Configurando SERVIDOR WINDOWS

Introduo
Em tutoriais anteriores, estudamos bastante sobre a configurao de servidores Linux, incluindo a configurao de servidores Samba. Vamos agora estudar tambm um pouco sobre o lado negro da fora, vendo como as coisas funcionam no mundo dos servidores Windows. O objetivo deste tutorial servir como uma introduo configurao do Windows 2003 Server, mostrando os principais recursos do sistema e os passos bsicos para configurlo. A idia no transform-lo em um especialista em redes Windows, mas sim oferecer um resumo das opes disponveis, desmistificando o tema. Na verdade, o 2003 Server j tem um sucessor, o Windows 2008 Server. Apesar disso, 2003 Server ainda continuar sendo o mais usado durante muitos anos, pois o ritmo de atualizao nos servidores muito mais lento do que nos desktops, j que o investimento necessrio para atualizar os servidores (incluindo mquinas, mo de obra e outros custos relacionados) maior e temos tambm o risco de algo dar errado durante a migrao, causando interrupo nos servios de rede e causando prejuzos. O Windows 2003 Server possui diversas verses diferentes, que se diferenciam pelo preo e pelos recursos oferecidos: Standard Edition: Esta a verso padro do sistema, destinada ao uso em servidores deede de uso geral. Ela oferece suporte a mquinas com at 4 processadores e a at 4 GB de RAM. Junto com a verso x64-bit, esta a verso que voc utilizaria em um servidor de rede local. Web edition: uma verso limitada do sistema, destinada a ser usada em servidores Web, que oferecida a empresas de hospedagem a custos reduzidos. Ela oferece suporte a mquinas com at dois processadores e a at 2 GB de memria RAM e oferece um conjunto limitado de servios. Ao locar um servidor web com o Windows, esta provavelmente a verso que ser utilizada. Enterprise Edition: Suporta mquinas com at 8 processadores e permite configurar clusters com at 8 mquinas. Ela oferece suporte ao PAE, que permite acessar at 32 GB de memria RAM em processadores de 32 bits que ofeream suporte ao recurso. Esta verso tipicamente usada em grandes servidores de bancos de dados e em servidores de alta disponibilidade.

Datacenter Edition: Esta verso roda em uma arquitetura proprietria de hardware, que pode utilizar at 64 processadores. O sistema fornecido junto com o hardware e com um pacote de servios que inclui a implementao, o que o torna uma soluo incrivelmente cara, reservada a alguns nichos especficos. x64-bit Edition: a verso com suporte a processadores de 64 bits. Ela oferece os mesmos recursos da Standard Edition e configurada da mesma forma, mas oferece suporte a mais memria RAM e pode rodar aplicativos otimizados para o uso de instrues de 64 bits. Embora as licenas de uso do 2003 Server sejam relativamente caras, voc pode baixar uma verso trial do sistema, que pode ser usada sem restries durante 180 dias no: http://www.microsoft.com/windowsserver2003/ (use o link "Download Windows Server 2003 R2 for a Trial Run") Voc pode usar a verso trial para estudar o sistema, ou at mesmo para implementar uma rede domstica para fins de teste. A idia da Microsoft justamente facilitar o acesso ao sistema para quem quer aprender a us-lo, mas enforc-lo mais adiante na hora de implantar o sistema na sua empresa. Assim como no caso do Windows Vista, necessrio registrar o sistema (processo gratuito) para obter a licena de uso por 180 dias, caso contrrio ele expira depois de duas semanas. Muitas das funes executadas pelo 2003 server podem ser executadas por outras verses do Windows rodando softwares adicionais. Voc poderia, por exemplo, transformar uma mquina rodando o Windows XP em um servidor web instalando as verses Windows do Apache, do PHP e do MySQL, mas voc no poderia dispor dos mesmos servios e das mesmas ferramentas de gerenciamento disponveis no 2003 Server. Alm do mais, se a idia rodar um servidor web com o Apache, seria mais simples e mais seguro utilizar diretamente um servidor Linux, j que o Windows XP um sistema operacional para uso em desktops, e conta com um histrico de segurana pouco honroso. Em geral, servidores Windows so usados em situaes onde os recursos nativos do sistema oferecem algum benefcio real (como no caso do Active Directory, por exemplo), quando o corpo administrativo responsvel pela rede tem experincia apenas com a implementao de servidores Windows (nesse caso possivelmente seria mais caro reciclar toda a equipe do que pagar pelas licenas necessrias), ou quando necessrio usar softwares ou plataformas que rodam apenas sobre ambiente Windows. Voltando ao 2003 Server, as opes bsicas de configurao do servidor so centralizadas no "Configure Your Server Wizard", disponvel atravs do "Iniciar > Manage your Server". Atravs dele voc pode adicionar funes (roles) ao servidor, de acordo com as funes s quais ele destinado:

Todos os servios configurveis atravs dele podem ser configurados atravs do painel de controle, o wizard apenas um facilitador. Caso voc j tenha ativado um determinado servio por outros meios, ele aparece marcado como configurado no wizard. No screenshot, por exemplo, a funo de servidor de arquivos "File Server" aparece marcada pois compartilhei uma pasta manualmente. Nesses casos o wizard pode ser usado tambm para remover a configurao anterior. Como pode ver, optei por utilizar a verso em Ingls do 2003 Server nos screenshots do tpico em vez da verso em Portugus j que, ao contrrio do que temos nas verses desktop do Windows, tanto a verso em Ingls quanto a em Portugus so igualmente utilizadas. Como mais fcil para algum acostumado com a verso em Ingls utilizar a verso em Portugus do que o contrrio, optei por utiliz-la nos exemplos. Vamos ento a um resumo das funes disponveis:

Servidor de arquivos
As verses domsticas do Windows possuem (de acordo com a verso) um limite de 5 ou 10 conexes simultneas a compartilhamentos de arquivos. Isso feito intencionalmente, de forma a impedir que sejam usadas como servidores de arquivos fora das redes domsticas e dos pequenos escritrios. possvel desarmar a limitao atravs da alterao de chaves de registro, mas isso viola o contrato de uso do sistema, o que no aceitvel no caso de uma empresa, devido questo legal. Com isso, a partir do momento em que sua rede corporativa possui mais do que um punhado de mquinas, voc acaba sendo obrigado a incluir um servidor de arquivos dedicado, que pode ser uma mquina Linux rodando o Samba, ou uma mquina Windows, rodando uma das verses Server do Windows.

Em tutoriais anteriores, vimos como configurar um servidor de arquivos usando o Samba. Vamos agora estudar um pouco sobre a configurao do Windows 2003 Server. O assistente para servidor de arquivos do "Configure Your Server Wizard" um dos mais simples. Escolhendo a opo "file server", voc se depara com uma sequncia de dois assistentes. O primeiro permite ativar o uso de quotas para novos usurios, limitando assim o volume de espao em disco que pode ser usado por cada um. O uso de quotas importante em redes com muitos usurios para racionalizar o uso do espao disponvel, evitando que um nico usurio acabe com o espao disponvel dos discos.

No final est disponvel tambm a opo de ativar o servio de indexao, que oferece a possibilidade de realizar pesquisas dentro do contedo dos documentos atravs de um formulrio web hospedado no servidor. Para tirar proveito desse recurso, necessrio instalar tambm o IIS, atravs da opo "Application Server (IIS, ASP.NET)" do Configure Your Server Wizard. A principal desvantagem de ativar o servio de indexao que ele consome uma fatia generosa dos recursos do servidor, que aumenta juntamente com o volume de acessos e de arquivos armazenados. O segundo um assistente simples, que permite criar compartilhamentos e definir o nvel bsico de permisses, que podem ser refinadas posteriormente acessando as propriedades do compartilhamento. O mais comum usar as opes "Administrators have full access, other users have read-only access" para compartilhamentos usados para disponibilizar arquivos e programas acessados por diversos usurios em modo somente-leitura e a opo "Administrator have full access, other users have read and write access" para pastas de trabalho, onde os usurios precisam editar os arquivos:

Voc pode tambm criar novos compartilhamentos e alterar as permisses de acesso da mesma forma que no Windows XP, acessando as propriedades da pasta e marcando a opo "Share this folder":

As quotas definidas ao rodar o assistente so apenas os valores padro, que so aplicados a todos os novos usurios. Voc pode acompanhar o uso do espao e definir quotas personalizadas para os usurios que precisarem de mais espao acessando as propriedades do disco. Acesse a aba "Quotas" e clique no boto "Quota Entries" para abrir a janela de configurao. Dentro dela, acesse as propriedades do usurio a configurar:

Para configurar as contas de usurios locais, acesse o "Start > All Programs > Administrative Tools > Computer Management". Dentro dele, acesse o "System Tools > Local Users and Groups". A partir da, voc pode criar novos usurios ou grupos clicando com o boto direito sobre a pasta correspondente e usando a opo "New user" ou "New group":

A opo "User must change password at next logon" fora o usurio a trocar a senha ao se logar pela primeira vez, o que ajuda a resolver o problema do uso de senhas padro indefinidamente. Voc pode tambm fazer o inverso, ativando a opo "User cannot change password" para que ele no possa trocar a senha definida por voc. A opo "Account is disabled" permite desativar a conta temporariamente, sem remov-la do sistema. As contas desativadas aparecem com um "x", como a conta Guest do screenshot anterior. Outra opo para a administrao dos usurios locais o "lusrmgr.msc" (disponvel tambm no Windows XP), que pode ser chamado atravs do "Start > Run". Ele oferece basicamente as mesmas opes. Prximo: Servidor DNS

DHCP
Para instalar o servidor DHCP, acesse o "Configure Your Server Wizard" e selecione a opo "DHCP Server" na lista de funes. Isso dispara um wizard que permite configurar o escopo de endereos que ser usado pelo servidor, de forma similar ao que fazemos no arquivo dhcpd.conf ao configurar o servidor DHCP no Linux:

As opes incluem o range de endereos que ser usado pelo servidor e a mscara de subrede (que pode ser fornecida no sistema CIDR ou na notao tradicional). Na tela seguinte, voc pode definir uma lista de excluses, ou seja, faixas de endereos dentro da faixa definida na primeira opo que no devem ser usadas pelo servidor DHCP. Em seguida so definidos o gateway da rede, servidores DNS e servidor WINS (caso usado). No final do processo, voc ter a opo de inicializar a configurao

imediatamente, ou de deixar para aplic-la mais tarde (o que pode ser feito se voc precisar verificar a configurao da rede ou consultar outro administrador antes de ativar o servidor DHCP, por exemplo). Voc pode tambm aproveitar para ativar o servidor WINS, que tem um papel secundrio dentro das redes Microsoft, funcionando como uma base de dados que relaciona os nomes das mquinas com os endereos IP correspondentes, ajudando na navegao da rede. Sem ele, os clientes Windows que no foram configurados para fazer parte de um domnio precisam recorrer a pacotes de broadcast para a navegao da rede, o que aumenta o trfego e torna a navegao no ambiente de redes mais lenta. Para ativar o servidor WINS, acesse o "Configure Your Server Wizard" e selecione a opo "WINS Server". A menos que voc precise utilizar vrios servidores WINS na mesma rede, a configurao basicamente automtica. Basta ativar o servio e o servidor passa a manter a base de nomes e a responder s requisies dos clientes. A partir da, falta apenas configurar os clientes para utilizarem seu servidor. Ao usar o DHCP, voc pode especificar o endereo do servidor WINS como parte da configurao. No caso dos clientes com configurao manual, a opo fica escondida nas propriedades da conexo de rede, no Protocolo TCP/IP > Propriedades > Avanado > WINS:

O WINS est lentamente entrando em desuso, j que a mesma tarefa realizada por ele pode ser executada de forma mais eficiente por um servidor DNS corretamente configurado. Apesar disso, ele ainda um servio importante, que vai demorar para deixar de ser usado completamente. Prximo: Active Directory

Servidor DNS
Em seguida temos a configurao do DNS. Como bem sabemos, o DNS o protocolo usado para converter nomes de domnio em endereos IP. Dentro das redes Microsoft, o DNS especialmente importante, pois a partir do Windows 2000 ele passou a ser usado como servio primrio para resoluo de nomes dentro da rede (substituindo o antigo protocolo WINS) e passou a ser uma das bases do Active Directory. A rede passa ento a utilizar um domnio, que pode ser dividido em subdomnios e em endereos individuais para os PCs e servidores da rede.

Se voc pretende implant-lo na sua rede, ento voc precisa primeiro configurar o servidor DNS, para s ento ativar o Active Directory. Voc pode rodar os dois servios em servidores diferentes, mas de qualquer forma necessrio que o servidor DNS esteja disponvel na rede. Os dois servios so inseparveis. Embora recomendvel, no obrigatrio usar um domnio registrado. Se o servidor destinado apenas sua rede local, ou se voc est apenas montando uma rede de teste para estudar o funcionamento do servidor, perfeitamente possvel inventar um nome de domnio. Nesse caso necessrio configurar todos os PCs para utilizarem o endereo IP do seu servidor DNS local como nico servidor DNS. Qualquer estao que utilize um servidor DNS externo no conseguir encontrar o domnio, j que ele existir apenas dentro da sua prpria rede:

Mas, em um ambiente real de produo, importante fazer a configurao da forma correta, registrando um domnio vlido. Voc pode fazer o registro diretamente no registro.br ou contratar os servios de uma empresa de hospedagem. muito comum aproveitar o domnio usado pelo site da empresa, criado um subdomnio para a rede interna, como "intranet.empresa.com.br". Para usar o domnio, necessrio que o servidor de DNS responsvel pela rede tenha uma conexo com endereo IP fixo e que o DNS responsvel pelo domnio principal seja configurado para encaminhar para ele as requisies referentes zona usada pela rede interna. A configurao do servidor propriamente dito feita atravs da opo "DNS Server" do "Configure Your Server Wizard":

A configurao do servidor DNS inclui dois passos. O primeiro a configurao da zona de pesquisa, que permite que o servidor faa a resoluo dos nomes. Esta a principal parte da configurao. A segunda configurar a zona reversa (DNS reverso), que um passo opcional, necessrio apenas se o seu servidor usa um DNS vlido e usado como servidor de e-mails. O DNS reverso utilizado por diversos servidores SMTP para verificar a autenticidade dos endereos, ou seja, verificar se o servidor realmente o responsvel pelo domnio especificado no remetente dos e-mails, de forma a dificultar o envio de spam. Sem configurar a zona reversa, os e-mails provenientes do seu servidor sero rotulados como spam e descartados por muitos servidores. A primeira pergunta (Select the action you would like this wizard to perform) do assistente se refere justamente a isso. Se voc est configurando um DNS local (mesmo que utilizando um domnio vlido), em um servidor que no ficar diretamente disponvel via Internet, escolha a primeira opo, "Create a forward lookup zone":

A segunda pergunta (Which server maintains your primary forward lookup zone) se refere manuteno do domnio. Se voc no est usando um domnio registrado, ou se voc mesmo realizou o registro e est configurando o servidor para responder por ele, use a opo "This server maintains the zone". A segunda opo (An ISP maintains the zone and a read-only secondary copy resides on the server) usada apenas caso o domnio tenha sido configurado por uma empresa de hospedagem ou provedor de acesso (que j

configurou um servidor externo para responder por ele) e seu servidor est sendo configurado como servidor DNS secundrio. Na opo "Zone Name" vem a parte mais importante (e mais simples), que especificar a zona, ou seja, o domnio que ser utilizado pelo servidor. possvel tanto usar um domnio primrio, como "gdhn.com.br" quanto um subdomnio, como "intranet.gdhn.com.br". O uso de subdomnios muito comum em grandes redes, de forma a permitir que cada subrede utilize uma zona diferente.

No final do wizard, na opo "Forwarders", marque a opo "Yes, it should forward queries to DNS servers with the following IP address" e preencha os dois campos com os endereos dos servidores DNS usados para acessar a Internet. Isso faz com que o servidor encaminhe as requisies de domnios da Internet para eles, permitindo que as mquinas da rede local acessem normalmente. Com isso, o servidor DNS responde diretamente requisies dentro de sua prpria zona (ou seja, dentro do domnio especificado na configurao) e repassa todas as demais uma os servidores DNS do provedor. Depois de concludo o assistente, voc pode alterar a configurao do servidor DNS e ter acesso s opes avanadas atravs do "Administrative Tools > DNS" no iniciar:

Active Directory
Em uma pequena rede, voc pode usar o simple sharing do Windows XP (configurar um servidor Samba com acesso para a conta "guest") para criar compartilhamentos de rede de acesso fcil, porm sem segurana. possvel tambm centralizar os compartilhamentos em um servidor central, criando contas de acesso separadas para cada usurio. Mas, em uma grande rede, nenhuma das duas opes so satisfatrias, j que deixar os compartilhamentos escancarados deixaria a rede incrivelmente vulnervel e tentar sincronizar manualmente listas de usurios entre vrios servidores seria um trabalho contnuo, fonte de muita dor de cabea. A partir do Windows NT foi introduzido o conceito de domnios, onde um servidor central, chamado de PDC (Primary Domain Controller, ou controlador primrio de domnio) armazena um diretrio central, contendo os logins e senhas de acesso, permisses de segurana e outras informaes. O PDC passa ento a funcionar como um servidor de autenticao para toda a rede, centralizando a administrao. Ao cadastrar um novo usurio no servidor PDC, ele automaticamente pode fazer logon em qualquer uma das estaes configuradas como membros do domnio. Ao remover ou bloquear uma conta de acesso, o usurio automaticamente bloqueado em todas as estaes. Isso elimina o problema de sincronismo entre as senhas no servidor e nas estaes e centraliza a administrao de usurios e de permisses de acesso no servidor, simplificando bastante seu trabalho de administrao. A partir do Windows 2000, este recurso foi expandido, dando origem ao Active Directory. Ele baseado em uma implementao do LDAP e permite armazenar um volume muito maior de informaes, alm de facilitar o uso de diversos servidores no mesmo domnio. Essencialmente, o Active Directory oferece as mesmas funes oferecidas por um domnio NT, combinadas com novos recursos. No Linux, existe a opo de configurar o Samba como controlador de domnio, inclusive participando do Active Directory, como se fosse um servidor Windows. Entretanto, o Samba 3 ainda no capaz de atuar como servidor primrio do Active Directory, tarefa que por enquanto pode ser desempenhada apenas por um servidor Windows. O suporte a Active Directory est sendo includo na verso 4 do Samba que (incio de 2008), est em estgio alpha. Vamos ento configurao: Depois de ativar o DNS, voc pode acessar o assistente para ativar o Active Directory e promover o servidor a Controlador de Domnio usando a opo "Domain Controller (Active Directory)" do "Manage Your Server" ou chamando o "dcpromo.exe" atravs do "Iniciar > Executar". Para o primeiro controlador de domnio da rede, escolha a opo "Domain controller for a new domain" e em seguida a opo "Domain in a new forest". A opo "Additional domain controller for an existing domain" usada apenas quando voc j tem um domnio ativo e est adicionando novos servidores a ele:

Na pergunta seguinte (Create New Domain), voc pode escolher entre trs opes. SE este o seu primeiro servidor de domnio, escolha a opo "Domain in a new forest":

O Active Directory organizado dentro do conceito de rvores e florestas. Tudo comea com o primeiro servidor do domnio, que passa a ser a raiz da primeira rvore. possvel criar sub-domnios (child domains) como "adm.gdhn.com.br" e "vendas.gdhn.com.br" entram na analogia como galhos na rvore. Voc pode ento cadastrar novos servidores,

criando um subdomnio diferente para cada um (um para cada departamento da empresa, por exemplo). Nesse caso, voc usaria a opo "Child domain in an existing domain tree" ao cadastr-los. possvel tambm adicionar novos domnios (que faam parte da mesma organizao), que entram na analogia como novas rvores. Ao cadastr-los, voc usaria a terceira opo (Domain tree in an existing forest), que faz com que a nova rvore (o novo domnio) seja adicionado rvore (ou seja, ao domnio) j existente, formando uma floresta. As florestas so compostas por diversos domnios (e, consequentemente, por diversos servidores) que formam um nico diretrio. Voc pode imaginar um grande volume de servidores, espalhados por diferentes cidades de um pas, ou mesmo por pases diferentes, que mantm uma base de dados comum (replicada de forma automtica) e podem ser administrados de forma centralizada. A grande bandeira do Active Directory justamente o fato de oferecer os recursos que permitem a criao dessa estrutura. Continuando, temos a pergunta seguinte (New Domain Name) onde voc deve indicar o domnio que est sendo criado, como "gdhn.com.br":

O "Domain NetBIOS name" um nome alternativo para o servidor, que ser fornecido aos clientes com verses antigas do Windows (95/98/ME/SE ou NT), que ainda utilizam o WINS ou pacotes de broadcast para localizar as mquinas na rede. O nome NetBIOS pode conter at 15 caracteres, incluindo letras e nmeros, mas fortemente recomendado que voc no utilize pontos, para que ele no seja confundido com o nome de domnio. Uma boa opo simplesmente usar a parte principal do domnio como nome NetBIOS, como em "GDHN".

Em seguida voc tem a opo de definir onde sero armazenadas as bases de dados do servidor e os logs. Por default so sugeridas pastas dentro do diretrio Windows, mas em um servidor de produo recomendvel reserver um HD separado apenas para isso. Isso facilita a recuperao dos dados e a migrao para outro servidor em caso de pane e tambm melhora o desempenho de acesso aos arquivos, j que eles no precisaro compartilhar os ciclos de leitura do HD com os demais arquivos, bibliotecas e aplicativos do sistema:

A pergunta seguinte sobre a localizao do SYSVOL, que armazena arquivos que ficaro acessveis a todas as mquinas que fazem parte do domnio. Alm de permitir disponibilizar atualizaes de segurana, drivers, patches e outros arquivos que precisam ser instalados em diversas mquinas da rede (que seria a aplicao mais bvia), ele armazena tambm os arquivos com as polticas de grupo, e os scripts de logon, que so executados pelas estaes quando o usurio faz logon. Isso faz com que o SYSVOL tambm seja um componente importante. As polticas de grupo (group policies) permitem limitar o ambiente dos usurios, bloqueando o uso do task manager, restringindo os aplicativos disponveis, bloqueando alteraes no ambiente de trabalho, bloqueando a instalao de programas e assim por diante. A idia restringir as opes e as alteraes que podem ser feitas pelos usurios, reduzindo assim o volume de trabalho das equipes de manuteno e de suporte. Para criar polticas de grupo para o domnio, preciso instalar o GPMC (Group Policy Management Console), disponvel no http://www.microsoft.com/windowsserver2003/gpmc/. Depois de instalado, voc pode abrir o editor atravs do "Administrative Tools > Group Policy Management" ou chamando o "gpmc.msc" atravs do "Start > Run".

Continuando, se houver qualquer problema com a configurao do servidor DNS, que impea seu uso em conjunto com o Active Directory, o assistente exibe o menu abaixo, onde voc tem a opo corrigir o problema manualmente e executar o teste novamente, deixar que o assistente corrija o problema automaticamente ou concluir a configurao e deixar para solucionar o problema manualmente mais tarde:

Em configuraes simples, ou seja, um nico DNS local, respondendo por um nico domnio, o wizard costuma fazer um bom trabalho na resoluo do problema, por isso voc pode arriscar usar a segunda opo sem medo, mas no caso de um servidor de produo seria recomendvel estudar o problema com mais calma. Como parte do processo, solicitada que voc defina uma senha de restaurao para o Active Directory. Esta senha solicitada ao acessar o Directory Restore Mode, um modo de recuperao que pode ser acessado ao pressionar a tecla F8 durante a inicializao do

sistema (acesse a opo "Windows Advanced Options > Directory Services Restore Mode"). Atravs dele voc pode executar diversas tarefas que no podem ser executadas enquanto o sistema est ativo, como transferir os arquivos do banco de dados para outro servidor ou realizar uma desfragmentao do BD em modo offline. Naturalmente, essencial que seja escolhida uma boa senha.

No final do processo necessrio reiniciar o servidor, para que todas as mudanas sejam aplicadas. Depois de ativar o Active Directory, vrias coisas mudam na administrao do servidor, a comear pelo gerenciamento de usurios. A opo "Administrative Tools > Computer Management > System Tools > Local Users and Groups" desaparece e o "lusrmgr.msc" passa a exibir uma mensagem de erro quando aberto, avisando que no pode ser usado em um controlador de domnio. Isso acontece por que ambas as ferramentas permitem administrar usurios locais e, ao ativar o Active Directory, deixamos de usar contas locais e passamos a usar contas cadastradas no diretrio. A administrao passa ento a ser feita atravs do "Administrative Tools > Active Directory Users and Computers":

Dentro do utilitrio, expanda a rvore do domnio (na coluna da esquerda), clique com o boto direito sobre a pasta "Users" e selecione a opo "New > User". Veja que o campo "User logon name" inclui o domnio do qual ele faz parte:

Esta mesma ferramenta usada para criar grupos, criar compartilhamentos de rede e impressoras, entre outros recursos. Toda a configurao feita aqui salva no diretrio e automaticamente replicada para os demais servidores, passando a valer para toda a rede.
Cadastrando as mquinas

Cadastrando as mquinas
O prximo passo cadastrar as demais mquinas da rede no domnio, o que precisa ser feito manualmente em cada cliente, seja localmente ou seja usando a assistncia remota. Nas estaes com o Windows XP Professional, acesse o "Painel de Controle > Sistema > Nome do Computador" e use a opo "Alterar...". No menu seguinte, defina o nome da mquina e indique o domnio. Para ter acesso a esta opo voc deve estar logado (na estao) como administrador:

Na tela de identificao que ser aberta a seguir, voc deve efetuar um login no servidor usando o login "administrator", "administrador" ou outra conta administrativa, com permisso para ingressar mquinas no domnio. Fornecer a senha da conta administrativa ao cadastrar o cliente no domnio, prova que quem est fazendo a operao o administrador, ou algum autorizado por ele. Se qualquer um pudesse adicionar e remover mquinas do domnio, ele no seria muito diferente de um grupo de trabalho e a configurao perderia todo o sentido. Lembre-se de que para encontrarem o domnio, as estaes devem ter sido configuradas para utilizarem o endereo IP do servidor DNS interno e no o DNS do provedor ou qualquer outro servidor externo. Sem isso, voc receber uma mensagem como a abaixo, avisando que a estao no conseguiu encontrar o servidor. Nesse caso, altere a configurao de rede da estao, adicionando o endereo IP do servidor como DNS primrio e tente novamente.

Mesmo que toda a configurao esteja correta, normal que a conexo inicial demore um ou at dois minutos. Se tudo der certo, voc saudado com uma mensagem de boas vindas:

Quando a mquina passa a fazer parte do domnio, criada uma "relao de confiana" entre ela e o servidor. Uma senha (chamada de "machine trust account password") usada pela mquina para comprovar sua identidade ao contatar o servidor de domnio. Esta uma senha interna, gerada automaticamente pelo sistema durante a conexo inicial. Depois de reiniciar a estao, o default da tela de login passa a ser realizar o login no domnio em vez de na mquina local. Isso permite fazer logon usando qualquer uma das contas cadastradas no servidor. Continua disponvel tambm a opo de fazer um login local, mas neste caso perde-se o acesso aos recursos relacionados ao domnio e usado o perfil do usurio local:

Uma vez que a mquina adicionada ao domnio, passa a existir uma distino entre as contas locais (que so vlidas quando usada a opo de fazer logon na mquina local, na tela de logon) e as contas do domnio. Quando o usurio se loga na estao, usando uma das contas cadastradas no servidor, ele na verdade logado (na estao local) usando uma conta limitada, onde ele no tem permisso para compartilhar arquivos, para alterar as configuraes da rede, nem para alterar a maior parte das configuraes do sistema. Em muitas situaes, exatamente isso que voc quer, mas em outras isso pode ser um grande problema, j que o usurio no conseguir compartilhar pastas com outros usurios da rede, por exemplo. Veja que a aba de compartilhamento sequer fica disponvel nas propriedades da pasta:

Para mudar isso, necessrio ajustar as permisses da mquina local, de forma que a conta do domnio tenha permisso para alterar as configuraes. Para isso, logue-se localmente na estao Windows, usando uma conta (local) com privilgios administrativos:

Acesse o "Painel de controle > Contas de usurio" e clique no "Adicionar". Especifique o login do usurio e o nome do domnio e na tela seguinte especifique o nvel de permisso na mquina local (Administrador, Usurio avanado, etc.). Voc pode adicionar outros usurios se desejar:

Faa logoff (na estao) e logue-se novamente no domnio com a conta que foi cadastrada. Se voc a cadastrou com privilgios administrativos, voc notar que a aba de compartilhamento voltou a aparecer e o acesso s demais configuraes foi destravado. Com isso o usurio assume o controle de sua mquina local e pode criar compartilhamentos e alterar as demais configuraes:

Note que esta configurao necessria apenas se voc quiser que os usurios das estaes possam criar compartilhamentos locais. Outra opo simplesmente adicionar compartilhamentos no servidor e orientar os usurios a usarem os compartilhamentos criados para compartilharem os arquivos desejados. Centralizar todos os compartilhamentos no servidor mais seguro e facilita bastante os backups, j que voc precisar apenas em fazer backup dos arquivos do servidor. Concluindo, para remover a mquina do domnio, preciso acessar a mesma opo e mudar a opo de "Membro de Domnio:" para "Membro de Grupo de trabalho:". O sistema solicita novamente a senha do servidor, como uma forma de comprovar que o usurio est autorizado a realizar a operao. Isso evita que os usurios da rede desfaam a configurao, removendo as mquinas do domnio. No Windows Vista, a opo de adicionar a mquina ao domnio est no Painel de Controle > Sistema > Configuraes avanadas do sistema (na lista esquerda) > Nome do Computador > Alterar. A forma como voc escolhe se quer se logar ao domnio ou fazer um login na mquina local na tela de login do Vista segue uma lgica um pouco curiosa. Depois que a mquina adicionada ao domnio, a tela de login mostra a opo de fazer logon no domnio, onde o ltimo login utilizado fica pr-selecionado. Para usar outro login, necessrio clicar no boto "Trocar Usurio" e fornec-lo na tela seguinte. Entretanto, no existe uma opo para fazer logon na mquina local. Para isso, necessrio especificar o nome da mquina seguido pelo nome do usurio no campo de login, como em: Vistagdhn. Outra opo usar um "." antes do nome do usurio, como em ".gdhn". No Windows 2000, o procedimento basicamente o mesmo do Windows XP, muda apenas a localizao da opo, que est disponvel no "Meu Computador > Propriedades > Identificao de rede > Propriedades". Nem todas as verses do Windows suportam o uso de um domnio. Como controladores de domnio so usados principalmente em redes de mdio ou grande porte em empresas, a Microsoft no inclui suporte no Windows XP Home e no XP Starter, assim como no Vista Starter, Vista Home Basic e Vista Home Premium, de forma a pressionar as empresas a comprarem as verses mais caras.