Administração e Manutenção Do Ambiente Microsoft Windows Server 2003

Decor MCSA/MCSE Q od y [Se] A AGministhacac e Manutencacdo Ambiente Microsoft WINDOWS cS) SAV 4 =e lero te | | Dan re 1 & Orin Thomas Kit de Treinamento para o exame 70-290Sn¢wees Dan Holme Formado pela Universidade de Yale em Thunderbird, Faculdade Americana de Adiministrgo In- teracional, Dan rabalhou 10 anes como consultor¢ instrutor, oferecendo solucbes para dezenas de millares de profissionas de I de organiza oes e corporagoes de maioe prestigio CM Lodo 6 ‘mundo. Entreseus clientes esuo a NEST, Compaq, HP, Boctog, Home Depote Invel. Recentemen- 1c envolvido no suporte a0 projto 2 implementags empresas IRO, Johnson & Johnson, Los Alamos National laboratories « Ge nerl Electric. Dan & Dieetor de Servicos de Tecinamento da lntalliem, uma empresa especializada ara produtivchude dos profissionais del ¢ ususrios ints, por meio di de so z las © personalizidas que integram projeto e configuracio especificos do eliente 20 on servigos de gerenciamento do conhecimento concentrados mi produtisidade (infointelliem con), a sua sede no ensolarado estado do Arizona, Dan visa para visiar clientes em todo © mundo, levando seu modo pre ferido de transporte ~ 0 snowboard. & preciso uma vila para fvzer um “maluco” fellz,e Dan manda seu eterno igre mento. sq Sond 9. Beth, Dan & June, Le Orin Thomas: Orin € autor, editor € administrador de sistemas. Be ‘eagio Certutorinet, Seu trabalho em TI tem sido rede de primeieo nivel até stuar no papel de ade para u 1. Ee ja escreveu vitios artigos part publicardes tCenieas,além de ser contr ‘The Insider's Guide to IT Gertiicaion, Possuindo as cerificacies MCSE, CCNA, 1A Linux, ¢ formado em Cigneits com louvor pela Universidade de Melbourne, No momen 'o, taballa na conclasio de um doulorado em Flosof ‘Orin gostaria de agradecer 2 ind ¢ incrivel mulher Oksana por ser mais maravilhosa e dedicada do que ee jamais sonho. umben twits para aqueles que estio ineressados em obter conifioagso, Aa H748a_—_ Holme, Dan Administragio e manutencao do ambiente Microsoft Windows Server 2008; kt detreinamento : exe 70-260 /Dan Hole, Orin ‘Thomas ; tradugio Katia Agarecida Roque. - Porto Alzgre : Bookman, 2006. (686 p. ; 25 em, ISBN 978-85-969-0586-8 1. Computagio ~ Sistema operacional - Windows Server. 1. Thomas, Orin. I, Titulo, ‘CDU 004.451.9(076) WINDOWS SERVER Catalogagao na publicacéo: Jilia Angst Coelho ~CRB 10/1712Dan Holme e Orin Thomas MCS A/MGSE Administragao e Manutengao do Ambiente Microsoft® WINDOWS SERVER 2003 Revisao Técnica: Jane Bertin Consultora e Instruto Mindows Sere 1 Specait Kit de Treinamento Reimpressao 2008 2006 BLED aia Microsoft‘Obma originalmente publicada sob o titulo Managing and Maintaining a Microsoft Windows Server 2003 Environment ©2004, Microsoft Corporation Edicdo original em inglés ©2003, Dan Holme e Orin Thomas Publicado conforme acordo com editora original, Microsoft Press, uma divisio da Microsoft Corporation, Recimond, Washington, FUA. ISBN 0-7356-1437-7 Capa: Mério Rébnelt Supervisao editorial: Arysinba Jacques Affonso Coordenacao editorial: Agéncia Literdria ‘Traducto: Katia Aparecida Roque Editoragio cletrOnica: Triall Composigéo Editorial Ltda. Active Directory, Microsoft, Microsoft Press, MS-DOS, Windows, o logotipo Windows, Windows NT ¢ Win- dows Server sto marcas comerciais not6rias ov marcas comerciais registradas da Microsoft Corporation nos Estados Unidos e/ou em outios paises. Outros nomes de produtos ¢ empresas mencionados aqui podem ser marcas comerciais de seus respectivos proprietarios. (Os exemplos de empresas, organizagdes, produtos, nomes de dominio, enderegos de correio eletrénico, logotipos, pessoas, lugares e eventos retratados aqui sto ficticios. Nenhuma associac’o com qualquer empresa, organizasio, produto, nome de dominio, enderego de correio eletrSnico, logotipo, pessoa, lugar ou ‘evento reais é pretendida ou deve ser inferida. Reservados todos 0s direitos de publicacio, em lingua portuguesa, & ARTMEDY EDITORA S.A. (BOOKMAN’ COMPANHIA EDITORA € uma divisio da ARTMED" EDITORA S. A.) Ay. Jeronimo de Ornelas, 670- Santana 9010-340 Porto Alegre RS Fone (61) 3027-7000 Fax (61) 3027-7070 £ proibida a duplicacao ou reproducio deste volume, no todo ou em parie, sob quaisquer formas ou por quaisquer meios (eletronico, mecanico, gravacao, fotocdpia, distribuicdo na Web e outros), sem permissao expressa da Editora, SAO PAULO Av. Angélica, 1091 - Higiendpolis, 127-100 Sto Paulo SP Fone (11)3655-1100 Fax (11) 3667-1333 SAC 0800 703-3444 IMPRESSO NO BRASIL. PRINTED IN BRAZILSobre este Livro Bem-vindo a0 MCSA/MCSE Administragdo ¢ Manutengdo do Ambiente Micr Server 2003 - Exaie 70-290— Kil de Treimamento. Criame vamente para 6 exame MCSE, aproveitando para compartithar com voce o conhecimento sobs > pant implementar 0 Windows Server 2003 em sua rede empresacial Esperimos que com esta ajuda para cntender a tecnologia basica, a variedade de opedes de configuracto dos conjuntos de recursos € 4 complexa interac2o entre os Componentes, vooe steja melhor preparido para vencer os desafios que enfrenta na drea da tecnologia da in- formacao (TD. Também esperamos atender toda a comunidade — para elevar o valor ct si ida cenific ional instruido, experiente oft Windows s este livro para prepari-lo efeti- fo que & preci Nota Para obter outras informagdes sodre como se ternar um Microsoft Certified Profes- sional, consulle a seao Programa Microsoft Certified Professional mais adante nesta Introducao. Pablico-alvo Este livro foi desenvolvido para profissionais de Tl que pretendem fazer 0 MCSA/MCS Administragdo e Manuiengdo do Ambiente Microsoft Windows Server 2003~ Exame 70-290 ~ Kit de Treinamento, bem como os profissionais de TI que administram computadores que executam 0 Microsoft Windows Server 2003. a Pré-requisitos Oss © Minimo de 12a 18 meses de experi um ambiente de rede. Nota As habilidades exigidas para o exame esto sujeitas a mocificacao sem aviso pré- Vio e a critério exclusive da Microsoft. kit de treinamento: ntes pré-requisitos devem ser atendidos pelos alunos des las Windows em \cka em administragio das tecnologi '« Compreensao do servigo de diretérios Microsoft Active Directory € das tecnologias rel cionadas, incluindo a Diretiva (Politica) de Grupo.BLED aia VE Sobre este Livro Sobre o CD-ROM 2 livro inclui um CD-ROM’ com Materiais Suplementares do Curso, contendo uma varie~ dade de informagdes que complementam o contetido do livro: a Microsoft Press Re Aptidio). com graus variados de complexidade, oferecendo varios modos de teste. E possivel ava~ liar sua compreensao dos conceitos apresentados neste livro ¢ utilizar os resultados para desenvolver um plano de aprendizado que atenda suas necessidades. \liness Review Suite Powered by Meauretip (Suite de Revistio de ista suite de tes tes priticos ¢ revisdes objetivas contém perguntas, em inglés a Uma versio eletronica de: te livro (eBook), em ingles. Para obte uso do Book consultar a secao “O eBook" desta introducao. nformacdes sobre o © Um eBook da Microsoft Encyclopedia of Networking, Second Edition ¢ da Microsoft Encyclopedia of Security fornece material de refer © seguranga, em inglés. completo € atualizado sobre rede = Exemplos de capitulos de diversos livros da Microsoft Press, também em inglés, oferecem informagdes adicionais sobre o Windows Server 2003 € apresentam outros recursos disponiveis da Microsoft Pres Recursos deste Livro Este livro possui duias partes, Utilize a Pare 1 para aprender no seu préprio ritmo ¢ excreitar aquilo que ja aprendeu com os exercicios praticos. A Parte 2 contém perguntas € respostas que podem ser utilizadas para testar seus conhecimentos sobre © que ji aprendeu. Parte 1: Aprenda em Seu Proprio Ritmo Cada capitulo aborda ¢ identifica os objetivos do exame, fornece uma visao geral da impor- tancia dos tépicos, mostrando como as informacdes se aplicam ao mundo real, ¢ relaciona todos os pré-requisitos que devem ser atendidos para a concl as Ses apresent: 's, As licdes contém atividades que incluem um ou cos. Esses exercicios oferecem a oportunidade de utilizar as capacidlae apresentadas ou de explorar a parte da aplica e est sendo deserita. Cada licdo: também tem um conjunto de perguntas de revisa cimento sobre 0 material abordado naquela licko. Apdsas ligdes, voce tem a chance de aplicaro que aprendeu em u iso. Nesse exercicio, voce trabalha através de uma solucao de varias etapas para um, rio de caso realista. Além disso, tem a chance de trabalhar em um laborat6rio de solucao de problemas que explora as dificuldades que podem ser encontradas ao aplicar 6 que apren- dew no seu trabalho real + N.de RO cont fido des CD-ROM esti totalmente em inglCada capitulo termina com um resumo dos principais conceitos ¢ uma breve secio que tek ciona os principais t6picos ¢ termos que vocé precisa conhecer antes de fazer 6 exame, re sumindo as prineipais aprendi agens com foco no exame. | Mundo Real Informagoes Uteis Vocé encontrara quadros como este contendo informagées relacionadas que podem ser tteis. Os quadros Mundo Real contém informacdes especificas adquiridas por meio da experiéneia de profissionais de TI como voce. Parte 2: Prepare-se para o Exame juda vor’ a se f ipos de perguntas que serao encontradas no, (Microsoft Certified Professional). Ao revistr os objetivos © as perguntas de exemplo, voce podera se concentrar nas habilidades especificas que devem ser aperfei¢oa- das antes de fazer 0 exame. qq A Parte 2 foi organizada de acordo com os objetivos do exame. Cada capitulo fala de um dos, ‘grupos primarios de objetivos, chamados Dominios de Objetivo, Cada capitulo relaciona as habilidades testadas que devem ser dominadas para responder As perguntas do exame, e inclui uma lista de leituras adicionais que 0 ajudam a aperfeigoar a habilidade de executar as tarefas ou habilidades especificadas pelos objetivos. Deatro de cada Dominio de Objetivo, vor? encontrard os objetivos relacionados abordados pelo exame. Cada objetivo fornece diversas perguntas do exame pritico. As respostas S20 acompanhadas de explicacdes sobre cada resposta correta ¢ incometa a Notas para Informagao iarizar com os Consulte Também Para obter uma lista completa dos exames MCP e seus objetivos, visite htto://wmw.mierasoft.com/traincert/mep. Nota Esses perguntas também estdo disponiveis no CD que acompanha o livro como um. teste prético (em inglés). frios tipos de auxilios ao leitor aparecem em todo © kit de treinamento: # Dica coniém métodos para executar uma tarefa de forma mais ripida ¢ nao tio dbvia 2 Imporiante coniém informagoes essenciais para a conclusio de uma tarefit, # Nota contém informacdes suplementare: s valio a Ateneo contém infommac sobre possivel perda de dados. Leta estas informagoes com cuidado,BLED aia VIL Sobre este Livro © Cuidado contém des com cuidado. informagées criti iveis danos fisicos. Leia estas informa- « Consulte Também contém refer a outras fontes de informacoes. = Plancjamento cont plementacao m dicas ¢ informacde liteis que devem ajudé-to a planejar a im- # Alerta de Seguranga de var @ seguranca no scu ambiente de trabalho. as informacdes que voee precisa conhecer para maximi- = Dicado Exame sinaliz: certifi 4. as informagdes que voce deve conhecer para fazer 0 exame de do. 1 Registro. contém conselhos priticos sobre as implicacdes no mundo real das informa- das nat lic! des apresen Convengées de Notagao As seguintes convengdes sao utilizadas em todo o livro: = Cara cteres ou comandos que devem ser digitados aparecem em negrito. = Méliconas deck: lico também ¢ ut a Nomes de arquivos e pastas aparecem em caixa alta, exceto quando voce precisa digi tislos diretamente, A menos que sejt indicado 0 contrario, voce pode usar letras mintis- culas ao digitar um nome de arquivo em uma caixa de didlogo ou em um prompt de comando. races izado nos titulos de de sintaxe indica marcadores de informacdes variaveis. O tipo it 08 sugerids. = As extensdes de nome de arquivo aparecem em mint jas aparecem em maitiscul A fonte monoespagade representa trechos de cédigo, exemplos de texto de tela, ou entra das que sto digitudas em um prompt de comando ou em arquivos de inicializagio. = Os colchetes [ | sio usados em declaricdes de sintaxe para incluir itens opcionais. Por exemplo, ome do arqutvd na sintaxe de comando indica que voce pode digitar um nome de arquivo com 0 comando, Digite apenas as informagdes que estao entre os colchetes, e ndo os colchetes propriamente ditos. # Aschaves { } sao usadas em declaracdes de sintaxe para incluir os apenas as informacdes que esto entre as ens exigidos. Digite chaves, ¢ nao as chaves propriamente ditas Convengoées de Teclado © Um sinal de adicio G) entre dois nomes de teclas significa que € preciso pressionar aquelas teckis 40 mesmo tempo. Por exemplo, "Pressione Alt+Tab” significa prender a tecla Alt enquanto pressiona a tecki Tab. © Uma virgula G) entre dois ou mais nomes de teclas significa que € preciso pressionar cada uma das teclas consecutivamente, nao juntas. Por exemplo, “Pressione AIL+WL” significa primeiro pressionar Alt ¢ W ao mesmo tempo e depois solté-las ¢ pressionar L.BLED aia Sobre este Livro 1K Iniciando » kit de treinamento cont m exercivios priticos que o ajudam a aprender sobre imple- mentagio, suporte € solugo de problemas das tecnologias Windows Server 2003. Utilize ‘sta SeCAO para preparar o ambiente de treinamento no scu proprio ritmo. A maioria dos ‘cios pode ser concluida em um Gnico computador de teste em um ambiente de labo- rat6rio. Varios exercicios opcionais exigem um segundo computador que executa © Micro soft Windows XP, ¢ os dois devem estar conectados em uma rede. @ Atengaio 08 exercisios, bem como as mudangas feites ro seu computador de teste, po dem ter resultados indesejados se vocé estiver conestado a uma rede maior. Verifique com © administrador da rede antes de experimentar fazer esses exercicios. Requisitos de Hardware © compui ma. Todo o hardware deve es na Lista de Compatibilidade de Hardware do Microsoft Windows Server 2003 © deve atender aos requisitos relacionados em bilp//microsofl.com/windowsserver200.s/evaluation/ sysreqs/default.nspx. CPU minima: 133 MHz para con para computadores Itanium. na: 128 MB (256 MB recomendados). ior de teste deve ter a seguinte configuracao m 733 Miz recomendados) © 733 Miz putacores 86 = RAMA a Espacoem disco para a configuracao: 1,5 GB para computadores 86 ¢ 2,0 GB para computadores Itanium. = Monitor de video com resolucao 800 x 600 ou superior. = Un lade de CD-ROM ou DVD-ROM. = Mouse Microsoft ou dispositivo apontador compativ Requisitos de Software O software a seguir ¢ neces ‘rio para concluir os procedimentos deste kit de treinamento: = Windows Server 2003, Enterprise Edition. a Windows XP Professional (nao incuido no CD-ROM; utilizado apenas nos exercicios priticos opcionais), Instrugdes de Configuragao Configure seu computador de acordo com as instrugdes do fabricante. O servidor deve ser configurado da seguinte mancira: a Windows server 2003, Enterprise Edition = Nome do computador: Server01BLED aia Sobre este Livro © Controlador de dom nio no dominio contoso.com = 1GBde pago da unidade de disco nao particionada Caso se sinta A vontade com a instal servidor usando as orientacdes a configuragio mais abran; 40 do Windows Server 2003, voc’ pode configurar ima. Caso cont zentes fornecidas no Capitulo 1, io, Voce pode utilizar as instrugdes de lor age como um cliente de Windows XP para os exereicios priticos do Ateneao Se os Seus computadores estiverem conectados a uma rede maior, € preciso verificar com 0 administrador da rede se nao ha conflito entre nomes ce computadores, home de dominio e outras informagdes de configuracao do Windows Server 2003 descritas cima e no Capitulo 1 e as operagdes darede. Se houver um conflito, peca valores alternativos a0 administrador de rede e 05 utilize em todos os exercicios deste lio. A Suite de Revisao de Aptidao" © CD-ROM inclui um teste pratico com 300 exemplos de perguntas do exame ¢ uma revisdo objetiva com outras 125 pergunts e essas ferramentas para reforcar sua aprendi ‘gem ¢ identificar reas nas quais voce precisa praticar mais antes de fazer © exame. Para instalar o teste pratico e revisar os objetivos 1. Insira 0 CD-ROM Supplemental Materials na sua unidade de CD-ROM. BI 2, Clique em Readines Review Suite no menu de interface do usuario e siga os prompts. Nota Se AutoRun estiver desativado ne sua maquina, consulte 0 arquivo Readme.txt do cOROM. Os eBooks O CD-ROM inclui uma versio cletrnica deste kit de treinamento, bem como eBooks para a Microsoft Encyclopedia of Security ¢ a Microsoft Encyclopedia of Networking, Second Editi- on. Os eBooks estio no formato portable document format (PDF) € podem ser vi com © Adobe Acrobat Read r:tlizados Para utilizar os eBooks 1. Insira 0 CD-ROM Supplemental Materials na @) jidadle de CD-ROM, Nota Se AutoRun estiver desativado ne sua maquina, consulte 0 arquivo Readme.txt do cOROM. N. de TToilo o contetide de CD que acompanha este liven encontea-se em inglésBLED aia Sobre este Livro XI 2. Clique em Training Kit eBook no menu da interface do us sar qualquer um dos outros eBooks fornecidos. jo. Também é possivel revi- O Programa Microsoft Certified Professional O programa Microsoft Certified Profession (MCP) oferece o melhor método para testar seu dominio dos produtos e das tecnologias atuais da Microsoft. Os exames ¢ certificacdes cor respondentes sio desenvolvidos para validar seu dominio das capacidades 4 para criar ¢ desenvolver, ou implementar ¢ suportar solucdes com produto: tecnologias cht Microsoft. Os profissionais de informatica que obtém a certificacao Microsoft 10 reconhecidlos como especialistas ¢ Sto procurados pelas empresas. A certificigao uma variedade de beneficios para individuos, funcionatios ¢ organizacde: aq Certificagdes O programa Microsoft Certified Profess especificas de especializacio técni criticas neces Consulte Também Pera obter uma lista completa dos beneficios do MCP, visite htto:// wwew. microsoft.com /traincert/start/itoro. asp. onal oferece varias ices, com base em a = Microsoft Certified Professional (MCP). Demonstra conhecimento profundo de pelo m nos um sistema operacional Microsoft Windows ou plataforma com arquitetura signific: tiva. Um MCP est qualificado para implementar um produto ou tecnologia da Microsoft como parte da solugao de negécios de uma organizacao. = Microsoft Certified Solution Developer (MCSD). Deserwolvedores profissionais qualifica- des par: r1 empresas com as ferramentas © tecnole rosoft Framework. r, criar e desenvolver solugdes de negdcios icluindo © = Microsoft Certified Application Developer (MCAD). Desenvolvedores cados para desenvolver, testar, implantar ¢ atualizar aplic as ferramentas c tecnologias da Microsof,, entre el XML Web services. 8 avangadas, U is 0 Microsoft Visual Studio = Microsoft Certified Systems Engineer(MCSE). Q is cessidades empresariais, criando ¢ implementando a infra-estrutura das solucdes de negocios com b Se NOSS istemas operacionais Microsoft Windows ¢ no Microsoft Server 2003. = Microsoft Certified Sysiem Administrator (MCSA). Individuos com as capacidades para gerenciar v solucionar problemas em redes ¢ ambientes de sistema exiscentes, com base nos sistemas operacionais Microsoft Windows ¢ Microsoft Server 2003. = Microsoft Certified Database Administrator (MCDBA), Individuos que criam, implemen tam ¢ administram os bancos de dados do Microsoft SQL ServerBLED aia XL Sobre este Livro 0 e téenico para en- ition Cen- = Microsoft Certified Trainer (MCT). Qualificado nos niveis de instrucé sinaro Curriculum Oficial Microsoft em um Microsoft Certified Technical Educa ter (CTE Requisitos para Tornar-se um Microsoft Certified Professional Os requisitos de certificacio diferem de acordo com a cetficacdo e io especificos dos produtos ¢ das fungées do cargo abordado, Para obter aacdes da Microsoft, é preciso passar por rigorosos exames de c tificacdo que permitem uma medida valida ¢ confiavel da proficiéncia técnica e da especializacio, Esses exames foram desenvolvidos para testar sua experiéncia e capacidade de executar uma fungio ou tarefa com um produto, e foram desenvolvidos com 0 auxilio de profissionais do mercado. As perguntas dos exames refletem como os produtos dt Microsoft 20 utilizados em organizacoes reais, 0 que Ihes da a relevancia do "mundo real”. fersas cel = Os candidatos ao Microsoft Certified Professional (MCP) devem ser aprovados em um dos exames de certificagao atuais da Microsoft, Os candidatos podem passar em outros exames de certificagio da Microsoft para qualificarem melhor suas habilidades com outros produtos da Microsoft, ferramentas de desenvolvimento ou aplicativos para desktop. a Os Mictosofi Certified Solution Developers (MCSDs) devem ser aprovados em ues dos exames centrais ¢ em um dos exames eletivos. (Os candidatos a MCSD do Microsolt -NET devem ser aprovados cm quatro exames e em um eletivo.) 2) Os Microsofi Certified Application Developers (MCADs) devem exames centrais e em um exame eletivo em uma area de espec 1 aprovados em dois C0. li = Os Microsoft Certified Systems Engineers (MCSEs) devem ser exames cletivos. iprovados em cinco ex mes centrais ¢ em doi Certified Systems Administrators (MCSAs) devem ser aprovados em tr ‘© em um exame eletivo que fomeca uma medida valida ¢ confidvel da izacao. = Os Microsoft exames centrai proficiéncia técnica e espect = Os Microsoft Certified Database Administrators (MCDBAs) devem ser aprovados em trés ‘0 que forneca uma medida vilida ¢ confidvel da profici¢ncia técnica ¢ especializacao. = Os Microsoft Certified Ty GICTs) devem atender aos requisitos instrucionais ¢ 16 nicos especificos de cada curso do Microsoft Official Curriculum para o qual cles tém certificagao. © programa MCT exige treinamento constante para atender aos requisitos da renovacao anual da certificacao. Para obter outras informacdes sobre como se tornar um Microsoft Certified Trainer, visite o Web site hutp://www microsoft.cony/traincert/mep/ met/ ou entre em contato com o centro de servicos regionais mais préximo.Sn¢wees Sobre este Livro Xill Suporte Técnico emos © possivel para garantir a exatidao deste livro e do contetido do disco que © acompanha. Caso tenha comentarios, dtividas ou sugestdcs com relagio ao livro ou ao disco, Ire em contato com a Microsoft Press, utilizando um dos seguintes métodos e-mail thinput@microsoft.com Corrcio convencional: Microsoft Press Aun: MCSA/MCSE Self-Paced Training Kit (Exam 70-290) Managing and Maintaining a Microsoft Windows Server 2003 Environment, Eaitor One Microsoft Way Redmond, WA 98052-6399 Para obter informacdes adicionais de suporte com relagdo a este livro ¢ ao CD-ROM (incluindo respostas para perguntas mais freqiientes sobre instalacio e uso), visite o Web do Suporte Técnico da Microsoft Press em biip:/;wwu.microsoft.com/mspress/suppor’, Para concctar-se dliretamente com 0 Microsoft Press Knowledge Buse ¢ fazer uma consul Web site bitp//wwiw.microsoft.com/mspress/support/search.asp. Para obter informacocs de porte relativas a software dat Microsoft, conecte-se a huip:/Support. microsofi.cony. mse obs original, Comentérios, dvidas ou sugesides sclativos’ Re As oriemtacdes aqui presta ‘ Jos para seertariaediterial@artned com br. listo brasileira sero muito hemvindos e devem ser encSumario Parte 1 Aprenda em seu Préprio Ritmo 1 Apresentando o Microsoft Windows Server 2003 . Por que este Capitulo E Importante. Paaeerch aan Antes de Comecar....... * Li¢do 1: A Familia Windows Server 2008. . Ezdigdes do Windows Server 2003 Aunuenmereuaues RSVERO ON DAO, ocsern riiemmeriees qunnesinonnee Resin da W680 ee eoenes wscsteseas verennteneeetanne Hot nnnnenennnee 938 Ligao 2: Instalagao e Configuragao do Windows Server 2003 e do Active Directory ...... 33 Instalando e Configurando 0 Windows Senver 2003 .... 6... 6. 0eee eee ee ee 84 Active Directory... ... Sess daurcartaae Generar toe Pratica: Instalando 0 Windows Sewer 2003... ss. 0s... phir ente nD) REVEHO Ua UG80 cc. siccme mow icoeaamacmiornemnaareanemeat arenas AB Resumo ¢a Lich aunt z 45 2. Administrando o Microsoft Windows Server 2003. . . a7 Por que este Capitulo E Importante +47 Antes de Comecar . . +48. Ligdo 4: 0 MMC ~ Console de Gerenciamento Microsoft +49 OMG rnssxasawinne see 49 Griando um MMC Personalizado ol Opgdes de Console...... 2. ..eeeeeseeeeeee a2 Pratica: Criando e Salvando Consoles .......+ 0.2004 -53 RevieAO A LicdOl sis scsin cece aiarnanmnmaad eine acrearEeE ere ROS Resumo da Lido . 284 Ligio 2: Gerenciando Computadoree Remotamente como MMC :84 Configurando 0 Snapin pera Uso Remoto. ... .. « +55 Pratice: Adicionando um Computador Remoto para Gerenciamento (Opcional) .... 56 Heviead Ua ligao's aan sila’. vaueanrantoneuaueccibucus euarerenesiusbe. ISSO U8 LICE a tno por meciige eimai inate nsontanieneledT on sentsestinOl Ligdo 3: Gerenciendo Servidores com 2 Area de Trabalho Remota pera Administracdo ........ Ninietanseuitiearmnanat bt ‘Ativando e Configurando @ Area de Trabalho Remota para Administracao 58 Conexao de Area de Trabalho Remmota .....- +++. ++ 69 Configurendo o Cliente da Area de Trabalho Remota. +60 Solugdo de Problemas dos Servigos de Terminal ........ssssscceseseeee ssBLED aia 16 © Sumério Pratica: Instalando 0s Senicos de Terminal e Executando a Administracao Remota . . 62 Reviséo da Ligao +68 Resumo da Licdo < cusaceont asa orininionacnd Ligdo 4: Utilizando a Assisténcia Remota 0.2... eee noneiaae Olb Fazenco a Solicitacdo de Assisténci. ce Usando a Assisténcia Remota : - 66 Prétice: Usando a Assisténcia Remota por meio do Windows Messenger. . 69 Revisao da Ligao . a) Resumo da Licao -70 Resumo do Capitulo. . ° ait. Destaques do Exame....... 72 PONS CHAE osssnewnanaonnenmeniuesiiesanes canon eet Termos-Chave 72 3 Contas de Usuario Por que este Capitulo E Importante. Antes de Comegar...... . ‘ : Licdo 4: Criando e Gerenciando Objetos ve UsuarIO.... ss 75 75 76 .17 Criando Onjetos de Usuario com Console Usuarios e Computadores do Aotive Directory... .... A SRE Gerenciando os Objetos de Usuario com Ususrios & Compares ‘do Active Directory. . “ seoeue Bh, Pratica: Criando ¢ Gerenciando os Objetos de Usuario : 84 Revisdo da Lica 86 Resumo ¢a Liedo - - 87 Ligdo 2: Criando Objetos para Vérios Usuarios SO ese SEAT MSTTETNE OE Criando e Utilizando os Modelos de Objeto de Ususrio .......ssvceceerer ss 8B Importanco os Objetos de Usuério Usando 0 CSVDE......-- 662505 Utilizando as Ferramentas de Linha de Comando do Active Directory . Pratica: Criando Varios Objetos de Usuéri Bees Revisao da Liao ssa Resumo da Ligao . Ligio 3: Gerenciando Perfis de Usuério Perfis de Usudrio . eae Perfis de Usuarios Loceis . .. Perfis Moveis de Usuario. . .. Griando um Perfil de Usuario Pré-Configurado. Criando um Perfil de Grupo Pré-Configurado .. Configurando um Perfil Obrigatério. . Shc elaleaonhaceTelet Pratica: Gerenciando os Perfis de Usuério . .. 2.20.00 ccsccsesesueeeeveve Revisao da Liao pSeumo dailigsoscccaci simaran nancy sone cama care nasees Ligdo 4: Seguranga e Solugdo de Problemas de Autenticagdo. .. 2... ...ccscee10. 1209 ‘Segurenga de Autenticagao com Diretiva ....eeseeeee veer eeenee erence en e110 Auditoria de Autenticagao . . . 3 Administrando a Autenticeeao de Usuario... Pratica: Soares e salts de Problemas de Autenticagao . Revisao da Licdo . isle RisaSLi NEC teaserBLED aia Sumério 47 iris LIC arse sere eet noe tare eee eee ae, Requisito 1. . 119 Requisito 2. . 120 Requisito 3. . 120 Resumo do Capitulo. . 122 Destaques do Exame.. +123 Pontos-Chave . -123 Termos-Chave. 123 Contas de Grupo . . Por que este Capitulo E toners Antes de Comecar....... Ligo 1: Entendendo 08 Tipos @ Escopos de Grupos . Escopo de Grupo . Conversao de Grupo Idertidades Especiais. . . Prétice: Aterando o Tipo e Escape do Grupo... Revis80 da Ligdo ... Resumo ¢a Ligao - Ligdo 2: Gerenciando as Contas de Grupo. Criando um Grupo de Seguranca . Mocificando a Associacdo de Grupo. . Eos Eneontrando os Grupos de Dominio de um Usuario... Pratica: Mocificando a Associacéio de Grupo... +... ++ Revise da Resin 2 Ug80, su. ca ceweenecemeat seaasoenen see anaens Ligao 3: Usando a Automagao para Gerencler as Contas de Grupo. \Usendo a LOIRDE sass scanner aceney: Criando Grupos como DSADD.. . Modificando Grupos com DSMOD . é Pratica: Usando LDIFDE para Gerenciar as Contas de Grupo ..- Revisao da Li¢ao ses Rosumo ¢a Ligio Resumo do Cepitulo. .. +... Destaques do Exame. . Pontos-Chave Termos-Chave. Contas de Computador ......... Por que este Capitulo E Importante......... 15 Antes de Comecar...... seswienenssumostinseveresw 452 Ligdo 1: Associando um Computador a um Dominio 153 Criando Contas de Computador... 6... cece eeeeee esse ees et ence een «153, © Contéiner Computers versus OU. 157 Pratica: Associando um Computacor a um Dominio do Active Directory 159 Revisao da Licao = = 160 Resumo da Li¢o : = 161 Ligdo 2: Gerenciando Contas de Computador .... 0... sssssssessssssereeee ee AGL Gerenciando Permissdes de Objeto de Computador ...... 6s sere ee eevee 162 Configurando as Propriedades de Computador .......... + soeotiew csi 6318 — Sumério Localizagao e Conexao de Objetos no Active Directory. Siege oo. 163 Pratica: Gerenciando as Contas de Computador. . 164 Revisdo da Licdo 2.0.0.0. e reece ee neee 165 Resumo da Lic3o . i 166 Ligdo 3: Solucionando Problemas com as Contas de Computador ...- 166 Excluindo, Desativando e Redefinindo as Contas de Computador . 166 Reconhecendo Problemas de Contas de Computador . .. . 168 Pratica: Solucionendo Problemas de Contas.... . +170 Revisao da Licao 17a Resumo da Ligdo . . . 2 A At Exercicio 1 (Opcional): Simulagao do Problema. .........esssseveceseenes 474 Exercicio 2: Redefina Todas as Contas de Comoutador da Filial Leste 174 Exercicio 3 (Opcional): Reassocie 0 Dominio 174 Resumo do Capitulo. .. .. 2174 Destaques do Exame. +175; Pontos-Chave 175 Termos-Cnave 2178 6 Arquivos e Pastas ...... sue: Por que este Capitulo € Importante -179 Antes de Comecar . seeuitnainmorca tian cateaenct AOD! Li¢do 1: Configurando as Pastas Compartihadas ...........sss0c0ccceeeeves 482 Compartilnando uma Pasta seca Gerenciando uma Pasta Compartithada ... 0... 6s eee cece ee eee ee ee een 482 Configurando as Permissées de Compartithamento, . =, coe 184 Gerenciando Sessdes de Usuario e Arquivos Abertos . saa LB Pratica: Configurando as Pastas Compartiinadas .........-0022e+0eee0002-187 Revisao da Ligao aS NS -189 Resumo 6a LIK... 2. eee cece cence teen ee en ee ees eee 100} Ligdo 2: Configurando as Permissdes do Sistema de AQUVO.....-....02.00++ 24-190 Configurando as PermissGes..... 0... 0020s. cece eee eens cee ee eee ee ADL Heranca... Hagan See geusEye doe: Pormiscdec Efetivas ... 00. .ecseveveseceeeeen es ena, Propriedade de Recursos ....... 4.04 cp atieaeaieterieacrecns ciienie 200) Pratica: Con‘igurando as Permissdes do Sistema de ArquhOS... ss. .0s6. 202 Revisao da Ligao = 208 Resumo ¢a Ligdo . .. 4 = 208 Ligdo 3: Auditando 0 Acesso ao Sistema de Arquivos . = 207 Configurando as Definicdes de Auditoria . +207 Ativando a Auditoria 209 Examinando 0 Log de Seguranca . +210 Prética: Auditoria do Acesso a0 Sisteme de Ara 22a Revis8o da Ligao 210 Resumo ca Ligio . .. +213, Ligdo 4: Administrando os Servigas de nformosoes da internet =213 Instalando 0 IS 6.0 . : a = 214 Administrando o Ambiente Web . = 214 Convigurando Gerenciando Sites Web e FTP. = 215, Seguranca de Arquivos no IIS... 218Pratica: Administrando 0 IIS. . Revisdo da Licdo. Resumo da Licdo . .. ‘ Exercicio 1: Crie Pastas Compartihadas e Contetido de Exemplo da Web . Exercicio 2: Otimize o Acesso Antranet.......- Exetcicio 3: Confime que os Gerentes Podem Motificar o Conteddo da Intranet . 224 Etapa 4: Confime a Associagao de Grupo Etapa 2: Exemine as Permiss6es Efetivas Etapa 3: Avalie a Situagao. . . Etapa 4: Solucione 0 Problema ......... +. RET: REGUMO dO. CAPIUlO.sce cvs soteesremenedierrensienesienanie weve 227 Destaques do Exame...... sc seeeee esse teseueeeen anes saarnenenwO27, Pontos-Chave 207 Termos-Chave.... ++ RAE oeene er, ee rennet her mnenener aoe; Backup de Dados. . Por que este Capitulo £ Importante. Antes de Comegar..... 5.6.55 Ligao 1: Fundamentos do Backup. % Introdugao ao Utilitario de Backup... .. . Determinando uma Estratégia de Backup . Combinando Tinos de Backup . a evar Pratica: Exeeutando Tipos Diferentes de Backup. eee 240 avis de lipo cect oe nd ann dns ees daraenossn-eeseaveneee ss 243 str 08 UG8O a nee carmiarineecincinnnenemenecceie Roneeneneneies Ligdo 2: Resteuragéo de Dados .. 2244 Restauracdo com o Utlitario Backup . 205 Opgies de Restaurapao ....... = 248 Pratica: Restaurando os Dados........... kaon cee ee eens 287 Rewiead dis Ulead ncacctvenr nde cncdmtnsinvemnieme neem uacrneicaen a OAS. Resumo da Ligdo ...... Snes Pinte ocee one acres ONO Ligdo 3: Backup © Restauragdo Avangados |... 0.0... ssssseveveveveve ss 249) Gil U ORES agar toancs casein caancacnanonMocce ee rnc aegis Sedwranca de BOCK cay ccncs anni nvenneestnnscie tnapastan cen mee 280 Gerenciando a Midia. ee ais +250 Opgdes de Backup . = 252 © Comando Ntbackup .. = 255 Programando Trabalhos de Backup . = 257 Copias de Sombra de Pastas Compartilhadas +258 Prética: Backup e Restauracao Avancados 262 Rovisdo da Ligdo .. c = 264 Resumo da Ligio ... 22... +265 Resumo do Capitulo. = 208 Destaques do Exame. = 269 PontosChave = 269 Termos-Chave. = 269 Impressoras. ..... seca noenoesenaees : ores 275 Por que este Capitulo E Importante.....vss.ssvsssvvssevevtscvsvtser sree e278 ‘Afi Ge Comegan icv aisieaS ines cunneaana sien sata retad etter eee sate TS20° Sumério Ligdo 1: Instalando e Configurando as Impressoras.... .. enonuspsieieno se TE Entendendo 0 Modelo de Impressora do Wincows Server 2003 Ott Instalando uma Impressora no Windows Server 2003. ...... 278 Configurando as Propriedades da Impressora. . Conectando Clientes a lmpressoras........-+- Prética: Instalando e Configurande uma Impreszora . Revisdo da Licao Resumo ¢a Ligao . .. Ligao 2: Contiguragao e Gerenciamento Avangado de Impressoras - Gerenciando as Propriedades de Impressora......... + Rae nce Configurando um Pool de Impressa0 ....... sss eseseeeeeeseeeereees Configurando Varias Impressoras Logicas para uma Unica Imoressora. .. .. . ‘ AIntegracdo de Impressoras do Windows Server 2003 com o Active Directory... . 294 Improssao da Internet... . 207 Prética: Configurapao ¢ Gerenciamento Avangado de impressoras. 298 Revisao da Licao 299 Resumo ¢a Liga . .. - 300 Ligdo 3: Atvalizando, Monitorando e Solucionando Problemas de Impressoras ...... . 302 Atualizando ImpresSOraS .. 6.6 e eee ee eee cnet ee ee ee eeener eter ee ee ee SOL Monitorando as IMpIessoras. .... 6.6. 6ssessereeeeeeeecs seer eres ese 1302 Solucionando Problemas de Impressoras.....-.-.-- 226.0020 eeee ee ee eee. 305 Pratica: Soluco de Problemas com a Improssora.......... +--+ ++2+0+++-307 Re Cio le LIGA coer ter creer tafe eect a, eee relay ye ree 0S) Resumo da Ligdo . . 309 Pense na sua Solugao . . i 309 Configuracao das Impressoras . . E = 310 Criar Grupos de Usuarios de Impressora «2... ..ss cscs es i annie Atribus Permissdes as Impressoras...........0sseeeeee 3 341 Configure um Log de Desempenho. ........-0-+2+2+000ecese sees sees ee SAL Analise a Solugaio 313 Altere 0 Driver da Impressora ...- 2... eee cece ee ec ee eeceee ee ee ee eee B43 Resumo do Capitulo. . 343 Destaques do Exame.... 344 Pontos-Chave ...... 314 Termos-Chave... .. 315 9 Atualizando o Sistema Operacional 319 Por que este Capitulo E Importante. = 319 Antes de Comecar....... iaiaierivaien wa ainemeervaciumatieiaen OOO) Ligdo 1: Servicos de Atualizacao de Software 321 Entendendo o SUS . 5 ase siionesn See: Instalando 0 SUS em um n Compitdor com 0 Windows Server 2003 . vee 322 Configuragao © Administregao SUS . sen 2324 0 Cliente Atualizagdes Automaticas . - 329 Configurando as sualanciee ‘Autométicas por melo da Diretiva de Grupo ...... . 33 ‘Solugao de Problemas SUS . = 333 Backup e Recuperacao SUS . 335 Revisdo da Li¢ao . 337 Resumo da Ligdo . . 33810 Sumério 24. Ligdo 2: Service Packs - 338 Download e Extracto dos Service Packs. : +338 Distibuicdo dos Service Packs com a Diretiva de Grupo. . +339 Revisao da Lica. 340 Resumo ¢a Ligdo . .. z +340 Ligdo 2: Administrando a Licengas de Software . +340 CObtendo uma Licenga de Acesso para Cliente 2341, Licenciamento por Servidor . e +342 Liceneiamento Por Dispositivo ou Por Usuario +342 Administrando o Licenciamento de Sites . Beene yene ne -343 BeVisio a UPAO) ameaensceowacinawmnte ace nitwaieretan ammenities 347 Resumo ¢a Licdo ........ Senin vein eHeT OAR Exericio 1: Download e Extracdo do Service Pack . 349 Exeicicio 2: Distribua 0 Service Pack com a Diretiva de Grupo... 6+. eee 2+ 6349. Resumo do Cepitulo. . . +352 Destaques do Exame . = 353, Pontos-Chave = 353, Termos-Chave. +354 Gerenciando os Dispositivos ¢ Drivers de Hardware. . 357 Por que este Capitulo E Importante. . Sas dee aheaievaatmmaraarnerceiomae BON Antes de Comecar....... aria awanrwac newer e ROS Liglo 1: Instalando Dispositivos e Drivers de Hardware... oo 359 Dispositivos ¢ Drivers . Bien tenance ate 2 359) Utiizando 0 Gerenciador de Dispositivos «2 ......s0sseeeeeeee +++ 360 Usuarios, Administradores e Instalagdo de Dispositives .. +362 Opgdes de Assinatura de Driver. 2 362 Pratica: Instalando Drivers de Dispositivos. = 363 ReviS0 a LIGGO ... 6. vee ee cece cece ee ee ence eee poe ane Resumo da Lich ...... stir curcaasaicaw SOO) Lido 2: Configurando 0s Dispositives e Drivers de Hardware... ...... 2.22.0... 365 Atuslizando os Drivers... . ee ee ee Rovertonco os Drivers... eer 3h Peery Desinstalando os Drivers «0.2... 0000 ee ee Configurarao de Recursos. Be +368 Painel de Controle e Contiguragao de Disposttivos = 369 Pratica: Configurando Dispositivos. 5 369 Reviso da Licao -369 Resumo ¢a Ligio . .. riansrisraarere PO) Ligo 3: Solugio de Problemas de Dispositivos e Drivers de Hardware - 370 Recuperapao de Desastres de Dispositivo 6... 2. 0eee eee ee ne ee ees Cédigos de Status do Gerenciador de Dispositivos +372 Revisdo da Ligo - -373 Resumo ca Ligso : -374 Resumo do Capitulo. . -376 Destaques do Exame. -376 Pontos-Chave 2377 Termos-Chave. 377BLED aia 22 Sumério 11 Gerenciando o Armazenamento em Disco do Microsoft Windows Server 2003 .. . eee 38L Por que este Capitulo E importante +381, Antes de Comegar . 5 wemaeeS6e Liao 1: Entendendo as Opgoes de Armazenamento em Disco - TsuracieSeO Disc0s Fisl60s canis ccssecerseawecs aie Geanonni 388 Volumes Logioos. . . z +383 Volumes Montados . . 384 Tolerancia a Falhas. 384 Separacao de Dados. 385 Diecos Bésicos e Discos Dindmices. . +385 Revis80 0a LIGdO eee esse eeee eens -369 Resumo 6a UIGHO ... ees ee seee eens sais +390 Ligao 2: Contigurando Discos e Volumes. . +390 Gerenciamento de Disco . 5 391, Configurando Discos e Volumes. . +392 Estendendo os Volumes . = 395, Movendo Discos entre Servidores 305 Convertendo Armazenamento em Disco . wesipautaa a80! Executando as Tarefas do Gerenciamento de Disco no Prompt de Comando .... . 397 Pratica: Configurando Discos € Volumes .. 0... 2.s0ee eee eewn ee +399 ReVISHO a LiGdOi weiner ari eaienners ti ree amomensanaiNicauaN AOD’ ReSuIVigida Uchosaiuscaicaae Siw accenciawesteuinnensscmannaGnssassdOw Ligo 3: Atualizando Volumes de Armazenamento em Disco. = 402 CHKDSK.... . sindlaarantrmaareateate 402 Desfragmentador de Disco . - 403 Cotas de Disco... ... ‘ - 405, Prética: Implementando a¢ Cotas de Disco . 407 Revis80 da LigdO ... 6s esse ee eeee 409 Resumo ¢a LIGEO ... 62. sence ee +410 Ligao 4: Implementando 0 RAID ........ -410 Implementando a Tolerancia a Falhas de Disco . 2441 Volumes Distribuidos . 4a Volumes Espelhados. . 412 Volumes RAIDS aia Volumes Espelhados versus Volumes RAIDS. ...... 415, Criando Tolerancia a Felhes para o Volume de Sistema...... R oo 416, Pratica: Planejendo a Configurag&o RAID .. 0... 2. .0eeeeceeeeece erence ee 447 Revisdo da Ligao corecuiaee : 418 Resumo ca Ligao 419 Exeicicio 1: Considere os Volumes Tolerantes a Falls do Windows Server 2003 . 420 Exetcicio 2: Considere 0 RAID com Hardware. 0... 2... eseeceeeeeeeeeee 420 Btoicile cvsuisesinwinaeceranaaniawenanar aiwiensosaeaienna au aces ADS Resumo do Capitulo. . egress Aae. Destaques do Exame . Pee eee cu neee Otago Pontos-Chave .. .- sissnacremnasiensairanae nto AZ. Termos-Chave. . « JsiauisinaaTcena mantener aeD12 Monitorando o Microsoft Windows Server 2003 Por que este Capitulo € importante. . Antes de Comecar.... Se Ligéo 1: Usando Vieualizar Eventos. . z 0s Logs Disponiveis em Visvalicar Eventos . . Contfigurando 0s Logs em Visualizar Eventos . Pratica: Monitor de EVentOS.. 2... cesses és ‘ 3 Reva cis LGR cee een ee See tan ee ae aS Resumo da Li¢dO 20.2... es eees ‘ & es Ligdo 2: Usando 0 Console Desempenho . Configurando 0 Monitor do Sistema Decisdes sobre Odjetos © Contadores .. 2... cece en eecee eee ee ence wees AAQ Pratica: Usando 0 Console Desempenho . Revisao da Ligao Resumo da Licao Ligao 3: Usando 0 Gereneiatior de Tarefas Viséo Geral do Gerenciador de Tarefas. Guia Aplicativos . 447 447 447 Guia Processos . seeevansi aera RMB Guia Desempenho ee 449 Guia Rede ...... = 450 Guia Ususrios. . . = 450 Prética: Gerenciador de Terefas. 452 Revisdo da Ligo 2451, Resumo da Ligao .. 452 Ligdo 4: Usando 0 Provedor de Log de Eventos doWMI......2sse00. 0 oo 452 Comio!Funcsona’ WMI nae eesiisinn ecnsirmenia eeccieaieismnstaecreimieeit nie ABD Usando 0 WMIC no Monitoramento ... eee tcnenoenneoantaininan iat BS) Pratica: Os Dados WMI em Visualizar Eventos... 2.2.0... 00ee cece ee eee ABB Revisa da Licao 457 Rat: de GBD) arc ects ctarpaea cols eaeneniTacooereneasamreaOr Rea So Capon or cosersnnsronnnerannitenseenaeondtenieeeraens +459 Desteques do Exanesn.svccsaccecavncunsuesavees ececatanseavne = 400 PontosChave ...... 460 Termos-Chave - 460 13 Recuperacao de Falhas do Sistema . . . 465 Por que este Capitulo E Importante........ + ve 65, Antes de Comecar.... esses seeeeeeeee 2 465 Ligdo 1: Recuperando Falhas do Sistema + 466 Uma Revisdo das Opgdes de Recuperagao. . . 468 Estado do Sistoma.. 2... eeeeeeee anes 467 Estado de Sistema de um Controlador de Dominio. .. SE ARMIES, Recuperagao Automatizada co Sistema . +470 Console de Recuperaczo. 472 Pratica: Recuperando Falhas do Sistema . 474 Revis0 a LigdO ... eee eee eens sansa. a eae aTO. Resumo da Ligso ie. eaen aeons a PontosChave .... esas aninenwatesiseravsiiar'ss ATS Termos-Chave -47924 © Sumério Parte 2 Prepare-se para o Exame 44 Gerenciando e Mantendo os Dispositivos Légicos Fisicos (1.0)... . Testando as Habilidades o Praticas Sugeridas ie saa Leituras Adiciondis .. 0... se seeevevesssssrssesecers Objetivo 1.2 ~ Gerenciamento de Discos Bésices ¢ Dindmicos Objetivo 1.2 — Monitoramento do Hardware de Servidor... .. . Objetivo 1.3 - Otmizar 0 Desempenno do Disco de Servidor « shawls Objetivo 1.4 ~ Instalar e Configurar Dispositivos de Hardware de Servidor... 2... 15 Gerenciando Usuarios, Computadores © Grupos (2.0) Testando as Habilidades e Praticas Sugeridas Leituras Adicionais .. SR I Sa Objetivo 2.1 - Gerenc mento de Pertis, de Usuario Locais, Méveis e Obr Objetivo 2.2 — Criagdo e Gerenciamento ce Contas de Computador em um Ambiente do Active Directory . ie rabebibaniccataisises Objetivo 2.3 ~ Criago e Gerenciamento ce Grupos .. Objetivo 2.4 ~ Criago Gerenciamento cas Contas do Usuério. Objetivo 2.5 — Solucdo de Problemas de Contas de Computador . . Objetivo 2.6 - Solucaio de Problemas de Contas de Usuario. . . Objetivo 2.7 — Solucdo de Problemas de Autenticagdo de Usuario . . 16 Gerenciando e Atualizando o Acesso aos Recursos (3.0) Testando as Habilidades e Praticas Sugeridas ........ Leituras Adicionais . Objetivo 3.1 ~ Configuragao do Acesso a Pastas Compartiinadas . . : Objetivo 3.2 - Solucdo de Problemas dos Servigos de Terminal . .. 543, Objetivo 3.3 — Configuracdo das Permissdes do Sistema de Arquivos. .... 547 Objetivo 3.4 ~ Solugao de Problemas de Acesso a Arquivos e Pastas Compartithadas.. 552 47 Gerenciando e Mantendo um Ambiente de Servidor (4.0) . . 557 Testando as Habilidades e Préticas Sugeridas ..... 0.0... eee +++. 587 Leitures Adicianais ..... Diteeneeseeteeee eres 559 Objetivo 4.1 — Monitoramento e Anélise de Eventos... settee ener een nee e nen ee 1 SEO Objetivo 4.2 ~ Gerenciamento da Infra-estrutura de Atualizacao de Software... .. . 564 Objetivo 4.3 — Gerenciamento do Licenclamento de Software do Site. . STL Objetivo 4.4 — Gerenciamento Remoto dos Servidores . se .575 Objetivo 4.5 — Solucionar Problemas Relacionados a Filas de | Impresséo 579 Objetivo 4.6 — Monitoramento de Eventos . * . . 584 Objetivo 4.7 — Monitoramento do Desempenho Atual ‘do Sistema aes Objetivo 4.8 — Monitoramento dos Servidores de Arquivos e Impressao ..... .. 589, Objetivo 4.9 — Gerenciamento de um Servidor da Wed 504 a8 Gorarslansdere Iniplonentnco « Racupsresso ¢= Desasiren(—.0).()2 689 Capacidades de Teste e Préticas Sugeridas . .... ener veer 599 Leituras Adicionais «1.6.6. es cece eens ener eeereeeeene +600 Objetivo 5.1 — Executar Recuperagao do Sistema de Servidor. . 601, Objetivo 5.2 — Gerenciar os Procedimentos de Backup. ...... +609 ‘Objetivo 5.3 — Recuperar-se de Falna no Hardware do Servidor. .612 Objetivo 5.4 — Restaurar Dados de Backup .. é 615, Objetivo 5.5 — Programar Trabalhos de Beckup +624BLED aia Sumério 25 Parte 3 Apéndice Terminal Server... 2.6.25 eseen es Deseo seatonenOats Instalando e Configurando um Ambiente do Terminal Server. . - 631 © Componente Terminal Server . 631 Aplicativos . -631 Licenciamento 633 Gorenciando ¢ Solusionande Problemas do Terminal Server 634 Pontos de Administrago.. 06... ee sees ee ener ee 634 Configurayio da CONEXBO . 6... ee ee ee ee eee ee ee eee 4 +++ +636 Redirecionamento de Dispositivo . 639 Gerenciamento de Sesses e Processos . 642 Gerenciando Sessées de Usuario . .. 642 Balanoeamento de Carga dos Terminal Severs . 643 Controle Remoto. Revieso sc sn ccitoauee caer Glossario . . indice . .Parte 1 Aprenda em seu Proprio RitmoWindows Server 2003 de Este capitulo nio fala dos objetivos especificas do exame. Ap6s a introdugao & fami produtos Windows Server 2003, faremos algumas consideragdes sobre como inst figurar com foco no que vocé realmente precisa saber para o exame de certificacio 70-290. Por que este Capitulo E Importante A finalidade deste livro 6 conduzi-lo nas tarefas de gerenciamento ¢ atualiza ambiente Microsoft Windows Server 2003, € prepard-lo para o exame de certificacao 70-290. Embora possa ter experiéncia com as tecnologias Microsoft Windows, a familia Windows Server 2003 eo servico de ditet6rios Microsoft Active Directory propriamente ditos podem ser novidade para vocé. O objetivo deste capitulo, portanto, ¢ apresentar frias versbes ¢ edicdes co Windows Server 2003, para que voce possa identificar as € determinar quais ¥ s necessidades eficiéncia, Em seguida, voce tera orientacdes sobr processo de insialacao ¢ configuracao de um computador com o Windows Server 2003 que funciona como um controlador de dominio em um dominio do Active Directory. atenderio a Ligdes deste Capitulo: a Ligio 1: A Familia Windows Server 2003........ coh ea ieee a Licdo 2: Instalacao ¢ Configuracdo do Windows Server 2003 € Active Directory... 33 Antes de Comegar Este capitulo oferece orientacdes para que voce realize as necessirias para configurar um computador com o Windows Server 2003. Voce poderd utilizé-lo em todos os exe: cicios prdticos deste livro de treinamento. © computador deve ter pelo menos uma unidade de disco que possa ser apagacl ¢ utilizada para instalar 0 Windows Server 2003,BLED aia 30 Capitulo 1 Apresentando o Microsoft Windows Server 2003 Ligao 1: A Familia Windows Server 2003 O Windows Server 2003, sem dtivida, é mais seguro, confiavel, disponivel e facil de admi- isirar do que qualquer versio anterior do Windows. Vamos analisar com detalhes a plata- ‘Apos esta licao, voce estara apto a = Identificar as princioais ciferengas entre as versées do Windows Server 2003 ‘Tempo estimado para a ligo: 5 minutos Edicdes do Windows Server 2003 © Windows Server 2003 é uma atualizacio melhorace da plataforma ¢ das tecnolog! Windows 2000. Para quem esté comegando a usar o Windows Server 2003 ¢ ji possui expe- sign 4 rclativamente fitel. riencia € com o Windows NT 4, seja bem-vindo a um novo mundot com os servidores Windows 2000, a transicao, fe a sua expe- s o.enga » deixe que a natureza incrementad: 1c. Por tris de tudo isso existem aperfeigoamentos significativos ¢ hi muito tempo esperidos, que dizem respeito & seguranca ¢ confiabilidade do sistema operacional € também ao conjunto de ferramentas ad s onde voce teria uma lista de novos recursos. ‘a verdadle, a lista do Windows Server 2003 ¢ extensa ¢ existem recursos que tornam a atualizagio para 0 Windows Server 2003 uma opeao Sbvia para quase todos os administradores. Entretanto, as fungdes de cada recurso podem ser diferentes para cada profissional de TL Voc? pode se interessar pelos recursos ¢ aperfeicoamentos significativos incluidos no Acti- ve Directory, pelas novas ferramentas que dao suporte aos conhecidos ¢ complexos GPOs (Group Policy Objects ~ Objetos de diretivas de grupo), pelos aperfeigoamentos feitos na seguranga adlas nos Servigos de terminal (Terminal § yer), ou por virias outras capacidades aperfeicoadas do novo sistema operacional, Se voc ti pensando em mudar para © Windows Server 2003, examine a plataforma no Web site da Microsoft em http://www.microsoft.com/brasil/windowsserver2003 e julgue voce me: s slo 0s aperfeicoamentos verdadciramente significativos para seu ambiente. mpresarial, pelas melhorias re mo qua mbora a lista de novos recursos Seja extensa, a avaliagao do sistema operacional torna-s is interessante porque existem varios tipos ¢ Windows Server 2003 dispontveis, incluin- dos verses de 32 bits, de 64 bits ¢ incorporadas, Eniretanto, as distincdes mais importan- existem entre as quatro edigbes do produto, relacionadas « se m de recursos ¢ funcionalidades disponiveis, bem como por preco: Server 2003, Web Edition srver 2003, Standard Fi Windows Server 2003, Enterprise Edition «Window a Windows ion a Windows Server 2003, Datacenter EditionBLED aia Licdo 41: A Familia Windows Server 2003 34. Web Edition Para posicionar 0 Windows Server 2003 de forma mais competitiva com relag’o aos outros servidores Web, a Microsoft lancou uma edicao reduzida, embora significativa, do Windows Server 2003, criada especificamente para os servicos da Web (Web services). 0 conjunto de recursos ¢ licene > ficil de paginas Web, Web sites, aplicagdes pat iamento permite aos clientes « implanta a Web ¢ servigos Web. sador simétrico de duas © Web Edition suporta 2 gigabytes (GB) de RAM e um multiproce: SMP (Symmetric MultiProcessor). Fle fornece conexdes Web anénimas ilimitadas, mas apenas 10 conexdes com 0 protocolo SMB Gerver Message Block ~ Bloco de mensagem de servidor), © que deve ser mais do que suficiente para a publicacao de contetido. O servidor nao pode ser um roteador de protocolo da Internet, nem um DHCP (Dynamic Host Configu- ration Protocol ~ Protocolo de configuracio dindmica de hosts) ou um servidor de fax. mbora seja possivel administrar 6 servidor remotamente com a Area de trabalho remota (Remote Desktop), 0 servidor nio pode ser um servidor de terminal no sentido tradicional. Ele pode pertencer a um dominio, mas nao pode ser um controlador de dominio. A versao do MSDE (Microsoft SQL Server Database Engine) incluida pode suportar até 25 conexoes simultaineas Standard Edition © Windows Server 2003 Standard Edition 6 um servidor robusto, que atende a varias finalidades, capaz de fornecer servigos de 5, arquivos, impressio, aplicativos, multimidia e Web para pequenas ¢ mé aracho ao Windows 2000, seu abrangente conjunto de recursos foi expandido com o Microsoft SQL Server Database Engine, uma versio do SQL Server com suporte par cinco conexdes simultaneas de bancos de d dos de até 2G15, uma versio gratuita com 0 servico POP3 (Post Office Protocol version 3 ~ Protocolo de Agéncia de Correio verso 3) que, combinado 20 ido SMTP (Sim- ple Mail Transfer Protocol ~ Protocolo de Transferéneia de Correio Simples), permite qu m servidor funcione como ums Balanceamento de Carga de Rede (Network Load Balaneing, NLB), uma ferramenta Gtil que 86 foi incluida na edicao Advanced Server do Windows 2000. ervidor pequeno ¢ independente de correio eletrén © Windows Server 2003 Standard Edition suporta até 4GB de RAM ¢ SMP de quatro vias. A) nee, emo aetese cant) 1 0 windovs Sener 2005 o cto tts ede pweversdosuportva apenas dois rovessadotes, Ess initaao fel einnadanaRc2, ea Standard Edition suporta quato processadores. A documenta eos recursos ue foram crac antes da wotsaotalver container nfermagoes Cnfueas solve 0 suport SMP. Enterprise Edition A versio Enterprise Edition do Windows Server 2003 foi desenvolvida para ser uma platafor- ade servidor para empresas de médio a grande portes. Seus recursos de catego 1 empresarial incluem suporte para oito processidores, 32 GB de RAM, cluster de oito nés Gineluindo clus SAN ~ Storage Arca jer com base na Network, Rede de drea do sistema, ¢BLED aia 32 Capitulo 1 Apresentando o Microsoft Windows Server 2003 cluster com dispersio geogrifica), além da disponibilidade para computadores Intel Itani- um de 64 bits, nos quais a escalabilidade aumenta para 64 GB de RAM ¢ SMP de 8 vias. Outros recursos que dist guem o Enterprise Edition do Standard Edition incluem: = MMS (Microsoft Metadirectory S rvices — Suporte para servi metadiret6rio), que permite = Hot-Swap, para que voc 1o do sistema, zac a Windows System Resource Manager (WSRM), que suporta a alocactio de recursos de CPU e meméria «cada aplicacio. Datacenter Edition A Datacenter Edition, que esta disponivel apenas como versio OFM (para fabricantes origi- nais de equipamentos) ¢ faz parte de um pacote cle hardware de ser dade quase ilimitada com suporte nas plataformas de 32 bits para o SMP de 32 vias com 64 GB de RAM ¢ em plataformas de 64 bits para SMP de 64 vias com 512 GB de RAM, Ht tam- bém uma versaio SMP de 128 vias que suporta duas particoes SMP de 64 vias lor, oferece ese: Edigdes de 64 bits As edicoes de 64 bits do Windows Server 2003, que s40 executadas nos computadores Intel Itanium, fornecem nas CPUs velocidades de relégio mais altas ¢ opericoes mais rapidas de processador com fluxo de instrucdes do que as edicdes de 32 bits do Windows. Os aperfei- mentos no cédigo da CPU ¢ as melhorias de processamento resultam em operagdes de (© significativamente mais répidas. A maior velocidade de accesso a um caorme espaco de enderecamento de mem6rka permite & operacao mais leve de aplicativos que exigem muitos recursos, como aplicagdes muito pesadas de bancos de dados, aplicativos de andlises cientificas ¢ servidores Web muito acessados, Alguns recursos das edicdvs de 32 bits nao estao disponiveis nas edigdes de 64 bits. Particu- larmente, as edigoes dle 64 bits nao suportam aplicativos Windows de 16 bits, aplicativos em modo real, aplicativos POSIX ou servigo (0 para os clientes Apple Macintosh. Revisao da Ligao As perguntas at seguir refore formacdes n apresentadas nesta licho. Se voce nao conseguir responder alguma dels, revise 0 materkal da licdo € tente respon dé-la novamente. AS respostas podem ser encontradas na secao “Perguntas ¢ Respostas” no final deste capitulo, 1. Vocé esta planejando a implantacdo de computadores Windows Server 2003 em um dk partamento com 250 funcionarios. O servidor sera o host dos diretorios-base e das pastas compattilhadas do departamento, ¢ atendera diversas impressoras para as quais Sto en viadlos os documentos do departamento. Qual edicto do Windows Server 2003 ofere solugie mais acessivel ¢ eficaz part departamento?BLED aia Licdo 2: Instalagao e Configuracdo do Windows Server 2003 e do Active Directory 33 2. Voce es novo domini Directori Pr ‘i planejando a implantacio de computadores Windows Server 2003 em um do Active Directory para uma grande corporacao, incluindo varios Active s separados ¢ atualizados em cada uma das subsidiirias da corporacio. A em- est resolveu fazer a distribuicio do Exchange Server 2003 como uma plataforma de jstema de mensagens para todas as subsididrias, e pretende utilizar o MMS (Microsoft Metadirectory Services) para sincronizar as propriedades dos objetos em tod a organi lo. Qual edigio do Windows Server 2003 oferece a solucio mais acessivel ¢ efieaz para esta implantacio? 3. Voce esta fazendo a distribuicao de servidores para fomecer acesso & Internet ao aplicativo de comércio cletrSnico da empresa. Voce prevé quatro servidores dedicados ao apli- itivo Web frontend ¢ um servidor para um banco de dados SQL ativo e robust. Quais edigdes oferecem a solucdo mais acessivel ¢ eficaz? Resumo da Li¢ao = O Window: Server 2003 esti disponivel nas verses de 64 bits © 32 bi a As principais distingdes que podem ser feitas entre as verses do Windows Server 2003 dizem respeito &s edigdes do produto: Web Edition, Standard Edition, Enterprise Edition € Datacenter Edition, Cada uma delas suporta um subconjunto de recursos direcionados a uma finalidade especifica. = Como um todo, o Windows Server 2003 é uma atualizaco do Window osapcricigoamentos de recursos ¢ da seguranga sio significativos, ¢ voce encontrara determinadas atualizagdes que fornecem aperfeigoamentos adicionais para o seu ambiente em particular. Ligdo 2: Instalagao e Configuragao do Windows Server 2003 e do Active Directory © exame 70-290 concentra-se no 2003. Os objetivos do exame dedicam poue: erenciamento e na atualizacdio de um ambiente Windows atenclo ao Active Directory propriamente dito. Entretanto, alguns dos objetivos relacionam-se a administrigio dos objetos do Active Directory: usuarios, grupos, computadores, impressoras © pastas compartilhadas em. parti- r, Os capitulos seguintes explicarao com detalhes os objetivos do exame, ¢ os exercicios sero um componente importante da sua experiéneia de aprendizagem. Esses exe sem que voce esteja executando 6 Windows Server 2003 ¢ tenha um controlador de dominio configurado. A familiarizado com a configuracto de um controlador de dominio ¢ com a criagio de contas bisicas de usuarios, grupos ¢ computadores, pode pret cicios Se voct e:BLED aia 34 Capitulo 1 Apresentando o Microsoft Windows Server 2003 pular esta ligio, Se nao esta to familiarizado com o Active Directory, esta ligao oferece uma base suficiente para que voce explore completamente o Windows Server 2003. Apés esta ligio, voeé estara apto a = Instalar 0 Windows Server 2003 = Identificar as principais estruturas e conceitos do Active Directory = Ciar um controlador de dominio m= Ciiarobjetos do Active Directory, incluindo usuarios, grupos e unidades orgenizacionals (Us) Tempo estimado para a lico: 60 minutos Instalando e Configurando o Windows Server 2003 Como profissional experiente de TI, sem divida voce jf deve ter pussado um tempo consi- deravel instakando plataformas do Windows. Algumas das consideragoes importantes Pliadas da instalacio do Windows 2003 incluem: 1 Instalacdo do CD-ROM inicializavel A maioria dos administradores ja esti avostuma- da com a instalacao dle um sistema operacional a partir de um CD-ROM inicializavel desde o final dos anos 90, O Windows Server 2003 man sa tendénc © pode instalado diretamente do CD-ROM. Mas 0 Windows Server 2003 acresc de: nao existe suporte para a instalacao por disquetes. 2 Interface grafica do usuario (GUD de instalagao aperfeigoada © Windows Server 2003 utiliza uma GUI durante a instalacio que se parece com aquela do Windows XP. am- 1 Ativacio do produto As versdes comercial ¢ de avaliacio do Windows Server 2003 exigem que vocé ative 0 produto. Os programas de licenciamento de volume, como Open License, Select License ou Enterprise Agreement nao exigem ativacio. 1003 ‘a instalar 0 Windows Server > destacadas no As tapas especificas neces Exercicio 1 Ap6sa instalacio ¢ ativacio do Windows, na Gerenciaro servidor, mostrada na Figura 1-1, que foi criada cuidadosamente com essa fi- nente no logon. A pi ferramentas ¢ configuragdes especificas com base nas fungdes de servidor. Clique em Adi- cionar ou remover ume funcdo para exibir 0 assistente Configurar o servidor. nalidade ¢ é iniciada automs lita a instalagao de Se voce _guraro servidor promove o servidora um control sclecionar Configuracio tipica para um primeiro servidor, 0 Assistente para confi- Jor de um dominio novo, instala os servicos do Active Directory ¢, se necessirio, os servigos DNS (Domain Name Service — Servico de nomes de dominio), DHCP (Dynamic Host Configuration Protocol — Protocolo de cont guracio dindmica de hosts) RRAS (Routing And Remote Access ~ Servico de roteamento de acesso remoto).BLED aia Licdo 2: Instalagao e Configuracdio do Windows Server 2003 e do Active Directory 35 Cece 1G Aéiclonandotuneées a0 seu soos Servidor (eect Bip mmre ne rs 9 condor Figura 1-4 A pagins Gerenciar 0 servider. Se vocé sclecionar Configuragao personalizada para um primeiro servidor, 0 As configurar o servidor pode configurar os seguintes itens: istente para «Servidor de arquivos Oferece ace: rios para usuarios, departamentos individuais © organizacdes inteiras. A sclecto desta oped pemnite gerenciar o espaco em disco do usuario, configurar © gerenciamento dat cota de disco ¢ fornecer melhor desempenho de pesquisa no sistem de arquivos com a ativacio do Servico de indexa so adequado ¢ centraliz do de arquivos e direté- a Servidor deimpress20 _Oferece acesso centralizado ¢ gerenciado aos dispositivos de impressio, atendendo impressoras compartithadas e drivers de impressora dos comput: dores clientes. A sclegio desta opcao inicia o assistente Adicionar impressora que instala impressoras ¢ drivers do Windows. Fle também instal © Servicos de Informacies d Internet (IIS 6.0) ¢ configura o IPP (Intemet Printing Protocol — Protocolo de impressto da Intermed, além de instalar as ferramentas de administragao de impressaio com base nat Web. Porem, este recurso nao esta disponivel para a versio Web Edition do Windows Server 2003. 2 Servidor de aplicativos (HIS, ASP.NET) Oferece os componentes de infra-estruturat necessirios para dar suporte a hospedagem dos aplicativos Web. Essa funcao instala © configura 0 IIS 6.0, ASP.NET © COM+; ® Servidor de e-mail (POP3, SMTP) _Instal o POP3 € 0 S) cione como um servidor de e-mail para os clientes POPS. ITP para que o servidor fun- = Terminal Server Oferece aplicati mazenamento, a varios usuarios, como se aqueles aplicativos € recursos estivessem i talados em seus proprios computadores. Os usuarios conectam-se a0 Terminal Server ou aos clientes dt Area de trabalho remota. Ao contririo do Windows 2000, 0 Windows Ser- ver 2003 oferece a Area de trabalho remota para a “acho. As fun- des do servidor de terminal so necessirias apenas para a hospedagem de ap! de usudrios em um servidor de terminal. 10s ¢ recursos de servidor, como impressoras ¢ ar jutomaticamenteBLED aia 36 Capitulo 1 Apresentando o Microsoft Windows Server 2003 4 Servidor deacesso remoto/VPN Oferece roteamento de de acesso remoto dial-up, redes locais (LANS) e redes de longa distanei nexdes da rede virtual privada (VPN) permitem que tem-se com seguranga & rede utilizando conexdes padrio da Internet dirios protocolos ¢ servi¢os (WANS). As co- = Controlador de dominio (Active Directory) Ofc: 2 servicos de diret6rio a clientes Active Direciory. # Servidor DNS Oferece resolucio de nomes de host, convertendo « derecos IP (pesquisas diretas) ¢ ox enderegos IP em nomes de host (pesquisas inversas). A selecio desta opgao instala © servico DNS e, em seguida, fente para configuracio de servidor DNS. 1s homes em en- «Servidor DHCP Permite servicos automiticos de enderecamento IP a clientes configurados para utilizar 0 enderecamento IP dindmico. A selecao desta opcao instala os servicos DHCP ¢, em seguida, inicia o Assistente de novo escopo para defi escopos de enderego IP na rede. a Servidor de fluxo de midia _Fornece 0 Windows Media Services (WMS). O WMS pe mite que 0 servidor agilize o contetide multimidia cm uma intranct ou na Intemet. O contetido pode ser armazenado e fornecido por demanda ou em tempo real. A selecdo desta opcio instala o WMS um ou mais a Servidor WINS Oferece resolucio de nome de computador convertendo nomes NetBIOS em enderecos IP. Nao é preciso instalar o WINS (Windows Internet Name Servi- ce), a menos que voc? esteja dando suporte para sistemas operacionais legados, como Windows 95 ou Windows NT. Os sistemas opcracionais como Windows 2000 ¢ Win- dows XP nao exigem o WINS, embora os aplicativos legados nessas plaiaformas possam exigir a resolucao de nomes NetBIOS. A sclecao desta opcao instala 0 WINS. Para completar os exereicios deste livro voce precisa configurar um computador como Ser yer, atuando como um controkidor de dominio no dominio coritoso.com. Os passos para configuraro servidor como um controlador le dominio usando o Assistente para Configurar 6 servidor, estao listacas io 2, ao final desta | Active Directory Muitos livros foram escritos sobre planejamento, implementacao € suporte do Active Direc- tory. Se voce tem experigéncia com 0 Active Directory, reconheceri que a explicacio a seguir foi simplificada apenas por questao de espaco; seriam precisos muitos livros para discutir todos os detalhes. O objetivo desta secio é filtrar essas informacdes ¢ passar apenas © que voce precisa stber para o exame 70-290. Redes, Servigos de Diretérios e Controladores de Dominio As redes foram eriadas no dia em que o pri 30 para pegaralguma coisa com outro usuario. No final, as redes se resumem a ef FECUFSOS FeMOKAMENte, Esses TeCursos quase sempre Incluem arquivos, pastas ¢ im- 's. Ao longo do tempo, esses recursos passaram a incluir muitas coisas, principal- \eiro usuario resolveu que no queria caminhar a recep forne: pressoraBLED aia Licdo 2: Instalagao e Configuracdo do Windows Server 2003 e do Active Directory 37 ncos de dados ¢ aplicativos. Era preciso um mecanismo que controlasse esses recursos ¢ fornecesse, no minimo, um diretério de usuarios € grupos para que os re As redes do Microsoft Windows suportam dois modelos de servigo de diret6rios: grupo de trabalho ¢ dominio, O modelo de dominio, sem diivida, 6 0 mais comum nas organi que implementam © Windows Server 2003. 0 modelo de dominio caracieriza-se por um nico diret6rio de recursos emp: Active Directory — que lizado por todos os sistemas Seguros que pertencem ao dominio. Assim, os sistemas podem utilizar as propriedades de seguranga (contas de usttirio, grupo ¢ computadores) do diret6rio para dar seguranca a scus recursos. O Active Directory, portanto, funciona como uma loja de identidades, fornecendo uma tinica lista confiavel do tipo “Quem é Quem” no dominio, “Des. um dominio confiivel uti- Entretanto, 0 Active Directory é mais do que apenas um banco de dados. F uma colegio de arquivos de suporte, incluindo os logs de transacao ¢ 0 volume de sistema, ou Sysvol, que ‘pts de logon eas es de diretiva de grupo. Seus servicos suportam @ utilizam © banco de dados, incluindo o LDAP (L ht Directory Access Protocol — Pro- tocolo de acesso de pastas leves), o protocolo de seguranca Kerberos, os processos de repli- AO ¢ 0 FRS (File Replication Service = Servico de repli arquivos). O banco de dados ¢ seus io instalados em um ou mais controladores de dominio. Um controlador de dominio ¢ um servidor que foi promovido com a execucdo do assistente de instal: fo do Active Directory ¢ do DCPROMO na linha de comando ou, como seri feito no 2, executando 0 assistente Configurar 6 servidor. Apés um servidor ter se tornado m controlador de dominio, ele hoypeda uma cSpia, ou réplica, do Active Directory & modificacdes no banco de dados de qualquer controlador de dominio sao replicadas para todos os controladores dentro do dominio. cere Dominios, Arvores e Florestas © Active Directory nao pode existir sem pelo menos um dominio e v continuara. Observe que a barra de status cinza na parte inferior da tela indica que © computador est sendo inspecionado € que os arquivos estio sendo carregados, Isso € necessario para inicializar uma versio minima do sistema operacional, 6. No caso de uma instalacdo de versio de a ficagdo de instalacao aparece informando isso. Leia a mensagem da Notificaco de talacdo ¢, em seguida, pressione Enter para continuar, A Instalacao exibe Bem-vindo a tela de instalacao. Observe que, além da instalacao inicial do sistema operacional, voce pode utilizar a Instalagio do Windows Server 2003 para consertar uma instalacao dani- ficacla do Windows. O Console de recuperacio foi descrito no Capitulo 13. aliaglo do Windows Server 2003, a tela Noti- 7. Leia a mensagem B nuar. A Instalacio m-vindo a instalacao ©, em seguida, pressione Enter para conti- ibe a tela Contrato de licenca. 8. Leia ocontrato de lie pressionando Page Down para rolar até a parte inferior da tela, 9. Pressione F8 para aceitar o contrato, A instalacao exibe a tela Instakacao do Windows Server 2003, pedindo que voce selecio- nea Grea de espaco livre ou uma particao existente para instalar o sistema operacional Esta ctapa da instalacio oferece uma maneira de criare excluir partigdes do disco rigido. 10 suficient Para concluir os exercicios deste livro, voce precisa configurar uma parti mente grande para hospedar a instalacao do sistema operacional (0 tamanho minimo recomenckido 6 de 3 GB) ¢ 6 espaco alocado de pelo menos 1 GB. As proximas ctaps assumem que seu disco rigido tem pelo menos 4 GB ¢ que no momento esti vazio. E possivel fazer ajustes de acordo com a sua situa 10. Pressione € para cria r uma pai 1A. Para eri MB) € pr uma particho de 3 GB digite 3072 na caixa Criar partigio de tamanho (em sione Enter 12. Confirme se 0 seu particion comendagdes para 0s exercicios priticos sto de uma particao © 1 GB de espaco nao particionado. mento semelhante ao da Figura 1-2. Aqui também as r 2: com pelo menos 3 Figura 1-2 Particionamento do disco rigido para a instalacdo.BLED aia Licdo 2: Instalagao e Configuracdio do Windows Server 2003 e do Active Directory 44. 13. Selecione €: Particiol [Nova (sem formatacio)] ¢ pressione Enter para fazer a instak cao. Voce deve selecionar um sistema de arquivos para a particio, 14, Verifique se @ opcio Formatar 2 partigao usando o sistema de arquivos NTFS esta sele- cionaia © pressione Enter para continuar. A Instalacto formata a partigaio com NTFS, examina 0 disco rigido para verificar erros que possain causar fallit da instalacdo, copia arquivos para o disco rigido ¢ inicializa a instalacao. Este processo leva varios minutos. Depois disso, a Instalagio exibe uma barra de status vermelha com contagem de 15 s« gundos antes que 0 computador reinicialize € entre no modo GUL do processo de con figuracao, instalacio, © sistema 6 reinicializado. No inicializar a partir do CD-ROM. » do modo de te: 15. Apés a conclu prompt, nao pressione nenhuma tecla par A Instalacdo do Windows ¢ iniciada ¢ produz uma interface grifica do usuario que con- rola 0 proge stalacio no painel esquerdo. As opcdes Reut formacts Atualizagio dindmica e Preparando a instalacio estio selecionada: informagdes foi concluida antes da GUI aparecer, ¢ Atualizagao dindimica nio é util dla ao inicializar do CD-ROM, O sistema agora esta preparando a instalacao, copiando arquivos para a unidade de disco rigido, 16. Na pagina Opcdes regionais ¢ de idioma, selecione as definigdes apropriadas para seu idioma ¢ necessidades de entrada de texto €, em seguida, clique em Avanear. Q A Instalacio exibe a pagina Po sua empresa. Dica Voce pode modificer as definigdes regionais ap6s instalar o sistema operacional utilizando 2s Opgdes regionais e de idioma no Painel de controle, iizar © software, pedindo seu nome ¢ 0 nome cet 17. Nacaixa de texto Nome, digite seu nome; na caixa de texto Organi da emprest e, em seguida, clique em Avangar, © programa de Instalagao exibe a pagina Chave do produto. aciO, digite o nome 18. Digite a chave do produto incluida no CD-ROM de instalagaio do Windows Server 2003 ¢ clique em Avancar. A Instalacao exibe a caixa Modos de x icon modo de licenciamento, nento, pedindo para voed sele 19. Verifique se 0 Ntimero de conexdes em Avancar, nultdineas por servidor é 5 ¢, em segui A instakicao exibe a pagina Nome do computador e Senha do administrador. > de nome Observe que a instalacio usa o nome da_ empresa para gerar uma suge para 0 computador. Se no proceso de instalagio voce nao digitou um nome de empresa, rar parte do nome do computador. slaco usa seu nome paraSn¢wees 42 Capitulo 1 Apresentando 0 Microsoft Windows Server 2003 |_| mvoronto _nimoro de sonexdes simutneas por soridor © 6 conoxBes simultancas 880 valores sugerides a sorem utiizados para conclur sous estudos. Voc’ deve usar um rmozo logal 6e conoxdes simulténeas com base nes licorgas roais que pessui. Tambsm 6 posaivel eptar por usar a opgao Por diepesitive ou Por usuirio om ver de Per sonvider. 20. Na caixa de texto Nome do computador, digite Server01. © nome do computador aparece em letras ma igitado, Em todo 0 restante deste kit de treinamento as priticas s isculas, independlente do modo como é wer0L veferem ao S Q)| | Atencao _caso seu computador pertenea a ume rede veriique com o administrador antes de designer um nome ao computador. 21, Na caixa de texto Senha do administrador, digite uma senha complexa para a conta Administrador (uma senha que nao seja facil de adivinhar). Nao se esquega dessa senha porque voce far 0 logon como Administrador para executar a maioria dos exereicios priticos. @® Importante Em uma instalegao manual, © Windows Server 2003 nao permitira que voc passe para as etapas sudseqientes antes de digitar uma senha de Administrador que atenda aos requisitos de complexidade. Vocé pode inserir uma senha em branco, embora essa nao seja uma boa pratica. Bes cle Se o servidor tiver um modem instalado, vocé vera a ea diseagem do modem. ixa de diilogo Inform 22, Digite seu cddigo de area e, em seguida, clique data e hora € exibida. 23. Digit em Avancar. A pagina Configuracdes de As configuracdes corretas de Data ¢ hora © Fuso horirio ¢ clique em Avancar. @)] | imoitante 0s serigns do windows Server 2003 dependem das configures de horae data do computador. Verifique se ahora e adata estio corretas e selecione o tuso horério da sua localizecao. 24, Na pagina Configuragdes de rede, selecione Configuragdes tipicas ¢ clique em Avangar. A pigina Grupo de trabalho ou dominio de computador ¢ exibida. 25. Verifique sea primeira opeao esta sclecionada e se o nome do grupo de trabalho é Gru- po de trabalho ¢ clique em Avancar, © proceso de instalagio continua ¢ configura os componentes restantes do operacional. Quando a instalaclo estiver concluida, 0 computador € automat indo ao Windows ¢ exibida.BLED aia Licdo 2: Instalagao e Configuracéo do Windows Server 2003 e do Active Directory 43 26. Pressione Ctrl+Alt#Delete para ini do Administrador. ar © logon ¢ digite a senha configurada para a conta a Nota Algumas edicdes do Windows Server 2003 exigem que « sistema operacional soja ativado 9p6s aiinstalagao. A stivac3o deve ocorter no prazo de 14 dies a partir da instalacio. 0 processo de ativagao & simples e pode ser concluido pela Internet cu por telefone. Esse ativamento de licenca nao 6 necesséirio quando vacé adquire uma licenca para usar 0 Win- dows Server 2003 por meia de um dos programas de Icenciamento de volume da Microsoft. iar @ ativagao do Windows 27. Clique no balao que aparece na bandeja Sistema para ini Server 2003. Siga os prompts da tela. A Nota Para atvar ela internet, vod ter de conectaro Server rede. Talvez sea preciso ajustar as propriedades de TCP/IP da placa de interface de rede (NIC) para refletir 0 endereco IP apropriado, a mascara de sub-rede, 0 gateway padrdo € o endereco do servidor DNS. Exercicio 2: Configurando o Servidor Neste exereicio, voc’ configura o servidor como o primero controlador de um dominio do Active Directory chamado conioso.com. B Nota Quando 0 assistente de instalagdo do Active Directory é iniciado, as etapas que ele pede para voce seguir podem ser ciferentes pelo fato dele ter detectado outro dominio na rede. As etapas apresentadas abaixo assumem que vocé executa 0 assistente em uma rede isolada, Se vocé estiver conestadio a ume rede com outro dominio, as etepas podem ser diferentes e talvez seja preciso modificar es op¢Ses, ou entao desconectarse da rede antes de executar 0 exerccio. 1. Caso ainda ndo otenha feito, abr « pagina Gerenciar 0 servidor no grupo de progra Ferramentas admit istrativas. Clique em Adicionar ou remover uma funcio. A pi vidor é exibids. istente para configurar 0 s s de rede, Escolha Con- 3. Clique em Avancar para que 0 assistente detecte as conligurag, figuracio tipica para um primeiro servidor, clique em Avancar. 4, Clique em Controlador de dominio (Active Directory) e, em seguida, clique em Avancar, 5 ite contoso.com. Clique em Avane: 6. Verifique se o Nome de dominio de NetBIOS € CONTOSO e clique em Avancar. 7. Verifique se Resumo das selecdes ec m Nome de dominio do Active Directory di ncide com a Pigura 1-3 ¢ clique em Avangar. © Assistente para configu 1 seri reinic todos os program: oservidor relembra que 0 sister ido e pede ahertos, 8. Clique em Sim.44 Capitulo 1 Apresentando o Microsoft Windows Server 2003 ou een dno it! cine sas din he peso a] Figura 4-3 Resumo éas selegies. aliz 9. Apés reinicializar, faga 0 logon como Adminisirador. 10. Assistente para configurar o servidor resume suas etapas finai 1-4, Prearesso da cefomacb server Ee spas separ seed lon ste sede ecu ‘turn eee eto: 12.8804 oncnierecieo {lar cate Orctry raw cs O16: 2.18.1. ‘Roe e900 OH seen Nera esr DH otfogeun exter d renzo de aptvons eve Dredecyrete crc aRES phe ween otessscnte Tat rare acts ts cri AL eats dover tact. = i Figura 1-4 0 Assistente para configurar 0 servidor. 11. Clique em Avancar ¢, em seguida, em Concluir 12. Abra Usuarios e computadores do Active Directory no grupo Ferramentas administrativas, Confirme se agora voce tem um dominio chamado cortaso.com, expandindo o dominio e localizando conta de computador para Server na OU Domain Controllers.Perguntas e Respostas 45 Revisao da Ligao 1. Qua de produto? Sele- cione todas as opcdes possiveis), a. Windows Server 2008, 1b. Windows Server 2003, Enterprise Edition ¢. Windows Server 2003, Enterprise Edition, vers ‘ense, d. Windows Server 2003, Standard Fdition, versio licenea de volume. das seguintes versdes do Windows Server 2003 exige ativa randard tion, versio de mercado, 2. Quais sao as diferencas entre dominio, arvore ¢ floresta no Active Directory? Jo verdadeiras sobre a instalaclo do Windows Server ) talizacla pelo CD-ROM. icializada por disquetes de inic 3. Quais das afirmagde: 2003? Sclecione todas a. A Instalacao pode ser Bb. A Instalacdo pode ser i Zacio. ce > exige uma senha que r ‘em branco para atender os requisitos de complexidade, 4d. A Instalacao permite inserir todos os niimeros 1 para identificacto do produto (Pro- duct ID). Resumo da Li¢ao a Asversdes de mercado e de avaliaczio do Windows Server 2003 exigem ativacio do produto. «a Gerenciar 0 servidor ¢ o Assistente para configurir o servidor fomecem orientaco sobre a instalacdo e configuracio dos servicos adicionais com base na funcio dese- jada para 0 servidor. 4 O Active Directory servidor com 0 As Assistente para configurar 0 s Perguntas e Respostas Revisdo da Ligdo 1 Pg. 32 srvigo de diret6rios do Windows Server 2003 ~ ¢ instalado em um, tente de instalagio do Active Directory, 0 qual € iniciado com o srvidor, executando 0 DCPROMO na linha de comando. 1. Voce esta planejando a implantacao de computadores Windows Server 2003 em um de- Partamento com 250 funciondrios. O servidor hospeda as pastas base © as pastas compartilhadas do departamento ¢ atende diversas impressoras para as quais as documentos do departamento so enviados. Qual edi do Windows Server 2003 oferece a solugao mais acessivel ¢ efiea para o departamento? O Windows Server 2003 Standard Edition 6 uma plataforma robusta para executar os servicos de arquivos e impressao de uma empresa ou de um depertamento de pequeno a médio porte,BLED aia 46 Capitulo 1 Apresentando 0 Microsoft Windows Server 2003 2. Vocé es novo dominio do Active Directory de uma grande corporacio, ue Sho atualizados pelas subsidiirias da corporn 4 planejando a implantacio de computadores Windows Server 2003 em um \cluindo vrios Act >. A emprest ¢ pretende utilizar 9 Microsoft Metadirectory s vices (MMS) para sincronizar as propriedades apropriadas dos objetos em toda a organi- 7ac0. Qual edicio do Windows Server 203 oferece a solucdo mais acessivel ¢ efi para essa implantacio? © Windows Server 2003 Enterprise Edition € a solugao mais acessivel e eficaz que suporta 0 MMS. AS edigdes Standard e Web no suportem 0 MIMS. ivo de co- Vocé esti implantando servidores para forecer acesso 2 Internet a0 apl io cletronico da empresa. Vocé prevé quatro servidores dedicados para o aplic Web front-end ¢ um servidor para um hanco de dados SQL robusto € ativo, Quais edi- cOes fornecem a solucio mais acessivel e efica © Windows Server 2003 Web Edition oferece a plataforma mais acessivel e eficaz para os quatio. servidores de aplicativos Web. Entretanto, 0 Web Edition néo suporta aplicatives ompresariais como 0 SQL Server. A edig&o do MSDE incluica no Web Edition permite apenes 25 conexdes simul- t€neas. Assim, 0 Windows Server 2003 Standard Edition oferece a plataforma mais acessivel e eficaz para um SQL Server. Revisio da Ligdo 2 Pe a5 versdes do Windows Server 2003 exigem ativag es possiveis.) o de produto? (Sele- 1. Quats das seguinte: jone todas as oped a. Windows Server 2003, Standard P 1b. Windows Server 2003, Enterprise Edition, versio de avaliagao, €. Windows Server 2003, Enterprise Edition, versio Open License. d_ Windows Server 2003, Standard Edition, versio licenca de volume. As resposias corretas sto ae b. 2. Quais s Dominio 6a unidade edministrativa principal do Active Directory. Floresta é 0 escopo do Active D- rectory. Uma floesta deve conter pelo menos um dominio. Se uma floresta tiver mais de um dominio, ¢s dominios que compartiham um espago de nome DNS contiguo— ou seja, dominios que tém um dominio raiz comum — criam uma arvore. Os dominios que nao compartitam espaco de nome DNS contiguo criam arvores distintas dentro da floresta. 3. Quais declaragdes abaixo Sto verdadei (Selecione todas as opcdes possiveis.) a. A instalacdo pode ser inicializada de um CD-ROM. B.A instalacao pode ser inicializada por disquetes de instalacio. cA instalcdo exige uma senha que nao esteja em branco para atender aas requisites de complexidade. ition, versto de mercado. diferengas que existem entre dominio, drvore ¢ floresta no Active Directory? o do Windows sobre a instalac ver 2003? . A instalacao pemmite entrar todos os 1's da identificagao de produto Product 1D), A resposta correta é a.2 Administrando o Microsoft Windows Server 2003 SS) Objetivos do Exame deste Capitul = Gerenciamento remoto de servidores @ Gerenciar um servidor utilizando a Assisténcia Remota um servidor ut os de a Geren terminal ando © modo de administracio remota dos servi 2 Gerenciar um servidor u s de suporte izando as ferramentas disponivei a Soludo de problemas dos servicos de terminal © Diagnosticar ¢ solucionar questOes relacionadas’ seguranea dos servicos de terminal a Diagnesticar ¢ solucionar questoes relacionads -0s de terminal AO ACESSO AOS Serv Por que este Capitulo E importante No trabalho diario como administrador de sistemas, com frequencia voce utiliza ferramentas para configurar as contas de usuario, modificar software de computador, modificar as definicoes de servicos, instalar novo hardware e executar muitas outras, tarefas. A medida que 0 ambiente de computagao se expande para incluir mais computadores, a quantidade de trabalho a ser feita também aumenta. O MMC (Microsoft Management Console ~ Console de gerenclamento Microsofd) permite a consolidacao io de algumas das ferramentas mais utilizadas, Além disso, os consoles do MMC podem ser personalizados ¢ adaptadas 2s necessid.des exatas do funcionario e da tarefa, Dessa forma, as tarefas podem ser delegadas a outros administradores com menos chances de erro. Quando € necessario mais controle global sobre um computador remoto, além daqu lo que pode ser feito remotamente por meio do MMC, duas ferramentas principais tomam possivel a.administracao dos computadores remotos: Area de trabalho remota para administracao ¢ Assisténcia remota. Em geral, € possivel imaginar a Area de trabatho remota para administraco como um aplicativo cliente-servidor que permite que uma janela da drea de trabalho do seu computador mostre 0 console local de um computador de servidor. Isso oferece a capacidade de controlar as fungdes do ¢ do mouse como se vace estivesse com logon local no console do servidor. A Asistencia remota tem fungao semelhante, mas com escopo na drea de trabalho dos computadores que executam um sistema operacional das familias Microsoft Windows Server 2003 ou Windows XP. Lim usuario desses computadores faz uma solicitacio de auxilio, 10 remota pode ser estabelecida entre um compu toe a area de trabalho daquele computador. do tecla- sa conexa Jor remo-48 Capitulo 2 Administranco 0 Microsoft Windows Server 2003 Ligdes deste Capitulo: = Licao 1: © MMC - Console de Gerenciamento Microsoft . 49 = Lica 2: Gerenciando Gomputadores Remotamente com @ MMC 54 a Licto 3: Gerenciando Servidores com a Arca de Trabalho Remota para Administractio 37 2 Licho 4: Utilizando Assisténcia Remota . 4 Antes de Comegar Para executar as priticas relacionadas aos objetivos deste capitulo voce deve ter 2 Um computador que tenha 0 Windows Server 2003 instaladlo ¢ operando, Para acompa- nhar os exemplos diretamente, seu servidor deve se chamar Server01 ¢ funcionar como. um controlador do dominio contoso.com. a Area de trabalho remota para administracdo instalada no Server01, com a Area de traba- Iho remota ¢ a Assisténcia remota ativadas. = Uma rede TCP/IP (Transmission Control Protocol/Internet Protocol — Protocolo de controle de transmissio/Protocolo Intemet) configurada e funcionando, a quill seu console € 08 computadores administrativos remotos de destino possam se conectar (para administragio de computadores remotos)BLED aia Ligdo 1: 0 MMC ~ Console de Gerenciamento Microsoft 49 Ligao 1: 0 MMC - Console de Gerenciamento Microsoft A principal ferramenta administrativa para gerenciar 0 Windows Server 2003 € 0 MMC. O MMG fomece uma interface padronizada e comum para um ou mais aplicativos, chamados snap-ins, que sio utilizados para configurar os elementos do seu ambiente. I P- slo individualizados para tarefas especificas, ¢ podem ser ordenadlos ¢ agrupados dentro do MMC de acordo com a sua preferéncia administrativa. As principais ferramentas administrativas do Windows Server 2003 sto 0s consoles MMC com colegdes de snap-ins adequadas a uma finalidade espec va Usudrios ¢ computadores do Active Directory, por exemplo, foi criada para administrar os principais elementos de s de um dominio. Os snap-ins do MMC — no o préprio MMC tivas que voce utiliza a Apés esta ligo, vocé estara apto a = Configurar um MMC com snapins individuais = Configurar um MMC com varios snap.ins = Salvar um MMC nos modos Autor ou Usuario Tempo estimado para a lico: 15 minutos fica. A ferramenta adm pecificamente strati- ‘eguranca (Usuarios, Grupos ¢ Computadores) 10 as ferramentas administer Nota Os consoles MMC so executados no Windows Server 2003, Windows 2000, Win: dows NT 4, Windows XP © Windows 98. o MMC © MMC se parece bastante com uma versio do Windows Explorer, exceto por alguns bo- Wes. Os componentes funcionais de um MMC estao contidos dentro dos chamados snap: os menus ¢ uma barra de ferramentas fornecem os comands para manipula as janelas pai ¢filho, ¢ 0 proprio console (contendo os snap-ins) permite funcionalidade direcionada, Além iss0, um MMC pode ser salvo com as diversas opedes € modos apropriados a situaci. ns: Navegando no MMC Um MMC vazio ¢ mostrado na Figura 2-1, Observe que o nome do console ¢ Raiz do Conso- le. Fsse Raiz. do Console contém todos os snap-ins que voce selecionar para inclusio. Cada console inclui uma arvore, menu, barras de ferramentas ¢ 0 painel de detalhes. Seu contetido varia, dependendo do design e dos recursos de utilizacio do snap-in, A Figura 2-2 mostra um MMC preenchido com dois snap-ins carregados ¢ uma janela filho do snap-in Gen nciador de disposi50 Capitulo 2 Administrando © Microsoft Windows Server 2003 Figura 2.2. Um MMC preenchido. Utilizando os Menus e a Barra de Ferramentas do MMC. mbora cada snap-in acrescente seu proprio menu ¢ itens de barra de ferramentas, existem vérios menus ¢ comandos importantes que voce usard em muitas situagdes € que Slo comuns & maioria dos snap-ins, como mostra a Tabela 2-1, Tabela 2. Menus e Comandos Comuns do MMC ‘Menu ‘Comandos Arquivo Griar um console novo, abrir um console existente, aclicionar ou semover snaprins de um console, dlfinir opgoes para salvar um console, a lista se- cente de arquivos de console © um comando Sair. Acao Varia de acorco com o snap-in, masem geral inclui recursos de exportacio, sada, configuracao e ajuda especificos de cada snap-in. Exibir Varia de acordo com 0 snap-in, mas inclui uma opeao de personalizac para modificar as caracteristicas gerais do console. Favoritos Permite a inclusio e organizacao dos consoles salvos. (continua)BLED aia Ligdo 1: 0 MMC ~ Console de Gerenciamento Microsoft 51 Tabela 2-1 Menus e Comandos Comuns do MMC (continuacao) Menu ‘Comandos Janela ‘Abre uma janela nova, organiza em cascata, lado a lado ¢ altema entre as janelas filho abertas deste console. Ajuda Menu geral de sjuda do MMC, bem como os médulos de ajuda do snap-in ccarregado. Criando um MMC Personalizado Cada MMC contém uma colecto de uma ou mais ferramentas chamudas sap-ins, Um snap-in estende © MMG, incluindo capacidades ¢ funcionalidades especificas de gerenciamento. Existem dois tipos de snap-ins: auténomo ¢ de extensio, f possivel combinar um ou mais snap-ins ou partes de snap-ins para criar MMC» personalizados, os quais pociem ser utilizados para centralizar e combinar as tarefas administrativas. mbora seja possivel utilizar muitos dos consoles pré-configurados part realizar administrativas, os consoles personalizados permitem individualizar suas necessidades € adroni ambi Q Snap-Ins Auténomos Dica Ao criar um MMC personalizado, vocé nao precisa eltemer entre programas diferen: tes ou consoles individuais. Os snap-ins auténomos sio fomecidos pelo desenvolvedor de um aplicativo. Por exemplo, Todas as ferramentas administrativas para 0 Windows Server 2003, 6 0 console de um tinico categoria de colecio de snap-ins snap-in ou combinacdes pré-configuradas de snap-ins tteis para determinada tarefas. O snap-in Gerenciamento do computador, por exemplo, individuais que so tteis para uma unidade. ‘Snap-Ins de Extensiio Os snap-ins de exiensao, ou simplesmente extens6 n desenvolvides para funcionar ‘com um ou mais snap-ins autSaomos, com base na funcionalidade do autonome. Quando voce adiciona uma extensio, o Windows Server 2003 coloca a extensao no local apropriado dentro do snap-in auténomo. Muitos snap-ins oferecem funcionalidade aut6noma ¢ estendem a funcionalidade de outros: snap-ins. Por exemplo, o snap-in Visualizar Eventos Ié os logs de eventos das computudo 's. Se 0 objeto Gerenciamento do computador existe no console, Visuullizar eventos tende automaticamente cada instincia de um objeto Gerenciamento de computador ¢ fornece os logs de eventos de computador. Alternativamente, o Visualizar eventos também pode operar no modo auténomo. Nesse modo, cle nao aparece como um né abaixo do nd Gerenciamento do computador.BLED aia 52 Capitulo 2 Administrando Microsoft Windows Server 2003 de fungi ¢ freqiéncia de uso. Crie doi ou trés consoles personalizades que contém as, forramentas que voc usa com mais froqiiGncia. Vocs economizaré tempo, porque néo pro- Opgoes de Console As opedes de console determinam o modo como um MMC opera em termos dos nds da r- vore de console que podem ser abertos, dos snap-ins que podem ser incluidos ¢ de qua nekas podem ser eriadas, Modo de Autor Ao salvar um console no modo Autor, que € 0 padi funcionalidade do MMC, incluindo: , voc€ ativa © acesso completo a toda a = Adiga pou mocio dle snap-ins a Griacio de janclas = Griagio de tarefa ¢ de modos de exibicio do Painel de tarefas = Visualizagio de partes da arvore do console a Alteracao das pees do console 1 Salvamento do console Modos de Usuario voce pretende distribuir um MMC com fungdes especificas, ¢ possivel definir o modo de usuario desejado ¢, em seguida, salvar © console, Como padrao, os consoles sao salvos na a Ferramentas administrativas no perfil de u A Tabela 2-2 descreve os modos de poniveis para salvar o MMC. Tabela 2-2 Modos de Usuario do MMC Tipo de Modo de Usuario Deseri¢ao Acesso Compleio Permite que os usudrios naveguem entre os snap ins, abram| janelas © acessem todas as partes da drvore do console. Acesso Limitado, Varias Janelas Evita que os usuarios abram janelas novas ou acessem uma parte da drvore do console, mas permite que eles visualizem varias janelas do console. Avesso Limitado, Janela Unica Evita que 0s usuarios abram janelas novas ou acessem uma parte da arvore do console, & permite que cles visualizem peras uma jancla do console.BLED aia Ligdo 1: 0 MMC ~ Console de Gerenciamento Microsoft 83 Bg Nota: Olisrwe gia MUCH gle ese dont ton ura amas ne Por @ALS Adrinsraor ieton eave Corealoh Pratica: Criando e Salvando Consoles Ne um console MMC. pritica voc? cria, configura ¢ sal Exercicio 41: Um Console Visualizar Eventos 1. Clique em Iniciar e, em seguida, clique em Fxecutar. 2. Na caixa de texto Abrir, dig 3. Maxi 4, Nomenu Arquivo, sclecione Opedes para visualizar.o modo de console que esta configurado. O console esta sendo executado no modo apresentado ite mme ¢, em segu a, clique em OK. do console. ize as janclis Console 1 © Rai 5. Vetifique se a caixa de ‘em seguida, clique em OK. spensa Modo de console esta no modo de Autor ¢, 6. Nom nu Arquivo, clique em Adicionar/remover snap-in. Auténomo A de ditlogo Adicionar/remover snap-in 6 exibida com a gui Observe que nao existem snap-ins carregados, 7. Nacaixa de didlogo Adicionar/remover snap-in, clique em Adicionar para exibir a caixa. de diilogo Adicionar snap-in aut6nomo. 8. Localize o snap-in Visualizar eventos ¢, em seguida, clique em Adicionar. A caixa de diilogo Selecionar computador aparece, permitindo que voce especifique © computaclor que desea administrar. E possivel adiconar o snap-in Visualizar eventos pare ‘© computador local no qual voc¢ esta trabalhandb, ou se o computador local fizer parte de uma rede, voce pode adicionar o Visualizar eventos part um computador remoto, 9. Na caixa dle didlogo Sclecionar computador, sclecione Computador local e, em seguida, clique em Concluir. 10. idlogo Adicionar snap-in auténomo, clique em Fechar e em OK na c! jonar/remover snap ins. star a lar Agora Visualizar eventos (local) aparece na arvore do console, Vocé pode gura do painel da arvore do console e expandir os nés que deseja visua ar 11. Adicione por conta propria um snap-in para o Gerenciador de dispositivos (local), 12, Salve © MMC como Mysvent Revisao da Li¢ao As perguntas seguintes reforcam as prineipais informacdes apresentadas nesta lige. Caso Jo consiga responder uma pergunta, re ial da ligdio @ tente respondé € nat seco “Perguntas € Respostas” no final do capitulo. > © mater mente, AS respostas encontran54 — Capitulo 2 Administranco © Microsoft Windows Server 2003 1. Qual € 0 modo padrao quando se cria um MMC? Um snap-in pode ter foco simultineo no computador local ¢ em um computador remoio? 3. Para limitar 0 acesso de um snap-in, como deve ser construide 0 MMC que 0 contém? Resumo da Ligao © MMC 6 uma ferramenta titi para organizar e consolidar snap-ins, aqueles pequenos pro- _gramas que sio usados para executar tarefas administrativas de rede ¢ sistema de comput dores, A exibie2o hierarquica, semelhante aquela do Windows Explorer, oferece uma visto conhecida para os recursos do snap-in com base em pa: ‘em dois tipos de snap: autnomo ¢ de extensio, com extensdes que aparecem © se comportam dentro do. MMC com base no contexto de seu posicionamento, Todo console pode ser configurado para funcionar nos dois modos, de autor ¢ de usuirio, sendo que © Modo de ususirio oferece funcionalidade restrita no console salvo. Ligao 2: Gerenciando Computadores Remotamente com o MMC Vov? talver trabalhe em uma rede ponto a ponto, precise ajudar outros usuirios a criarem contas ou grupos de usudrios em seus computadores para compartithar pastas locais. Voce pode economizar uma ida aos escrit6rios de seus colegas conectando-se aos computadores dos usu Fi ) rio com 0 seu console Gerenciamento do computador (como mostra a Figura 2- atar unidades de disco ou executar outra computa dor remoto. Em um computador remoto, voce pode executar quase todas as tarefas que S80 executadas localmente. Talvez.seja preciso forn refas em ul ‘Ap6s esta licao, vocé estara apto a = Construir um MMC para gerenciar um computador remotamente Tempo estimado para a ligao: 10 minutosBLED aia Licdo 2: Gerenciando Computadores Remotamente com oMMC 55. feavivo Aiko Fxbir avertos Jarela Auda +> | Gn|\ee\|e (2 gl Pastas compartinadas 15 Logse alertas de desempento Figura 2-3 Conectande-se ao computador de un ususrio com o console Gerenciamento do computador. Configurando o Snap-In para Uso Remoto Para conectars ta outro § rema c gerencié-lo us indo 0 console Gerenciamento do compu- jar 0 console com uma conta no computador remoto que tenha cr. denciais administeativas. Caso. suas credeneiais nao tenham privilégios clevados no computador de destino, voce poderé carregar o snap-in, mas nao podera ler as informacOes do computador de destino. idor, vocé pre: QQ] | pica _voce pode usar o logon secundério Executar como usuario, para inicar um console com credenciais diferentes daquelas do seu logon atual. estiver pronto para gerenciar o sistema remoto, voc’ pode abrir um console exi lente com 0 snap-in carregadlo, ou pode configurar um novo MMG com um snap-in que voce configura para conexao remota quando cria 0 console. Para configurar um console existente Gerenciamento do computador, por exemplo, siga estas etapas: 1. Abra o console Gerenciamento do computador dando um clique com 0 botao direito do mouse em Meu computador ¢ selecionando Gerenciar no menu de atalho. 2, Clique com 0 botio dircito do mouse em Gerenciamento de computador no pai Arvore € selecione Conectar-se a outro computador iilogo mostrada na rede ¢, em seguid jgura 2-4, digite onome ou ique em OK para conectar ndereco IP do compu56 Capitulo 2 Administranco © Microsoft Windows Server 2003 2x] ‘Seco coop eget pao sap | Estesnapin nor omencind: © emer sa connec on contl en sero enn) Quroconpitaor [ SS~*~S~*~C~S | Figura 2.4 Definindo © Contexto local /remoto de um snap: Ap6s a concxio, voc’ pode executar as tarefias aciministrativas no computador remoto. Pratica: Adicionando um Computador Remoto para Gerenciamento (Opcional) a) Exereicio 1: Conectando-se Remotamente com o MMC Nota Esta pratica exige que vooé tenha um computador disponivel para conexao remota, € privilégios administrativos naquele computador. Neste exercicio, vocd modifica um MMC oxistente para conectar-se a um computador remoto. 1. Abra © MMC salvo no exercicio da Ligio 1 (MyEvents).. 2. No menu Arquivo, clique cm Adicionar/remover snap: 3. Na caixa de diiilogo Adicionar/remover snap-in, clique em Adicionar para exibir a caixa de ditlogo Adicionar snap-in autGnomo. 4, Localize snap-in Gerenciamento do computador e, em eguida, clique em Adicionar. 5. Nu caixa de diflogo Gerenei 6. Digite o nome ou endereco IP do computador ou pesquise na rede m Concluir para conectar-se. mento de computador, selecione Outro computador, em seguida, clique Clique em Fechar ¢ em OK na caixa de di gar o snap-in Gerenciamento do comput logo Adicionar snap-in autOnomo para carre- dor no seu console MyEvents. Agora voce pode usar remoto. s ferramentas de gerenc mento para administrar 0 computador Revisao da Ligao As perguntas seguintes reforcam as principais informacdes apresentadas nesta igo. Caso. nao consiga responder uma pergunta, revise material da Tigao ¢ tente respondé-la novamente. AS respe 10 *Perguntas e Respostas” no final do capitulo.BLED aia Ligdo 3: Gerenciando Servidores com a Area de Trabalho Remota para Administracio 57 1. Quais sao as credenciais neck com 0 uso do MMC rias para a administr 10 de um computador remoto © contexio de um snap € preciso carregar um snap-in de mesmo tipo no MMC para realizar a conexa MMC existente pode ser modificado de local para remoto, ou 10 remote? 3. Todas as fungdes dentro de um snap-in de um computador local podem ser ut quando cle esti concetado remotamente? Resumo da Ligao © MNG pode caregar varias ferramentas diferentes na forma de snap-ins, Alguns des snap-ins sio programados com a capacidade de conexzio com 0 computador local ou com os computidores remotos, A conexio com um computador remoto pode ser durante ou apés © carregamento do snap-in, clicando com 0 hotie dircito do mouse no snap-in ¢ sclecionando Conectar-se a outro computador. Voce deve ter privilégios admini trativos no computador remoto para utilizar as ferramentas que afetam a configuracao do computador remoro. sstabelecicka Ligao 3: Gerenciando Servidores com a Area de Trabalho Remota para Administragao A familia Windows 2000 Server introduziu um pacote de ferramentas ¢ tecnologias total mente integridas que ativaram os servigos de terminal para a administracao remota € 0 compartilhamento de aplicativos. A evolucio continuou: agora os servicos de terminal si0 parte integrante ¢ padrao da famil rver 2003, ¢ a Area de trabalho remota foi aperfeicoada ¢ posicionada como uma capacidade pronta, para que, com um Gnico clique, m computador que executa o Windows Server 2003 permita di nultin para administracao remota. Ao incluir o componente Terminal Server ¢ configurar o licenci mento adequado, um administrador pode estender ainda mais as tecnologias, permitindo que vi m aplicativos no servidor. Nesta licio, voc’ aprender como ativar a Area de trabalho remota para admis is cOnExdES.BLED aia 58 Capitulo 2 Administrando © Microsoft Windows Server 2003 Apés esta ligdo, vocé estara apto a = Configurar-um servidor para ativar a Area de trabalho remota para administrago, 1 Atrbuir usuarios ao grupo apropriado, permitindo que eles acministrem os servidores remot mente = Conectar-se aum servidor usando Area de trabalho remota para conexio de administragio Tempo estimedo para a ligao: 15 minutos Ativando e Configurando a Area de Trabalho Remota para Administragao Os servigos de terminal ativam a Area de trabalho remota, a Assisténcia remota © 0 Terminal erver para compartilhamento de aplicativos. O servigo ¢ instalado por padrao no Windows Server 2003 ¢ configurado na Area de trabalho remota no modo de adminisiracao remota. O modo Area de trabalho remota permite apenas duas conexdes remotas simultineas ¢ nao inclui os componentes de compartilhamento de aplicativo do Terminal Server. Assim, Area de trabalho remota opera com muito pouca sobrecarga para o sistema, sem ncnhuma exigencia adicional de lice ga Nota Como 0s services de terminal e sua capacidade dependente da Area de trabalho remota so componentes padrao do Windows Server 2003, cada servidor tem a capacidade de fomecer conexdes remotes com seu console. Portanto, agora o termo “servidor de terminal” se refere especificamente 2 um computador que executa o Windows Server 2003 fornece compertihamento de aplicativos para varios usudrios com a adicdo do componente Terminal Server. Server = d ver © s Outros componentes ~ Terminal S vigo Licenciamento do Te vem ser inclufdos usando Adicionar ou remover programas. Entretanto, todas as ferramentas amir rias para configurar e suporiar as conexdes de cliente € gerenciar © Terminal Server sao instaladas por padrao em cada computador Windows Server 2003. Cada uma das ferramentas ¢ suas funcdes sio descritas na Tabela 2-3. Para ativar as conexdes cat Srea de trabalho remort de um computador Windows Server 2003, abra Sistema no Paine! de controle. Em Propricdades do sistema, alterne para a guia Remoto, selecione Permitir que usuirios se conectem remotamente a este computador, retiva de grupo no Controlador de dominio para permitir a conexao por meio dos servicos de. terminal com o grupo Ususrios da éreade trabalho remota, Por padro, 08 servidores de Con- a Nota Se oTerminal Server 6um Contolador de dominio, voc também deve configurar aD lad odaclonde paratem Ssonsen dose cca’ Ge rnin folie po e509 rune.BLED aia Ligdo 3: Gerenciando Servidores com a Area de Trabalho Remota para Administracio 59 Tabela 23 Componentes Padrao do Terminal Server e da Area de Trabalho Remota Software Instalado Finalidade Configuragao dos servicos de terminal Configurar as propriedades do Terminal Server, incluindo as definicdes de sesso, rede, drea de trabalho de cliente e controle remoto de cliente Gerenciador dos servigas de terminal Envio de mensagens para os clientes conectados do’ Terminal Server, desconex2o ou logoff de sessdes € tabelecimento de controle remoto ou sombreamento de sessoes, Arquivos de instalagto do cliente Instalagio do Windows Server 2003 ou do aplicativo da Area de trabalho remota Windows XP Cliente da Area dle Trabalho Remota. 0 software de cliente da Area de trabalho remota de 32 bits € instaladlo em %6S)stemroomo\$ystem32\Clicnis\ Tsclient\Win32 no Terminal Licenciamento do Terminal Server Configuracao de licengas para conexdes de cliente como um servidor de terminal. ferramenta nao. aplica a ambientes que utlizam apenas a Area de trabatho remota para adminisraczo, Conexao de Area de Trabalho Remota Conexao de area de trabalho remota é 0 software no lado do cliente utilizado para fazer a conexao com um servidor no contexto dos modos Area de trabalho remota ou Terminal Ser- ver. Soba perspectiva do cliente, de servidor. enea funcional entre as duas config Nos computadores Windows XP e Windows Server 2003, a Conexao de Area de trabalho remota ¢ instalada por padrio, embora nao seja facil encontré-la em sua localizacdo padrao no grupo de programas Todos os programas\Acess6rios\Comunicacao do menu Iniciar. Para outras plataformas, a Conexao de rea de trabalho remota pode ser instalada do CD do. Windows Server 2003 ou da pasta de instalagio do cliente 6systemrooni ents\ Tsclient\ Win32) em qualquer computador Windows Server 2003. © pacote de instala~ cdo dat Conexao de area de trabalho remota com base 1 pode ser implantado em sistemas Windows 2000 utilizando a Diretiva de grupo ou 0 SMS (Servidor de gerenciamen- to de sistemas). QQ] | vice. Erecomendavel fer a stualizagao das versdes anteores do cliente dos senso de terminal para a verso mais recente da Conexdo de Area de vabalho remota pera fomecer 0 ambiente mais eficiente, seguro e estével possitel, por melo ée aperfeigoamentos | Renate intense mais ettowemn san me anette native. A Figura 2-5 mostra o cliente Area de trabalho remota configurado para con yer01 no dominio contoso.com.60 Capitulo 2 Administranco © Microsoft Windows Server 2003 (ed [eae rans ome oF ——— eee oe Jom Figura 2-5 Cliente da Area de trabalho remota ee ey tirccmmienetrnsecion Savers | foe Configurando o Cliente da Area de Trabalho Remota Voc? pode controlar muitos aspectos da cones 10 Area de trabalho remota no lado do cliente do servidor. A Tabela 2-4 relaciona as definicdes de configuraglo ¢ seus usos, Tabela 24 Configuragées da Area de Trabalho Remota Configuracao Fungo Configuragées de Cliente Geral Recursos locais Programas Experiéncia ‘Opsoes para sclecionar o computador com o qual a concerto. deve ser feita, a configuracac das credenciais de logon exatico © osalvamento das configuragdes dessa conexao. Controla 0 tamanho da janela do cliente da Area de trabalho remota, a intensidade de cor e se as funcées da barra de con trole esto disponiveis no modo de tela inteira. ‘Opedes para levar eventos de som até o seu computador local, além da saida padrao de mouse, teclado ¢ tela. Como as com- binagdes de teclas (por exemplo, ALT+TAB) devem ser inter- pretadas pelo computador remoto, € se © disco local, a impressora e as conexdes «le porta serial devem estar disponiveis para sesso remota. Define o caminho a pasa de destino de qualquer programa, que deve ser iniciado apés a conexao, As categorias cle fungoes de video podem ser ativadas ou desativadas com base na largura de banda disponivel entre os computadores remoto e local. Os itens incluem exibir 0 plano de fundo da érea de trabalho, mostrar o contetido da jancla a0 ar rastar, animagao de menus ¢ janclis, temas, ¢ se 0 armazenamento de bitmaps em cache deve ser ativado (isso transmite apenas as mocificagdes na tela, em vez de redesenhar toda a tela a cada periodo de atualizacao) (continua)BLED aia Ligdo 3: Gerenciando Servidores com a Area de Trabalho Remmota para Administracao 61 Tabela 24 Configuracies da Area de Trabalho Remota (continuacdo) Configuragao Fungo Configuracdes do Servidor Configuragdes de Logon IE possivel definir credenciais estaticas para a conexdo, em vex de utilizar aquelas fornecidas pelo cliente, de encerramento de uma sesso cesconecta- tes de sesso e de tempo acieso e permissdes dle reco- nexio podem ser feitas aqui para substituir as configuracdes do clien Ambiente 'sconfiguracdes do perfil de usuirio desta conexio, para iniciar um programa na conexao. As configuracoes de caminho e destino definidas aqui substituem as configuragdes da Conextio da area de trabalho remota Permissoes Permite & configuragio de permissces adlicionais nx conexio, Controle Remoto Especifica se & possivel o controle remoio de uma Conexio de 4rea de trabalho remota e, neste caso, se 6 usuiirio deve conceder permissdes no inicio dha sessio de controle remoto. As configura de controle re. moto apenas a visualizacdo, ou podem permit a interatividade completa com a sessio de cliente da Area de trabalho remova ices adicionais podem restringie a s Configuragdes de Cliente Substitui as definicdes da configuracdo de cliente, do controle de intensicade cle cor ¢ desativa diversas ports de eomunica- ao (E/S). Adaptadores de Rede specifica quais placas dle recle do servilor aceitarao as cone- x0es cia Area de trabalho remota para administracio. eral Define 0 nivel de criptognifia e 0 meeanismo de autenti das conexdes com 0 servidor. Solugao de Problemas dos Servicos de Terminal Ao utilizar a Area de trabalho remota para administracdo, voce cria uma cones console do servidor. F3 s6es problematicas: a Falhas de rede Frros na rede TCP/IP padrio podem fazer com que uma conexio da ja inierrompida. Se 0 DNS nao estiver funcionando, um cliente nio pode localizar o servidor pelo nome. Se o rotcamento nao estiver funcionando, ou se a porta Servicos de Terminal (padrao é a porta 3389) estiver mal configurada no cliente ou no servidor, a conexio nao sera estabelec 1 com um para a falha das conexdes ou se: sm diversas cau em poten Area de trabalho remota falhe ou § # Credenciais Os usuirios devem pertencer a0 grupo Administradores ou Usuarios cht drea de trabalho remota para conectarem-se com €xito ao servidor, utilizando a Area de trabalho remota para administracao.BLED aia 62 Capitulo 2 Administranco 0 Microsoft Windows Server 2003 (DQ) [ossotcane. cue oemantas an gon oes acest no negao a0 santo uma conexao de Area de trabaho remota para administragao. Em versdes anteriores do | Tominl ener pose aun mano gupo hanna pra cove “an cm o sono, onbara tose pave! eteboacn sorenos marae, 0 ie Co | duas conexdes remotas com o Terminal Server 6 fixo € nao pode ser aumentado. a Diretiva Os controladores de dominio s6 permitem conexdes por meio da balho remota para os acministradores. Voc? deve configurar a diretiva de seguran controlador de dominio para pemitir conexdes com todas as outras conexdes remote de usuririo. = Excesso de conexdes simultineas Se as sess6es foram desconectadas sem logoff, 0 servidor pode considerar que seu limite de conexdes simultineas foi atingido, mesmo, que nao haja dois usuirios humanos conectados no momento. Por exemplo, um admi- © dois para se conectar antes. nistrador pode fechar uma sesso remota sem fazer o logoff. outros administra dores tentare ao servidor, apenas um tert permis: de atingir o limite de duas conexdes simultaneas, se cone a4] Consulte Também Para obter outras informacdes sobre os servicos de terminal e sobre 08 mais recentes desenvolvimentos da funcionalidade de cliente Area de trabalho remota, consulte _http://www.microsoft.com/technet/treeview/cefaull.asp7url=/technet/prod- technol/windowsserver2003/proddocs standard/sag_Senver_Trouble_Topnode.sp. Pratica: Instalando os Servicos de Terminal e Executando a Administragao Remota Nesta pritica, voce configura Server01 part ativar as conexdes dat Area de trabalho remota para administracao, Em seguida, voce otimiza 0 Server01 para garantir a disponibilidade ct conexao quando ela nao estiver em uso, ¢ limita em um o ntimero de conexdes simultaneas. Depois voee executa uma sessdo de administracdo remota 4 partir do Server02 (ou de outro computador remoto). Se voct tiver apenas um computador para executar esta pratica, use o cliente da Area de tra~ balho remota para se concetar aos Servicos de terminal no mesmo computador. Ajuste as re- feréncias a um computador remoto mencionadas nesta pritica para o computador local. Exereicio 4: Configure o Servidor para a Area de Trabalho Remota Neste exercicio vocé ativa as conexdes da Area de trabalho remota, modifica o nimero de conexdes si desconect nulkaneas permitidas para 0 servidor e configura a defin 1, Faca 0 logon no ServerOL como Administrador. 2. Abra Sistema no Painel de Controle. 3. Em Propricdades de sistema, na gui Remoto, ative a permissio de Area de trabalho remota, Feche Propriedades do, istema, 4. Abra o console Configuragio dos servicos de terminal na pasta Ferramentas administrativaBLED aia Ligdo 3: Gerenciando Servidores com a Area de Trabalho Remota para Administracio 63. 5. No MMC sce (Configura reito do mouse na conexi pried: io dos servigos de terminal\Conexd © RDP-tcp no paincl de detalhes e, em seguida, cl ), clique com o botto dique em Pro- 6. Na guia Adaptador de rede, modifique Némero maximo de conexdes para 1. 7. Na guia Sess6es, selecione ambas as caixas de sclecdo Ignorar configuracées do usuario, modificagoes de configuracao para que toda sessao de usuario desconectada, Por qualquer meio ou motivo, sea Fechacla em 15 minutos, nao tenha limite de tempo 2 Sst, configure para desconcetar apés 15 minutos de conectada: 15 minutos so ativa: nunca @ Limite da sessio ociost: 15 minutos 2 Quando o limite de sessio for atingido ou a conexao for interrompida: desconectar-se da sessio 4 configuracao garante que apenas uma pessoa de cada vez pode estar conectada a0 ‘Terminal Server, que toda ses dio desconectada sera fechada em 15 minutos ¢ que uma 10 ociosa seri desconectada em 15 minutos. Essas Slo configuracdes titeis para que uma sessio desconectacl ou ociosa nao tome indisponivel 2 conexao da Area de traba- Iho para administra: se Exercicio 2: Conecte-se ao Servidor com o Cliente da Area de Trabalho Remota 1. No Server02.(ou em outro computador remoto, ou no proprio Server(1 caso nao haja um. computador remoto disponivel), abra a Gonex rios, grupo de programas Comunicagdes), conecte-se ¢ faa 0 logon 2. No Server01, abra 0 programa tsidmin.exe Ger verd a sesso remota concetada a Server01, > da area de trabalho remota (em Acessé= n ServerO1. os de terminal). Voce inciadlor de servi por 15 minutos, ou feche 0 cliente Area de trabalho remota sem fa- » do Terminal desconectada automati- 3. Deixe a sessito ocios 2er 0 logoff da se camente em 15 minutos. erver para Que a sessiio so Agora voce fez o logon remoto ao Servei01, ¢ pode executar nesse fas que executaria se estivesse com logon ative no console. computador quaisquer Revisao da Li¢ao is informacées apresentadas nesta lio. Caso 1 nova- As perguntas seguintes reforcam as princi Mo consiga responder uma pergunta, revise o material da licdo e tente respondé € nat seo “Perguntas ¢ Respostas” no final do capitulo. mente, As respostas encontram: 1. Quantas conexdes simultineas sito possiveis em um Terminal Server que 6 executado no modo de Area de trabalho remota para administracio? Por quéBLED aia 64 — Capitulo 2 Administranco 0 Microsoft Windows Server 2003 2. Qual seria a melhor maneira de dar aos administradores a capacidade de administrar um servidor remotamente por meio dos Servigos de terminal? a, Nao fazer nada; eles ja tem acesso porque sto administradores b. Remover os Administradores da lista de permissbes da conexao Terminal Server ¢ s contas de administradores na Area de trabalho remota do Grupo de administragao, colocar sua - Criar separadamente uma conta de usuario com autorizacio mais baixa para uso di tio dos Administradores, ¢ colocar essa conta no grupo Area de trabalho remota para administracao, Qual ferramenta € utilizada para ativar « Arca de wabalho remota em um servidor? a. Gerenciador de servicos de terminal Bb. Configuragio dos servigos de terminal . Propriedades de no Painel de Controle. d._Licenciamento do Terminal Server sistema, Resumo da Li¢ao s radores ¢ membros do grupo Usuarios da rea de trabalho remota tm a capacidade de conectarem-se a um servidor utilizando a Conexao de area de trabalho remota, Os Servicos de terminal sao instalados por padrio no Windows Server 2003 € permitem até com a Area de trabalho remota para administracio. O cliente 1 de trabalho remota, um componente padrao do Windows XP ¢ do Win- dows Server 2003, pode ser instalado em qualquer plitaforma Windows de 32 bits do CD de insialacio do Windows Server 2003 ou (apés compartilhar o diret6rio) de qualquer computador que execute 0 Windows Server 2003. A configuracio da Area de trabalho temota para administrac jiente (Conexao de drea de traba Iho remota) ¢ no servidor (Configuracao dos servicos de terminal). As principais configura codes de conexdes podem ser substituidas peo servidor, da por meio das configura Ligao 4: Utilizando a Assisténcia Remota Os enfrentam prob sttirios de computadores, particularmente aqueles sem muita especializacdo téenic: as de configuracio ou tém dtividas de utilizacao dificeis de serem diag. nosticadas por um profissional de suporte ou mesmo por um amigo ou membro da familia pelo telefone. A Assisténcia remota é um modo pelo qual os usuérios podem obter & ajuda que precisim, tornando mais ficil acessivel 0 auxilio que os suportes técnicos corporati- vos oferecem as Apés esta licao, vocé estara apto a = Ativar um computador para aceitar solicitagdes de Assisténcia remota = Utilizar um dos métodos disponiveis para solicitar ¢ estadelecer uma sessao de Asistencia remota ‘Tempo estimado para a ligo: 30 minutosBLED aia Ligdo 4: Utiizendo a Assisténcia Remota 65 Fazendo a Solicitagao de Assisténcia Na Ajuda do Windows Server 2003 ha gina do Assistente para Asistencia remota € mostrada na Fi ma scgio para a Assisténcia Remota, A primeira pi pki ste dt se es re susistiac romota A conexao por assistente permite que uma solicitacio seja feita por meio de uma conta Mi- crosoft NET Passport, enviando um arquivo salvo ou por meio de uma conta de e-mail na nbém permite que voce faca uma aco usando o Windows Messenge Para fazer uma solicitacao por e-mail bem-sucedida, ambos os computadores devem estar isando um cliente de e-mail compativel com a MAP! (Messaging Application Programming Interface ~ Interface de programacao de aplicativo de mensagem). Passport, ¢ ta Para utilizar 0 servigo Windows Messenger em sua conexio de Assisténcia remota, é preciso ter o nome de usuario Windows Messenger do assistente em sua lista de contatos, ¢ fazer a solicitacio de um cliente Windows Messenger. 0 Windows Messenger exibiré seu status como on-line ou offline. A Assisténcia remota s6 pode ser solicitada diretamente quando seu assistente estiver on-line, © Assistente remoto exige que ambos os computadores estejam executando 0 Windows XP ou um produto da familia Windows Server 2003. Nota Oindicador de status on-line da janela de ajuda da Assistencia remota nao ¢ dinami Co. Portanto, voce deve atualizar a tela para ter uma atualizacao exata do status. Apds receber uma solicitacdo de Assist@ncia remota, 0 auxiliar (especial s¢ remotamente a0 computador ¢ v Ao iniciar u aco de ajuda, © cliente da Assi grafado com base na Extensible Markup Language (XML) para o auxiliar, 0 qual recebe u prompt para aceitar 0 convite. 'a) pode conee- mente o problema. éneiat remota envia um tiquete cripto- alizar a tel ir diret para cor na solicBLED aia 66 Capitulo 2 Administranco © Microsoft Windows Server 2003 acesso as sessées de Assisténcia remota apenas para autoridades de confianga. Usando a Assisténcia Remota rio pode solicitar assist@ncia de outro ustsirio do Windows Messenger fazendo a solicitagio pelo aplicative Centro de ajuda ¢ suporte, ou diretamente pelo Windows Me Ambos os aplicativos utilizam os mesmos mecanismos para determinar se 0 espe »guica, fazem uma solicitagao de mncia. A Figura 2-7 ilustra Figura 2-7 Fazendo uma solicitacao de assisténcia remota, A jancla do Windows Messenger se abre ¢ 6 u! iona a conta Windows M do especialista, O expecialista recebe 0 convite como uma mensagem, © especialista clica em Aceitar, istencia remota solicitacao confirma a sessio cl Quando a conexao remota € ¢: putador do especialista. O especial de trabalho, as capacidades de tra meio da qual ek senger istantanea. Qu: iniciada, O usuario que fa ndo © 0 usuario podem compartilhar o controle da area de arquivos © uma janela de bate-papo por s trabalham juntos para solucionar o problema do usuario. SS Alerta de Segurangs Seo usubrio preferirenviar um email ou uma solicitape de arquivo para a Asistencia remote, uma senha soré exigida como um segrede compartihado para 8 cossde de Assisténcia remota. O usuétio deve defini uma serhade alte riveleinformar a0 especialista quo a senha segue em uma comunicagéo separada, come uma ligaglo te- lefonica ou emall seguro. Oferecendo Assistencia Remota a um Usuario A Asistencia remota ¢ particularmente titil quando voce deseja inickar a solucao de problemas no computador de um usuario, Para fazer isso, voce deve ativar a definigio Diretiva de grupo local para ofere« ncia remota no computador local (do usuario) de destino:BLED aia Ligdo 4: Utiizendo a Assisténcia Remota 67 1. No computador do usuario, clique em Iniciar, depois em Editor de objetos de diretiva de grupo los retivas que afetam a maquina loc cecutar ¢ digite gpedit.mse. -al aparece, pemitindo que voce ajuste as di- A | Nota Uma Diretiva de grupo de dominio pode impedir que voc8 ajuste esta diretiva, 2. No n6 Configuragio do computadl ma e clique em Asistencia remota. expand os Modelos administrativos, depois Siste- 3. Clique duas vezes em Oferecer assisténcia remota ¢, em seguida, sclecione Ativado, 4. A seguir, clique em Mostrar e depois espet sio para oferecer assist@ncia, atribuindo au: adicio 2 lista de “auxiliares” deve acontecer ares devem ser membros do grupo loc: ique 0s ustrarios individuais que terao permis res dentro do contexto dessa dirctiva. Essa it forma de dominio\nome de usuario e os. de administradores no computador local. ud Inicializando a Assisténcia Remota Agora & possivel (0, desde que as eredenciais que voce fomecer cc definido na Diretiva de grupo do computador local: iciar a Assisténcia remota entre seu computador ¢ 6 computador de um lam com aquelas de um 1. Abra 0 Centro de ajuda e suporte, clique no link Ferramentis e, em seguida, clique no link Ferramentas do Centro de ajuda ¢ suporte. A seguir, clique no link Oferecer assistencia remota, A Figura 2-8 ilustra a interface de Ferramentas do Centro de ajuda ¢ suport CO isk Preee ai se Oia ed Cerne | Ettemisomseencs || remamen aocenrece save wpore _—s Se a, clique em Conectar. (Se receber gon,s Ou iando uma m prompt dizendo que virios usu Jecione uma sesso de usuirio.) Em seguida, clique em I dio recebe uma cai io. de Assist pop-up mostrando que o encarregado do suporte esta ini- éncia remota. © usuario aceita © a Assisténcia ota pode continuaBLED aia 68 Capitulo 2 Administrando Microsoft Windows Server 2003 SI Aorta de Soguranga _Existom varias questes a sorem lovadas om conta 20 se gerenciar @ administrar a Assisténcia remota no ambiente corporativo ou em uma organizago de grande porte. Yoo’ pode especificar um ambiente aborto no qual os funcionérios podem ro: cover Assisténcia remota de fora do firewall corporativo, ou pode restringir a Assisténcia remota por meio da Diretiva de grupo © especificar diversos niveis de permissoes, como aponas permitir a Assisténcia romota do dentro do firewall corporativo. As conexdes de fora do frewall exigem que a porte 3389 esteja aborta. Restrigdes de Firewall a Assisténcia Remota A Assisténe que cla deve usar a mesma porta util éncia remota mio funciona quando h disso, existem varias outras questées relacionadas a firewall, part NAT (Network Address Translation ~ Conversio de enderecos de rede). remota ¢ executada sobre a tecnologia Servicos de terminal, 0 que significa ada pelos Servicos de terminal: a porta 3389. A As # A Asistencia remota suporta © Universal Plug and Play (UPAP) para os dispositivos NAT-T (Traverse Network Address T i versal). Isso 6 étil em redes XP com ICS (Intemnet Connection Sharing — Compartilhamento de conexao com a Inter net) suporta 0 UPHP, Entretanto, o Windows 2000 ICS ndo suporta 0 UPAP. ‘onversiio de enderegos de redes tra menores, de e: crit6rio doméstico, uma vez que 0 Windows Q Dica do Exame Observe as perguntas que usam o Windows 2000 ICS para dar assistén- cia remota de um suporte corporatvo grande para um esciitério satélite pequeno. Como 0 Windows 2000 ICS nao suporta 0 UPnP, os problemas de Assisténcia remota sé0 muitos. aA Assisiéncia remota detectard o endereco IP ¢ 0 ntimero de porta TCP no dispositive UPRP NAT ¢ inserira o endereco no tiquete criptografado ct Assisténcka remota. O endereco Internet IP € © ntimero de porta TCP serio utilizados por meio do dispositive NAT pelo auxiliar ou pela estacio de trabalho solicitante part estabelecer uma sessio de Assisténcia remota. Em seguida, a conexiio de Assisténcia remota serd encaminhada para © cliente pelo dispositivo NAT. aA Assisiéncia remota nao se conecta quando o solicitante esté atris de um dispositive nao UPaP NAT ¢ quando ¢ utilizado e-mail para enviar o arquivo de convite. Ao enviar um convite usando 0 Windows Messenger, um dispositive nao UPnP NAT fune um cliente estiveratnts de um dispositive NAT. Se tanto computador do auxil © computador do solicitante estiverem atray de dispositivos nao UPnP NAT, a cone? de Asistencia remota falhard. Se estiver usindo um firewall pessoal com base em software ou NAT em um ambiente home, € possivel usar a Assisténcia remota sem nenhuma configuracao especial. Entretanto, se estiver usando um firewall com base em hardware, as mesmas restricoes se aplicam: voce deve abrir a porta 3389 para usar a Assist@ncia remota, A Nota 0 proprio servico Instant Messenger depende da porta 1863 estar aberta.BLED aia Lido 4: Utiizendo a Assisténcia Remota 69 Pratica: Usando a Assisténcia Remota por meio do Windows Messenger Esta pritica exige um parceiro ou um segundo computador para estabelecer a sesso de As erver01 e o Server02 devem ter 0 Windows Messenge configurado com duas contas distintas. Se estiver limitado a um Gnico computador nesta pritica, voce poder estabclecer uma sessao de Assistencia remo utilizando duas contas do Windows Messenger configuradas no mesmo computador, mas nao poder executar 0 controle de tela. iencia remota. O $ stalado e 1. No Server02 (ou de outro computador) abra o Windows Messenger ¢ faca 0 logon em Messenger Account #2. 2, No Windows Messenger com logon como Messenger Account #1, selecione Pedi assi téncia remota no menu Acoes. Na caixa de didlogo Pedir assisténcia remota seguitla, clique em OK. selecione a Messenger Account #2 ¢, em 4. Agora haverd uma seqiiéncia de solicitacdes ¢ confirmacées entre os dois aplicativos Windows Messenger. Selecione Aceitar ou OK em cada consulta para estabeleces sao de Assisténcia remota. 5. Inicialmente, a sessio de Assisténcia remota est no modo de exibicio somente tel Para assumir 0 controle do computador de um iniciante, voc¢ deve selecionar Assumir controle no alto da janela Ass io iniciante deve Accitar sua tentativa de assumir 0 computador. a Mesmo que 0 especi uma 0 controle do computador do iniciante, de exibicao de tela, transferéncia de arquivos € bate-papo ao vivo estao ativadas, (encia remota. O us Nota Oiniciante ou o especialista podem encerrar 0 controle ou desconectar a sessao a qualquer momento, 15 opera Revisao da Ligao As seguintes perguntas destinam-se a reforcar as principais informacées apresentadas nesta liclo. Se voc? ndo conseguir responder alguma pergunta, revise as licoes € tente respon- dé-la novamente, Voce encontra as respostas para as perguntas na seco “Pergunt postas” no final deste capitulo, 1. Quais as semethancas entre a Assisténcia remota ¢ a Area de trabalho remota para admi- ACO? Quais sio as diferengas entre clas70 Capitulo 2 Administrando © Microsoft Windows Server 2003 2. Quaiis sto os beneficios da Assisténcia reme 3. Quais dos seguintes itens sio restrigdes de firewall relacionadas & Assisténcia remota? a. A porta estar aberta b. ANAT nao pode ser usada €. © Compartilhamento da conexio de Internet nao 6 possivel Nao € possivel usar @ Asistencia remota em uma Rede Virtual Privada (VPN) Resumo da Li¢ao A Assisténeia remota é um acordo mtituo: 0 usuario pode pedir ajuda a um especialista, se cla estiver adequadamente configurada por m ial pode iniciar uma sessio de ajuda, Em ambos os casos, 0 usuario deve concordar ativamente com 0 estabelecimento da sessio ¢ sempre pode conceder ¢ retirar do especialista 0 contro- Je sobre a sua Arca de trabalho. Fm nenhum momento o especiallsta pode assumir 0 controle sobre a firea de trabalho sem ser anunciado, A Assisténcia remota se basei: de terminal ¢ utiliza a interface do sistema de ajuda ¢ 0 Windows Messenger part permitir 0 inicio da sesso, bate-papo, visualizagio da tela, controle da tela © wansferéncia de arqu vos. A tecnologia dos Servicos de terminal ¢ da Assisténcia remota esta tao intimamente ligada que ambos os servigos usim a mesma porta de rede, 3389, a qual deve seraherta através de qualquer firewall para que a sessio de Assisténcia remota seja bem-sucedida. nos Servicos Exercicio de Cenario de Caso Como parte da Administragao remota de sua empresa, a Asistencia remota foi ativada em todos os computadores, Seus representantes de vendas viajam com freqiiéneia, ¢ utilizam laptops para executar scu trabalho enquanto viaiam. Em sua rede interna voc a 0 Windows Messenger para a comunicacio espontanca com seus clientes, ¢ para a Assist@ncia remota. Entretanto, voce nao permite o trifego do Instant Messenger pela Intemet fechando a porta 1863 do firewall Voce quer executar @ Assisténcia remota para seus usuarios remotos, 1 conectar a cles com 9 Windows Messenger para determinar se eles es nao consegui 0 online, A Assisténcia remota é possivel para seus ustiirios remotos? Neste caso, como yore realiza iso? Vocé deve utilizar um dos métodos alternativos de solicita¢éo de Assisténcia remota. = O método do e-mail Envie um email para o especialista por meio des Ferramentas de ajuda € suporte. Ao acessar 0 link do email 0 especialista pode estabelecer uma sessao de Assisténcia remota. ‘= Método do arquivo Crie um arquivo de Assisténcia remota por meio das Ferramentas de ajuda e suporte. Mande 0 arquivo por e-mail para o especialista ou peca para ele acessar 0 arquivo por meio de um ponto de compartithamento de arquivo. Ao acessar 0 link dentro do arquivo, 0 especialista estabelece uma sessao de Assisténcia remota.BLED aia Li¢do 4: Utiizendo a Assisténcia Remota 74 Para ambos os métocos recomendamos que voce crie uma senha para a sessdo de Assisténcia remota e dé ao especialista a senha de modo seguro, para que a sua sessao de Assisténcia remote nao seja acessada por uma pessoa nao autorizada, Laboratorio para Solugao de Problemas Voet esid tentando se conecir a um servidor Windows Server 2003 no seu ambiente com uma Conexao de area de trabalho remota, mas recebe sempre a mensagem da Figura 2-9 a0 tentar se conect er dd Arata toca eit ster ie permite oe C8 aga gn Heenan, Es] Figura 2.9. Mensegem de erro de logon ao se cone:ter ao console da Area de trabalho remota pera acministracao. Voet verificou as configuragoes do Servidor ¢ confirmou 0 seguinte: = Voce é membro do grupo de Ususrios da area de trabalho remota. 2 Voc@ nao é um membro do grupo Administradores. 4 Vooe pode se conectaraos pontos de comparithamento do computador Term © 0 computador responde afirmativamente a um ping. Qua para solucionar E provavel que o Terminal Server em questo seja um Controlador de dominio, e que a Diretiva do ‘grupo padrdo de controlador de dominio nao esteja ativada para permitir conexGes remotas por parte do grupo Usuarios administrativos remotos. A Diretiva de grupo local dos controladores de dominio proibe conexdes remotas que nao sejam de administradores e deve ser modificada. A maneira mais fécil de modificar a Diretiva local é substitui-la com uma mudanga na Diretiva de grupo do controlador de dominio padrao. sido as outras configura esse problema? 3 que vocé deve verificar no computador Terminal Seever Resumo do Capitulo = Os MMCs sao a interface de ferramenta de sistema comum do Windows Server 2003. ndividu; © Os snap-ins sao ferramentas que podem ser carregadas em um MMG # Alguns snap-ins podem ser usados para configurar computadores remotos; outros se li- mitam a um acesso a0 computador local 1» Os MMCs podem ser salvos nos modos de Autor (acesso completo) ou de usuario (ac so limitado). O modo de um MMC nito dé poder ou desabilita um usuario de fazer aquilo para © qual ele tem autorizacio ¢ acess por meio das configuracdes de permis: «A Area de trabalho remota para administrigio permite a mesma administrago de um servidor a partir de uma localizacao remota, como se ele estivesse com logon interativo no console local.72 Capitulo 2 Administranco © Microsoft Windows Server 2003 6m desta famil # A Area de trabalho remota para administracio, a de si disponivel apenas com 6 Windows XP. yema operacional, est a A Assisténcia remota é como a Area de trabalho remota par visualizagao ¢ © controle remotos na Windows XP. Iministracao, permitindo a rea de trabalho dos computadores que executam 0 = AAS (éncia remota também funciona em um servidor Windows Server 2003. = Dois ustdrios sio necessirios para que a Assisténcia remota seja vidvel: um usuirio na {rea de trabalho de destino ¢ oauxiliar espec m Out computador, Ambos devem concordar sobre as agoes de controle executadas durante a sessio, ¢ esta pode ser encer- quer parte a qualquer momento. Destaques do Exame Antes de realizar exame, revise os principais pontos ¢ termos que sto apresentados abaixo para ajudé-lo a identificar os t6picos que precisam ser revisados. Volte &s licdes para praticar mais ¢ revise as secdes “Outras leituras” da Parte 2 para obter indicadores de mais informacdes sobre os tpicos aborchidos pelos objetivos do exame. Pontos-Chave Os MMCs > os contéiners dos snap-ins. Os snap-ins podem ser usados no contexto local ou remoto, mas nao podem ser conectados simultaneamente aos computadores local ¢ remoto. © Oy snap-ins podem ser com administrativ: nados cm um Gnico console part adequarse a preferéncia « missGes, nao pelas = Os MMCs podem ser salvos no modo de Ust pacidade de executar tarefas cor Timitagoes impostas a dcterminado cons para adminisirar um computador, cle pode criar os jo para reste intas € deter gir sua configuracdo, m: nada pelas px e do MMC, Se um ustiirio tiver privilégio suficiente AMCs com qualquer snap-in, ram A Area de trabalho remota para administragao ©: cliente Area de trabalho remota. Como padrao, Administradores © permissdes para ser anexada ao Usuario nao estar disponivel sdrio. Voce studBLED aia 78 Capitulo 3 Contas de Usuério A .caixa de diélogo Novo objeto Usuario aparece, como mostra a Figura 3-1. A primeira pa gina da caixa de didlogo Novo objeto — Usuirio solicita as propriedades relacionad nome do usuirio. A Tabela 3-1 descreve as propriedades que aparecem na prime da caixa de diélogo. Figura 3-4 A caixa de dialogo Novo objeto - Usuario. Tabela 31 Propriedades de Usuario da Primeira Pégina da Caixa de Didlogo Novo objeto ~ Usuario Propriedade Nome tio. Ini ido nome do meio do usuario. Sobrenome Sobrenome do usuario, Nao necessirio. Nome completo Nome completo do usvidrio, Se voe@ inser valores para nome ou s0- brenome, a propriedade nome completo ¢ preenchida automaticamente, Entretanto, € possivel modificar facilmente © valor sugerido. O campo € necessaio, © nome inserido neste campo gera varias propriedades de objeto de usuario, especificamente CN (nome comum), DN (nome clistinto), nome nome para exibicao. Como CN deve ser exclusivo dentro de um cont ner, 0 nome inserido aqui deve ser exciusivo para todos os outros objelos ‘da OU (ou de outro cont@iner) no qual voce cria 0 objeto de usuario. Nome de logon © nome principal do usudrio (UPN, user principal name) consisie em do usuario, um nome dle logon ¢ um sufixo UPN que, como padrao, € 0 nome DNS. do dominio no qual o objeto € ctiado. A propiiedade € necessiria € todo © UPN, no formato nomelogon® UPN-sufixo, deve ser exclusivo deniro da floresta do Active Directory. Um exemplo de UPN seria al- guem@contoso.com. © UPN pode ser utilizado para fazer o logon em qualquer crosolt Windows que execute 0 Windows 20100, Windows XP ou Windows Server 2003. (continua)BLED aia Li¢do 1: Criando e Gerenciando os Objetos de Usuério 79 Tabela 31 Propriedades de Usuario da Primeira Pagina da Caixa de Didlogo Novo ‘bjeto ~ Usuario (continuacao) Propriedade Descrieao Nome de logon Fste nome de logon ¢ utilizado para fazer 0 logon de clientes de nivel do usuario (anterior inferior, como Microsoft Windows 95, Windows 98, Windows Millen- a0 Windows 2000) dows Me), Windows NT 4 ou Windows NT 3.51. Apés inserir os valores na pi gina da caixa de didlogo Novo objeto — Usuario, cli que em Avangar, A segunda pagina da caixa de didlogo, mostraca na Figura 3-2, per serir a senha de usuario ¢ definir os sinalizadores de conta, sl ‘ae Sete (a Bee oeneeeee- io 1 Drab pee sta sary Fontes apes 1 Gtaersse Figura 3-2 Segunda pagina da caixa de dialogo Novo objeto - Usuario. SI Alerta de Seguranca As divetivas padiBo de conta de um dominio de Windows Server 2003, defines no GPD, exigem senhas complevas que tenham no minmo sete earacte- res. Iso significa que una senha deve cnter res ce quatotipos de eaactores: mals Ios, minisculos, numéricos e sinbolos. Quando vece utiliza 0 Windows Sener 2003 em um ambiente e teste ou laboraterio, deve implementar as mesmas melhores prticas que s20 necessérias em uma ece de pro ducdo. Assim, neste livro, vocé deve utilizar senhas complexas para as contas de usuério que criar, e também deve lembré-las durante os exercicios que exigem que voeé faca 0 lo- ‘gon no lugar daqueles usuarios. ‘edades disponiveis na segunda pagina da caixa de © resumidas na Tabela 3-2. ogo Novo objeto — Us80 Capitulo 3 Contas de Usuério Tabela 32 Propriedades de Usuario da Segunda Pagina da Caixa de Didlogo Novo objeto — Usuario Propriedade Desericao Senha nha é mascaraca 4 medida que € digitada, Confirmar senha ‘Confirme a senha digitindo-a uma segunda vez para ter certeza que a digitou corretamente, © usuario deve alterar a senha no Selecione esta caixa de seleclo para que o usuario akere a pr6ximo logon senha que voce entrou quando ele fizer 6 primeino logon. N clecionar esta opgo se vocé tiverselecio- nado a opeio A senha nunca expira, A selecio desta op: ‘cio limpard automaticamente a op. ‘4 O usuario nao pode alterar a senha. © usuitio no pode alterar a senha Selecione esta caixa de selecdo se mais dle uma pessoa es- liver usando uma conta de usuirio no: mesmo domini como conta Convidado, ou para manter 0 controle ¢: dle contas de ususrios. Esta opcio normalmente & a gerenciar as conta, Voce nto pode 1 opeio se tiver selecionado © usuirio deve snha no proximo logon, eahas de Asenha nunca ex Selecione esta caixa de selegao se quiser que a senha nun- '4 opcdo limpara automaticamente 4 defini- sudrio deve alterar a senha no proximo logon, uma vez que elas sao matuamente exclusivas. Esta opeao normalmente é usida para gerenciar as senhas de contas de servic Selecione esta caixa de selegio para desativar a conta de Usudtio, por exemplo, ao criar um objeto para um funcio- nirio recém contratado que ainda no precisa ter acesso 2 rede. Recordando Ro.eriar objetos pare ususrios novos, selecione uma senha exclusiva ¢ complexa para cada usuario que nao siga um padr&o previsivel. Selecione a opc30 para forcar a mudanga da senha pelo usuério no proximo logon. Se 0 usudrio nao vei fazer logon na rede or um determinado tempo, desative a conta. Quando o usuario precisar acessar a rede pela primeira vez, verifique Se a conta de ususrio esta ativada. Ele deve receber uma men. sagem pare criar uma senha nova ¢ exclusiva que 66 ele conheca. Algumas opgdes de contas relacionadas na Tabela 3-2 tém 0 potencial de contradizer as configuragdes de diretivas de dominio. Por exemplo, a diretiva dle dominio padrio implementa a melhor pritica de desativar 0 armazenamento das senhas utilizando a criptografiaBLED aia Li¢do 1: Criando e Gerenciando os Objetos de Usuério 81 reversivel. Entretanto, nos casos raros que exigem a criptografia reversivel, a propriedade da conta de u inha usando a criptografia reversivel, tera precedéncia naquele objeto 1a, 0 dominio pode especificar um prazo maximo para a senha, ao fim do qual os usuarios devem 4 senha no proximo logor Se um objeto de usuario estiver configurado, essa senha n aquels configura diretivas do dominio, Gerenciando os Objetos de Usuario com Usuarios e Computadores do Active Directory Ao criar um usuario, voce recebe um aviso para configura muns de usuario, incluindo nomes de logon e s portam varias propriedades adicionais que podem ser configuradas a qualquer momento usando Usudrios ¢ computadores do Active Directory. Essas propriedades facilitam a administracio e pesquisa de um objeto. maioria das propriedades co- nha. Entretanto, os objetos de usuario su: Para configurar as propriedades de um objeto de usuario, se © objeto, clique no menu Acao ¢, em seguida, selecione Propricdades. A caixa de didlogo Propticdades do usuario aparece, como mostra a Figura 3-3. Uma altemativa para visualizar as propriedades de objeto 6 clicar com 0 botto direito do mouse e selecionar Proprieckdes no menu de atalho. a3 Dicogem | “Asibicete | ‘Sensties 1 Corweleremio | Pesfide wervigas deteminal | COMs Geol | Enitiecn | Corta| Pert | Telsones| OrvarizxcSo] Mentrod € 2 tow a Ce emopusetita: [Beat aap enero: Dees! 2 Yee [i oo (aire Ehemsdsves [in| Figura 3-3 A caixa de didlogo Propriedades do usuario. edacles divi- As paginas de propriedades da caixa de didlogo Propriedades expoem as propr didas em varias categorias amplas: 1» Propriedades de conta: guia Conta | configuradas qu: nha ¢ os sinalizadores de conta s propriedades incluem aquel no voce era um objeto de usu que \cluindo os nomes de logon,BLED aia 82 Capitulo 3 Contas de Usuério 1 Informagdes pessoais: as guias Geral, Endereco, Telefones ¢ Organizacio A guia Geral mostra as propriedades de nome que sio configuradas quando voeé cria um obje to de usu: 1 Gerenciamento da configuracio de usuario: guia Perfil Aqui voce pode configurar ocaminho do perfil de usuario, o script de logon eas localizagdes das pastas base. 1 Membros de grupo: a guia Membro de _Vocé pode adicionar ou remover grupos de ususirios, bem como definir o grupo primdrio do usuario. = Servigos de terminal: as guias Perfil de servicos de terminal, Ambiente, Controle remoto € Sessbes Estas quatro guias permitem configurar ¢ gerenciar a experi@ncia dos usurios quando eles estiverem conectadas a uma sessio dos Servicos dle terminal. © Acesso remoto: a guia Discagem Permite ativar ¢ configurar a permissao de acesso remoto de um usuario, 1 Aplicagdes: a guia COM+ Atribui conjuntos de particOes Active Directory COM* 40 usudirio. Este recurso é novo no Windows Server 2003 ¢ facilita o gerenciamento das apli- cages distribuidas. Proptiedades de Conta As propricdades de conta do usuario da guia Conta na caixa de didlogo Propriedades do usudrio sto particularmente importantes. Um exemplo € mostraco na Figura 3-4 com ax Cauceento | Peatvenzsdetiind | OMe Design| bite | Sees Ge | rose Cats | ret | Tess | Oso] Merb one de tgondo zi: [eeooiacen 2 None de gondii Jr 0 Widows 20) [enrosny [chee rio debpoa, | Fos! pn en F coiasons pte core TO vasindewe star a erro io kaon TO uabionsopede ahr atria Chtebe nncsees maser ec ee Verto con © tigen © topiteee [ont am tam wae =) Figura 3.4 A guia Conta em Propriedades do usuario. 3 dessas propriedades foram discutidas na Tabela 3-2. Blas foram configuradas na et (Ao do objeto de usuario © podem ser modificadas, assim como conjuntos maiores de pro~BLED aia Lido 1: Criando e Gerenciando os Objetos de Usuério 83 priedades de conta, util auto-explicativas ¢ merecem ser definidas pela indo a guia Conta, Varias propriedades nao fabela 3-3. amente Tabela 33 Propriedades da Conta de Ususrio Propriedade Deserigao Horirio de logon Clique em Horirio de logon para configurar © horitio no: qual um usuario pode fazer o logon na rede, Fazet logon em Clique em Fazer logon em se quiserlimitar as estacdes de trabalho as quais 0 usudrio pode fazer o logon, Isso é chamado de Restricdes do computador em outras partes da interface do usuirio. F preciso ter © NetBIOS no TCP/P ativaclo para que este ree! os, porque ele ut nome do computador, em ver de usar6 endereco MAC (Me= dia Access Control ~ Controle de acesso 3 midia) de sua pla a de rede, para restringir 0 logon. Armazene se criptografia reve Esta opedo, que amazena a senha no Active Directory usar 6 poderoso algoritmo para 0 valor hash de eriptograf nao-reversivel do Active Directory, existe para dar suporte a aplicativos que exigem conhecimento da senha do ust Caso nio seja absolutamente necessirio, nao ative esta op- io porque ela enfraquece significativamente a seguranca senha. As senhas armazenadas com a eriptografia reversivel sdo semelhantes aiquelas que so armazenadas em texto sem. formatacdo. Os clientes Macintosh que utilizam 0 protocolo AppleTalk preeisam ter conhecimento da senha do usudtio. Se um usudrio faz logon utilizando um cliente Macintosh, ‘voce precisa selecionar a opeao Armazene senha com cripxo- grafia reversivel, Cartio inteligente ne (Os cartbes inteligentes sio dispositivos de hardware ponditeis para logon interativo. € resistontes que armazenam as informacdes exclusivas de Bles sio anexaclos ou inseridos em um sistema c fornecem um componente adicional de ficagao fisica para © processo de autenticagio. ‘A conta € confiivel para Esta opcio ativa uma conta de servigo para representar um) delegacio usuario ao acessar os recursos de rede em seu nome. Esia op- 20 em geral nao éselecionada, pelo menos nao para um objeto de ususrio que representa um ser humano. Fla é usada com mais freqiiéncia para contas de servico em infrasestrutt ras de aplicativo de trés camadas (ou de varias camadas). ‘Vencimento da conta Utilize os controles Vencimento da conta para especificar a data de vencimento de uma conta. Gerenciando Propriedades Simultaneamente em Varias Contas © Windows Server 2003 permite modificar a multancamente. Basta selecionar varios objetos de u propriedades de varias contas de usuitrio si- , prendendo a tecla CTRL aoBLED aia 84 Capitulo 3 Contas de Usuério sisquer outras opcOes de multiselecio. Verifique se selecio jasse, como Usuiirios. Apés fazer a multisclecio, sclecione clicar em cada usuario ou usar q now apenas os objetos de uma cl Propriedades no menu A Quando voeé tiver selecionado varios objetos de usuiirio, um subconjunto de propriedades 1 disponivel para modificacio. = Guia Geral Descrigao, = GuiaConta Sufixo UPN, Horirio do logon, Restricées do computador (estacdes de trabalho de logon), todas as Opgoes de conta, Vencimento dat conta. |, Cidade, Estado, (rio, Telefone, , Pagina da Web, E-mail = Enderego Rua, Caixa Po: P, Pais/Regi = Perfil, Caminho do perfil, S = Organizaco Titulo, Departamento, Empresa, Gerente. ‘cript de logon e Pasta base. ficades para diversos usuarios. Os cenérios de exame que sugerem anezessidade de mudar muitas propriedades de objetos de usuario 0 mais rapido possivel, com freqiénoia esto testando sua compreensao da multiselecdo. Existem muitas propriedades que devem ser definidas para cada usuario. Da mesma forma, determinadas tarefas administrativas, incluindo a redefini¢ao das senhas e a reno- | meacao das contas, sé podem ser executadas em um objeto de usuario de cada vez. Q Dica_Verifique se sabe quais so as propriedades cue podem ser simultaneamente modi- Movendo um Usuario Quando um usuirio é transferide dentro de uma organi seu objeto de usuario para refletira mudanca nat admi Para mover um objeto em Usudrios ¢ computadores do Active Directory, selecione 0 objeto €, no menu Agao, sclecione Mover, Alternativamente, voce pode clicar com 0 botao direito do mouse no objeto ¢ selecionar Mover no menu de atalho. =~ | CQ] _| dics. um now recurso do Windows Sewer 2008 & 0 suporte as eperagées de arrastar @ soltar. Vocé pode mover os objetos entre as OUls, arastando e soltandeos no snap-in Usuatios e computadores do Active Directory Pratica: Criando e Gerenciando os Objetos de Usuario Nesta pritica voct criard tré: rio, Fm seguida, modificara as propriedades daqueles objetos. objetos de u Exercicio 1: Crie Objetos de Usuarios 1. 2, Abra Usuarios ¢ computadores do Active Directory. aca logon no Server0l como administrador.BLED aia Li¢do 1: Criando e Gerenciando os Objetos de Usuério 85 3. Crie uma OU chamada “Funcionérios". Em seguida, selecione a OU Funcioniirios. 4, Crie uma conta de usuério com as seguintes informagdes ¢ certifique-se de estar usando ma senha forte: Nome da caixa de texto Tipo Nome Dan Sobrenome Holme Nome de logon do usurio Dan.Holme Nome de logon do usudrio (antes do Windows 2000) Dholme 5. Grie um segundo objeto de usuario com estas propricdade: Propriedade Tipo Nome Hank Sobrenome Carbeck Nome de logon do usuario Hank.Carbeck Nome de logon do usudrio (antes do Windows 2000) Hearbeck 6. Crie um objeto de usuario para si mesmo, seguindo as mesmas convengdes para nomes de logon de ust ‘rio dos dois primeiros objetos. Exercicio 2: Modificar as Propriedades do Objeto de Usuario 1. Abra a caixa de didlogo Propri dades do seu objeto de usuario, 2. Configure as propriedades apropriadas do seu objeto de usuario nas guias Gi rego, Perfil, Telefones ¢ Organizacao. .E 3. Examine as mude nenhuma outra propr ades asso dade. Jas ao seu objeto de ust jo, mas ainda 4, Ao terminar, clique em OK. Exercicio 3: Modificar as Varias Propriedades do Objeto de Usuario 1. Abra Usuarios ¢ computadores do Active Directory ¢ navegue até-a OU Funciondrios de Contoso.com, Selecione a OU Funcionarios no painel de arvore, 0 qual listar’ os obje~ tos de usuirio que vocé criou no Exercicio 1 do painel de detalhes. 2. Clique no objeto de usuario Dan Holme. 3. Mantenha a teclt CTRL pressionada ¢ clique no objeto de usuiirio Hank Carbeck. 4. Clique no menu A\ > ¢, em seguida, em Propricdades. 5. Observe as diferencas entre a: dilogo com propriedades ma propriedades que ¢sta0 no as modifique. <1 de didlogo Propriedades deste exercicio ¢ a caixa de completas que voce explorou no Exercicio 2. Exami ~oniveis quando varios objetos esto sclecionados, mas ainda86 Capitulo 3 Contas de Usuério 6. Configure as seguintes propriedades para os dois objetos de usuitio: Pagina de Propriedades —_Propriediade Tipo Geral Descrigio Ensinou tudo que eu precisava saber sobre o Windows Server 2003 Geral Niimero do tlefone 425) 555.0175 Geral Pigina da Web hutp//www.micresoft.com/mspress/ Endengo Rua ‘One Microsoft Way Endereco Redmond Enderego Washington Enderego 98052 ‘Organizacao, Titulo Autor Organizacio. Empresa Microsoft Press 7. Clique em OK ao terminar de configurar as propricdades. 8. Abra as propriedades do objeto Dan Holme. rapa 6 aplie: 0 objeto, Ao 10. 11, Mantenha a tecla CTRL pressionade ¢ clique no objeto de nto menu A¢ iio Hank Carbeck, Clique 12. Observe que o comando Redefinir senha nao est disponivel quando voce seleciona mais de um objeto de usudrio. Quais outros comandos nao estao disponiveis pa multi-selecio? Experimente selecionar um usuario, abrir 0 menu Acao ¢, em seguida, jonar dois usuarios ¢ abrir o menu Acao. Revisao da Ligao As perguntas seguint informacoes chave apresentadas nesta licao. Caso nao consiga responder uma pergunta, revise o material da licio ¢ tente respondé-la novamente, {AS respostas encontram-se na secio “Penguntas ¢ Respostas” no final do capitulo. 1. Voce esté usando Usuarios ¢ computadores do Acti de usuario em seu dominio, ¢ pode mudar as proprict lefone do objeto de usuario que representa vocé mesmo. voc’. Qual é a explic ¢ Directory para configurar objeto ades de endereco e ntimero de t Entretanto, 0 comando Novo 10 mais proviivel? > Usuiirio nao esta disponivel 2. Voce esta criando va da sua empress. esti programado jos objetos de usuario para uma equipe de funcionarios temporirios s trabalhario diariamente das 9 4s 17 horas, com um contrato que ara comecar em um mes ¢ terminar dois meses depois. Eles ndo traba-BLED aia Li¢do 2: Criando Objetos para Varios Usuarios 87 Ihario fora desse cronograma, Quais das seguintes propriedades para os objetos devem ser configuradas inicialmente para garantir 0 maximo de seguranga? a. Senha b. Horatio de logon ‘e. Vencimento da conta 4. Armazene senha com criptografia reversivel €. A conta é confiével para delegacto £. O usuirio deve BA conta estd desativada h, A senha nunca expira 3. Quais das seguintes propriedades e tarefas administrativas podem ser configuradas ou executadas simultancamente em mais de um objeto de usuaric? Iterar a senha no proximo logon a. Sobrenome b. Nome de logon do u e. Desativar conta d. Ativar conta €. Redefinir senha f. A senha nunca expira BO usuario deve alterar a senha no pr6: hh. Horatio de logon i. Restrigdes do computador (estacdes de trabalho de logon) no logon j. Titulo Kk, Direcionar relatrios Resumo da Li¢ao a Vocé deve ser membro dos grupos Admini nio ou Operadores de Conta, ou deve ter recebido permissoes admin objetos de ustiirio, trativas para criar 2 Os objetos de usuario incluem as propricdades que geralmente sto associadas a uma “conta” de usuario, incluindo nomes de logon, senha ¢ SID exclusivo do usuario. = Os objetos de usudrio também waclas aos individuos que cles cepresentam, inclu Ligéo 2: Criando Objetos para Varios Usuarios Eventua 4tios objetos de usurio rapi mente, sungem situagdes que ¢ mente, como u we nova de alunos recém-chegados a uma escolt ou um grupo de no- Yos coniratados em uma organizagio. Nessas situacdes voce deve saber como facilitar ou automatizar a criagao de objetos de usuario de forma eficaz, para nao realizar a tarefa conta na clBLED aia 88 Capitulo 3 Contas de Usuério a.conta, Na Ligdo 1 vocé aprendeu como er computadores do Active Directory. Esta lic io de objetos de ust iF € gerenciar objetos de usuirio com Usuirios e Jo estende esses conccitos, capacidades ¢ ferra- de objetos modelo, objetos im- ‘Ap6s esta licao, voce estara apto a = Criare utilizar 0s modelos de objeto de usuario = Importar 0s obdjetos de usuério de arquivos delimitades por virgula = Aproveitar as novas ferramentas de linha de comando paracriar e gerenciar objetos de usuario ‘Tempo estimado da ligdo: 15 minutos Criando e Utilizando os Modelos de Objeto de Usuario £ comum 05 objetos compantilharem propricdades similares. Por exemplo, todos os repr sentantes de vendas podem pertencer aos mesmos grupos de seguranca, ttm permissao pata fazer 0 logon na rede nos mesmos horarios ¢ tém algumas pastas ¢ arquivos méveis no mesmo servidor. Nesses casos, é ttil criar um objeto de usuario para que aquele objeto jd esteja preenchido com as propriedades comuns. Isso pode ser feito criando um objeto de dirio genérico — qu mado de modelo — © depois copiando aquele objeto para criar novos usu Para gertr um modelo de usuario, crie um ustiirio ¢ preencha suas propriedades, Coloque 0 do. vudrio no grupo apropr &) Para criar um usuario com base no modelo, selecione o modelo ¢ clique em Copiar no menu Acio. Serio solicitadas propriedades semelhantes iquelas que vocd deve inserir para F um NOVO usudirio: nome € sobrenome, iniciais, nomes de logon, senha e opgdes de conta, Quando 0 objeto € criado, veja que as propriedades foram copiackts do modelo, com base na seguinte descricao da pagina de propricdades: Alerta de Seguranga _Certifique-se de desativar o usuario, porque ele € apenas um modelo, garantindo que a conta nao seja usada para acesso aos recursos da rede. = Geral Nenhuma propricdade copiada. = Endereco Todas as propriedades, exceto Rua, sto copiadas. = Conta ‘Todas as propriedades sao copiadas, exceto os nomes de logon, os quai vem ser inseridos ao copiar 0 modelo. = Perfil Todas as propricdades sto copiadas, ¢ os caminhos do perfil e da pasta base S20 modificados para refletir o nome de logon do novo usuario. = Telefones Nenhuma propriedade copiaca. a OrganizagAo Todas as propriedades Sto copiadas, exceto Titulo. = Membro de Todas as propriedades sao copiadasBLED aia Li¢do 2: Criando Objetos para Varios Usuarios 89 1 Discagem, Ambiente, Sessdes, Controle remoto, Perfil de servicos de terminal, COM+ Nenhuma propriedade copiada Q)_ | mtr ene te gots ce ip enn aos 2 rim ane te ap sina Past, es persesten ee auton cuca eo Rises acter toe ede net euee Creare we emmatecsias al tos atribuidos diretamente ao objeto de usuario modelo ndo S30 copiados ou ajustados, de [ecard nee Lounr ace nsec fon ernioe Importando os Objetos de Usuario Usando o CSVDE rio de linha de comando que permite importar ou exportar os objetos do Active Directory de (ou para) um arquivo de texto delimitado por virgulas Gambém conhecido como arquivo de formato de valor separado por virgulis) que, obviamente, 6 um formato comum ¢ facilmente lido no Bloco de notus ou no Microsoft Excel. O comando é um modo poderoso de gerar es objetos rapidamente. A sintaxe bisica do comando é esvde Lf NomeDoarguivo| -k} Especifica o modo de i )portaco. Cas > nlio seja especificado, © modo padrio ¢ exportar. -f NomeDoArguivo : Identifica 0 nome do arquivo de importacio. -k :Ignora os erros, incluindo “o objeto fa e “violacao de restrigao” e “atributo ou valor jf existe” durante a operacdo de importacdo © continua © processamento, © arquivo de importagio em si é um arquivo de texto delimitado por virgulas C.csv ou ‘xD, no qual primeira linha uma lista de nomes de atributos LDAP para Os atributos importados, seguida por uma linha para cada objeto. Cada objeto deve conter exatamente os atributos listados na primeira linha. A seguir um arquivo de exemplo: DN objectClass ,sAMAccountName, sn,gi venllame userPrincipaiNane "CN=Scott Bishop,0UFunciondrios, DC=contoso,0C=con", user, sbishop, Bishop, Scott, scott .bishopéconteso..com Esse arquivo, quando importado, cria um objeto de usuario na OU Funciondrios chamado Scott Bishop. O nome de logon, nome ¢ sobrenome sao configurados pelo arquivo. O obje- to estard inicialmente desativado, Apds redefinir a senha, voce pode ativar 0 objeto, @ Consulte Também Para obter outras informagdes sobre 0 poderoso comande CSVDE, in: cluindo detalhes reletivos a seus pardmetros e uso para exportar objetos de diretério, abra | 0 Centro de sjuda e suporte do Windows Server 2003, 0 comando LDIFDE, também abordado com detalhes pelo Centro de ajuda e suporte, permite importar e exportar conta usando formatos LOAP. Este comando e sua estrutura de erquivos nem de longe 6 tae intul tivo pare 03 administradores quanto 0 arquivo delimitado por virgulas suportado pelo CSVbE.BLED aia 90 Capitulo 3 Contas de Usuério Utilizando as Ferramentas de Linha de Comando do Active Directory O Windows Server 2003 suporta varias ferramentas poderosas de linha de comando para fe cilitar 0 gerenciamento do Active Directory. A seguir temos uma lista ¢ uma breve descricio de cada ferrament = DSADD Adiciona objetos ao diret6rio, 2 DSGET Exibe Cobtem’) as propricdades dos objetos do diretorio. = DSMOD Modifies os atributos de selegao de um objeto existente no diret6: = DSMOVE Move um objeto de seu coniéiner atual para uma nova localizacio. 2 DSRM Remove um objeto, a sub arvore completa abaixo de um odjeto, ou ambos. especifico de pesquisa no dle objetos, o> = DSQUERY Consulta objetos que coincidem com um erité Active Directory. Este coma quais sao enviados em pipe para gi nha de comando. ilo quase sempre € usado para criar ume Tis enciamento ou modificacao pelas ferramentas de lisas ferramentas utilizam um ou mais dos seguintes Componentes em suas chaves de linha de comando: = Tipo de objeto de destino Um dentre um conjunto predefinido de valores que corr lacionam-se @ uma classe de objetos no Active Directory. Os exemplos comuns inclu computador, usuario, OU, grupo e servidor (com o significado de controkador de dominio). = Identidade do objeto de destino © nome distinto (DN) do objeto no qual 6 comando ext4 executando. © DN de um objeto € um atributo de cada objeto que representa o nome €a localizacao do objeto dentro de uma floresta do Active Directory. Por exemplo, na Licdo 1, Exercicio 1 voce criou um objeto de usuiirio com 0 seguinte nome distinto: CN=Dan Holme, OU=Funcionirios, DC=Contoso, DC=com Nota Ao usar os DNs om um parémetro de comando, inclua © nome entre aspas quando ele incluir espacos. Se um subcomponente do nome distinto incluir uma barra invertida ou uma virgula, conculte 0 t6pico da ajuda on-line correspondent. @ Server Voce pode especificar © controlador de dominio no qual deseja executar 0 comando. = User Voce pode especificar um nome de usuario © uma senha com os quais 0 commando sera executado, Isto € titil quando voce tem logon com credenc vas ¢ deseja iniciar 0 comando com credenciais elevadas.BLED aia Li¢do 2: Criando Objetos para Varios Usuarios 94. Ale chaves ¢ 0s pardmetros nao fazem disting’o entre maitiscula podem ter como prefixo um trago C-") ow uma barra / Consulte Também Esta ligdo se concentra nos comandos ¢ pardmetros mais usados, © no uso desses comancos com 0s objetos de usuario. Para obter outras informagées com. relagdo 6 esses utilitérios, incluindo a lista completa de parametros accitos, abrao Centro, de ajuda e suporte, pesquise a frase “ferramentas de linha de comando” procure por Ge- renciando 0 servigo de dirstérios do Active Directory, colocando a frase entre espas. An6S clicar om Pesquisar, vooe vers a Referéncia da linha de comando na lista de Tépices da aju da, abaixo de Resultados da pesquisa. DSQUERY O comando DSQUERY consulta objetos qu érios no Active Directory. A sintaxe basi coincidem com um conjunto especifico de eri do comando é: dsquery tipo_objeto [{NéInicial | forestroot | domainroot}] [-0 {dn | rdn | samid}] [-scope {subtree | onelevel | base}] [-nane None] [-desc Descricao] [-upn UPN] [-samid NoneSAM] [-inactive NimeroDeSenanas] [-stalepud NimeroDeDias] [-disabled] [{-s Servidor | -d Dominio} [-u NomeDoUsuario] [-p (Senha | *}] QQ) [pies semis ae qe ste comanco com eqiisa ser sao para geraruma stage pel pipe de sats ora segnde comarde Pr exn, a segue cneta ob Je a ausneeurnome coraran cam “Dano Reve Grete, a0 pe acon te davecutados par DSMOD, ual decatva cade jet o cont io oss dsquery user name Dan* | dsmod user disabled yes Os outros utilitarios aceitam os DNs como entrada, que também 6 otipo de saida padro. Os pardmetros basicos estao resumidos na Tabela 3-4. Tabela 3-4 Parametros para o Comando DSQUERY Parametro Descricao Escopo da consulta tipo_objeto Necessirio. O tipo de objeto representa a(s) classe(s) de objeto que serd(Go) pesquisada(s), © tipo de objeto pode incluircomputador, grupo, OU, servidor, usuiirio ou 0 ca- actere curinga “*" para representar qualquer classe de objeto. Esta ligio xe concentra no uso do comand para consullar 6 tipo de cbjeto de usuatio. (continua)92 Capitulo 3 Contas de Usuério Tabela 34 Parametros para o Comando DSQUERY (continuacao) Parametro Descrica (omnicial forestroot | domainroot) -scope [subtree | onelevel | base} ara 15 (Nlnica. Se Forestroot for espeeificad, a psa executada usando © catalogo global. O valor p: domainroot ecifica © escopo da pesquisa. Um valor de sub-drvore inclica que 0 escopo é uma sub-arvore com raiz no 16 ini- Gal. Um valor de um nivel indica apenas o filho imediato do n6 inicial. Um valor de base indica © tinico objeto representado pelo n6 inicial, Se forestroot for especificado como Nélnicial, sub-irvore 6 0 Ginico escopo vilido. a ce sub-drvore Como padrio, e escopo de pesc zado. Como exibir 0 conjunto de resultados 0 {dln, edn, sami} Critérios da pesquisa -name Nome -dese Deserico -upn UPN mid NomesAM tive MimeroDeSemanas -xalepwd NimeroDeDias -disabled Fspecifica © formato d tracas encontradas. Um valor dn exibe 0 nome distinto de cada entrada. Um valorrda exibe © nome distinto rela- tivo de cada entrada, Um valor samid exibe 0 nome da conta Security Accounts Manager (SAM) de caula entrada, Como padrao, 0 formato dn € utilizado. Pesquisa 0s usuarios cujos atributos de nome (valor do, atributo GN) coincicem com Nome, Vor pode usar caracteres curinga. Por exemplo, “jon*” ou ‘ith’ ou ainda sith" Pesquisa os usuarios cujo atributo de deserigao coincide com Descrigdo. Voce pode usar caracteres curinga, Pesquisa 0s usuarios cujo atributo de UPN coincide com UPN, Pesquisa 0s usuarios cujo nome de conta SAM coincide com NomeSAM. Voce pode usar caracteres curinga. Pesquisa todos 0s usudsios que estiveram inativos (para- los) pelo ntimero especificado de sem: Pesquisa todos os usu 10 mudaram suas se has pelo nimero especificado de dias, Pesquisa os usuarios cujas contas estao desativadas. Controlador de dominio e credenciais usadas para 0 comando bs Servidor | -< Dominio} ‘Conecta-se a um servidor remot ou dominio especificado. (continua)BLED aia Li¢do 2: Criando Objetos para Varios Usuarios 93, Tabela 3-4 Parameiros para o Comando DSQUERY (continuacéo) Parametro Descricao -v NomeDotsudrio Especifica o nome do usuario com 0 qual o gon em um servidor remoto. Como padrao, nome do usuario com 0 qual o usuiirio fer logon. Voce pode usar um dos seguintes formatos para especificar um nome do ususrio: = Nome do usttirio (por exemplo, Linda) = Dominio\nome do usuario (por exemplo, widgets\ linda) = UPN (por exemplo, Lindatwidgets.microsjt.com
NovoNome. A especificagao do nome distinto de um conteiner no parametro DNPaimove o objeto para aquele conteiner. ando seu nome distinto no pa novo nome comum no pardmet DSRM DSRM € usado para remover um objeto, dsrm DNObjeto ... [-subtree [-exclude]] [-noprompt] [-c] ua Subdrvore ou ambos, A sintaxe basica Ble supor 4 0s parimetros -s, -u¢ -p d ritos 1 seco sobre 0 DSQUERY. 0 Objeto ¢ especificado por seu nome distinto no parametro DNOLjero. A chave -subtree di- reciona © DSRM para remover o contetido do objeto se ele for um objeto de contéiner. A chave -exclude exclui o objeto em si, € 86 pode ser usada juntamente com -subtre cificacto de -subtree e -exclude, por exemplo, excluiria uma OU ¢ sua subarvore, m xaria OU intacta, Como padrao, sem as chaves subtree ow excluido, Um aviso pediré para vocé confirmar a exclusio de que © parmetro -noprompt. A chave -¢ coloca 0 DSRM no modo de operagao continua, no qual os erros so reportados, mas 0 comando continua o processamento dos objetos adicionais. Sem a chave -c, 0 processamento ¢ interrompido na ocorréncia do primeiro erro. a objeto, a menos que vos Pratica: Criando Varios Objetos de Usuario Nesta pritica, voce criaré e gerenciard objetos de usuario utilizando modelos ¢ ferramenta da linha de comando. Exercicio 1: Criar um Modelo de Usuario 1 ‘aca o logon em ServerO1 como administrador. 2, Abra Usuarios ¢ computadores do Active Directory. 3. Selecione a OU Funcionérios no painel de drvore. 4. Crie uma conta de usuario com as seguintes informacoe: Nome da Caixa de Texto Digite Nome Modelo Sobrenome Representante de VendasBLED aia Li¢do 2: Criando Objetos para Varios Usuarios 97. Nome da Caixa de Texto Digite Nome de logon do usuario Modelo.Repr.Vendas Nome de logon do usuario (antes do Windows 2000) Medeloreprvendas 5. Clique em Avangai 6. Sclecione Conta desativada. Clique em Avancar. 7. A pagina de resumo € exibida, Clique em Concluir, Bg Nota Como foi mencionado na seeao “Antes de Comecar” deste capitulo, voo8 deve criar lum grupo na OU Grupos de seguranga chamado Representantes de Vendas. Se vooé nao criou esse grupo, faca isso agora. Configure um grupo de seguranga global como nome Re- presentantes de Vendes. 8. Abra as propriedades do objeto Modelo de Representante de Vendas, 9. Configure as seguintes propriedades para o modelo de conta: Guia Propriedade Valor Membro de Membro de Representantes cle Vendas Conta Horatio de logon, Segunda a sexta, 9:00-17:00 horas, Conta ‘Vencimento ‘Tres m partir da data atual Organizaga0 Emprest Contoso Perfil caminho do perfil \\Server1\Profiles\96lisername% 10. Clique em OK quando terminar de configurar as propriedades de conta. Exercicio 2: Criar Usuarios Copiando um Modelo de Usuario 1. Selecion 1 OU Funcionatios no painel de arvore. 2, Selecione 0 objeto Modelo de Representante de Vendas. 3. Clique no menu Agdo ¢, em seguida, em Copiar, 4, Crie uma conta nova de usuario com as seguintes informacoes Nome da Caixa de Texto Inserir Nome Scott Sobrenome Bishop Nome de logon do usuario Scott.Bishop Nome de logon do usuario (antes do Windows 2000) Sbishop Conta desativada ‘Tire a marca de selecioBLED aia 98 Capitulo 3 Contas de Usuério Nome da Caixa de Texto Inserir Senha/Confirmar senha Digite € confirme uma senha complexa, como foi deserito anteriormente ni te capitulo. 5. Clique em Avangar ¢, em seguida, em Concluir, 6. Abra as propricdades do objeto Scott Bishop. 7. Confirme se as informagdes configuradas para 0 modelo nas igi , Conta ¢ Organizago forum aplicadas 20 novo objeto. de propriedades Membro di 8. Como voce usard essa conta em outros exercicios deste capitulo, redefina duas propri dades. Na guia Conta, defina a opclo Vencimento da conta como Nunca ¢ defina Hori rio de logon para que o logon sej permitide em qualquer horirio, Exercicio 3: Importe Objetos de Usuario Usando o CSVDE 1. Abra o Bloco de notas. -guintes com cuidado, criando 3 linhas de texto: 2. Digite as informa DN, objectClass, sAMAccountNane, sn,gi venllane, userPrinci pal Name "CN=Danielle Tiedt, 0U=Funcionarios ,DC=contoso,DC=com",user, dtiedt, Tiedt ,Danielle,danielle.tiedt@contoso.con "CN=Lorrin Smith-Bates,QU=Funcionérios, DC=contoso,DC=con" ,user,1sni thbates ,Smith-Ba- tes,Lorrin, lorrin.sni thbates@contoso.com 3. Salve 0 arquivo como “C:\USERS.CSY” verificando se colocott o nome do arquivo enti ispas. Sem as aspas, o «arquivo seria salvo como C:\USERS.CSV.TXT. 4. Abra a linha de comando em Iniciar > Acessdrios > Prompt de comando € digite 0 seguinte comando: esvde -i -f c:\users.csv 5. Sea saida do comando confirmar a conclusio do comando com sucesso, abra Usuarios € computadores do Active Directory patra confirmar se os objetos foram crkadlos. Se a said do comando sugerir que houve erros, abra 0 arquivo USERS.CSV no Bloco de notas © cortiia 0s eros. 6. Voce fara o logon como esses ususirios mals turde. Como os usuirios foram importados, sem as senhas, voce deve redefini-las, Apds « configuracao das senhas, ative as con Os comandos Redefinir senha e Ativar conta podem ser encontrados nos menus de at Iho Acio ou Objetos. 7. Caso tenha acesso a um aplicativo que possa abrir arquivos de texto delimitados por v gulas, como o Microsoft Excel, abra C:\USERS.CSV, Vocé poder interpretar sua estrutura mais facilmente em uma exibicio de colunas do que na exibicao de texto em linha tinica delimitada por virgulas do Bloco de notas.BLED aia Li¢do 2: Criando Objetos para Varios Usuarios 99 Exercicio 4: Utilize as Ferramentas de Linha de Comando do Active Directory 1. Abra Executar e digite 0 seguinte comando: dsquery user “OU-Funcionarios, DC=Contoso,DC-Com” -stalepwd 7 2, O comando que encontra os objetos de usuario que nio mudaram sua senha em sete dias deve listar, no minimo, os objetos que vocé criou nos exereicios 1 ¢ 2. C: guida, execute a etapa Zaso contri Kirio ©, em se; rio, erie um ou dois noves objetos de us ER: Digite os dsquery user “OU=Funcionarios, DC user -mustchpwd yes © comando utilizou os resultados cle DSQUERY como entrada para 0 comando DSMOD. © Comando DSMOD configurou a opgao “O usuario deve modificar a senha no proximo logon’ para cada objeto, Confirme seu sucesso examinando a guia Conta dos objetosafetados, eguinte comando € pression ENT -Contoso,DC=Com” -stalepwd 7 | dsmod Revisao da Ligao As seguintes perguntas destinam-se a reforcar informacoes apresentadas nesta liglo. Se vocé nio conseguir responder uma pergunta, revise o material da liglo € tente re pondé-la novamente, Voc? encontra as respostas na seco “Perguntas ¢ Respostas” no final deste tuo, ida um deles com , Titulo, Pagina da 1. Qual opeio sera mais Gil para gerar 100 novos objetos de usuirio, definigdes idénticas para caminho de perfil, caminho de p: Web, Empresa, Departamento ¢ Gerente? Qual ferramenta permite identificar as contas que nao sao utilizadas hi dois meses? a. DSADD b. DSGET . DSMOD d. DSRM e 3. Qual varidvel pode ser usada com os comandos DSMOD e¢ DSADD para criar pastas base € pastas de perfil espeeificas do usuirio? a, YolserNamen Bb. SUserNames ©. CN=NomeboUsuario dd. udtios de 4. Quais ferramentas permitem dar saicla aos ntimeros de telefone de todos os ma OU? a. DSADD400 Capitulo 3. Contas de Usuario b. DSGET ¢. DSMOD. d. DSR €. DSQUERY Resumo da Ligao = Um moalcio de objeto de usuario ¢ um objeto que ¢ copia para produzit novos usu ‘6 modelo , cle deve ser desativado, Apenas um subconjunto das propriedades de usuirio ¢ copiado para os modelos. = Ocomando CSVDE permite mitado por virgulas. nportar os objetos de diretério de um arquivo de texto deli- a O Windows Server 2003 suporta novas © poderosis ferramentas de linha de comando para criar, gerenciar ¢ excluir objetos de diretério: DSQUERY, DSGET, DSADD, DSMOVE, DSMOD ¢ DSRM. Com freqiéncia, DSQUERY produ um conjunto de resultados de objetos que é inserido em outros comandos por meio de pipe. Ligao 3: Gerenciando Perfis de Usuario Provavelmente vor% ria lendo este ro se no dese suporte a ust sabe que a aus¢ncia de certos clementos do sistema clo usuirio pode causar problemas. Por ‘exemplo, se um ustuirio faz, 0 logon e nao tem acesso a seus Favoritos do Internet Explorer, ‘ou deve reconfigurar seu proprio dicionario personalizado, ou nao vé atalhos nem documentos conhecidos na area de trabalho, sts produtividade diminui instantaneamente ¢ 0 suporte téenico vai receber uma ligacio, Cada um desses exemplos esti relacior componentes do perfil de usuario. Os perfis podem ser configurados para ampliar sua di ponibilidade, seguranca © confiabilidade. Nesta ligo, voc® aprenderd como gerenciar os perfis locais, mveis, de grupo e obrigatorios. jos, © vor’ ido aos Apés esta li¢ao, vocé estara apto a = Entender 2 aplicagdo dos perfis locais e moveis de usuario m= Configurar um caminno de perfil de usuario. = Criar um perfil de grupo ou um perfil movel de usuério pré-configurado = Configurar um perfil obrigatério ‘Tempo estimado da li¢ao: 15 minutos Perfis de Usuario Um perfil de usuirio é uma colegio de pastas ¢ 3 de seu ambiente de dre juivos de dados que contém os elementos As definigdes incluem: sa de trabalho que a tornam exclusivamente su: = Osatalhos do seu menu Inic sua barra de Inici rapida ua area de trabalho, ¢ a= Os documentos da sua area de trabalho ¢, a menos que 0 redirecionamento es gu sta Meus documentos. QQ) |e, srpopiinne dope en romain so dete eo eredonmanioe pasted dhe dotgune periton redboonr Meup covuneris part Gv tay cnotno Boj tne ost dace Eats eto atin pert q o comet poste Mee oes Foe Gest inate bop mmeoeis oul Sonn ial uae Cinees pe a backup, varredura de virus ¢ disponitilizagao para usuarios em toda a orgenizagao, ceso die utluom um store quo to xp aus ea Go aba nom © soto de eas Sorenson pol ov dnpelsiands sth, prs sum oa Uae leh ove Soa ca aeiiss mene gusolo nis Sonioue soreuces VHGr a Favoritos ¢ cookies do Intemet Explorer. = Certificados (caso estejam implementados) pli , os modelos de usuario © a list vo, como 0 dicionirio personalizado de uswitrio do Mi- de preenchimento autom = Arquivos especificos de crosoft Offic tico. = Meus locais de rede. a Configuracdes de exibi tecao de tela, 0 da area de trabalho, como aparénei , papel de parede © pro- Perfis de Usuarios Locais Como padrao, os perfis de usuarios sao armaz drive \Documents ¢ Settings\ YoUserName%, Eles operam da seguintes maneit = Quando um usudtio faz 6 logon em um sistema pela primeira vez, o sistema eria um perfil para 0 usuario copiando o perfil Usuario padrao. A nova pasta de perfil € nomeackt com base no nome de logon especificado no logon inicial do usuario. <1 de trabalho © no ambiente de software do usuirio us perfis individuais ¢, = Todas Slo armazenadas no perfil Local do usuario. Cadet us assim, as configuragdes sto especificas de cada usuario. s modificagses feitas na = Oambiente de ust tendido pelo perfil de atalhos na area de trabalho ou no menu Iniciar, locals de rede © até mesmo dados de aplicativo. Os elementos do perfil de usuarios Todos se combinam ao perfil do ust para criar 0 ambiente de usudrio. Como padrao, apenas os usuarios do grupo Adminis tradores pode modificar 0 perfil de usuarios Todos. os Todos, o qual pode inclu = O perfil é verdadeiramente local. Se um usuario faz. 0 logon em outro sistema, os documentos ¢ as configuracdes que fazem parte de scus perfis nao acompa Em vez disso, 0 novo sistema comporta-se como foi explicado aqui, ger m novo perfil local para © usuario se esse for 0 primeiro logon do usuario naquele sistema.BLED aia 402 Capitulo 3. Contas de Usuario Perfis Méveis de Usuario Quando os usuarios trabalham em mais de um computador, voe? pode configurar os perfis, moveis de ususrio (RUPS) para garantir que seus documentos ¢ suas configuragdes sejam consistentes, independente deles estarem conectados. Os RUPs armazenam © perfil em um servidor, o que também significa que os perfis podem ter backup, varredura de virus ¢ controle central, Mes mbientes em que os usudrias nao sto méveis, os RUPs fornecem re importantes informacdes armazenadas no perfil tio falha ¢ deve ser reinstalado, um RUP garantird que o ambiente do usuario no novo sistema seja idéntico aquele do sistema anterior. cia para ‘um sistema de ust Para configurar um RUB, crie uma pasta compartilhada em um idor seja um servidor com backup de arquivos freqiiente. rvidor. ideal é que 0 ser- Nota Verifique se configurou as permissdes como Todos tém controle total. As permis s0es padrao de compattilhamento do Windows Server 2003 permitem Leitura, 0 que nao & suticiente para 0 compartihemento de um perfil movel. Na guia Perfil da caixa de diélogo Propriedades do usuério, digite 0 Caminho do pi formato: \\\\%UserName%. A. vai soUserNamé sera automaticamente substituida pelo nome de logon do Isso 6 tudo. Da pré © sistema identificara a localizagio do perfil movel. 1 Vez que 0 ususrio fizer 0 logor Q) [os cee, cepate nom ems rata nas aco pa camp Insta ua pst praevia Gent coquee corpartnarento, ages priedade de caminho de pertil do objeto de usuério. Os perfis méveis nao so, de forma Sigur, se popreceie um ce conpuaao Quando 6 usuario faz 0 logoff, o sistema atualiza perfil no servidor. Depois © usuirio pode fazer o logon naquele sistema ou em qualquer outro sistema do dominio e os documentos ¢ configunicdes que fazem parte do RUP serio aplicados. Nota _OWindows Server 2003 introduz uma nove diretlva: Permitir apenas perfis locals de usuario. Esta diretiva, ligada a um OU contendo contas de computador, evita que os perfis. move's sejam usados naqueles computadores. Em vez disso, 0s usuérios manterao perfis locals. Quando um usuario com um RUP faz 0 logon em um sistema novo pela primeira vez, 0 tema nao copia seu perfil padrio de usuirio, Em vez. disso, cle faz 6 download do RUP do local de rede, Quando um usuitrio faz. 0 logoff ou quando um usuario faz © logon em um, sistema no qual ele jé trabalhou, o sistema copia apenas os arquivos que muc: m,BLED aia jerenciando Perfis de Usuario 103 Licdo. Sincronizagao de Perfil Mov Ao contratio das versdes anteriores do Microsoft Windows, o Windows 2000, 0 Win- dows XP ¢ o Windows Server 2003 niio carregam nem fazem o donwload de todo 0 perfil de usuario no logoff no logon. Em vez disso, o perfil de usudtio € sfncroniza- do, Apenas 0s arquivos que mudaram sao transferidos entre o sistema local ¢ a pasta RUP de rede, Isso significa que o logon ¢ o logoff com os RUPS sio significativamente mais répidos do que com as versdes anteriores do Windows, As organizacdes que nao implementaram os RUPs temendo seu impacto sobre o logon eo trafego de rede devem reavaliar suas configurgdes levando, 0 em consideracdo. Criando um Perfil de Usuario Pré-Configurado Voct pode criar um perfil de usuario personalizado para fornecer uma area de trabalho & um ambiente de software planejados e pré-configurados. Isto ajuda a realizar 0 seguinte © Fornece um ambiente de trabalho produtivo com acesso facil aos recu de rede nec rios. :os € aplicativos a Remove 0 acesso a recursos ¢ aplicagdes desnecess ‘irios. = Simplifica a solugio de problems Iho mais objetiva ¢ consistente pelo suporte tGenico, Nenhuma ferramenta especial é necessiria para criar um perfil de usuario pré Basta fazer o logon em um sistema e modificara drea de trabalho ¢ ware adequadamente. £ bom fazer isso como uma conta que nao sq pos criar © perfil, faca logon no sistema com eredenciais admini Paincl de controle, clique na guia Avancado ¢, em seguida, clique em Configuragdes no quadro Perfis de usuirio. Selecione 0 perfil que voce criou e, em seguida, clique em Copiar para. Digite o caminho UNC Universal Naming Convention — Convencio universal de nomenclatura) par 0 perfil no formato: \\\\. Na secio Uso permitido, clique em Alterar para selecionar usuario para quem voe’ configurou o perfil. Isso define 0 ACL na pasta de perfil usuario. A Figura 3-5 mostra um exemplo, Clique em OK ¢ 0 perfil € copiado para o local de rede. © Aquele a | Nota Voce deve ser um memtro do grupo Administradores paca copiar um perf Finalmente, abra as propriedades do objeto de ususirio ¢ minho do perfil dominio, 6 download guia Perfil, di 4 proéxima vex. que o usuario fizer 0 logon em um computador aquele perfil sera feito ¢ determinara seu ambiente. n ite o mesmo Ca-104 Capitulo 3. Contas de Usuario a ‘ir ety [Newediieetiesheateck eS eal = Eee COnroscWon Cotes Ate Figura 3.5 Copiando um perfil de usuario pré-configurado para a rede. Be ee ee ees outu apmizons umn osduae Gn Gasset esos sem teerc oan om um sistema com adaptador de video com resolugao de apenas SVGA (800x600), alguns: Os perfis também nao funcionam totalmente em todas 2s plataformas. Um perfil criado para 0 Windows 98 nao funciona adequedamente em um sistema Windows Server 2003. Vose encontra inconsisténcias até quando faz roaming entre os sistemas Windows Server 2003 e Windows XP ou Windows 2000 Professional. Criando um Perfil de Grupo Pré-Configurado Os perfis méveis permitem criar um ambiente de area de trabalho padeo para varios usué- rios que tenham responsabilidades profissionais semelhantes. O processo € como criar um peril pré-configurado de usuario, exceto que o perfil resultante 6 disponibilizado para v: ros ustirios Crie um perfil usando as etapas cima, Ao copiar © perfil para o Servidor, use um caminho como: \\\\. Voce deve conceder acesso a todos os usuvérios que usam o perfil. Assim, no quadro Uso permitido, clique em Alterar ¢ selecione um grupo que inelua todos os usisirios, ou o grupo BUILTINVL inclui todos 0s usuarios de dominio. Os tinicos usuirios aos quais © perfil se aplie mente sio aqueles part os quais voce configura o caminho de perfil do objeto de usuitio, Apés copiar o perfil para a rede, vocé deve configurar o caminho de perfil para os ususirios 08 quais 0 perfil seri aplicado. O Windows Server 2003 simplifica essa tarefi, pois & possivel sclecionar varios ust 8 © modificar o caminho de perfil de todos os usuarios simultaneamente. Digite © mesmo UNC que voce usou para copiar o perfil para a rede, por exemplo, \\\\. Finalmente, como mais de um usuario acessird o grupo do perfil de usuario, voce deve tor- nd-lo obrigatorio, como desereve a proxima secao.105 Q)]_ {2:5 cconime opt oat como una ropa do uno al aj de Lucuério. Ele nao 6 atribuido a um ebjeto de grupo. Embora 0 conceite soja um grupo com Porfis do usustios, réiocaia na armaditha de associar © porfila um objoto de grupo propriamente dito Configurando um Perfil Obrigatério Um perfil obi ficamente, um perfil obrigatério no mantém alteragdes entre as sessdes. As usuario possa fazer modificacdes, da proxima vex que 0 usuario fizer o logon, balho sera a mesma da tiltima ver que ele fez logon, As alteracdes t6rio Nao permite aos usuarios modificar o ambiente do perfil. Mais especi- m, embora um area de wa Os perfis obrigatérios podem ser titeis em situagdes nas quais voc? deseja bloquear a area de trabalho, Sob o ponto de vista pritico, cles. ‘os quando voc? implementa 0 grupo com perfis de usuarios, porque obviamente vocé nto quer que as alteragdes feitas por um usuario afetem os ambientes de outros usuarios. Para configurar um perfil como obrigatério, basa renomear um arquivo na pasta raz do perfil. Os perfis obrigatorios ndo sao configurados por meio da aplicagao de permissdes. O arquivo que voce precisa renomear & Ntuser.dat, Ele é um arquivo oculto, ¢ vocé deve ter certeza de que especificou Mostrar pastas © arquivos ocultos na guia Modo de exibicio no programa Opedes de pastas do Paine! de Controle, ou use attrib na linha de comando para remover © atributo Oculto. Também € preciso configurar 0 Windows Explorer para exibir extensoes de arquivos. Localize © arquivo Neuserdat no perfil que d como Nuuserman. © perfil, seja mével ou local, agora € obrigat6rio. usoja tornar obrigatério, Renomeie 0 arquivo Pratica: Gerenciando os Perfis de Usuario Nesta pritica voce criari perfis moveis de usuario, moveis pré- perfis obrigatdrios, Voc’ fard logon ¢ logoff nao podem fazer o logon local em um controlador de dominio, voce comecara a incluir usuarios no grupo Operadores de i aqueles usuarios possam fazer 0 logon bem-sucedido. configurados € grupo com Exercicio 1: Configure Usuarios para Logon no Controlador de Dominio No mundo real, voce raramente quer que os usudrios tenham permissio para fazer logon local em um controlador de dominio, mas em nosso ambiente de teste com um ti st essa capacidade & importante. Embora existam va incluir 0 grupo Ususirios de don no grupo Operadores de de impressao tem o direito de fazer o logon localmente. as mane’ grupo Opera mpress 1. Abra Usu computadores do Active Directory 2. No painel de drvore, selecione 0 con'iner BUILTIN. 3. Abra Propriedades do grupo Operadores de impressio. 4. Use a guia Membros para incluir Usuirios do dominio no grupo.106 Capitulo 3 Contas de Usuario Exercicio 2: Crie uma Pasta Compartilhada de Perfis 1. Grie uma pasta com 0 nome Profiles na unidade C. 2. Clique com o botio direito do mouse na pasta Profiles ¢ selecione Compartilhamento e seguranca, 3. Clique na guia Compartilhamento. 4. Compartilhe a pasta com o nome de comparilhamento padrao Profiles. 5. Clique no botao Permissdes. 6. Sclecione aixa de selegio para permitir Controle total 7. Clique em OK &S Alerta de Seguranca _O Windows Server 2003 aplica uma permissao limitada de compartilhamento como padrao ao criar um comparthamento. A maioria cas organizacdes sezue a melnor pratica, que é permtir Controle total como uma permisszo de compartilhamento, e aplicar permissbes especificas & peste usando a guia Segurance da ceixe de dialogo de ropriedades da pasta. Entretanto, no caso de um administrador nao ter bloqueado um re- cutso antes de compartho, o Windows Server 2003 escolne a seguranca, usando uma pemmissao de compartihamento que permita 0 azesso Somenteleitura. Exercicio 3: Crie um Modelo de Perfil de Usuario 1. Crie uma conta de usuario que seri usada exclusivamente para criag%o de modelo de perfis. Use as seguintes orientagdes ao eriar a cont Nome da Caixa de Texto Digitar Nome Pestil Sobrenome Conta Nome de logon do usviiro Pectil Nome de legon do usuario (anterior a6 Windows 2000) Perfil 2, Faca o logoif de Server ica 0 logon como a conta Perfil. 4 Personalize a area de wabalho. Voce pode criar atalhos para recursos locais ou de red como criar um atalho para a unidade C da area de trabalho. ivo Monitor do 5. Personalize a area de trabalho usando o aplic inel de controle. Na pagina Arca de trabalho da caixa de didlogo Exibir propriedades, vocé pode configurar © segundo plano e, clicando em Personalizar area de trabalho, pode ineluir os ‘cones Meus documentos, Meu computador, Meus locais de rede ¢ Internet Explorer na area de trabalho. ca_o logoff como conta Perfil.BLED aia Ligdo 3: Gerenciando Perfis de Usuario 107 Exercicio 4: Configure um Perfil de Usuario Pré-Configurado 1. Faca logon como Administrador, 2. Abra Propricdacles do sistema no Paine! de Controle, clicando duas vezes em Sistema. 3. Clique na guia Avancado, m Configuragoes. Isso abre a caixa de diilogo 4. No quadro Perfis de usuario cliqu 5. Sclecione 0 perfil de usuirio da conta Perfil, 6. Clique em Copia 7. No quadro Copiar perfil para dligite \\server01 \profiles\hcarbeck. para. 8. Na secio Permissa 9. Digite Hank e clique em OK. 10. Confirme as entradas na caixa de diflogo Copiar para ¢ clique em OK. 0 de uso clique em Alterar. 11. Ap6s o peril ser copiado para a rede, clique em OK duas vezes para fechar as cainas de didlogo Perfis de usuario © Propriedades do viada. 12. Abra a pi 13. 1 C:\Profiles para verificar se a pasta do perfil “Hearbeck” f ios € computadores do Active Directory ¢, no painel de arvore, selecione a OU Funcionatios. 14, Abra as propricdades do objeto de usuario Hank Carbeck. 15. Clique na guia Pe 16. No campo Caminho do perfil digite \\server01)\ profiles\yousername%. 17. © confirme que a varidivel Yousername fo £ importante que 0 caminho do perfil se rede. igual a0 caminho real da pa: Teste o sucesso do perfil mével pré-configurado de usuario fazendo 0 logoff ¢ 0 lo; com 0 nome do usuario hank. carbeck@contoso.com. Voce deve ver as modificagdes ct rea de trabalho que fez. enquanto estava com logon como at conta Perfil Exercicio 5: Configure um Perfil de Grupo Obrigatorio, Pré-Configurado 4. Faca 0 logon como Administrador. 2. Abra Propriedades do sistema no Painel de controle clicando duas ve7es «1 tema, 3. Clique na guia Avancado. 4, No quadro Perfis de usuario, clique em Configuracdes, 5. Selecione o perfil de usuario da conta Perfil, 6. ¢ 7. No quadro Copiar perfil para digite \\server01 \profiles\Vendas, ique em Copiar para.108 Capitulo 3 Contas de Usuario 8. No quadro Uso permitido, clique em Alterar, % Di OK. 10. Confirme as entradas da caixa de di Users c, em seguida, clique logo Copiar para e, em seguida, clique em OK. 11. Ap6so perfil ter sido copiado para a rede, clique em OK duas vezes para selecionar z caixas de didlogo Perfis de ustuirio ¢ Propriedades do sistema. jada. 12. Abra a pasta Profiles para verificar se a pasta de perfil Vendas foi ci 13. Abra Opcdes de pasta no Painel de controle ¢ na guia Modo de exihicio verifique se a a tas ocultiis 4 selecionada 14, Abra a pasta C:\Profiles\Vendas ¢ renomeie 0 arquivo Ntuser.dat como Ntuser.man. Isto torna 0 periil obrigatsrio. 15. Abra Usuarios e computadores do Active Directory €, no painel de arvore, selecione a OU Funcionarios. 16. No painel de detathes, selecione os seguintes objetos clicandlo no primeiro e pressionando a tecki CTRL enquanto seleciona outros objetos: Scott Bishop, Danielle Tiedt, Lomin Smith-Bates. 17. Clique no menu Agio ¢ selecione Propriedades, 18. Clique na guia Perfil ¢, em seguida, selecione a caixa de selegao Caminho do perfil. 19. No campo Caminho do perfil digite \\server01 \ profiles\Vendas. 20. Clique em OK. io fa 21, Testeo sucesso do perfil mével pré-configurado de usuario fazendo logoff ¢ logon com © nome de usuario danielle.tiedt@contoso.com. 22. obrigatoria do perfil fazendo u poderd fazer a alteracdto, mas cl 23. Faca o logoff no computador ¢, em seguida, faga novamente o logon como Danielle Tiedt, Como o perfil ¢ obrigntorio, as alteracdes feitas na etapa anterior nao devem aparecer. 24. Faca o logoff no computador ¢, em seguida, faca 0 logon como Scott Bishop, com 0 se guinte nome do usuirio scout.bishop@eonioso.com. A mesma iirea de trabalho deve aparccer. Revisao da Ligao apresentadas nest De tente re ha seco “Perguntas © Respostas” no final As perguntas seguintes destinam-se a reforcar as principais informacde 0 conseguir responder uma pergunta, revise o material da li tc. Vor’ encontra as respos 1. Descreva como « rea de trabalho de um usuario ¢ criada quando nao ha perfis méveis de usuario implementados.BLED aia Li¢do 4: Seguranca e Solucdo de Problemas de Autenticacgo 109 2. Coloque na ordem as etapas que refletem a cria de usuitio. Utilize todas as ctapas fomecidas. 9 de um perfil mével pré-configurado Q Personalize a area de trabalho ¢ 0 ambiente de usuario. ar de conta de usuario, ca logon como usudrio com permissd “1 modifiear as propriedades 2 Copie o perfil para a rede. a Grie uma conta de usuirio para que 0 perfil seja criado sem mov atual de usuirio, ificar nenhum perfil 2 Faga logon como conta de perfil 2 Digite © caminho UNG para o perfil de usuirio na guia Perfil em Propricdades do ust a ‘aca logon como administrador local ou de dominio. Como ¢ feito um perfil obrigatério? a. Configure as permissd pemissio de gravacio. b. Configure as permissdes na guia Compartilhamento em Propriedades da pasta para dar permissio apenas para leitura. ©. Modifique os atributos da pasta de perfil para especificar o atributo Somente leitura, s na guia Seguranca em Propriedades da ps para negara d, Renomeie Nuser.dat como Ntwser.man, Resumo da Li¢ao «© Windows Server 2003 fomece perfis indi wu sistema, Como padrio, os perfis si armazcnados no sistema local em %Systemdrice’ \Documents and Settings\% UserName. iduais para cada usuario que faz logon no = Os perfis méveis exigem a rado nas propried: penas uma pasta compartithada € 0 caminho de perfil configu- Jes do objeto de usuario, = Os perfis pi deste ser confi ‘onfigurados so apenas perfis copiados pa urado no objeto de ususirio. ninho de perfil antes, . iso tornar Ligao 4 Autenticagao : Seguranga e Solucao de Problemas de pss configurar 08 objetos de usuario, ¢ depois que os usuiirios esto fazendo a autentica Go com aquelas cont tem dois desafios adicionais: vulnerabilidades de seguranga, quais poclem comprometer a integridade da rede de sua empresa, ¢ desafios de engenh ria social, enfrentades quando vocé trabalha para tornar a rede, ¢ « autenticacdo em geral, amistosa e confiavel para os usuitrios. Infelizmente, essas duas dit 10 conflitantes — quanto mais segurt uma rede, mais dificil de > abordkaremos 3BLED aia 140 Capitulo 3 Contas de Usuario questdes relacionadas & autenticactio de usteii conta de dominio, incluindo diretivas de senha ¢ de bloqueio de conta. Voce ta aprender’ 2 auditoria dos eventos diversas tarefas relacionadas & autenticagaio dos objetos de usudrio. . Voce aprender’ o impacto das diretivas de umbém, lacionados ao logon ¢ como executar como conf Apés esta licao, vocé estara apto a = Identificar as diretivas de conta de dominio e seu impacto sobre os recuisitos de senhae a autenticac3o = Configurar a auditoria para eventos de logon m= Modificar 0s atributos relacionados a autenticacao de otjetos de usuario Tempo estimado da li¢do: 15 minutos Seguranea de Autenticagao com Diretiva © Active Directory no Windows Server 2003 suponta dirctivas (ou poltiicas) de seguranca para fortalecer as senhas ¢ seu uso dentro de uma empresa. Obviamente, voce deve criar uma diretiva de senha suficientemente assustadora para os atacantes ¢ suficientemente conveniente para os ios, de modo que eles nao esquecam as senhas (resultando em um atimero maior de ligacdes para 0 suporte técnico), ou pior, eserevam suas senhas, Um sistema que executa 0 Windows Server 2003 como servidor membro mantém uma di tiva relacionada as suas contas locais de usuario. A diretiva local de seguranca pode ser ge~ denominado Direti inca local. renciada usando 0 snap- de seg Com freqiiéneia, voc’ se preocupari com a diretiva que afeta os objetos de usuario de do- mjnio. A diretiva de conta de dominio é gerenciada pela Default Domain Policy (Diretiva de dominio padrio). Para examinar ¢ modificar esta ditetiva, abra Usuarios e computadores do y ne o_n6 de dominio c Propriedades no menu Ag a guia Diretiva de grupo. © GPO listado com 0 primeiro, ou o primeiro link de objeto € 0 objeto de diretiva que guiard as diretivas de conta de dominio, Em geral, ecomo melhor pratica, cle € a Default Domain Policy Wiretiva padrio de dominio). Selecione essa diretiva e cique em Editar. O console Editor de objeto de diretiva de grupo é aberto, com foco na diretiva pa- draco de dominio, Navegue até Configuracao do computador, Configuragées do Windows, Configuracdes de seguranga, Dirctivas de conta. Diretiva de Senha As politicas de senha de don enha, implantando as melhores préticas das técnicas de gerenciamento de senha. As direti- slo descritas na Tabelt 3- jo permitem proteger sua rede contra comprometimento de vas gg Nota _Aconfigurago dos requisites de comprimento e complexidade da senha nao afeta as senhas existentes. Essas alteragdes afetardo as noves contas e senhes modificadas aps a aplicacao da diretiva.BLED aia Li¢do 4: Seguranca e Solucdo de Problemas de Autenticagéo 444. Tabela 35 Diretivas de Senha Diretiva Descricao Aplicar hist6rico de senhas Quando esta diretiva € acionada, o Adtive Directory mantém uma lista das senhas usadas recentemente, € nio permite que um usuirio crie uma senha que coincida com nha dequele hist6rico. O resultado é que um us do deve alterar sua senha, nao pode usar a mi novamente e no pode ultrapassar 0 tempo de vida da se- ha, A dirctiva é ativada como padrio, com 0 valor méximo de 24, Muitas organizacbes de TI usam um valor de 6 a 12. ‘Tempo de vida miximo da senha Fsta diretiva determina quando os usivirios serio forcados a alterar suas senhas. As senhas que no sio alteradas ou que Sio alteradas com pouea freqiiéncia ficam mais vulacriveis aserem descobertas e utilizadas por atacantes que assumem uma conta valida, O valor padrio é 42 dias, Em geral, as or- _ganizacdes de TI implantam a modificacio de senhes a cada 30 4 90 das, ‘Tempo de vicla minimo da senha Quando os usuarios precisam altecar suas senhas ~ mesmo ‘quando um hist6rico de senha esa implantaclo ~ eles podem simplesmente alterar suas senhas v4 guida para contornar os requisitos de senha ¢ volar has originals. A diretiva de Tempo de vida minimo da se~ nha evita a possibilidade de exigir que um nimero expecifi- cado de dias passe entre asalteragoes de senha, Obviamente, ‘uma senha poce ser tedefinida a qualquer momento no Acti- ve Directory por um administrador ou por uma pessoa do su= porte técnico com permissdes suficientes. Mas 0 usuario nao pode alterar sua senha mais de uma vez durante perfodo especificado por esta configuracio. Comprimento mfnimo da senha Esta direiva especifica © ndmero mfnimo de caracteres de uma senha. © padrao no Windows Server 2003 ¢ sete, A senha deve satistazer a requisi- Esta diretiva implanta regras, ou filtros, para novas senhas. tos de complexidade © filtro padrao de senha do Windows Server 2003 (pass- filtll) exige que uma senha: Nao se baseie no nome de conta do us = Tenha pelo menos seis caracteres. = Contenh teres: ‘2 Carieteres alfabéticos maidisculos (A...2) 2 Caracteres alfabétices mindsculos (a...7) 4 Numerals ardbicos (0...9) iracteres dle tres dos seg tes tipos de carae. a Caracteres nao alfanuméricos (por ex cemplo, 8490) Como padrin, 0 Windows Server 2003 implanta esta diretiva,BLED aia 142 Capitulo 3 Contas de Usuario Politica de Bloqueio de Contas No sentido mais amplo, 0 bloqueio de contas diz. respeito ao conceito de que aps varia tentativas de logon sem sucesso por um tinico usuario, o sistema deve assumir que um at cante esti tentando comprometer a conta pela descoerta de sua senha e, como defesa, deve bloquear a conta para impedir a tentati de bloqueio de conta determinam as limitagoes para logons invalidos, expressos por um niimero de logons invalidos durante um periodo, ¢ os requisitos para que uma conta seja desbloqueack, se apenas aguardando ou entrando em contato com o administrador. A Tabela 3-6 resum diretivas de Bloqueio de conta. de outros logons. As politic: Tabela 3.6 Diretivas de Bloquelo de Conta Diretiva Descri¢ao. Limite de bloqueto Esta diretiva configura 0 numero de tentativas validas de logon de conta que dispara o bloqueio de conta, O valor pode estar no intervalo entre 0 ¢ 999. Um valor muito baixo (por exemplo, ts) pode cau- .ar bloqueios devido a erros humanos e nomais no logon. Um valor 0 faz com que as contes nunca sejam blogucadas. © contador de bloqu afetado pelos logons em estacdes de trabatho bloqueadas Duragao do bloqueio ssi diretiva determina 0 periodo que deve decorrer apés um de conta bloqueio para que 0 Active Directory desbloqueie automaticamente uma conta de usuirio, A diretiva nao € definida como padrao, uma vera apenas em conjunto com a diretiva Limite de bloqueio de conta. Embora a diretiva aceite valores que variam entre (| € 99999 minutos, ou cerca de 10 semanas, uma configuracio baixa (de 5.a 15 minutos) é suficiente pars reduzir sige mente os ataques, sem afetar muito os ust mos gue sio bloqueados por engano. Um valor 0 exige que 0 uusudrio entee em contato com o administrador para clesbloquear manualmente a conta Zerar contador de Esta configueacto especifica 0 tempo que deve decorcer apés bloqueio ‘uma tentativa invélida de logon para redefinir © contador como de conta apis zero. O intervalo é de 1 1 99999 minutos ¢ deve ser menor ou igual 4 duracao do bloqueio de conta. Auditoria de Autenticagao Se esta preocupado com o fato de que pode haver ataques para descobrir as senhas, ou se , voee pode configurar uma diretiva de auditoria que cria entradas no log de Seguranca,BLED aia Li¢do 4: Seguranga e Solucdo de Problemas de Autenticagéo 113 Questées Relacionadas a Varias Plataformas As organizagdcs normalmente implementam uma combinagao de servicos de direts rios, servidores ¢ plataformas de diente. Em ambientes nos quais 0 Windows 95, Windows 98, Windows Mc ou o Windows NT 4 participam de um dominio do Active Directory, os administradores precisam ter conhecimento de varias questoes. lows XP Professional ¢ Windows Ser © Windows 95, Windows 98 ¢ 0 racteres. = Senhas: embora o Windows 2000, ver 2003 suponem senhas de 127 caracteres Windows ME suportam apenas senhas de 14 = Cliente do Active Directory: & possivel fazer o download do cliente do Active Di rectory do site da Microsoft para instakacao nos sistemas Windows 95, Window 98, Windows Me ¢ Windows NT 4, Isso permite que as plataformas que executam edigdes anteriores do Windows participem de muitos recursos do Active Direc- tory disponiveis para o Windows 2000 Professional ou Windows XP Professional, incluindo o seguinte: ade a Cons ite: um sistema com 0 cliente do Active Directory tentard fa zer 0 logon em um controlador de dominio do seu site, em ver de qualquer controlador de don a ADSI (Ac rectory): util io da empre: re Directory Service Interfaces — Interfaces de servico do Active L scripts para gerenciar o Active Directory. 2 Dfs (Distributed File System — Sistema de arquivos distribuidos): acessa os recursos compartithados do Dfs em servidores que executam 0 Windows 2000 eo \dows Server 2003. 2 Autenticacao do NT LAN Manager (NTLM) versio 2: usa os recursos aperfei- ‘coados de autenticacto do NTLM versio 2. 2 WAB (Windows Address Book = ve Directory: paginas de propri ‘logo de endercos do Windows) do Act 2 Capacidade de pesquisa do Active D ‘Start-Find ou Sta onal ¢ pelo Windows XP Professional, ndo sto fornecidas pelo clicnte Active Directory no Win- dows 95, Windows 98 ¢ Windows NT 4: = Autenticacao do Kerberos V5. = Diretiva de grupo ou suporte a0 Gerenciamento de alteracao ¢ configura = Nome principal de servigo (SPN) ou autenticagao muitua. Além disso, voce deve conhecer as seguintes questoes dos ambientes mistos: O Windows 98 suporta senhas de até 14 caracteres. O Windows 2000, Windows. XP © 0 Windows Server 2003 podem suportar senhas de 127 caracteres, Saiba desta diferenga ao configurar as senhas de usuarios que fazem logon com 0 Windows 98.BLED aia 144 Capitulo 3 Contas de Usuario = Sem o cliente do Active Directory, os usuarios de sis clo Windows anteriores ao Windows 2000 podem alterar suas senhas apenas se © sistema tiver acesso ao controlador de dominio que executa 0 tinico recurso de operagdes chamado Emulador de Controlador de Dominio Primario (PDO). Para determinar em qual sistema de um dominio esta o emulador PDC, abra Usurios ¢ computadores do Active Directory, selecione © nd de dominio, selecione 0 comando Mestres de operades no menu A sguida, clique n guia Controlador de dominio primario, Se © emulador PD€ nao extiver disponivel (ou seja, se ele estiver offline ou no lado distante de uma conexao de rede inativada), 0 usuirio no pode alterar sua senh: rom que usam as versbes lo ¢, ems = Como aprendeu neste capitulo, os objetos de usuario mantém duas propricdades de nome de logon de usuario. O nome de logon anterior ao Windows 2000, ‘ou nome SAM, é equivalente ao nome do usuario no Windows 95, Windows 98. ‘ou Windows NT 4, Quando o usuario faz logon, ele insere seu nome de usuario e deve selecionar 0 dominio na caixa Logon em. Em outras situacdes, 6 nome de usuario pode ser digitado no formato ®, no qual 0 sufixo UPN é, como padrio, o nome do dominio DNS no qual reside o objeto de usuario. Nao € preciso selecionar o dominio na caixa Logon em ao utilizar 0 logon UPN. Na verdade, a caixa é desativada assim que vocé digita 0 simbolo “@” Diretivas de Auditoria As diretiva a seguir esto localizadas em Configuracio do computador, Configunicd Windows, Configuracdes de seguranga, Diretivas loca Editor de objeto de diretiva de grupo (ou no snap-in Diretiva de seguranga local), Voce pode configurar a auditoria de eventos bem-sucedidos ou nao. ou n6 de Diretiva de auditor 1 Eventos de logon de conta de auditoria Ista diretiva faa auditoria de cada instan- cla de logon de usuirio que envolve autenticagto do controlador de dominio. Para os controladores de dominio, esta diretiva é definida no GPO Controladores ce dominio pa drio. Observe, primeiramente, que esta diretiva criard uma entrada no log de Seguranca de um controlador de dominio sempre que um usuirio fizer o logon interativamente ou, pela rede usando uma conta de dominio. Em segundo lugar, lembre-se que para avaliar completamente os resultados dat auditoria, voce deve exami de Seguranea de todos 0s controladores de dominio, porque « autenticaczo de usuario esta distribuida em todos os controladores de dominio de um site ou dominio. ur os Ic = Auditoria de gerenciamentode contas Configura a auditoria das atividades, incluindo a criagao, exclusio ou modificacao das contas de usuario, de grupo ou computador. As redefinicdes de senhas também sto registradas quando a auditoria de gerenciamento ativada,BLED aia Ligdo 4: Segurenca e Solucdo de Problemas de Autenticaggo 115, 1 Auditoria de eventos de logon Os eventos de logon incluem logon ¢ logoff, interativamente ou por meio da conexao de rede. Se vocé ativou a diretiva Eventos de logon de conta de auditoria para os sucessos de um controlador de dominio, os logons da es de trabalho nao gerardio auditorias de logon. Apenas os logons intcrativos ¢ de rede no controlador de dominio propriamente dito gerim eventos de logon. Os eventos de logon de conta sto gerados no computador local para contas locais e no controlador cle dominio para contas de rede. Os eventos de logon sto gerados sempre que ocorre 0 logon, Usuario faz 0 logon em sus estaeao de trabalho utllizanco uma conta de dominio, aestaao de trabalho registra um evento de Logon e o controlador de dominio registra um evento de Logon de conta. Quando 0 usuario se conecta a pasta compattilhada de um servidor de rede, 0 servidor registra um evento de Logon e o controlador de dominio registra um evento de Logon de conta. QQ] [eea rams rtst ont ere ond ogo et de gn, Qn Log de Eventos de Seguranca enchidos com mens: Ap6s configurar a auditoria, os logs de seguranga comegam a ser pr gens. Vocé pode visualizar essas mensagens selecionando Seguranca no snap-in V eventos ¢, em seguida, clicando duas vezes no evento. C3) [es aotsame.ateese i evra Lag de ona pra se ontaton sr cacao de aia. vton Gig aaa onaade aoe snes Administrando a Autenticagao de Usuario Quando os usus precisa gerenciar seus objetos de ust comuns relacionadas & seguranga da conta redefinic2o de uma senha, 0 desativamento, tos de usuario, os esquecem as senhas, ou quando so transferidos ou desligados, voce lamente. As tarefas administrativas mais o de uma conta, a > € exclusio de obje- \irio sto © desblogu mento, a renomeag: Desbloqueando uma Conta de Usuario A diretiva de bloqueio de conta exige que quando um usuario excede © limite de tentative invilidas de logon, a conta seja bloqueada ¢ nenhum outro logon seja tentado por um p riodo especificado, ou até que um administrador desbloqueie a conta. Para desbloquear um usuario, selecione o objeto de usuario eno menu AGO s priedades. Clique na guia Conta ¢ limpe a caixa de selecao Conta bloqueada. Redefinindo as Senhas de Usuario .cione Pro- Se um usuirio esquecer a senha, vocé deve redefini-la. Vocé nao precisa saber a senha antiga para fazer isso. Basta selecionar 0 objeto de usuario e, no menu A‘ 0 comando Redefinir senha, Entre a nova senha duas vezes para confirmar a alteracio ¢.416 Capitulo 3. Contas de Usuario como melhor pritica de seguranca, s nha no proximo logon. Jecione a opcao O usuario deve alierar a s Desativando, Ativando, Renomeando e Excluindo Objetos de Usuai s de pessoal podem exigir que voce des; tive ou renomeie um objeto de usuiirio. © processo para fazer isso 6 semelhante para cada uma das acdes. Selecione 0 frio €, no menu Acio, selecione 6 comando apropriado da seguinte mane a Desativando ¢ Ativando um Usuario Quando um usuario nao exige acesso a rede por um periodo extenso, vocé deve desativar cont quando 0 usu’ precisar de logon novamente. Observe que apenas um dos comandos para Desativar ou Ativar apareceri no menu Acao, dependendo do status atual do objeto. = Excluindo um Usuario Qu: Yio fizer mais parte da sua organi endo haverd um substituto em breve, exclua 0 objeto de usuirio. Lembre-se que exeluindo um usuirio, voc’ perde suas associacdes de grupo ¢, ao excluir 0 SID, voce perde seus di- Feitos ¢ permissdes. Se voce recriar um objeto de usuario com © mesmo nome, ele tera um, SID diferente, e vocé tera de reatribuir direitos, permissdes € associacdes de grupo. = Renomeando um Usuario Voce renomeari um usuario quando ele mudar de nome, por exemplo, por motivo de casamento, ou quando cle nao fizer mais parte da sua orga- substituindo aqucle usuirio ¢ deseja manter os direitos, as per- iacdes de grupo ¢ a maioria das propricdades do usuiirio Pratica: Seguranga e Solugao de Problemas de Autenticagao interior, Dica_Tenha certeza de ter entendido a ciferenga entre desativar e excluir um abjeto, além da diferenga entro ativar ¢ desbloquear um ususrio. Nesta priti de logon. voed configura as diretivas de auditoria de dominio. Em seguida, ge Almente, examina ¢ soluciona problemas dos resultados desses logor eventos Exercicio 4: Configure Diretivas 1. Abra Usui os € computadores do Active Directory. 2, Selecione o n6 de dominio Contoso.com 3. No menu Acao selecione Propriedades. 4. Na guia Diretiva de grupo, selecione Default Domain Policy e, em seguida, clique em Editar, 5. Navegue até Configuracio do computador, Configuragdes do Windows, Configuracoes de seguranca, Diretivas de conta ¢ finalmente Diretiva de bloqueio de conta 6. Clique duas vezes na diretiva Duracao do bloqueio de conta. 7. Selecione a caixa de selegio Definir a configuragio dessa diretiva, 8. Digite 0 em duraco ¢, em seguida, cique em Aplicar.BLED aia Li¢do 4: Seguranca e Solucdo de Problemas de Autenticaggo 117 © sistema avisard que id configurar o limite de bloqueio de conta e redefinir as diveti- is de contador. Clique em OK, ique em OK para confirmar as configuragdes ¢, em seguida, clique em OK para fechar a cuixa de didlogo da diretiva. 10. Confirme que a Duracao do bloqueio de conta contador € 30 minutos. zero, 0 limite €5 ¢ a diretiva de zerar 11. Feche 12, Cliqu 13. Selecione 0 cont janela do Editor de objeto de diretiva de grupo. nio contoso.com. em OK para fechar a caixa de didlogo Propriedades do don er Domain Controllers, no né de dominio. 14. No menu Acio clique em Propriedades. 15. Na guia Ditetiva de grupo selecione Default Domain Controllers Policy ¢ clique em Bditar. agdes do Window: ra de auditoria, » do computador, Config configura as locais ¢ finalmente Direti Navegue até Configurac ti de seguranca, I ique duas vezes na diretiva Eventos de logon de conta de auditoria. 18. Selecione Definir as configuracoes dessas diretivas, selecione Exito e Falha e, em seguida, clique em OK. 19. ¢ 20. Selecione Definir as configuracdes dessa ciretiva, selecione Exito ¢ Falha e, em segti clique em OK. jue duas vezes na dirctiva Auditoria de eventos de logor 21, Clique duas vezes na diretiva Auditoria de gerenciamento de contas. 22, Sclecione Definir as configuragdes dessa diretiva, selecione Fixito €, em seguida, clique em OK. 23. Feche a janela E iva de grupo. jue em OK para fechara caixa de diflogo Propriedades da caixa de ditlogo Proprie- dades dos controladores de dominio. Exercicio 2: Eventos Gerais de Logon 1, Faca o logoff de Serverd1. 2. Gere dois eventos de fala de logon tentando fazer 0 logon duas veres com o nome de usuario sbishop ¢ uma senha fnvdlida. 3. Faca 0 logon corretamente como sbishop. 4. Faca o logoff. Exercicio 3: Gere Eventos de Gerenciamento de Conta 1. Faca 0 logon como Administrador. 2, Abra Usuarios © computadores do Active Directory. 3. No painel de drvore navegue até a OU Funcionfrios ¢ selecione-aBLED aia 148 Capitulo 3 Contas de Usuario 4. No painel de detalhes, sel no menu Acio. ne o objeto de usuario Scott Bishop e, em seguida, clique 5. Clique no comando Redefinir senha. 6. Digite ¢ confirme uma senha nova para Scott Bishop e, em seguida, clique em OK. Exereicio 4: Examine as Mensagons de Evento de Autenticagao de Seguranga 1, Abra 6 console Gerenciamento do computador no grupo Ferramentas administr: 2 3. Verifique se a coluna Categoria € suficientemente larga para voce identificar os tipos de eventos que estao registrados. Expanda Visualizar eventos e selecione Seguranga 4, Explore os eventos que forum gerados por atividade recente. Observe os logons com fa Iha, os logons com sucesso € a redefinicaio da senha de Scott Bishop. Revisao da Ligao As perguntas sequintes destinam-se a reforcar as principais informacdes apresentadas nesta licdo, Se voc? nao conseguir responder uma pergunta, revise 0 material da ligho € tente responde-la novamente, AS respostas esto na Secao “Perguntas € Respostas” no final des te capitulo. 1. Voc’ ativa a diretiva de complexidade de senha para tos da scu dominio. Descreva os requisi- senhas, ¢ quando cles entram em vigor. 2. Para monitorar possiveis ataquesa diciondrio, as senhas dle usuario de sua a melhor diretiva de auditoria a ser configurada ¢ qu mpresa, qual I log ou logs voce avalia? 3. Um usuario esqueccu sua senha ¢ tenta fazer o logon varias vezes com uma senha incor reta. Eventualmente, o ustxirio recebe uma mensagem de logon, indicando que conta esti desativada ou bloqueada. A mensagem sugere que o usuario entre em contitto com um administrador, © que voc’ deve fazer? a. b. Ativar 0 objeto de usuario Excluir 0 objeto de usuario e recri-lo. . Desbloquear 6 objeto de usuario. d._ Redefinir a senha do objeto de usuario, Resumo da Ligao & A Default Domain Policy (Diretiva de dominio. do as diretivas de senha e bloqueio. fas de conta, incluin=BLED aia Capitulo 3 Contas de Usuario 149 © A Default Domain Controllers Policy (Diretiva de controladores de dominio padrio) e: pecifica as principais diretivas de auditoria para os controladores de dominio, eguranca do controls © Aauditoria de autentic dor de dominio. Jo gera eventos em cada um dos logs de Exercicio de Cenario de Caso Recentemente, um dos concorrentes da Contoso foi noticia como a mais recente vitima de ma quebra de seguranga de senha, a qual expds seus dados sigilosos. Voce resolve auditar 4 configuracao de seguranca da Contoso ¢ define os seguintes requisitos: © Requisito 1: Como voce atualizou seus controladores de dominio do Windows 2000 5 ver para 0 Windows Server 2003, a diretiva de conta de dominio continua sendo a do Windows 2000 Server. As diretivas de conta de dominio devem ex: @ Mudangas de senha a cada 60 dias a Senhas 2 Complexidade d @ Duracao minima da senha de uma semana’ @ Histérico de 20 senh: invalidas de logon em um periodo de 60 minutos 2 Bloqueio de conta apés cinco tentativa las @ Intervencio do administrador para desbloquear as contas bloqu # Requisito 2: Al e esas diretivas entram em vigor dentro de 24 ho Asdiretivas de senha sio implementadas quando um usuario muda sua senha as polit cas nao afetam as senhas existentes. Assim, vocé exige que os usuarios mudem suas se nhas mais rapido possivel. Voc’ nao quer afetar as contas utilizadas pelos servicos, AS contas de servico sto armazenadas na OU Contas de servigo da Contoso, na OU Funcio- narios e em 15 OL na OU m disso, verifique s Funcion: s localizadas 1 Requisito 3: Bloqueie as reas de trabalho dos representantes de vendas para que eles tenham menos chance de instalar barras de ferramentas personalizadas da Web, programas de previsio do tempo, utilitirios de papel de parede do dia, ou outro software que passa conect Internet ¢ expor ¢ area de trabalho a ataques Requisito 1 O primeiro requisito envolve a modificacho da senha ¢ das configuragdes de bloqueio de conta, 1. O que seria modificado para atender 0 Requisito 1? a, © modelo de seguranga do controlador de dominio Hiseede, b. A Default Domain Policy ~ Diretiva de dominio padrao ¢. A Default Domain Controllers Policy — Diretiva Controlador de dominio padraio d._ © modelo de seguranca do controlador de dominio Ssetup Security.infBLED aia 120 Capitulo 3. Contas de Usuario Aresposta correta é b. Qual diretiva deve ser especificada para configurar 0 bloqueio de conta usuarios a entrarem em contato com o Suporte técnico para desbloqued-last obrigando os a. Dura b. Limite do bloqucio de conta: 999 ¢. Duracio do bloqueio de conta: 0 d. Limite do bloqueio de conta: 0 A resposta correta € c. 10. do bloqueio de conta: 999 Configure as dire idas de dominio. Para obter orientaco consulte vas apropria Requisito 2 © requisito 2 indica que vocd deseja forcar os usuarios a alterarem suas senhas 0 mais ripido possivel. Vocé sabe que as contas de usuario incluem o s deve alt senha no prdximo logon. 1. Qual seri is ripido ¢ efetivo de configura exijam alteracao de senha no proximo logon? inalizador O ust mara contas de usuiirio para que Conta selecione O la conta de usu a. 0, Abra suas propriedades e na pag no logon. Repita isso para c Bb. Pressione CTRL*A para selecionar todos 0s usuarios dt OU Funcionatios. Selecione © comando Propriedades ¢, na pagina Conta, selecione O ustkirio deve alterar as nha no préximo logon. Repita isso para cada OU. ¢. Use 6 comando DSADD d. Use 0 comando DSRM. €, Use os comandos DSQUERY ¢ DSMOD, Aresposta correta é © 2. O comando DSQUERY permite criar uma lista de objetos com base nas localizagdes ou propriedades daqueles objctos, e fazer 0 pipe daqueles objetos para 0 comando DSMOD, © qual depois modifica os objetos. Abra o prompt de comando e digite © se- _guinte comando: DSQUERY user "0 © comando produzira uma lista cam todos os objetos de us Uma vantagem desse comando € que cle poderia incluir os usuarios das sub OUs dt OU ios. Os requisitos indicam que voct tem 15 OUs . Tudo esia incluido nos objetos gerudos por DSQUERY. 10, d ‘uncionarios 0C=Contoso,DC=Com" | DSMOD user -mustchpwd yes ‘uncionarios 0 ontoso, DC=Com* Agora, para atender o req DSQUERY user “Ol te 0 seguinte comando: Requisito 3 Este requisito sugere que voc? modifique os perfis de usuirios dos representantes de vendas.BLED aia Capitulo 3 Contas de Usuario 124 1. Que tipo de perfil sera mais tl para manter uma rea de trabalho bloqueada comum a todos os representantes de vendas? a. Perfil local b. Perfil local, obrigat6rio ©. © perfil de 1s Todos 4. Grupo de perfil movel pré-configurado €. Grupo de perfil obrigat6rio mavel pré ‘onfigurado Aresposta correta é b. 5, voc criou um perfil chamado Vendas. Voc? tornou esse perfil obrigat6rio renomeando Nruser.dat como Ntuser.man. Finalmente, vocé atribuiu esse perfil suirios. Como voee pode garantir que todes os novos represe! venta > utilizando 0 mesmo perfil? Modifique a conta de modelo Representantes de vendas que vocé criou na Ligao 2, Exercicio 1. Na guia Perfil, digite o caminho de perfil: \ \serverO1.\ profiles \vendas. Confirme 6 sucesso de seu trabalho copiando o modelo para criar uma nova conta de usuirio e, em seguida, fara o lo- ‘gon como aquele usuario. Faca modificagdes na area de trabalho, faca o logoff e o logon novamente. As alteragdes que voc8 fez no perfil ndo persistem entre as sessées. tes de Laboratorio de Solucao de Problemas te laboratorio voce gerard varios tipos de logon ¢ falhas relacionadas a conta, Voce iden- “ard as causas daquelas falhas @ as corrigird adequadamente. Antes de continuar este laboratério, voce deve criar as contas de usudtio. As contas de usué- rio mencionadas no laborat6rio sto aquelas geradas na Lico 2, Exercicio 3. Voce também deve ter configurado as diretivas de conta de dominio como na Licho 4, Exercicio 1 Exercicio 1: Gerar Logon e Falhas de Conta 1. Faca o logoff de Server01. 2, Gere um bloqueio de conta fazendo seis logons com © nome de usuario Ismithbates senha invdlida, Observe a diferenga entre as Mensagens de logon que voce recebe apés as tentativas @ a Mensagem de logon que voce recebe apés o bloqueio da conta. 3. Faga o logon como Danielle Tiedt com o nome de usuario dtiedt. 4. Pressione TE ¢ crie uma nova senhi PRL+ALT+DEI 5. Pressione CTRL+ALT+DEI Ee tente voltar A senha original. Isso ¢ possivel? Justifique. ‘Teme alterar mais uma vez a senha, Isso € possivel 7. Faga 0 logoff. Justifique. Exercicio 2: Monitore e Identifique os Eventos de Logon e de Gerent Conta Is ica 0 logon como Administrador.422 Capitulo 3. Contas de Usuario 2. Abra o console Gerenciamento do computador no grupo Ferramentas administrativ 3. Expanda o Visualizar eventos € selecione Seguranca. 4. Verifique sea colur de eventos registradc Categoria 6 suficientemente grande para voce ident “a 08 tipos sxplore os eventos que foram gerados por atividade recente. Observe as falhas de tentativas de logon, o bloqueio e as tentativas de redefinir a senha de Danielle Tiedt, Exercicio 3: Autenticag’o Correta e Problemas de Conta 1. Abra Usuarii 2. No painel de drvore, navegue e selecione a OU Funciondtios. ¢ computadores do Active Directory. 3. No painel de detalhes selecione o objeto de usuario Danielle Tiedt 4. No menu Acio clique em Redefinir senha. 5. Digite a senha original de Danielle Tiedt como a nova senha, Por que voce consegue alte~ rar a senha agora e enquanto estava com logon como Danielle Tiedt isso nao era possivel’ mith-Bates, 6. Selecione © objeto de usuirio de Lorrin 7. No menu Acio clique em Propriedades. 8. Nagi 9. Clique em OK. 4 Conta limpe a caixa de selecio Conta desativada, Resumo do Capitulo 2 Vocé deve ser membro dos grupos Administradores de empresa, Administradores de dominio ou Operadores de conta, ou deve ter recebido permissdes administrativas para obj tos de usu: 2 Os objetos de usuario incluem as propriedades que geralmente sto associadas a uma “conta” de ustiério, incluindo nomes de logon e senha, € 0 SID exclusive do ustiério. Fl também incluem véirias propriedades rekicionadas aos individuos que represeatam, in cluindo informa associagao de grupo € configuracées administrativas. 0 Windows Server 2003 permite alterar algumas dessas propricdades para varios usudrios simultaneamente, pessoa 2 Um modelo de objeto de usuario € um objeto que € copiado para produzir novos usu: Seo modelo nao for um usuario “real”, cle deve ser desativado. Apenas um subconjunto de propriedades de usuario é copiado dos modelos. = Ocomando CSVDI tado por virgulas, permite importar objetos de diretorio de um arquive de texto delimi- 2003 suporta novas e poderosas ferramentas de linha de comando para criar, gerenciar € excluir objetos de diret6rio: DSQUERY, DSGET, DSADD, DSMOVE DSMOD ¢ DSRM. Com freqiencia, DSQUERY produz um conjunto de resultados com objetos que podem ser canalizados como entrada para outros comandos.BLED aia Capitulo 3 Contas de Usuério 123 #0 Windows Server 2003 fomece perfis individuais para cada usuario que faz, logon no sistema. Os perfis sio armazenados, como padrio, no sistema local em %Systemdri- ve%W\Documents e Settings\ %UserName%. 1 Os perfis méveis exigem apenas uma pasta compartilhada ¢ o caminho de perfil configurado nas propriedades do objeto de usuitrio. 4 Os perfis pré-configurados sao apen: copiados para o caminho de perfil antes que © caminho de peril seja configurado no objeto de usudirio. a Os perfis de grupo devem ser obrigatérios ¢ isso € feito renomeando Nuuser.dat como ‘Ntuser.man, para que as alteracOes feitas por um usurio nao afetem os outros usuarios = A Default Domain Policy (Diretiva de dominio padrio) orienta as ditetivas de conta, in- Cluindo senha e bloqueio, enquanto « Default Domain Controllers Policy (Diretiva de controladores de dominio padrio), especifica as principais diretivas de auditoria dos controladores de dominio. © Aauditoria de autentica minio. o gera eventos no log de seguranga de cada controlador de do- Destaques do Exame Anies de fazer 6 exame, revise os principais pontos € termos apresentados abaixo pa da-lo a identificar os t6picos que vocé precisa melhorar. Volte as licdes para praticar mais € revise as secdes “Outras Leituras” da Parte 2 para obter mais informagdes sobre os t6picos abordados pelos abjetivos do exame. Pontos-Chave a Asassociacdes de grupo ou permissdes, ou ambas, necess4 s de suai jas para criar as conta a Asopcoes disponiveis para criar ou gerenciar varias contas de ustuirio: modelos de usu: rio, importagio c utilitirios de linha de comando, Entenda as diferencas entre as opcdes € 08 pontos fortes ¢ fracos relativos de cada opeao. As propriedades que podem ser a rio, modificar um usuario em Usua modelo, consular com DSQUERY, ou incluir ssadas Ou modificadas, ou Os dois, para criar um ust: >s ¢ Computadores do Active Directory, copiar um modificar usuarios com DSADD ¢ DSMOD. 4 Oprocesso de configuracao de um perfil mével de usuario, de um perfil de usuario md- vel pré-configurado ou de um grupo de perfil obrigat6rio, = O impacto da diretiva de grupo sobre configuragdes de senha € bloqueio de conta = Como fizer a auditoria dos eventos de autenti Termos-Chave Modelo de contade usuario Voce pode conhecer outros termos para isto, masa idéia é a mesma, Uma conta modelo é utilizada como a base de novas contas. Ela 6 copiada124 Capitulo 3 Contas de Usuario Conta desativada versus conta bloqueada Uma conta esta desativada se cla expirou, ou se foi de rador. Uma conta esti bloqueada se ela foi submeti- da.a logons invilidos além do limite especificado pela dirctiva dle bloqueio de conta. Perfil obrigat6rio Um perfil de usuario que nao atualiza as modificagdes entre as ses- sds. Um usuirio pode modificar um perfil obrigatério, mas as alteracdes dos usuarios as quando eles fazem logoff. Os perfis de grupo devem ser obrigat6rios, uma altergao feita por um usuiirio afetari todos os usudt Perguntas e Respostas Revisao da Licao 1 Pe. 86 1. Vocé esta usando Usuarios © computadores do Active Directory para configurar objetos de usuirio no seu dominio, e pode mudar as propriedades de endereco ¢ ntimero de te- Jefone do objeto de ususrio que representa voct mesmo. Entretanto, © comando Novo > Usuiirio nto esti disponivel para voc’. Qual 6 a explicacito mais provivel? Vocé nao tem privilégios suficientes para criar um objeto de usuario no contéiner. Os comandos do snap-in se ajustarao para refletir suas capacidades administrativas. Se voce nao tiver direito para criar um objeto, o comando Novo apropriade nao estara disporivel. 2. Voce extd criando varios objetos de usixério para uma equipe de funcionirios temporarios da sua organizacio. Bles trabalharao diariamente das 9 as 17 horas, com um contrato que deve comegar em um més ¢ terminar dois meses depois. Eles nao trabalharao fora des cronograma. Quais das seguintes propricdades devem ser configuradas inicialmente para garantir © maximo de seguranca para os objetos? a. Senha 1b. Horatio de logon & Yencimento dat conta d.Armazenar senha usando criptografia rev ‘onta de confianga para dele; vel f. 0 usuario deve alterar a senha no proximo logon & Conta desativada hh A senha nunea expira AS resposias corretas S80 a, 0, ©, f, & Quais das seguintes propriedades ¢ tarefas administrativas podem ser configuradas ou exccutadas simultancamente em mais de um objeto de usuario? a. Sobrenome Bb. Nome de logon do usui ©. Desativar conta 4. Ativar conta e. Redefinir senhaBLED aia Perguntase Respostas 125 f. A senha nunca expira gO usuario deve alterar a senha no pré 1 logon. Ih. Horirio de logon mputa i. Restricdes do c idor (estacdes de trabalho de logon) lo k._Direcionar relatorio As respostas corretas so c, d, f, 8, h, i,j. Revisao da Licdo 2 100 la um deles com fulo, pagina na 1. Qual opcio sera mais titil para gerar 100 novos objetos de usuario, c definiedes idénticas para caminho de perfil, caminho de pasta base Web, Empresa, Departamento ¢ Gerente? DSADD sera a opcao mais itil. Vocé pode digitar uma linha de comando que inclua todos os parametros. Deixendo 0 parametro DNUsuério vazio, vocé pode digitar os nomes cistintos dos usuarios um de cada vez no console de comandos. Um modelo de objeto de usuério nao permite cconfigurar opedes incluindo Titulo, Nimero de telefone e Pagina na Web. A gerago de um arqui- ‘vo de texto delimitado por virgules pode ser demorada, por comparacao, e seria um desperdicio de tempo, particularmente com tantos parémetros idénticos. 2. Qual ferramenta permite identificar as contas que nao sao usadas ha dois meses? €. DSQUERY Aresposta correta é e. Qual varidvel pode ser usada com os comandos DSMOD e DSADD para criar pastas bas € pastas de perfil especificas do usuario? a. %lSerName% b. $UserNames c. CN=NomeDotisudrio d, de membros nos gru-BLED aia Lido 1: Entendendo os Tinos e Esconos de Grupos 133 = Existem em todos os dominios de nivel funcional misto, interim ¢ nativo ¢ flores © S6 podem incluir membros de dentro de seus dominios. = Podem se tornar membros de um grupo local de m vaquina ou de dom a Podem receber permiss’io em qualquer dominio (incluindo dominios de confianga de outras florestas ¢ dominios anteriores ao Windows 2003). 1 Podem conter outros grupes globais (apenas nivel funcional de dominio do Windows 2000 nativo ou Windows Server 2003). Grupos Universais Os grupos universaissao usados primariamente para conceder 0 acesso a recursos de todos ‘os dominios confidveis, mas os grupos universais s6 podem ser usados como principal obi to de seguranca (tipo de grupo de seguranc) em um dominio de nivel funcional Windows 2000 native ou do Wi 2003, Os grupos universais podem incluir membros de qualquer dominio da floresta. lows Serve # No nivel funcional de dominio do Windows 2000 nativo ou do Windows Server 2003, os grupos universais podem receber permissdes em qualquer dominio, incluindo os domi nios de outras Mlorestas com as quais exista confianca Q)] | jer eurorunmess aden sui ares econ upc ua gem dominios e executam fungées comuns em toda a empresa. Uma orientagao itil 6 de- tiger como gupee invari aque upoe Go utzarae sla que avrrete mom, Conversao de Grupo Jo no momento de sua ci © escopo de um grupo é deter minio de nivel funcior acho. Entretanto, em um do- de dominio do Windows 2000 native ou do Windows Server 2003, 6s grupos dle dominio local e globais podem ser convertidos em grupos universais, Caso Os gtupos nao sejam membros de outros grupos de mesmo escopo. Por exemplo, um grupo global que 6 membro de outro grupo global nao pode ser convertido em um grupo unive sal. A Tabela 4-1 resume a utilizacio dos grupos de dominio do Windows Server 2003 como os principais objetos de seguranca (tipo de grupo: seguranca). Tabela 44. Escopo de Grupo e Objetos Permitidos Escopo de Grupo _Objetos Pemitidos Dominio de nivel funcional do Windows 2000 nativo ou do Windows Server 2003 Domiinio local Contas de computador, usudrios, grupos globais © grupos universais de qualquer floresta ou dominio de confianca, Grupos locais de dominio do mesmo dominio, Grupes locas de dominio aninhados no mesmo dominio. (continua)134 Capitulo 4 Contas de Grupo Tabela 4-1 Escopo de Grupo € Objetos Peimitidos (continuaeao) Escopo de Grupo _Objetos rmitidos: Global Usuarios, computadores € grupos globa globais aninhados (no m do mesmo dominio. Grupos Universal Grupos universais, grupos globais, usuarios ¢ computack > da floresta. Grupos hades, de do Dominio de nivel funcional do Windows 2000 misto ou do Windows Server 2003 fnterin: Dominio local Contas de computadores, usu Nao podem ser aninhados. ios, grupos globais de qualquer dominio. Global Apenas ust nhadlos. ios computadlores do mesmo dominio. Nao podem ser a Universal Nao dlisponivel Identidades Especiais Existem também alguns grupos especiais chamados identidades especiats que sto gerencia- dos pelo sistema operacional. As identidades especiais nao podem ser criadas ou exclu sua associaclo nio pode ser modificada por administradores. As identidades especiais nio aparecem no snap-in Usuarios © computadores do Active Directory ou em qualquer ou ferramenta de gerenciamento de computadores, mas podem ser atribuidas permissdes em uma ACL. A Tabela 4-2 detatha algumas das identidades especiais do Windows Server 2003. Tabela 4-2 Identidades Especiais e Suas Representaces Identidade Representagao jos atuais da rece, incluindo convidados e os. Sempre que um usudrio far logon na icamente inclufdo no grupo Todos. Todos Representa todos os ust usudrios de outros domi rede, cle é auton Rede Representa os usuarios que no momento acessam dleterminado recurso pela rede (ao contrario dos usuarios que acessam um recurso com logon focal no computiclor no qual o recurso ext localiza). Sempre que um usvidrio acessa dleterminado recurso pe automaticamente incluido no grupo Rede. Interativo Representa todos os usuarios com logon no momentoem determinaco computacior ¢ que acessam um recurso localizado naquele comput dor (ao contrario dos usuarios que acessam recurso pela rede). Sem- pre que acessa determinado recurso no computador ao qual esti com logon, um usuario € automaticamente inclufdo no grupo Interativo. Logon anénimo, © grupo Logon anénimo se refere a qualquer usuirio que esteja utilizando os recursos de rede, mas que nao passam pelo processo de autenticagao, (continua)BLED aia Ligdo 1: Entendendo os Tinos e Esconos de Grupos 135 Tabela 4-2 Identidedes Especiais e Suas Representacées (continvacde) Representagao Inclui todos os usuarios que sto autenticados na rede usando uma conta de usuario valida. Ao atribuir permissOes, voce pode usar 0 grupo Usuririos autenticados no lugar do grupo Todos para evitar acesso anénimo aos recursos. grupo Proprietirio ctiador refere-se ao usuario que criou ou assumiu 4 propriedade do recurso. Por exemplo, um usuiirio criou um recurso, mas © Administrador assumiui a propriedade desse recurso, ento 0 Griador proprietério seria © Adminisirador. Discagem: © geupo Discagem inclui todos que de uma conexio discada. sstio concctados a rede por meio I Atencao Esses grupos podern receber permissdes para recursos de rede, embora seja preciso tomar culdado ao atribuir algumas dessas permissdes de grupo. Os membros des eS grupos nao sao necessariamente usuérics que foram autenticados no dominio. Por exemplo, se voce atvibuir permissdes totals a um compartilhamento para 0 gupo Todos, 0 usuarios que se coneciam de outros dominios terao acesso ao compartilhamento. Pratica: Alterando 0 Tipo e Escopo do Grupo Nest pritica voce obtém experiéncia com a criagtio de grupos € a modificacdo de seu escopo. Exercicio 1: Criando e Modificando um Grupo Neste cio vor’ aktcrard 0 tipo de grupo ¢ seu escopo. 1. No snap-in Usuirios ¢ computadores do Active Directory, crie um grupo de distribuicio global no contéiner Usuarios chamado Agentes 2. Clique com 0 boro direito do mouse no grupo Agentes e, em seguida, selecione Pro- pricdades. Voce consegue alterar 0 escopo € tipo do grupo? Se nao conseguir, por qué? ‘Se no conseguir alterar 0 tipo € escopo do grupo, o dominio no qual vocé esté operando ainda esta no nivel funcional de dominio misto ou do Windows Server 2003 interim. Vocé deve levantar © nivel funcional de dominio do Windows 2000 nativo ou Windows Server 2003 para alterar o tipo ou escopo do grupo. Revisao da Li¢ao As seguint sentadas nesta perguntas € respostas destinam-se a reforcar as principais informacdes apr licio. Se vocé no conseguir responder uma pergunta, revise © material ck li- 10 € tente novamente. As respostas estio na seedo Perguntas © Respostas no final deste capitulo,BLED aia 436 Capitulo 4 Contas de Gruso 1. Que tipo de grupo de dominio é mais parecido com o grupo local de um servidor membro? Em que cles s 2. Se vocé estiver usando grupos univers so com permissdes baseadas nos me ser Verdadeira para 0 grupo univer em seu dominio ou floresta, ¢ precisar dar aces- versal, qual configuracao deve gm um dominio que executa 0 nivel funcional de dominio do Windows Server 2003, quais os principais objetos de seguranca que podem ser um membro de um grupo local? Resumo da Li¢ao = Existem dois tipos de grupos: seguranca ¢ distribuigao. Os grupos de seguranga podem reecber permissdes, cnquanto os grupos de distribuicto sao usados para contZineres de consultas, como os grupos de distribuicao de e-mail, ¢ nao podem receber permissoe: para um recurso. = Aspermissdes de seguranca de um grupo sao atribuidas em uma ACL como qualquer ouro principal objeto de seguranca, como umn usuario ow um computador, + No nivel funcional de dominio do Windows 2000 native ou Windows Server 2003, os grupos do tipo seguranea ¢ distribuicdio podem ser construides no dom glob: ou universal, cada um com um escopo diferente quanto aos principais objetos de seguranga que cles podem conter. io lo Ligao 2: Gerenciando as Contas de Grupo © console Usuarios ¢ computadores do Active Directory 6 a ferramenta priméria que voot is objetos de os, grupos © computado- — do dominio. Na eriagio dos grupos, voe€ configura 0 eseopo, tipo € associagaio de cada um, Yoce também usa o console Usuirios © computadores do Active Direciory para modificar a associtcio dos grupos existentes, Apés esta licao, vocé estara apto a = Criar um grupo m= Modificar a associagao de um grupo = Encontrar os grupos de dominio aos quais um usuario pertence ‘Tempo estimado da ligdio: 10 minutosBLED aia Ligdo 2: Gerenciando as Contas de Grupo 137 Criando um Grupo de Seguranga A fermamenta que voce utilizar com mais freqiigneia na eriag > dos grupos é 0 console Jsudrios € computadores do Active Directory, qual pode ser encontrado na pasta Ferra~ mentas admii vas. De dentro do console Usuarios ¢ computadores do Active Directory ique com o botdo direito do mouse no painel de detalhes do contéiner dentro do qual voce quer criar © grupo e selecione Novo > Grupo. Em seguida, voce deve selecionar 0 tipo ¢ escopo do grupo que deseja eriar. ra O tipo primario do grupo que provavelmente seri criado é um grupo de seguranca, porque se € tipo de grupo utilizado para definir as permissdes de um ACL, Em um dominio de nivel funciona de dominio misto ou interim, voce s6 pode definir um grupo de seguranca para os escopos dominio local e global. Como ilustra a Figura 4-1, voce no pode criar um ‘grupo de seguranca que tenha escopo universal nos dominios de nivel funcional de dominio misto ou interim ee ee ome doe SSS ee ope arte a wees 0 Esc to ov “Teo deans Danio beat seasorea 6 cos pesto a Figura 4-1. Grupos de seguranca em dominios de nivel funcional mistos ou interim. Entretanto, os grupos de dominio local, globais ¢ universais podem ser criados com 0 tipo ded minio de nivel funcional de dominio do Windows Server 2000 nativo © Windows Server 2003, os grupos de seguranca podem ser criados em qualquer escopo. tribuicao em um dominio de nivel funcional de dominio misto ou interim. Em um do- Modificando a Associagao de Grupo ‘A incluso ou exclusio de membros de um grupo também ¢ realizada por meio do console Usuatios © computadores do Active Directory. Clique com 0 botao direto do mouse em qualquer grupo ¢ seleci des de um grupo de seguranca global chamado Vendas.138 Capitulo 4 Contas de Grupo ax ‘eal | Meter] Menbo del Geena | Obie] Sense Esegn ren Teese oo © Sonia © Seasines © sete © bites © ime Figura 4-2 A pagina Propriedades do grupo de seguranga Vencas. ATabela 4-3 explica as guias de configuragio de membro da caixa de didlogo Propricdades, Tahele 43. Configurago da Associagao Guia Funeao Membros Incluir, remover ou listar es principais objetos de seguranca que ner mantém como membros. sse contei- Membro de Incluir, remover ou listar os contéineres que contém esse contGiner como um membro. Consulte Também Consulte 0 Capitulo 3, Contas de Ususrios, para obter informacies. adicionais sobre o uso das ferramentas de linha de comando Servigos de diret6rio para vi sualizar © modificar a associagéo de grupo. Elas incluem DSQUERY, DSGET, DSMOD ¢ DSGROUP. OSGET ¢ perticularmente itil para listar todas as associagSes de grupo de um ususrio, Encontrando os Grupos de Dominio de um Usuario © Active Directory permite aninhamento de grupo flexivel e criativo, no qual podem ser aninhados Os grupos globai m outros grupos globais, grupos universa grupos locais de domi ou Os grupos univers minio loc: podem ser membros de outros grupos universais ou grupos de do- Os grupos de dominio local podem pertencer t outros grupos de dominio local,BLED aia Ligdo 2: Gerenciando as Contas de Grupo 139 flexibilidade tem 0 potencial da complexidade, ¢ sem as ferramentas comretas, seria dificil saber exatamente a quais grupos um usuario pertence, seja direta ou indiret lizmente, © Windows Server 2003 inclu o comando DSGET que resolve esse prob m aviso de comando digite: ramente, dsget user UserND -nenberof [-expand] ° 0 pescquisacos A chave-memberof retorna o valor do atributo MemberOf, mostrando os grupos aos qual usuario pertence diretamente. Adicionando a chave -expand, esses grupos. recursivamente, produzindo uma lista extensa de todos os grupos aos quatis 0 ustiirio pe ntro do dominio. tence d Pratica: Modificando a Associacao de Grupo Nesta pritica, vocé trabalha com as s upo € o aninhamento para identificar quais combinagSes de associacdes de grupo 10 possiveis. Exercicio 1: Aninhamento de Associagées de Grupo 1. Se onivel funcional do dominio ainda nio foi definido como Windows Server 2003, o.console Usurios ¢ computadores do Active Directory para elevar 0 nivel funcional do dominio até © Windows Server 2003. la Usuario Crie trés grupos globais em uma OU (Unida Grupo 1, Grupo 2 © Grupo 3. le Organizacional) denominac 3. Crie trés contas de usuario: Usuario 1, Usuario 2. Usuario 3. 4. Torne Us tétio 1, Usudrio 2 © Usuario 3 membros do Grupo 1 5. Torne Grupo 1 um membro do Grupo 2. Agora quais grupos podem ser convertidos em grupos universais? Teste nao houver erro voce pode converter os grupos 2 ¢ 3). Revisao da Ligao As scguintes perguntas ¢ respostas destinam-se a reforcar as prineipais informacoes apr sentadas nesta licdo. Se voce nao conseguir responder uma pergunta, revise o material cet lico c tente novamiente. As respostas estio na seco Perguntas ¢ Respostas no final deste capitulo. 1. Nas propricdades de um grupo, qual guia voce aces sa para incluir usuarios ao grupo? Vocé deseja aninhar 0 grupo Administradores de TI responsivel pelo grupo Vendas den- to do grupo Vendas, para que seus membros tenham acesso aos mesmos recursos (defi- nidos pels permissoes da ACL) do grupo Vendas. Na pigina Propriedades do grupo. Administradores de TI, qual guia vocé acess eriar essa configuragho?BLED aia 140 Capitulo 4 Contas de Grupo 3. Se 0 seu ambiente consiste em dois dominios, um Windows Server 2003 ¢ outro Win- dows NT 4, quais escopos de grupo voce pode usar para atribuir permissdes sobre quall- quer recurso em qualquer computador membro do dominic? Resumo da Ligao =A modificagao das associagdes de gi computadores do Active Directory. po € realizada por meio do console Usuarios = Se voet acessa as propriedades do pri bro de um grupo, defina a associaco de grupo na guia Membros de, da do objeto de seguranga. Se voc bros, defina os membros do cont ipal objeto de seguranga que deve ser u propriedades acessa 0 contéiner (grupo) que deve manter os mem- ner nat guia Membros. 2 Os grupos podem ser aninhados quando o dominio no qual residem é definide como nivel funcional de dominio do Windows 2000 nativo ou Windows Server 2003. Se 0 dominio estiver no nivel funcional de dominio misto ou interim, o que significa que voce ainda suporta os controladores de dominio do Windows NT, nenhum aninhamento de > ou escopo de um grupo 86 ¢ possivel quando © nivel funcional de dominio é 6 Windows 2000 nativo ou o Windows Server 2003. Ligao 3: Usando a Automacao para Gerenciar as Contas de Grupo Embora 0 console Usuarios ¢ computadores do Active Directory seja um modo conveniente de criar € modificar os grupos individualmente, ele nao ¢ © método mais eficiente de eriar grandes nlimeros de objetos de seguranca, Uma ferramenta incluida no Windows Server 2003, Ldiftle.exe, facilita a importacio e exportacdo de mimeros maiores de objetos de s guranca, incluindo os grupos. Apés esta licdo, vocé estara apto a = Importar os principais objetos de seguranca com LOIFDE = Exportar os principais objetos de seguranca com LDIFDE = Utilizar os comandos DSADD e DSMOD para criar e modificar grupos ‘Tempo estimado da ligao: 30 minutos Usando o LDIFDE © LDIF (Data Interchange Format — Formato de troca de dados) é um padrio de rascunho da Internet p: lo- um formato de arquivo que pode r usado pa a executar operagdes ¢1BLED aia 0 3: Usando a Automagao para Gerenciar as Contas de Grupo 144. tes em diret6rios que se ajustam aos padrOes LDAP (Lightweight Directory Access Protocol — Protocolo de acesso a pastas leves). O LDIF pode ser usado para exportar ¢ importar dados, petitindo operagdes em lotes (batch) como adic io a serem executadkis no Active Directory. © Windows Server 2003 inclui um programa utilitirio chamado LDIFDE, para dar suporte &s operage Irao de formato de arquivo LDIF. es em lole com base no pa © LDIEDE é um utilitirio de linha de comando, disponivel em todas as edigdes do Windows Server 2003. Em um prompt de comando ou shell de comando, voce exccuta 0 utilitirio LDIFDE com as chaves de comando apropriadas. A Figura 4-3 relaciona os comandos primairios usados com 0 LDIFDE que de comando. dio exibidos quando se digita Idifde /? no prompt Figura 4-3 0 arquivo de ajuda de linha de comande LDIFOE. A Tabela 4-4 detalha os comandos LDIFDE prima Tabela 44 Comandos LOIFDE (Primérios) Comando Utilizacao Ativa 6 modo Importacto © p portacao) -f nome de arquivo Entrada ou Said do nome de arquivo -s nome do sereider —__O-servidor a0 qual sera feita a vineulacao ¢ FromDN ToDN Subsitui as ocorréncias de FromDN por ToDN 4 Ativa © modo Detalhado jipath Local de arquivo de log +t pont Nimero de porta (© padrio= 389) + Ajuda (continua)142 Capitulo 4 Contas de Grupo Tabela 4-4 Comandos LOIFDE (Primérios) (continuecdo) ‘Comando Utilizagao Parametros especificos de exportacao -d DNRaiz Ruiz da pesquisa LDAP (0 padrao € 0 contexto de nomeacao) -t Filtro Filtro de pesquisa LDAP (0 padrio é “CobjectClass=)") =p Bscopo_de_Pesquita —_Fscopo de: pesquist (Base/One level/Subtree) lista Lista de atributos (separados por virgulas) que sero pesquisados em. -0 lista ista de atributos (separada por virgulas) a serem omitiles da entrada 8 Desativar pesquisa pagindvel -m Ativar l6gica SAM (Security Accounts Manager) na exportacdo 8 Nio expostat valores bindrios Pardmetros especificos de importa¢ao A importacao conti “objeto existente’ Parametros de credenciais -a UserDN Define o comandoa ser executado usando o nome distinto de usuario € a senha fornecidos. Por exemplo, “en=administrador,de=contoso, de-com senha’. ard ignorando os 170s “Vi enha dle dominio do nome do usudcio -b UserName Domain Define 0 comando a ser executado como s de usuirio. © padre & exccutar usando as eredenci com logon no momento, Bee Ue ices casce rvesicen es WaOoreIe Ea seam oe as db Mundo Real Crlagao de Conta Provavelmente voce teri uma colecao de dados que ja possui muitas das informacdes com as quais voc’ preenchert seu Active Directory do Windows Server 2003. Os dados podem estar em um dominio de nivel inferior (Win- dows NT 4, Windows 2000, Novell Directory Services (NDS), ou em algum: outro tipo de banco de dados (os departamentos de Recursos Humanos sao famosos por compilar dados). Se tiver esses dados de usuario disponiveis, voce pode usé-los para preencher a maior parte do seu Active Directory. Existem muitas ferramentas que to disponiveis para facilitar a extract de dados: Addusers para Windows 4.¢ LDIFDE para Windows 2000, por exemplo. Além disso, a maioria dos GiBLED aia Ligao 3: Usando a Automaco para Gerenciar as Contas de Grupo 143 progea dados para um arquivo de texto separado por virgulas CSV (Comma-Separa- ted-Value ~ Valor separado por virgulas) que pode ser importado pelo LDIEDE, Para os arquivos CSV, porém, é preciso notar que alguns clementos da criagio de objetos sto obrigat6rios, ¢ a falta de elementos no arquivo durante a importacto causa errs. A criacio de grupos, porém, tem apen: os elementos necessirios de um nome distinto (CN=Usutrio) ¢ localiza (DC=Dominio, DE=OU), que provayelmente voce nao preiende omitir. mas de bancos de dados tem a capacidade interna de exportar seus Com um pouco de edicio vocé pode incluir a OU € os dados de grupo no arquivo de importacao, © pode utilizar 0 LDIFDE para tory com muito mais rapidez. ir seu Active Direc Criando Grupos com o DSADD © comando DSADD, introduzido no Capitulo 2, € usado para rectory. Para incluir um grupo use a sintaxe: incluir objetos no Active Di- dsadd group NDGrupo. O parimetro NDGrupo... 6 um ou mais nomes distintos para os novos objetos de usuario. Se um ND incluir um espaco, coloque todo o ND (nome do dominio) entre aspas. O pari NDGrupo... pode ser digitado destas maneiras: metro 2 Pelo pipe de uma lista de NDs de outro comando, como o dsquery. a Pela digitacdo de cada ND na linha de comando, separados por espacos. = Deixando 0 parametro ND vazio, ponto em que vocé pode digitar ox NDs, um de cada ver, no console de teclado do prompt de comando, Pressione ENTER apés cada ND. Pressione CTRL#Z ¢ ENTER apés o tiltimo ND. © comando DSADD GROUP pode assumir os seguintes parimetros opcionais apés o para metro ND: = -secgrp (yes | 710] determina se o grupo é um grupo de seguranea (yes) ou um grupo de stribuico (no). O valor padrao € yes. a -scope | 11 g | ul determina se o grupo é um dominio local (D, global (g, 6 padrio) ou a) -samid NomeSAM = desc Descrigao = -memberof NDGnipo... especifica os grupos 20s qua iDMembros... Como ji foi discutido no Capit metros -s, -u € -P para especificar 0 controlador de dominio no qual 0 DSADD sera executado, ¢ 0 nome ¢ senha do usuario ~ as credenciais — que sero usadas para executar © comando. is © novo grupo seri adicionado. = --membe specifica os membros a serem adicionados a0 novo grupo.444 Capitulo 4 Contas de Gruso a {-s Servidor | -d Dominio) a -u NomeDoUsudrio = -plSenba |") Modificando Grupos com DSMOD © comando DSMOD, apresentado no Capitulo 2, € usado para modificar objetos do Active Directory. Para modificar um grupo, use a sintaxe dsmod group NDGrupo... O comando assume muit: ce -scope. Em geral, por chaves de DSADD, incluindo -samid, -dese, -seegrp voc? nao muda esses atributos para um grupo existente, Em ve sio aquelas que permitem modificar a associagao de um g 2 -addmbr NDMembro...._adiciona membros ao grupo especificado em Grupo. = -rmmbr NDMembro... remov: membros do grupo especificado em Grupo. onde, assim como em todos os comandos de servicos de diret6rio, 0 ND € 0 nome distinto completo de outro objeto do Active Directory, entre aspas se houver espacas no ND. 5 j 7 | Nota Em qualquer linha de comendo, voc’ pode usar apenas -addmbr ou -rmmibr. Voos no pode usar ambos em um Gnico comando DSMOD GROUP. Pratica: Usando LDIFDE para Geren Jos proximos exer jos do A ir as Contas de Grupo as opedes disponiveis para LDIFDE, exporta usud- objeto de grupo no diret6rio, fe Directory ¢ cri u Exercicio 4: Iniciando o LDIFDE Nes xercicio, voc’ rel ona as opgbes de comando disponiveis com o LDIFDE. 1. Abra o Prompt de comando. 2. Para obter uma lista de comandos digite no prompt de comando: Idifde /2. Exercicio 2: Exportando os Usuarios de uma Unidade Organizacional Neste exercicio, voce com todos Os SeUS U portard todo o conteddo de uma OU chamad ios, do dominio contoso.com. M: keting, completa 1. No dominio contoso.com Server1 6 um controlador de dominio de contoso.com) erie OU chamada Marketing, 2. Na OU Marl voce quiver. cting, adicione dois ou trs ususitios. Esses ususirios podem ter 0 nome que 3. Abra o prompt de comando ¢ digite o seguinte comando LDIFDE (0 caractere : indica 9 na proxima linha): continuacBLED aia Ligdo 3: Usando a Automaeo para Gerenciar as Contas de Grupo 145 Idi fde -f marketing. Idf -s serverOl : -¢ “ousMarket ing, de=contoso,dc=com" -p subtree -r : "(objectCategory=CN=Person, CN=Schema, Cl=Conf iguration, : Dc=contoso,DC=con)* A Figura 4-4 mostra 0 codigo em acto. jon Gone agudrio atual wsando SSPI Soars Pacers Figura 4-4 Szida do comando LDIFDE de exportacao do OU Marketing, Isso crit um arquivo LDIF chamado Marketing.ldf pela conexdio com o servidor chamado Server01 e execucio de uma pesquisa na subarvore da OU Marketing de todos os objetos da categoria Person. Exercicio 3: Usando 0 LDIFDE para Criar um Grupo Neste exercicio vod uss {0 LDIFDE para i Marketing de cortoso.com. cluir um grupo chamado Gerenciamento na OU 1. Inicie um editor de texto, como 0 Bloco de notas ¢ crie um arquivo de texto chamado Newgroup.ldf, Salve 0 arquivo como LDIF ¢ nao como um arquivo de texto.) 2. Edite © arquivo LDIF Newgroup.ldf e inclua © seguinte texto: dn: CN=Gerenciamento,0U-Merketing,D¢=contoso,DC-com changetype: add cn: Gerenciamento objectClass: group samAccountName: Marketing 3. Salve ¢ feche 0 arquivo LDIF. 4. Abra opromptde comando, digite o seguinte comand e, em seguida, pressione Enter Idifde -i -£ newgroup.ldf -s servero1 5. Para confirmara criagio do nos A > grupo, ve fique o snap-in Usuarios e computadores do ive Directory Revisao da Ligao As seguintes perguntas e respostas destinam-se a reforcar as principais informagoes apresentadas nesta liclo. Se voce nao conseguir responder uma pergunta, revise © material da Ti cdo € Lente Novamente. AS respostas eso Na seco “Perguntas c Respostas” no final deste apitulo,146 Capitulo 4 Contas de Grupo eguintes comandos LDIFDE alteram a fungao do LDIFDE de portacdo para is classes de objetos é possivel exportar ¢ importar usando LDIFDE? 3. Vocé tem um banco de dados de usuirios que pode exportar arquivos CSV. Voce pode rquivo ou deve criar um arquivo “df manualmente para importacao? Resumo da Ligao © OLDIFDE é uma ferramenta incluida no Windows © export rver 2003 que permite a importacao ao dos daclos de ¢ para o Active Directory J tem um diretorio de dados de usuiitio, use 0 LDIFDE para exportar os dado que devem ser importados para o Active Directory, o que, em geral, é um proceso mais cficiente do que criar cada elemento individualmente & mao. Os arquivos CSV podem ser usados, desde que os dados estejam forma requeridos incluidos ¢ na ordem correta. dos corretamente, com todos os elementos « OLDIFDE pode ser copiado de uma Area de trabalho do Windows Server 2003 para na firea de trabalho do Windows 2000 ou Windows XP para utilizacao com um Active rectory. Exercicio de Cenario de Caso jo A criacio do seu Active I rectory, ¢ tem alguns dados de usuirio do de- mento de Recursos Humanos que incluem nome ¢ sobrenome, endereco € ntimero de: . A diretiva da empresa diz. que o nome de logon do usuario deve sera combinacao entre o nome ou nome inicial ¢ © sobrenome (por exemplo, Bem Smith seria bsmith), 1a melhor manei- 30 grupos e 10 OUs. Em termos prt seu Active Directory 0 mais rapido € facil possivel? Emboranngo haia uma resposta absolutamente correta, existem riveis diferentes de complexidade a serem considerados. Uma combinagao de métodos provavelmente seria o melhor, dadas 2s seguintes consideragdes: ‘0s, qual se 1m Os dados de usuario podem ser editados quando for necessario, mas essas edigdes S80 minimas e os usuarios podem chegar até 0 Active Directory usando 0 LDIFDE.BLED aia Ligdo 3: Usando a Automaco para Gerenciar as Contas de Grupo 147 = A construc dz OU pode fazer parte da construgao do usuério, tudo a partir do mesmo arquivo, com um minimo de edicao. Para as OUs, use o LDIFDE também. = Os grupos podem ser outra questo. Como a associacdo de grupo & um atributo de varios valores do Active Directory, a associagao de grupo deve ser listada, exclusivamente, para cada grupo a medida em que ele é criado. Seriamuito confuse fazer isso dentro de um Gnico arquivo € 08 ertos seriam muito provaveis. Uma abordagem melhor seria fazer as associagdes de grupo individualmente, Laboratorio de Solugao de Problemas A ctiacio de objetos individuais (usuirios, grupos e computadores) em seu Active Directory 6 um processo direto, mas a localizaciio de objetos e suas associacdes apés a criaco de muitos objetos pode ser um desafio. Em um ambiente grande de virios dominios (ou em um ambiente menor mas complicado) a solucao dos problemas de acesso a recursos pode ser dificil. Por exemplo, se Sarah pode acessar alguns, mas nem todos os recursos que Ihe esto desti- nados, cla pode nao ter associacko nos grupos que receberam pemissdes para Os recursos. Se voce tiver varios dominios com varias O1 nio ¢ varios grupos aninhados em cada uma dessas OUs, levaria muito tempo para examinar a associagao de tantos grupos para determinar se 0 usudirio tem a associa jos © comput Vocé usaré o comando DSGET para obter uma listagem abrangente dle todos os grupos dos quais um usurio é membro. Para as finalidades deste laborat6rio, o usuario Bem Smith do dominio contoso.com, a OU Ustsirios ser 1. Selecione um usuario em seu Active Directory para usar como caso de teste nas ctapas a seguir. Se voc nao tiver uma construcio que seja do seu agrado, crie varios grupos aninhados em varias OUs, tornando 6 usuirio um membro de apenas alguns dos grupos. 2. Abra © prompt de comando. sinte comando (substitua Ben 3. Digite o se; utilizando. dsget user "CN=Ban Smith, 0 -nemberof -expand de todos os grupos das quais 6 usuario é um membro é exibida, Resumo do Capitulo dos dentro de qualquer OU dentro do Active Directory 8 Os grupos podem ser c ¢ distribuicio. = Existem dois tipos de grupos: seguranca 1 Existem trés escopos de grupos: dominio local, global ¢ universal. # Acriagio manual de -alizada com’ 0 console Usuirios € computadores do Acti- ve Directory. uposBLED aia 148 Capitulo 4 Contas de Grupo realizada com a ferramenta de linha de comando a A criacao automat LDIFDE. da dos grupo a As Ferramentas de servigos de diretorio como DSQUERY, DSGET e DSMOD podem ser usidas para listar, criar © modificar grupos € suas associag Os tipos de grupos 86 podem ser modificados quando nivel funcional de dominio & pelo menos 0 Windows 2000 na Destaques do Exame es de fazer 0 exame, revise 0» principais pontos € termos que sao apresentados abaixo para ajuda-loa identificar os topicos que precisam de revisao. Retome as ligoes para praticar mais ¢ revise as secdes “Leituras Adicionais” da Parte 2 para obter indicadores de mais informagoes sobre os t6picos abordados pelos objetivos do exame. Pontos-Chave Os tipos de grupos ¢ seus usos disponiveis dependem do nivel funcional do dominio. # Ocscopo dos grupos ¢ suas varias constiucdes de aninhamento dependem do nivel fun= cional do dominio. + Ouso hisico do console Usuarios ¢ computadores do Active Directory na eriagdo de grupos € modificacao de suas associagdes. = Quso hasico do LDIFDE para exportar grupos de um direiSrio para outro e para a eria- cao de grupos. «© Ouso basico de DSGET para star ociacdes compl s de grupo para um usuéirio. Termos-Chave Grupo local (escopo) No nivel funcional de dominio n lerim, esses grupos locais, estio disponiveis apenas nos controladores de dominio ¢ nio no nivel de dominio, Grupo global (escopo) Um grupo que esta disponivel no nivel de dominio em qualquer nivel funcional de dominio Grupo universal (escopo) Um grupo que pode estar disponivel no nivel de dominio em «qualquer nivel funcional, mas que se limita ao escopo de distribuigao nos niveis funcionais de dominio do Windows 2000 misto ¢ do Windows Server 2003 interim. Grupo de seguranga (tipo) Pode ter permissdes atribuidas a uma ACL. Grupo de distribuicao (tipo) Nao pode ter permissdes atribuidas a uma ACL.ETE Ligao 3: Usando a Automaeo para Gerenciar as Contas de Grupo 149 Revisdo da Ligdo 4 74.195 1. Qual tipo de grupo de dom membros’ Como eles sao? Os grupos de dominio local so muito semelhantes aos grupos locais de um servidor membro, ois eles sao, em um dominio de nivel funcional de dominio misto ou do Windows Server 2003 interim, limitados aos computadores nos quais residem, os quais no caso dos grupos de dominio local so 0 controlador de dominio. Até que o nivel funcional de dominio seja elevado até 0 Windows 2000 nativo ou Windows Server 2003, os grupos de dominio local nao podem ser usados para atribuieao de permissao em quaisquer servidores do dominio, a nao ser os controladores de dominio. o tem mais chances de sero grupo local de um servidor de 2. Se voc? estiver usando grupos universtis em seu dominio ou floresta, ¢ precisar dar acesso com base em permissdes aos membros do grupo universal, qual configuracto deve ser verdadeira sobre © grupo universal? Para o grupo universal: ‘= 0 nivel funcional do dominio deve ser 0 Windows 2000 native ou 0 Windows Server 2003. = 0 grupo universal deve ser do tipo seguranga (nao distribui¢ao). 3. Em um dominio executado no nivel funcional de dominio do Windows Server 2003, quais os principais objetos de seguranca que podem ser membros de um grupo global? m Usuarios = Computadores ‘= Grupos universais = Grupos globais Revisdo da Ligdo 2 74,139 1. Nas propricdadk ‘Aguia Membros é usada para incluir membros no grupo. es de um grupo, qual guia voce ace: ssa para incluir usuarios no grupo? 2. Voce quer aninhar o grupo Administradores de TI responsavel pelo grupo Vendas den- two do grupo Vendas, part que scus membros tenham acesso aos mesmos recursos (defi- nidos pelas permissdes de uma ACL) que o grupo Vendas. Na pagina Propricdades do grupo Administradores de TI, qual guia vocé acessa para fazer essas configuracdes? ‘Agula Membros de @ usada para Incluir 0 grupo Administadores de TI ao grupo Vencas. Se © seu ambiente consiste em dois dominios, um do Windows Server 2003 e outro do Windows NT 4, quais escopos de grupo voet pode usar para atribuir permisses para qualquer recurso no computador de qualquer membro de dominio? Em um dominio de nivel funcional de dominio do Windows Server 2003 interim, vocé 36 poderd usar 0 grupos globais como principal objeto de seguranca. Os grupos dominio locais sé serao Siteis nos controladores do dominio do Windows Server 2003 e 0s grupos universais no podem ser usados como grupos de seguranca.em um dominio do nivel funcional de dominio do Wincows Server 2003 interim.BLED aia 450 Capitulo 4 Contas de Gruso Revisao da Licao 3 Pg. 145 altera a funcio do LDIFDE de exportacao 1. Quais dos seguintes comandos do LDIF para importacio? ai bt af ds A resposta correta 6 2. O comanco - altera a fungéo padrao do LDIFDE de exportagéio para impor- tagao. 2, Quais classes de objetos podem ser exportadas € importadas com LDIFDE? Qualquer objeto do Active Directory pode ser exportado ou importado usando 0 LDIFOE, incluindo usuérios, grupos, computadores ou OUs. Além disso, qualquer propriedade desses objetos pode ser modificada usando 0 LDIFDE. 3. Voce tem um banco de dados de usuarios que pode exportar arquivos CSV. Voce pode usar esse arquivo ou deve criar um arquivo *ldf manualmente para importacao? Vooé pede usar um arquivo CSV para importagdo de dados de ususrio para o Active Directory. 0 Windows Server 2003 preencheré os valores faltantes com valores padréo onde for possivel, mas se um item obrigatério estiver faltando no arquivo, a importagae produzira erros ¢ 0 objeto ngo seré criado.5 Contas de Computador Objetivos do Exame deste Capitulo: re gerenciar contas de computador em um ambiente de servicos de diret6rio do Mi- crosoft Active Directory a Solucionar problemas de contas de computador @ Diagnosticar ¢ solucionar questdes relativas a contas de computador, utilizando 0 snap-in Usuarios ¢ computadores do Active Directory do Microsoft Management Con- sole (MMC) & Redefinir uma conta de computador Por que este Capitulo E Importante Como administrador voee sabe que & medida qui acrescentudo izacdo, computadores » miaquinas sao trocadas entre usuarios ou Fungo. ou atualizado, levando A aquisiclo de sistemas substitutos, Cada uma dessas atividades envolve a atualizacio das contas de computador no Active Directory. Assim como um usuiirio é autenticado pelo nome e senha do objeto de usuério, um computador mantém uma conta com um nome ¢ uma senha que sfio usados para criar um relacionamento seguro entre 0 computador e 0 dominio. Um usuario pode esquecer sua senha, exigindo que voce a redefina ou pode sair de -xigindo © desativamento do objeto de usuério. Da mesma forma, uma conta de computador pode exigir redefiniczlo ou desativamento. Neste capitulo, vocé aprender como c1 as propricdades de seguranca necessa © tempo passa, mais hardware € o colocados off-line para reparos, © 0 equipamento antigo € retirado Sud Org: objetos de computador, os quais inclue iS para que 0 objeto seja uma “conta” ¢ ge renciar aqueles objetos usando a GUI (Grafical User Interface ~ interface grafica do usuario) com Usuarios e computadores do Active Directory bem como as poderosas, ferramentas de linha de comando do Microsoft Windows Server 2003. Voc também. revisird sua compreensio do processo por meio do qual um computador assocka-se a um dominio, para identificar os pontos de falha em potencial ¢ solucionar problem: de contas de computador com maior eficié almente, voce dominard as prine pais habilidades necessarias para solucionar e reparar as contas de computador. Ligdes deste Capitulo: = Lido 1: Associando um Computador a um Dominio 153 Gerenciando Contas de Computador 161 = Licio a Licio 3: Solucionando Probl as com as Contas de Computador. score452 Capitulo 5 Contas de Computador Antes de Comecar 2 capitulo apresen idades ¢ os conceitos relacionados dor no Active Directory. Se voc’ quiser praticar usando os exemplos ¢ exercicios de labora t6rio do capitulo, tenha o seguinte preparado: As capa Uma maquina com 0 Windows Server 2003 (Standard Edition ou Enterprise Edition) talaclt como Server 01 € configurada como controlador de dom so.com. = Asunidades organizacionais de primeiro nivel (OUs): “Grupos administrativos’, “Areas- DeTrahalho” ¢ “Servidores”. 2 Lim grupo de seguranca global, nomeado como Implantacio na OU Grupos administratives = Oconsole Usuarios e computadores do Active Directory, ou um console do MMC personalizado com © snap-in Usuarios ¢ computadores do Active Directory. = Um exercicio, associanclo um computador a. um dominio, s6 6 possivel se voce tiver um segundo computador executando 0 Microsoft Windows 2000 Professional, 0 Windows XP ou 0 Windows Server 2003, com conectividade com 0 Server01. Os servigos DNS dc vem estar adequadamente configurados no Server01 ou em outta parte, ¢ © segundo computador deve ser configurado para usar aquele servidor DNS, para que ele possa localizar o controlador de dominio (Server01) de conteso.com,BLED aia igo 1: Associando um Computador a um Dominio 153 Ligado 1: Associando um Computador a um Dominio A configuracio padrio do Windows Server 2003 ¢ de todos os sistemas operacionais Micro- soft Windows estabelece que o computador pertenca a um grupo de trabalho. Em um grupo de trabalho, um computador Windows NT (que inclui o Windows NT 4, Windows 2000, Windows XP ¢ Windows Server 2003) pode autenticar 08 usudrios apenas a partir de scu banco de dados Security Accounts Manager (SAM). Esse é um sistema isolado que serve a todas as intengoes ¢ finalidades. Sua associacao de grupo de trabalho tem um papel minimo, especificamente no servigo de navegador, Embora um usuario dese computador possi se conectar a compartilhamentos de outras maquinas de um grupo de trabalho ou dominio, © usu realmente com logon no computador com um conta de dominio, io nunca esta Anies de poder fazer 0 logon em um computador com su conta de usuiirio de dominio, aquele computador precist pertencer a. um dominio, AS duas ctapas necessirias para asso ciar um computador a um dominio sto: eriar uma conta para © computador ¢ configurr 0 computador para associar o dominio utilizando aquela conta. Esta ligdo concentra-se nas ca pacidades relacionadas criagao das contas de computador ¢ a associagto dos computadores aos dominios, A proxima ligio explora com detalhes as contas de computador propriamente ditas. Os computadores mantém contas, a senha ¢ 0 identificador de seguranga (SID). m como os usuarios, as quais incluem uM nome, uma 1s propriedades sio incorporadas classe do objeto de computador dentro do Active Directory. A preparacdo para que um computador , portanto, um proceso incrivelmente semelhante faca parte do seu domi para que um usutrio fa no Active Directory. preparacio um objeto de computsdor voce deve parte do seu dom ‘Ap0s esta licao, voce estara apto a = Criar contes de computador usando Usuéirios e computadores do Active Directory Ctiar contes de computador usando a forramenta de linha de comande DSADD Criar contes de computador usando a ferramenta ce linha ce comando NETDOM Associer um computador a um dominio alterendo 2s propriedades de identificacdo da rede Entender aimportancia ds eriagao de contas de computador antes de essociar-se @ um dominio Tempo estimado da ligdo: 20 minutos Criando Contas de Computador Vood deve ser um membro dos grupos Administradores ou Operadores de contas nos controladores de dominio para criar um objeto de computador no Active Directory. Administra dores de dominio ¢ Administradores de empresa so, como padre, membros do grupo Administradores. Alternativamente, € possivel delegar a administracao para que outros ‘étios Ou grupos possam criar objetos dle computador. ntretanto, os usudrios de dominio também podem criar objetos de computador por meio de um interessante proceso indireto, Quando um computador é associado ao dominio © nao existe uma conta, 0 Active Directory cria um objeto de computador automaticamenteBLED aia 454 Capitulo 5 Contas de Computador como padrio na OU Computers. Cada usuario do grupo Users autenticados (que, na vere! de, sf todos 0s usuarios) tem permissio para associat 10 computadores ao dominio e, por nto, pode criar até 10 objetos de computador dessa forn Criando Objetos de Computador Usando Usuarios ¢ computadores do Active Directory Para ¢ abra Us um objeto de computador, ou “conta ios © computadores do Active Directory ¢ selecione 0 contéiner ou OU no qual voce deseja criar 0 objeto, No menu AGO ‘ou no menu de atalho selecione 0 comando Novo > Computador. A caixa de didlogo Novo objeto-Computador é exibida como mostra a Figura 5-1 Figura 54 A caixa de dilogo Novo ebjetoComputador. Na caixa de didlogo Novo objeto-Computador digite o nome do computador. As outras propriedades dessa caixa de didlogo serao discutidas na proxima licao. Clique em Avangar, A proxima pagina da caixa de didlogo solicit um GUID (Identificagao global exclusiva), Uma GUID é usada para aprontar uma conta de computador para a implantacko dos servidores RIS (Remote Installation Services, Servicos de instalaclo remota), os quais estao além do es copo desta discussio. Nao 6 preciso digitar uma GUID ao critr uma conta de computador para uma maquina que ser todos. As car em Avancar €, em 5 sociada ao dominio usando outros m im, basta cli- ida, em Concluir. Criando Objetos de Computador Usando o DSADD Provavelmente, vocé jf fez isso antes. Mas antes de resolver que no hi naca de novo sob sol, ‘6 Windows Server 2003 fomece uma ferramenta util de linha de comando, 0 DSADD, que pet mite criar objetos de computador partir do prompt de comando ou de um arquivo em lotes, No Capitulo 2, Adminisirando 0 Microsoft Windows Server 2003, voce usou o DSADD pat criar objetos de usuario, Para criar objetos de computador, basta digitar dsadd computer NDComputador, onde NDComputador ¢ 0 nome distinto (ND) do computador que voce deseja adicionar, como CN=Desktop123, Ol sDeTrabalho, DC=contoso, DC=com.BLED aia Ligdo 41: Associando um Comoutador a um Dominio 155, 0 ND do computador incluir um espaco, coloque todo 0 ND entre aspas, © parimetro NDComputador... pode incluir mais de um nome distinto para os novos objetos de compu dor, tornando 6 DSADD Computer um modo titi po. © parimetro pode ser digitado destas manciras: rt genir viirios objetos ao mesmo tem- = Fazendo 0 pipe de uma lista de NDs de outro comando, como o dsquery = Digitando cada ND na linha de comando, separados por espagos. = Deixando vazio 0 pa ver, no console de teckado do prompt de comando. Pe Pressione CTRL+Z ¢ ENTER ap6s o tiltimo ND. metro ND, ponto em que vocé pode digitar os NDs, um de cada ne ENTER apds cada ND. © comando DSADD Computer pode assumir os seguintes parimetros opcionais aps © pa- ramewo ND: = -samid NomeSaM ad ¢ Descrigdo a -loc Local Criando uma Conta de Computador com NETDOM © comando NETDOM esti disponivel como um componente day Ferramentas de Suporte: pode ser instalado da pasta \Support\Tools do CD de instalacao do Windows Server 2003. © comando também esti disponivel nos CDs do Windows XP e do Windows 2000. Use a versio que for apropriada para a plataforma, O NETDOM permite executar intimeras tarefas de conta de dominio e tarefas de seguranca na linha de comando, Para criar uma conta de computador c um dominio, digite 0 seguinte comando: netdon add NomeDoComputador /domain:NoneDoDeminic /userd: Usuario /PassworD:SenhaDeUsuério [/ou:nD0U) sse commando eria a conta de computador para 0 NomeDocomputadordo dominio Nome- DoDominio usando as credenciais de dominio Usuario e SenhaDoUsudrio, © parimetto Jou faz. com que 0 objeto seja criado no OU especificado pelo nome distinto ADOUque vem depois do parimetro, Se nenhum NDOU for fornecido, a conta de computador 6 eriada na OU Computers como padrio. Obviamente, as credenciais de usudirio tém permissdes para criar objetos de computador. Associando um Computador a um Dominio £0 rektcionamento se; arse ao dominio. Uma conta de computador sozinha nao 6 suficiente para cessario entre um dominio © uma maquina. A maquina deve asso Pai sociar um computador 20 dominio, execute as seguintes ctapas: 1, Clique com 0 botdo direito do mouse em Meu Computador ¢ selecione Propriedade: Clique na guia Nome do computador. Q Abra o Painel de controle, selecione Sistema ¢ na ¢: sistema clique na guia Nome do computador. 1 de didlogo Propriedades do456 Capitulo 5 Contas de Computador @ Abra as propriedacles Nome do computador para 0 computador, podem ser acessadus de varias manciras ee Nos sistemas Window cione © comando Identificaca Nota _Aguia Nome do computador 6 chamade de Identificagio de rede nos sistemas Win dows 2000. 0 botdo Alterar é chamado Propriedades. A funcionalidade, porém, é idéntica. 2000 abra a pasta Conexoes de rede no Painel de controle sel 0 de rede no menu Avangado. Na guia Nome do computador, clique em Alterar, A caixa de didlogo Alteragdes de nome de computador, mostrada na Figura 5-2 permite alterar o nome, 0 dominio ¢ a associa de grupo de trabalho do computador. Q Dia do Exame Vocé nao pade alterar o nome ou a associagiio de um computador se no estiver com logon com credenciais administrativas naquele sistema, Apenas 0s usuarios que pertencem ao grupo local Administradores terdo o botao Alterar ativado e funcional (eS ea Figura 52 A caixa de didlogo Alteracdes de nome de computador. io € digite 0 Na caixa de didlogo Alteragdes de nome do computador clique em Domi nome do dominio. CQ] _| Bia, embora o nome de dominio NetBIOS (simples) nossa serbem-sucedidona localiza a0 do dominio de destino, amelhar praticaé gitar o rome DNS do dominio de destino. A configuraco DNS ¢ ortica para um computador Windows 2000, Windows XP ou Windows Server 2003. Usendo o name de dominio DNS. vocé aproveita o procesco preterido de resolucao de nomes ¢ testa a configuraczo de DNS co computador. Se 0 computador n&o conseguir locaiizar 0 dominio que voce est4 tentando associar verque se as entradas do senigor de ONS corfiguradas para a conexio de rede estdo coretas.BLED aia igo 1: Associando um Computador a um Dominio 457 5. Clique em OK. O computador entra em contato com o controlador de dominio. Se houver algum problema com a conexo ao domi mine a conectividade ¢ configura- io da rede, bem como a configurigio do DNS. io, €9 Quando 0 computador faz, contato com 0 dominio, voce recebe uma mensagem como a pedindo o nome ¢ a senha do usuario que tem privilégios para associar-se 20 dominio. Observe que as credenciais solicitadas sto seu nome de usuitio e senha no dominio. (Serr I 2 eh pees ate eee eon ete orpusay tect teed [O mmeeeee a] 2| sete: casccne Figura 5-3 Aviso pedindo as credenciais para associarao ao dominio. Se voce ndocriou uma conta de computador de dominio com um nome que coincida com 0 nome do computador, o Active Directory cria uma conta automaticamente no contéiner padro Computers. Apés uma conta do computador de dominio ter sido criada ou localizada, © computador estabelece um relacionamento de confianca com 0 dominio, altera seu SID para coincidir com aquele da conta ¢ faz as modificaces em suas associagdes de grupo. Em seguida, © computador deve ser reinicializado para coneluir 0 processo. trabalho ou um servidor a um dominio. Sua funcionalidade € idéntica a da interface de usuario Alteragdes de nome de computador, exceto que ela também permite especitficar a OU ne qual a conta sera criada, caso ainda nao exista um objeto de computador no Active a Nota _O.comando NETDOM JOIN também pode ser usado para assoviar uma estagdo de Directory. 0 Contéiner Computers versus OUs O contéiner Computers é 0 local padrio para os objetos de computador do Active Directory. Ap6s um dominio ser atual computador se encontram se associa ao dominio ¢ nio hi uma conta no dominio para aqucle computador, um objeto de computador € criado automatticamente no contéiner Computers.BLED aia 158 Capitulo 5 Contas de Computador Q) Dica_0 Mireeoft Windowe Serer 2003 Rocourc Kitindul a forramenta REDIREMP eve Babe besa ais is ecorteaior i wilt wen cees aemner or Sona ements sls eieaes Gn unk OU cee pearl cece tdci ine Embora o contéiner Computers seja 0 contéiner padrao dos objetos de computador, ele nao € 0 cont@iner ideal para os objetos de computador. Ao contriirio das OUs, como Computers, Users e Builtin nfio podem ser vinculados a diretivas, limitando 0 escopo {vel da diretiva de grupo centrada no computador, Um projeto de melhor pritica para 0 -ctory inclui pelo menos uma OU para os computadores. Quase sempre existem para os computadores, com base na divisao administrativa, regio ou para aad- tracdo separada de laptops, desktops, servidores de arquivos ¢ de impressio ¢ servidores de aplicativos. Como exemplo, existe uma OU padrao para os Domain Controllers no Active Directory, « qual esta vinculada is diretivas padres de controlador de dominio. Ao ‘ou mais OUs ra configura para computadores, uma organizacio pode delegar a administracto 20 dos computadores com maior flexibilidade por meio da retiva 20 tem um ou mais OUs para computadores, vod deve mover todos os objetos de computaclor criados automaticamente do contéiner Computers para 0 OU apropria~ do. Para mover um objeto de computador, selecione o computador ¢ escolha Mover no menu. Acio. Alternativamente, use 0 novo recurso de arrastar ¢ soltar do MMC para mover 0 objeto. (a Dica Como um objeto de computador da OU Computers no & govemado elas diretivas de grupo vinculadas as OUs que sua organizacao criou especificamente para os computa doves, e como é preciso uma etapa extra para mover um objeto ce computador da OU Com puters para OU apropriada, recomendase a eviacao dos abjetes ce computador antes de associaro computador ao dominio. Vac® pode eriar 0 objeto de computador inicialmente na OUcorreta, para que apéso sistema se associar 20 dominio ele seja imediatamente 1egido pelas diretivas vincvladas Aquela OU Voce também pock mover um objeto de computador, ou qualquer outro objeto, com 0 comando DSMOVE. A sintaxe do DSMOVE é: dsmove ADObjeto [-newname NovoNeme] [-rewparent DPoi] © parametro -newname permite renomear um objeto. © parimetro -newparent permite mover um objeto. Para mover um computador chamado DesktopABC do contéiner Compu- ters para a OU AreasDeTrabalho, digite 0 seguinte: dsmove "CN=DesktopAEC, Ch \reasDeTrabalho,0C=Contoso, DC=con" ‘omputers,D¢=Contoso,DC=com" -newparentBLED aia igo 41: Associando um Computador a um Dominio 159 Nesse comando vocé vé novamente a distincao entre 0 contéiner (CN) Computers ¢ a wri dade organizacional (OV) AreasDeTrabalho. Voce deve ter permissdes apropriacas para mover um objeto no Active Directory. As per- adores de conta movam os objetos de computador omputers e quaisquer OUs, excetode ¢ para a ontrollers. Os adminisiradores, que incluem os Administradores de dominio ¢ tradores de empresa, podem mover os objetos de computador entre quaisquer ineres, incluindo © coni@iner Computers, a OU Domain Controllers e quaisquer outras Pratica: Associando um Computador a um Dominio do Active Directory Nes 1 contas de computador usando console Usuiirios ¢ computador do Active Directory ¢ 0 DSADD. Em seguida, voce pod um computador ao dominio, s& tiv acesso a um segundo sistema, Exercicio 1: Criando Contas de Computadores com 0 console Usuarios e computadores do Active Directory 1. Abra Ustirios © computadores do Active Directory. 2. Na OU Servidores crie um objeto de computador part um computador chamado SERVER02”. Configure apenas © nome do computador. Nio altere nenhuma das outras propriedades p: Observe que, como um usufrio, um computador tem dois nomes ~ o nome do computador eo nome do computador “anterior ao Windows 2000”. A melhor pritica ¢ manter os nomes iguais. Exerciclo 2: Crlando Contas de Computador com o DSADD 1. Abra © prompt de comando. 2. Digite 0 comando: dsadd computer “cn=desktop03,ou=servidores ,de=contoso,dc=com* Exerciclo 3: Movendo um Objeto de Computador 1. Abra Usuitrios © computadores do Active Directory. 2. Usando © comando Mover, mova 0 objeto de computador Desktop03 da OU Servidores a OU AreasDeTrabalho. 3. Arraste Server02 do contéiner Servidores para o continer Computers. 4. Sclecione © contéiner Computers part confirmar se Server02 chegou 20 lugar certo, jt que arrastar-e-soltar € uma operigao sujeita a erres.BLED aia 160 Capitulo 5 Contas de Computador 8) Rosoidando 0 MMC é netério por ecusar pequenos ataques de paniso. Ele nao se atual 29 automaticamente. Vood deve usar 0 eomando Atuaizar ou 2 teoto de atalho (FS) para atvalzar 0 console apée fazer uma atoragéo come mover um objeto. 5. Abra as propriedades do contéiner Computers. Voce veri que elas nao tem uma guia Di- retiva de grupo, a0 contririo de uma OU como Servidores, Essa ¢ uma das rat quais as empresas criam uma ou mais OUs para os objetos de computador. 6. Abra um prompt dle comando. 7. Digite 0 comando: dsmove "CN=Server02,CN=Computers ,DC=contoso,DC=com" -newparent "QU=Servidores,DC=contoso,DC=com" Esse comando, como vocé ja deve ter deduzido, move o objeto de computador de volta a0 OU Servidores. 8. Confirme que o computador esti novamente na OU Servidores. Exercicio 4 (Opcional): Associe um Computador a um Dominio e exercicio requer um sistema adicional com conectividade de rede no ServerJ1, Além isso, © DNS deve ser configurado corretamente para que os registios de servico do § ver01 (SRV) sejam criados, O computador adicional deve ter 0 DNS configurado para poder: localizar © Server01 como um controlador de dominio de conteso.com. ¢ voc? tiver um sistema adic al que pode ser associado zo dominio no proximo exercicio, crie uma conta para cle na OU AreasDeTrabalho usando Usuarios ¢ compu- > nome tadores do Active Directory ou DSADD. Cert do computador. ique-se de que o nome é igual ica logon no computador, Voce deve fazer logon como uma conta com assoc grupo Administradores local do computador para modificar sua associagio de dominio. Localize « guia Nome do computador abrindo Sistema no Painel de controle, ou no co mando Identificacao de rede no menu Avangado da pasta Conexdes de rede. 4. Clique em alterar. 5. Clique em Domi 6. Clique em OK. 10 ¢ digite © nome de dominio do DNS, contoso.com. 7. No aviso, digite as credenciais da conta Administrador do dominio contoso.com. 8 Clique em OK. 9. O computador pedira para voee rei cada ne 0 Sis lizar. Clique em OK em cada mensagem ¢ feche Revisao da Ligao As seguintes perguntas ¢ respostas destinam-se a reforgar as principais informacées apre sentadas nesta lio. Se voce nao conseguir responder uma pergunta, revise o material cea li-BLED aia Ligdo 2: Gerenciando Contas de Computador 161 10 € tente novamente, AS res no final deste pitulo. post estio na se do Perguntas © Resp 1. Quais sao as credenciais minimas necessirias para criar uma conta de computador do Windows Server 2003 em uma OU do dominio? Considere todas as etapas do processo, ssuma que o Active Directory ainda ndo tem uma conta para 0 computador. a. Administradores de dominio 1b. Adminisiradores de empresa ¢. Administradores de um controlador de dominio 4. Operadores de conta em um controlador de dominio . Operadores de servidor em um controlador de dominio f. Operadores de conta no servidor 8. Operadores de servidor no servidor 1h, Administradores no servidor ais localizaces permitem modificar a assoctacao de dominio de um computador Windows Server 20037 a. As propriedades de Meu Computador b. 0 aplicativo Sistema do Paine! de controle €. Usuirios e computadores do Active Directory dA pasta Conexd €. O aplicativo U Qua Active Directory? a. NETDOM b. psapp c. DSGET d. NETSH fe. NSLOOKUP side rede irios do Painel de controle is ferramentas de linha de comand criam uma conta de computador de dominio no Resumo da Ligao = Os membros dos grupos Administradores ¢ Operadores de con missio para criar objetos de computador no Active Directory. ém, como padrao, per= a Usuéirios ¢ computadores do Active Directory, DSADD ¢ NETDOM podem ser usados para criar contas de computador. 2 Voce deve ter logon como membro do grupo focal Administrador Sor o de dominio de uma maqui es part modificar a a Ligao 2: Gerenciando Contas de Computador Na ligio anterior, Yoo? examinou os Componentes fundamentais do relacionamento de um computador com um dominio: a conta do computador, 10 do computador ao A assoBLED aia 162 Capitulo 5 Contas de Computador dominio, Esta ligdo vé com mais detalhes o objeto de computador no Active Directory. Voce aprende sobre as outras propriedades ¢ permissdes que fazem os objetos de computador “funcionar”, ¢ como gerenciar essas propriedades ¢ permissdes usando a GUI ¢ as ferramentas de linha de comando. ‘Ap6s esta licao, voce estara apto a = Configurar as permisses de um novo objeto de computador do Active Directory = Configurar as propriedades de um objeto de computador do Active Direstory = Encontrar e gerenciar as contas de computador usando Usuarios € computadores do Active Directory Tempo estimado da li¢do: 10 minutos Gerenciando Permissdes de Objeto de Computador Na Licao 1 voce aprendeu que € possivel associar um computador a um dominio, fornecen- as durante 0 is para realizar determinada tarefa, ¢ parece excesso necessitar de Administradores do dominio para adicionar uma 4rea de trabalho ao dominio. mente, 0 Active Directory permite controlar, com grande quantidade de detalhes, os grupos ou usudrios que podem associar um computador a uma conta de computador de do- Embora 0 padro seja Administradores do don tir que qualquer grupo (por exemplo, um grupo chamado “Instakadores”) associe uma miquina a uma conta tlizaclo com mais Facilidide quando se cria © objeto de computador. io, voce pode per so Gr Quando voeé cria um objeto de computador, a primeira pigina da caixa de diilogo Novo objeto ~ Computador (anteriormente mostrada na Figura 5-1) © seguinte usu: grupo pode ssociar este computador a um dominio, Clique em Alterar € voet poder cionar qualquer usuario ou grupo. iS pemissoes do objeto de computador no Active Directory. A pagina seguinte da caixa de didlogo Novo objeto - Computador pede o identificador global exclusivo (GUID) do computador, o qual € neces sistema usando 0s Servigos de Instalacio Remota (RIS). Para obter outras informagdes sobre o RIS, consulte o Knowledge Base on-line da Microsoft em buip://support. microsofi.com. 2 © computador que esti usando a conta que voce esta criando executa uma versio do Windows anterior 4 verso 2000, selecione a caixa de selecio Atibuir esta conta de computador como um computador pré-Windows 2000. Se a conta for um controlador de dominio. de backup do Windows NT, clique em Atvibuir esta conta de computador como um contro lador de dominio de backup.BLED aia Ligdo 2: Gerenciando Contas de Computador 163 Q) Disa Lafejecgn 28 le apne oe on anu ones Gar MUP NG! Sao egIOR WNRIGNE NT Pile parecer a Uh dcinls a patents 9 Witsone OF Winiors Gee NNcioe ale sees ae de eebgad slounva eabyarts irons NT 4 Configurando as Propriedades de Computador Os objetos de computador tém diversas propriedades que nao esto visiveis quando se cria ma conta de computador na interface de ususirio. Abra ¢ eaixa de didllogo Propricdades do objeto de computador para definir sua localizacao ¢ descrigao, configurar suas assockacous de grupo ¢ permissoes de discagem ¢ vinculd-la 2 um objeto de usuario gerente do computador. A pagina de propriedades Sistema operacional é apenas para leitura. As informacde: sao publicadas automaticamente no Active Directory ¢ ficam em branco até que um compu- tudor tenha se associado a0 dominio usando aquela conta. Viirias classes de objetos do Active Directory suportam a propriedade Gerente que é most 4 na piigina de propriedades Gerenciado por de um computador. Essa propriedade vincu- Jad cria uma referéneia eruzada com um objeto de usuitio. Todas as outras propriedades ~ ox enderecos € ntimeros de telefone ~ sto exibi mente do objeto de usuir mazenaclas como parte do objeto de computador propriamente dito. nao So a © comando DSMOD, propr xima sey mo foi discutido no Capitulo 2, também pode modific es de um objeto de computador. Vocé vera o comando DSMOD em agao 0 sobre solugio de problemas de contas de computador. Localizagao e Conexao de Objetos no Active Directory Quando um usuario liga para yoc€ com um determinado problema, voce quer suber qual sistema operacional € pacotes de sevigos (service pack) estd instalado no sistema daquele svario. Vocé aprendeu que essas informa: io armazenadas como propricdades do objeto de computador. Assim, o Gnico desafio ¢ localizar o objeto de computador, o que pode ser mais dificil em um Active Directory complexo com muitos dominios ¢ varias OUs. © console Ustirios © computadores do Active Directory fomece acesso facil « uma podero- ferramenta de pesquisa grafica. Essa ferramenta pode ser usada para encontrar uma va~ riedade de tipos de objetos. Nesse contexto, porém, sua pesquisa inclu um objeto do tipo Computador. Clique no botio Localizar objetos do Active Directory na barra de ferramentas do console. © resultado € a caixa de didlogo Localizar computadores mostrada na Figui 5-4, Voce pode selecionar 0 tipo de objeto (Localizar), o local para pesquisar (Em) ¢ especi- 08 critGrios de pesquisa antes de clicar em Localizar agora, tc A lista de resultados permite sctecionar um objeto ¢, no menu Arquivo ou no menu de ata- Iho, executar as tarefas comuns no objeto sclecionado. Muitos adminisiradores gostam de saber que & possivel usar 0 comando Gerenciar para abrir 0 console Gerenciamento de computador para conectar-se diretamente aquele computador, permitindo examinar seus logs de evento, 0 gerenciador de dispositivas, as informacdes de sistema, a configuracio de isco € servieos ou as contas de usuario ou grupo local.464 Capitulo 5 Contas de Computador ee E =IB)xi rasvo fear Ex Auto Leon [lepanioe =] En[GTomerDraee =] _Prnuae Congas | varcads | the dcop: [Poon i Eingo: Roser a [oes ee Figura &-4 A caixa de didlogo Localizar computadores apss uma pesquisa bem-sucedida, Pratica: Gerenciando as Contas de Computador Ne pritica, vo esquisa um objeto de computador ¢ modifica suas propriedades. Exercicio 1: Gerenciando as Contas de Computador 1. Abra Usuarios ¢ computadores do Active Directory. 2. Selecione a OU Grupos de seguranga ¢ crie um grupo de seguranga global chamado Implantacao. 3. Selecione a OU AreasDeTrabalho. 4. Crie uma conta de computador para Desktop04. Na primeira pagina da caixa de didlogo Novo objeto — Computador clique em Alterar em O seguinte usuario ou grupo pode a dominio. L este computador au ne Usudirio ou Grupo ¢, em c implantagao na eguicda, clique em OK. .a de diilogo $ 5. Conelua a eri 9 do objeto de computador Desktop04 Exereicio 2: Localizando Objetos no Active Directory 1. Abra Usuarios ¢ computadores do Active Directory. 2, Na barra de ferramentas clique no icone Localizar objetos no Active Dir story. 3. Como pada ¢ grupos. pronta para pesquisar Usuirios, contatos mputadores na lista suspensst Localizatr € selec {6rio na lista suspensa Em. 4, No campo Nome do computador digite Server ¢ clique em Lo \cluindo ServerD1, Um conjunto de resultados apareceBLED aia Ligdo 2: Gerenciando Contas de Computador 165 Exercicio 3: Alterando as Propriedades do Computador 1. No conjunto de resultados retornado no Exercicio 1, abra a caixa de diilogo de propriedades do Server01. 2. Clique na guia Local. 3. Digite Sala do servidor na sede. 4. Clique na guia Gerenciado por ida, clique em Alterar. 5. Digite Hank e, em seguida, clique em OK. © cor 6. Observe que sio exibidas as informacdes de nome de ust 7. Clique na guia s versio do pacote de servigos istema operacional. Observe que a versio do sistema operacional ¢ a iG 8. COpcional) Se voce associou um segundo computador ao dominio do Exercicio 4, Liga0 1, abra as propricdades caquele objeto de computador ¢ anote as propriedades de Siste- ma operacional daquele computador. Revisao da Ligao As seguintes perguntas ¢ respostas dlestinam-se a reforcar as principais informagoes apr sentadas nesta licao. Se voce nao conseguir responder uma pergunta, revise © material da li- (0 c tente novamente. As respostas esto na secao “Perguntas © Respostas” no final deste capitulo, 1. Quais pla a, Windows 95 b. Windows NT 4 cc. Windows 98 d. Windows 2000 e. Windows Me f. Windows XP g. Windows Server 2003 aformas podem associar um dominio? Vocé abre um objeto de computador ¢, na guia Sistema operacional, descobre que nao ha propriedades. O que 1 falta? aus Um executivo tem um laptop com 0 Windows XP, com um nome de maquina “TopDog’. Vocé quer permitir que o laptop do executivo se associe ao dominio e quer ter certeza de que o computador esta configurado pels diretivas de grupo vinculadas ao OU Areas: DeTrabalho imediatamente, Como voc’ atinge esse objetivo?BLED aia 166 Capitulo 5 Contas de Computador 4. Por que é uma melhor pritica criar uma conta de computador no dominio antesde asso ma méquina ao dominio? Resumo da Licao + Vocé pode permitir que qualquer usuirio ou grupo associe um computador a ume cont de dominio utilizando as propriedade do objeto de computador pata associar usudries ou grupos ao computador do dominio. # Obotdo Localizar objetos no Active Directory da barra de ferramentas do console Usud tics € computadores do Active Directory permite pesquisar © gerenciar os objetos de computador ¢ outros objetas do Active Directory, Ligao 3: Solucionando Problemas com as Contas de Computador Os dominios do Active Directory tratam os computadores como principais objetos de segu- rang nifica que um computador, assim como um usudirio, tem uma conta especificamente, propriecades dentro do objeto de computador como um nome, uma senha um SID. Assim como as contas de ususrio, 2s contas de computador exigem manuten- cdo €, eventualmente, soluctio de problema: o concentnt-s€ nas cap: conceitos relacionados & solugio de problemas dos objetos de computadores, ou, mais idades ¢ nos Apos esta lig20, voce estara apto a = Entender aimportante diferenca entre exoluir, desativar e redefiniras contas de computador = Reconhecer os sintomas dos problemas de conta do computador = Solucionar problemas de contas de computador excluindo, desativando, redefinindo ou reas- sociando, usando ferramentas de linha de comando e de interface de usuario Tempo estimado da Ii : 20 minutos Excluindo, Desativando e Redefinindo as Contas de Computador As contas de computador, assim como as contas de usuario, mantém um SID exclu qual permite que um administrador conceda permiss6es aos computadores, Assim como as contas de usuario, os computadores podem pertencer a grupos. Assim como nas contas de usuario, é importante entender 0 efeito da exclusio de uma conta de computador. Quando uma conta de computador 6 excluida, sua clusto for acidental ¢ outra conta de computador for criada com © mesmo nome, cla é uma conta nova de qualquer mancira ¢ tem um SID novo. As associagoes de grupo devem ser reestabelecidas ¢ todas as permissdes atribuidas 40 computador excluido devem ser reatri- buidas 2 nova conta. Exclua objetos de computador apenas quando tiver certeza que nao daqueles atributos de seguranca do objeto. s associagdes de grupo ¢ SID se perdem. Se a ex- necesita m:PTE Ligao jolucionando Problemas com as Contas de Computador 167 Para excluir uma conta de computador usando Usuarios e computadores do Active Dire tory, localize ¢ sclecione 0 objeto de computador e no menu Ac&o ou menu de atalho se~ lecione 6 comando Excluir. Vocé deve mar a exclusio ¢, devido ao fato da exclusio no ser reversivel, a resposta padriio do aviso € Nio, Selecione Sim € © objeto excluido. A ferramenta de linha de comando DSRM apresentada no Capitulo 3 permite excluir um objeto de computador no prompt de comando. Para excluir um computador com o DRM digit DSRM NOObjeto Onde NDOBetO€ o nome distinto do computador, como “CN=Desktop15, OU=AreasDeTra- balho, DC=contoso, DC=com”. Vocé devera confirmar a exclusio. Q) Dica Quando um computador é desassociado de um dominio ~ quando um administrador altera a associacao do computador a um grupo de trabalho ou outro dominio ~0 computa: dor tenta excluir sua conta de computador no dominio. Se nao for possivel fazer isso por cause da falta de conectividade, problemas de rede ou de credenciais e pemmissoes, a conta permanecera no Active Directory. Ela pode aparecer, imediatamente ou eventualmente, como desativada. Se essa conta nao for mais necesséria, ela deve ser excluida manualmente. n computador € retirado da rede ou se nao sera utilizado por um perfodo extenso, voce pode desativar a conta. ‘Tal acao reflete o principio de seguranca, segundo o qual um arma- snamento de identidades permite apenas a autenticacao do ntimero minimo de contas n As para atingir os objetives de uma or 10. O desativamento da conta nao modifica 6 SID do comp\ 0 de grupo a quando © computador for conectado a rede novamente: assim, a conta pocle ser © menu de atalho, ou menu de Aco, de um objeto de computador selecionado expde 0 comando Desativar conta, Uma conta desativada aparece com um icone de *X” vermelho no console Ususrios ¢ computadores do Active Directory, como mostra a Figura 5-5, Figura 5-5 Uma conta de computador desativada. 7BLED aia 168 Capitulo 5 Contas de Computador Enquanto uma conta esti ‘© computador nio pode criar um canal seguro com 0 dominio. O resultado 6 que os usuarios que nao estavam com logon anteriormente no compu to, nao tém credenciais na meméria do computador, nao conseguirao fazer 0 logon até que © canal seguro seja restabelecido pela ativagio da conta, esta Jor e que, por Para ativar uma conta de computador, basta selecionar o computador ¢ escolher 6 comando Ativar conta nos menus Acio ou de atalho, Para des comando DSMOD modifica os objetos do Active Directory. A sintaxe us var os computudores &: DSMOD COMPUTER NOComputador -DISABLED YES DSMOD COMPUTER NOComputador -OISABLED NO ativar ou ativar um computador no aviso de comando, use © comando DSMOD. O vativar ada para de oua Se as associ iacdes de grupo de uma conta cle computador, o SID ¢ as permissdes atr juele SID, sio importantes operacdes de um dominio, voce nao pode exelui Ja conta, Assim, 0 que voce ndo um computador € trocado por um sistema novo, com hardwa io no qual voce redefiniria uma conta de computador, qui atualizado? Esse € um cent A redefinigio de uma conta de computador redefine sm todas as pro- dades de objeto do computador. Com uma senha redefinida, a conta torna-se na verda para uso. Em seguida, qualquer computador pode se associar ao dominio usando aquela conta, incluindo o sistema atualizado. nha, mas mant Na verdade, 0 computador que havia se associado ao dont usar a conta redefinida para reassociar-se ao dominio, mais detalhes na liclo de solugio de problema: ‘antes com aquela conta pode a realidade sera explorada com © comando Redefinir conta esté disponivel nos menus Ago € de atalho quando um objeto de computador esta selecionado. O comando DSMOD também pode ser usado para redefinir uma conta de computador com a seguinte sinta dsmod computer NOConputador -reset © comando NETDOM, incluido com as F diret6rio Support\Tools do CD-ROM de instala conta de computador, Reconhecendo Problemas de Contas de Computador 2 computador, ¢ 0s relacionamentos seguros entre computadores ¢ seus dominios slo resistentes. Nos raros casos em que uma conta ou canal seguro é quebrado, os sintomas da falha geralmente sao 6bvias. Os sinais mais comuns de problemas com a conta de computador 20: = Mensagens no logon indicando que um controlador de dominio nao pode ser contacta~ do, que a conta de computador esté faltando ou que a confianga Coutra forma de dizer “o relacionamento seguro”) entre 0 computador € o dominio se perdeu. Um exemplo é mostrado na Figura 5-6.BLED aia Li¢do 3: Solucionando Problemas com as Contas de Computador 169 1\, owogors na coe cree se an mini trae ootia ernst tlasde ou snore on sas» corse commusor ‘on erertacs Tons noramnte maetarr Seestsmorsagrn ‘pores naman ee em couscomo stranseano'@ Sora Es] Figura 5.5 A mensagem de logon de um cliente Windows XP, indicando um possivel problema de conta de computador. 1 Mensagens de erro ou eventos no log de eventos indicam problemas semelhantes ou sugerem que senhas, confianeas, canais seguros ou rel com um controlador de dominio falharam, lacionamentos com 0 domi = Uma conta de computador esti faltando no Active Directory. Se uma dessas situacdes ocorrer, voce deve solucionar os problemas da conta, Voce aprendeu anteriormente como excluir, desativar ¢ redefinir uma conta de compu do capitulo, como a dor e, no inicio sociar uma maquina ao dominio. As regras que governam a solucdo de problemas das contas de computador sio: A. Se a conta de computador existe no Active Directory, cla deve ser redefinida B, Sea conta de computador esti faltando no Active Directory, voc deve criar uma conta de computador. C. Se 0 computador ainda pertence ao dominio, cle deve ser removido do dom terando sua associagao a um grupo de trabalho. O nome do grupo de trabalho ¢ inn levante. A melhor pratica ¢ tentar selecionar um nome de grupo de trabalho que nao esteja em uso. D. Reassocie 6 computador ao dominio. Alterna dominio; maso nove computador deve ter © mesmo nome da conta de computador. mente, associe outro computador a0 Para solucionar qualquer problema de conta de computador, aplique todas as quatro regras. Essas regras podem ser abordadas em qualquer ordem, exceto pela Regra D, que envolve a reassociagio do computador ao dominio, que sempre deve ser executada como a Gltima etapa, Vamos examinar dois No primeiro cenario, um usuario reclama que quando tenta fazer o logon, o sistema apresenta mensagens de erro indicando que a conta do computador pode estar faltando. Apli- cando a Regra A, voce abre Usuatios © computadores do Active Directory € descobre que conta de computador existe. Vocé redefine a conta. A Regra B nao se aplica—a conta existe. Em seguida, usando a Regra C, voce desassocia 0 sistema do dominio e, seguindo a Regra D, re issocia © domi Em um segundo cenario, se uma conta de computador for redefinida por acidente, o primeiro item que ocorreu ¢ a Regra A. Embora a redefinicao seja acidental, vocé deve continuar a recuperacio aplicando as trés regras. A Regra B nao se aplica porque a conta existe no do~ minio. A Regra C indica que se 0 computador ainda est associado ao dominio, ele deve ser removido do dominio. Entio, pela Regra D, cle pode ser rassociado ao dominio.BLED aia 470 Capitulo 5 Contas de Computador Com essas quatro regras, voce pode tomar uma decisio bem informada, no trabalho ou nc ‘exames de certificicio, sobre como abordar qualquer censrio no qual uma conta de computador tenha perdido a funcios Pratica: Solucionando Problemas de Contas m um cenitio realista. Um usirio do dominio © logon em Desktop03, Nesta pritica, voc’ soluciona problemas contoso.com enira em contato com voc’ ¢ reclama que quando fa recebe a seguinte mensagem de erro: *O Windows nao pode conectar-se a0 dominio, porque o controlador do domi lisado ou indisponivel, ou porque a conta de computador tarde. tema’, jo esta par: Jo foi encontrada. Tente mais rador do si ‘esta mensagem aparecer novamente, entre em contato com o admi Ous aardou, tentou no logon, recebeu a mesma mensagem, aguardou novamente e recebeu a mesma mensigem pela terceira vez, © usuario passou 20 minutos tentando fazer 0 logon. Obviamente frustrado o usuario entra em contato com vocé pedindo auxilio. Exercicio 1: Solucionando Problemas de Contas de Computador 1. Identifique a causa mais provavel para o problema do usuario: a. O usudrio digitou um nome de usuario invalido, Bb. 0 usuario di ‘ério selecionou © dominio incorreto na I c Ous ta Fazer logon em. 4d. © computador perdeu seu canal seguro com 0 dominio. €. 0 registro do computador esti corrompide. £. © computador tem uma ditetiva que evita que 0 us Aresposta correta, como vocé ja deve ter deduzido, & d. 0 computador perdeu seu canal seguro com 0 dominio, kirio aca o logon interativamente 2. Identifique as etapas na lista absixo para solucionar problema. Coloque-as na ordem, alve: ja preciso usar todas as etap: a. ative a conta de computador. b. Altere Desktop03 para pertencer a contoso.com. ¢. Determine se a conta de computador existe no Active Directory. d. Redefina ou recrie a conta de computador. €, Altere Desktop03 para um grupo de trabalho. Exelua a conta de computador. g. Desative a conta de computador. A resposta correta S20 as etapas e. c,d e b. A etapa e nao precisar vir primeiro. Ela apenas tem de ser feita em algum momento antes da etapa b. As etapas c e d devem ocorrer nessa ordem, antes da etapa b que deve ser a Giltima Exercicio 2: Recuperacao de Problemas com Contas de Computador Abra Usuarios e computadores do Active Directory.BLED aia Li¢do 3: Solucionando Problemas com as Contas de Computador 474. 2, Clique em Localizar objetos no Active Directory © px 3. Desktop03 apa pitulo. io 1 deste ca 4, Apés identificar a existéncia da conta, redefina a conta clicando com 0 botao direito do mouse em Desktop03 ¢ selecionando Redefinir conta. Revisao da Ligao As seguintes perguntas e respostas destinam-se a reforgar as prineipais informagdes apresentadas nesta li > conseguir responder uma pergunta, revise o material da i- «Ao € tente Novamente. As respostas est Na Secao “PerguNtas Respostas” no final deste capitulo. 0. Se voot 1. Apés um periodo de expansio, sua empresa eriou um segundo dominio. No tiltime final de semana, varias maquinas que estavam em seu dominio foram movidas part 0 novo dominio, Quando voce abre Usuarios ¢ computadores do Active Directory, os objetos dessas méquinas ainda esto no seu dominio e sio exibidos com um icone de “X” verme- Tho. Qual 6 a aco mais apropriada neste caso? a. Ativara b. Desativar contas as contas ¢. Redefinir as contas ccluir as contas Um usuario reporta que du computador nao podia se contactar com © dominio, porque o controlador de dominio estava parado ou porque a conta de computador estava faltando. Voce abre Usui computadores do Active Directory e descobre que a conta daquele computador esta fa tando, Quais Sio as ctapas necessiri te uma tentativa de logon, un Um usuario reporta que durante uma tentativa de logon, uma mensagem indica que 0 computador nao pode se contactar ao dominio, porque o controlador de dominio esta parado ou conta de computador esté faltando, Voce abre Usuarios e computadores do Active Directory ¢ a conta daquele computador parece estar normal. Quais sio as ctapas jas para solucionar este problema? Resumo da Ligao 4 Os computadores mantém contas que, assim como os usuarios, inclucm uM SID € asso- ciages de grupo. Cuidado 20 excluir objetos de computador. Desativar objetos de computador permite ativalos novamente quando © computador precisir participar do dominiBLED aia 172 Capitulo 5 Contas de Computador 1 Os problemas com as contas de computador geralmente so muito evidentes, com mensagens cle erro e registros de eventos que indicam problemas em uma conta, senha, ¢ nal seguro ou relacionamento de seguranca, 1 Usindo as quatro regras da Lieto 3, voet pode solucionar quase todos os problemas de contas de computador Exercicio de Cenario de Caso A Contoso resolve abrir duas presentantes de vendas em cada cem na tabela ab : Leste ¢ Oeste. Si0 comprados computadores para 10 re- jo. As cliquetas fixadas aos computadores apare- Filial Leste Oeste EB.2841 WB3748 EB-2842 374) EB-2843, 3750, EB-2844 EB-2845 EB-2846 ED-2847, EB-2848 EB-2849 EB-285). A sua tarefa € preparar o Active Directory para a implanta 10 desses computadores. Exercicio 1: Criar as OUs Grie duas OUS no dominio contoso.com: FilialLeste ¢ FilialOeste, Digite os nomes mostra- dos. Nao coloque espaco entre as palavras. Exercicio 2: Faga o Script da Criacao das Contas de Computador 1. Abra 0 Bloco de ne 2 Digi .guindo este exer OSADD COMPUTER “CN=E8-2641, OU-FilialLeste,| Repr de Vendas" -loc “Escritorio Filial Leste” 2 uma linha para cada computador, s -desc "Computador ‘Verifique se modificou o parlmetro CN= para coincidir com a etiqueta fixada em cada computador, ¢ 0s parimetros Us ¢ -loc para refletir 0 nome e a descricio da localizacao da de cada computador.BLED aia jolucionando Problemas com as Contas de Computador 173 Lieao ilve 6 arquivo como “C:\ScriptComputers.bat” € verifique se colocou 6 nome entre a Pas, Caso Contrario o Bloco de notas acrescenta uma extensio .txt automaticamente. :\scriptcomputers, 4, Abra um aviso de comando ¢ digite Jor, e as OUs Filial- nte, postanto pressione F5 para 5. Confirmea gericio bem-sucedida das contas de compu uminande Leste € FilialOeste. © MMG nao atualiza automaticat AsO nao Veja OS Computadores. Laboratorio de Solugao de Problemas Ap6s um final de semana no qual um consultor executou manutengio nos computadores da Filial Le de logon. Voce examina o log de eventos de um dos computadores da filial e descobre 0 seguinte evento: ‘0s usuirios reclamaram de probl Fs) =| Sax 28/005 Fe Une mos Gee nes eal tee tow, jaa} osee AmuonicsDe hnavereM ™ Commenter SERVED tess Ptcogrnpea pao cra naam fren aa a cema Loman vide oth sve satan fdatansuncaiariveanal Parece haver um problema com computador. Quais das seguintes etapas devem ser executadas para corrigir 0 problema? 1. Excluir as contas de computador 2. Redefinir as contas de computador 3. Associar os computadores a um grupo de trabalho Desativar as contas de computador 5. Redefinir as contas de computador 6. Ativar as contas de computador Criar novas contas de computador 8. Associar os computadores 20 dominioBLED aia 174 Capitulo 5 Contas de Computador As respostas corretas sao 5, 3 ¢ 8. Essa é a soluugao mais eficiente; ela envolve a redefinicgo das contas de computador e a reassociecao das maquinas ao dominio. Exercicio 1 (Opcional): Simulagao do Problema Se voce associou um segundo computador ao dominio Contoso na Lico 1, mova o objeto daquele computador para a OU FilialLeste. Em seguida, em Usuarios ¢ computadores do Active Directory, redefina a conta de computador. Quando reinicializar 0 computador, tente fazer logon no dominio. Voce foi bem-sucedick E possivel fazer logon nas contas de dominio da Contoso que usoU no passado para fazer 0 logon no computador? Por qu logons na memoria.) inio, as quais nunca tiveram lo- Voce consegue fazer 0 logon com as novas contas de don gon no computador? Quando tenta fazer isso, voce recebe uma mensaigem de erro tipica in dicando que a conta do computador pode estar faltando. ior local © 4 logon como Administ aparecem? amine o log de eventos. Quais mensagens de erro Exercicio 2: Redefina Todas as Contas de Computador da Filial Leste 1. Abra um aviso de comando. 2. Digite 0 seguinte comando: DSQUERY COMPUTER “OU=Fi1 {alLeste,DC=contoso,DC-com" Esse comando consulta ums lista de computadores da OU FilialLeste no Active Directory. Alista deve coincidie com as contas de computador rio de Caso. 3. Digite 0 seguinte comando: DSQUERT COMPUTER “OU-Fil121Leste,OC=contoso,0C=con™ | OSMOD COMPUTER -RESET Desta ver, 10s © pipe dos resultados do comando DSQUERY para a entrada do DSMOD. O comando DSMOD COMPUTE-RESE’ \o foi cump redefine cada uma daquelas contas. A mis Exercicio 3 (Opcional): Reassocie o Domini Se vocé tiver um segundo sistema, basta redefinir sua conta de computador. Agora voce pode priticar a remoc2o da méquina do dominio, alterando sua associaco a um grupo de trabalho. Ap6s reinicializar, associe novamente 0 dominio, Resumo do Capitulo = No Active Directory voce deve ter permissdes para criar um objeto de computador. Os Administradores ¢ Operadores de conta tém permissdes suficientes ¢ é possivel delegar permissdes aqueles usuarios ou gruposBLED aia jolucionando Problemas com as Contas de Computador 175 Lieao a Acc assoc um objeto de computador, voc’ pode especificar qual usu #6 computador ao dominio usindo aquela conta jo ou grupo pode 4 Oconsole Ustiirios e computadores do Active Directory permite desativar, ativar € redefinir os objetos de computador, iar, modificar, excluir, No aviso de comando voce pode criar um objeto de computador com 0 comando DSADD Computer ¢ mosificar suas propriedades usando 0 DSMOD Computer. # ODSMOD Computer também é utilizado para redefinir, desativar ¢ ativar um objeto de computador. © DSRM remove um objeto de computador. A ferramenta de suporte, NETDOM, inclui intmeras chaves para realizar tarefas semelhantes. = Uma recupericio comum de solugio de problemas inclui a reeriagao ou redefini uma conta de computador, a remocao do computador do dominio ¢ a reassociteao do dominio. Destaques do Exame Antes de realizar © exame, revise os principais pontos € termos que Sio apresentados @ se~ guir para ajuda-o a identificar os topicos que precisam ser revisados. Retome as ligoes para praticar mais ¢ revise a seco “Outras Leituras” na Parte 2 para obter indicacdes de mais informagdes sobre os t6picos abordados pelos objetivos do exame. Pontos-Chave a Identifique as permissdes minimas nec iar um objeto de computador no Active Directory, ¢ as permissdes necessirias para alterar @ associac3o de uma maquina entre grupos de trabalho e dominios. © Conhega a sintaxe dos comandos DSADD, DSMOD ¢ DSRM. Lembre-se que DSMOD ¢ DSADD exigem um ou mais nomes distintos como parametros. O comando DSQUERY pode ser usado para fornecer esses nomes ao DSMOD. 1 Scja bastante claro quanto as diferencas entre desativar, redefinir ¢ excluir uma conta de computador. Qual € 0 impacto de cada uma dessas alternativas para o objeto de computador, seu SID ¢ associacio de grupo ¢ para o sistema propriamente dito? a Saiba as quatro regras para solucionar problemas de contas de computador. Aplique todas as quattro sempre, ¢ voce respondera todas as perguntas de solugao de problemas de contas de computador. . 10 de objetos no Active Directory, ¢ com 0 gerenciamento 's objetos a partir dos resultados de pesquisa, Esse conjunto de capacidades apli- it jetos do Active Directory ¢ a diversos objetivos do exame de certificagio. Termos-Chave Conta de computador Uma conta critda no Active Directory que identifica exclusivamente © computador no don176 Capitulo 5 Contas de Computador lerguntas e Respostas Revisdo da Ligdo 4 Pg. a6 1. Quais sfio as credenci mas necessérias para criar uma conta de computador do Windows Server 2003 em uma OU de um domiinio# Considere todas as ctapas do proces- ». Assuma que 0 Active Directory ainda nao tem uma conta para © computador. mi a. istradores de domi b. stradores dle empresa c istradores de um controlador de dominio: d. Operadores de conta em um controlador de dominio . Operadiores de servidor em um controlador de dominio f. Operadores de conta no servidor 1B Operadores de servidor no ser 1h, Administradores no servidor {As respostas corretas sao de h. Os Operadiores de conta de um controlador de dominio recebem o minimo necessério de permissies para criar um objeto de computador no dominio. Vocé deve ser lum membro do grupo local Administradores no servidor para alterar sua associaga0 de dominio. 2. Quais locais permitem que voce altere a asso dows Server 2003? 10 de dominio de um computador Win @. AS propricdades de Meu computador b. Oapli istema do Painel de Controle ©. Usuarios e computadores do Active Directory dA pata Conexdes de rede €. © aplicativo Usuarios do Painel de controle ‘As respostas corretas sio 9, b € d. ivo S 3. Quais ferramentas de linha de comando criam uma conta de computador de dominio no Active Directory? d, NETSH e. NSLOOKUP As respostas corretas sao ae b. Revisdo da Ligdo 2 Pa. 165 1. Quais plataformas podem assoctar um dominio? a, Windows 95 b. Windows NT 4 c. Windows 98 d. Windows 2000BLED aia jolucionando Problemas com as Contas de Computador 4177 Ligao . Windows Me f. Windows XP Windows Server 2003 As respostas corretas sob, d, fe. 2, Voce abre um objeto de computador ¢, na guia Sistema operacional, descobre que nao hi propriectades. O que causit a Falta dessas propriedades “aus Um computadornao associou o dominio usando aquelaconta. Quando um sistema associa o dominio, como padrao ele preenche es propriedades mostradas na guia Sistema operacional. Um executivo tem um laptop com 0 Windows XP, com um nome de maquina “TopDog’. Vocé quer permitir que o laptop do executivo se associe a0 dominio e quer ter certeza de que o computador esti configunido pelas diretivas de grupo vine A ‘Trabalho imediatamente. Como voce atinge esse objetivo? Crie um objeto de computador na OU AreasDeTrabalho para 0 computador TopDog. Ao criar a conta, selecione a conta de usuario do executivo para a propriedade O seguinte usuario ou grupo pode associar este computador a um dominio. Qual éa melhor pratica para criar uma conta de computador no dominio antes de iar uma miquina a dominio? Existem diversos motives pelos quais 6 uma melhor pratica criar uma conta de computador no dominio antes de associar uma maquina ao dominio. A primeira razéo esté relacionada ao fato de que se uma conta nao € criada com antecedéncia, uma conta sera gereda automaticamente quando o computador associar 0 dominio, € essa conta estaré localizeda no contéiner padréo Computers. 0 resultado é cue as diretivas de computador, as quais em geral esto vinculadas a OUs especificas, ndo se aplicar8o a0 computador recém associado. E, como a maloria das empresas tem OUs especificas pare computadores, voce tem uma etapa extra a ser lembrada: mover 0 objeto de computador para a OU correte apos a associagao do dominio. Finalmente, 20 criar um objeto de computador com antecedencia, voce pode especificar quais grupos (ou usuarios) tem permisszo para essociar um sistema ao dominio que tem aquela conta. Em resumo, ‘voce tem mais flexibilidade e controle durante a implantagao. Revisao da Ligao 3 Pg. 171. 1. Apos um perioclo de expansao, sua empresa criou um segundo dominio. No ultimo final de semana, varias maquinas que estavam em scu dominio foram movidas para 0 novo dominio. Quando voce abre Usuarios ¢ computadores do Active Directory, os objetos dessas méquinas ainda estio no seu dominio ¢ sio exibidos com um icone de “X" verme- Iho. Qual 6 a ago mais apropriada neste caso? a. Ativara b. Desativar as contas ¢. Redefinir as contas d. Excluir as contas A resposta correta é d. Quando as méquinas foram removidas do dominio, suas contas nao foram excluidas, provavelmente devido as configuragGes de permissdes. As maquinas agora pertencem a outro dominio. Esses contas no sao mais necessarias. contas nte um 2. Um usuario reporta que du tentativa de logon, uma mensagem computador nao podia se contactar com dominio, porque o controlade jue o de dominioBLED aia 478 Capitulo 5 Contas de Computador estava parado ou porque a conta de computador estava faltando. Voce abre Usuitri¢ computadores do Active Directory ¢ descobre que a conta daquele computador esta tando, Quais sio as tapas necessarias pant solucionar o probl Criar uma conta de computador, desassociar o computador do usuario do dominio e, em seguida, reassocia-la ao dominio. © fal- Um usudrio reporta que durante uma tentativa de logon, uma mensagem indica que 0 computador nao pode se contactar ao dominio, porque © controlador de dominio est ado ow a conta de computador esti faltando. Vocé abre Usuitrios e computadores do Active Directory ¢ a conta daquele computador parece estar normal. Quais sio as etapas sirias para solucionar este problema? Redefinir 2 conta de computador, desassociar 0 computador do dominio e, em seguida, reassocia-la a0 dominio. nec6 Arquivos e Pastas Objetivos do Exame deste Capitulo: # Configurar 0 acesso a pastas compartilhadas, a Gerenciar as permissdes de pastas compartilhadas = Configurar as permi des do sistema de arq 9 Verificar as permissdes efetivas ao conceder perm 2 Akterar a propriedade de arquivos ou p: # Solucionar problemas relacionados ao acesso rquivos © pastas compartilh: = Gerenciar um servidor Web 08 Servigos de Informacoes da Internet (11S) ar seguranga do [IS Por que este Capitulo E Importante Entre os desafios diarios mais comuns que voce enfrenta como administrador esto tarefas relacionadas & manutengio dos arqui ios de sua organizacdo precisam ter, Quando um usuitrio vos e pastas da rece = recursos que os usud jo consegue acessar um recurso que precisa para realizar uma tarefa comercial, o telefone do suporte t6c- nico toca. Como resultado, voce perde tempo € dinheiro modificando permissées ou associacdes de grupo para corrigir 0 problema. Quando um recurso sigilc do por alguém que nao deveria fazer isso, 0 telefone da sua mesa toca ~ e como resultado, vocé talvez tenha que perder tempo e dinheiro procurando um novo emprego. Sem dtivida, voce j4 experimentou os componentes fundamentals da seg Fecursos nas tecnologias Windows ~ « atribuicdo de permissdes de acesso aos us ios ou grupos. O Microsoft Windows Server 2003 oferece aperfeicoamentos, nuan- ces, ferramentas e capacidades que esto além do conjunto de recursos do Windows 2000 e Windows XP, ¢ que sao totalmente diferentes daqueles do Windows NT 4, Cada uma dessas adicées afetara as melhores praticas de gerenciamento ¢ solug problemas de arquivos © pas Neste capitulo, voce revisara os conceitos e capacidades relacionados ao gerencia mento das pastas compartilhadas ¢ exa partilhadas. Vocé também vai explorar 0 Editor da lista de controle de acesso, ou ltor ACL, com suas varias caixas de didlogo, cada uma delas suportando funcional dades importantes. Apds examinar uma variedade de configuragdes de permissio, lard as permissoes efetivas, 0 conjunto resultante de permissoes para um. inca de com-BLED aia 480 Capitulo 6 Arquivos e Pastas sde ust usudirio com base nas permis io € grupo, fard a configurag&o da auditoria para monitoraracesso € operagdes especifivos de arquivos. Finalmente, voce recosre- 14.40 IIS que, assim como o servigo de Compartilhamento de arquivos ¢ pastas, oferece outra forma de fornecer acesso de rede a arquivos e pastas. Ligdes deste Capitulo: a Licdo 1: Configurando as Pastas Compartilhadas . .181 = Licdo 2: Configurando as Permissdes do Sistema de Arquivos . . cerengeAoO = Licko 3: Auditando 0 Acesso ao Sistema de Arquivos 207 a Licao 4: Administrando os Servigos de Informagdes da Internet. . = 213 Antes de Comegar Este capitulo apresenta as capacidades e os conceitos relacionados &s contas de computa- ¢ voc’ quiser praticar usando os exemplos e ado: dor no servico Microsoft Active Directory. exercicios de laboratério do capitulo, tenha o seguinte prepa = Lim Windows Server 2003 (Standard ou Enterprise Edition) instalado como Server e gurado como um controlador de dominio em conioso.com. a Asunidades organizacionais de primeiro nivel (OUs): "Grupos de se} e“Funcio- nirics” ranca’ = O grupo Usuarios do dominio deve ser membro de Operadores de impressao para que, durante 0s exercicios de laborat6rio, os usuirios “normais” possam fazer 6 logon em um controlador de dominio. inco grupos de seguranca local de dominio na OU Grupos de seguranea, Equipe proje- to 101, Equipe projeto 102, Engenheiros, Gerentes ¢ Contratantes do projeto. = Contas de usuario na OU Funcionarios para Scott Bishop, Danielle Tiedt ¢ Lorrin Smith-Bates, sendo que Scott Bishop pertence aos grupos Engenheiros, Contratantes do projeto e Equipe projeto 101, Danielle Tiedt pertence aos grupos Engenheiros ¢ Equipe projeto 101 e Lorrin Smith-Bates pertence aos grupos Gerentes e Equipe Projeto 101 a Acesso ao snap-in Gerenciar pastas compartilliadas por meio do console Gerenciamento do computador, ou pelo console Gerenciamento de servidor de arquivos (lisponivel via Gerenciar 0 servidor) ou de um console MMC personalizado.BLED aia Ligdo 4: Configurando as Pastas Compartihadas 181 Ligao 1: Configurando as Pastas Compartilhadas NOs nao terfamos as redes, ou nossos empregos, Se as organizacdes no achassem valioso fomecer acesso as informacdes € recursos amazenados em um computador aos usuarios de ‘outro computador, A criagio de uma pasta compartithada pars fornecer tal acesso esti, portanto, entre as tarefas mais fundamentais de qualquer administrador de rede. As pastas compartithadas do Windows Jo gerenciadas compartilhadks. Apés esta ligo, vocé estara apto a = Criar uma pasta compartilhada com 0 Windows Explorer e com snap.in Gerenciar pastas compartithadas. = Configurar permissdes e outras propriedades das pastas compantinadas. = Gerenciar sessdes e arquivos abertos Tempo estimado da ligdo: 45 minutos Compartilhando uma Pasta © compartihamento de uma pasta configura o servico Compartilhamento de arquivos ¢ impressoras para o servico de redes Microsoft (também conhecido como Servico de servidor) 1 pasta em suas subpastas por parte dos clientes rosoft (também conhecido como o para permitir conexées de rede com aquel que executam © Cliente para redes Mi de trabalho). Certamente voce jé compartihou uma pasta usando 6 Windows Explorer dando um clique com 0 botao direito do mouse em uma pasta, selecionando Compartilha- mento ¢ seguranga, Compartilhamento ¢ sclecionando Compantithar esta pasta. ‘ervico Esta tO, & conhecida guia Compartithamento da caixa de didlogo de propriedades de uma pasta do Windows Explorer s6 esta disponivel quando voce configura um compartilhamento enquanto esté com logon interativo em um computador ou por meio dos servicos de | Nao ¢ possivel compartilhar uma pasta em um sisiema remoto usando 0 Windows Explorer. Assim, voc? examinard a criago, as propriedades, a configuraglo ¢ © gerenc mento de uma pasta compartilhada usando 0 snap-in Gerenciar pastas compartithadas, que pode ser usado em sistemas locais € remotos Quando voed abre o snap-in Gerenciar pastas compartillaadas, seja como um snap-in perso- nalizaclo do console MMC, ou como parte dos consoles Gerenciamento do computador ou Gerenciamento de servidor de arquivos, voce nota imediatamente que o Windows Server 2003 tem diversos compartilhamentos dministrativos pad yurados. Esses compartilhamentos forecem conexao com o diretério de sistemas (em geral, C:\Windows) © com 0 dirctorio raiz, de cada unidade de disco rigido fixa, Cada um desses compartithamen- 108 utiliza eifrdes ($) no nome do compartithamento. © sinal de cifiao no final de um nome de compartilhamento configura 0 compartilhamento como conipartilbamento oculto que nao aparecers nas listas de pesquisa, mas que voce pode conectar a uma UNC (Universal Naming Convention ~ Convencao universal de nomenclatura) na forma de \\nomedoserei- dor\nomedocompantithamentoS. Apenas os administradores podem se concctar 40s compartilhamentos administrativos.BLED aia 182 Capitulo 6 Arcuivos e Pastas Para compartilhar uma pasta em um computador, conecie-se ao computador usando 0 snap-in Gerenciar pastas compurtilhadas, clicando com 0 hotio direito do mouse no direté » raiz do né Pastas compart mputador, Apés indo o computador, clique no n6 Companthamentos ¢, no menu de atalho ou no menu Agao, sclecione Novo compartilhamento. Um Assistente se abrira, as paginas ¢ configuragdes importantes expostas por esse assistente indo Conectar-se a outro c% las ¢ selecion = A pagina Caminho da pasta Di; disco rigido. Por exemplo, se a pasta estiver local nho da pasta dleve ser D:\ nomedapasta. ite 0 caminho para a pasta nas wnidades locais de ada na unidade D do servidor, © mi- «A pagina Nome, descrig&o ¢ configuragdes_Digite o nome do compantilhamento. Se ede tiver quaisquer clientes de nivel inferior (aqueles que utilizam sistemas com base no DOS), verifique se esti seguindo a convencio de nomenckatura 8.3 para garantir seu acesso aos compartilhamentos. O nome do compartilhamento criara, com 0 nome do servidor, a UNC para 0 recurso na forma \\ nomedoservidor\ nomedocompartilha~ mento, Inclua um cifrao no final do nome do compartilhamento para torné-lo um com- pavtihamento oculto. Ao contiirio dos compartilhamentos. administrativos ocultos internos, os compartithamentos ocultos que sao criados manualmente podem tados por qualquer usuario, restritos apenas pelas permissdes de compartilhamento da pasta, a sua ser conec- «A pagina Permissoes Selecione iS permissoes de compartilhamento apropriadas. Gerenciando uma Pasta Compartilhada © n6 Compartihamento do snap-in Gereneiar pastas compartilhadas relaciona todos os compartilhamentos de um computador ¢ fomece um menu de contexto para cada comparti- Ihamento que permite interromper o compartilhamento da abrir 0 compartilhamento no Windows Explorer ou configurar as propriedades do compartilhamento. Todas as propriedades que vocé deve preencher no Assistente para compartilhar uma pasta podem ser modificadas na caixa de didlogo Propriedades do compartithamento, « qual é ilustrada na Figura 6-1. As guias Propriedades da aiva de diflogo sao = Geral A primeira guia fornece acesso ao nome de compartilhamento, caminho da pa: ta, descricito, o ntimero de conexdes de usuario simultdineas ¢ configuracdes de arquivos off-line. ® Publicar Se voce sclecionar Publicar este compartilhamento no Active Directory (como mostra a Figura 6-2), um objeto é criado no Active Directory para representar a pasta compartilhada,Sn¢wees Ligdo 4: Configurando as Pastas Compartihadas 183 Prone tcc (ct |p| Hamster crcoosinoen| Sepa] eT Sepsis ee Qweite — Reeo mentee Lid rine 6 enc somide | eenaanetenien FS [eee ese eel Figura 6-4 A guia Geral de uma pasta compartilhaca. As ra Make [rametece cesses eotare| F hadewsvecaosnmene ave tt Cantons spoiinnaibos eee Pil mph pt Fae e amma ej Figura 6-2 A guia Publicar de uma pasta compartithada. As propriedades do objeto incluem uma descricAo e pakavras-chave, Os administradores podem, entao, localizar a pasta compartilhada com base em sua descrigto ou palavras: sando a caixa de didlogo Localizar usudtios, contatos € grupos. Ao selecionar Pastas com= partithadas na lista suspensa Localizar, essa caixa de dialogo torna-se a caixa de dialogo Lo~ calizar Pastas compartilhadas mostrack na Figura 6-3. © Permissdes de compartilhamento compartilhamento, = Scguranca A gi s de Esta guia permite configurar as perm ia Seguranca permite configurar as permissOes NTFS da pasta.184 Capitulo 6 Arquivos e Pastas EL a1 Figura 6-3 Pesquisando uma pasta compartilhada. Configurando as Permissdes de Compartilhamento As permissdes de compartilhamento disponiveis sao relacionadas na Tabela 6-1, Embora permissdes de compartithamento nao sejam detalhadas como permisses NTES, elas permitem configurar uma pasta compartilhada para censirios de acesso fundamental: Leitura, Alte- rar © Controle total. Tabela 61 Permissoes de Compartithamento Permissoes Descricao Leitura ‘Os usuiries podem exibir as nomes de pastes ¢ arquivos, os dadose atributos de arquivos. Os usustrios também podem exccutar arquivos de programas & acessir outras pastas dentro da pasia compartihada, Akerar (© usudties podem criar pastas, adicionar arquivos a pastas, alterar dados dle arquivos, anexar dados os aiqulvos, alterar os atributos de arquivo, exclulr Pastas, arquivos ¢ executar as acdes permitidas pela permissio de Leitura Controle total Os ususrios podem alterar as pemmissdes de arquivo, obter a propriedade dos arquivos ¢ executar todas as tarefas permitidas pela permissio Alterar. As permissOes de compartilhamento podem ser permitidas ou negadas. © conjunto efetivo de permissdes de compartifhamento € 0 resultado cumulativo das permissoes Permitir concedidas a um usuirio ea todos os grupos aos quais aquele usuario pertence. Se, por exemplo, vot é membro de um grupo que tem a permissio de Leitura e membro de outro grupo que tem a permissio Alterar, suas permissdes efetivas sdo Alterar. Entretanto, uma perm 20 Neggtr substitui uma permissao Permitir. Se, por outro lado, voce esti em um grupo que tem permissio de acesso Leitura © no outro grupo teve 0 Controle total negado, voce poderd ler os arquives ou pastas daquele compartilhamento, As permisses de compartilhamento define as permissies efetivas mdximas para todos os arquivos ¢ pastas abaixo da pasta compartilhada, As permissdes podem s mais, mas no podem ser ampliads, pelas permissdes NTFS para arquivos e pastas especificos. Dito de outra forma, 0 acesso de um usuario a um arquivo ou pasta € 0 conjunto mai or restritas aincktBLED aia Ligdo 4: Configurando as Pastas Compartihadas 185 ritivo de permissoes cfetivas entre as permissdes de compantilhamento ¢ as permiss6 'S daquele recurso. Se voce quiser que um grupo tenha controle total sobre uma pasta lo por me a permissZio de compartilhamento é © padrao (Todos: Permitir Leitura) ou mesmo se a permissdio de compartilhamento permitir Alte- rar, 0 acesso de contiole total NTFS daqucle grupo sera limitido peta permissaio de compartilhamento. Esst dinamica significa que as pemissdes de compartilhamento acre centam umia camada de complexidacle ao gerenciamento do acesso a recursos, ¢ éumad ias razdes pekas quais as organizacdes pedem que suas diretivas configurem os comparti- Ihamentos com permissdes de compartilhamento abertas (Todos: Permitir Controle total) & NTTS apenas para dar seguranca a pastas arquivos, Gonsulte 0 quadro nento” para obter outras informagdes sobre a adores que existem nas dliscussdes sobre as permissoes Re concedi o das permissdes NTI cam as permisso “Tres Visoes das Permissoes de Compartitha variedade de perspectivas e mo de compartilhamento. Trés Visées das Permissdes de Compartilhamento FE importante entender as perspectivas a partir das qua es de compar Ihamento sao abordadas nas implementagdes do mundo real pela Microsoft, bem como pelos objetivos de certificacdo ¢ recursos como este livro. as permi Limitagoes da Permissao de Compartilhamento As permissOus de compartithamento tém limitace incluindo os signi -guinte: = Escopo As permi de compartilhamento aplicam-se apenas rede por meio do Cliente para redes Microsoft; clas nao se aplicam ao acesso de servigos de terminal ou Tocais 4 arquivos € pastas, nem a outtos tipos de acesso de rede, como o HTTP (Hypertext Transfer Protocol — Protocolo de transferéncia de hipertexto), FIP (File Transfer Protocol - Protocolo de transferéncia de arqu vos), Telnet c outros. 10 acesso de + Replicacio servico de duplica pemnissoes de compartilhamento nao se replicam por meio do Zo de arquivos (FRS). «= Resiliéncia As permissdes de compartilhamento nao s ou restauracio de um volume de dado: 0 inclufdas no backup = Fragilidade As permissdes de compartilhamento s renomear a pasta que é compartilhada. = Falta de controle detalhado As permissdes de compartilhamento nao granulares; clas fornecem um tinico modelo de permissdes que se aplica a cada arquivo e pasta abaixo da pasta compartilhada, Voce nao pode aumentar 0 ace 50 a qualquer pasta ou arquivo abaixo dat pasta compattilhada ¢ nao pode tes tringir ainda mais 0 acesso sem recorrer &s permissGes NTFS. = Auditoria Voce nao pode configurar a audlitoria com base nas permissoes de compartithamento.BLED aia 186 Capitulo Arquivos e Pastas = Agrama é verdadeiramente mais verde N6s temo: quiais foram permissdes NTFS, clas para fomecer controle de ac Slido € seguro a argh € pastas. As permissoes NTFS sto replicadas, incluidas em um backup ou restauracdo de um volume de dados, podem ser auditadas ¢ fornecem flexibil extraordindria, bem como facilidade de gerenciamento, As usim as permissdes NTFS para o controle de acesso a recursos. = Complexidade Se as permissdes de compartilhamento ¢ as permissOes NT sio aplicadas, 0 conjunto mais restritivo de permissoes estard efetivo, acrescen- tando uma camada de complexidade 2 andlise das permissdes cfetivas ¢ A solu- tiver a permis sao Leitura, € um usudrio for um representante de vendas temporario, pertencente a Ri Presentantes de Yendas e Funcionarios temporirios, aquele usuirio nao poderd ler a pasta. | | Nota _Amethor prética diz que vocé deve minimizar 0 uso das permisses Negar e se con- entrar em petmitir as permissses de recursos minimas necessarias para realizacao dos. negécios. Aopedo Negar permissées acrescenta uma camada de complexidade a adminis tragao das ACLs, e deve ser usada apenas quanco for absolutamente necessério para ex. cluir 0 acesso a um usuario que tenha permissées para recurso por meio de associactes. ‘com outro grupo. Dica do Exame Se um usuéric nao conseguir acessar um recurso devido @ uma permis 80 Negar, mas 0 acesso & desejado, vooé deve remover a permisso Negar ou remover 0 Uususirio do grupo ao qual a permiss3o Negar é aplicada. Se a permissao Negor for herdada, voce pode fornecer acesso adicionando uma permissao Permitir explicita, 4 As permissdes explicitas t¢m precedéncia sobre as permissdes herdadas Uma entrada de permi definida explicitamente para um recurso substituira uma entrada de permissio herdada com conflito. Isso segue os prineipios do bom senso aplicados ao projeto: uma pasta pai define uma “regea” por m issdes herd veis, Um objeto filho exige acesso que € uma excegdo A regra, © assim uma permissao explicita ¢ adicionada a sua ACL. A permissao explicita assume a precedéncia, Q) Avaliando as Permissdes Efetivas ode su per Dica do Exame Um resultado dessa dinémica € que uma permissao Pemitir substitui uma permisséo Negar. A complexidade é uma possibilidade, dado 0 extraordinario controle sobre as permisses granulares ¢ a heranga que © NTFS suporta, Com todas essas permissdes, usuirios € grupos, sabe qual acesso um usuario tem realmente?Ligdo 2: Configurando as Permiss6es do Sistema de Arquivo 199 A Microsoft incluiu uma ferramenta hé muito esperada para ajudar a responder cada pergunta. A guia Permiss6es efetivas da caixa de didlogo Configuracdes de seguranca avane: das, mostrada na Figura 6-8, fomece uma apro’ confiivel do acesso de recurso csultante para um usuario. eT 12) Fe | in| Pat tomate ont] Abe mat mo ant apna nen Eta eS Figura 6-8 A guia Permissdes efetivas da calxa de didlogo Configuragdes de seguranga avancades. Para usar a ferramenta Permisses efetivas, clique em Selecionar ¢ identifique 0 u: grupo ou conta incorporada a ser analisado, Em seguida, 0 Windows Server 2003 prod ma lista de permissdes efetivas. Essa lista apenas uma aproximacio, Ela no leva em conta as permissdes compartilhadas, nem avs de conta como esti io, es especial © Logon ané: # Loe = Grupo eriador © Dialup « Controladores de dominio de empresa = Proxy © Restrito © Logon interativo remoto = Servigo = Sistema © Usuario do servidor de terminalBLED aia 200 Capitulo 6 Arcuivos e Pastas ativo, por exemplo, que fornecem 4 um usudrio a oportunidade de experimentar niveis diferentes de acesso a recursos, dependendo do usuario ter feito logon na maquina ou ter usado o cliente de rede, Como 0 usuario em questéo nao esta com logon, as entradas de permi s de logon sto ignoradas. Entretanto, como etapa extra, voce pode avaliar as permissdes efetivas de uma conta intema ou especial como Interativo ou Rede. Propriedade de Recursos © Windows Server 2003 inclui um principal objeto de seguranga especial chamado Propri trio criador, uma entrada no descritor de seguranca de um recurso que define o proprie- trio do objeto. Para gerenciar totalmente ¢ solucionar problemas das permissdes de recursos, voc’ deve entender essas duas partes do panorama de seguranca Proprietario Criador Quando um ususirio cria um arquivo ou pasta (© que é possivel se cle tiver as permi Griar arquivos/Gravar catclos ou Griar pastas/anexar daclos respectivamente), 0 usuario € 0 criador e proprictirio inicial daquele recurso. Todas as permissoes na pasta pai atriburdas & conta especial Proprictirio criador sao atribuidas explicitamente ao usuitrio do novo recurso. Como exemplo, vamos assumir que uma pasta permite aos usuiirios criarem arquivos (pei mite Criar arquivos/Gravar dados) ¢ que as permissoes da pasta permitem aos usuarios Ler & Executar, € 0 Controle total criador proprietario. Essa definicZio de permissio permite que Maria crie um arquivo. Maria, como criadora daquele arquivo, teria controle total sobre aquele arquivo. Tina também poderia criar um arquivo e teria controle total de seu arquivo. Entrctanto, Tina ¢ Maria sé poderiam ler 0s arquivos uma da outra. Tina, porém, poderia alterar a ACL do arquivo que ela criou. © Controle total inclui Alterar permissio Propriedade , por algum motivo, Tina conseguir modificar a ACL € negar a si mesma o Controle total, ela poderia modificar a ACL, porque o proprictirio de um objeto sempre pode modificar sua ACL, evitando que os usuririos se bloquciem permanentemente a partir de seu pastas, arquivos © A melhor pratica diz para gerenciar « propriedade de objetos para que o proprietario de um objeto seja definido coretamente. Isso acontece em parte porque os proprietirios podem modificar as ACLs de seus objetos ¢ também porque as tecnologias mais novas, como cotas de disco, dependem do atributo de propricdade para calcular 6 espaco em por determinado ustiirio, Antes do Windows Server 2003, 0 gerenciamento da propric: cra estranho. © Windows Server 2003 acrescentou uma importante ferramenta para simplifi- cara transferéncia de propriedade. eo utilizado lade © proprictirio de um objeto é de angst. © usudirio que era um arquivo ou pasta € seu proprictirio inicial. Outro usutrio pode obter a propriedade, ou pode receber a propriedade do objeto utilizando um dos seguintes processos:BLED aia Ligdo 2: Configurando as Permiss6es do Sistema de Arquivo 201. 2 Os administradores podem obter a propriedade _ Um usuirio que pertengt ao grupo Administradores de um sistema, ou que tenha recebido o ditcito de u: 1c, pode obter a propric io Apropri- lade de qualquer objeto do Para obter a propriedade de um recurso, dique na guia Proprietirio da caixa de dilogo Configuracdes de seguranca avancadas, 11a Figura 6-9, Selecione sua conta de usuario na lista ¢ clique em Aplicar. Marque a caiva de selecio Substituir 0 proprictirio nos ntes € objetos para obter a propricdade das subpastas ¢ arquivos. omo Mos SL enn Aan Pet [ Potter =< me overs soworsees cnt [Baer cent oneeweneon SEE) Figura 6-9 A guia Proprietario da caixa de dislogo Configuracdes de seguranca avancades. + Os usuarios podem obter a propriedade se tiverem a permissio Apropriar-se A iar-se pode ser concedida a qualquer usuirio ou grupo. Um (© Permitir Apropriar-se pode obter a propried: c, em seguida, conne popaleete, modificar a le do recurso: ACL para fornecer permissées suficientes. 1 Os administradores podem facilitar a transferéncia da propriedade Um administrador pode obter a propriedade de qualquer arquivo ou pasta. Em seguida, como proprietario, 0 admini obre 0 recurso, para conceder a pemmissio Permitir Apropriar-se ao novo proprictario, que entao pode obter a propricdade do recurso, aclor pode alterar as permiss6ec: 2 Odircito de usuario Restaurar arquivos ¢ pastas permite a transferéncia de propriedade Um usuirio com os direitos Restaurar arquivos © pastas pode transferir a Propricdade de um arquivo de um usuario para outro, Se voce recebeu o direito Restau- rar arquivos ¢ pastas, pode clicar em Outros ustiirios ou grupos para selecionar 0 novo proprictirio. Essa capacidade é nova no Windows Server 2003, possibilita aosadminis ilores ¢ operadores de backup o gerenciamento ¢ a transferéncia da propriedade de recursos sem exigir a intervencao do usBLED aia 202 Capitulo 6 Arquivos e Pastas Pratica: Configurando as Permissdes do Sistema de Arquivos _guranca a recursos, avaliar permissdes a de ter configurado as contas pitulo. Nesta pritica, voce utilizar 0 Editor ACL para dar s cfetivas © ransferir a propriedade dos arquivos. Tenha certe de usuario ¢ grupo destacadas na seco Antes de Comegar deste ca Exercicio 1: Configurando as Permissoes NTFS 1. Abra a pasta ¢:\ Does que foi compartithada na pritica da Liao 1 2. Crie uma pasta chamada Projeto 101, 3. Abra o Editor ACL clicando com 0 botio direito do mouse em Projeto 101, Propriedades ¢ clicando na guia Seguranca, lecionando: 4, Configure a pasta para que ela permita acesso descrito na tabela abaixo. Isso exige que voct considere e configure a herana e permissio para grupos. ‘Acesso do Principal de Seguranca Administradores Controle total ‘Usudrios da Equipe de Projeto 101. Podem ler daclos, adicionar arquivos © pastas © ter con- role (otal dos arquivos € pastas que criarem, Gerentes Podem ler e modificar todos 0s arquivos, mas niio podem excluit nenhum arquivo que mio criaram. Os gerenres devem ter conirole total dos arquives ¢ pastas que eles system Os servigos quee Sio executados como conta System tém controle total. Quando achar que configurou corretamente as permisses, clique em Aplicar e em Avan do. Compare a caixa de diilogo Configuracées de seguranca avancadas com a caixa de di logo da Figura 6-10. Para configurar essas permissdes, voce deve invalidar a heranea. Caso contririo, todos os apenas aqueles do grupo Projeto 101 poderio ler os arquivos da pasta Pro~ jeto 101. A pasta pai, ¢:\Docs esta pro} jr leitura ¢ execugao. A Gnica forma de ev soes herdaveis do pai ... Observe que os requisitos nao especificaram se vo evitar que os Usuarios lessem, mas também nao indicava se os Usuarios precisavam de acesso de leitura, ¢ € uma melhor pratica de seguranca permitir apenas 0 acesso minimo necessiirio, usuarios ena agando a permissi ra selecio da opgio Pe > Usutirios: permi a cuixa de didlogo Configuracdes de seguranca avancadas deve fi- ilogo da Figura 6-10. Ap6s invalidar a herang: car como a caixa de didETE Ligdo 2: Configurando as Permiss6es do Sistema de Arquivo 203 as cmt |Aate| Puta Poser Saas = ee ee re O SeYRnEEsEn aan suet enh i tc ia pt tbe sa ae Figura 6-40 A guia Permissdes da caixa de dilogo Configurag5es de seguranga avangadas. A opedo para permitir a heranca foi invalidada © todas as permissdes sto mostradas como , Administradores, System ¢ Proprictério criador tm controle total, Lem- bre-se que quando 0 Proprietario criador tem controle total, um usteério que cria um arquivo ‘ou pasta recebe controle total sobre aquele recurso. O grupo Projeto 101 ¢ listaclo como ten- do uma entrada de permissio especial. Se vocé selecionar aquela entrada ¢ clicar em Editar, veri que as permissdes especificas atribuidas 20 grupo Projeto 101 coincidem com aquels da caixa de didlogo da Figura 6-11. Aone [ETTORE PTT tee ‘ahevtm [ampae emis caors 5} isoncossesseolf Figura 6-11 Permissdes especiais para o grupo Projeto 101. Os Gerentes tém a permissio Permitir: ler, gravar ¢ executar. Esse modelo inelui as perm ses para eriar arquivos ¢ pastas ¢, assim como os membros da equipe Projeto 101, se um geTente Crit UM TecUFSO, OS Gerentes reccbem as permissoes de Proprietirio criadas para aquele recurso. Esse conjunto de permissdes do permite que os Gerentes excluam os arBLED aia 204 Capitulo 6 Arcuivos e Pastas quives de outros usuitio: atribuiu, incluia permissio que 0 modelo de permissdes Modificar, que voce nao Exercicio 2: Trabalhando com as Permissdes Negar 1, Vamos assumir a contratacdo de um grupo de prestadores de servicos. Todas. de usuarios dos contra s cont ttados 83 » membros do grupo Contratados do projeto, e no pertencem a nenhum outro grupo do dominio. O que voce deve fazer para evitar que os contratados acessem a pasta Projeto 101 que voce protegeu Nada. Como os contratados nao pertencem a outros grupos do dominio, eles ndo tém pemissdes concedidas pela ACL atual que permitiram acesso ao recurso. Assim, nao é preciso negar permiss6es. 2, Vamos assumir que algumas contas de usuario, como a conta de Scott Bishop, pertencem aos grupos Contratados do projeto ¢ Engenheiros. © que deve ser feito para evita acesso pelos contratados? "Neste caso, voc# deve atribuir permissdes Negar a0 grupo Contratados do projeto. Como eles re- ‘ceberdo permissdes Permitir aribuidas aos outros grupos, voce deve substituir aquelas permis- s0es pelas permiss0es Negar. 3. Configure a pasta para Negar controle total aos contratados do projeto. Exercicio 3: Permissées Efetivas ixa de d Abra ac: logo Configura abrindo as propriedades da pa Avancadbo. de seguranea avangadas da pasta Projeto 101, clicando em Seguranca ¢, em seguid, elicindo em 2. Clique em Permissdes efetivas. 3. Selecione ida um dos seguintes usuarios ¢ verifique suas permissoes. Usuario Permissies Efetivas Scott Bishop Sem permissoes Danielle Tiedt Desviar pasta/exvcutar argu Atributos de leitura Ler atributes estendidos, Griar arquivos/Gravar dados Griar pastas/Acrescentar dados Pemissdes de leitura /o/Listar pasta/Ler dados Lorrin Smith-Bates Desviar pasta/executar arquivo/Listar pasta/Ler dados. Atnibutos de leitura Ler atributos estendides Criar arquivos/Gravar dados Griar pastas/Acrescentar dados Gravar auributos Gravar atributos estendidos Pemissces de leituraBLED aia Ligdo 2: Configurando as Permiss6es do Sistema de Arquivo 205, Caso essas permis ses (caso em que voc? deve voltar aos Exerci grupo ( rija os erros ¢ verifique no esta , pode haver um erro na lista de permis ios | € 2) ou nos grupos ¢ na associacdo de > Antes de Comecar deste capitulo). Cor- mente as permissdes efetivas até que clas co ultar a see! Exercicio 4: Propriedade 1. Faca logon como Danielle Tiedt. 2. Abra a pasta companiilhada conectando-se a \\Server01\Docs. 3. Abra a pasta Projeto 101 ¢ crie um arquivo de texto chamado Relatorio, 4, Abra a caixa de di logo Configuragées de seguranca avancadas para Relatério. 5. Confirme se todas as permisses sto herdadas da pasta pai. Quais sa ACL entre este objeto ¢ a pasta Projeto 1017 ‘A pasta Projeto 101 concede Controle total ao Proprietario oriador. O arquivo Relatorio concede Controle total a Danielle. Quando ela criou o arquivo, seu SID recebau as permissdes concedidas ao grupo especial Proprietario criador. Alem disso, 2 permissao da Equipe do Projeto 101 para Criar arquivos e Criar pastas & ume permissao de pasta, de modo que ela nao aparece na ACL de Relatorio. io as diferencas na 6. Faca 0 logon como Administrador. incadas de Relat6rio. 7. Abra a caixa de didloga Configu de seguranca a 8. Clique em Propriczario. 9. Confirme se Danielle esté listada como proprietéria atual. 10. Selecione sua conta de usudrio ¢ clique em Aplicar. Agora voce é 0 proprietirio do projeto. 11. Um usuario com direitos Resaurar arquivos e pasta pode tansferir a propriedade para outro usuario, Clique em Outros usuarios ou grupo ¢ selecione Lorrin Smith-Bates, Ap6s a conta de Lorrin ser exibida na lista Alterar proprictirio para, sclecione-a ¢ clique em Aplicar. 12. Confirme que Lorin a 13. Voc@ acha que Lorrin agora tem controle total do objeto? Justifique. Voce acha que Da- nielle manterd o controle total, ou suas permissdes mudario? Confirme usando a pagina Pemmissoes efetivas. Lorrin nao tem o controle total ~ apenas a permissao Modificar. Lortin 6 membro do grupo Ge- rentes, que tem a permissao Modificar. A permissao Controle total atribuida ao Proprietario criador é aplicada apenas a um usuario quando este cria um objeto. gora € a proprictiria do Relatorio. B Nota AG un objet ter ado eo, eles da propieddse nso modinea ACL de maneiraalguma.Enetano, nove propietio (ou quelqueruauéra com permisebes Ato rorpermsdes) pode modticar ACL, como eape adiconal,fomecende 2 i mesmo acesBLED aia 206 Capitulo 6 Arquivos e Pastas Revisao da Li¢ao As seguint ‘inam- sentadas ni cdo e tente capitulo, perguntas © respostas de .¢ a reforcar as prineipais informagdes apre ta ico. Se voce nao conseguir responder uma pergunta, revise o material da i= novamente. As respostas esto nat secdo “Perguntas ¢ Respostas” no final deste 1. Quais s20 as permissOes NTFS minimas necessérias para permitir que os usuirios abram os documentos ¢ executem os programas de uma pasta compartilhadae a. Controle total ‘b. Modificar ©. Escrever d. Ler & executar €. Listar contetido da pasta 2. Bill reel abre a guia Segu- ranga do plano e descobre que todas as permissdes do documento siio herdadas da pasta Pai do plano. Existem uma pemissio Negar leitura atribuida ao grupo de Bill. Quais dos seguintes métodos permitirio que Bill acessasse 0 plano? lama que nao consegue acessar o plano do departamento. Voce a, Modificar as permissdes da pasta pai, incluindo a permissio Bill:Permitir Controle woul. 1b. Modificar as permissoes da pasta pai, incluindo a permissao BilkPermitir Leitura ¢. Modificar as permissdes do plano, incluindo a permissiio: BillPermitir Leitura, d. Mouificar as permissdes do plano, desmarcando a seleco Permitic que as permis oes herdave's..., selecionando Copiar, removendo a permissao Negat. €. Modificar as permissdes do plano desmarcando a selecio Permitir que herdliveis..., selecionando Copia permissdes ire incluindoa permissAo Bill:Permitir Controle toral. £. Remover Bill do grupo que tem a permissio Negar 3. Bill liga novamente para dizer que ainda nao consegue acessir o plano do departamen- to, Voce usa a ferramenta Perm eleciona a conta de Bill ¢ a ferramenta in. crepaincia ‘a0 reportada por Bill? des efetivas, dica que Bill, na verdade, teve pemmissies suficientes. © que poderia explicar a di centre os resultados da ferramenta Permissdes efetivas ¢ a ques Resumo da Ligao NTFS podem ser configuradas usando o Editor ACL, 0 qual tem trés caixe ronfiguiracdes de se wwancadas ¢ Entradas de pe rane , explicitas ou herdadas, Uma permi tem precedéncia sobre uma permissio herdada. © resultado é que uma permissai0 Permitir explicita pode substituir 1 Negar herdadBLED aia Ligdo 3: Auditando 0 Acesso ao Sistema de Arquivos 207 a Aheranga permite que um administrador gerencie as permissdes de uma tinica pasta pai contendo arquivos ¢ pastas que compartilham das necessidades de acesso aos recursos comuns. A ACL de um novo objeto, como padrio, incluiri as permissées herdaveis de nit pasta pa a E possivel alterar 0 efeito ¢: herdadas de um objeto de v Vocé pode modifiear a perm 1 (do pai) ¢ permitir que a nova permissio sejt herdada pelo objeto; voc’ pode definir uma permissao explicita para o objeto, © que tert precedéncia sobre a permissio herdada; ou voce pode invalidar a heranga do objeto © Configurar uma ACL com permissoes explicitas que definem 0 acesso a0 recurso. as maneiras. misses efetivas da = A guia Pe ade didlogo Configu uma ferramenta titil que fornece uma aproximagio do acesso aos recursos para um usud~ rio ou grupo, analisando as permissdes daquekt conta, bem como as permissdes dos gru- POS 40s quais aquela conta pertenc de seguranga =O propr usudirio que tem permissao Apropriar-se pode obter a propriedade do objeto, ¢ os administradores pociem obter a propriedade de qualquer objeto do sistema. Os Administrado- res, Operadores de backup ¢ outras contas que receberam o direito de usuario Restaurar arquivos e pastas podem transferir a propricdade de um arquivo ou pasta do proprictirio tual para qualquer outro usuario ou grupo. rio de um objeto pode modifi 4 ACL do objeto a qualquer momento. Um Ligao 3: Auditando o Acesso ao Sistema de Arquivos ra auditoria do acesso ao sistema de arquivos para ter acho de recursos ¢ das vulnerabilidades de seguranga em potencial. © Wine dows Server 2003 suporta a auditoria granular com base em contas de usuario ou grupo € nas a pecificas executadas por essas contas. Para configurar a auditoria, voce deve realizar tres etapas caras configuracdes de auditoria, permitira diretiva de auditoria ¢ avaliar os eventos do log de Seguranca. Esta lico explora ¢ s processos ¢ fornece (clo para a auditoria efetiva, para que voce aproveite a auditoria part atender aos requisitos necessérios sem se confundir com os eventos do log, es ty Apés esta ligio, vooé estar m= Configurar as definigdes de auditoria em um arquivo ou pasta = Permitir a auditoria em um servidor isolado ou para uma colego de servidores = Examinar os eventos aucitados no log de Seguranca Tempo estimado da ligdo: 20 minutos apto a Configurando as Definigées de Auditoria defini- moni Para especificar as agdes que dese orar ¢ controlar, voe’ precisa configurar ses de auditoria na caixa de didlogo Configuragdes avancadas de seguranga do arquivo ou da pasta. A guia Auditoria, mostrada na Figura 6-12, nte semelhante & guia Pern es anterior ela, Em ver de incluir entradas de permissdes, porém, voce inclui entradas de auditoria,208 Capitulo 6 Arcuivos e Pastas aia emir st | epi | Pee cn eat eon we ca siren ea ee (eee coral teow) ‘ere erin wun es ng nen icsna arco Ft Ses oo ee [Seana emt acme tn i wa enc eatin Semin ma be isn ee oes Ee Figura 6-42 A guia Auditoris da calxa de didlogo Configuragées de seguranca avangadas. Clique em Adicionar para selecionar o usuario, grupo ou computador a ser auditado, Em guida, na caixa de didlogo Entrada de auditoria, mostrada na Figura 6-13, indique a permis so usada para a auditoria, Figura 6-13 Caixa de didlogo Entrada de auditoria. Voeé pode auditar os éxitos, as falhas ou so usando cada uma das permissdes granulares atribufdas ao objeto. mbos & medida que conta tentar acessar 0 recur Os éxitos podem ser usados para auditar 0 seguinte: a Fazer 0 log do acesso ao recurso para relat6rios ¢ faturamento. 0 executando a # Monitorar 0 acesso que acima daquilo que voce havia planejado, indicando que as permissoes esto muito generosas. A que 0s usuiiriosBLED aia Lido 3: Auditando 0 Acesso ao Sistema de Arquivos 209 # Identificar 0 acesso que esti fora da caracteristica de determinada conta, 0 que poderia ser um sinal de que uma conta de ususrio sofreu quebra de seguranca por um hacker A auditoria das falhas de act so pemnite: = Monitorar tentativas maliciosas de acessar um recurso ao qual 0 acesso foi negado. a Identific preci tarefa de negdcios. as tentativas fracassadas de aces $80. 1880 i sar um arquivo ou pasta a0 qual um ust icaria que as permissdes nao sto suficientes para realiz cate As configuracdes de auditoria, assim como as permissde configuragdes de auditoria herdave seguem as regras da heranca, As adas aos objetos que permitem a herane: So ap) a Notas logs de autora tm a tendénca de fear muito gendes com muita rapiez e, portanto, a regra de ouro da auditoria € con‘igurar 0 minimo necesséiro para realizar negé- Glos. A especiticago dos éxitos e des falhas de auditoria em uma pasta de dados ativa para o grupo Todos utilizande 0 Controle total (todas as permissdes) gerarie logs enormes de auditoria que afetariam o desempenho do servidor, € paderiam tornar impossivel a loca lizago de um evento auditado especttico, Ativando a Auditoria A configuracao das entradas de auditoria no descritor de segu 0 permite, por si s6, a auditoria, A auditoria deve ser ativada por meio de uma diretiv: pos a auditoria ser ativada, o subsi de seguranga comeca a prestar atencio as configuragdes de auditoria ¢ a fazer 0 log do acesso de acordo com essas configuracces, ade um arquivo ou past A diretiva de auditoria pode ser ativaca em um servidor isolado, usando 0 console Dirctivat de seguranga local. Sclecione 0 nd Diretiva de auditoria abaixo do n6 Diretivas locais ¢ clique duas vezes com 0 bottio do mouse na diretiva Auditoria de acesso a objetos Selecione Definir as configuracdes dessas dliretivas e, em seguida, selecione se é preciso ativar a auditoria de Gxitos, falhas ou ambos. a Nota _Lembrese de que o avesso que ¢ auditadoe regstade €a combinagao entre as en Telok og ichona Ge aeuiese pests especies «ws coigmartes Je isthe dows Moa, Sa wk con gut os om aoas do Wotovaporaealower falas, iowa Ue sO permite 0 log de éxitos, seus logs de auditoria permanecerao vazios. Voce também pode ativara auditoria de um ou mais computadores que u rectory Group Policy Objects (GPOS). O.né Diretiva de auditoria esti Ie Configuracio do computador, Configuracdes do Windows, Configuracdes de seguranga, Ditetivas locais, Diretiva de auditoria, Assim como todas ax dirctivas de grupo, os comput dores que sao afetados pela diretiva serao aqueles contidos dentro do escopo da diretiva, Se voce vincular uma diretiva a OU Servidores ¢ ativara auditoria, todos os objetos de computador da OU Servidores comecario a auditar 0 acesso ao recurso, de acordo comas entradas de auditoria dos arquivos ¢ pastas daqueles sistemas.240 Capitulo 6 Arcuivos e Pastas Examinando o Log de Seguran¢a as entradas de auditoria serem configuradas em arquivos ou pastas, ¢ « auditori $0 40 objeto ter sido ativada por meio da diretiva local ou de grupo, 0 sist Apés ra 6-14, Figura 6-14 0 log ce Seguranca em Visualizar eventos. Como vocé pode ver, o log de Seguranca pode ficar bastante ocup: pos de auditoria que so executados na maquina, Voc’ pode cl dé-lo a identificar os eventos de acesso de objeto, cl localizando os eventos Acesso a objetos. A dlassificacao, porém fornecera pouco austlio diante da quantidade de eventos quando voce mergulhar nos eventos do log, F methor filtrar 0 log de eventos, o que pode ser feito com 0 comand Filtfo do menu Exibir, ou selecionando o log de Seguranca, em seguida Propriedades nos menus Acio ou de atalho, ¢ clicando na guia Filtro, A guia Filteo permite que voc’ especifique os s, Ineluindo 0 tipo de evento, categoria, origem, intervalo de datas, usuario ¢ computador. A Figura 6-15 ilustra um exemplo de um filtro aplicado para idlentificar os eventos de auditoria de acesso a objetos de uma data especifica. Finalmente, voce rem # opcio de exportar o log de Seguranca, selecionando 0 comando Salvar arquivo de log como no menu Agio do log. O formato do arquivo de log de eventos se arquivo com ar eventos dle ou- ativamente, voce pode salvar o log nos formatos de arquivo delimitados por tabulacdes ou virgulas, os quais podem ser lidos por varias ferramentas de andilise, in- Cluindo © Microsoft Excel. No Excel, obviamente, voce pode aplicar filtros, bem como pe: quisar informagdes mais especificas, como o contetido do campo Categoria do evento.BLED aia Lido 3: Auditando 0 Acesso ao Sistema de Arquivos 244. Figura 6-45 A guia Filtro. Pratica: Auditoria do Acesso ao Sistema de Arquivos 4, voc’ configura as definicées de auditoria, ativa as diretivas de auditoria do > objeto e filtra eventos especificos do log de Segu Oobjetivo torar a exclusio dos arquivos de uma pasta imporante, para garantir que apenas aptopriados excluam os tarefa 6 mo- usudrios Exerciclo 1: Configure as Definigdes de Auditoria 1, Faga logon como Administrador. 2. Abra acaixa de didlogo Configuracbes de seguranca avangadas da pasta C:\ Docs\Proje- to 101. 3. Clique na guia Auditoria. 4. Inclua uma entrada de auditoria para controlar 0 grupo Equipe Projeto 101, Especifique que desea monitorar Exito ¢ falha da permissao Excluir, Exercicio 2: Ative a Diretiva de Auditoria Como esta com logon em um controlador de dominio, voce usar o console Diretiva de seguranga do controlador de dominio para ativar a auditoria, Em um servidor isolado vo Diretiva de seguranga local. Voc¢ também pode aproveitar os GPOs para ativar a audito 8 usari 1. Abra Diretiva de seguranga de controlador de dominio na pasta Ferramentas acministrativas, e selecione Diretiva de auditoria. 2. Expanda Diretivas locai 3. Clique duas vezes com 0 botzio do mouse em Auditoria de acesso a objeto: 4, Sclecione Definir as configuragdes dessas dirctivas, 5. Fspecifique ativagio da auditoria para as entradas de auditoria de @xito e falha.BLED aia 242 Capitulo Arquivos e Pastas 6. Clique em OK e, em seguida, feche 0 console. 7. Atualize a diretiva ¢, para garantir que todas as configuragdes foram aplicadas, abra o prompt de comand ¢ digite 0 comando gpupdate. Exercicio 3: Gere Eventos de Auditoria ied 2, Conecte-se a \\Server01\ Does\Project\ 101 1. Faga 0 logon como Danielle 3. Exclua 0 arquivo de texto Relator >. Exercicio 4: Examine o Log de Seguranca i trador, ica logon como Admi 2. Abra Visualizar eventos na pasta Ferramentas administrati 3. Selecione o log de Seguranca 4. Quais tipos de eventos voce vé no log de Seguranga? Apenas os eventos Acesso a objetos? Outros tipos de eventos? Lembre-se que as dirctivas podem ativar a auditoria de intmeras agdes relacionadas 4 seguranca, incluindo 0 acesso ao servico de diret6rios, gerenciamento de contas, logon e outras. 5. Para filtrar o log ¢ diminuir 0 escopo de sua pesquisa, selecione 0 comando Filtro no menu Exibi 6. Configure o filtro para s lo possivel. O que voce sabe sobre o evento que esta tentando localiza? Voce sabe que essa € uma auditoria de éxito ou falha; que é uma categoria dle evento Acesso a objetos ¢ que o evento ocorreu hoje. Verifique seu trabalho consultando a Figura 6-15. 7. Clique em Aplicar. 8. Voc? pode localizar de modo m: fieil 0 evento que mareou a exclustio de Danielle do io? Abra o evento ¢ olhe seu conteddo, A descrigio indica o usuario, 0 ar acao. Vocé nao poderia filtrar os contetidos da descricao Visualizar eventos, mas poderia fazer isso exportando o arquivo para uma ferramenta de anillise de log ou 1.0 Microsoft Excel. 9. (Opcional) Se voce tiver acesso a0 Microsoit Excel, clique com o botao direito do mot no n6 do log de Seguranga e selecione Salvar arquivo de log como. Digite um nome lecione CSV (delimitado por virgulas) como 0 tipo do arquivo. Abra o arquivo no Excel Revisao da Ligao ntadas nest e tente respon erguntas ¢ Res- As seguintes perguntas destinam-se a reforgar liclo. Se nao conseguir responder uma pergunta, revise o mate dé-la novamente. Voce encontra as respostas para 2s perguntas na seco postas” no final deste capitulo. 1. Quais das seguintes opcdes podem ser realizadas para gerar um log de acesso a recurso Para um arquivo ou pasta? Selecione todas que se aplicam:BLED aia Li¢do 4: Administrando os Servicos de Informandes da Internet 213 Configurar as entradas de audito icar 0s tipos de acesso a serem au- ditados . Ativar a diretiva Auditoria de uso de privilé d. Ativara jos. ctiva Auditoria de acesso a objetos. 2. Quais das seguintes opcoes sao critérios validos para um filtro de log de Seguranga que identifica eventos especificos de acesso a arquivos € pastas? Selecione todas que se aplicam. a. A data do evento. b. 0 usuario que germu oe & 0 tipo de acesso a objeto que gerou 0 evento. 4. 0 éxito ou a falha da auditoria nto. 3. Os usurios da Contoso Ltda, usam os aplicativos do Microsoft Office para ace sos no ServerO1. Sua tarefa € monitorar 0 Server01 para garantir que as permissoes nao sejam muito restritivas, de modo que os usuarios consigam realizar atribuigoes. Qual log, © qual tipo de evento, fornece as informagdes necessirias? F recut a. Log de Aplicativo; Evento de éxito. b. Log de Aplicativo; Evento de falha, to Evento de ©. Log de d. Log de . Log de f. Log de Seguranca; -guranca; Evento de fala. jistema; Evento de éxito. Evento de filha. ‘m Resumo da Licao As entradas de auditoria estio contidas no descritor de s des volumes NTFS. Fl priedades de um arqu ca avangadas. eguranca de arquivos e pastas Jas Sto configuradas usando o Windows Explorer, a partir das pro- -aixa de didlogo Configui ‘0 0u pasta, usando a nigdes de seguran- = As auditorias de entradas sozinhas geram logs de auditoria, Voc? também deve at var a diretiva Auditoria de acesso ao objeto na Diretiva de seguranga local, ou na Diretiva de seguranca do controlador de dominio ou em um GFO. # Olog de Seguranea, que pode ser visualizado com o snap-in Visu: loca lizar eventos, permite lizar ¢ examinar os eventos de acesso 4 objetos. Ligao 4: Administrando os Servicos de Informagoes da Internet A Ligto 1 discutiu as queste aque usuarios, com os servigos de Compartilhamento de arquivos € impresoras para redes Mi- crosofit, possam acessar recursos em um servidor executando 0 servico Compartihamento 5 relacionadas ao compartilhamento de uma pasta paBLED aia 244 Capitulo Arcuivos e Pastas de arquivos ¢ Impressio para redes Mi porém, é um dos meios pelo qual o usuirios podem acessar os arquivos € as pastas necessirios. Também & possivel ativar 0 acesso por meio das tecnologias da Intemet como os servicos FTP e Web (HTTP). como confi- prendert como configurar e gerenciar o IIS, Voce descobr gurar sites Web ¢ FTP, diretérios virtuais ¢ uranca IIS, Apés esta licao, voce estara anto a im Instelar 0 IS. = Configurar um site e FTP = Configurar uma pagina de conteGdo padrao da Internet m= Giiar um diretorio virtwal da internet = Modificar a autenticacdo IIS e as configuragdes de seguranga Tempo estimado da ti 20 minutos. Instalando o IIS 6.0 Para diminuir a superficie de ataque de um sistema Windows Server 2003, 0 IS nao ¢ inst lado como padrio. Ele deve ser inclufdo usando 0 Assistente para adicionar/remover componentes do Windows em Adicionar ou remover programas localizado no Painel de controle. Selecione Servidor de aplicativo, clique em Detalhes ¢ selecione Servigos de informacoes da Intemet (IIS). Voce pode controlar os subcomponentes do HIS que estao instalados, mas a menos que tenha familiaridade com a funcao dos subcomponentes, nao remova nenhum componente padrao, Entretanto, voce pode adicionar componentes, como ASP.NE" FTP ou ExtensGes de Servidor do FrontPage. Administrando o Ambiente Web Quando 0 IS ¢ instalado, um site padrao € criado, permitindo implementar um ambiente Web de forma ripida e ntretanto, voc® pode modificar esse ambiente Web para atender Ais suas necessidades. O Windows Server 2003 oferece as ferramentas necessirias para administrar o IS ¢ seus Ap3s a conclusio da instalac2o, voce pode abrir 0 console do Gerenciador dos Servi Informacées da Internet (IIS) no grupo Ferramentas adm vas. Como padio, 0 TIS ido para fornecer apenas contetido estitico. Para ativar 0 contetido dinimico, ione 0 no E: sele ext S0¢S S80 proibida: tensdes de servigos da Web. Como mostra a Figura 6-16, todas a Selecione a extensio apropriada € clique em Permitir. ido um cliente acessa um recurso do IIS sto: Os processos fundamentais que ocorem q « Odi URL (Univers @ butp:/ans.domatn.name/virtualdirectory/page.bmt ou sal Resource Locator) nos seguintes formatos: snte insere uma 2 fip/idns.domain.name/irtualdirectory © OServigo de Nomes de Dominios (DI na o endereco ao cliente. S) determina o nome para um endereco IP ¢ retor-BLED aia Administrando os Servigos de InformagSes da internet. 245 Ligao sim Big en Figura 6-46 0 snapin Gerenciador dos Servicos de informagdes da internet (IIS). © Ocliente conecta-se ao enderego IP do servidor, usindo uma porta espe Cem geral, a porta 80 para HTTP © a porta 21 para FTP). ifica do servigo © OURL nao representa o caminho fisico para 0 recurso do sli io do caminho, O servidor traduz.a solicitacdo recebida para o caminho fisico © produz 0 recursos apropriadas para o cliente, Por exemple, o servidor pode listar arquivos da pasta para um cliente FIP, ou pode fornecer a home page de um cliente HTTP. servidor, me um = O processo pode ser protegido com autenticacdo (eredenciais, ineluindo um nome ¢ senha de usuario) ¢ autorizacio (controle de acesso por meio de permissoes). Vocé pode ver esse processo em a¢ © servidor produz a pagina Ei > abrindo um navegador e di construgio para o navegador do pte, Configurando e Gerenciando Sites Web e FTP A instalacao do IIS configura um site simples da Web, o Site da Web padrio, Embora 0 IS, dependendo das suas configuragdes de hardware do servidor, possa hospedar milhares, ou dezenas de milhares de sites, o Site da Web padrio é um bom lugar para explorara funcionalidade © administracio dos sites Web no IIS. Esse site pode ser acessado quando voce abre um navegador e digita 0 URL: gina Em constru- cho 6 localizada. Lembre-se que a solicitagio de um servidor Web ¢ direcionada no ender co IP do servidor, o qual foi determinado a partir do URL pelo DNS. A solicitacio inclui 0 URL ¢ este quase sempre inclui apenas o neme do site Cartw.microsoft.com, por exemplo). Como o servidor produ. a home page? Se voc’ examinar a guia Site da Web em Propried des de site da Web padhao, como mostra a Figura 6-17, verd que 0 site recebeu Todos os enderecos IP nao atribuidos da porta 80. Assim, a solicitacto do navegador atinge a porta 80 do servidor, a qual identifica que o Site da Web padrio deve ser fornecido.246 Capitulo Arcuivos e Pastas =a coer) eel ero Figura 6-17 A guia Site da Web da caixa de cidlogo Propriedades de Site da Web padao. A proxima pergunta, entio, ¢ quantas informagdes devem ser fornecidas. Se o URL incluir apenas © nome do site (por exemplo, wuw.microsofi.com ou serverO1.contoso.com), entao 4 pagina retornada é localizada no diret6rio base. A guia Pasta base, como mostra a Figura 6-18, exibe 0 caminho fisico para o dirctorio base, que em geral é ¢\\inetpub\wwuroot. a Soveenenoo | cewpmeniy | unstwenaoae au | tomate | roar” Youbet Ccotpoacresmtomtir a © ineremegeenmem Sree eee * treanrmenapoa cat eee feo | ae Figura 6-48 A guia Pasta base da caixa de diSlogo Propriedades de Site da Web padrio. Qual arquivo, exatamente, deve ser retornado ao cliente? Isso € definido na guia Documen- los, como mostra a Figura 6-19. © TIS pesquisa os arquivos na ordem listada, Assim qu encontra um arquivo com aquele nome no caminho local do diret6rio base, aquela p: retornada ao cliente e o servidor para de procurar outras coincidéncias, Se nenhuma coinei- déncia for encontrada, 0 IIS retorna um erro (404-Arquivo nao encontrado) ao cliente indicando que a pagina nao pode ser localizada.BLED aia Administrando os Servigos de InformagSes da internet. 247 Ligdo. mates || cman, | comms | RE =a ee (ea eee eer a Figura 6-49 A guia Documentos da caixa de didlogo Propriedades de Site da Web padrao. Um navegador poderia, obviamente, se referira uma pagina espectfica do URL, por exem= plo bup//erver01.contoso.convcontactinfo.btm. Ni fica € buscada no dirctorio base. Caso cla nao seja encontrada, um erro Arquivo nao encontrado (404) ¢ re- tomado, Para criar um Site Web, clique com 0 bot2o direito do mouse no n6 Sites da Web ou em um, idor do IIS ¢ selecione Novo > Site da Web. Para configurar um \s Propriedades. Voce pode configurar 0 endereco IP do site. Se um s ver virios enderecos IP, cada endereeo IP pode representar um site separado, ivel hospedar varios sites usando por ada site, ou u Thos do host. Os detalhes dessas opgdes estao além do escopo deste livro. Voce também: pode configuraro caminho do diret6rio que € utilizado como diretorio base, e pocle mocificar'a lista ou ordem dos documentos que podem ser buscados como a pagina padrio de contetido, ido os cabega- diferentes para m URL também pode incluir informagdes de caminho mais complexas, como bitp:/twww. microsoft.com/windowsserver2003. Esse URL nao esta solicitando uma pagina sspecifica, nao ha uma extensao .htm ou .asp no final do URL. Em vez, disso, ele esta solicitando informacdes do diret6rio windowsserver2003. O servidor avalia esse componente adicional do URL como um diret6rio virtual. A pasta que contém os arquives chamados windowsserver2003 pode residir em qualquer parte; eles ndio tém de estar localizados no servidor IIS. Para criar um diret6rio virtual, clique com © botio direito do mouse em um site ¢ selecione Novo > Diret6rio virtual. O assistente pedira 0 alias, o qual se torna © nome da pasta usada nO URL, € 0 camino fisico do recurso, que pode ser um volume local ou um servidor remote. Q Dica do Exame Voeé também pode crier um diretério Web virtual em uma unidade NTFS, clicando com 0 bot&o cireito do mouse em uma pasta, selecionando Propriedades e, em seguida, clicando na guia Compartihhamento na Web.BLED aia 248 Capitulo Arcuivos e Pastas sma forma que os sites Web. O IIS instaka itacoes FTP re- ao cliente um Ossites FTP funcionam ¢ sio administrade FTP, o Site FIP padrio ¢ o configura para responder a todas as soli s (todos os enderegos nao atribuidos, porta 21). O site FTP retor ta dos arquivos da pasta especificada na gui base. Os incluir diret6rios virtuais para que, por exemplo, possa retornar recursos de um servidor diferente de fip://server01.contoso.com/vendor-uploads. Os URIS ¢ sites FTP nao utilizam documentos padrio. um site cebid -5 FTP também podem Os servidores IIS complexos podem hospedar dezenas de milhares de sites, cada um com configuragdes personalizadas para fa7é-los funcionar. A perda de todas essas informacoes de configuracao pode ser complicada, pois embora um backup de sistema de arquivos per mita restaurar os arquivos de dados apés uma falha, a configuracio se perde. Para fazer 0 backup ou a re: o da configuracao do IIS vocé deve fazer o backup ou a restauragio ca metabase, um documento em Extensible Markup Language (XML) que € utilizaclo para armazenar as configuragOes. Clique com © botao direito do mouse no n6 de servidor no Gerencia- dor do IS e, no menu Tod: tarefas, selecione Fazer backup/restaurar configuracao. a Segurane¢a de Arquivos no IIS Consulte Tambem Pera obter outras informacdes sobre o IIS, consult o livro Microsoft IS 6.0 Administrator's Pocket Consuitant (Microsoft Press, 2003). ais na forma de um nome de usu (0 atendidas pela representacao do usuario com de comecar a restringit 0 acesso a recursos de mente, © processo de avaliagto de ereden Como padrao, todas as solicitagdes a0 US a conta [USK _stomedocomputador. Ant Configurando os Métodos de Autenticagao Voct pode configurar os seguintes métodos de autenticacao na guia Seguranca de diret6rio do servidor, em um site Web (ou FTP), em um diret6rio virtual ou em um arquivo: Opcies de Autenticacaio da Web # Autenticag3o andnima Os usuirios podem acessar as area enha. s piiblicas do seu site na Web sem um nome de usudrio © uma s 1a conta de usuario local ou de tografado, = Autenticacao basica Exige que um usudrio tenha w dominio. As creden 10 transmitidas em texto nao ¢ 4 Autenticagao Digest Oferece a mesma funcionalidade da Autenticacao basic, ¢ for nece seguranca avancada pois as credenciais de um usudrio sio enviadas através da rede. A autenticacao resumida usa 0 protocolo HTTP 1.1 = Autenticacao Digest avancada _Funciona apenas quando a conta do usuario faz parte de um Active Directory. Retine as credenciais de usuario ¢ as armazena no controladorBLED aia Li¢do 4: Administrando os Servicos de Informandes da Internet 219 de dominio. A autenticacto Resumida avancada exige que 0 usuditio Internet Explorer 5 ou superior ¢ 0 protocolo HTTP 1.1 4 AutenticacZo integrada do Windows Retine informagdes por meio de uma forma de autenticicio segura (também chamada de autenticagio Windows NT Challenge/Response), qual o nome do usuario ¢ a senha t¢m hash antes de serem enviados através da rede. 4 Autenticagio de certificado Adiciona a da de soquetes de bos. Esta oped configurados. uranca SSL (Secure Sockets Layer — Cama- seguranca) por meio de certificados de cliente ou servidor, ou de am- ri disponivel se vocé tiver os Servicos de Certificado instalados 10 $6 Autenticacto NET Passport Forece um servico de assinatura redirecionamentos HTTP, cookies, Microsoft JScript e criptograf imples por meio de de chave simétrica forte. Opcées de Autenticacdo do FTP 1 Autenticacao andnima do FTP Permite aos usu: seu site FTP sem precisarem digit: ios acessarem as dreas ptiblicas de nome de usuario ¢ senha. 1 Autenticagao basica do FTP Exige que os usuarios Fagam logon com um nome de usuario © senha correspondentes a uma conta de usuatio valida do Windows. Definindo Acesso a Recursos com as Permissées Apds a configuracio da autenticacao, as permissdes sio atribuida modo comum de defini a arquivos ¢ pastas. Um © acesso a recursos com o IIS é utilizar as permissdes NTFS. Como io anexadas a um arquivo ou pasta, Ses NTF atuam para definir o acesso quel recursos, independente do modo como o recurso € acessado. O IIS também define as permissdes em sites ¢ diretérios virtuais. Embora as permissde: NTFS definam um nivel especifico de acesso a contas de usuario ¢ grupo existentes do Win- m site ou diret6rio virtu: dows, as permissdes de seguranga de diretdrio configuradas p: aplicam-se a fodos 0» usuitrios © grupos. A Tabela 6-2 detalha os niveis de permissio da Web: Tabela 6-2 Permissdes de Diret6rio IS Permissao Explicagao Ler (padrao) Os usuirios podem visualizar 0 contetidlo e as propriedades do arquivo. Gravar 05 usudrios podem alterar 0 contetido ¢ as propriedades do arquivo. ‘Avesso a0 © c6digo-fonte dos arquiivos, como os seripts igo-fonte de um aplicativo Acti (ASP). Bxta opeao 6 estd dispont- do script Yel quando as permissoes Ler ov Gravar forem atribuidas. O8 ususrios poclem acessar 08 arquivos fonte, Se a permissio Ler for airibuda, 0 66- digo-fonte pode ser ldo, Se a permissa0 Gravar for atributda, © c6di- .g0-fonte também pode ser gravado. Tome cuidaclo, pois permitir que os Usuarios tenham acesso de leitura e gravayao ao codigo-fonte € algo que pode comprometer a seguranca do seu servidor. Pesquisa no diretérie Os w virios podem visuilizar as lisas e colegdes de arquives.BLED aia 220 Capitulo 6 Arcuivos e Pastas Ses de execugao controlam o nivel de abela 6-3. seguranca da execugio de script ¢ sto des- Tabela 63 Permissdes de Execucao de Aplicativos Pormissao Explicagao Nenhuma Defina as permissdes de um aplicative como Nenhuma para evitar avexecucio de quaisquer programas ou scripts Somente Defina as permissoes para um aplicativo como Somente scripts para permitir que es aplicativos mapeados para um mecanismo de Script sefam executados nesse diretorio, sem que as permissdes sejam definidas para os executéveis. A definiclo das permissdes So- mente scripts € mais segura do que a definiclo das. permissdes Scripts e executiveis, porque voce pode limitar os aplicatives que podem ser executados no diret6rio. Scripts e executaveis Defina as permissoes cle um aplicativo com Scripts © executaveis para permitir que qualquer aplicativo seja executado nesse diret6- rio, incluindo aplicativos mapeados para mecanismos script e bindrios Windows (arquivos .cll e .exe). Dica do Exame Seas permissdes IIS e NTFS estao implantades, as permissées efetivas serdo as mais restritivas entre as duas. Q Pratica: Administrando o IIS Nesta pratica voce instalard o IIS € configurara um novo § te € diretorio virtual Exercicio 1: Instale 0 IIS 1. Abra Adicionar ou remover programas no Painel de controle ¢ clique em Adicionar/r mover componentes do Windows. 2. Selecione Servidor de aplicativo © clique em Detalhes. 3. Selecione Servicos de informacoes da Internet (IIS) © clique em Detalhes, 4. Verifique se, no minimo, Arquivos comuns, Servico FIP (File Transfer Protocol), Servigo cat World Wide Web ¢ Gerenciador dos Servicos de informagdes da Intemet estao selecionados. 5. Conclua a instalagao. Exercicio 2: Prepare Contetido Web Simulado 1. Grieu t pasta na unidade C:\ chamada ContosoCorp. 2. Abra o Bloco de notas ¢ cric um arquivo com 0 texto “Bem-vindo i Contoso”, Salve o arquivo como: “C:\ContosoCorp\Default.htm" verificando xe colocou 6 nome entre asp 3. ric um segundo arquivo com o texto “Este 6 o site do Projeto 101”, Salve 0 arquivo como ‘C:\Docs\Projeto 101\Default.htm’ verificando se colocou © nome entre aspas.BLED aia Li¢do 4: Administrando os Servicos de Informandes da internet 224. Exercicio 3: Crie um Site Web 1. Abra © snap-in Gerenciador dos Servicos de Informacdes da Internet (IIS) no grupo Fer ramentas administrativas 2. Clique com 0 boro direito do mouse em Site da Web padrao e selecione Parar, ro do mouse no né Sites da Web e selecione Novo > Site da Web. jue com 0 botio di 4. DE a0 si hao, ¢ O NOME Contos & 6 C: ninho C:\ContosoCorp. Todas as outras configuragdes 30 accitiv 1. Clique com 0 botio direito no site Contoso ¢ selecione Novo > Diretério vi 2. Digite 0 alias Projetw101 € 0 caminho C:\Does\Projeto 101. 3. Abra as propriedades do diretério virtual Projeto 101 4. Clique em Seguranga de diretério. 5. No quadio Autenticacio controle de acesso clique em Editar 6. Desmarque a seleco da opcao Ativar ace do site nao exigem contas de usteirio val > andnimo. As permis las, Clique em OK dus para os arquivos vezes. 7. Abra o Intemet Explorer ¢ digite http://server01.contoso.com. A piigina Bem-vindoa Contoso deve aparecer. 8. Digite o URL hey denciais. Fa server01.contoso.com/Projeto 101. Voce devera digitar as cr ca logon como Scott Bishop para que a pagina inicial Projetol 01 apareca. 9. Altere as permissdes do documento C:\Does\ Projetol01\Default htm para que apenas 0s Administradores leiam 0 documento. he © abra novamente o Intemet Explorer. Conecte-se a bitp:/server01.conto- s0.com/Projeto101 ¢ faca a autenticagio como Administrador. A pagina deve aparecer. 11. Feche e abra novamente 6 Internet Explorer. Agort, conecte-se a0 mesmo URL de Scott Bishop. Voc? deve receber uma mensagem de erro Acesso negado (401 0 autorizado). Revisao da Li¢ao As seguintes perguntas destinam-se a reforcar as principais informacdes apresentads ligdo. Se nao conseguir responder uma pergunta, revise 0 I da ligdo ¢ tente respon- Fr . Encontre as respostas para as perguntas na seco “Perguntas ¢ Respostas” no final deste capitulo, nesta a novame 1. Voc ‘onfigurando um site no IIS no Server01, © nome do dominio Internet do site € adatum.com, c pasta base do site 6 C:\Web\Adatum. Qual URL 0s usuirios da Inter net devem utilizar no diretério base do a. btip:/ b. bttp:/tweb.adatum.com/serverOt e.bttp://server01.adatum/bome dd. bup:/server01.adatum.com verOl.web.adatumBLED aia 222 Capitulo 6 Arquivos e Pastas 2. Os dados da sua intranet corporativa esti armazenados no momento na unidade D: do seu servidor IIS. Ficou decidido que o departamento de RH fornecerd as informagdes sobre os beneficios ¢ politicas da empresa a partir de seu servidor, e que o URL part acessar as informagdes de RH deve ser btip//intranet.contoso.con/br. © que voc’ preciss configurar? a. Um novo site Web b. Um novo site FTP ¢. Um diret6rio vital do arquivo d. Um diretério virtual 3. Vocé quer garantir 0 mais alto nivel de seguranca para a intranet corporativa sem a infra-estrutura dos servicos de certificacio. O objetivo ¢ fornecer autenticacao transparente irios e permitir a seguranca aos recursos da intranet com grupo de conta existente no Activ tio dentro do firewall eoxporative. Qual método de autenticacao deve ser selecionado? Directory. Todos 08 u a. Acesso andnimo b. Autenticagio basica c. Autenticacao Digest 4. Autenticac ada do Windows Resumo da Ligao a OUS nentes do Windows por m nao 6 instalado como padrio. Voce pode instald-lo usando o Assistente de compo- de Adicionar ou remover programas. a Um diretério base de site Web ou FTP ¢ a localizagao fisica dos recursos a serem fornecidos por aquele s sum ao dos recursos. O URL asst cursos podem estar localizados A6rio virtual € um alias © um caminho que apontam o servidor IIS part a localiza- a forma bip/Server.dis.name/virtualdirectory. Os re~ mum volume local ou servidor remote. © OS supor mite que qualquer usu integrada do Windows permite atribuir permi ja dar mais seguranca, varios niveis de autenticacdo, Como padrao, a Autenticacio andnima pe jo se conecte as areas de acesso publico do site e a Autent voc’ dese- s NTFS a recursos aos qui = Oacesso aos recursos IIS nos volumes NI'FS € controlado pelas ACLs, exatamente como. se 0 recurso estivesse sendo acessado pelo Cliente para redes Microsoft. 4 OLIStem permissdes de diret6rias e aplicativo, Se amba US ¢ NTFS fore aplicadas, as permissOes mais restritivas sao efetivas. is permisso Exercicio de Cenario de Caso A Contoso Ltda. quer configurar um site intranet para as noticias da empresa e dos departamentos. As especificacdes peclem que o site seja facil de usar tanto por funciondrios quantoBLED aia Capitulo Arquivos Pastas 223 pelos gerentes, os quatis serio responsiveis pela atualizagio dos documentos de not Todos os funciona tanet, Os gerentes ul a Nota _ Este exercoio de Cenério de Caso fl desenvolvide para preparare complementer a serie Laboratiria de Salugao de Problemas a sequl, Recomenca-se que voce conclua art bos 08 exerl6os pra blero ménima de eprendzogem com esses experiences pratces come segwanga do sistem de arquvos do Windows Sewer 2003 | Voce deve ter o IIS instalado (consulte a Licdo 4, Exercicio 1) ¢ ter eriedo as contes ce gru- | po e usuario deseritas na sepdo “Antes de Comecar” deste capitulo. Exercicio da Web a 1. Abra 6 prompt de comando. 2. Digite ¢ md ¢:\ContosoIntranetNews :\ContosoIntranetNens : Crie Pastas Compartilhadas e Contetdo de Exemplo Nota Obviamente, existem muitas maneiras de criar ¢ compartlhar pastas. Nessa situa- Gd, use os métodos prescritos. eguintes comandos: net share New: 3. Abra o Bloco de notas ¢ crie um arquivo com o texto “Noticias da Empresa Contoso”. Sa ve oarquivo como °C:\ContosointranetNews\ Default.htm’”, ¢ verifique se colocou 0 nome entre aspas. 4. Adicione dio & pasta C:\ContosolntranciNews: seguinte permit Gerentes: Permitir Modificar 5. Na caixa de didlogo Propriedades da pasta C:\ContosolntranetNews, clique na. guia Compartilhamento na Web. [Na lista suspenst Compautithar em selecione Contoso, Se voce mio concluiu os exercicios da Ligdo 4, nao tera o site Web Contoso. Nesse caso, selecione o Site padrao na Web. Cli- que em Compartilhar esta pasta ¢ digite o alias Noticias. As permissoes padrito so adle- quadas. Clique em OK. Exercicio 2: Otimize o Acesso a Intranet Neste exercicio, voce confirma a funcionalidade da intranet e otimiza sua facilidade de uso, 1, Abra o Intemet Explorer € digite 0 URL: http://server01.contoso.com/Noticias. 2. Voce deve di 10. como Administrador. A piigina No~BLED aia 224 Capitulo Arcuivos e Pastas 3. Feche o Internet Explorer. Vocé deve fornecer as credene St no esté permitinde o acesso anOnimo, Quando vocé cria um diret6rio virtual usando a guia Compartilhamento na Web, 0 acesso andnimo ¢ desativado como padrio. 4. Uti 5. Clique na guia Seguranca de diretGrio e clique em Editar no quadro Autenticagio ¢ controle de acesso. ando 0 gerenciador do IIS, abra as propricdacles do ditetério virtual Noticias, 6. Ative 0 acesso andnimo. 7. Repita as etapas 1 a3 para verificar se a modificagio esté em vigor. Exercicio 3: Confirme que os Gerentes Podem Modificar o Conteido da Intranet & Nota Para simular 0 gerenciamento remoto do contetido da intranet, € importante user 0 caminho UNC para pastas e arquivos de acorde com as instrugGes fornecidas. Nao use um caminho local. jo Lorrin Smith Bate: nif de Server01 ¢ faga o logon novamente como o tes, Wc Ole; que € membro do grupo Ger noticias Contoso!”. Salve 0 "© verifique se colocou 0 ‘C, nao um caminho local para a pasta de noti 2. Abra o Bloco de notas ¢ crie um documento com o texto “Bo: documento como: “\\server01\ \ noticias \boasnoticias.htm’ nome entre aspas: se usouo caminho: 3. Voce consegue silvar 0 arquivo? Se voce seguit todas as instrucoes deste Cenario de Caso, isso deve ser possivel. Conti- nue com 0 Laborat6rio para Solucdo de Problemas para identificar ¢ solucionar 0 probl ma que acabou de encontrar. Laboratorio de Solugao de Problemas & Nota Este laboratorio de solucdo de problemas foi desenvolvido para complementar 0 Exercicio de Cenério de Caso anterior. Recomenda-se que vocé conclua ambos os exercicios para obter 0 maximo de aprendizagem com estas expetiéncies prétices com a segu: ranga do sistema de arauivos do Windows Server 2003. Vosé deve ter 0 IIS instaledo (consulte a Ligdo 4, Exercicio 4) e deve ter criado as contas, de grupo e usuario desoritas na segao “Antes de Comegar” deste capitulo. Voce também. deve ter concluido pelo menos 0 Exercicio 1 do Cenario de Caso. Lorrin Smith-Bates ligt para 0 suporte tecnico € reporta que nao consegue salvar documentos na pasta de noticias da intranet. Ble esta criando uma pagina Web com 0 Bloco de nota € tenta salva-la em *\\server01\Noticias\ boasnoticias htm” quando 0 erro ocorre.BLED aia Capitulo Arquivos Pastas 225 A pasta esti localizada ContosolntranetNews, 6 companilhada como Noticias ¢ configurada como um diretério virtual, Noticias, do site da Contoso na Web. Ele recebe uma mensagem de erro Acesso negado, Isso indica que sua miquina pode se coneet dor, mas que algum tipo de permissio ou privilégio impede que ele salve 0 arquivo. Faca 0 logon em Server01 como Administrador para execu problemas. estas etapas de solugio de Etapa 1: Confirme a Associacao de Grupo Voc? esta relativamente confiante de que tornou Lorrin um membro do grupo Gerentes, e que © grupo Gerentes tem permissio Modificar para 2 pasta C:\ContosonintranetNews, Como voc’ pode confirmar a associagio de grupo de Lorrin? © comando Dsget, d um aviso de coma tutido no Capitulo 3, pode enumerar as assockacdes de grupo. Abrt clo ¢ digite © seguinte comando dsget user “CN-Lorrin Smith-Bates,OU=Funciondrios,DC-Contoso,D\ -memberof -expand com” Vocé deve ver esses grupos relacionados, bem como outros grupos que podem variar dependendo dos exercicios deste livro que voce concluiu. ‘ontos =Gerentes, OU=Grupos de segurar ,DC=com" *CN=Equipe projeto 101,OU=Grupes de seguranga,DC=contoso,DC=com” c ON=Usudrios do dominio,CN=Us 18, DC=contoso, Dt N=Builtin,D ‘=Operadores de impressao, £8, CN=Builtin, DC=contoso,DC=com” De que outra forma voce pode confirmar a associagao de grupo de Lorrin? Abra Usuarios e computadores do Active Directory ¢ examine « pigina de propriedade de didlogo Propriedades de Lorrin, fembro de na eaixa Etapa 2: Examine as Permissoes Efetivas Explore a permissio atribuida & pasta C:\ContosolntranetNews. Voce deve ve guranga © nas caixas de didlogo de Configuragées de s tem a permissto Modificar. na guia S uranca avangachis que Gerentes Clique na guia Permissoes efetivas na caixa de didlogo Configurages de seguran 1e suas permi aavane fas. As permi war dados na pasta. one a conta de usuario de Lorrin, Exami das ¢ seles soes devi ss eft m sugerir que ele tem permis > para criar arquivos © gi Etapa 3: Avalie a Situagao Se Lorrin tem as permissdes efetivas que permitem a criaco de arquivos e gravagio de dados, por que recebendo uma mensagem Acesso negade? Se vor’ ainda briu, revise os Resumos ds Ligdes 1 ¢ 4BLED aia 226 Capitulo Arquivos e Pastas © problema pode estar em outras permissd As permissOes Compartilhamento ¢ as permissoes de diret nem 0 acesso miximo permitido, de modo que uma ou m: configuradas de form permissio NTFS Permitir Modi atribuidas & pasta C:\ContosotntranctNews. io virtual ou site na Web defi- daquelas pert que Lorrin utilizasse totalmente su Ses foram, muito restritiva, ¢ isso evi ar. ando Lorrin salvou sua pagina Web no Bloco de notas, ele se conectou ao servidor remo- nte, Identifique na lista aba inte € 0 servigo que :stavam envolvidos, = Servi ico de publicacio FTP 1 Servigo de publicacio World Wide Web # Servico Telnet = Compartilhamento de arquivos ¢ impresoras para redes Microsoft a Cliente de navegador Internet = Cliente FTP Cliente Telnet = Cliente para redes Microsoft Lorrin est usando o servico Cliente para redes Microsoft para se conectar ao servico Com: partilhamento de arquivos ¢ impressorts do Server01. Voce pode identificar isso 40 examinar © caminho que Lorin especificou para salvar 0 arquivo: *\\server0I\Noticias\ boasnoticias.htm”. Ele é um caminho UNC, 0 qual se conecta utilizando a rede Microsoft. Sabendo disso, voce pode eliminar como uma causa do problema quaisquer permissOes atribuidas ao site Web ou ao diret6rio virtual; aquelas permissoes aplicam-se apenas as conexdes de clientes Web ao servico Web. so deixa unta causa possfvel para os problemas de permissdes: as permissdes de Compar- tilhamento, As permissdes padrio de compartilhamento do Windows Server 2003 permitem 40 grupo Todos apenas a permissio Leitura. Como as permissdes compartilhadas definem 0 acesso maximo pemnitico, elas estao substituindo a permissio NTES Permitir Modificar da pasta Etapa 4: Solucione o Problema Modifique as permissOes de compartilhamento em C:\ permissio Controle total 20 grupo Todos. solntranetNews para atribuir a Agora os requisitos de negocios do site de noticias da intranet so que os usuarios s6 devem poder ler documentes. A pemmissio padrio NTFS permite que os usuarios criem arquivos e pastas ¢, em seguida, como proprictarios daqueles arquivos ¢ pastas cles podem Fazer 0 qu quiserem, Bloqueie as permissOes NTFS na pasta para que os Usuarios tenham pemissio Ler & Executar, sem as pemissdes especiais (Criar anquivos/Gravar dados; Criar pastas/Aerescentar dados), Confirme suas agdes fazendo o logon como Scott Bishop. Scott dever butp://server01.contoso.com/Noticias, Se cle se conccta a \\server01\Noti poder criar um ara poder ver , ele ndodeve ivo novo ou modifica F um arquivo existente.BLED aia Capitulo 6 Arquivos ePastas 227 Em seguida, faga o logon como Lorrin. Lorrin também deve poder ver o site de noticias dt intranct, mas também pode ser capaz. de criar ¢ modificar arquivos no compartilhamento \\sever01\Noticias. Vocé deve poder eriar © documento de noticias descrito no Exercicio 3 do Genério de Caso ¢, em seguida, acessar aquele documento em btip/server01.contoso. com/Nolicias/boasnoticias.bim. Resumo do Capitulo «© Windows Server 2003 fornece novos consoles ¢ snap-ins para gerenc partifhaclas, a a de auditoria © 0 IS. © Windows Explorer ai como o snap-in Gerenciar pasta compartithac, para gerenci Editor de ACL seja significativamente mais poderoso. = AspermissGes NTFS podem ser permitidas ou negadas, explicitas ou herdacdas. Uma permi (0 Permitir, c uma permissio explicita tem precedéncia sobre uma permissio herdada. O resultado é que uma permissio expli- ita Permitir pode substituir uma permissio Negar herdada, sao Negar tem precedéncia sobre uma permissa = O.acesso concedido pelas permissoes NTFS pode ser restrito ainda mais pelas permi sdes de compantlhamento ¢ pelas permissdes IIS dos sites FTP, sites Web, diret6rios vir tuais e documentos. Sempre que dois tipos de permissées sto atribuidos a um recurso, tal como as permissdes de compartilhamento e as permissées NTFS, voc’ deve avaliar cada conjunto de permissdes para depois determina Uritivo. F esse € 0 conjunto que tornase efetivo. qual dos ¢ ‘conjuntos mais res a também inclui informagdes sobre 0 = O descritor de seguranga de um arquivo ou pa proprictirio do objeto. O proprietério, bem como qualquer usuario com Alterar permis soes, pode modificar 1 ACL. A propricdade pode ser assumida por um usuario com a permissio Permitir Apropriar-se, ou pode ser transferida entre usuarios por qualquer pessoa que tenha 6 direito de usurio Restaurar arquivos © pastas. indo a diretiva dos de contém entradas de auditoria que, qu jona o sistema para registrar os tipos especifica inados usuarios ou grupos. # O descritor de seguranga també de auditoria acesso para detern Destaques do Exame Antes de fazer 0 exame, verifique os principeis t6picos ¢ termos que sao apr seguir para ajuda-lo a identi 6picos que precisam de revisio. Volte As ligbes para praticar mais € revise a seco “Leituras Adicionais” da Parte 2 para obter indicacbes de mais informagdes sobre os t6picos abordhidos pelos objetivos do exame. Pontos-Chave . -se com as ferramentas que s2o usadas para configurar as pastas compartilh: as permissdes NTFS, a auditoria ¢ 6 IIS. Passe algum tempo e: ando a dades que podem ser configuradas em cada snap-in ¢ a fungio dk gerenciamento de arquivos © pastas. proprie- as propricdades noBLED aia 228 Capitulo Arcuivos e Pastas = ~Conhega bem a determinacao de permissdes efetivas: a interacdo entre permis citas, herdadas, permitidas e negadas para varios usu de logon, como Interativo versus Rede. expli- 0, grupos, computadores e tipos 4 Conheci as trés etapas necessirias para configurara auditoria, pode usar para determinar o tipo de auditoria @xito ou falha) a nado objetivo. as estat er usadka para cletermi- as que voce = Experimente ¢ entenda a configuragio de um site Web ¢ de um ditetério virtu nao tiver experiencia com o IS, implemente a Pritica da Caso € 0 Laboratorio de Solugio de Probler 1. Se vor® » 4, bem como 0 Cenirio de Termos-Chave ‘Compartithamento oculto Uma pasta compartithada pelt inclusao de um $ ao nome de seu compartilhamento. E possivel fazer conexdes com © compartilhamento usando 0 UNC do compartilhamento (por exemplo, \\server01\doess), mas o valor nao apar ceri nas listas de navegacio. O Windows Server 2008 cria compartilhamentos adminis tratives ocultos, como Admin$, Print$ © um compartithamento oculto para 0 direté- rio-raiz. de cada volume de disco. Apenas os administradores podem conectar-se aos compartilhamentos administrativos ocultos. Heranga Como padrio, as permissoes atribuidas a uma pa subpastas ¢ arquivos. Além disso, os arquivos ¢ as pastas so configurados como p: drio para pemitir que as permissdes de suas pastas pais ou volumes se propaguem para sua ACL. Por meio desses dois mecanismos, as permissdes atribuidas a uma pasta de alto nivel s4o propagadas para seu conteddo, A aplicam-se 2 pasta, sus Permissdes efetivas As permissdes podem ser permitidas ou negadas, herdadas ou ex plicitamente atribuidas. Flas podem ser atribuidas a um ou mais usuarios, grupos ou computadores. As permissoes efetivas sao as permissoes gerais que resultam e dete; minam 0 acesso real de um principal objeto de seguranea. Propriedade Cada arquivo ou pasta NTFS mantém uma propricdade que indica © princ- pal objeto de seguranga que tem o recurso. O proprietirio pode modificar a ACL do objeto a qualquer momento. Isso significa que 0 recurso nao pode ser bloqueado para © proprictério. A proprieda Apropriar-se © no direito de usud le pode ser obtida ¢ transferida com base na permissio Restaurar arquivos © pastas, respectivamente, As contas especiais: Proprietario criador, Rede ¢ Interative _Fsses principais objetos de seguranca sao dindmicos ¢ representam o rekacionamento entre um usuuirio € um recurso. Quando um ustirio cria um arquivo ou uma pasta, eles sto 0 Proprietirio criador daquele recurso, ¢ quaisquer permissdes herckiveis da pasta pai ou volume atribuido 20 Proprictirio criador serio exp! objeto. Rede ¢ Interativo repre: 40 do usuirio — esteja ele conectado a0 recurso de um cliente remoto ou com logon interativo no computador que mantém 0 recurso. ramente atribuidas 0 usudrie do novo rio 1 ntam o estado de cone:Perguntase Respostas 229 Diretiva Auditoria de acessoa objetos Esta dirctiva, disponivel na Diretiva de seguran- a local de um computador independente com 6 Windows Server 2003, 0u no Direti- va de objetos de grupo, determina se 0 acesso aos arquivos, pastas ¢ impressoras esti registrado no log de Seguranga. Quando esta diretiva estd ativada, as Entradas de auditoria de cada objeto determinam os tipos de atividades que sto registrados. Diret6rio virtwal_ Um virtual € um objeto IIS que permite a uma pasta de qual quer volume local ou remoto parecer como uma subpasta de um site Web. Perguntas e Respostas Revisdo da Ligdo 4 Pg. 180 1. Q _guintes ferramentas permite administrar um compartilhamento em um servidor remoto? Selecione todas as opcdes aplicaveis. a. O snap-in Gerenciar pastas compartilhitdas. b._© Windows Explorer na maquina local, conectado ao compartilhamento do servidor remoto ou compartilhamento de unidade oculto. €. © Windows Explorer na miquina remota executando 0 Servicos de terminal ou se a0 de Area de trabalho remota. 4. O console Gerenciamento de servidor de arquivos. ‘As respostas corretas sio a, ce d. 0 Windows Explorer pode ser usado apenas para administrar um compartithamento local. Assim, voré teria de executar uma sessao da rea de trabalho remo- tacom o senvidor remoto e executar o Windows Explorer naquela sesso para gerenciar os compartilhamentos daquele servidor. Uma pratica mais comum e melhor seria usar snap-in Geren- iar pastas compartilhadas que esta incluido no console Gerenciamento de servidorde arquivos. 2. Uma pasta é compartilhada em um volume FAT32. 0 grupo Gerentes de projeto recede a permissio Permitir Controle total. O grupo Engenheiros de projeto reeebe a permissio Permitir Leitura. Julie pertence ao grupo Engenheiros de projeto. Ela € promovida ¢ foi incluida no grupo Gerentes de projeto. Qu: cfetivas para a pa Controle total. 3. Uma pasta é compartilhada em um volume NTFS com as permissdes de compartilhamento padrio. O grupo Gerentes de projeto recebe a permissio NTFS Pemitir Controle total, Julie, que pertence ao grupo Gerentes de projeto, liga e reporta problemas com a criacdo de arquivos na pasta. Por que Julie nto consegue eriar arquivos? A petmissao padrao de compartithamento co Windows Server 2003 & Permitir Leitura Total. AS permissdes de compartihamento definem as permissdes méximas efetivas para arauivos epastas do compartilhamento. As permissGes de comparilhamento restringem a permissao controle total do NTES. Para corrigir 0 problema, vocé precisaria modificar as permissGes de compartihamento para permitir, no minimo, a permissao Alterar 20 grupo Gerentes de projeto.BLED aia 230 Capitulo 6 Arquivos e Pastas Revisao da Licao 2 Pg. 206 1. Quais sio as permiss6es NTFS minimas necessarias para permitir aos usuarios abrir do- Cumentos e executar program: addos em uma pasta compartilhada? a. Controle total b. Modificar « G Ler & Executar €. Listar contetido da pasta Aresposta correta é d. 2. Bill reclama que nao consegue acessar 0 plangjamento do depart abre a guia Seguranga do planejamento ¢ descobre que todas as permissdes para o documento io herdadas da pasta pai do plan per ‘grupo ao qual Bill pertence. Quais dos seguintes métodos permitiria que Bill ace © planejamento? mento. Voc a Iss a, Modificar as permissdes da pasta pai, induinds a permissio Bill:Pemmitir Controle total. 1b. Modificar as permissoes na pasta pai, inciuindo a perm €. Modificar as permissdes do plano, incluindo a permi d. Modific (0 BilkPermitir Leitura, 10: BilkPermitir Leitura, 1ras permissies do plano tirando a selectio de Permitir permissdes herdavei selecionando Copiar € removendo a permissio Negar. Modlificar as permiss6es no plano, tirando a sclecdo de Permitir permissdes her selecionando Copiar ¢ incluindo a permissio Bill: Permitir Contiole total. gar, cis, £. Remover Bill do grupo que tem a permisstio Ne As respostas corretas sao ¢, de f. 3. Bill liga novamente para dizer que ainda nao consegue acessar o planejamento do departamento. Voce usa a ferramenta Permissoes cfetivas, seleciona a conta de Bill e a ferramenta inclica que Bill, na verdade, teve permiss6es suficientes. O que poderia explicur a diserepan- cia entre os resultados da ferramenta Permissdes cfetivas ¢ a questlo reportada por Bill? Aferramenta Permissies efetivas € apenas uma eproximagéo do acesso de um usuério. E possivel que uma entrada de peimissao esteja atribufda a uma conta relacionada @ logon, come Inte- rativo ou Rede, que poderia estar negando 0 acesso. As peimissdes dos grupos de logon néo 80 avelladas pela ferrementa Permissdes efetivas. Ou, se voce no estver com logon como Administrador de dominio, vocé talvez no consiga ler todas as associagbes de grupo, 0 que poderia aterar 0 relatorio resultante de pemissées. Revisdo da Ligdo 3 Pg. 212 1. Quais das seguintes opgdes devem ser usadas para gerar um log de acesso a recursos integrada do Windows Aresposta correta é d. d, Autenticag:ETE 232 Capitulo 6 Arquivos e Pastas 3. Os dads da sua intranet corporativa esto amazenados no momento na unidade 1D: do seu servidor IIS, Ficou decidide que o departamento de RH fornecera as informacées sobre os beneficios ¢ politicas da empresa a partir de seu servidor, e que 0 URL para acessar as infor- mages de RH deve ser bupe//ntranet.comtoso.com/br. O que vost precisa configurar? a. Um novo site Web 1b. Um novo site FTP ¢. Um diret6rio virtual do arquivo dd. Um diret6rio virtual A resposta correta é d.7 Backup de Dados Objetivos do Exame deste Capitulo: = Gerenciar os procedimentos de backup a Verificar a conclusao com éxito das tarefas de backup © Gerenciar a midia de armazenamento de backup = Configurar a seguranca das operacdes de backup, a Programar tarefas de backup = Restaurur dados de backup, Por que este Capitulo E Importante ‘Voce trabalhou bastante para configurar ¢ atualizar um ambiente de servidor de acordo com as melhores pra ajustou 0 servidor com um sofisticado subsistema RAID, gerenciou cuidadosamente as permissOes de arquivos ¢ compartilhamento, bloqueou servidor com diretivas e deu seguranca fisica ao servidor para evitar 6 lo- _gon interativo nto autorizado. Mas hoje, nada disso importa, porque os sprinklers contra Inc€ndio do prédio sofreram urna pane ontem a noite € hoje seus servidores est20 cheios ‘Tudo © que importa é que voce possa restaurar scus dados do backup. Entre as muitas tarefas dle alta prioridade de qualquer administrador de rede esto a ctia@lo © o gerenciamento de um procedimento sdlido de backup € recuperagao. O Microsoft Windows Server 2003 oferece ferramentas poderosas ¢ flexiveis que permitirao cexecutar backups de dados locais ¢ remotos, incluindo arquivos abertos e blequeados, ¢ programar esses backups para periodos de baixa utilizacio, como durante @ noite. Este capitulo examina a interface grifica de usuario (GUD do utilitario Ntbackup & funcionalidade de linha de comando para proteger os arquivos de dados. Voce aprenderd como plangjar uma estratégia efetiva de backup ¢ gerenciamento de m dia, como executar backups ¢ como restaurar dados corretamente em uma variedade de cenirios. Voce também aproveitard 0 novo VSS (Volume Shadow Copy Service Servigo de cépias de sombra de volume) para recuperar mais rapidamente os dados perdidos pelos administradores ¢ usuarios. Mais adiante neste livro, retornaremos a0 Ntbackup para focalizar a recuperacao do sistema operacional durante Gao do sistema Ligdes deste Capitulo: a Licao 1: Fundamentos do Backup . . 235 . 244 . 249BLED aia 234 Capitulo 7 Backup de Dados Antes de Comecar Para praticar os exemplos ¢ exercicios de laboratério des seguinte: te capitulo, vocé precisa preparar 0. 2 Snap-in Usuirios © computadores do Active Directory. a O Windows Server 2003 (Standard ou Enterprise) instalado como Server)1 e configurado como controlador no dominio contoso.com.BLED aia Licdo 1: Fundamentos do Backup 235 Ligdo 1: Fundamentos do Backup Uma ferramenta e um plano de backup compdem 0 centro de cada procedimento de backup. © Windows Server 2003 oferece um utilitirio resistente e flexivel chamado Ntbackup. O Nu ncionalidade encontrada nas ferramentas de terceiros, incluindo a capacidade de programar backups interage intimamente com o V ma RSM (Removable Storage Management —Gerenciamento de armaze Nesta ligdo, voc? examinara as questOes conceituais ¢ de procedimentos que sao vitais para © backup de dados ¢ para que vocé entenda os fundamentos do planejamento ¢ da eri cao de tarefas de backup com 0 Ntbackup. kup suporta grande parte S € 0 siste Apés esta licdo, vor’ estara apto a m= Fazer 0 backup de dados de computadores locals e remotos m= Entender os tipos de tarefas de backup = Criaruma estratégia de backup que combina backups rormais ¢ incrementsis ou diferenciais Introducao ao Utilitario de Backup © utilitario de backup do Windows Server 2003, norm: mente chamado pelo nome de seu Ferramentas de sistema no menu Iniciar. Alternativamente, cle pode ser iniciacko digitando ntbackup.exe na caixa de didlogo Executar, icia 0 utilitirio de backup pela prim . como mostra at Figura 7-1. Este capitulo concentrase na interface mais usada do utilitario Backup. Se voce concorda com a maioria dos administradores € acha que € mais facil usar 0 utilitirio padio do que o assistente, limpe a caixa de sel modo assistente ¢, em seguida, clique em Modo avaneado. Bem-vindo 20 ‘Assistente de Dackap ox restauracs ‘wowot ecwbgsite conan Seq caer scene Ses arama wet Pancras dares Figura 74. 0 Acsistonte de backup ou rostauragSo.236 Capitulo 7 Backup de Dados Como voce vé na guia Bem-vindo do utilitirio mostrada na Figura 7-2, é possivel fazer 0 backup dos caacos manualmente (na guia Backup) ou usando o Assistente de backup. Voce mbém pode programar tarefas de backup auténomas. Os dados podem ser restaurados mente com © utilitério de backup (guia Restaurar ¢ gerenciar midia), ou usando o rente de restauragio. © Assistente part recuperacio automatizada do sistema (ASR ~ Automated System Recovery), que faz. 0 hackup dos arquivos criticos para o sistema opera cional, sera discutido mais adiante neste livro. Figura 7-2 A guia Bemvindo do utlitério de backup. Esta ligio concentra-se no planejamento ¢ exccugao do backup de dados ¢ para explorir a capacidade do utilitario de backup utilizaremos a guia Backup, como mostra a Figura 7 em vez, do Assistente de backup. Taso ter Er Conners As ‘ent Pei etn nee enter sree le ) Figura 7-3 A guia Backup do utilitario de backup.BLED aia Licdo 1: Fundamentos do Backup 237 Selecionando os Arquivos para Backup Vocé pode usar a guia Backup pa podem estar em volumes locais ou em pa pasta para backup, uma marca azul aparece. de uma pasta, ela exibe uma mares de sele ra selecionar os arquivos ¢ pastas para backup. Os iter ras de rede. Quando vocé seleciona toda uma voce selecionar apenas determinados itens naecida para indicar um backup par oO Para fazer 0 backup de arquivos ou pastas de maquinas remotas, selecione os itens em uma, unidade mapeada ou expanda Meus locais de rede. Fste © equivalente a0 uso de um UNG (Universal Naming Convention — Conveneao universal de nomenclatura), como Nome_do_Servidor\ Nome_do_Compartilbamento, Embora a sclegdo de arquivos © pastas por meio de Meus locais de rede seja mais complicada (voce precisa navegar mais niveis da interface pars localizar os arquivos), hd uma vantagem porque os mapeamentos de unidade tém mais chance de mudar ao longo do tempo do que os UNCS. timo ends cave Geet re hen tabs Woe aie eeu nos cry ao sion Cee Corser ee ou ahen eaeerteace, area mete pecs Selecionando 0 Destino de Backup © Windows Server 2003 permite criar um trabalho de backup em uma variedade de tipos de midia: uma unidade de fita, uma unidace removivel como a unidade omega Jaz e, 0 mais importante, diretamente em arquivo de um volume de dis ino for uma fita, 0 nome especificado deve coincidir com o nome de uma fita que é montacka no dispositive de fita Para o backup de um arquivo, o utiliirio Backup cria um arquivo .bkf no local especificado que pode ser um volume local ou uma pasta remota. E comum administradores que utilizam ckup fazer o hackup de um arquivo em cada servidor e consolidar os arquivos ansferem os backups para midia removivel. ar essa consolidacao, o destino de backup € configurado como um UNC em um de um servidor central ou em um arquivo local de cada servidor, © qual mais tar de é copiado para um local central. ‘em um servidor central, 05 « Existem duas limitagoes importantes do utilitério Backup. A primeira é que ele nao suporta os formatos de gravagao em DVD ¢ CD. Para contornar essa limitacao, faga o backup em um arquivo e, em seguida, transfirt o arquivo para CD ou DVD. A segunda limitacio € que o backup para qualquer destino excefo um arquivo exige quea midia de destino esteja em um dispositive anexado fisicamente ao sistema. Isso significa, porexemplo, que voc® nzio pode fazer o backup de dados em uma unidade de fita anexada a um servidor remoto, Determinando uma Estratégia de Backup Apds selecionar os arquivos & especificar 6 destino do backup, existe pelo menos uma . Clique em Iniciar backup ¢, em seguida, clique em Avangado para exibir a caixa de didlogo Opgoes de backup avangadas. Ela permite especificar 0 tipoBLED aia 238 Capitulo 7 Backup de Dados de backup. O tipo de backup determina qual denire seu 6 realmente transferido para a midia de destino, irquivos selecionado Cada tipo de backup se relaciona de uma ou outra forma a um atributo que cada arquivo mantém: arquivo. © atributo arquivo (A) é um sinalizador que é definido quando um arqui- ado ou alterado, Para reduzir 0 tamanho ¢ a duracao dos trabalhos de backup, a des tipos de backup s6 transfere para lia os arquivos que tém seu atributo ar- ‘quivo definido. A fonte 9 a0 atributo arquivo é devi a terminologia. Voce ouve com freqiiéncia “o arquivo est marcado como copiado”, o qu realmente significa que 0 atributo arquivo ¢ fimpoapos determinado trabalho de backup. O proximo trabalho nao transferira aquele arquivo para a midia. Se o arquivo for modificado, porém, 0 atributo arquivo sera definido novamente, co arquivo sera transferido no proximo backup. (TD) [ois soesam tosis carat on vat, iese donee one oatouo Backups Normais Todos os arquivos € pastas selecionados sao copiados. O atributo arquivo é limpo. Um backup normal nao usa o atributo arquivo para determinar quais arquivos devem ser copia dos. Todos os itens sclecionadios sio wansferidos para a midia de destino, Cada estratégia de backup comega por um backup Normal que essencialmente cria uma referéncia, captu- rando todos os arquivos do trabalho de backup. Os backups normais sao os mais demorados ¢ exigem mais capacidade de aumento do que qualquer outro tipo de backup. Entretanto, como geram um backup completo, os backups normais si0 0 tipo mais eficiente para a restauracao de um sistema. Voce nao pr isa restaurar varios trabalhos. Os backups normais limpam o atributo arquivo de todos os arquivos selecionados. amaze Backups Incrementais Os arquives selecionados com 0 atributo arquivo definido 0 copiados. O atributo arquivo 6 limpo. Os arquivos selecionados com o sinalizador de arquivo sio transferidos para a midia de destino ¢ © sinalizador é limpo. Se voce executar um backup incremental um dia apés a realizagdo de um backup normal, o trabalho conteré apenas os arquivos que foram criados ou alterados durante aquele dia. Da mesma forma, se vocé executar um backup incremental um dia apos outro backup incremental, o trabalho contera apenas os arquivos que foram criados ou alterados durante aquele dia. (Os backups incrementais so 0 tipo mais rapido € reduzido de backup. Entretanto, cles S40 ‘os menos eficientes como conjunto de restauraclo, porque voce deve restaurar 0 backup normal e, em seguida, deve restaurar cada backup incremental subseqiiente na ordem deBLED aia Licdo 1: Fundamentos do Backup 239 Backups Diferenciais Os arquivos selecionados que t@m 0 atributo arquivo definido si quivo nio é impo, Como um backup diferencial utiliza 0 atributo arqui apenas os arquivos criados ou alterados desde 6 tiltimo hackup normal ou incr backup diferencial nao limpa 0 atributo arquivo. As durante dois dias seguidos, o segundo trabalho incluiré todos os arquivos do primeiro backup, bem como quaisquer arquivos que tenham sido criados ou alterados durante © se~ gundo dia. O resultado disso ¢ que os backups diferencias tendem a ser maiores ¢ mais morados do que os backups incrementais, mas menos do que os backups norma dos. O atributo ar- (0,0 trabalho inclui ‘mental. im, im, se voce excautar backups diferenc Entretanto, os backups diferenciais sao significativamente mais eficientes do que os backups incrementais como conjunto de restauracio. Para restaurar totalmente voc? restauraria © backup normal ¢ © backup diferencial mais recente. Backups de Copia ‘Todos os arquivos e pastas selecionados sto copiados. Esse tipo de backup nunca usa nem Jimpa 0 atributo arquivo. Os backups de c6pia mio sto usados em backups tfpicos ou programados. Em vez disso, os backups de cépia sito usados para mover dados entre sistemas ‘ou para criar uma e6pia de arquivamento dos dados em um dado momento sem atrapalhar 05 procedimentos padrio de backup. Backups Diarlos Todos os arquivos € pastas sclecionados que foram alterados durante o dia S40 copiados com base na data de modificacio do arquivo, O atributo arquivo nao ¢ usado nem limpo. Se ‘voot quiser fazer o backup de todos os arquivos ¢ pastas que foram alterados durante o dia, sem afetar uma programacao de backup, use um backup d Combinando Tipos de Backup mbora a eriaclo de um backup normal todas restaurado a partir de um Gnico trabalho no dia seguinte, um backup normal pode levar muito tempo para ser criado, ¢ talver faga 0 trabalho que deveria ser feito durante @ noite niro, atrapalhando © desempenho no hordrio comercial, Part eriar kup, voce deve levar em conta o tempo ¢ tamanho do trabalho rio para restaurar um sistema em caso de falha. Di $ noites garanta que um servidor possa ser continuar manha ad uma estratégia ideal de ba de backup, bem como o tempo net solugdes comuns sio: 2 Backups normale diferencial _Um backup normal é execusido no domingo ¢ backups diferenciais de segunda a sexta. Os backups diferenciais nao limpam o atributo arquivo, que significa que cada backup inclui todas as modificagdes desde o domingo. Se os a: dos se corromperem na sexta, basta restaurar o backup normal de domingo ¢ o backup | de quinta, Embora demore mais, particularmente se os dados mudam com essa estratégia & mais fécil € toma a restauracao mais rapida, porque 0 conjunto de backup esti cm um ntimero menor de discos ou fitas. = Backups normais ¢ incrementais Um backup norm backups incrementais sio executados de segunda a sexta, Os backups incrementais lim- al 6 executado no domingo eSn¢wees 240 Capitulo 7 Backup de Dados pam 0 atributo arquivo, o que significa que cada backup inclui apenas os arquivos que foram alterados desde o backup anterior. Se os dados se corromperem na sexta, voce aurar o backup normal de domingo e cada um dos backup: tratégia cxige menos tempo de backup ¢ mai precisa re: de segunda a tauragao. Pratica: Executando Tipos Diferentes de Backup Nesta pritica, vos quive. jar varios trabalhos dle backup, examinando a fungio do atributo ar- Exerciclo 1: Crle Dados de Exemplo 1. Abra 0 Bloco de notas © nha com cuidado. je um arquivo de texto com as linhas seguintes. Digite cada li md ¢:\Dados net share data=C:\Dados md c:\Dados\Financeiros cd c:\dados\Financeiros echo Historicos Financeiros > Historicos.txt echo Finanges Atuais > Atuais.tat echo Aluguel > Aluguel.tit echo Projetos Financeiros > Financeiros.txt Salve © arquivo como “c:\criararquivos.bat” incluindo a 3. Abra o prompt de comando ¢ digite ed ¢:\, pressione Enter. 4. Digite o comando eriararquives.bat, pressione Enter, 5. Abra o Windows Explorer & navegue até o diret6rio C:\Dados\Financeitos. Voce vera esta tela: DAwelbe| TTB Docuneria drteno 120508 Bate ut 1B cocumertedetero fezoeoey iar at 1B Soamarodetee sO OR Clmropteste 1B Ooameriadetece 62050848 6. Se acoluna Atributos ni ito do mouse nos titulos da coluna Data de me > estiver visivel, clique com o botio dit ficacaio > é exibido.BLED aia Licdo 1: Fundamentos do Backup 241 Nota Doixe 0 Windows Explorer aberto em C:\Dados\Financoiros. Vocé 0 consultaré om. toda esta pratica, a) Exercicio 2: Execute um Backup Normal 1. Abra o utilitirio Backup executando Ntbackup.exe na linha de comando, ou selecionando Backup em Acessorios>Ferramentas de sistema no menu Iniciar. 2. Limpe a caixa de selegdo Sempre iniciar no modo de assistente. 3. Clique em Modo avancado. 4, Selecione a guia Backup. 5. Expanda Meu computador, « unidade € , em seg pasta Financeiros. A pasta Financeiros tem uma marca de seleco enquanto sua pasta pai tem uma marca de sele indicando um backup parcial. Todos os arquivos adicionados’ pasta (6 incluidos no backup, mas quaisquer arquivos incluidos na pasta Dados nao serao inclufdos no backup. 6. No menu Trabalho, selecione Salvar s 's como Backup Financeiros.bks. 8. Na caixa Midia de backup ou nome do arquivo digite ¢:\backup-normal. bkf. 7. Salve as selego Aa NNota_Em amblentes de produgBo voce provavelmente usard mila removiel pera os backups, mas para manter os requisitos de hardware minimos, as praticas desta licao fa- (a0. Kattup oa rectauranae om arquives cal. Se veo Ue sceago awa rida de fita, use-a durante estas praticas. 9. Clique em Iniciar backup ¢, em seguida, clique em Avanc 10. Confirme se Nonmal esta selecionado na ixa suspensa Tipo de backup € clique em OK. 11. Selecione Substituir os dados na mi 12. Observe a caixa de clique em Relatorio. por este backup ¢ clique em Iniciar backup. idlogo Progresso do backup. Quando o backup estiver concluido 13. 14. Feche © relatério ¢ 0 utilitirio Ba mine relat6rio. Nenhum erro deve ser reportado. wckup. Observe que, quivo. no Windows Explorer, a coluna Atributos no mostra mais © atributo ar- Exercicio 3: Execute Backups Diferenciais 1. Abra C:\Dados\Financeiros\ Atuais.txt ¢ adicione algum texto. Salve ¢ feche o arquivo.BLED aia 242 Capitulo 7 Backup de Dados 2. Examine C:\Dados\ Financeiros no Window: do 0 atributo arquivo? xplorer. Qu: Arquivos estio mostran- ‘Apenas aquele que vocé acabou de alterar. 3. Abra o utilitirio Backup e clique na guia Backup, 4, No menu Trabalho, selecione Carregar ros, nanc 5. Na caixa Midia de backup ou nome do arquivo, digite ¢\backup-if-dial bk, 6. Clique em Iniciar backup. 7. Clique em Avangado ¢ selecione Difere 8. Ini ial como 0 tipo de backup. -stiver concluido, confirme se no ocorreram erros, © backup ¢, quando el 9. Feche o utilitirio Backup. 10. Examine a pasta no Windows definido? plorer. Qu: arquivos tiveram seu atributo arquivo 0 arquivo Atueis.txt ainda esté sinalizado para arquivamento. 11. Abra o arquivo Aluguel ¢ faca algumas alteracdes. Salve ¢ feche 0 arquivo. Confirme se © atributo arquivo esti definido agora 12. Repita as etapas 3 29, criando um trabalho de backup no local: ¢:\backup-dif-dia2.bkf, Verifique © relat6rio de backup resultante. Quantos arquivos foram copiados para 0 backup? Dots. Exercicio 4: Execute Backups Incrementais 1. Abra o utilitério Backup ¢ clique na guia Backup. 2. Nomenu ‘Trabalho, selecione Carregar sclecdes para carregar as selegdes de Backup Fi- Na caixa Midia de backup ou nome do arquivo digite e:\backup-ine-dia2.bkf., 4. Clique em Iniciar backup. 5. Clique em Avancado e selecione Incremental como 0 tipo de backup, 6. Inicie o backup ¢, quando ele estiver concluido, confirme se nao ocorreram erre he © utilitirio Backup. plorer. Quais arquivos t¢m seu atributo arquivo Nennum. Abra 0 arquivo Projetos ¢ faga algumas alteragdes. Salve ¢ feche © arquivo. Agora el deve mostrar o atributo arquivo no Windows Explorer. arefa de backup no local: ¢:\backup-ine-dia3.bkf, 10. Repita as etapas 1 a8, criando umaBLED aia Licdo 1: Fundamentos do Backup 243 Revisao da Li¢ao As seguintes perguntas destinam-se a reforgar as principais informagdes apresentadas nesta ligao. Se mio conseguir respondera uma pergunta, revise o material da ligdo € tente respon dé-la novamente. Voce encontra as respostas para as perguntas na secdo “Perguntas ¢ Res postas” no final deste capitulo, 1. Quais das seguintes localizagoes ndo podem ser us Windows Server 20032 cadlas para o backup de um sistema a. Unidade de fita local Db. CD-RW local €. Unidade de disco ._ Pasta compartilhac: @. DVD+R local f. Unidade removivel local gido local em um servidor remoto, & Unidade de fita em um servidor remoto, 2. Voce deve fazer o backup de um servidor de arquivos do Windows Server 2003 todas noites. Vocé executa um backup manual normal, Fm seguida, programa um trabalho de kup aser executado todas as noites nas prés Qual tipo de backup idamente? a. Normal b. Diferencial ¢. Incremental d. Cépia 3. Voce deve fazer o backup de um servidor de arquivos Windows Server 2003 todas 2 noites. Voc¢ executa um backup manual normal ¢, em seguida, programa uma tarefa de backup a ser executida todas as noites. Qual tipo de backup fomece a recuperacao mais, imples dos dados percidos? a. Normal b. Diferencial Incremental d. Disrio 4. Voce deve fazer o backup de um servidor de arquivos Windows Server 2003 todas as Vocé executa um backup normal e, na segunda noite, considera o uso de um kup incremental ou diferencial. Havera alguma diferen idade ou no nho desses dois trabalhos de backup? Se o servidor falhasse no dia seguinte, haveria alguma diferenca na eficiéncia da recuperacio? Revise de backup: s ctapas realizadas durante a Pritica. Reveja 0 contetido dos seguintes trabulhos @ backup-normal.bkF244 Capitulo 7 Backup de Dados a backup- Opgdes do utilitério Backup, na guia Restaurar mostrada na Figura 7-5: auraclo s: = Nao substituir 0 arquivo no computador Como padrio, esta opeio faz com que © -sti0 no local de destino. Um cen: utilitario salte os arquivos que 4 est OpElo é aqucle em que alguns, mas nao todos os arquivos foram exclufdos do local de restauracao. Esta opgio restaura esses arquivos que estao faltando pelos arquivos copiado = Substituir 0 arquivo no disco apenas se ele for mais antigo Esta op¢ao orienta 0 Proceso de restauracdo para sobregravar os arquivos existentes, a menos que cles sejam mais recentes do que 0s arquivos do conjunto de backup. A teoria é que se um arquivo do local de destino for mais recente do que a e6pia do backup, 6 possivel que o arquivo que voce nao deseja sobregravar. fo comum que leva mais recente contenha informacd 1 Sempre substituir 0 arquivo no computador Nesta opcio de restauracio, todos os arquivos so sobregravados por suas verses copiadas, independente do arquivo ser mais recente do que o backup. Voce perder los dos arquivos que foram modifica dos desea data do backup. Entretanto, todos os arquivos do local de destino que do esto no conjunto de backup permanecerao. CS us) Gna Retees Tortie Lndebg| chew] Pomsouerun saivoam iteive recess iene fabio satior dco sess eos hn Same antonio ro cones, Figura 7-5 Opcdes da guia Restaura. Apés sclecionar os arquives, as opcdes € um des tauracio ¢, em seguida, confirme a mesma. A ci ino para a restauragdo clique em Iniciar res de didlogo Iniciar restauragao ¢ exibiBLED aia Liggo 2: Restauracao de Dados 247 Antes de confirmar a r cao tratara xat de diflogo Confirmar restaura foram co} turaclo, voc’ pode configurar 0 modo como a operacio de restaura- as configuragdes de seguranca dos arquivos copiados, clicando em Avancado na cai- do. « opgao Restaurar seguranga. Se os dados: m volume NTFS, a configuracdo padrio restaura as permissoes, configuragdes de auditoria © informagoes de propriedade. O cancelamento ct sclecio dessa opeao restiura os clados sem suas permissOes de seguranca, ¢ todos os arquivos restaurados herdarao as permissdes do volume ou pasta de restauracio de destino. e seleci ados ¢ estao sendo restaurados em Pratica: Restaurando os Dados Nesta pritica, voce verifica scus procedimentd do comum: restauragio em um local de teste. de backup restauracao usando um m Exercicio 1: Verifique os Procedimentos de Backup e Restauracao Para verificar os procedimentos de backup ¢ restauracio, muitos administradores uma restauragao de teste de um conjunto de backup. Assim, para nio danificar os dados de » de teste v il original dos dados, ficacao da instalacao correta do dispositivo de backup (ou seja, a unidade de fita) em um servidor capaz de hospedar dados no caso do servidor primério falhar. Para tanto, execute as seguintes etapa: 1. Abra o utilitatio Backup. 2. Clique em Restaurar © gerenciar midlia, 3. Clique no sinal de mais para expandir 0 arquivo. 4 no sinal de mais para expandir Backup-normal.bkf, 5. rn de selecao para selecionar C 6. :, Dados ¢ Financeiros. Vocé vai notar que a selecao da pasta C: selecionou ¢ arquivos filhos. 7. Na caixa suspensa Restaurar arquivos em, selecione Local alternativo. 8. No campo Local alternativo, digite C:\TesteRestaurar. 9. Clique em Iniciar restauracato. 10, Na caixa de didlogo Confirmar restauracao, clique em OK. 11. Quando a tarefa de restauracio estiver concluida, clique em Relatério ¢ examine o log. da operacio de restauracio. 12, Abra a pasta C:\TesteRestaurar e verifique se a estrutura da pasta ¢ os arquivos foram testaurados corretamente, 13. Repi u as etapas 1 a 10, desta ver. restaurando 0 arquivo backup- se quiser excluit apenas os arquivos de sua propriedade. Voce pode especificar os arquivos com base no Tipo de arquivo registrado ou com base em uma extenso, usando a Mascara de arquivo personaliza Imente, vocé pode restringir os arqu vos exeluidos a uma pasta especifica ou unidade de disco rigido, usando as opcdes Aplicar-se ao caminho © Aplicar-se a todas as subpas Opgies de Backup Avancadas pos sclecionar os arquivos a serem copiados ¢ ter clicado em Iniciar backup, voce pode configurar opcoes adicionais ¢ especificas de trabalho clicando em Avancado. As configura des mais importantes incluem es 1 Verificar os dados apés backup Esta configurag3o substitui a configuragio padrao da caixa de didlogo Opgoes de backup. = Se possivel, compactar dados de backup para economizar espago _Fista configura- Gao compacta os dacos part economizer expago na midia de backup, uma opgio qu nao est disponivel a menos que a unidade de fita suporte a compactacao. = Desativar cépia de sombra de volume © VSS queados € abertos. Se ou em uso podem ser ignorados. permite o backup de arquivos blo- Iguns arquivos ue estao abertos ct opgao estiver selecionada,BLED aia Ligdo 3: Backup € Restauracdo Avangados 255, 0 Comando Ntbackup © comando Ntbackup ofereee a oportunidade de fazer o script dos trabalhos de backup no Windows Server 2003. Sua sintaxe é a seguinte: Ntbackup backup {"caminho do Backup" ou "“@nomedoarquivo.bks") /3 "Nore do Trabalho" opcodes meira chave do comando 6 backup, ¢ define seu modo ~ voce nao pode restau partir da linha de comando, Essa chave é seguida por um pardimetro que especifica 0 que deve ser copiado, Voce pode especificar 0 caminho real para a pasta local, compartilhamen- to de rede, ou arquivo que deseja copiar. Alternativamente, vocd pode in nome do arquivo de seleeio para backup (arquivo .bks) a ser usudo com a sintaxe @nomedoarquivo.bks, O simbolo de arroba (@) deve preceder © nome do arquivo de selegao para backup. Um arquivo de selecao para backup contém informagdes sobre os arquivos ¢ 2 pastas que voce selecionou para fazer o backup, Voce precisa criar 0 arquivo usando a ve i de interface grifica de usuario (GUD do uti io Backup. aro caminho do A terceira chave, /J "NomeDol sado no relatério de hackup. rabalbo’, especifica o nome descritive do tabalho, 0 qual & m seguida, voce pode selecionar uma das varias chaves de uma | quais esto agru- padas a seguir, com base no tipo de trabalho de backup que voce deseja exccutar. Backup em um Arquivo JE “NomeDoArguivo’ onde NomeDoArguivo ¢ 0 ¢: as seguintes chaves com ¢ minho do disco légico e © nome do arquivo. Voce nao deve chave: /T /P /G © exemplo a seguir faz. 0 backup do compartilhamento remoto Dados de um arquivo local na unidade de disco E: em Server01: ntbackup backup "\\server01\Dados” /d “Backup do Server 01 Pasta Dados" /F *E:\Backup.bkf" Anexando a um Arquivo ou Fita Para executar uma opericito para acrescentar, Se acrescentar a uma fita € nlo.a um arquive, voce deve usar /G ou /T juntamente com esta chave. Flt nao pode ser usada com /N ou /P. erverd2 e © seguinte exemplo fiz 0 backup do compartilhamento remoto Profiles n0 S acrescenta 0 Conjunto ao trabalho criado no primciro exemple: ntbackup backup "\\server02\Profiles* /J "Backup do Server 02 Pasta Profiles" /F *E:\Backup.bkf" /ABLED aia 256 Capitulo 7 Backup de Dados Backup em uma Fita ou Arquivo Novo, ou Sobregravacao de uma Fita Existente Us a chave: IN “NomeDaMidia” onde NomeDaMidia especifica o nome da fita nova. Voc’ nio deve usar /A com esta chave. Backup em uma Fita Nova chave JP “NomeDoPool” onde NomeDoPool especifica 0 pool de midia que contém a midia de backup. Em geral este € um sub pool do pool de midias de backup, como 4mm DDS, Voce no pode usar as opedes /A, /G, /F ou /T se estiver usando /P. © seguinte exemplo faz.o backup dos arquivos ¢ pastas rekicionados no arquivo de selecao de backup c:\backup.bks em uma unidade de fit ntbackup backup @c:\backup.bks /j ‘Backup Trabalho 101" /n "Trabalho de Backup da Linha de Conardo" /p *4nm 005" Backup em uma Fita Existente Para especificar uma fita para uma operagao de acrescentar ou sobregravar, voce deve usar as chaves /T ou /G juntamente com /A (acrescentar) ou /N (Sobregravar). Nao use a chave /P com /T ou /G. Para especificar uma fita pelo nome, use a chave /T com a seguinte /T“NomeDatita” onde NomeDatita especifica uma fita valida no pool de midias. Para fazer © backup do arquivo de sclegao ¢ anexd-io & fita cria voce usa esta linha de comando: ntbackup backup @c:\backup.bks /j "Backup Trabalho 102 /a /t "Trabalho de Backup da Li- nha de Comando" 4 no exemplo anterior, Pa te JG “NomeDoGUID’ onde NomeDoGUID especifica u 4 especificar uma fita pela sua GUID, em vez de ave /G com a seguin- ‘u nome, use ac 14 fita valida no pool de midias Opgées de Trabalho Para cada um dos tipos de trabalho descritos acima, voce pode especificar opgdes adicionais, de trabalhos = /M (TipoDeBackup) mal, copia, diferencial,BLED aia Ligdo 3: Backup € Restauracdo Avangados 257 1 /D ("DefinirDescric¢ao”) a /Vilyes | no} Verifica os dados aps 0 backup © specifica um rotulo para © conjunto de backup. rar conclufdo. a /Relyes | no} Restringe o acesso a esta Administradores. 2 /LIE Ls Ln) Espe (nenhum log é criado), a /RS:lyes | no} Faz o backup dos arquivos de dados migrados localizados no Arma namento remoto. fita a0 proprietario ou aos membros do grupo ica © tipo de arquivo de log: fcompleto, enhum, resumo, QQ) [bis topsesrtmesosoants tnt sreesstranos eran tern Bs de ose oncna once © saloon as seine ioeaare oe hen mento remoto. Quando vocé faz o backup da pasta %systemroot%, é feito um backup auto- Inn © tome Go sos tepeeonerte eet = /HC;{on | off} Us 2 /SNAP¢on | off) Especifica seo backup deve usar uma C6pia de sombra de volume (VS 4 compactacio de hardware, se estiver disponivel, na unidade de fita. Programando Trabalhos de Backup Para programar um trabalho de backup, crie trabalho no utilitério Backup ¢ configure as ido configuradas, clique em opedes avancadas de backup. Apés todas as opedes Agendar €, na caixa de diélogo Definir informagoes de conta, digite © nome do u senha da conta a ser utilizada no trabalho de backup. terem ioea & Alerta de Seguranca As melhores préticas de seguranca sugerem que voce ctie uma conta para cada senjico, em vez de executar os servigos na conta Sistema. No configure um servico para ser executado usando uma conta Usvario, como sua conta Usuirio ou aconta Administrador. Quando @ senha muda em ume canta Usuario, voeé deve modificar a configuragao de senha em todos os sericos que $20 executacos dentro do contexto da- auela conta. A conta do trabalho de backup deve pertencer ao grupo Operadores de backup. Na caixa de didlogo Opgdes de trabalho agendado digite 0 nome do trabatho € clique em Propricdades. A caixa de didlogo Agendar trabalho aparece, como mostra a Figura 7-7. Con- gure a data do trabalho, a hora € a freqiiéncia. O botio Avancado permite configurar definigdes adicionais de programacao, incluindo um intervalo de datas para o trabalho. A guia Configuracdes 4 xalho permite refinar © trabalho, como por exemplo, especificando que © trabalho s6 deve ocorrer se a miquina ficar ociosa por um periodo.258 Capitulo 7 Backup de Dados Pigcadartrobae 2x) ‘ends |Cage | BS 0.00 xo os das, icant on 1/8/2003 sows Hovis [Poene fran] _ Anes = Figura 7-7 A caixa de didlogo Agendar trabalho. pos um trabalho ter sido programado, voce pode editar a programagao, clicando na guia Agendar trabalhos do utilitario Backup. Os trabalhos sao relacionados em um calendirio. Clique em um trabalho para abrir sua programacio. Embora voce também poss adicionar um trabalho de backup clicando em Adicionar trabalho na guia Agendar trabalhos, a opcao Adicionar trabalho inicia 0 assistente de backup para que voe? selecione os arquivos serem copiados e algumas propriedades do trabalho de backup. A maioria dos administradores acha mais conveniente criar um tabalho de backup diretamente na guia Backup c, depois, clicar em Iniciar backup e em Agendar conforme descrigao anterior. Cépias de Sombra de Pastas Compartilhadas © Windows Server 2003 suporta outra forma pela qual administraclores € ususirios podem recuperar rapidamente danos causados a arquivos ¢ pastas ver 2003 faz automaticamente c6pias momentaneas dos arquivos’ medida que eles so modificados. Se um usuario exclui, sobregrava ou realiza modificagdes indesejadas em um arquivo, vocé pode simplesmente restaurar uma versio anterior do arquivo. Esse 6 um 1 oso, mas niio pretende substituir os backups. Em vez. d lo para faci liar a rapida recuperacao de problemas simples do dia a dia ~ no a recuperagao de perda significativa de dados. Ativando e Configurando as Copias de Sombra © recurso Copias de Sombra para pastas compantithadas n ado como padro, Para ativar © recurso, abra a caixa de didlogo Propricdades de um volume de unidade no Win- dows Explorer ou no snap-in Gerenciamento de disco. Na guia Cépias de sombra, como mestra a Figura 7-8, sclecione o volume e clique em Ativar. Aposativadas as pastas, uma cb pia de sombra seri feita de todas as pastas compartilhadas do volume; os compartilhamen-BLED aia Ligdo 3: Backup € Restauracdo Avangados 259 tos especificos de um volume nao podem ser selecionades. Entretanto, voc? pode inici manualmente uma c6pia de sombra clicando em Criar agora Figura 7-8 A guia Cépias de sombra da caixa de didlogo Propriedades de um volume. Taare g pegruronio jm Gas eaten ae tres pos oo sone As definicdes padrio configuram 0 servidor para fazer cépias de pastas compartilhadas as 7 horas e a6 meio-dia, de segunda a sexta-feira; e 10% de espaco de unidade, na mesma u dade da pasta compartilhada, so utilizados para fazer cache das cSpias de sombra. Cada uma das seguintes configuracdes pode ser modificada com um clique em Configura- cOes na guia Copias de sombra: 1» Volume de armazenamento Para melhorar 0 desempenho (nio a redundancia), vocé pode mover o ammazenamento de sombra para outro volume, Isso deve ser feito quando nao houver nenhuma c6pia de sombra p Spias de sombra e voce quiser alterar o volume de armazenamento, voce deve excluir toc c6pias de sombra do volume ¢, em seguida, modificar o volume de armazenamento, = Detalhes A caixa de ditlogo relaciona as cépias de sombra que estao armazenadas & as extatisticas de utiliza 30 de espaco, 1 Limites de armazenamento Podem ser to baixos quanto 100 MB. Quando a cépia de sombre fi is dos arq para criar espaco para as verses mais recentes. A configuracdo adequada dessa defini- cao depende do tamanho total das pastes comparithadas em um volume que tenha o sombreamento ativado, cla freqiiéncia com a quall os arquivos mudam ¢ do tamanho de ses arquivos, além do ntimero de verses anteriores que voce deseja conservar. Em to- sem armazenamento, as versdes 1 vos sio exchuteBLED aia 260 Capitulo 7 Backup de Dados = Agendar Voct pode configurar uma programacio que reflita os padroes de trabalho de seus usuarios, garantindo a disponibilidade de verses anteriores su preenchimento prematuro da drea de armazenamento, forgando a remc gas. Lembre-se de qu terados desde a copia de sombra anterior s veres entre 3s cOpias dle sombra, essts ver Utilizando uma Copia de Sombra As cOpias de sombra das pastas compartilhadas permitem acessar versoes anteriores de ar quivos que 0 servidor colocou em cache na programacko configurada. Isso permite que voce: de verses anti- quando uma eépia de sombra ¢ feita, todos os arquivos que foram al- 10 copiados. Se um arquivo foi atualizado vit intermediirias nao estarao disponive kas = Recupere arquivos que foram excluidos acidentalmente, = Re Come] cece J ae | tae Figura 7-9 A guia Versdes anteriores de um recurso compartithado, na Versdes anteriores de sombra o estard disponivel se pedo Copii ada no servidor, ou se nao houver versdes anteriores armazenadas no servidor. EI bém nao estara disponivel se o cliente da copia de sombra nao estiver instalado em seu si tema, Esse arquivo esta localizado na pasta Yagystemroot %\System32\Clients\ Twelient\x86 de um sistema Windows Server 2003. O arquivo Windows Installer (.msi) pode ser distribu do usando a Diretiva de grupo, SMS, ou em uma mensagem de e-mail. Finalmente, a pagina Vers tard disponivel quando as propriedades de um arquivo forem aces sadas por mcio de uma pasta compartithada. Se 0 arquivo estiver armazenado na unidade de disco local, voce nao veri a guia Versdes anteriores, mesmo que © arquivo esteja com- partilhado € 0 VSS esteja ativado. Veja um exemplo na Pratica desta tam ss anteriores 86 ¢sBLED aia Ligdo 3: Backup € Restauracao Avangados 261. Em seguida, voce pode selecionar Restaurar 0 arquivo & localizacho anterior ou Copiar 0 ar quivo para uma localizacio especi Q Dica do Examo Ao contrério de uma operagao de restauragao verdadeira, quando voc® restauraum arquivo com Voreses anteriores, a¢ configuragées Go coguranga da verebo an. terior no 280 restaurado, Se voe8 restaurar 0 arquivo ne lovalzap&e orginal, o @ arquivo {6 exietir, a veredo anterior restaurade sobregrava a verséo atual¢ utlizaa permlsezo buidaad veredo atuol. Se voeé copiar uma verado antorior para outra local zoga0, au ce ros taurar 0 arcuivo & sua localizag3o original, mas arquivo ndo exist mais na localizag3o original, a veredo arterior restoureda herde os permisedo da posta pal. Se um arquivo foi excluido, voce obviamente nao pode ir até a caixa de dilogo Propried: des para localizar a pagina Verses anteriores, Em vez. disso, abra Propriedades da pasta pai, clique na guia Versdes anteriores ¢ localize uma versio anterior da pasta contendo o arquivo que vocé deseja recuperar. Clique em Exibir e uma janela de pasta sera aberta, como mostra a Figura 7-10, para exibir 0 contedido da pasta cache em que a eSpia de sombre foi feita. Clique com © botdo direito do mouse no arquivo ¢ selecione Copiar ¢, em seguida, co- Je-o na pasta na qual vocé deseja que o arquivo seja recriado, CONE TI aio frase Edtar Esbk Favotos Feranertas Alaa a ome 2 | Dreaser ore [is | D: ine [a Wervrlicorepneneeres(boe, ioe )etede ews 292) Tene_= [ans [po aa aca [aie Canmetoe) TH Oocmerto take af/2005 116 Bruise 1B Doemerto toto sf2005 1H Bctriastat 118 Donmert dtesto 18/201 4 DD Proptostet MB Docmerto de texto 16/2008 23:20 a a! 1) oo arbiter [erat Zl Figura 7-40 A lista de conteddo Versées anteriores de uma pasta. Como voce pode ver, a cépia de sombea é uma adiedo titil ao conjunto de ferramentas usado para gerenciar servidores de arquivos ¢ dados compartithados. Com 0 VS pode preservar conjuntos de dados em pontos programados. Os administradores ou usutios podem restaurar os arquivos exciudos ou cosrempidos, ou poem comparar arquivos yersdes anteriores. A medida que 0 cache VSS é preenchido, as versdes anterion purgadas ¢ novas c6pias de sombra so adicionadas. Se um usuario precisar que os dados sejam restaurados ¢ aqueles dados nao estiverem mais isponiveis por meio de Verses anteriores, voce pode restaurar os dados do backup. S servidor se corromper, voce deve restaurar os dados do backup. Embora © VSS amplie a f cilidade de gerenciamento ¢ resiliéneia dos arquivos compartilhados, nada substitui um pro= cedimento de backup plancjado ¢ verificado com cuidade.BLED aia 262 Capitulo 7 Backup de Dados Pratica: Backup e Restaurac¢ado Avancados Nesta pritica, voc’ programa um trabalho de backup, executa um backup em um prompt de comando, configura ¢ utili Spias sombra de pastas companilliadas, Exercicio 1: Programagao de um Trabalho de Backup 1. Abra o utilitério Backup ¢ clique na guia Backup, No menu Trabalho, carregue as selec s de backup Fir anceiros, 3. Configure a Midia de backup ou nome do arquivo: C:\Backup-Diario.bkt, 4, Clique em Iniciar backup. 5. Clique em Avancado ¢ configure um tipo de backup incremental. Clique em OK. 6. Clique em Agendar 7 xa de didlogo Definir informagdes da conta, digite sua senha e clique em OK 8. © trabalho como Backup incremental disrio. % em Propricdades. Configure © trabalho para que seja executado diariamente, Configure o tempo como dots minutos da hora atual para ver os resultaclos do trabalho. 10. Conclu a configuragao do trabalho programado. Voce clever digitar a senha novamente, 11. Feche o utiitirio Backup. 12, Abnt a unidade G no Windows Explorer © aguarde dois minutos. Voce vera 0 trabalho de backup. 13. Abra o utilitério Backup, s indo R lize © log de backup mais recente para confirmar o status do trabalho de backup. O ntimero de arquivos copiados pode ser zero se voce nao fer alteragdes em nenhum dos arquivos. ecione © con’ 6rio no menu Ferramentas e visua: 14, Se 0 trabalho nao foi executado adequacamente, abra Visualizar eventos na pasta Fer- ramentas aclministrativas. Examine 0 Log de aplicati ficar a causa da fall. Exercicio 2: Execute um Backup no Prompt de Comando ma fccis de determinar as chaves corretas a serem usadas em um backup no prompt de comando € programar um backup, como voce fez. no Exer ‘em seguida, examinar 0 comando criado pela tarefa programada. ts maneiras 1 1, Abra 0 utilitirio Backup ¢ clique na guia Agendar trabalhos. 2. No calendario, clique no icone que representa o trabalho programado, 3. Clique em Propriedades. clecione © comando na ¢: copi 5. Cancele para stir da caixa de didlogo Agendar trabalhas ¢ feche 0 utilitari Executar ¢ pressione Ctrl+C ps 6. Abra © prompt de comando,BLED aia Ligdo 3: Backup € Restauracdo Avangados 263 Clique no menu de janela (0 feone de prompt de comando no canto superior esquerdo, da janela Prompt de comando) e, no menu Editar, selecione Colar. O comando Ntbackup com todas as suas chaves 6 colado no prompt de comando, Pressione Enter, O trabalho. de backup é exeeutado. a Nota Neste ponto da Praca ¢ recomendavel que voce exclua o trabalho de backup pro: gremado. Voce programara outros trabaihos no Cenario de caso, e sera mais faci trabalnar Com eles se a programacao atual estiver limpa. No utlitario Backup, clique na guia Agendar trabaihos e, em seguida, no calendar, clique no icone que representa 0 trabalho programado. Clique em Exciuir. Exercicio 3: Ative as Cépias de Sombra 1. Verifique sea pasta C:\Dados esti compartifhada ¢ se as permissOes de compartilhamen- to estio configuracas com a pemissio Todos tém controle total 2, Abra Meu computador. 3. Clique com 0 botio direito na unidade C ¢ selecione Propriedad 4. 5. Selecione o volume C ¢ clique em Ativar, mba Clique na guia Cépias di 6. Uma mensagem é exibida. Clique em Sim para continuar, Exercicio 4: Simule Alteragdes nos Arquivos de Rede 1. Abra a pasta C:\Dados\Financeiros ¢ abra At em seguida, salve feche 0 arquivo. ais.txt. Modifique 0 contetido do arquivo 2. Exclua 0 arquivo C:\Dados\ Financeitos\ Projetos.txt. Exercicio 5: Recupere os Arquivos Usando as Versées Anteriores 1. Para abrir 0 compartilhamento de dados, digite \\server01\dados. ique em Iniciar, sclecione Executar ¢ depois Nota Emuito importante que vooé abra a pasta usando seu UNC, endo seucaminho local. A quia Verses anteriores é a Gnica disponivel quando se est conectado a uma pasta com: partilhada pela rede. 2. Abra a pasta Financeiros 3. Clique com 0 botdio direito do mouse no arquivo Atuais.txt e selecione Propriedades. 4. Selecion 4 guia Versdes anteriores. Selecione a verso anterior de Atuais.xt. 6. Clique em Copiar, selecione Area de trabalho como 0 destino e, em segui vamente em Copiar. clique no-BLED aia 264 Capitulo 7 Backup de Dados 7. Clique em OK para fechar a caixa de didlogo Propriedades. > sem as modific 8. Abra Atuais.txt na sua area de trabalho, Voce vera que essa es feitas no Exercicio 4. 9. Retorne 10. Para recuperar 0 arquivo excluido Projeios.txt, cli pasta Financeiros e clique em Propriedade: \\Server01\ Dados. Desta vez, nto abra pasta Financeiros. jue com o bot direito do mouse na 11. Selecione a guia Versoes anterion 12. or da pasta Financeiros e clique em Exibir. mostrando © contetido da pasta no momento em que a c6pia de sombra foi fei 13. Clique com 0 botio direito do mouse no arquivo Projetos.txt € selecione Copiar. 14, Alteme para a pasta atual \\server01\Dados. 15. Abra p 16. Cole 0 arquivo Projetos.txt na pasta, Agora vocé restaurou a versio anterior de Pro- jetos.txt asta Financeiros. Revisao da Ligao As seguintes perguntas destinam-se a reforcar as principais informacdes apresentadas nesta licdo. Se nao conseguir respondera uma pergunta, revise o material da liclo e tente respon- dé-la novamente. Voce encontra as respostas para as perguntas na seco “Perguntas ¢ Res: postas” no final deste capitulo, 1. Scott Bishop ¢ um usuario avancado de um site remoto que inclui 20 usuatios. O site tem a Windows Server 2003 para servidores de arquivos ¢ impressio. O sistema tem uma unidade de fita instalada, Como niio ha administrador local em tempo integral no site, voce deseja permitir que Scott faca o backup ¢ a restauraco do servidor. Entr tanto, voce quer minimizar 0 poder ¢ os privilégios que Scott tera, limitando suas capacidades estritamente as operagoes de backup ¢ restauragio. Qual 6a melhor pritica para oferecer a Scott as credenciais minimas necesséirias para realizar sua tarcfa? screva 0 comand que permitird o backup completo dat pasta C:\Dados\Financeiros em um arquivo chamado Backup.bkf de um compartilhamento chamado Backup no Ser- ver02, com 9 nome de trabalho de backup “Backup da Pasta Financeiros*. Em seguida, escreva 6 comando que peritiri executar um backup incremental ¢ anexar 6 Conjunto de backup 26 mesmo arquivo, com 0 mesmo nome de trabalho de backup, 3. Um usuario excluiu um arquivo de uma pasta compartilhada em um servidor. Ble abre as propriedades da p: vé uma guia Versio anterior. Qu: vas podem ser verdadeiras? (Selecione todas que se aplicam.) leBLED aia Capitulo 7 Backup de Dados 265 a. A pasta nao esti ativada para Cépia de sombra. Bb. 0 volume no servidor ti ivado para Cépia de sombra © usuario nao tem permis d. Odi Spi . A pasta esti em um volume FAT. dio para v ja de sombra, isualizar 0 cache COp nte de sombra instalado na miquina do usuario. Resumo da Li¢ao a Vocé deve ter 0 direito de fazer o backup e a restauracto dos arquivos para usar o utilité- rio Backup ou qualquer outra ferramenta de backup. O direito Gatribuido, como padrao, aos grupos Operadores de backup ¢ Administradore: aA caixa de didlogo Opcoes permite configurar as definicdes Geral, Backup & Restaura- Ao, muitas das quais tomam-se padrto que orientario © comportamento do utilitirio Backup ¢ do comando Ntbackup, a menos que sejam substituidos por opedes especificadas na caixa de didlogo Opcées de backup avangacas do trabalho de backup, ou nas chaves da linha de comando. © Ocomando Ntbackup ¢ todo 0 scu complemento de chaves permit um trabalho de backup de um prompt de comando ou de um arquivo em Tote, m que voc’ in Os trahalhos de backup podem ser programados para serem executados regular ¢ auto- amente durante os periodos de bs ma 1 utilizagio. © Oservico de Cépia de sombra de volume (VSS) permite a D acessar as Versoes. anteriores dle arquivos e pastas nos compartilhamentos de rede. riores, os usuarios podem restaurar arquivos excluidos ou danificados, ou comparar ve sdes de arquivos. m usu versdes ante- m ess: Exercicio de Cenario de Caso Vocé deve configurar uma estritégia de backup para a pasta de compartilhamento do De- partamento Financeiro. © backup deve ocorrer automaticamente durante as prim da manha, uma vez que hd usuarios trabathando nos tumos das 4:00 & mefa-noite, de segunda a sexta-feira, Os arquivos da pasta mudam com freqii fca de metade dos arqu vos mudam uma vez por semana ¢ a outra metade dos arquivos muda quase diariamente, Vocé sabe que se a unidade de disco do servidor sofrer uma falha, 0 tempo de paralisacio seri extraordinariamente caro f rach mais rapido possivel. 1 ras horas. 1@ deve ocorrer 0 A empresa @, portanto, a recup Sabendo que tantos arquivos mu acontecer 0 mais rapidamente possivel, qual tipo de derado para a execucao noturna? Os backups nommeis. Existe tanta alterapao ocorrendo na pasta compartihada, que voce tem menos de 50% dos beneficios do uso de um backup diferencial ou incremental em comparacaoa um backup normal, € nada é mais rapido de restaurar do que un backup normal, porque 0 conjunto de backup contém todos 0s arauivos a serem restaurados. n quase diariamente, ¢ que a recupera xalho de backup deve ser consi-BLED aia 266 Capitulo 7 Backup de Dados 2. Voce configurou um backup difrio normal para ser exccutado & meit-noite, apés o dilti- ‘mo turno ter acabado. Infelizmente, voce descobriu que o trabalho de backup ni concluido &s 4 horas, quando 0 tumno da manha chega, De que mancira sua estratégi backup deve ser modificada? Criar um backup normal uma vez por semana, talvez no domingo e, em seguida, criar backups diferenciais noturnos durante 2 semana. Emdora os backups diferencial e incremental estejam disponiveis, os backups diferenciais fornecem capacidade de restauracao mais rapida, uma vez ue 0 coniunto mais recente do backup diferencial inclui todos os arquivos que foram atualizados desde 0 backup normal. Exercicio 1: Crie Dados de Exemplo 1, Abra Meu Computador ¢ a unidade C. 2, Excluaa pasta Dados, Voce devera confirmar a opgao. Voce também sera informado de que a pasta € compartilhada © que a exclusao da pasta excluirt a pasta compartilhad: Confirme que entendeu 0 aviso ¢ continue. 3. Abra o iso de comando € digite ed es, 4. Digite 0 comando eriararquivos.bat. a Exercicio 2: Programe 0 Trabalho de Backup Nota Se voce nao cricu o arquivo criararquivos. bat na Ligdio 4, Exercicio 4 deste capitulo, realize as etapas 1 2 3 do Exercicio 1 para criar o script epropriado. Configure e programe as tarefas seguintes de backup. Se precisar de orientagao para realizar As tarefas, consulte as instrucdes das Priticas das Licdes 1 ¢ 3. 2) Trabalho de backup normal para fazer o backup da pasta C:\Dados\Fi vo chamado C:\Backupinanccito. kf (substituindo a midia) todos os domingc wantceiros em um arqui- 9.00 PM. «Trabalho de backup diferencial para fazer 0 backup da mesma pasta no mesmo arquivo Caer indo & midia) as 12:15 A.M. de tert a domingo (ou seja, de segunda & noite até sexta a noite), Exercicio 3: Simule os Trabalhos Programados m ver de aguardar at@a noite de domingo para que 0 trabalho de backup normal seja ex. cutado automaticamente, voce executard o trabalho de backup no prompt de comando. 1. Abra 0 utilitirio Backup. 2. Clique na guia Agendar trabalhos. 3. Clique ne lendirio. one que representa 0 trabalho de backup normal da noite de domingo no ca- slique em Propriedades. 5. Sele one © comando na caixa Fxecu © presssione Ctrl+C para copii-lo. 6. Cancele para sair da caixa de diilogo Agendar e feche o utilita io Backup.BLED aia Capitulo 7 Backup de Dados 267 7. Abra o prompt de comando. 8. Clique no menu de jancla (0 cone do prompt de comando no canto superior esquerdo da jancla do prompt de comando) ¢ em Colar no menu Editar. © comando Ntbackup com todas as suas chaves 6 colado no aviso de comando. Pressione Enter. O trabalho de backup ¢ executado. Salve e feche o Abra C:\Dadlos\Financeiros\Projetos.txt ¢ faga as alteragdes no arquivo, arquivo. 10. Repi > de comando o trabalho de backup diferencial que esta programado para ser executado todas as noite aasek vez exccutando no avis Exercicio 4: Verifique o Procedimento 1. Abra 0 utilitirio Backup. 2. No menu Ferramentas clique em Relatério, 3. Abra os dois relat6rios de backup mais recentes confirme se os trabalhos foram cor cluidos com éxito, O trabalho normal deve ter feito o backup de quatro arquivos, O trabalho diferencial deve ter feito o backup de um arquivo. Exccute uma restaurago de teste em uma pasta chamada C:\TesteRestaurar, Restaure trabalho normal ¢, em seguida, o trabalho diferencial, Se precisar de orientacao, consulte a Pritica da Licao 2. @ Atencao Antes de restauraro trabalho diferencial, jembre.se de que vocé deve configurar as oppdes de Restaurapao (no menu Feramentas, selecione Opedes) para sempre substi tuiros arquivos. Vocé também pode precisar catalogar 0 arquivo para ver todos 0s conjuntos de backup que ele contém Laboratério de Solugao de Problemas um usud As 13 horas da terga-fei do Departamento Financeiro entra em contato com yoee para informar que excluiu acidentalmente alguns arquivos da pasta Financeiros. Voce tem certeza que © procedimento de backup que estabeleceu ajudari a recuperar os arquivos excluidos. Entretanto, voce também quer garantir que mio reverterd nenhum arquivo do hoje, apés a execuco do backup noturno. simulard 0 fluxo de trabalho que cria esse cenario ¢, em seguida, cuperacao dos dados que estio faltando, Exercicio 1: Crie uma Perda de Dados 1. Abra a pasta C:\Dados\ Financeiros. 2, Abra o arquivo Atuaistxt. Faga alguma modificagde lve € feche © arquivo. 3. Abra oan 4. Exc vo Aluguel.txt. Faca algumas modificacdes, salve ¢ feche 0 arquivo. (05 arquivos Historicos.txt © Projetos.txt.BLED aia 268 Capitulo 7 Backup de Dados Exercicio 2: Planeje a Recuperacao Revise a estratégia de backup desenvolvida no Exercicio Cena mal todas as noites de sabado e um backup diferencial tod: de Caso: um backup nor outras noites da semana. como voet re pert os dados que estao faltando? Um backup normal incluitodos os arquives selecionades. Essa é abase a parr da qual vocé comega a recuperar os dados perdidos. 0 backup diferencial inclui todos os arquivos que foram alterados desde 0 backup normal. Ap6s ter restaurado 0 backup normal, vocé pode restaurar 0 backup diferencial mais recente. Lembre-se, porém, que alguns dos arquivos (Aluguel e Atuais) foram alterados pelos usuarios apés 0 backup difereneial noturno. Como voed evita que esses arquivos mai do conjunto de hackup? Acaixa de didlogo Opcdes inclui uma guia Restaurar com as opgdes que permite especificar 0 ‘modo como os arquivos do Conjunto de backup s8o gravados no destino. Voce pode orientar 0 uulitarlo Backup para sobregraver os arquivos apenas se 0S arqulvos do disco forem mals antl- gos do que 0s erquivos do Conjunto de backup. Os arquivos mais recentes permanecerao. recentes sejam sobregravados pelos arquivos Exercicio 3: Recupere os Dados 1. Abra o utilitério Backup. 2. Selecione 0 comando Opgées no menu Ferramentas. 3. Clique na guia Restaurar 4. Configure a restauragio para deixar os arquivos mais novos inalterados, selecionando Substituir 0 arquivo no disco apenas se cle for mais antigo e, em seguida, feche a caixa de didilogo Opcdes 5. Sclecione a midia de backup que contém scu backup normal ¢ diferen 6. Restaure o backup normal 2 su localizacao original 7. Restuure o backup diferencial @ sua localizacio original 8. Abra os arquivos Atuais ¢ Aluguel. Como esses arquivos eram mais novos do que aqueles do conjunto de backup ¢ devido as opgdes de restaurago que voce configurou, cles devem incluir as alteracoes feitas no exercicio Cenario de Cas Resumo do Capitulo = Voc? tem o direito para fa Backup ou qualquer outra ferramenta de backup. Como pach grupos Operadores dle backup ¢ Administradores. cro backup ¢ a restauragio de arquivos usando o utilitirio 10, odireito ¢ awribui loaos = Outi jo de backup, Ntbackup, permite fazer 0 backup ea restauragao de dados a partir de pastas locals ¢ IS em arquivos locais, unidades de fita, midia removivel ou pastas compuartilhadas em servidores remotos. Vocé nio pode fazer o backup nos formatos para CD ou DVD gravaveis. a Uma esirarégia incrementais ou diferenciais. Os trabalhios incrementais ¢ de backup em geral comega com um backup normal seguido por backups im. backup mais rapidamen-BLED aia Capitulo 7 Backup de Dados 269 te; 0s backups diferenciais sio mais rapidos de restaurar, Os trabalhos podem s mados para ocorrerem nos periodes de baixa utilizacao. progra- & Os backups de cOpia ¢ didrios podem ser us fos sem interferir na programacio regular de backup. \dos para capturar arqui 1» O.utilitirio Backup também permite restaurar os dados copiados na localizacdo original ou.em uma localiz: Ultima opcio ¢ util para testar € verificar os pro © Ocomando Ntbackup e toda a sua variedade de chaves permitem iniciar um trabalho de backup em um prompt de comando ou arquivo em lote. © Oservigo Copia de sombra de volume (VSS) permite que um usuario acesse as versoes ores de arquivos e pastas dos compartilhamentes de rede. Com essas versdes ante »s podem restaurar arquivos excludes ou danificados ou comparar ve! OS usu soes de arqui Destaques do Exame Antes de faz fer 0 exame, revise os principais pontos e termos que s pata ajud isar. Volte is licdes para prati mais e revise as segdes “Leituras Adici 1a Parte 2 para obter indicacdes de mais infor- mages sobre os t6picos abordados pelos objetivos do exame. -lo a identificar os tépicos que voce precisa rev Pontos-Chave 1 Identificar as associngdes de grupo ot os direitos nece cio de backup ou restauragio, ios para executar uma opera- a Criar uma estratégia de backup com base nas necessidades, incluindo a quantidade de tempo para fazer 0 backup de dados ¢ 2 velocidade com a qual as restauracdes devem ser executad = Entender como restaurar dados em uma variedade de condicgdes, incluindo perda completa ¢ parcial de dados. Compare a perda de dados com kup p: identificar os conjuntos de backup que deve wos. Integre seu conhecimen- to da ordem na qual os conjuntos de backup devem ser restaurados a0 modo como os arquivos existentes na unidade de disco devem ser substituidos. programacio de © Programe um trabalho de backup ¢ configure as opgdes de backup. ra das pastas compartilhadas e recupere os dados usando a guia pres de um caixa de didlogo Propriedades de uma pasta a Ativeas c Versées ante Termos-Chave Backup de c6pia, diario, diferencial, incremental e normal _Esses cinco tipos de backup selecionam os arquivos 2 serem copiados usando critérios especificos. Os backups cépiae normal copiam todos os arquivos, os backups didrios copiam os arquivos que foram270 Capitulo 7 Backup de Dados modificados em uma data especificada, os backups diferencial e incremental copiam 0 arquivos com scu conjunto de atributos de arquivo. Os backups normal ¢ incremental também redefinem © atributo arquivo. Atributo arquivo Um atributo que ¢ definide quando um arquivo 6 criado ou modificado. Os backups incrementais ¢ diferenciais copiam os arquivos com seu conjunto de atributos arquivo. Os backups incrementais também limpam 0 atributo arquivo. C6pia de sombrade volume (VSS)_Um recurso do Windows Server 2003 que permite fazer o backup de arquivos que estio bloqueados ou abertos. Pools de midia: nao reconhecido, importacao, livre, backup As quatro categorias de mnidia removivel. Ntbackup copia apenas para a midia dos pools livres ¢ backup. COpias de sombra de pastas compartilhadas Um recurso do Windows Server 2003 que, depois de configuraclo no servidor e nos clientes, permite que os usivarios recupe- rem vers6es anteriores de arquivos sem a intervencao do administrador. Perguntas e Respostas Revisdo da Ligao 41 Pg. 243 1. Quais dos seguintes locais do podem ser usados para um backup de um sistema Wine dows server 2003? a. Unidade local de fita b. CD-RW local &. Unidade local de disco rigido 4. Pasta compartithada em um servidor remoto €. DYD=R local £. Unidad removivel loc: B Unidade de fita em um servidor remoto ‘As respostas corretas S40 b, € € g. Voce deve fazer 0 backup de um servidor de arquives noites. Vocé executa um backup manual € normal. Em se de backup para ser executa backup realiza essa tarefia mais rapidamente? a. Normal b. Diferencial ©. Incremental 4. Cépia A resposta correta é c. indows Server 2003 todas as programa um trabalho semanas. Qual tipo de 3. Voc? deve fazer o backup de um servidor de arquivos Windows Server 2003 todas as notes. Voce executa um backup manual normal e, em seguida, programa uma tarefa de backup a ser executada todas as noites. Qual tipo de backup fomece a recuperacio mais simples dos dados perdidos?BLED aia Perguntase Respostas 274 a. Normal b. Diferene Incremental d. Didrio Arosposta correta 6 a. 4, Vocé deve fazer o backup de um servidor de arquivos Windows Server 2003 todas s noites. Vocé executa um backup normal, Na segunda noite, voce considera 0 uso de um backup incremental ou diferencial. Haverd alguma diferenca na velocidade ou no tamanho desses dois trabalhos de backup? Se o servidor falhasse no dia seg guma diferenca na eficiéncia da recuperacio? ite, haveria al- Na segunda noite, vocé poderia usar qualquer tipo de backup. O backup normal limpouo atriouto arquivo. Na segunda noite, tanto o backup incremental quanto o diferencial transferem todos os arquivos criados ou alterados no segundo dia. Nao haverd diferenca de contetido nes dois traba- Ihos. Assim, ndo havera diferenca de recuperacao ne terceiro dia: voce teria de restaurar 0 backup normal e, em seguida, o backup da segunda noite. Entretanto, os backups incremental e diferencial tratam 0 atributo arquivo dos arquivos copiados: de modo diferente: 0 backup incremental desliga 0 atributo, o backup diferencial o deixa ligado. Assim, no préximo backup, comeca a haver una diferenca. Um segundo backup incremental transfere apenas os arquivos criados ou alterados desde o primeiro backup incremental. Entretanto, um ‘segundo bachup diferencial incluira todos os arquivos criados ou alterados desde o backup normal, ou Seja, ele incluira todos os arquivos que ja foram copiados pelo primeiro backup diferencial. 5. Revise as etupas realizadas backup: na Pritica. Analise 0 conteddo dos seguintes trabalhos de a backup-normal.bkF a backup-dif-dial bkf a backup-dif-dia2.bkf a2.bkf ia3.bkf Existem diferencas entre 0 contetido de backup-lif-dia2 ¢ backup-ine-dia2? 2 backup-ine a backup-ine-d = backup-normal.bkf: Historicos, Atuais, Aluguel e Projatos m backupdifdia.bkt; Atuais = backupdifdia?.bkf: Atuais e Aluguel m backup-nodia2.bkc: Atuals e Aluguel = backup-inedia3.bkt: Projetos Nao ha diferengas entre backup-difia2 e backupine dia. Ambos os tipos de backup copiam os dados que tem o atributo arquivo definigo. Como um backup normal fol executado no primeiro dia, todos os arquvos que mudaram desde o primeiro dia terao 0 atributo arquivo definido. Revisao da Ligao 2 Pa, 248 1 acidentalmente os dadlos de um documento do Microsoft Word ¢ salvou © documento, alterando assim o arquivo original de forma permanente, Uma operaBLED aia 272 Capitulo 7 Backup de Dados Jo normal de backup foi executada no restaunicio voce deve selecionar? rvidor na noite anterior. Qual opcio de a. Nao substituir 0 arquivo no computador, b. Substituir 0 arquivo no disco apenas se cle for mai antigo. ‘€. Sempre substituir © arquivo no computador. Aresposta correta é ©. 0 arquivo existe no servidor, mas foi corrompido. Voce deve substituiro arquivo pela copia configurada no backup. 2. Uma executiva voltou de ui Antes ct via, nde negdci n, cla copiou arquivos de uma pasta na rede para sua unidade de disco rigido. A pasta € compartilhada com ou- vos, que modificaram scus arquivos na pasta enquanto ela estava fora, Quan- do cla voltou, passou sua c6pia dos arquivos para o compantilhamento de rede, ando assim seus arquivos com as modific também so- brogravando todos os arquivos que foram modificados por outros exe executives no ficaram felizes com as substituigdes de seus arquivos pekis verses que estavam ativas quando cla viajou. Felizmente, voce executou uma operacao de backup normal na pasta na noite anterior, Qual opedo de restauracdo voce deve selecionar? iagem, ma ivos, Os outros a. Nao substituir 0 arquivo no computador b. Substituir 0 arquivo no disco apenas €. Sempre substituir © arquivo no computador A resposta correta é b, Esta op¢a0 nao sobregrava arquivos que foram alterados pela executiva quando ela estava viajando. Esses arquivos terao uma data mals recente do que a data do back- Up. Entietanto, ele restaura os outros arquivos da executiva sobre as versoes mais antigas que ela carregou na rede. cle for mais antigo. Dica Os usuarios devem ser treinados para usar 0 recurso Arquivos offline, para que esse tipo de desestre comum possa ser evitado. 0 recurso Arquivos off-line sincroniza ape- has 0s arquivos que muderam, de modo que as atuelizacdes que ela fez teriam sido carre- Eadas na rede, deixando as alteracdes dos outros executvos intactas. 3. Voc’ gostaria de testar os procedimentos de restauragao no seu servidor, mas niio gost ria de afetar as c6pias de produgio dos dados copiados. Qual ¢ o melhor local de restau- b. Local alternative ©. Pasta Ginica Aresposta corretaé b. Arestauragao em um local alternativo restaura a estrutura de pastas e ar- Quivos que foi copiada. Em seguida, vooe pode comparar 0 contetido do local de destino com os, arquivos orignais coplados pare verificar se 0 procedimento de restauragao foi realizado com erito. Revisdo da Ligdo 3 Pa, 264 1. Scott Bishop ¢ um usuério avancado de um site remoto que inclui 20 usuarios. O site tem um sistema Windows Server 2003 para servidores de arquivos © impressio. O sistemaBLED aia Perguntase Respostas 273 tem uma unidade de fita instalada. Como nao hi administrador local em tempo integral deseja permitir que Scott faca o backup tanto, vooe quer minimizar 0 poder e os privilégios que dades estritamente ais operacdes de backup € restaurag oferecer a Scott as eredenciais minimas necessarias part re Torne Scott um membro do grupo Operadores de backup. 0 grupo Operadores de backup recebe como padrao 0 privilégio de fazer 0 backup e a restauracao de arquivos e pastes. no site, voct 1uracio do servidor. Entre- apaci- A para Escreva 0 comando que permitira o backup completo da pasta C:\Dados\Financeiros €m um arquivo chamado Backup.bkf de um compartilhamento chamado Backup no Ser ver02, com o nome de trabalho de backup “Backup dat Pasta Financeiros’, Em seguid escreva o comando que permitirt executar um backup incremental ¢ anexar 0 Conjunto, de hackup ao mesmo arquive, com o mesmo nome de trabalho de backup. ntbackup backup “c:\dados\financeiros” /J “Backup da Pasta Financeiros” /F *\\server02 \backup\backup.bkf" ntbackup backup “c:\dados\financeiros” /) “Backup da Pasta Financeiros” /F “\\serverO1 \backup\backup.bkf" /a /m incremental Um usudrio excluiu um arquit propriedades da pasta e jor. Quai vas podem ser verdadeiras? (Selecione todas que se aplicam,) > de uma pasta compart ¥io vé uma guia Versio antei a. A pasta nao esti ativada para C6pia de sombra. ativado para Copi €. 0 usuario nao tem permissao para visualizar 0 cache Copia de sombra. d. Cépia de sombra do cliente no esti instalado na maquina do usuitrio. e. A pasta esti em um volume PAT, As respostas corretas sao b € d. A copia de sombra é ativada por volume, néo por pasta. Apés Cépia de sombra estar ativade, qualquer usuario que tenha-o instalado no cliente veré a guia Ver- des anteriores de um arquivo ou pasta que foi modificado. A opcao Copia de sombra 6 suporta- da apenas nos volumes NTFS. b. 0 volume no servidor nito esta de sombra,8 Impressoras Objetivos do Exame deste Capitulo: a Monitorar as filas de impressio. = Monitorar os servidores de ciador de tarefas, Visualiza uivos ¢ impressio. As ferramentas podem incluir 6 Geren- eventos € © Monitor de sistema, Por que este Capitulo E importante A lista de coisas que um administrador tem para fazer ts vezes fica cheia de itens relacionados a impressoras, Seja testando ou implantando novo hardware de impressora, solucionando problemas com trabalhos de impressao ou dando seguranca ¢ monitorando a utilizagdo das impressoras, o tempo que voce gasta ocupando-se com as impressoras pode ser quase igual aquele que vocé precisa dedicar ao acesso a arquivos © pastas. © Microsoft Windows Server 2003 oferece um conjunto avangado de recursos que dao suporte aos servicos de impressaio empresarial. Ete capitulo apresenta a configu: racao de impressoras no Windows Server 2003, a interagao entre impresoras € 0 ser vigo de diretrios Microsoft Active Directory, a conexao entre clientes ¢ impressoras de rede, o monitoramento ¢ a solucao de problemas com os servicos de impressio. Vocé aprender a administrar impressoras locais, de rede e Internet, e como configurar as impressoras para obter o maximo de flexibilidade © seguranca. igdes deste Capitulo a Licdo 1: Instalando ¢ Configurando as Impressoras . . . see 27 = Licao 2: Configuragao © Gerenciamento Avangado de Impressoras. + 288 = Lic&o 3: Atualizando, Monitorando ¢ Solucionando Probler 301 Antes de Comegar Este capitulo apresenta as ca pressoras no Windows Server 2003. E: mo 18 meses de experiéncia ¢ conhecimento pritico do Active Directory ¢ do MMC (Microsoft Management Console — Gonsole de gerenciamento Microsof), Entretanto, como muitos admi- radlores chegam so Windows Server 2003 vindos de outros ambientes de impre duindo © Novell NetWare, ¢ como a terminologia de impressio mudou ligeirament primeira licao deste capitulo revis 10s da configuracio de impressoras. As Li ges 2 © 3 aprofundam esses fundamentos ¢ o preparam para a administracio avan flcxivel, © suporte, o monitoramento a solucio de problemas de impressors em um am- Diente do Windows Server 2003. 0s relacionados a administraco das im- © kit de treinamento pres me que voce tem no mini-ETE 276 Capitulo 8 Impressoras Embora seja vantajoso ter uma impressora e dois computadores (um computador com 0 ‘Windows Server 2003 e um cliente executando 6 Window's XP ou o Windows 2000 Profes- onal), voce pode coneluir os exercicios deste capitulo sem uma impressora, e com aper m computador. Prepare 0 seguinte: = Um Windows Server 2003 (Standard ou Enterprise) instalado como Server(1 ¢ configurado como controlador de dominio no dominio contoso.com. a Uma unidade organiz icional (QU) de primeito nivel chamada Grupos de seguranea. onali- 2 Oconsole Usuirios e computadores do Active Directory, ou um console MMC pi zado com © snap-in Usuarios ¢ computadores do Active Directory.BLED aia Ligdo 4: Instalando e Configurando as Imoressoras 277 Ligao 1: Instalando e Configurando as Impressoras © Windows Server 2003 suporta servicos de impressao avancados, seguros ¢ flexiveis. Ao usar um computador com o Windows Server 2003 para gerenciaras impressoras conectadas Jocalmente 20 computador ou 3 rede, tais impressoras podem ser disponibilizadas para ¢ aplicativos que sto executados localmente no computador com o Windows Server 2003 ou para os ususirios de qualquer plataforma eli \cluindlo as verses anteriores do Win- dows, bem como dos clientes Netware, UNIX ou Apple Macintosh. Esta liglo examinara os conceitos basicos, as terminologias ¢ as capacidades relacionadas 2 configuracao de impressoras no Windows Server 2003. Apés esta licdo, vor’ estara apto a m= _Entender 0 modelo e a terminologia utilizados para a impress&o no Windows = Instalar uma impressora logica em um servidor de impresséo para uma impressora conectada a rede = Preparar um servidor de impresso para hospedar clientes, incluindo os computadores que ‘executem as vers6es anteriores do Windows. = Conectar um cliente de impressao a uma impressora logica de um servidor de impressao m= Gerenciar tarefas de impressao Tempo estimado da ligdo: 45 minutos Entendendo o Modelo de Impressora do Windows Server 2003 © Windows Server 2003, assim como as versdes anteriores do Windows, suportam dois ti pos de impresoras: = Impressoras conectadas localmente As impressoras que esto conectadas a uma porta fisica de um servidor de impressio, que em geral € um barramento serial univers: USB) ou uma porta paralela, = Impressoras conectadas a rede _As impressoras conectadas a rede e nao a uma porta fisica. Uma impressora conectada 2 rede € um né da rede; os servidores de impressio podem abordara impressora usando um protocolo de rede como o TCP/IP (Tran: on Control Protocol/Internet Protocol — Protocolo de controle de transmissio/protocolo Imterned). Cada tipo de impressora ¢ representado no servidor de impressdo como uma impressora 16- gica. O termo impressora légica define as caracteristicas ¢ © comportamento da impressora Ela contém o driver, as confi definigdes padriio de impres outras propriedades que controlam © modo como um trabalho de impressio € processado € enviado para a impressora selecionada. Essa virtualizacao da impressora por uma impressora l6gica permite criatividade ¢ flexibilidade extraordindrias na configuracio de seus servicos de impressio, guracdes dk pressor,BLED aia 278 Capitulo 8 impresoras A Se oo Inwesecra ees Maro as alopseiic ws rereemmat da eoraseelbavera oar seaeruoecen Existem duas maneiras de implementar a impressio nas impressoras conectadas a rede, Um modelo é criado pela instalacao de impressoras I6gicas em todos os computadores € pe conexiio dessas impressoras l6gicas dirctamente impressora conectada & rede. Nesse modelo, nao existe servidor de impressio. Cada computador mantém suas proprias configura- ces, processamento fila de impressio. Quando os ususirios examinam a fila de impressio, eles 6 véem os trabalhos que enviaram para a impressora. Nao hi como os usuarios sabe rem quais trabalhos foram enviados para a impressora pelos outros usuarios, Além disso, as mensagens de crro 86 aparecem no computador que esta imprimindo o trabalho atual. Fi nalmente, todo o processamento do trabalho de impressio 6 executado localmente no com putador do usuiirio, em vez de ser descarregado em um servidor de impress Devido a esas desvantagens significativas, a configuraclo mais tipica de impresoras em uma empresa Gum modelo de trés partes que consiste na prOpria impressora fisica, em ume impressora logica hospedackt em um servidor de impress clientes de impressora que se conectam & impressora Iégica do servidor. Esta liao concentra-se exclusivamente nessa estrutura, embora os conceitos ¢ capacidades discutidos se apliquem a outras configuragdes de impressoras. oe na A impressio com um servidor de mpressio oferece ais seguintes vantagens: aA impressora Iégica no servidor de impre rencia os drivers de impressora. Zo define as configuracdes de impressio € ge- parece em todos os com- ps podem ver onde estio seus trabalhos com aA impressora légica produz uma Gnica fil putadores clientes, de modo que os usu relagio aos trabalhos dos outros usuarios. a Mensagens de erro, como falta de papel ou papel preso na impressora, sio visiveis em todos os clientes, de modo que todos os usuarios sabem 0 estado da impressora, A maioria dos aplicativos e drivers de impressito des significativa, do processamento dos trabalhos de i a resposta dos computuclores clientes. Em outras p: Imprimir, seus tra usuarios podem retomar se trabalhos. curregim parte, ou uma quantidade Ipressao no servidor, o que aumenta Wwras, quando os usitirios clicam em lamente para 0 servidor de impressio ¢ os ibalhos sio enviados rapid » trabalhos enquanto 0 servidor de impressdo process os # As funcdes de seguninca, auditoria, monitoramento ¢ log sto centralizadas. Instalando uma Impressora no Windows Server 2003 Normalmente, as iadas por meio da pa de fax que integra as capacidades de impressora ¢ fax. O Assistente pant adicionai sora oferece oricntagdes para a configuragio de uma que voce deve fazer sa0 esta a Impressoras e aparelhos impres. npressora, As escolhas mais eriticas npressoras so gerenkBLED aia Ligdo 4: Instalando e Configurando as Impressoras 279 a Impressora local ou de rede Fst pagina do Assistente para adicionar impressora 6 mostrada na Figura 8-1. Quando voc? configura uma impressora em um computador com 0 Windows Server 2003, os termos impressora local ¢ impressora de rede tém signi- ficados li daquilo que vocé pode estar esperando. Uma impressora Jocal & uma impressora Igica que suporta uma impressora conectacks diretamente a0 servidor ou uma impressora isolada conectada & rede. Quando voce orienta 0 Assistente para adicionar impressora para criar uma impressora local clicando em Impressora local conectada a0 computador, 0 servidor pode compantihar a impressora com outros clien- rede. Uma impressora de rede, por outro lado, 6 uma impressora Iigica que se conecta a uma impressora dliretamente conectada a outro computador ou a uma impressora gerenciada por outro servidor de impressao, A interface de usuario pode ser enganos: ento 6 preciso se lembrar que na implementugio de um servidor comum de impressao, lor de impressa0 hospedara Cesteja o hardware de um computador ou a uma rede), e as estacdes de trabalho criardo impressoras impressora I6gica compartilha: lor. mente diferentes npressoras loc de rede que » do serv Figura 1 A pagina Impressora local ou ce rede do Assistente para adicionar impressora. a Selecione uma portade impressora Quando voct a servidor de impressio, o Assistente para adicionar impre porta 2 qual a impressora est conectada. Se a porta ji existir, seja cla uma porta loca como LPT1 ou uma porta de rede especificada por um endereco IP, selecione a porta na lista suspenst Usar a seguinte porta. Quando configurar uma impressora légica para uma impressora conectada a rede para a qual nao foi criada uma porta, clique em Criar uma nova porta, sclecione Standard TCP/IP Port ¢ clique em Avancar. O Assistente para adicionar porta padrio de impressora ¢ exibido, Clique em Avanear e voce deverd infommar © endereco IP ou nome DNS da impressora. Depois que a impressora for adicionada, adicionar impressora vocé volta ao Assistente para = Instalar software de impressora Se o Plug and Play nao detectar ¢ instalar automaticamente a impressora correta, voce pode selecionar sua impressora em uma lista extensaBLED aia 280 Capitulo 8 Impressoras classificada por fabricantes. Se a impre Com disco para instalar a impressora com os drivers fornec ‘ora nao aparecer na lista, voc’ pode clicar em los pelo fabricante, + Nome ecompartilhamento daimpressora _ Embora o Windows Server 2003 suporte nomes de impresoras longos ¢ nomes de compartilhamento que incluem espacos € «: racteres especiais, « melhor pritica indica nomes curtos e simples. Todo 0 nome quelifi- cado, ineluindo o nome de servidor (por exemplo, \\Server01\ PSCRIPT) deve ter menos de 32 caracteres, © nome de compartilhamento © o nome da impressora aparecem, ¢ Sto usados em lugares iferentes de toda a interface de usuirio do Windows. Embora o nome de compartithamen- to seja independente ¢ passa ser diferente do nome da impressora, muitas empresas unifi- m0 nome da impressora ¢ o nome de compartilhamento para reduzir 2 confusao. Configurando as Propriedades da Impressora Apé6s instalar a impressora ldgica, voce pode configurar intimeras propriedades abrindo a caixa de didlogo Propriedades de impressora, mostraca na Figura §-2. A guta Geral permite configurar © nome da impressora, 0 local € os comentarios, sendo que todos foram inicialmente configurados com base nas suas respostas para as perguntas do Assistente para adi- ee Node HP Lvain tse Pa | Peon: Crete Papert Frese io a Gnasrertae Neve S200 | Recanbonbine 004 isi Figura 8-2 A guia Geral da caixa de didlogo Propriedades de uma impressora. A guia Compartihamento mostrada na Figura 8-3 permite especificar sea impressora logica € compartilhads €, portanto, se ela esté disponivel para outros clientes da rede, e se a impressora esti listada no Active Directory, uma configuracio padrao para impressoras compartilhadas que permite aos usutrios pesquisarem € se conectarem facilmente As impresoras.BLED aia Ligdio 4: Instalando e Configurando as Impressoras 281 Nota Vocé pode usar a guia Compartithamento para interrompor 0 compartihamento do uma. impressora, coloque.a em offline se quiser evitar que os usuarios acessem a impressora. @ ESET ax) Somme | Criowstevnsesme | Get Capetown [pa | mee Sy Sermons a WER Sse rete e ‘Seen ise C Ntcennate roc 8 epee esongene = a F lara re [eee ee eee ‘pocom pac prim et aus oreanes cocoss Figura 8-3 A guia Compartilnamento da caixa de dialogo Propriedades de uma impressora. Durante a configuragio da impressora, o Windows Server 2003 carrega no servidor de impressio os drivers daquela impressora para as clientes que executam 0 Windows Server 2003, Windows XP e 0 Windows 2000. Os drivers de impressor icos de cada pl taforma, Se outr mpressora l6gica compartilhada, instale os drivers apropriaclos no servidor, para que os clientes Windows fagam 0 download do diver automaticamente ao se conectarer 0 contrario, voce devera fornecer os drivers corre- tos para cada cliente individual se coneetarem & Na guia Compartilhamento da caixa de didlogo Propriedades, clique em Drivers adicionais para configurar o servidor de impressio para hospedar os drivers dos computadores que executam as versdes do Windows anteriores ao Window seleciona do anterior do Windows, o servidor pede os drivers da plataforma e impressora Jrivers estario no fabricante dat impressora, ou 2s vezes no CD-ROM on'- ginal da versio anterior do Windows. Ao carregar as drivers no servidor para todas as plataformas cliente, vocé pode centralizar e facilitar a distribuicio dos drivers. Os computadores cliente que executam o Windows NT, Windows 2000, Windows XP ¢ Windows Server 2003 fazem o download do driver quando se conectam pela primeira vez. impressora compantilhada. Eles também verificam se tém 0 driver de impressora atualizado sempre que imprimem ¢, se nao tiverem, cles fazem 0 download do driver atualizado, Para 0s drivers de impressora no servidor de impress. Os computadores cliente que © Windows 95 ou 0 Windows 98 nao verificam os drivers de impressora atual282 Capitulo 8 Impressoras do download inicial ¢ da instalaglo do driver. Voc’ deve i atualizados de impressora para esses clientes. talar manualmente os drive AS outras propriedades de impressora serao discutidas posteriormente neste capitulo. rede ou selecionando 0 comando Executar no menu Iniciar e cigitando \ \NomeDoServi- dor\NomeDalmpressora. Vocé pode arrastar as pastas Impressoras e aparelhos de fax desses servidores para sua prépria pasta, permitindo acesso facil para gerenciar as im: (CQ) | pica voce pode acessar pastas de imoressores de outros servidores pesauisando na pressoras remotes. Conectando Clientes a Impressoras ervidor de impressaio podem também exigirao que as im- As impressoras que foram configuradas como I6gicas em um s ser compartilhadas com outros sistemas da rede. Fsses sistemas pressoras locais repres npressora de rede. Ao pode ser feita de virias maneiras, incluindo o sora, © qual pode ser iniciado na pasta Impressora logo comum Imprimir do Windows em quase todos os A configuracao de um cliente de impr licionar imp: dedi aplicativos da Microsoft, incluindo o Internet Explorer € 0 Bloco de notas. Na pagina Impressora local ou de rede, sclecione Uma impressora de rede ou uma impressora conectada a outro computador. No aviso que pede o nome da impressora, voce pode pesquisar nomenclatura) (por exemplo, \\NomeDoServidor\ NomeDalmpressoraCompartilhada © Uniform Resource Locator (URL) da impressora, ou pode pesquit servigo Pesquisar as forma mais eficientes de configurar os clic Directory pela impressora. Na pagina Especifique uma impressd cionar impressora, sclecione Localizar una impressora no diret x do Assistente para adi- » e clique em Avancar. A caixa de dialogo Localizar impresoras € mostrada, como aquela da Figura 8-4, ¢ voce pode ir 0 critGrio de pesquisa incluindo nome, local, modelo ¢ recursos da impressora, Os racteres-curinga podem ser usados em muitos dos critérios. Clique em Localizar agora um conjunto de resultados 6 exibido. Selecione 2 impressora ¢ clique em OK. O Assistente para adi iias para configurar as opedes restantes. onar impressora o orienta nas etapas neces QQ) |e, sess stare nati oecoann Sa peat onan i, Gamo aarnragar voce pede care ser pesqusesyersonaliaca assess de Dato or usta, pertinooqo ls hes acon scons preeiuloc oe iprassnas e808 ones impressora ligica inclui os drivers, as configuragdes ¢ a fila de impressio da impressora na porta selecionada, Quando vocé clica duas vezes em uma impressora da pasta Impres- soras ¢ aparelhos de fax, uma jancla se abre ¢ exibe os trabalhos da fila da impressora Clicando com © botao direito do mouse em qualquer trabalho, voce pode pausir, recomar,

Administração e Manutenção Do Ambiente Microsoft Windows Server 2003

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Administração e Manutenção Do Ambiente Microsoft Windows Server 2003

Enviado por

Direitos autorais:

Formatos disponíveis

Você também pode gostar