Directory
Criar todos Adicionar qualquer tipo de objeto a uma unidade
os objetos filho organizacional
Excluir todos Remover qualquer tipo de objeto filho de uma
os objetos filho unidade organizacional
Caractersticas das permisses de objeto do
Active Directory

As permisses de objeto do Active Directory podem ser:

Permitidas ou negadas
Negadas implcita ou explicitamente
Definidas como permisses padro ou especiais
As permisses padro so atribudas com maior
freqncia
As permisses especiais proporcionam um grau
mais apurado de controle para atribuio de
acesso aos objetos
Definidas como de nvel de objeto ou herdadas de
seu objeto pai
Herana de permisses de objetos do Active
Directory

Recipientes filho e seus objetos herdam permisses definidas

em um recipiente pai
Permisses herdveis se propagam de um objeto pai para
um objeto filho quando:
Um objeto filho criado
As permisses do objeto pai so modificadas

Permisses Permisses
Acesso Recipiente Usurio 1Leitura herdadas por
pai Grupo 1 Controle Total recipientes
filho

Permisses

Permisso de acesso atribudas Recipiente Usurio 1Leitura

por usurios ao recipiente pai filho Grupo 1 Controle Total
Efeitos da modificao de objetos em herana
de permisses

As permisses que forem definidas explicitamente

continuaro as mesmas
Objetos movidos herdam permisses da nova unidade
organizacional pai
Objetos movidos j no herdam permisses da unidade
organizacional do pai anterior
Impedindo a herana de permisses
Como modificar permisses em objetos do
Active Directory

O instrutor vai demonstrar como:

Adicionar permisses
Modificar permisses
Exibir permisses especiais
Modificar herana de permisses
O que so permisses efetivas de objetos do
Active Directory?

Permisses so cumulativas
As permisses de negao substituem todas
as permisses
Proprietrios de objetos podem sempre alterar
permisses
Recuperando permisses efetivas
O que a delegao de controle de uma
unidade organizacional?
Atribuindo a responsabilidade do gerenciamento de uma
unidade organizacional a outro usurio ou grupo

Administrao delegada:
Facilita a carga administrativa em
geral de uma rede distribuindo
tarefas administrativas de rotina
Fornece a usurios e grupos
na organizao mais controle
sobre os recursos de rede local
Ajuda a eliminar a necessidade
UO1 Admin1
de vrias contas administrativas
com ampla autoridade,
como a de todo um UO2 UO3
domnio
Admin2 Domnio Admin3
O Assistente para Delegao de Controle

Use o Assistente para Delegao de Controle para

especificar:
O usurio ou grupo a quem voc deseja delegar
controle
As unidades organizacionais e objetos aos quais voc
deseja conceder a permisso de controle
Tarefas que voc deseja que o usurio ou grupo
possa executar
O Assistente para Delegao de Controle
automaticamente atribui aos usurios as permisses
adequadas para acessar e modificar objetos especficos
Como delegar o controle de uma unidade
organizacional

O instrutor vai demonstrar como delegar o

controle de uma unidade organizacional
Delegando o controle de uma unidade
organizacional

Nesta prtica, voc vai:

Delegar o controle da unidade
organizacional Computers
Testar as permisses
delegadas
unidade organizacional
Computers
Delegar o controle da unidade
organizacional Users
Testar as permisses
delegadas
unidade organizacional Users
Implementando a diretiva de grupo
Introduo diretiva de grupo

GPO

Site

Domnio

UO
O que a diretiva de grupo?
O que a diretiva de grupo?

Voc pode usar a Diretiva de Grupo para gerenciar os

recursos includos na famlia de produtos Microsoft
Windows Server 2003, como Instalao de Software da
Diretiva de Grupo, Modelos Administrativos,
Redirecionamento de Pastas, Servios de Instalao
Remota, Configuraes de Segurana, Scripts
(Inicializar/Desligar e fazer Logon/Logoff) e Manuteno do
Internet Explorer
Por que usar a diretiva de grupo?

Use a diretiva de grupo para:

Gerenciar usurios e computadores
Implantar software
Aplicar configuraes de segurana
Aplicar um ambiente de rea de trabalho
consistente
O que so configuraes de usurio e de
computador?
Configuraes de diretiva de grupo para
usurios:
Configuraes da rea de trabalho
Configuraes de software
Configuraes do Windows
Configuraes de segurana
Configuraes de diretiva de grupo para
computadores:
Comportamento da rea de trabalho
Configuraes de software
Configuraes do Windows
Configuraes de segurana
O que uma diretiva de segurana?
O que so modelos de segurana?

Modelo Descrio
Segurana padro
Especifica as configuraes de segurana padro
(Setup security.inf)
Segurana padro do Especifica as configuraes de segurana padro
controlador de domnio atualizadas para um controlador de domnio
(DC security.inf) a partir de Setup security.inf
Modifica permisses e configuraes do Registro
Compatvel (Compatws.inf) para o grupo Usurios, permitindo a
compatibilidade mxima do aplicativo
Aperfeioa as configuraes de segurana com
Seguro (Securedc.inf
menor possibilidade de afetar a compatibilidade
e Securews.inf) do aplicativo
Altamente seguro Aumenta as restries das configuraes
(Hisecdc.inf e Hisecws.inf) de segurana
Segurana da raiz do sistema Especifica as permisses para a raiz da unidade
(Rootsec.inf) do sistema
O que so configuraes do modelo
de segurana?

Modelo de segurana: Modelo de

Segurana Setup configuraes
Definindo configuraes de diretiva do
computador local
O que so configuraes de diretiva de grupo
desativadas e ativadas?

Ativada / Desativada Configuraes de valores mltiplos

O que a ferramenta Configurao e Anlise
de Segurana?

Configurao que
Configurao do Configurao
no corresponde ao
modelo real
modelo
O que so direitos de usurio?

Exemplos de direitos de usurio

Direitos versus permisses de usurio

Direitos de usurio: Permisses:

Aes no sistema Aes no objeto
Direitos de usurio atribudos a grupos
internos

Grupos locais:
Administradores
Grupos no recipiente Builtin:
Operadores de Cpia
Opers. de Contas
Usurios Avanados
Administradores
Usurios da rea de
trabalho remota Operadores de Cpia
Usurios Acesso compatvel com
verses anteriores ao
Windows 2000
Grupos no recipiente Users: Opers. de Impresso
Opers. de Servidores
Admins. do Domnio
Administrao de Empresa
O que Redirecionamento de Pastas?

Redirecionamento de Pastas permite aos usurios

e administradores redirecionar pastas para um novo
local
O novo local pode ser uma pasta no computador local
ou uma pasta compartilhada na rede
Usurios podem trabalhar com documentos
em um servidor como se eles estivessem localizados
na unidade local
Pastas que podem ser redirecionadas

Meus Documentos
Dados de Aplicativos
rea de Trabalho
Menu Iniciar
Configuraes necessrias para o
Redirecionamento de Pastas
Use o Redirecionamento de Contabilidade
Pastas bsico para: Usurios

Usurios que usam uma

Contas
rea comum A-M
-ou-
Contas
Usurios que usam dados N-Z
particulares
Contabilidade
Com o Redirecionamento Gerentes
de Pastas avanado, o
servidor que hospeda o local MistyS
da pasta baseado na
participao em grupo
AnnePa
Consideraes de segurana para a
configurao do Redirecionamento de Pastas
Permisses NTFS necessrias para a pasta raiz

Permisses de pasta compartilhada necessrias para a

pasta raiz

Permisses NTFS necessrias para a pasta redirecionada

de cada usurio
Como definir configuraes de diretiva
do computador local

O instrutor vai demonstrar como definir uma

configurao de diretiva do computador local
Ferramentas usadas para criar GPOs

Ferramentas da diretiva de grupo padro

Usurios e Computadores do Active Directory
GPOs da unidade organizacional e do domnio
Servios e Sites do Active Directory
GPOs de site
Diretiva de segurana local
Configuraes de segurana do computador local
Ferramentas suplementares
Group Policy Management
Domnio, unidade organizacional e GPOs de sites
O que gerenciamento de GPO em um
domnio?
Como criar um GPO

O instrutor vai demonstrar como criar um GPO

O que um vnculo de GPO?

Domnio

UO

GPO de domnio
Site
UO UO GPO de Site

GPO da GPO da
unidade unidade
organizacional organizacional
Como criar um vnculo de GPO

O instrutor vai demonstrar como criar um vnculo

de GPO
Ordem de aplicao de Diretivas

Diretiva OU Filha
5

4
Diretiva da OU Pai
3
2 Diretiva da Domnio

Ordem de 1 Diretiva da Site

precedncia do Diretiva de Segurana
processamento
Local
Da diretiva de grupo
Herana de diretiva de grupo no Active
Directory

UO GPO 1 A ordem em que o Windows Server 2003 aplica as GPOs

depende do recipiente do Active Directory ao qual as GPOs
esto vinculados. As GPOs so aplicados primeiro ao
site, depois aos domnios e, em seguida, s unidades
organizacionais nos domnios

Fluxo de Herana Um recipiente filho herda GPOs do recipiente pai.

Portanto, um recipiente filho pode ter muitas configuraes de diretiva
de grupo aplicadas a seus usurios e computadores sem ter uma GPO
vinculado a ele. No entanto, no h hierarquia de domnios.

As GPOs so cumulativas, o que significa que so herdadas. A

herana da diretiva de grupo a ordem em que o Windows Server 2003
aplica as GPOs.

Se houver vrias GPOs definidas com o mesmo valor, por padro o

GPO aplicada por ltimo a que prevalece.
Como uma permisso de diretiva de grupo
herdada no Active Directory
UO GPO 1

UO GPO 2

UO
UO GPO 3
UO UO

UO
Domnio
Contas de
usurio e de UO
computador
O que ocorre quando h conflitos entre GPOs

Como os conflitos so resolvidos

Quando h conflito entre as configuraes da diretiva
de grupo no Active Directory, as configuraes do
GPO do recipiente filho so aplicadas
Opes para modificar a herana
No Override (No Substituir)
Block Policy Inheritance (Bloquear Herana de
Diretiva)
Bloqueando a implantao de um GPO

Domnio

Produo
GPOs

Vendas

Nenhuma configurao
de GPO se aplica
Como bloquear a implantao de um GPO

O instrutor vai demonstrar como bloquear

a implantao de um GPO
Atributos de um vnculo de GPO

Aplicado Vnculos conflitantes

Como configurar a aplicao da diretiva de
grupo
Filtrando a implantao de um GPO

possvel filtrar a implantao de um GPO configurando permisses no

vnculo de GPO para determinar o acesso da permisso de leitura ou
negao no GPO.

Para que as configuraes de diretiva de grupo sejam aplicadas a uma

conta de usurio ou computador, a conta deve ter pelo menos permisso
de leitura para um GPO.

As permisses padro para um novo GPO tm as seguintes entradas de

controle de acesso (ACEs, access control entries):

Usurios Autenticados - permitir leitura e permitir aplicao da diretiva

de grupo

permitir Admins. do Domnio, Administrao de Empresa e SYSTEM

leitura, permitir gravao, permitir criao de todos os objetos filho,
permitir excluso de todos os objetos filho
Filtrando a implantao de um GPO

Domnio

Produo
GPO

Vendas

Mengph diretiva de grupo

Leitura e Aplicar
Permitir
Kimyo
Aplicao de
Negar
Grupo diretiva de grupo
Filtrando a implantao de um GPO

Voc pode usar os seguintes mtodos de filtragem:

Explicitly Deny (Negar Explicitamente)

Remove Authenticated Users (Remover Usurios

Autenticados)

WMI Filtering (Filtragem de WMI, Windows

Management Instrumentation).
Como configurar a filtragem da diretiva de
grupo

O instrutor vai demonstrar como configurar a

filtragem da diretiva de grupo
Determinando os GPOs aplicados

O que o gpupdate?
O que o gpresult?
O que so Relatrios de diretiva de grupo?
O que Modelagem de diretiva de grupo?
O que so os Resultados de diretiva de grupo?
O que o gpupdate?

Sintaxe de gpupdate
gpupdate [/Target:{Computer | User}] [/Force]
[/Wait:Value] [/Logoff] [/Boot] [/Sync]
O que o gpresult?

Sintaxe de gpresult
gpresult [/s Computer [/u Domain\User /p Password]]
[/user TargetUserName] [/scope {user|computer}] [/v]
[/z]
O que so Relatrios de diretiva de grupo?
O que Modelagem de diretiva de grupo?
O que so os Resultados de diretiva de
grupo?
Discusso em classe: Modificando a herana
da diretiva de grupo

Requisitos Contoso.msft

Um aplicativo antivrus deve ser Vendas

instalado em todos os computadores no
domnio
O Microsoft Office deve ser instalado em
todos os computadores do domnio,
exceto nos do departamento Payroll
Um aplicativo de contabilidade deve ser Payroll
instalado em todos os computadores
cliente no departamento Payroll, exceto
naqueles usados pelos administradores
da unidade organizacional Payroll

Treinamento
Como voc configura seus GPOs?
Prtica: Gerenciando a implantao da
diretiva de grupo

Domnio
NomeDaCidade IT Teste
rea de Trabalho
Padro NomeDaCidade
Contabilidade

Funcionrios
NomeDaCidade
Apl. de Funcionrios Temp
Contabilidade

Marketing

Funcionrios
NomeDaCidade Funcionrios Temp
Apl. de Marketing
Implementando a diretiva de grupo

Criar uma GPO

Vincular um GPO a uma unidade
organizacional
Identificar os efeitos da herana
quando vrios GPOs so
atribudos
Bloquear a herana da diretiva de
grupo
Forar um GPO a ser aplicado
a unidades organizacionais filho
Filtrar um GPO para que ele seja
aplicado a usurios e grupos
selecionados em uma unidade
organizacional
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
 Simulado

Letra A
Simulado
 Simulado

Letra A
Simulado
 Simulado

Letra D
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado
Simulado