www.temporealeventos.com.br SAMBA 4 SAMBA 4 com Marcos Sungaila Controlador de Dominio com GPO Autenticagao de usuarios em dominio utilizando o modelo AD disponivel nos servidores Windows TEMPO REALSAVANT Tecnologia da Informacao Mao na massa Samba 4 Active Directory Marcos Sungaila Margo de 2013. SAVANT Tecnologia da Informagdo Macemans Indice Fstrutura da rede a ser implementada pelo aluno em laboratério osc 4 © que ¢0 servidor SAMBA... a oss 4 Tipos de configuragio do SAMBA; 4 Definigdes basieas (Grupos de Trabalho e Do 5 Definindo o Hardware necessirio 6 Tipo de particionamente recomendadO s.omvse-non an a Samba 4 como Active Directory . - ~_ 8 Preparando 0 servidor para reesber 0 SAMBAS ns nnsesn . sn 8 Usando pacotes disponiveis para sua distribuigio, ae te Configurando seu sistema de arquives acum Sa 10 Instalando 0 samba sma " Pre-requisites para compi u Baixando 6 c6digo fone. en sr ‘Compilando e instalando o sambad ot Configurando o samba como domain controler. i 2 LLaboratétio 1 ~Pré requistos para instalagdo do samba atc 14 Laboratorio 2 lastalando o samba oa Son Is Laboratério 3 ~ Configurando o samba como DC 16, Laboratorio 4 Criando um servigo para 0 sambad 0 Servicos complementares S oo 1s DNS soso was sonsesennes BB Kee cure . ss . ol Time Server — NTP osonannne . sn an) Ingressando uma estagio Windows no Dominio . sen | Configurando a estago para entrar no Dominio. 20 Ingressando um estagdo Windows® no dominio 20 Compartithamentos “ 20 Laboratorio S~ DNS... . - uc Laboratorio 6 - Configurando kerberos. 2 Laboratérie 7 ~ Conigurando 0 Servigo NTP. 2 Laboratorio 8 — Configuragoes de rede da estago, 5 Laboratorio 9 —Ingressande no dominio 26 Laboratitio 10 — Criando primeiro compartithamento 27 Gerenciamento do servider fen scree AB Instalando Remote Server Administration Tools ce arininiSDB Criando usuitos ... ve Sia fo 28 Criando grupos : one) Scripts de Logon : . 5 = on) Laboratorio 11 ~Instalando Ferramentas Administra 31 Laboratério 12 ~ Criando usuirios e grupos sR co 32 Laboratorio 13 ~ Logon Septem St eeanmremmmese Dk Politicas de Grupo, sie mi rain BH © que & Politica de Grupo (Group Policy) .nseseumne 34 Instalando © Gerenciador de Politicas sian a . uM Criando as primeiras poiticas de grupo. rnc uM GPOs para usua0s especitie0s vn srmnpreseaeais 53 (© Savant Tecnologia wuwsvan.com be ev | mang2013 eaenmGansanmasennecs acenenera er ~~~ - --BELLLLELEREREELALALEDIDIFIILIIIIIVLALLALAVAVILILETI SAVANT Tecnologia da Informagio Mewse Aplicando politicas a grupos especificos usando Unidades Org Pazendo backup de suas GPOs, 6 Recuperando as GPOs do backup x6 Laboratério 14 Criando a primeira GPO. 7 Laboratério 15 Mais GPOs 38 L Laboratorio 17 — Desativar portas USB 40 oratirio 16 ~ Alterando um GPO existente 0 fev margo2013we SAVANT MeN Tecnologia da Informagiio Estrutura da rede a ser implementada pelo aluno em laboratério A intengdo deste evento ¢ permitir um contato pritico com a instalagdo e eontiguragao do OpenLDAP e todo o software necessiirio ao seu funcionamento de forma simples ¢ eficar Nossa abordagem utiliza os softwares disponibilizados pela prépria distribuicao para instalagdo, sem entrar em detalhes sobre a compilacdo de programas, compilagdo esta que muilas vezes pode levar a uma experiéncia frustrante no uso de qualquer software. Todos os exemplos abordados hoje serao realizados utilizando a distribuigdo CentOS versio >. Esses procedimentos so exatamente os mesmos usados em um RedHat Enterprise Linux e Fedora. Se vocé precisar de exemplos de instalagdo para Debian ou Ubuntu acesse nosso site (http://www.savant.com.br) e veja a sega artigos. O que é 0 servidor SAMBA A pagina principal do site samba.org diz: “Samba é uma suite de aplicativos Open Souree/Software Livre que prové servigos de arquivos ¢ impressio para clientes SMB/CIFS de forma incomparavel.” © samba ¢ distribuido livremente ao contrério de outras implementagdes compativeis com os padrdes SMB/CIFS e permite interoperabilidade entre sistemas Linux/Unix ¢ equipamentos rodando MS Windows. Tipos de configuragao do SAMBA; Os principais recursos que o samba disponibiliza sao: s —_ autenticagdo de usuarios e autorizagiio de usuarios © compartilhamento de arquivos ¢ impressao ot resolugdo de nomes es browser de rede (aniincio de servigos) 0 samba pode ser i iplementado como: ‘ «* __ Active Directory Domain Controller (permite 0 acesso dos usudrios a rede da ‘empresa, configuragdio que vamos fazer nesse curso); cs Member Server (fazendo parte de uma rede istente) «Stand Alone (autenticagao local de usuarios) ‘© Savant Tecnologia www savant. com br rev 1 mango.2013 4BPFSELELEGELEEEEEELLLESELEIISISISILALALALALLEVALAAIAY SAVANT Tecnologia da Informagio Definicoes basicas (Grupos de Trabalho ¢ Dominios) Grupo de trabalho Representa um conjunto de computadores onde cada um toma conta do que € seu. De forma mais direta: nao ha uma forma de autenticagao de usuarios centralizada. Se vocé quiser que um usuario tenha acesso a varias miquinas & necessario cadastré-lo em cada um dos equipamentos que 0 usuario deverd acessar, No caso de acesso informagdes no disco local (compartilhamentos), voce devera informar em cada maquina o que 0 usuario poder acessar, Dominio Neste modelo de trabalho ha um ou mais equipamentos que cuidam do cadastramento de usuarios, Estes equipamentos sfio chamados seryidores. Toda a parte de autenticagao centralizada ¢, se voe€ compartilhar algo localniente, devera atribuir permissio de ace um usuario ou grupo que esteja cadastrado naquele servidor. Domain Controller Sao os equipamentos responsiveis pela autenticagdo de usuarios e autorizagio de acesso. Estes equipamentos representam a estrutura de controle de uma rede, definindo uma hicrarquia onde todos os hosts de sua rede obtém autorizagao. E nestes equipamentos que cadastramos 0s usuarios € grupos ¢ ¢ através deles que distribuimos os logon scripts. Quando temos mais de um Domain Controller em nossa rede, se 0 Servidor principal falhar & papel dos servidores secunditios assumirem a fungao de autenticago c autorizagio local ADS Active Directory Server é a nova implementagiio de gerenciamento de dominios Windows. ADS implementa um Diretério onde es de toda a estrutura do dominio antes localizada na SAM do servidor. Ne AD sio armazenados dados de usuiirios. dircitos de acesso ¢ politicas de uso dos recursos do servidor bem como politicas de grupo aplicadas a equipamentos locais (GPO). jo armazenadas as informa Windows Name Service (wins) E a versio Microsoft do Netbios Name Service. O nome de cada host é armazenado de forma simples. Nao sio suportadas extensdes como nome de dominio no caso do DNS. Uma grande vantagem ¢ o fato de o servidor Wins ser dindmico. Ao ligar um equipamento, este envia um pacote de aniincio informando que ele deseja ingressar no dominio ou grupo local. Ao fazer isto o Wins verifica se o nome informado no esta em uso na rede ¢ automaticamente associa o nome ao IP em uma tabela no servidor. yvsvant com brSAVANT Tecnologia da Informagio Local Master Browser Mantém a lista de hosts de um grupo local ou de uma subn Domain Master Browser E 0 equipamento que possui a lista principal de hosts de todo 0 dominio. O primary demain controller (PDC) em um dominio sempre é definido como domain master browser SMBFS/ CIFS SMBFS (Server Message Block File System) é a primeira implementagao de sistema arquivos remoto usado pela Microsoft em sistemas Windows. CIFS VES (Common Internet File System) é uma nova implementagao do SMBES que soluciona uma série de problemas da implementagao anterior. DHCP Fm scu uso mais simples & um servigo de configuragao automitica de IP. Este servigo pode ser usado para entregar configuragdes de nome de host, servidores DNS, gateways, servidores ntp, servidores de log, timezone entre outros. Possui um modelo de extensio de configuragdes tomando a tarefa de contigurar um client bem simples DNS Servigo de resolugao de nomes que associa um IP ao nome do host, Inicialmente desenvolvido para uso na Intemet substituiu 0 servigo WINS em dominios Windows. largamente aplicado em ambientes Microsoft e se tornou pré-requisito para o correto funcionamento de um Domain Controller. Definindo 0 Hardware necessario Pai © funcionamento de um servidor de arquivos, seja atuando em modo stand alone ou como Domain Control ler, os principais recursos usados so de comunicagao (placas de rede) ¢ armazenamento (discos). Numa configurago padrao é recomendado ter uma interface de rede ripida, no padrdo suportado pela sua rede, o ideal seria contar com duas interfaces atuando como, no minimo, fail over, no easo de queda de uma interface a segunda assume seu lugar reduzindo o tempo de parada do equipamento. O segundo ponto, armazenamento: 0 mesmo conecito de desempenho vale para os discos, i Procure usar discos ripidos, se vocé tem discos SATA procure os de 7200 RPMs, se tiver discos SAS tente usar os de ISK RPMs se bem que os de 10K ja serdo mais rapidos do quePURER E EERE RRRSRARALADIIALIVEIVLALLLELLLLLELLALLELEL SAVANT Tecnologia da Informa discos SATA. Procure também trabalhar com arranjos de RAID sendo que 0 padrio RAID10 oferece a melhor solugdo de performance ¢ redundancia. Se possivel use RAID por hardware, configurado na controladora onde seus discos estéio conectados. Tipo de particionamento recomendado Nao ha uma solucao magica sobre quanto deixar para cada artigo mas a melhor forma, em termos de desempenho, é que a parti¢ao destinada a dados do samba esteja em discos separados do sistema operacional. rev | manyo2013Ge SAVANT Figo no Tecnologia da Informagio ‘Mae oa asst Samba 4 como Aci ¢ Directory Preparando o servidor para receber 0 SAMBA Aumente a niimero de arquivos abertos, suportados por sesso no Linux, editando o arquivo urity/limits. conf: . nofile 16384 - - Caso voce trabalhe com 0 Fi rewa 1 ativado em seus servidores (o que & altamente recomendado), libere as portas a seguir na cadeia INPUT e carregue 0 médulo onnt r # modprobe nf_conntrack netbios.ns —~ [i * iptables 1 INPUT -m state —state ESTABLISHED, RELATED —) ACCEPT iptables -A INPUT -p top —dport 63 -m state —state NEW —j ACCEPT 4 iptables -A INPUT -p top —dport 88 -m state —state NEW —j ACCEPT # iptables -A INPUT -p top —dport 135 -m state —state NEW | ACCEPT 4 iptables -A INPUT -p top —dport 139 -m state —state NEW —) ACCEPT 4 iptables -A INPUT -p top —dport 445 -m state —state NEW —j ACCEPT # iptables -A INPUT -p top —dport 389 -m state —state NEW —j ACCEPT # iptables -A INPUT -p top —dport 464 -m state —state NEW -j ACCEPT 8 iptables -A INPUT -p top —-doort 636 -m state —state NEW —j ACCEPT 8 iptables -A INPUT -p top —dport 1024 -m state —state NEW -) ACCEPT & iptables -A INPUT -p top —dport 3268 -m state —state NEW —} ACCEPT # iptables -A INPUT -p top —dport 3269 -m state —state NEW -| ACCEPT # iptables -A INPUT -p udp —dport 53 -m state —state NEW —j ACCEPT 4 iptables -A INPUT -p udp —dport 88 -m state —state NEW —j ACCEPT 4 iptables -A INPUT -p udp —dport 137 -m state —state NEW —j ACCEPT | # iptables -A INPUT -p udp state NEW —} ACGEPT 4 iptables -A INPUT -p udp state NEW —] ACCEPT iptables -A INPUT -p udp state NEW —] ACCEPT ‘S80 voce nao use Fi rewa 11 em suas instalagdes, desative-o. service iptables stop Ie chkconfig iptables off service ipétables stop 4 chkoonfis: ipétables off Neste momento no hi uma configuragdo de SEI. inux para o sambad. Desative o ux editando 0 arquivo /et.c/sel inux/conf ig e alterando a linha SELINUX bled como no exemplo a seguir ¢ reinicie o servidor. SELINUX-disabi ed Se vocé usa Ubuntu ou OpenSuSE, desative 0 apparmor que, por padrdo, vem ativado nessas distribuigdes. j y / Ev revel ev mung2003 s FAC CE OCCA Eee eee eee eeeBEGRELEELRIASSSISAEISIIIZIIIIISAVAIIALISESLIELOL SAVANT Teo ach Tecnologia da Informago Usando pacotes disponiveis para sua distribuigdo Uma das preocupagds de qualquer administrador de redes ¢ como atualizar servigos que tenham sido instalados manualmente a partir do eédigo fonte. Apesar de simples, essa é uma desafia muita gente. A opgdo mais comum é manter seus servidores instalando novos softwares por meio de pacotes preparados especificamente para a sua distribuigao. tarefa q No caso do sambad ainda nao existem pacotes na maioria das distribuigdes ou, em outros casos, os pacotes atuais nao oferecem todos os recut 05, O RHEL ¢ scus derivados no tém pacotes do sambad disponiveis para instalagdo, a0 menos néo no momento em que este material é preparado. No caso do Fedora ha pacotes disponiveis mas apenas para parte dos recursos oferecidos pelo servidor sambad. Essa restrigdo € devida a forma como a nova versio deste servidor foi desenvolvida. Entre 0s pr requisitos para funcionamento deste servidor temos o servigo kerberos Heimdal que nao & adotado por algumas distribuigdes € acaba gerando contlitos na hora do empacotamento ¢ acaba sendo deixado de lado, Antes de se decidir a usar uma versio empacotada do sambad em sua distribuigdo, ve se 0s pacotes disponibilizam todos os recursos necessirios ao funcionamento do servidor ique Outro fator a considerar & usar pacotes de terceiros criados para a sua distribuigtio. Cuidado a0 instalar pacotes de fontes desconhecidas pois eles podem te oferecer o software mas trazer junto péssimas experiéncias como conflitos com pacotes instakides ou, no pior dos casos, instalar programas que vocé desconhega e acabem por prejudicar seu servidor e seus dados. Somente instale softwares em seus servidores de fontes confiaveis! rev F margo2013 °SAVANT Tecnologia da Informagaio Kerprise Linux versio 6.X e derivados, a opsi0 barr ier & eontrolada pelo servigo tuned ¢ ji vem ativada por padrio, Em outras distribuigdes € necessirio ativat essa opgao pele arquivo /etc/ fstab ou pelo comando tune2és. Configurando seu sistema de arquivos En stem. ssirio ativar as opgdes user_xattr, acl ebarrier=1 em seu files Voce deve verificar as opedes de montagem no arquivo /etc/ fstab eas opgdes default dlo filesystem. Em nosso laborat6rio temos apenas a partigao / disponivel. Voeé pode verificar as opgdes dessa partic com os comandos a seguir: i tune2fs -| /dev/mapper/vg_do-Iv_root | grep options Default mount options user xattr acl # grep root /etc/fstab ‘dev/mapper/ve.de-\v root / ext defaults 1 Ativando as opedes pelo arquivo /etc/fstal dev/mapper7ve d6-Wv root 7 exh defaults, acl user sate 11 Ou voeé pode executar 0 comando a seguir para ativar essas opgdes diretamente no filesystem: Para efetivar a altera . voe’ deve remontar a partigao: ‘ mount -o remount / Antes de fazer uma nova instalagio verifique os pré-requi indo a pagina sitos para a sua distribuigiio //wiki.samb org/index.php/Samba_4/0$_Requirements i © Savant Teenlogia www savamtcon be Ree edn eBRGLELLLRRERELLLLARELSLAULLRELAIRILALLELLLALLULALLLELEY SAVANT Tecnologia da Informagio Instalando 0 samba4 Pré-requisitos para compilagao No momento do desenvolvi jento deste material vocé precisa instalar 0 sambad a partir do cédigo fonte, ainda nao ha pacotes disponiveis para instalagdo na maioria das distribuigdes ou 05 pacotes que vocé encontra nao habilitam todos os recursos que 0 sambad oferece. uso conta com servidores com Red Hat Enterprise Linux. Vamos lagdo do eédigo fonte. Nosso ambiente de instalar os pré-requisitos para a comp yum -y install conpat-g! ibe-headers cups-devel cyrus-sasi-devel geo edb ¥ anutls-deve! kernel-devel keyuti Is-I ibs-deve| krb5-rorkstation ¥ libaci-devel libaio-devel libattr-devel libblkid-devel libcap-deve! ¥ libidn-devel | ibocap-devel | ibsenanage-python |ibsepol-devel ¥ libtirpe-devel libxm!2-devel Iibxsit pan-devel pkgconf ig ¥ pol icycoreutils-python popt-deve! python-devel read! ine-devel ¥ setoo|s-Iibs setools-libs-python setroubleshoot-plugins ¥ setroubleshoot-server sql ite-devel 2! ib-devel mos pacotes podem ser usados se voeé optar por usar uma distribuigao derivada como 0 Fedora, por exemplo. Esses m do RHE, Baixando o cédigo fonte Voeé deve baixar o cédigo fonte do sambad diretamente do site oficial em thp://£tp.samba.org/pub/samba/ {i wget —c http: //ttp, samba, org/pub/samba/samba~4, 0. 3. tar. a2 Descompacte 0 arquivo /us/1ocal/src eacesse a pasta com o eédigo fonte: # tar xzf sanba~4 0.3. tar -C /usr/local sre # od /usr/local/src/sanbe~4. 0.3 Compilando e instalando 0 sambad4 Ha varias opgdes qu pode consul podem ser usadas para pré-configurar o processo de compilagiio, voce Jas executando 0 comando a seguir /eontigure help As opgdes pré-definidas para executar 0 comando configure sio adequadas a maioria dos casos. Os arquivos € programas serao colocados em /usr/1local/samba. Se vocé quiser mudar esas opgdes, escolha quais opgdes quer alterar e acrescente a0 comando ‘on figure. Prepare, compile e instale 0 samba4 usando os comandos a seguir 4 /eontigure —enable-debug —enab le-sel ftest 4 make # make instal |SAVANT Tecnologia da Informagdo Configurando 0 samba4 como domain controller O sambad pode ser configurado como um DC de um novo dominio ou como um DC adicional para o scu dominio existente ou migrar um servidor samba3 para a nova versio, Neste curso configuraremos 0 samba4 como um DC pata um novo dominio. primeiro passo ¢ provisionar (configurar) o nove controlador de dominio, Esta etapa cria um novo database de usurios quando vocé esta configurando 0 sambad em seu proprio dominio. A senha do administrador deve ter, pelo menos, 7 caracteres, | simbolo, | nimero 1 maidiseula, 4 /usr/Tocal/sanba/bin/samba-tool donain provision Realm (EXENPLO. COM. BR] Domain [EXEMPL.O} Server Role (de, menber, standalone) [dc] DKS backend (SAMBA_INTERNAL, BIND FLATFILE. BINDO_OLZ, NONE) [(SANBA_ INTERNAL] DNS forwarder IP address (write ‘none’ to disable forwarding) [192. 168.239. 1] ‘Administrator password: Alsswdrd Retype password: Péss¥Ord Locking up IPv4 addresses Looking up IPv6 addresses No IPv6 address will be acsigned Setting up secrets. Ido Setting up the registry Setting up the priviloges database Setting up idnap db ‘Setting up SAW db [Setting up sam. Idb partitions and sett ings ‘Setting up sam Ido rootOSe Pre-loading the Sanba 4 and AD scheme |Addiing OonainOl- DC-exerplo, D¢=com, D6-br ‘Adding configuration container Setting up san. Idb schema Setting up san Idb configuration data Setting up display specifiers ‘Adding users container Nodifying users container [Adding computers container Modifying corputers container Setting up sam. Idb data JSetting up well known security principals Setting up sam. Idb users and groups Setting up self join ‘Adding, DNS accounts Creating ON-Microsof tONS, CN=Systen, DO-exenp lo, DC-com, D¢-br Creatine DomainDnsZones and ForestDnsZones partitions Populating DonaindnsZones and ForestDnsZones partitions Setting up san. Idb rootDSE marking as synchronized Fixing provision GUIDs ‘A Kerberos configuration suitable for Samba 4 has been generated at usr/local /sanba/pr ivate/kr’S. cont Once the above files are installed, your Sarbed server wil! be ready to use Server Role active directory domain control ler Hostname. de EXENPLO vest com br rev maryo/2013 2 mee eee ne mwenwneae ERRATA IARIIIIAIIIIIIIIAIIAAIAALALLIIIM SAVANT NTE nn Tecnologia da Informagio macsamanse ONS Donain exemo[o. con br DOMAIN stD $-1-5-21-1060016627-696207612-4196697970 Se o resultado da sua execugao foi parecido com 0 apresentado no exemplo anterior, voce pode iniciar o servigo samba para colocar 0 controlador de dominio no ar. (t /usr/\oca|/samba/sbin/sanba Para verificar as portas e servigos que foram ativados, use 0 comando net stata seguir: i netstat -intup | grep sanba Conexoes Internet Ativas (sem os servidores) Proto Recv-0 Send-0 Local Address Foreign Address State PID/Progran name ‘top 0 00.00.0969 0.0.00 UGA 15076/sanba top 0 00.000389 0.0.00 UGA 15076/sanba tep 0 0000013 0000+ UGA 15072/sanba top 0 00.00.0464 o000% UGA 15078/sanba Usando 0 comando smbcl ient para listar 0 status do servidor samba: # embel ient -L localhost -U¥ Doms in=[EXEWPLO] OS=[Unix) Server=[Sanba 4.0.3] Shar enane Type Comment net logon, Disk sysval Disk IPCs. IPC IPC Service (Samba 4.0.3) Doma in=(EXENPLO] OS=[Unix] Server=[Sanba 4.0, 3] Server Connent Works oup Master | Nessa saida voe8 pode ver os compartilhamentos net logon, sysvol e TPCS. Os dois primeiros compartilhamentos so necessarios @ operagdo do sambad como um Active Directory Savant Teonologia www savant com brSAVANT Tecnologia da Informagio Laboratério I~ Pré requisitos para instalagao do sambad O objetivo desta sequéneia é conti; urar os pré-requisitos necessirios ‘a instalagdo do amba4 como Active Directory Server Defina a quantidade maxima de arquivos abertos para 16384 por sessdo editando o arquivo ete/security/limits.conf Pare 0 servigo iptables e desabilite-o na inieializagao do servidor. L F ) 3. Desative o SEDI nux ¢ reinivie o servidor. Verifique se a partied / do seu servidor tem as opedes acl e user_xatt rativadas e, caso necessario, ative-as de modo permanente. SACHEM HETETHEECCTEECCLETERERATAAGTTELECETECEREEEATAEEss k kaa aaa aa aA ITIIIIIIAIAIALALALIALLLLY SAVANT Tecnologia da Informagio FEO AL Laboratorio 2 — Instalando 0 samba4 O objetivo desta sequéncia & instalar os pacotes necessirios ‘a compilagao do servidor samba4, baixar 0 tarball, compilar e instalar Instrugdes: I. Instale os pacotes necessirios para a compilagao do servidor sambad. Voeé pode executar 0 script instal l-sambad—prereg. sh ou executar o comando yum manualmente como listado anteriormente. weet http://instructor. example. con/pub/instal |-senba4-prereg. sh chnod +x instal |-sanba4-prereq. sh y instal |-samba4-prerea, sh ° 2. Baixeo tarball do sambad de http: //instructor.example .com/ pub/samba-4.0. 3. tar.gz. Descompacte o conteiido deste arquivo em © Cacesse a pasta samba~4..0. 3 que foi criada, jusr/local/s wget http: // instructor. example. com/pub/samba~4. 0. 3. tar. 2 tar x2f samba~4.0.3.tar. gz -C /usr/local/sre cd /usr/local /sro/samba-4. 0. 3 3. Instale o servidor samba4 usando os comandos . /configure,make emake instal /configure —enable-debug ~-enable-selftest make make instal | 4. Acrescentea linha a seguir ao arquivo / root /.bash_prof.i le para incluir as pastas do Servidor sambad na variivel PATH. export PATH-/usr/Iocal /sanba/bin: /usr /looal /sanba/sbin:$ {PATH} Recarregue esse arquivo executando 0 comando a seguir source /raot/.bash profi le Para confirmar que a configuragio esti funeionando, execute 0 comando a seguir 1 Svan Teonologa sewn vant com beSAVANT ‘Tecnologia da Informagao Laboratério 3 — Configurando 0 sambad4 como DC 0 objetivo desta sequéncia ¢ configurar o servidor samba4 como um Domai para o dominio EXEMPLO.COM.BR. Controller Instrugdes: 1. Execute 0 comando samba-too! para configurar o servidor samba4 como Domain Controller para o realm EXEMPO . COM. BR € para o dominio EXEMPLO. Use o DNS backend como SAMBA_INTERNAL ¢ DNS forwarder como 192.168 .122.1. Definaa senha do usudrio administrator para P@sswOrd. sanba-tool domain provision 2. Execute 0 comando /usr/local/samba/sbin/samba para ativar 0 Domain Controller ¢ use © comando smbc] ient: para verificar o status do servidor e quais ‘compartilhamentos foram ativados. samba 3. Use o comando net stat para listar as portas que foram ativadas pelo servigo samba netstat —Intup | grep samba © Savant Teenologia wa savant combe rev amago2013, 16PRRERERRRARASIIILIVAIAIIIIZIIFIAAALALALLALILILILES W SAVANT TP AL Tecnologia da Informagio aortas Laboratorio 4 — Criando um servico para o sambad 0 objetivo desta sequéncia é configurar 0 init script para o sambad funcionar com 0 comando service e chkconfig Instrugdes! Avesse a pasta /etc/ init .de baixe o seript de gereneiamento do samba 4 da maquina do instrutor e atribua permissiio de execugdo a este arquivo, od /eto/init.d wget http: //instructor. example. com/pub/samba4 chmod 755 sambad Adicione o servigo samba4 na lista de servigos gerenciaveis usando 0 comando nkcon fig e ative-o para inicializago automatica chkconfig —-add sembad chkconfig samba4 on Execute 0 comando service samba4 status para verificar se sua configuragdo esti juncionando, service sambat status © Saat Heenologin_-swwonsavant om brSAVANT Tecnologia da Inform: Servicos complementares DNS Ao configurarmos 0 samba4 como um DC, eseolhemos usar DNS interno do samba. Isto ‘oe reduz a possibilidade de problemas de comunicago e/ou mica das Zonas facilita muito nossa configuraca pemmissdes a0 acessar servigos extemos além de permitir a atualizagao ding TONS com os niomes ¢ ips de cada estagao/servidor da rede local. A finiea configuragio necessaria para usar esse servigo intemo & alterar 0 arquive /ete/resoly. conf park ficar como segue eareh exen|0. con nameserver 192.168 122.10 ow aig para verificar se os registras especiais Faca um consulta usando o © “omando de servigos como 1dap € kt > sio localizados # host —t SRV _Idap. tep.exemplo. com. br Ian top. exenplo. con br has SRV record 0 100 389 de. exemple. com. br 4 host —t SRV _kerberos. udp. exemplo. com. br kerberos. udp exenplo. con br has SRV record 0 100 88 de, exenplo. con. br Kerberos m KD srberos instalado por ‘Ao instalar o sambad4 nés configuramos um serv idor kerberos, itomaticamente, A maioria das distribuigdes Linux traz 0 cliente k pudrio, Voe’ deve configuri-to para que consiga usar esse KDC para consuls € ao. Verifique se 0 pacote krb5-workstation esta instalado em seu ervidor autentica 4 yum -y instal krb5-vorkstation dite o arquive /ete/lerbS . con € deixe-o como este a seguir: \oggnal default ~ FILE: (var/log/krb6libs. log kde FILE. /var/log/krb6kee, og admin server ~ FILE /var/log/kadnind, (ox [ibdefaults default. reaim ~ EXENPLO COM. BR tins. lookup realm ~ false dns lookup kde tr [realms] EXENPLO COM.BR = | dc: = de exenplo. com br ‘adnin server = de. exeap|o,com br 1 [domain realm fexeaplo. con br = EXFKPLO COM. BR impo. com —EKEMPLO. COW. BR Se ee ee TTITSESSESTTATIATAUTALREE ERE Edda dE Ed EDS a SIIIIIIIIV ALLEL LLLISITSEL SAVANT Tecnologia da Informagio dministrator Teste sua configuragao autenticando-se como # kinit adninistrator@EXEWPLO, COW. BR Password for adninistrator@EXEMPLO. COM BR sxeeexes Normalmente esse comando nao retorna qualquer informagao mas é possivel que voce receba um alerta sobre expiragdo de senha como no exemplo a seguir: kinit adninistrator@EXENPLO. COM BR Password for adninistratorSEXEMPLO. COM. BR Warning. Your password will expire in 41 days on Wed Apr 3 16-15:25 2013 Verifique suas credenciais kerberos usando o comando kList a seguir: Bklist Ticket cache: FILE:/tmp/krb6ce 0 Default principal adninistratorEXEMPLO. COW. BR Valid starting Expires Service principal 02/20/18 21.25:26 02/21/13 07.25.26 krbtet/EXENPLO. COW. BRUEXEMPLO. COM. BR renew unti! 02/27/13 21:25:19 ‘ Time Server — NTP Instale o Servidor e 0 cliente ntp. yun -y instal ntp ntpdate Defina os servidores para ).br.pool .ntp.org, 1, 2 € 3 no arquiv /etc/ntp.cont ff Use public servers from the pool.ntp. org project. 4 Please consider joining the pool (http://w pool ntp. ore/ join htm!) server 0. br pool. ntp. ore server | br. pool ntp org server 2 br. pool. nts ore server 3. br. pool. ntp. org Ao final desse arquivo acrescente as linhas a seguir, necessarias para integragao com o sambad ¢ para as estagdes Windows®. 4 Integragio cam o sanbad nntpsigndsocket /usr/local /sanba /var/'lib/ntp_siand: restrict default mssntp sar 0 sineronismo inicial. Somente depois disso ago automatica no boot do equipamento, Execute o comando ntpdate para fo nicie o servigo ntpd e habilite-o para iniciali # ntpdate -b 0 br pool. ntp. org # service ntpd start chkoontig.ntod onSAVANT Tecnologia da Informagio ando uma estago Windows no Dominio Configurando a estagéo para entrar no Dominio A confi ragio de rede de uma estagdo Windows® deve atender a alguns requisitos bisicos para poder ingressar em um dominio. ® —_ Oservidor DNS deve apontar, obrigatoriamente para o domain controller, o O timezone da estagdo deve ser 0 mesmo do servidor D A estagao deve usar o domain controller como time server. Ingressando um estacéo Windows® no dominio Execute o aplicativo sysdm. cp ou siga os passos a seguir: © Clique no menu Iniciar e, em s ¢ escolha o item Propriedades. ida, clique com o bo io direito sobre Computador ® —_Nattela seguinte, do lado esquerdo clique em Con ura Avangadas. © —_ Nanova janela clique na aba Nome do Computador e na parte inferior, clique em Alterar. ® —_ Selecione o item Dominio ¢ digite o nome do domi jo: EXEMPLO em nosso caso. Clique em OK. A estagio tentard contato com 0 controlador de dominio e seri solicitado um usuario c senha para ingresso da maquina no dominio. Entre com administrator ea senha P@ssw0rd definida durante o provisionamento do servidor. Assim que a mensagem. de boas vindas for exibida, sua estacdo ja fara parte do seu dominio sambad, Reinicie a estagao para poder efetuar login no dominio, io do dominio Apds reinicializar a esta 10, faca login com 0 usu: Compartilhamentos rtilhamento é uma pasta localizada no servidor que pode ser acessada pelas stages pela rede. Criar um compartilhamento no Samba significa criar um bloco de configuragao com algumas opgdes que definem o tipo de acesso. Algumas dessas opgdes podem ser vistas a Cr Peed Define se 0 compartilhamento ¢ visivel pelo ambiente de rede. Nao hrowseable deve ser confundindo com o uso do caraetere $ ao final do nome do compartithamento. aCe FeeeeeeFFettsananeaeataataaaetseeeeeeeeataenaeeseSAVANT Tecnologia da Informagao ¢ mask Permissao padrio aplicada aos arquivos Se esta opgiio estiver definida como Yes, nao sera necessiio usuirio ou senha para acessar 0 compartilhamento ¢ apenas as permissdes de outros estardo ativas. Pasta local do Linux que sera compartilhada pelo Samba exe Comando executado antes de acessar 0 compartilhamento, Comando executado depois de sair do compartilhamento. sm compartilhamento de fila de impressio 3 Usuiirios que tem permissao de leitura no compartithamento. q Define se 0 compartilhamento teri permissio de eserita . Usuairios que podem acessar 0 compartithamento. ue p IP Uma configuragao simples, mas eficiente, pode ser vista [eo path = /corp read only = No Uma configuragio um pouco mais elaborada [dados? coment = Dados de depar tanentos path = /home browseable ~ Yes writable = Yes create mask = 0764 directory mask = 0775 a/dados Usuarios que tem permissao de eserita no compartilhamento. seguir: Para que estes compartilhamentos funcionem, ¢ necessirio criar a pasta especificada na linhaSAVANT Tecnologia da Informagdo Laboratério 5— DNS objetivo desta sequéncia ¢ confi turar 0 cliente DNS do seu servidor. Instrugdes: 1. dite o arquivo /etc vf para usar o servidor 192,268.12 = com. br como sufixo de pesquil 0 como er eo dominio exemp 2. Usando 0 comando host: ou dig consulte os registros especiais do tipo SRV dos enderegos cp.exemplo.com.bre_kerberos._udp.exemplo.com.br. host -t SRV _Idap. _tep. exemplo. com. br host -t SRV _kerberos. udp. exemplo. com. br FTC CKCCRCEECOCC EC CREFe D Daa a DADE ESAS AATAIITIISSAAA AAAs IEAIIAIIIIAI ATI SAVANT Tecnologia da Informagio Laboratorio 6 — Configurando kerberos 0 objetivo desta sequéncia é configurar 0 cliente kerberos para autenticagao e consulta a0 Active Directory Server. Instrugdes: Instale 0 pacote krbS-workstat ion em seu servidor samba. yun -y install krbS-workstat ion 2. —_Edite o arquivo de configuragio /etc/kxrb5 .‘conf incluindo EXEMPLO. COM.BR como de fai m e aerescentando os blocos realms ¢domain_realm. 3. Autentique-se no servidor kerberos como administrator usando 0 comando t kinit administrator @EXEMPLO, COM. BR 4. Consulte suas eredenciais kerberos usando 0 comando kl ist klistSAVAN Tecnologia da Informagio Laboratério 7 — Configurando o servico NTP objetivo desta sequéncia ¢ instalar os pacotes necessarios ao funcionamento de um servidor np © configurd-lo para atuar como er na rede local Instrugoes Instale os pacotes ntp e ntpdate em seu servidor yum -y install ntp ntpdate 2. Configure o servidor ap para usar os enderegos 0. br . po: I -0rg, 2.br.p: tp.orge3. 9 como setvidores externos usando a tag 3. Configure seu servider nt p para se integrar ao servidor samba 4. Usande © coma dae force o sincronismo manual com o enderego br. inicie 0 servigo nt pd ¢ habilite-o para inicializagao automitiva. FELCECLCCTCTUTTTTTTITCKLTTTATATATATTBIATIVATTVERSTHHRATGeeneanacSIEEERRELAIADIAIAIAIIAIIIIIIIIIIIIIAIAIIIIIIIIII SAVANT Tecnologia da Informagio Laboratério 8 — Configuracoes de rede da estacao objetivo desta sequéncia é configurar a estagio de trabalho Windows para ingressar no dominio, Instrugdes: Acesse as propriedades de rede na estagdio Windows e confirme que o DNS aponte para 0 servidor samba em 192.168. 122.10. O acesso ‘a estagao pode ser feito com o usuario administrador sem senha Na estagiio Windows, clique com 0 botio direito do mouse sobre o rel6gio na barra de tarefas e acesse o item Ajustar data/hora, Varifique se 0 fuso horirio da estageo aponta para (UTC -03:00) Brasilia. Caso esteja diferente ajuste o fuso hordrio para o local correto. Na aba Hordrio na Internet altere o servidor para 192.168.122.10 ¢ clique em Atualizar agoraTecnologia da Informagao Ce. SAVAN mach Laboratorio 9 — Ingressando no dominio sno dominio EXEMPLO O objetivo desta sequéncia é colocar sua estagio Window configurado em nosso servidor samba, Instrugdes: 1, Computador botdo direito do 9 no dominio EXEMPLO Execute o aplicativo sysdm. cp ow acesse o menu I mouse Propriedades, Alterar configuragées. Coloque a estagi usando a conta administrator ea senha P@sswOrd. 2, Apés ingressar no dominio EXEMPLO, reinicie a estagdo Windows e faga login com 0 usudrio administrator do dominio para confirmar que seu procedimento funcionow corretamente, © Savant Tesnologia_ wawesavan cum brSAVANT on Tecnologia da Informagio mocnsnanes Laboratério 10 — Criando 0 primeiro compartilhamento O objetivo desta sequéncia ¢ criar um compartilhamento bisico ¢ disponibilizar as Ferramentas administrativas para instalagdo na estago Windows. Acesse a pasta /usr/local/samb linhas a seguir a este arquivo. c eedite 0 arquivo smb. conf ¢ acrescente as [corp] path = /corp read only = No Crie a pasta p C atribua as permissdes 1777 a ela, # mkdir -m 1777 /corp # Is -Id /corp drwxrwxrwt 2 root root 4096 Fev 23 15:07 /corp/ 2, Use o comando smbc1ient e verifique se o novo compartilhamento ¢ exibido. # smbelient -L localhost -U% 3. Usando um terminal no servidor, acesse a pasta /corp e baixe o arquivo de instalagdo das Ferramentas administrativas da méquina do instrutor com 0 comando a seguir: # ed /oorp # weet http://instructor. example. com/pub/Windows6, 1-KB958830-x64-RefreshPkg. msu fev mangos FSHOEb EEE ESESISISIIIIIIIIIIIIIIIIIAITIIIII IIISAVANT Tecnologia da Informagao aona Masse Gerenciamento do servidor Instalando Remote Server Administration Tools Para gerenciar o servidor sambad podemos usar as ferramentas administrativas diretamente ferramentas do Download Center do site da Microsoft na estagao, Voot pode baixar e em: © Windows 8 http-/vww.anierosolt.comvpt-bridownload details aspx?id=28972 © Windows 7 SPL hitp:/Avorw.microsofi com/pt-bridownloaddetails.aspx?id=7887 © Windows Vista SPI ~p:/4vww.microsofcomipt-bridowntonddetuilsaspx?id=21090 Baixe o arquivo correspondente a sua arquitetura (32bits ou 64bits) e instale-o, Apés a instalagaio, acesse o Painel de Controle e clique em Programas. Na janela Recursos dos Programas voce deverd ativar as ferramentas de administragao. Criando usuarios ha de comando diretamente no servidor ou bamos de instalar na estagao. Vové pode criar usuarios no sambad usando a fi usando as Ferramentas Administrativas que a Pelo terminal no servidor use o comando samtoa-too1 como no exemplo a seguir e use 0 comando 1dbsearch para consultar os dados. 4 semba-too! user add MARCOS New Password Retype Password User “WAROOS’ created successful ly 4 [dbsearch -b do=exemplo, do=com, do-br -H Idap://localhost ¥ -U EXENPLO/adninistrator on=narcos Password for [EXENPLO¥administrator]. sseseree # record 1 én” CN-MAROOS, CN-Users, DC-exem|, DC=com, DO-br [objectClass too objectClass person objectClass organizationalPerson objectClass user jon’ MARODS | instanceType: 4 whenGreated: 2013023191524. 02 Jwhenchanged 20130228191524, 02 Usando o gerenciador de usuarios no Windows acesse as Ferramentas Administrativas pelo menu Iniciar, expanda o item exemplo.com.br ¢ clique em Users ¢ sclecione Novo Usuario, Agora ¢ $6 preencher os campos de acordo com o usuario que seri criado. Ao terminar, © novo usuario sera exibido no painel central we et em mmm meme meee meee aH ttitbe aka a baad dead adDAIIASIAsdbddddEIAIIIIILIAT Y macro Massa Criando grupos De forma similar a criagdo de usuarios, a cria comando samba~tool # sanba-tool group add Engenharia ‘Added group Engenharia 1t Idbsearch -b do-exenplo, do=con, de=t EXENPLO/adninistrator on=Engenhar ia Password for (EXENPLOYadninistrator] | seers 'f record 1 dn CN-Engonhar ia, Cl-Users, DC-exemp|o, DC-cam, DC-br ‘objectClass top objectClass group con’ Engenharia instanceType. 4 whenGreated: 20130223192641 OZ whenChanged. 2010223192641. 02 uSNGreated: 3752 usNchanged 3752 name: Engenharia ob j2ctCUID b0420B10-c996-A0%2-afie-FcdDeFh26F8! objectSid. S-I-5-21-928140562-952047889-984827954-1106 sAMccountNane Engenharia sANAccount Type: 268435456 ‘aroupType” -2147483645 lobjectCategory: GN-Group, CN=Schena, ON-Gantiguration, DC-exenp | 0. D2=com, DO-br ldistinguishedNane CN-Engenhar ia, ON-Users, DC=exemplo, DC=con, DC-br rH Idap://localhost -U¥ Usando as Ferramentas Administrativas, clique com 0 botdo direito em Users e selecione Nove —> Grupo, Preencha os dados de acordo com sua necessidade e clique em OK.SAVANT Tecnologia da Informagao Scripts de Logon Scripts de logon podem ser usados para mapear unidades de rede, definir uma impressora padrio para o ustiirio ou configurar impressoras adicionais, coletar informagdes do sistema do computador, atualizar assinaturas de anti virus ou aplicar atualizagdes de software. Para eriar logon scripts voce pode usar arquivos batch simples ou vbscripts. A vantagem dos arquivos batch é a sua simplicidade porém estes nado oferecem todos os recursos possiveis € alcangiveis com o uso do vbscript. Os scripts de logon para mapear unidades segue o padre Windows. Vocé deve usar comandos net use para mapeamentos de unidades remotas ou impresoras, por exemplo. A seguir um exemplo de um logon script; ltcho off ret use h: Y¥servidor¥dados Vocé deve associar o logon seript aos usuarios para que seja executado todas as vezes que {ps se autenticarem no dominio, Pela estagdo Windows, usando o Gerenciador de rrios e Computadores do Active Directory, dé dois cliques sobre um usuario, avesse 2 fil c, no campo Seript de logon preencha com 0 nome do arquivo gravado em aba Per usr/local/samba/var/locks/sysvol/exemplo.com.br/scripts Uma forma mais eficiente ¢ atribuir os logon seripts aos usuarios usando Group Poli uma vez que nfo € necessirio alterar 0 perlil de usuario por usuario.Seed ddd Da dd dEEDEEAADIIIDI ddd dddIddsISIIIIIIIITT SAVANT Tecnologia da Informagaio Laboratorio 11 — Instalando Ferramentas Administrativas jar as Ferram © objetivo desta sequéncia é ins ats Administrativas na estagdo Windows e habilita-las no sistema operacional es: 1 Usando um terminal no servidor, acesse a pasta /corp e baixe 0 arquivo de instalagao das Ferramentas administrativas da maquina do instrutor com 0 comando a seguir: # od /corp # wget http: //instructor. example. con/pub/Windows6. 1-KB958830-x64-RefreshPkg. msu 2. Pela estagdo Windows, acesse 0 compartilhamento \\dc\corp eriado anteriormente ¢ instale as ferramentas administrativas clicando duas vezes no arquivo: -KB958830-x64-RefreshPkg.msu Windo 3 Programas, Ativar ou desativar recursos do Windows. Maximize a janela que se abre para tornar mais simples a visualizagao e ative os itens a seguir © — Ferramentas de Administragdo do Servidor Remoto ¥— Ferramentas de Administragao de Fungdes + Ferramentas do AD DS e AD LDS © — Ferramentas do AD DS 4 Centro Adninistrativo do Active Directory 4 Ferramentas de Snap-ins e de Linha de Comando do AD DS © — Midulo do Active Directory para Windows Power Shel | \ —— Ferramentas de Administragao de Recursos + Ferramentas de Gerenciamento de Diretivas de Grupo 4 Acesse o menu Inieiar ¢ clique no item Usuarios ¢ Computadores do Active Directory Na janela seguinte, do lado esquerdo, expanda exemp1o. pr e clique em Users para ver a estrutura do Diretério. Navegue um pouco pela interface para ver os dados que ela disponibiliza, Laboratério 12 — Criando usudrios e grupos © Savant ‘Toenologia ew stant combeWA a Tecnologia da Informagao meenstiess# (objetivo desta sequéncia € criar usuirios e grupos para uso dos recursos do servidor Instrugdes |. Usando a ferramenta Usuarios e Computadores do Activ grupos as re tuir © coloque cada usuirio no respectivo grupo. Defi fory crie os usuarios & 1 senha de cada usuario Grupos: Administragao, Comercial, Diretoria, Engenharia, RH, Suporte Usuario Usuario Grupos André Carvalho andre Diretoria, Engenharia, Suporte Carlos Jiinior carlos Suporte Ckiudia Silva claudia Diretoria, Comercial Joo Santos joao Engenharia Leandro Sé leandro Engenharia Lilian Gomes litian Administragao Marcio Rodrigues mareio RH Maria Dias maria Comercial Paulo Mariano paulo Diretoria, RH Vagner Sow er RH OBSERVAGAO: Nao € uma boa pritica usar acentos ou caracte de ustuirios ou grupos, nem nos logins. cs estendidos nos nomes ae eR M MAACOit SAVANT “TEMPO REAL Tecnologia da Informagao Laboratorio 13 — Logon script 0 objetivo desta sequéncia é criar um logon script personalizado e associ-lo aos usuitios recém-criados. Instrugdes: Crie um logon seript chamado Logen «bat que mapeie o compartilhamento \ na letra H, e coloque esse script na pasta: 2. Associe esse logon script a dois ou trés usuirios criados no lab anterior e faga logon com esses usnrios para verificar se o mi FSAVANT PE sax, Tecnologia da Informag: Macvanhases . Politicas de Grupo O que é Politica de Grupo (Group Policy) Politicas de Grupo sao uma forma mais simples de aplicar configuragdes a computadores ¢ a ustdirios do dominio. Como pré-requisito as Politicas de Grupo s6 podem ser aplicadas em. uma rede baseada em AD DS (Active Directory Domain Service). Os computadores que serio gerenciados pelas Polit fazer parte do dominio ¢ os usuarios devem usar s computadores. de Grupo devem, obrigatoriamente, credenciais do dominio para logon nos Instalando 0 Gerenciador de Politicas gerer de http://www. microsoft .com/en-us/download/details OBSERVACAO: Verifique se a versa operacional que vocé est usando. ador de politicas de grupo ou GPMC ¢omo também é conhecido pode ser baixado px?id=21895 que vocé vai baixar ¢ compartivel com o sistema, Em nosso ambiente nao é necessario baixar este aplicativo isolado pois ele foi i junto com as Ferramentas Administrativas do AD. sstalado, Vové pode acessar essa ferramenta clicando em Iniciar, Todos os Programas, Ferramentas Administrativas, Gerenciamento de Diretiva de Grupo. Criando as primeiras politicas de grupo Definir um Politica de Grupo ¢ um processo de duas etapas. Na primeira etapa voed indi onde a politica sera aplicada ¢ eria um nome para ela. Na segunda etapa vocé edita a po! e define a configuragao a ser aplicada Para criar uma nova Politica de Grupo, clique com o botdo direito do mouse sobre © nome do dominio ¢ escolha a primeira opgao: Criar um GPO neste dominio ¢ fornecer um link para ele aqui, Defina o nome Nova GPO e deixe o outro campo como esta definir as configuragdes dessa GPO, clique com 0 botio direito sobre o nome da GPO escolha a opgao Editar. Na tela seguinte sera possivel definir as configuragdes desejadas As configuragdes de cada GPO podem ser aplicadas ao Computador do dominio ou ao Usuario autenticado no computador. Num primeiro momento, use os Modelos Administrativos pré-cxistent configuragdes. Isso tornara seu trabalho mais produtivo. s par definir suas GPOs para usuérios especificos Por padre GPOs sio aplicadas ao dominio todo ou a Unidades Organizacionais do AD. Vocé nao pode criar GPOs que sero aplicadas a usuarios especficos. a interface do GPMC voe Ao ack ’io encontrar, em local algum, usudrios a quemTT FT SSSOOOODOOODdSSdSdLLLI | z SAVANT oon Tecnologia da Informagio Meevomers nossa conectar as politicas criadas, Caso voce tenha uma necessidade especial onde precisa controlar usuirio a uswirio, isso tor meio de logon scripts personalizados, normalmente desenvolvidos em © tipo de abordagem permite um controle total, porém com um euste operacional extremamente alto. Um trecho de logon script em vb que desabilita a porta USB ¢ que pode ser executado usuario por usudrio, pode ser visto a seguir: Dim WSHShe | Set WSHShe!| = WScr ipt, Created ect (WSer pt. Shel“) IWsHShe' |. Reetrite “HKEY LOCAL MACHINEYSYSTEMYCurrentGontro|Set¥Services¥USBSTORYStart” 4 I “REG_DWORD’ Set NSHShel! = nothing Aplicando potiticas a grupos especificos usando Unidades Organizacionais Ao contririo do que acontece com quando estes si chamada, serve para agruy identi el atribuir GPOs a grupos de usuirios ‘ionais. Uma OU como também ¢ ' contas de usudrios © grupos de forma a permitir uma aydo visual da sua estrutura funcional, Criando as Unidades Organizacionais Para que seja possivel aplicar e usando as Ferramentas Admi OU criada, Sis politicas, voeé deve eriar as Unidades Onganizacionais as contas de usuario para cada Para criar uma OU, dentro do Gerenciador de Usuarios do AD, clique com 0 botio sobre dlominio, clique em Novo e em Unidade Organizacional Detina o nome da OU desejada ¢ clique em OK. (Uma Unidade Organizacional pode conter outras OUs dentro dela, por exemplo: voce Pode eriat uma OU chamada Departamentos e dentro dela eriar as OUs Administrac. Comercial, Diretoria, Engenharia, RHe Suporte (pos criar essa estrutura, clique em Users, selecione os usuarios desejados e mova-os para a OU do respective departamento, Criando as politicas de grupo por OU © processo de eriagdo da GPO por OU & o mesmo utilizado quando vo para 0 dominio todo. ria uma GPO Usanclo © GPMC selecione a OU desejada, clique com o bate direito e escolha a primeira opedo pars criar uma GPO na OU indicada, Depois é sé editar a GPO. definir as configuragdes desejadasGe. SAVANT Tecnologia Ga Informagio mocntnats Fazendo backup de suas GPOs Para fazer bi kup de suas GPOs clique com o botdo direito na pasta Objetos de Diretiva de Grupo ¢ selecione Fazer backup de tudo, Indique a pasta onde gravar esse backup ¢ coloque uma descrigao. Se preferir, vocé pode criar em cada GPO dentro dessa pasta e fazer um backup individual. Recuperando as GPOs do hackup No GPMC, clique com 0 botao direito na pasta Objetos de Diretiva de Grupo e clique em Gereneiar Backups. Em Local do backup indique a pasta onde o backup foi armazenado. No painel inferior selecione as GPOs que deseja recuperar e clique em Restaurar, confirme se a operagao foi bem-sucedida e clique em OK. ev mary 2013 BARA edd OBOE OHARA EO OOO AEE0000 ddddHH4dEHEEEDEEDDAIIAAdIdIddddddddEIAISSE SEO SAVANT Tecnologia da Informagaio “rg wea Laboratorio 14 — Criando a primeira GPO objetivo desta sequéneia ¢ criar uma primeira GPO que seja aplicada a todo 0 dominio EXEMPLO. Para facilitar 0 processo de eriagdo da GPO e testes para ver se funcionou, coloque a maquina virtual station2 no dominio EXEMPLO. Instrugdes 1. Acesse a maquina virtual stat ion? e coloque-a no dominio EXEMPLO. Apés entrar no dominio, reinicie a vm e autentique-se com 0 usuario andre. Na vin stat iont acesse o Gerenciador de Diretiva de Grupo dentro de Ferramentas Administrativas. Navegue um pouco pelo gerenciador para ver 0 sua aparéneia ¢ funcionamento. 3. Cri¢ uma primeira GPO diretamente no dominio exemplo.com.br chamada Proxy para isso clique com 0 bottio direito sobre o dominio e selecione o primeiro GPO nesse domini 4 Apés criar a GPO, clique com o botio direito sobre ela e selecione Editar. Clique em Configuracio do Usuario, e depois clique em Diretivas, em seguida clique em Configuragdes do Windows. Clique em Manutengo do Internet Explorer e depois em Conexio. Dé dois cliques em Configuragdes do Proxy ¢ marque Habilitar configuragdes de proxy. im Endereco do proxy configure o ip 192.168 .0..254 ea porta 3128. 5. Para testar sua configuragao, acesse a maquina station? com o usuario andre. Abra um force. Para verificar o resultado, acesse as -omo esté a configuracao de proxy terminal e digite 0 comando gpur propriedades do IE, na guia Conexao, verifiqueé SAVANT OE Tecnologia da Informagaio mee Laboratério 15 ~ Mais GPOs O objetivo desta sequéncia € criar uma GPO que desative 0 cache de pi limpe a pasta Temporary Intemet Files a ginas SSL no disco ¢ fechar 0 navegador Instrugdes: Muitos acessos a baneos precisam que voeé limpe o cache do navegador o tempo todo © que paginas seguras nao sejam salvas no disco. Da mesma forma que fizemos no laboratério anterior, erie uma nova GPO chamada yador-ss1-cache 2 Edite essa GPO e acesse Con Administr Internet, Paigi criptogr iguracdo do Computador. Clique cm Diretivas, Modelos os.... Componentes do Windows, Internet Explorer, Painel de controle da Avangada. No painel central, dé dois cliques em Nao salvar paginas disco, clique em Habilitado, OK. nessa tela, dé dois cliques em Esvazi vegador f pasta de Arquivos de Internet jechado, clique em Habilitado, OK. »n2 ¢ force a atualizagao das politicas de grupo. 5. Verifique se essa configuragdo foi bem sucedida, avessando o painel de controle do IE, ¢ clicando na tiltima aba Avangadas, role a barra lateral até o final e procure pelos dois itens configurados ane ee wt eee eee hh Wah WBHAAHHHMAHAHFeeateeeeetenaseSAVANT OU org Tecnologia da Informagio Laboratorio 16 — Alterando um GPO O objetivo desta sequéneia ¢ alterar a GPO que cor ura 0 proxy para o navegador. Instrugdes Voeé pode, a qualquer momento, alterar uma GPO existente e que jé esteja ativa, Edite a politica Proxy para aerescentarmos um novo item: bloquear 0 acesso a tela de es do proxy con| 2. Acesse Configuragdes do Usuario, Modelos Administrativos..., Componentes do Windows, Internet Explorer, Painel de controle da Internet, No painel central dé dois Desabilitar a pagina Conexdes. Clique em Habilitado, cliquem em OK, cliques 3. Acesse a station? e forve a atualizagiio das politicas de grupo. Acesse 0 painel de controle do IE para verifiear se funcionou. COTTA IIIIIIIIIIirrrsrecreveecereeerrererrySAVAN Tecnologia da Informagio Laboratorio 17 — Desativar portas USB O objetivo desta sequéncia é criar uma GPO que desative « computador ou que configure o acesso como somente leitura ss0 is portas USB do Instrugdes 1. Por padrlo, nao hé uma configuragiio pronta para isso, mas como essa confi alterando chaves de registro, nds criamos um modelo administrative que serd importado no GPMC. Acesse o servidor samba ¢ entre na pasta /corp. Baixe 0 arquivo a seguir na maquina do instrutor ed /corp wget http://instruetor. example. com/pub/usb-cd-floppy-control. adm 2. Acesse a station! c entre no GPMC. 3. Crie uma nova politica no dominio com o nome Sem USB. Edite essa GPO. 4. Clique com o botao direito sobre Modelos Administrativos... ¢ selecione Adicionar ou Remover Modelos. Navegue até o compartilhamento \\ae\ corp ¢ dé dois eliques sobre 0 arquivo usb-cd=floppy-cont rol. adm, Clique em OK, clique em Fechar. 5. Dentro de Modelos Administrativos... surgiu uma nova pasta: Modelos Administrativos Classicos. Dentro dela acesse Politicas Especiais, Restricdo de Drivers. Clique em Desativar USB e clique em Habilitado, no paine! inferior uma configuragao adicional sera mostrada. Em Desativar as portas USB sel Repita 0 mesmo procedimento com a unidade de ed/dvd. Em nosso laboratorio sera dificil realizar o teste para confirmar o funcionamento desta GPO mas, caso vocé conhega os procedimentos para conectar dispositivos USB ¢ ISOS a vm, voce pode testar rev magor2015, 0