06 Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Viso Geral
Segurana de Objeto no Active Directory Controlando o Acesso aos Objetos do Active Directory Delegando Controle Administrativo dos objetos do Active Directory Personalizando consoles MMC Configurando Blocos de Tarefas Melhores Prticas
O servio de diretrio Windows Server 2003 Active Directory proporciona aos administradores um alto grau de controle sobre quem acessa as informaes no Active Directory. Gerenciando as permisses nos objetos e propriedades do diretrio, os administradores podem especificar precisamente que contas podem obter acesso ao Active Directory e o nvel de acesso que estas contas podem ter. Esta preciso permite que os administradores deleguem autoridade especfica sobre pores do Active Directory para grupos de usurios, sem tornar as informaes no Active Directory vulnerveis ao acesso no-autorizado. A habilidade de delegar alivia a carga da administrao centralizada. Controlar o acesso e delegar autoridade administrativa aos objetos do Active Directory importante, especialmente ao desenvolver um modelo administrativo descentralizado. Depois de completar este laboratrio, voc ser capaz de: Gerenciar a segurana dos objetos no Active Directory. Controlar o acesso aos objetos do Active Directory. Delegar controle administrativo dos objetos do Active Directory. Criar e desenvolver consoles personalizadas. Criar e desenvolver blocos de tarefas personalizados. Adotar as melhores prticas para a delegao do controle administrativo.
Segurana dos Objetos no Active Directory

Componentes de Segurana do Active Directory Listas de Controle de Acesso Discricionrio e de Sistema Entradas de Controle de Acesso Herana O Processo de Logon Sinais de Acesso (Access Tokens) Como o Windows Server 2003 Concede o Acesso aos Recursos
O Windows Server 2003 implementa um modelo de segurana baseado em objeto e controle de acesso para todos os objetos no Active Directory. Controle de acesso o processo de autorizao de usurios, grupos e computadores para acessarem objetos na rede. Vrios componentes de segurana no Active Directory constituem o controle de acesso e permitem que informaes de controle de acesso sejam passadas atravs de herana. A herana -136-
permite que as informaes de controle de acesso definidas em recipientes de nvel superior no Active Directory fluam para os sub-recipientes e seus objetos. O Windows Server 2003 requer que os usurios efetuem o logon, e depois que o Windows Server 2003 e o Active Directory autenticam a identidade exclusiva do usurio, concedido ou negado o acesso aos recursos.
Componentes de Segurana do Active Directory

Objetos de Segurana Usurio, grupo de segurana, servio e computador Identificado por um identificador exclusivo Identificadores de Segurana (SIDs, Security Identifiers) Identifica exclusivamente objetos de segurana Nunca so reutilizados Descritores de Segurana Informaes de segurana associadas com um objeto Contm DACLs e SACLs
Cada objeto no Active Directory associado com um descritor de segurana exclusivo que define as permisses de acesso que so necessrias para ler ou atualizar as propriedades do objeto. Permisses so atribudas em nvel de propriedade. Objetos de segurana, identificadores de segurana e descritores de segurana so componentes bsicos do modelo de controle de acesso. Gerentes de Segurana Um gerente de segurana um detentor de conta para o qual voc pode atribuir permisses. Exemplos de gerentes de segurana so contas de usurio, grupo de segurana e computador. Cada gerente de segurana dentro de um domnio do Windows Server 2003 identificado por um identificador de segurana exclusivo. Identificadores de Segurana (SIDs, Security Identifiers) Um identificador de segurana (SID, security identifier) um valor que identifica exclusivamente uma conta de usurio, grupo, servio ou computador dentro de uma organizao. Cada conta recebe um SID quando esta criada. Os mecanismos de controle de acesso no Windows Server 2003 identificam os objetos de segurana pelo SID ao invs de pelo nome. Depois que um SID foi atribudo a uma conta, ele nunca reutilizado em outra conta. Descritores de Segurana Um descritor de segurana uma estrutura de dados contendo as informaes de segurana associadas com um objeto segurvel. Um descritor de segurana identifica o proprietrio de um objeto pelo SID. Se h permisses configuradas para o objeto, seu descritor de segurana contm uma lista de controle de acesso discricionria (DACL, discretionary access control list) com SIDs para usurios e grupos que tm acesso permitido ou negado. -137-
Se a auditoria estiver configurada para o objeto, seu descritor de segurana tambm contm uma lista de controle de acesso do sistema (SACL, system access control list) que controla como o subsistema de segurana audita as tentativas de acessar o objeto.
Listas de Controle de Acesso Discricionrias e de Sistema

Lista de Controle de Acesso Discricionria (DACL, Discretionary Access Control List) Identifica os objetos de segurana que tm acesso permitido ou negado e o nvel de acesso sendo permitido ou negado Lista de Controle de Acesso do Sistema (SACL, System Access Control List) Controla como o acesso aos objetos auditado
Security Descriptor
Header Header Owner Owner SID SID Group Group SID SID
DACL DACL
ACEs ACEs
SACL SACL
ACEs ACEs
Um descritor de segurana uma estrutura de dados binria de tamanho varivel que contm uma lista de controle de acesso (ACL, access control list). Uma ACL uma lista ordenada de entradas de controle de acesso (ACEs, access control entries) que definem as protees de segurana aplicveis a um objeto, um conjunto de propriedades do objeto ou uma propriedade individual de um objeto. A estrutura de dados de um descritor de segurana tem as seguintes partes: Cabealho (Header). O campo Cabealho contm um nmero de reviso e um conjunto de flags de controle que descrevem caractersticas do descritor de segurana, como o layout de memria, que elementos esto presentes e como elementos particulares foram adicionados ou modificados. Proprietrio (Owner). O campo Proprietrio contm o SID para o proprietrio do objeto. O proprietrio de um objeto pode modificar permisses e conceder a outros usurios o direito de tomar posse. Grupo Primrio (Primary Group). O campo Grupo Primrio contm o SID para o grupo primrio do proprietrio. Esta informao utilizada para servios com Macintosh e pelo subsistema POSIX mas ignorada pelo resto do Windows Server 2003. Lista de controle de acesso discricionria (DACL, discretionary access control list). A DACL uma lista de zero ou mais ACEs identificando quem tem acesso permitido ou negado e o nvel de acesso sendo permitido ou negado. -138-
Lista de controle de acesso do sistema (SACL, system access control list). A SACL similar DACL exceto porque esta utilizada para controlar como o Windows Server 2003 audita o acesso aos objetos. Quando uma ao auditada ocorre, o sistema operacional grava o evento no log de segurana.
Entradas de Controle de Acesso

Uma entrada de controle de acesso (ACE, access control entry) utilizada para determinar que operaes em um objeto de segurana so permitidas, ou no caso de ACEs em uma SACL, que operaes so auditadas. ACEs em uma DACL Cada ACE em uma DACL consiste de: Um SID que especifica um usurio particular ou grupo de segurana. Um cabealho que especifica se a ACE permite ou nega o acesso. Uma mscara de acesso que lista as operaes permitidas ou negadas. Um conjunto de flags de bit que determinam se objetos filho podem herdar a ACE. O cabealho para uma ACE contm um conjunto de flags de herana que controlam como a ACE herdado e como a ACE afeta um objeto filho que a herda. Uma flag que indica o tipo de ACE. Tipos de ACE Existem seis tipos diferentes de ACEs no Windows Server 2003. Os seis tipos de ACEs so divididos em dois grupos: ACEs genricas, que podem ser aplicadas a todos os objetos para o qual a segurana pode ser aplicada, incluindo objetos do sistema e objetos do Active Directory, e as ACEs especficas do objeto, que podem ser aplicadas apenas em objetos do Active Directory. ACEs genricas e especficas do objeto so fundamentalmente iguais. A diferena entre elas a granularidade do controle que elas oferecem sobre a herana e o acesso ao objeto. A seguinte tabela lista os diferentes tipos de ACE: Tipo Acesso negado (Access denied) Descrio Utilizada em uma DACL para negar acesso. Acesso permitido (Access allowed) Utilizada em uma DACL para permitir acesso. Auditoria do sistema (System audit) Utilizada em uma SACL para registrar tentativas de acesso. Acesso negado, especfico do objeto Utilizada em uma DACL para negar o (Access denied, object specific) acesso a uma propriedade ou conjunto de propriedades ou para limitar a herana a um tipo especfico de objeto filho. Acesso permitido, especfico do objeto Utilizada em uma DACL para permitir o (Access allowed, object specific) acesso a uma propriedade ou conjunto de propriedades ou para limitar a herana a -139-
um tipo especfico de objeto filho. Auditoria do sistema, especfico do objeto Utilizada em uma SACL para registrar (System audit, object specific) tentativas de acessar uma propriedade ou conjunto de propriedades ou para limitar a herana para um tipo especfico de objeto filho.
Herana
DACL DACL User 1 Read User 1 Read Group 1 Full Group 1 Full Control Control
Parent Parent Object Object
DACLs Are Inherited by Child Objects
Users Assigned Access Permission for Parent Object
Child Object
DACL DACL User Read User 1 1 Read Group 1 Full Group 1 Full Control Control
Elimina a necessidade de aplicar permisses manualmente a objetos filhos Garante que as permisses aplicadas a um objeto pai sejam aplicadas consistentemente a todos os objetos filho Garante que quando permisses em todos os objetos dentro de um recipiente precisam ser alteradas, voc precisa alterar apenas as permisses no objeto pai Garante que quando as ACEs so aplicadas diretamente aos objetos do Active Directory, as ACEs sobrescrevem quaisquer ACEs herdadas conflitantes
Herana o processo que passa as ACEs no descritor de segurana de um objeto pai para o descritor de segurana de um objeto filho. Herana significa que as informaes de controle de acesso que so definidas em recipientes de nvel superior no Active Directory fluam para sub-recipientes e seus objetos. No Windows Server 2003, ACEs herdveis so propagadas de um objeto pai para um objeto filho quando um dos seguintes trs eventos ocorre: Um objeto filho criado. A DACL no objeto pai modificada. A SACL no objeto pai modificada.
Qualquer objeto pode ser filho de outro objeto. Apenas objetos recipientes podem ser pais. A DACL e SACL de um objeto recipiente podem carregar ACEs que no so necessrias no recipiente mas esto presentes apenas por propsitos de herana, de forma que as ACEs sejam passadas para as geraes subseqentes de objetos at que elas alcancem um objeto filho no-recipiente, onde elas se tornaro ACEs efetivas. A herana de permisses no Windows Server 2003 simplifica a tarefa de gerenciar permisses: Eliminando a necessidade de aplicar permisses manualmente para objetos filho conforme eles so criados. -140-
Garantindo de que as permisses aplicadas a um objeto pai so aplicadas consistentemente a todos os objetos filhos. Garantindo que quando voc precisa modificar permisses em todos os objetos dentro de um recipiente, voc precisa alterar apenas as permisses do objeto pai, e os objetos filho herdam automaticamente estas alteraes. Garantindo que quando as ACEs so aplicadas diretamente aos objetos do Active Directory, elas so aplicadas antes de quaisquer ACEs herdadas previamente conflitantes.
O Processo de Logon
Domain Controller
1
Access Access Token Token
Local Local Security Security Subsystem Subsystem
2 3
Ticket Ticket Ticket Ticket Kerberos Kerberos Service Service
5
Constructs Constructs Access Access Token Token
Ticket Ticket
Global Catalog Server
O Windows Server 2003 controla o acesso aos recursos exigindo que um usurio efetue o logon primeiro em um computador. Para efetuar o logon em um computador, o Windows Server 2003 requer que cada usurio fornea um nome de usurio e senha exclusivos. O processo de logon que ocorre para um computador Windows Server 2003 inclui os seguintes passos: 1. Um usurio efetua o logon, fornecendo as credenciais de segurana necessrias, incluindo o nome do usurio, senha e nome do domnio. Estas credenciais so passadas para o subsistema de segurana no computador local. 2. O subsistema de segurana local utiliza o DNS para localizar um controlador de domnio no domnio do usurio. O subsistema de segurana ento contata o servio Kerberos, chamado Centro de Distribuio de Chave (KDC, Key Distribution Center), em execuo no controlador de domnio e solicita um ticket de sesso para que um usurio se comunique com o servio Kerberos. Um ticket um registro que permite que um computador cliente se autentique em um servidor. O servio Kerberos consulta o Active Directory para autenticar o usurio e contata um servidor de catlogo global para obter as participaes em grupo universais. O servio Kerberos ento retorna um ticket de sesso ao computador cliente que contm o SID do usurio e as participaes em grupos universais, globais, e locais de domnio, que so utilizadas para futuras transaes com o servio Kerberos. -141-
Observao: Cada controlador de domnio no domnio executa o servio Kerberos e capaz de conceder tickets de acesso a usurios e computadores. Se um controlador de domnio no estiver disponvel, a autenticao no domnio falha e o usurio efetua o logon atravs de credenciais de logon gravadas em cache no computador cliente. O computador cliente tenta periodicamente localizar o servio Kerberos durante a sesso do usurio e completar o processo de autenticao do domnio se um for encontrado. 3. O subsistema de segurana local contata novamente o servio Kerberos no controlador de domnio e solicita outro ticket de sesso autorizando o usurio a obter acesso ao servio Estao de Trabalho (Workstation) no computador cliente para completar o processo de logon do usurio. Esta solicitao inclui uma cpia do ticket de sesso do usurio que o servio Kerberos utiliza para identificar o usurio. 4. O servio Kerberos autentica o ticket do usurio consultando o Active Directory e o servidor de catlogo global para verificar as informaes contidas no ticket de sesso do usurio. O servio Kerberos ento constri um ticket de sesso para o usurio que contm as credenciais de segurana validadas copiadas do ticket original do usurio e retorna o ticket de sesso ao computador cliente. 5. O subsistema de segurana local no computador cliente extrai o SID e as participaes em grupo universal, global e local do domnio do usurio a partir do ticket de sesso Estao de Trabalho (Workstation). O subsistema ento constri o sinal de acesso (access token) do usurio adicionando os SIDS dos grupos locais que o usurio pertence e uma lista de direitos locais atribudos ao usurio. 6. O computador local cria um processo com um sinal de acesso anexado. O sinal de acesso utilizado para autenticar o usurio e serve como um carto de identificao sempre que o usurio tenta utilizar recursos do sistema. O Processo de Logon de Rede Um logon de rede ocorre quando um usurio estabelece uma conexo de rede com um computador remoto executando o Windows Server 2003, por exemplo, ao conectar a uma pasta compartilhada. O processo de autenticao muito similar quele de um processo de logon interativo. O computador cliente obtm um ticket de sesso do servidor a partir do servio Kerberos em execuo em um controlador de domnio do domnio do usurio. O computador cliente ento envia o ticket de sesso do servidor para o subsistema de segurana local no servidor, que extrai as credenciais de segurana do usurio e constri um sinal de acesso para o usurio remoto. Este sinal de acesso utilizado para autenticar o usurio sempre que um recurso no servidor acessado. O Processo de Logon Secundrio O logon secundrio fornece a habilidade de iniciar e executar um aplicativo utilizando credenciais de segurana de outro usurio sem ter que finalizar uma sesso j em progresso. Por exemplo, voc pode executar ferramentas administrativas sem ter efetuado o logon com uma conta de usurio padro.
-142-
Observao: Para mais informaes sobre o servio Kerberos, consulte Autenticao Kerberos do Windows Server 2003 (Windows Server 2003 Kerberos Authentication) sob Leitura Adicional (Additional Reading) na pgina da Web no CD Materiais do Aluno (Student Materials).
Sinais de Acesso (Access tokens)

Security Security ID: ID: S-1-5-21-146... S-1-5-21-146...
Access Token
Group Group IDs: IDs: Employees Employees EVERYONE EVERYONE LOCAL LOCAL User User Rights: Rights: SeChangeNotifyPrivilege SeChangeNotifyPrivilege -- (attributes) (attributes) 3 3 SeSecurityPrivilege (attributes) SeSecurityPrivilege - (attributes) 0 0
Sinais de Acesso: So criados durante o processo de logon e utilizados toda vez que um usurio tenta obter acesso a um objeto Contm um SID, um identificador exclusivo utilizado para representar um usurio ou um grupo Contm identificador de Grupo, uma lista de grupos para os quais um usurio pertence Contm direitos do usurio, os privilgios de um Usurio Para obter acesso a qualquer recurso na rede, um usurio deve ter um sinal (token) de acesso. Um sinal de acesso criado para o usurio durante o processo de logon e contm atributos que estabelecem as credenciais de segurana para este usurio no computador local. O sinal de acesso utilizado sempre que um usurio tenta obter acesso a um objeto. Quando o usurio executa um aplicativo, um novo processo iniciado que herda o sinal de acesso do usurio. O sinal de acesso anexado permanentemente a cada um dos processos do usurio e serve como um carto de identificao sempre que o usurio tenta utilizar os recursos do sistema. Quando um processo de um usurio tenta obter acesso a qualquer objeto, o Windows Server 2003 verifica o SID e a lista de identificadores de Grupo do usurio no sinal de acesso em relao DACL do objeto. Esta verificao determina se o usurio tem acesso concedido ao objeto. Identificador de Segurana (SID, Security Identifier) O SID o identificador de segurana para o usurio que efetuou o logon. Um SID permite que o sistema operacional identifique exclusivamente cada conta de usurio e grupo, mesmo se a conta for renomeada ou tenha o mesmo nome que outra conta. Desta forma, permisses atribudas a um objeto podem ser utilizadas apenas por este objeto, independente do nome do usurio ou grupo. Identificador de Grupo (Group ID) O Identificador de Grupo (Group ID) uma lista de grupos para os quais o usurio pertence. Para um processo de logon do domnio, o controlador de domnio compila uma -143-
lista de SIDs para os grupos global e local do domnio dos quais o usurio um membro. O controlador de domnio contata um servidor de catlogo global para obter os SIDs de quaisquer grupos universais dos quais o usurio um membro. Esta lista retornada ao computador cliente, que ento adiciona quaisquer grupos locais dos quais o usurio um membro. Direitos do Usurio Direitos do Usurio so os privilgios de um usurio. O computador local adiciona a lista de direitos do usurio ao sinal de acesso. Os direitos do usurio determinam que aes administrativas o usurio pode executar no computador local, como desligar o computador, efetuar o logon interativamente e tomar posse dos objetos.
Como o Windows Server 2003 Concede Acesso aos Recursos

Domain
Access File
OU1 OU2
Read Allowed
User User
Application Sends Read Request ACE Found Security Subsystem Checks Appropriate ACE in DACL for File
Security Security Subsystem Subsystem
DACL
SID SID Group Group SID User User SID ACE ACE Access Access Allowed Allowed User User 1 1 Read Read
Os usurios obtm acesso aos recursos quando o Windows Server 2003 verifica a lista DACL das permisses permitidas contra o acesso solicitado pelo usurio. O Windows Server 2003 controla o acesso aos recursos de duas formas: Exigindo que os usurios efetuem o logon utilizando um conjunto de credenciais de segurana verificveis. Estas credenciais so ento comparadas contra um conjunto de permisses atribudas aos objetos do Active Directory e recursos de rede, como pastas compartilhadas e arquivos do sistema de arquivos NTFS. Concedendo o acesso apenas queles recursos que o usurio tem permisso para utilizar. Depois que a identidade exclusiva do usurio foi autenticada pelo Windows Server 2003 e ento pelo Active Directory, o usurio pode receber acesso a recursos especficos na rede a partir de qualquer computador em qualquer domnio da organizao.
O usurio obtm acesso a um recurso atravs do seguinte processo: 1. O usurio solicita acesso a um objeto do Active Directory. Por exemplo, um usurio solicita acesso para Ler (Read) a um objeto em uma unidade organizacional -144-
2.
3.
4. 5.
(organizational unit) tentando exibir a caixa de dilogo Propriedades (Properties) para uma conta de usurio. Tentando exibir a caixa de dilogo Propriedades (Properties), o usurio faz com que Usurios e Computadores do Active Directory (Active Directory Users and Computers) gere uma solicitao de entrada/sada (E/S) para o Windows Server 2003, que valida a solicitao atravs do subsistema de segurana. O subsistema de segurana l a DACL de um objeto, procurando por ACEs que contenham o SID do usurio ou o SID de um grupo para o qual o usurio pertence. Cada ACE que se aplica ao usurio comparada em relao ao acesso solicitado at que uma ACE que negue ou permita o acesso solicitado seja localizada. Se uma negao for encontrada, ou nenhuma ACE existir para o acesso solicitado, a solicitao do usurio falha. ACEs que negam o acesso so listadas primeiro na DACL. O subsistema de segurana processa primeiro as ACEs que negam o acesso e concede acesso ao objeto assim que uma ACE que permite o acesso solicitado encontrada. Se o acesso for concedido, o recurso aberto apenas para o acesso solicitado. Se o acesso ao usurio for negado, uma mensagem de erro aparece. Uma DACL checada apenas quando o recurso aberto inicialmente. Se as permisses de um usurio para um objeto so alteradas enquanto o usurio est acessando o objeto, o usurio retm o acesso atual ao objeto. A atribuio de permisso atualizada na prxima vez que o usurio obtm acesso ao objeto.
Controlando o Acesso os Objetos do Active Directory

Permisses do Active Directory Controlando a Herana das Permisses Definindo Permisses do Active Directory Posse do Objeto Alterando a Posse do Objeto
Quando voc quiser controlar quais usurios tm acesso a objetos especficos no Active Directory, considere o seguinte: As permisses fornecem segurana para os recursos permitindo que voc controle que usurios obtenham acesso aos objetos individuais ou atributos do objeto e o nvel de acesso do usurio. Voc pode utilizar permisses para conceder privilgios administrativos para um nico objeto ou para um usurio ou grupo especfico. Cada objeto no Active Directory tem um proprietrio. O proprietrio controla como as permisses so definidas no objeto e que permisses so atribudas.
Permisses do Active Directory

Permisses: Podem ser permitidas ou negadas Podem ser negadas implicitamente ou explicitamente Podem ser definidas como permisses padres ou especiais -145-
Access Control Settings for Domain Controllers Permissions Auditing Owner Permission Special Special Full Control Special Full Control Apply to This object only This object only This object only This object and all child This object and all child
Permission Entries: Type Name Allow Authenticated Users Allow Allow Allow Allow Domain Admins SYSTEM Administrators Enterprise Admins
Add...
Remove
View/Edit...
This permission is defined directly on this object. This permission is not inherited by child objects. Allow inheritable permissions from parent to propagate to this object.
Permisso uma autorizao atribuda por um usurio de forma que os usurios possam executar uma operao em um objeto especfico, como uma conta de usurio. Se voc possui um objeto, voc pode designar permisso de usurio ou grupo de segurana para executar algumas ou todas as tarefas que voc autorizado a fazer. Voc tambm pode designar permisso para tomar posse. Cada permisso que o proprietrio de um objeto atribui a um usurio particular ou grupo armazenada como uma ACE em uma DACL que faz parte do descritor de segurana do objeto. Usurios podem visualizar ACEs sob Entradas de Permisso (Permission Entries) na caixa de dilogo Configuraes de Controle de Acesso (Access Control Settings). Permitindo ou Negando Permisses Voc pode permitir ou negar permisses. Permisses negadas tm precedncia sobre quaisquer permisses que voc de outra forma atribui a contas de usurios e grupos. Por exemplo, se voc nega permisso a um usurio para obter acesso a um objeto, o usurio no ter a permisso, mesmo se voc conced-la a um grupo do qual este objeto um membro. Negue permisses apenas quando for necessrio remover uma permisso que um usurio pode ter obtido atravs de uma participao em grupo. Permisses Implcitas ou Explcitas Voc pode negar permisses implicitamente ou explicitamente da seguinte forma: Quando a permisso para executar uma operao no for atribuda explicitamente, ela negada implicitamente. Por exemplo, se o grupo Marketing tem a permisso Ler (Read) em um objeto do usurio e nenhum outro objeto de segurana estiver listado na DACL para este objeto, usurios que no forem membros do grupo Marketing tm o acesso negado implicitamente. Permisses tambm podem ser negadas explicitamente. Por exemplo, pode ser necessrio evitar que um usurio chamado Don seja capaz de visualizar as propriedades de um objeto do usurio, mesmo que ele seja um membro do grupo Marketing que tenha permisses para visualizar as propriedades do objeto do usurio. Voc pode evitar que Don acesse as propriedades do objeto do usurio negando -146-
explicitamente sua permisso Ler (Read). Este exemplo ilustra idealmente a utilizao do uso explcito das negaes, que serve para excluir um subconjunto, como Don, dentro de um grupo maior, como Marketing, de executar uma tarefa que o grupo maior tenha permisses de executar. Permisses Padres e Especiais Voc pode definir permisses padres e especiais nos objetos. Permisses padres so as permisses mais freqentemente atribudas. Permisses especiais fornecem a voc um grau mais fino de controle para a atribuio de acesso aos objetos. A tabela seguinte lista as permisses de objeto padres que so disponveis para a maioria dos objetos e o tipo de acesso que cada permisso permite que o usurio tenha. Permisso de objeto Controle Total (Full Control) Permite que o usurio Altere permisses e tome posse, e tambm execute as tarefas que forem permitidas por todas as outras permisses padres. Ler (Read) Visualize objetos e atributos do objeto, o proprietrio do objeto e as permisses do Active Directory. Gravar (Write) Alterar atributos do objeto. Criar Todos Objetos Filhos (Create All Adicionar qualquer tipo de objeto filho a Child Objects) uma UO. Excluir Todos Objetos Filhos (Delete Remover qualquer tipo de objeto filho de All Child Objects) uma UO.
Controlando a Herana das Permisses

Objetos Herdam Permisses que Existem no Momento da Criao Herana de Permisses Pode ser Bloqueada Copie permisses herdadas previamente para o objeto Remova permisses herdadas previamente do objeto
A herana de permisses no Active Directory faz automaticamente com que os objetos dentro de um recipiente herdem as permisses deste recipiente. Por exemplo, os arquivos dentro de uma pasta, quando criados, herdam as permisses da pasta. Esta herana minimiza o nmero de vezes que voc precisa atribuir permisses para os objetos. Quando um objeto criado dentro de um recipiente, o esquema do Active Directory define uma DACL padro para o objeto. Aplicando Permisses para Objetos Filho Quando voc atribui permisses, voc pode ter que aplicar a permisso aos seus objetos filhos. Por exemplo, se voc quer que um usurio administre todos os objetos dentro de uma OU, atribua permisses Full Control (Controle Total) para o usurio e ento todos os objetos filho herdam estas permisses. Para indicar que permisses foram herdadas, as -147-
caixas de verificao na caixa de dilogo Permisses (Permissions) para os objetos filho ficam esmaecidas. Evitando que Objetos Filho Herdem Permisses Voc pode bloquear a herana de permisses de forma que um objeto filho no herde permisses a partir de seu objeto pai. Voc pode evitar a herana quando voc quer definir permisses mais restritivas em objetos filho do que em um objeto pai. Quando voc bloqueia a herana, apenas as permisses que voc atribui explicitamente ao objeto se aplicam. Quando voc evita a herana de permisses, o Windows Server 2003 permite que voc: Copie permisses herdadas previamente para o objeto. Ento, de acordo com suas necessidades, voc pode fazer quaisquer alteraes necessrias s permisses. Remover permisses herdadas previamente do objeto. Ento, de acordo com suas necessidades, voc pode atribuir novas permisses para o objeto.
Definindo Permisses do Active Directory

Users Properties General Name Everyone (domain_name\Acct... Administrators Authenticated User Objects Security Add... Remove
Allow Full Control
Deny
Standard Standard Permissions Permissions Special Special Permissions Permissions
Read Write Create all child objects Delete all child objects
Advanced... Allow inheritable permissions from parent to propagate to this object. OK Cancel Apply
O Windows Server 2003 determina a autorizao de um usurio para utilizar um objeto verificando a DACL para permisses atribudas ao usurio neste objeto. Estas permisses so visveis no Active Directory visualizando a caixa de dilogo Propriedades (Properties) de um objeto. Permisses Padres Para adicionar ou alterar permisses para um objeto, execute os seguintes passos: 1. Em Usurios e Computadores do Active Directory (Active Directory Users and Computers), no menu Visualizar (View), clique em Caractersticas Avanadas (Advanced Features). 2. Clique com o boto direito no objeto, clique em Propriedades (Properties) e ento na caixa de dilogo Propriedades (Properties), clique na guia Segurana (Security). 3. Execute um ou ambos os passos a seguir: -148-
Para adicionar uma nova permisso, clique em Adicionar (Add), clique na conta de usurio ou grupo para o qual voc quer atribuir permisses, clique em Adicionar (Add) e ento clique em OK. Para remover uma permisso, selecione a conta de usurio ou grupo que voc quer remover, clique em Remove (Remover) e ento clique em OK.
4. Na caixa de dilogo Permisses (Permissions), marque a caixa de verificao Permitir (Allow) ou Negar (Deny) para cada permisso que voc quer adicionar ou alterar. Permisses Especiais Permisses padro so suficientes para a maioria das tarefas administrativas. Entretanto, voc pode precisar visualizar permisses especiais disponveis dentro de uma permisso padro para melhor refinar as permisses de acesso. Para visualizar permisses especiais, execute os seguintes passos: 1. Na guia Segurana (Security) da caixa de dilogo Propriedades (Properties) para o objeto, clique em Avanado (Advanced). 2. Na caixa de dilogo Configuraes de Controle de Acesso (Access Control Settings), na guia Permisses (Permissions), clique na entrada que voc quer visualizar e ento clique em Visualizar/Editar (View/Edit). 3. Para visualizar permisses para atributos especficos, clique na guia Propriedades (Properties). Aviso: Evite atribuir permisses para atributos especficos de objetos. Podem ocorrer erros, como objetos no visveis no Active Directory, impedindo usurios de completarem tarefas.
Propriedade de Objetos
Advanced
Access Control Settings for System1
Owner Auditing Allow inheritable permissions fromPermissions parent to propagate to this object. Current owner of this item: OK Domain Admins Cancel Apply (CONTOSO\Domain\Admins) Change owner to: Name Administrator (CONTOSO\Administrator) Administrators (CONTOSO\Administrators)
Owners Owners
Cada Objeto tem um Proprietrio O Proprietrio Controla Como as Permisses so Definidas em um Objeto, e que Permisses so Atribudas Se um Membro do Grupo Administradores (Administrators) Toma Posse, o Proprietrio Padro o Grupo e no o Usurio Individual
Cada objeto no Active Directory tem um proprietrio. A pessoa que cria o objeto se torna automaticamente um proprietrio e, por padro, tem controle total sobre o objeto. O proprietrio controla como as permisses so atribudas em um objeto e a quem estas permisses so concedidas, mesmo que o proprietrio no seja listado na DACL. -149-
O proprietrio padro de um objeto normalmente um usurio individual que est conectado no momento que a pasta criada. As nicas excees que ocorrem so quando um usurio membro do grupo Administradores (Administrators) ou Administradores do Domnio (Domain Admins). Se um membro do grupo Administradores (Administrators) toma posse, o proprietrio padro o grupo, no o usurio individual. Em ambos os casos, o campo Proprietrio (Owner) no sinal de acesso do usurio contm o SID do grupo e no o SID da conta de usurio individual. Para determinar quem possui quais objetos, execute os seguintes passos: 1. Clique com o boto direito no objeto e ento clique em Propriedades (Properties). 2. Na caixa de dilogo Propriedades (Properties), clique na guia Segurana (Security) e ento clique em Avanado (Advanced). 3. Na caixa de dilogo Configuraes de Controle de Acesso (Access Control Settings), clique na guia Proprietrio (Owner). O nome do proprietrio do objeto exibido depois da caixa Proprietrio padro deste item (Current owner of this item). Observao: Para mais informaes sobre propriedades dos objetos, consulte o captulo 12, Distributed Security em Distributed Systems Guide no Microsoft Windows Server 2003 Server Resource Kit.
Alterando a Propriedade do Objeto

Access Control Settings for System2 Permissions Auditing Owner
Current owner of this item: Domain Admins (ASIA1\Domain\Admins) Change owner to: Administrator (ASIA1\Administrator) Administrators (ASIA1\Administrators)
A Propriedade Altera Quando: O proprietrio atual atribui a permisso de Modificar Propriedade (Modify Ownership) para outros usurios Membros do grupo Administradores do Domnio (Domain Admins) tomam posse de qualquer objeto no domnio
Como um administrador, voc pode tomar posse de qualquer objeto e ento alterar as permisses para o mesmo. Voc pode alterar a posse das seguintes formas: O proprietrio atual, ou qualquer usurio com a permisso Controle Total (Full Control), atribui a permisso Modificar Propriedade (Modify Ownership) a outro usurio que toma posse do objeto. -150-
Por exemplo, se um funcionrio que possui um objeto deixa a companhia, voc pode deixar outro usurio tomar posse deste objeto, re-atribuindo ento a responsabilidade para o objeto. Um membro do grupo Administradores (Administrators) toma posse de qualquer objeto.
Observao: Embora membros do grupo Administradores (Administrators) possam tomar posse de um objeto, eles no podem transferir a posse. Para alterar a posse de um objeto, execute os seguintes passos: 1. Na caixa de dilogo Propriedades (Properties) de um objeto, na guia Segurana (Security), clique em Avanado (Advanced). 2. Clique na guia Proprietrio (Owner) e ento clique em sua conta de usurio. Se voc um membro do grupo Administradores (Administrators), voc tambm pode clicar em Administradores (Administrators). Isto torna o grupo Administradores (Administrators) o proprietrio. 3. Clique em OK e depois OK novamente para tomar posse.
Delegando Controle Administrativo dos objetos do Active Directory

Viso Geral da Delegao de Controle Administrativo Utilizando o Assistente de Controle de Delegao Orientaes da Delegao de Controle Administrativo
Delegao a habilidade de atribuir responsabilidade do gerenciamento dos objetos do Active Directory para outro usurio, grupo ou organizao. Voc delega utilizando o assistente de Controle de Delegao (Delegation of Control Wizard) para definir permisses especficas nos objetos do Active Directory. O assistente de Controle de Delegao (Delegation of Control Wizard) permite que voc selecione o usurio ou grupo para o qual voc quer delegar controle, as unidades organizacionais cujos objetos voc quer conceder aos usurios o direito de controle, e as permisses para acessar e modificar objetos. Delegando o controle administrativo, voc pode eliminar a necessidade de mltiplas contas administrativas que tenham ampla autoridade, como para um domnio inteiro. Embora voc provavelmente utilize o grupo pr-definido Administradores do Domnio (Domain Admins) para a administrao do domnio inteiro, voc pode delegar as contas que so membros do grupo Administradores do Domnio (Domain Admins) para usurios administrativos altamente confiveis.
Viso Geral da Delegao de Controle Administrativo

Delegao da Administrao Significa: Alterar propriedades em um recipiente particular Criar e excluir objetos de um tipo especfico sob uma unidade organizacional Atualizar propriedades especficas nos objetos de um tipo especfico sob uma unidade organizacional -151-
Domain OU1 Admin1 Admin2
OU2
OU3
Admin3
Voc delega controle administrativo criando unidades organizacionais dentro de um domnio e delegando controle administrativo para Uos especficas. O Windows Server 2003 contm permisses e direitos do usurio especficos que voc pode utilizar para delegar o controle administrativo. Utilizando uma combinao de unidades organizacionais, grupos e permisses, voc pode atribuir direitos administrativos para um usurio particular que tenha um nvel apropriado de administrao sobre um domnio inteiro, todas as unidades organizacionais dentro de um domnio ou mesmo em uma nica unidade organizacional. Existem trs formas de definir a delegao das responsabilidades administrativas: Alterar propriedades em um recipiente particular. Criar e excluir objetos de um tipo especfico sob uma unidade organizacional, como usurios, grupos ou impressoras. Atualizar propriedades especficas nos objetos de um tipo especfico sob uma unidade organizacional. Por exemplo, voc pode delegar o direito de definir uma senha em um objeto Usurio.
Utilizando o Assistente de Controle de Delegao (Delegation of Control Wizard)

Tarefas para Delegar Controle a Usurios ou Grupos 1. 2. 3. 4. 5. Inicie o Assistente de Controle de Delegao (Delegation of Control Wizard) Selecione os Usurios ou Grupos para os Quais Delegar Controle Atribua Tarefas a Delegar Selecione o Tipo de Objeto do Active Directory Atribua Permisses a Usurios e Grupos
Para atribuir permisses em nvel de OU, utilize o assistente de Controle de Delegao (Delegation of Control Wizard). Voc pode atribuir permisses para gerenciar objetos ou voc pode atribuir permisses para atributos especficos destes objetos. Utilizar o assistente -152-
de Controle de Delegao (Delegation of Control Wizard) o mtodo preferido para delegar controle porque ele reduz a possibilidade de efeitos indesejveis na atribuio de permisses. Para delegar controle administrativo a usurios e grupos, execute as seguintes tarefas: 1. Inicie o assistente de Controle de Delegao (Delegation of Control wizard). a. No Usurios e Computadores do Active Directory (Active Directory Users and Computers), clique na OU para o qual voc quer delegar controle; por exemplo; AUAdmins. b. No menu Ao (Action), clique em Delegar controle (Delegate control) para abrir o assistente. 2. Inicie o assistente de Controle de Delegao (Delegation of Control wizard). Depois que voc abriu o assistente de Controle de Delegao (Delegation of Control wizard), execute o seguinte passo para selecionar usurios ou grupos: Clique em Avanar (Next) para abrir a pgina Usurios e Grupos (Users and Groups), selecione um usurio ou grupo para o qual voc quer atribuir permisses e ento clique em Avanar (Next) para atribuir tarefas a delegar. 3. Atribua tarefas a delegar. O assistente de Controle de Delegao (Delegation of Control Wizard) permite que voc selecione tarefas comuns para delegar ou crie tarefas personalizadas para delegar, executando os seguintes passos: a. Para delegar uma tarefa existente a partir de uma lista de tarefas, clique em Delegar as seguintes tarefas comuns (Delegate the following common tasks). A tabela a seguir descreve as tarefas disponveis. Tarefa comum Criar, excluir e gerenciar contas de usurio (Create, delete and manage user accounts) Redefinir senhas em uma conta de usurio (Reset passwords on a user account) Ler todas as informaes do usurio (Read all user information) Descrio Permite que o usurio ou grupo crie, exclua e modifique contas de usurio e atributos de todas as contas de usurio na UO selecionada. Permite que o usurio ou grupo altere as senhas para todas as contas de usurio na UO selecionada. Permite que o usurio ou grupo visualize todos os atributos dos objetos na UO selecionada. O usurio ou grupo no pode modificar quaisquer informaes. Permite que o usurio ou grupo crie, exclua e modifique contas de grupo e atributos para todas as contas de grupo na UO selecionada. Permite que o usurio ou grupo altere os membros dos grupos na UO selecionada. Permite que o usurio ou grupo adicione, exclua ou modifique vnculos da Diretiva
Criar, excluir e gerenciar grupos (Create, delete and manage groups)
Modificar a participao de um grupo (Modify the membership of a group) Gerenciar vnculos de Diretiva de Grupo (Manage Group Policy links)
-153-
de Grupo da UO selecionada. b. Depois que voc delega uma tarefa comum, finalize o assistente clicando em Avanar (Next) para exibir a pgina Completando o Assistente de Controle de Delegao (Completing the Delegation of Control Wizard). Observao: Voc pode delegar uma tarefa personalizada para usurios ou grupos selecionando Crie uma tarefa comum a delegar (Create a custom task to delegate) e continuando a avanar para as prximas pginas no Assistente de Controle de Delegao (Delegation of Control Wizard). 4. Selecione um tipo de objeto do Active Directory. O Assistente de Controle de Delegao (Delegation of Control Wizard) permite que voc opte por delegar controle de um dos seguintes: Uma UO especfica. O controle de uma UO especfica lhe concede a autoridade sobre todos os objetos existentes na UO e autoridade para criar novos objetos na mesma. Objetos especficos dentro de uma UO. O assistente exibe uma lista de tipos de objeto que voc pode escolher para delegar controle; por exemplo, objetos computador, objetos grupo e objetos impressora. Depois que voc seleciona um tipo de objeto para controlar, clique em Avanar (Next) para continuar. 5. Atribua permisses a usurios ou grupos para o qual voc quer delegar controle. O Assistente de Controle de Delegao (Delegation of Control Wizard) permite que voc selecione os tipos de permisses que voc quer atribuir para a UO e seus objetos, utilizando as seguintes opes de filtro: Geral (General). Exibe as permisses disponveis mais freqentemente utilizadas para a UO selecionada ou para os objetos na UO. Propriedade especfica (Property specific). Exibe todas as permisses de atributo aplicveis ao tipo de objeto. Criao/excluso de objeto filho especfico (Creation/deletion of specific child object). Exibe permisses que so necessrias para criar novos objetos na OU. Depois que voc seleciona as permisses que voc quer atribuir, clique em Avanar (Next) para ir para a pgina Completando o Assistente de Controle de Delegao (Completing the Delegation of Control Wizard) e ento clique em Concluir (Finish) para fechar o assistente.
Orientaes para a Delegao de Controle Administrativo

Atribua Controle em Nvel de OU Utilize o Assistente de Controle de Delegao (Delegation of Control Wizard) Rastreie a Delegao das Atribuies de Permisso Siga as orientaes da empresa para a Delegao de Controle
-154-
Quando voc delega controle administrativo de objetos, voc deve seguir estas orientaes: Atribua controle em nvel de UO sempre que possvel para rastrear mais facilmente as atribuies de permisso. Rastrear as atribuies de permisso se torna mais complexo quando voc atribui permisses para objetos e atributos de objeto especficos. Utilize o Assistente de Controle de Delegao (Delegation of Control Wizard). O assistente simplifica o processo de atribuio de permisses de objeto guiando-o atravs do processo. Rastreie a delegao das atribuies de permisso de forma que voc possa manter registros quando voc precisa revisar configuraes de segurana. Siga as orientaes da sua empresa para efetuar a delegao de controle.
Laboratrio A: Delegando o Controle Administrativo Objetivos

Depois de completar este laboratrio, voc ser capaz de: Visualizar permisses nos objetos do Active Directory. Delegar controle de uma unidade organizacional.
Pr-requisitos
Antes de comear este laboratrio, voc precisa ter: Compreenso das permisses do Active Directory. Conhecimento de como criar usurios.
Configurao do Laboratrio
Para completar este laboratrio, voc precisa do seguinte: Um computador executando o Microsoft Windows Server 2003 Server que estiver configurado como um controlador de domnio. O direito de usurio Efetuar Logon Local (Log On Locally) concedido a todos os usurios. Para conceder este direito, execute o arquivo de lote Lrights.bat a partir da pasta Labfiles.
Exerccio 1: Revisando as Permisses do Active Directory

Cenrio A Northwind Traders est expandindo, ento voc est preparando para modificar a segurana no Active Directory. Antes que voc faa quaisquer alteraes segurana, voc quer verificar a segurana padro no Windows Server 2003, de forma que voc no realize alteraes desnecessrias.
-155-
Objetivo Neste exerccio, voc revisar as configuraes de segurana padres nos componentes do Active Directory. Tarefas 1. Criar os seguintes objetos no Active Directory: UO: Segurana Usurios: Primeiro Nome (First Name): Usurio ltimo Nome (Last Name): Assistente Nome de logon do usurio (User logon name): assistente@domnio.nwtraders.msft Senha: senha Primeiro Nome (First Name): Usurio ltimo Nome (Last Name): Secretrio Nome de logon do usurio (User logon name): secretario@domnio.nwtraders.msft Senha: senha Primeiro Nome (First Name): Redefinir ltimo Nome (Last Name): Senha Nome de logon do usurio (User logon name): redefsenha@domnio.nwtraders.msft Senha: senha Passos Detalhados a. Abra Usurios e Computadores do Active Directory (Active Directory Users and Computers) a partir do menu Ferramentas Administrativas (Administrative Tools). domnio.nwtraders.msft b. Expanda (onde domnio o nome atribudo a seu domnio), se necessrio. c. Clique com o boto direito em domnio.nwtraders.msft, aponte para Novo (New) e ento clique em Unidade Organizacional. d. Na caixa Nome (Name), digite Segurana e ento clique em OK. e. Crie uma conta de usurio na UO Segurana utilizando as seguintes informaes: Primeiro Nome (First Name): Usurio ltimo Nome (Last Name): Assistente Nome de logon do usurio (User logon name): assistente@domnio.nwtraders.msft Senha (senha): senha f. Crie a segunda conta de usurio na UO Segurana utilizando as seguintes informaes: Primeiro Nome (First Name): Usurio ltimo Nome (Last Name): Secretrio Nome de logon do usurio (User logon name): secretario@domnio.nwtraders.msft Senha (senha): senha g. Crie a terceira conta de usurio na UO segurana utilizando as seguintes
-156-
2. Visualizar as permisses padres para a a. UO que voc criou na tarefa 1. Note os resultados. b.
c. d.
informaes: Primeiro Nome (First Name): Redefinir ltimo Nome (Last Name): Senha Nome de logon do usurio (User logon name): redefsenha@domnio.nwtraders.msft Senha (senha): Senha No menu Visualizar (View), clique em Caractersticas Avanadas (Advanced Features). Na rvore do console, clique com o boto direito em Segurana (Security) e ento clique em Propriedades (Properties). Clique na guia Segurana (Security). Na tabela a seguir, liste os grupos que tm permisses para a UO Segurana e liste as permisses que cada grupo recebeu. Se uma conta tem permisses especiais, apenas escreva Permisses Especiais na tabela. Voc precisar consultar estas permisses no prximo exerccio.
Grupo Permisso Porque todas as caixas de verificao de permisso para alguns grupos esto desmarcadas? Quais permisses padres so herdadas do domnio (objeto pai)? Como voc pode saber? 3. Visualize permisses especiais para o a. Na caixa de dilogo Propriedades de grupo Operadores de Conta (Account Segurana (Security Properties), Operators) para a UO Segurana. clique em Avanado (Advanced). Observe os resultados. b. Na caixa de dilogo Configuraes de Controle de Acesso (Access Control Settings), na caixa Entradas de Permisso (Permission Entries), clique em cada entrada para o grupo Operadores de Conta (Account Operators) e Visualizar/Editar -157-
(View/Edit). Que permisses de objeto so concedidas aos Operadores de Conta (Account Operators)? O que os Operadores de Conta (Account Operators) fazem nesta UO? Os objetos dentro desta UO herdam as permisses que so concedidas ao grupo Operadores de Conta (Account Operators)? Por que? 3. (continuao) c. Feche todas as caixas de dilogo abertas e ento efetue o logon.
Exerccio 2: Delegando Controle

Cenrio Voc o Gerente de Tecnologia de Informao (IT, Information Technology) da Northwind Traders. A companhia est crescendo e est ficando mais difcil para voc executar as tarefas dirias para adicionar usurios e gerenciar as UOs. Voc precisa transferir algumas das tarefas administrativas delegando o controle de uma UO a um usurio. Voc tambm precisa delegar a capacidade de redefinir senhas para todo o domnio a um usurio que trabalha no Suporte Tcnico. Objetivo Neste exerccio, voc delegar controle sobre objetos em uma UO. Consulte a tabela que voc completou no exerccio anterior para responder as seguintes questes. Tarefas Passos Detalhados 1. Efetuar o logon como Assistente e a. Efetue o logon como Assistente com a tente visualizar o contedo da OU senha senha. Segurana. b. Abra o Usurios e Computadores do Active Directory (Active Directory Users and Computers) a partir do menu Ferramentas Administrativas (Administrative Tools). c. Na rvore do console, expanda seu domnio se necessrio e ento clique em Segurana (Security). Quais objetos de usurios aparecem na UO Segurana? Que permisses possibilitam que voc visualize estes objetos? (Dica: consulte suas respostas no exerccio anterior.) 2. Tentar alterar os horrios de logon a. No painel de detalhes, clique duas vezes para a conta de usurio Secretrio. no Usurio Secretrio (Secretary User). b. Na caixa de dilogo Propriedades do Usurio Secretrio (Secretary User Properties), na guia Contas (Account), -158-
tente alterar os horrios de logon. Voc foi bem-sucedido? Por que? 2. (continuao) c. Feche Usurios e Computadores do Active Directory (Active Directory Users and Computers) e ento efetue o logoff. 3. Efetuar o logon como Redefsenha e a. Efetue o logon como Redefsenha com a tentar alterar a senha para senha senha. TsInternetUser no recipiente Usurios b. Abra o Usurios e Computadores do (Users). Active Directory (Active Directory Users and Computers) a partir do menu Ferramentas Administrativas (Administrative Tools). c. Na rvore do console, expanda seu domnio se necessrio. d. No recipiente Usurios (Users), clique com o boto direito em TsInternetUser e ento clique em Redefinir Senha (Reset Password). Voc foi bem-sucedido? Por que? 3. (continuao) e. Feche Usurios e Computadores do Active Directory (Active Directory Users and Computers) e ento efetue o logoff. a. Efetue o logon como Administrador com a senha senha. b. Abra Usurios e Computadores do Active Directory (Active Directory Users and Computers) a partir do menu Ferramentas Administrativas (Administrative Tools). c. Na rvore do console, expanda seu domnio seu necessrio. d. Clique com o boto direito em Segurana (Security) e ento clique em Delegar Controle (Delegate Control). e. No assistente de Controle de Delegao (Delegation of Control wizard), clique em Avanar (Next). f. Na pgina Usurios ou Grupos (User or Groups), clique em Adicionar (Add). g. Na caixa de dilogo Selecione -159-
4. Utilizar o Assistente de Controle de Delegao (Delegation of Control Wizard) para a criao, excluso e gerenciamento de contas de usurio na UO Segurana para a conta de usurio Assistente.
h.
i.
j.
5. Utilizar o Assistente de Controle de a. Delegao (Delegation of Control Wizard) para conceder permisses do Active Directory para redefinir senhas no domnio para a conta de usurio Redefinir Senha. b.
c.
d.
e.
f.
Usurios, Computadores ou Grupos (Select Users, Computers, or Groups), clique em Usurio Assistente, clique em Adicionar (Add), clique em OK e ento clique em Avanar (Next). Na pgina Tarefas a Delegar (Tasks to Delegate), clique em Criar, excluir e gerenciar contas de usurio (Create, delete and manage user accounts) e ento clique em Avanar (Next). Na pgina Completando o Assistente de Controle de Delegao (Completing the Delegation of Control Wizard), clique em Concluir (Finish). Deixe Usurios e Computadores do Active Directory (Active Directory Users and Computers) aberto. Na rvore do console, clique com o boto direito em domnio.nwtraders.msft e ento clique em Delegar Controle (Delegate Control). No assistente de Controle de Delegao (Delegation of Control wizard), clique em Avanar (Next). Na pgina Usurios ou Grupos (Users or Groups), clique em Adicionar (Add). Na caixa de dilogo Selecione Usurios, Computadores ou Grupos (Select Users, Computers, or Groups), clique em Redefinir Senha, clique em Adicionar (Add), clique em OK e ento clique em Avanar (Next). Na pgina Tarefas a Delegar (Tasks to Delegate), clique em Criar uma tarefa personalizada para delegar (Create a custom task to delegate) e ento clique em Avanar (Next). Na pgina Tipo de Objeto do Active Directory (Active Directory Object Type), clique em Apenas os seguintes objetos na pasta (Only the following objects in the folder), clique em
-160-
g.
h.
i. 6. Efetuar o logon como Assistente e a. tentar alterar os horrios de logon para a conta Usurio Secretrio. b.
c.
d.
Objetos do usurio (User objects) e ento clique em Avanar (Next). Na pgina Permisses (Permissions), clique em Redefinir Senha (Reset Password) e ento clique em Avanar (Next). Na pgina Completando o Assistente de Controle de Delegao (Completing the Delegation of Control Wizard), clique em Concluir (Finish). Feche todas as janelas abertas e efetue o logoff. Efetue o logon como Assistente com a senha senha. Abra Usurios e Computadores do Active Directory (Active Directory Users and Computers) a partir do menu Ferramentas Administrativas (Administrative Tools). Na rvore do console, expanda seu domnio se necessrio e ento clique em Segurana (Security). Tente alterar os horrios de logon para a conta Usurio Secretrio na UO Segurana.
Voc foi bem-sucedido? Por que? 6. (continuao) e. Tente alterar os horrios de logon para um usurio no recipiente Usurios (Users).
Voc foi bem-sucedido? Por que? 7. Efetuar o logon como Redefsenha e a. Efetue o logon como Assistente com a tentar redefinir a senha para a conta de senha senha. usurio TsInternetUser no recipiente b. Abra Usurios e Computadores do Usurios (Users). Active Directory (Active Directory Users and Computers) a partir do menu Ferramentas Administrativas (Administrative Tools). c. Na rvore do console, expanda seu domnio se necessrio e ento clique em Usurios (Users). d. Tente redefinir a senha para a conta TsInternetUser no recipiente Usurios (Users). -161-
Voc foi bem-sucedido? Por que? 8. Tentar alterar os horrios de logon a. Na rvore do console, clique em para a conta Usurio Secretrio na UO Segurana (Security). Segurana. b. Tente alterar os horrios de logon para a conta de usurio Usurio Secretrio. Voc foi bem-sucedido? Por que? 8. (continuao) c. Feche Usurios e Computadores do Active Directory (Active Directory Users and Computers) e ento efetue o logoff.
Personalizando Consoles MMC

Criando Consoles MMC Personalizados Distribuindo Consoles MMC Personalizados Instalando Snap-ins do Windows Server 2003
O Windows Server 2003 fornece ferramentas personalizadas para administrar o Active Directory. Voc pode criar ferramentas administrativas personalizadas para: Mapear as permisses que foram atribudas a um usurio para uma tarefa administrativa. Simplificar a rea de trabalho para os usurios com privilgios administrativos limitados. Voc pode criar consoles MMC personalizados que satisfaam suas responsabilidades administrativas ou as responsabilidades de outros administradores. Estes consoles personalizados permitem que voc controle as opes disponveis a grupos para os quais voc delegou responsabilidades administrativas restringindo o acesso a operaes especficas dentro do console personalizado. Alm de criar consoles personalizados, voc pode precisar instalar as Ferramentas Administrativas (Administrative Tools) do Windows Server 2003, que contm os snap-ins necessrios para executar os consoles personalizados que voc cria.
Criando Consoles MMC Personalizados

Tarefas Para Personalizar Consoles MMC 1. 2. 3. 4. 5. Abra o MMC Adicione e configure os snap-ins necessrios no console MMC Configure o modo de console MMC Configure a visualizao do console MMC Salve o console MMC
Para Evitar que um Console Seja Alterado, No Atribua as Permisses NTFS Gravar (Write) ao Arquivo -162-
Personalizar um console MMC permite que voc crie consoles que satisfaam as responsabilidades dos administradores. Assim, depois que voc delega controle administrativo, voc pode garantir que os administradores tenham apenas as ferramentas administrativas que eles precisam para executar seus trabalhos. Voc tambm pode personalizar um console para satisfazer suas prprias necessidades administrativas. Por exemplo, voc pode criar um console que contenha todos os snap-ins que voc utiliza tipicamente para executar uma tarefa ou um conjunto de tarefas relacionadas, como tarefas para a administrao de uma UO. Tarefas para Personalizar Consoles MMC Para personalizar um console MMC, execute as seguintes tarefas: 1. Abra o MMC digitando mmc na caixa Executar (Run) e ento clicando em OK. 2. Adicione os snap-ins e extenses que voc requer utilizando a caixa de dilogo Adicionar/Remover Snap-ins (Add/Remove Snap-ins). 3. Abra a caixa de dilogo Opo (Option) e clique na guia Console. Selecione um dos seguintes modos: Modo autor (Author mode). Utilize este modo se voc quer que outros administradores sejam capazes de modificar facilmente o console conforme suas responsabilidades administrativas alteram. Modo usurio (User mode). Utilize este modo se voc quer limitar a habilidade de que outros administradores modifiquem o console. Voc pode determinar a quantidade da rvore do console para a qual o usurio pode obter acesso e, ento, as tarefas que o usurio pode executar. Para evitar que o MMC solicite aos usurios salvar o console depois de cada utilizao, abra a caixa de dilogo Opo (Option) e ento clique em No salvar alteraes a este console (Do not save changes to this console) na guia Console. 4. Configure a visualizao do console MMC. Voc pode controlar as partes do console para o qual o usurio pode obter acesso removendo a rvore e as barras de ferramentas do console. Voc pode configurar estas no menu Exibir (View) do console. 5. Salve o console MMC. Modificando o Console Personalizado Independente de voc salvar um console MMC no modo Autor (Author) ou Usurio (User), voc ainda pode modific-lo abrindo-o no modo Autor. Para abrir um console no modo Autor: Clique com o boto direito no console e ento clique em Author. A nica forma de evitar alteraes aos consoles personalizados no atribuir a permisso Gravar (Write) do sistema de arquivos NTFS ao arquivo .msc. Dica: Se voc configura um console MMC personalizado no modo Usurio, garanta que voc tambm tem uma verso que voc salvou no modo Autor de forma que voc possa realizar modificaes facilmente se necessrio. -163-
Observao: Para mais informaes sobre consoles MMC, consulte Microsoft Management Console: Viso Geral (Microsoft Management Console: Overview) sob Leitura Adicional (Additional Reading) na pgina da Web no CD Materiais do Aluno (Student Materials).
Distribuindo Consoles MMC Personalizados

Can Can Prevent Prevent Changes Changes E-Mail Shared Folder
Group Policy
To To Use Use a a Distributed Distributed MMC MMC Console: Console:

z z The The Administrator Administrator must must have have the the Read Read
permission permission for for the the console console
z z Snap-ins Snap-ins must must be be installed installed on on all all
computers computers where where the the administrator administrator uses uses the the console console
Voc pode utilizar os seguintes mtodos para distribuir centralmente consoles MMC personalizados: Enviar o arquivo de console atravs de e-mail como voc enviaria qualquer arquivo. Esta a forma mais rpida de distribuir um arquivo de console. Entretanto, voc no pode evitar que o administrador altere o arquivo mediante sua recepo. Coloque o arquivo de console em uma pasta compartilhada em um servidor de rede. A vantagem deste mtodo que o arquivo de console acessvel a partir de qualquer computador na rede. Alm disto, voc pode utilizar permisses do sistema de arquivo NTFS para evitar que os administradores alterem o arquivo de console. Empacotar o arquivo de console para distribuio de forma que voc possa distribui-lo utilizando a Diretiva de Grupo. Este mtodo garante que um administrador sempre tenha acesso ao console personalizado, mas no evita que o administrador altere o arquivo mediante sua recepo.
Para que um administrador utilize com sucesso um console MMC que voc distribui, as seguintes condies devem ser satisfeitas: O administrador deve ter ao menos a permisso Ler (Read) para o arquivo de console. Todos os snap-ins que o console referencia devem estar instalados nos computadores nos quais o administrador utiliza o console. -164-
Observao: Para mais informaes sobre a distribuio de software utilizando a Diretiva de Grupo, consulte o mdulo 9, Utilizando a Diretiva de Grupo para Gerenciar Software (Using Group Policy to Manage Software).
Instalando Snap-ins do Windows Server 2003
Install Install
Windows 2000 Administration Tools (Adminpak.msi)
Administer Administer
Windows 2000 Professional
Snap-ins: Esto contidos nas ferramentas administrativas do Windows Server 2003 So exigidos para a administrao remota a partir de um computador cliente executando o Windows Server 2003 Professional
As Ferramentas Administrativas (Administrative Tools) so um conjunto completo de todos os snap-ins, que fazem parte do Windows Server 2003 Server. Voc deve instalar estes snap-ins para executar a administrao de rede remotamente a partir de um computador cliente executando o Windows Server 2003 Professional. O Windows Server 2003 tem apenas os snap-ins necessrios para executar tarefas administrativas rotineiras no computador cliente. Mesmo se um administrador tem um console MMC para utilizar em um computador cliente, o console intil sem os snap-ins necessrios instalados neste computador. Para instalar as Ferramentas Administrativas (Administrative Tools) do Windows Server 2003, utilize o assistente de Configurao das Ferramentas de Administrao do Windows Server 2003 (Windows Server 2003 Administration Tools Setup Wizard) como a seguir: 1. No Painel de Controle, clique em Adicionar/Remover Programas (Add/Remove Programs) e ento clique em Adicionar (Add). 2. O Assistente de Configurao das Ferramentas de Administrao do Windows Server 2003 (Windows Server 2003 Administration Tools Setup wizard) guia voc atravs do processo de seleo do modo de instalao. 3. Voc deve fornecer a localizao do arquivo Adminpak.msi. Voc pode obter este arquivo: A partir de um computador executando o Windows Server 2003 Server em systemroot\System32. A partir do CD do Windows Server 2003 Server. -165-
Configurando Blocos de Tarefas (Taskpads)

O que um Bloco de Tarefas? Criando e Configurando um Bloco de Tarefas Adicionando Tarefas em um Bloco de Tarefas
Um bloco de tarefas (taskpad) uma ferramenta administrativa que voc configura para sub-administradores e usurios cujas responsabilidades de trabalho primrias no incluem a administrao da rede. Depois que voc delega tarefas administrativas, configure um bloco de tarefas que fornea ao administrador ou ao usurio a capacidade de executar as tarefas especficas para o qual eles so responsveis. Para configurar blocos de tarefas, voc deve criar um console MMC personalizado, criar um bloco de tarefas dentro do console e ento definir as tarefas especficas que o usurio pode executar.
O que um Bloco de Tarefas?

Um Bloco de Tarefas: uma Ferramenta Administrativa Personalizada Contm Tarefas Que So Atalhos Para Comandos Especficos em um Console MMC Fornece Vantagens Facilita para que usurios novatos executem seus trabalhos Torna tarefas complexas mais fceis
Uma tarefa uma melhor personalizao de um console MMC. Um bloco de tarefas criado para adicionar atalhos para funes que existem tanto dentro como fora de um determinado console. Cada tarefa criada em um bloco de tarefas um atalho para uma tarefa ou comando administrativo especfico em um snap-in MMC. Voc pode utilizar estes atalhos para executar tarefas como iniciar assistentes, abrir pginas de propriedades, executar comandos do menu, executar linhas de comando e abrir pginas da Web. Voc pode configurar a visualizao de um bloco de tarefas de forma que este contenha todas as tarefas que um determinado usurio pode precisar. Alm disto, voc pode criar mltiplas visualizaes de blocos de tarefas em um console, de forma que voc possa agrupar tarefas por funo ou por usurio. As vantagens de criar um bloco de tarefas so: Um bloco de tarefas facilita para que usurios novatos executem suas tarefas. Por exemplo, voc pode adicionar tarefas aplicveis a uma visualizao de bloco de tarefas e depois esconder a rvore do console, de forma que os usurios possam comear a utilizar ferramentas antes que estejam familiarizados com a localizao de itens particulares na rvore do console ou sistema operacional. Um bloco de tarefas torna as tarefas complexas mais fceis ocultando a complexidade do MMC. Por exemplo, se um usurio deve executar freqentemente uma tarefa que -166-
envolva mltiplos snap-ins, em uma nica localizao, voc pode apresentar tarefas que abram ou executem as caixas de dilogo, pginas de propriedades, linhas de comando e scripts necessrios. O bloco de tarefas pode conter vrios elementos que facilitem a sua utilizao: Ao menos um boto para cada atalho para uma tarefa. Uma lista de itens que aparecem no painel de detalhes do console MMC para o qual o bloco de tarefas foi criado. Usurios executam a tarefa nestes itens. O boto Alterar (Change). Este boto permite que o usurio selecione itens diferentes na rvore do console para administrar. Importante: Para utilizar uma tarefa do bloco de tarefas com sucesso, um usurio deve ter as permisses apropriadas para executar a tarefa para o qual o bloco de tarefas designado.
Criando e Configurando um Bloco de Tarefas

1. 2. 3. 4. Crie um console MMC personalizado Crie um bloco de tarefas Configure uma tarefa no bloco de tarefas Personalize a visualizao do bloco de tarefas
Voc cria um bloco de tarefas utilizando o assistente de Criao de Bloco de Tarefas (Taskpad Creation Wizard) e depois personaliza tarefas utilizando o assistente de Criao de Tarefas (Task Creation wizard). Para criar um bloco de tarefas, execute os seguintes passos: 1. Crie um console MMC e adicione o snap-in necessrio. 2. Crie um bloco de tarefas utilizando o assistente de Criao de Bloco de Tarefas (Taskpad Creation wizard). Para abrir o assistente de Criao de Bloco de Tarefas (Taskpad Creation wizard), clique com o boto direito no item na rvore do console para o qual a tarefa se aplica e ento clique em Novo Bloco de Tarefas (New Taskpad). O assistente o guia atravs dos processos de definio da aparncia, nome e descrio do bloco de tarefas e do item na rvore do console para o qual o bloco de tarefas se aplica. 3. Configure uma tarefa utilizando o assistente de Criao de Tarefas (Task Creation wizard). O assistente de Criao de Tarefas (TaskCreation wizard) discutido no tpico Adicionando Tarefas em um Bloco de Tarefas. 4. Personalize o bloco de tarefas removendo a rvore do console e alterando o console para o modo Usurio (User). Para remover a rvore do console, no menu Exibir (View), clique em Personalizar (Customize) e ento desmarque a caixa de verificao rvore do Console (Console Tree).
Adicionando Tarefas em um Bloco de Tarefas

Voc pode criar tarefas em blocos de tarefas para usurios que tm responsabilidades administrativas limitadas. Desta forma, os usurios no tm que utilizar a interface do console MMC para completar suas tarefas administrativas. Cada tarefa no bloco de tarefas um atalho para um comando no console MMC. Estes so os mesmos comandos que esto -167-
disponveis quando voc clica com o boto direito em um item na rvore do console ou no painel de detalhes.
Launch Launcha ashortcut shortcutmenu menu command command New -> User Associate Associatewith withan anitem itemin in the console tree the console tree contoso.msft Accounting Builtin Computers Domain Controllers Human Resources Sales Disable Account Associate Associatewith withan anitem itemin in the details pane the details pane Manila Kim Yoshida Luis Bonifaz
Para configurar uma tarefa que corresponda a um comando do menu de atalho, voc utiliza o assistente de Criao de Tarefas (Task Creation wizard) para iniciar e selecionar uma das seguintes opes: rvore do console (Console tree). Esta opo permite que voc selecione um item na rvore do console e um comando que um usurio pode executar neste item. Por exemplo, voc pode selecionar uma UO na rvore do console e ento selecionar um comando disponvel para a UO, como a criao de novas contas de usurio. O usurio do bloco de tarefas pode criar contas de usurio apenas nesta UO. Listar no painel de detalhes (List in the details pane). Esta opo permite que voc selecione um item que aparece no painel de detalhes e ento selecione um comando que o usurio pode executar no item. Por exemplo, voc pode selecionar uma conta de usurio em uma UO e ento selecionar um comando disponvel para este tipo de objeto, como redefinir senhas. Os usurios do bloco de tarefas podem ento redefinir senhas para qualquer conta de usurio que eles selecionam no painel de detalhes para esta UO. Esta opo no est disponvel se voc selecionou a opo autnomo no assistente de Criao de Tarefas (Task Creation wizard) ao criar o bloco de tarefas.
Observao: Voc tambm configura uma tarefa que executa um aplicativo a partir do prompt de comando; por exemplo, arquivos de lote e scripts. Um usurio pode ento executar um aplicativo clicando em um cone de tarefa ao invs de digitar um comando na linha de comando. Voc deve fornecer o comando e quaisquer argumentos que forem requeridos.
-168-
Laboratrio B: Criando Ferramentas Administrativas Personalizadas Objetivos

Depois de completar este laboratrio, voc ser capaz de: Criar ferramentas administrativas personalizadas utilizando o Gerenciamento da Microsoft (MMC, Microsoft Management Console). Criar blocos de tarefas personalizados. Console de
Pr-requisitos
Antes de comear este laboratrio, voc precisa ter: Conhecimento de como utilizar os snap-ins includos com o Windows Server 2003. Conhecimento do MMC. Conhecimento de como utilizar o Usurios e Computadores do Active Directory (Active Directory Users and Computers) para modificar propriedades de conta de usurio.
Configurao do Laboratrio
Para completar este laboratrio, voc precisa de um computador executando o Windows Server 2003 Server configurado como um controlador de domnio.
Exerccio 1: Criando Ferramentas Administrativas Personalizadas

Cenrio Agora que voc delegou o controle administrativo da UO Segurana ao Usurio Assistente, voc precisa criar ferramentas administrativas personalizadas que permitiro que este usurio execute as funes de trabalho delegadas. Objetivo Neste exerccio, voc criar uma ferramenta administrativa personalizada para o Usurio Assistente que permitiro que o usurio gerencie contas de usurio na UO Segurana. Tarefas 1. Criar um console MMC personalizado que contenha o snap-in Usurios e Computadores do Active Directory (Active Directory Users and Computers) para a conta Usurio Assistente. Passos Detalhados a. Efetue o logon como Administrador com a senha senha. b. Na caixa Executar (Run), digite mmc.exe e ento clique em OK. c. No menu Console, clique em Adicionar/Remover Snap-in (Add/Remove Snap-in). d. Na caixa de dilogo Adicionar/Remover Snap-in (Add/Remove Snap-in), clique em Adicionar (Add). e. Na caixa de dilogo Adicionar Snap-169-
2. Criar uma nova janela no console que a. exiba apenas o contedo da UO Segurana e feche a janela Raiz do Console (Console Root) original.
b.
3. Criar um novo bloco de tarefas com a. as seguintes propriedades: Estilo para o painel de detalhes: Lista horizontal. Estilo para descries de tarefa: InfoTip. b. Tamanho da lista: Pequeno. Aplicar esta visualizao de Bloco de Tarefas para: Item da rvore selecionado. Nome: Gerenciamento dos c. Usurios da UO Segurana Descrio: Ferramenta para Gerenciar Contas de Usurio d.
e.
f.
in Autnomo (Add Standalone Snap-in), clique em Usurios e Computadores do Active Directory (Active Directory Users and Computers), clique em Adicionar (Add), clique em Fechar (Close) e ento clique em OK. Na rvore do console, expanda Usurios e Computadores do Active Directory (Active Directory Users and Computers), expanda seu domnio, clique com o boto direito em Segurana (Security) e ento clique em Nova Janela a Partir Daqui (New Windows from Here). No menu Janela (Window), clique em 1 Raiz do Console (1 Console Root) e ento feche a janela da raiz do console. Na rvore do console, clique com o boto direito em Segurana (Security) e ento clique em Nova Visualizao de Bloco de Tarefas (New Taskpad View). Na pgina Bem-vindo ao Assistente de Visualizao de Novo Bloco de Tarefas (Welcome to the New Taskpad View Wizard), clique em Avanar (Next). Na pgina Exibio do Bloco de Tarefas (Taskpad Display), na lista Tamanho da lista (List size), clique em Pequeno (Small) e ento clique em Avanar (Next). Na pgina Destino do Bloco de Tarefas (Taskpad Target), clique em Selecionar item da rvore (Select tree item) e ento clique em Avanar (Next). Na pgina Nome e Descrio (Name and Description), na caixa Nome (Name), digite Gerenciamento de Usurios da UO Segurana. Na caixa Descrio (Description), digite Ferramenta para Gerenciar Contas de Usurio e ento clique em
-170-
g.
4. Adicionar os seguintes comandos do a. menu ao novo bloco de tarefas: Desativar Conta (Disable Account). Redefinir senha (Reset password). b. Excluir (Delete). Propriedades (Properties).
c.
d.
e.
f.
g.
Avanar (Next). Na pgina Completando o Assistente de Visualizao de Novo Bloco de Tarefas (Completing the New Taskpad View Wizard), garanta que o assistente Iniciar Nova Tarefa (Start New Task) esteja selecionado e ento clique em Concluir (Finish). Na pgina Bem-vindo ao Assistente de Nova Tarefa (Welcome to the New Task Wizard), clique em Avanar (Next). Na pgina Tipo de Comando (Command Type), garanta que Comando do menu (Menu command) esteja selecionado e ento clique em Avanar (Next). Na pgina Comando do Menu de Atalho (Shortcut Menu Command), na lista Origem do comando (Command source), garanta que Listar no painel de detalhes (List in details pane) esteja selecionado, sob Comandos disponveis (Available commands), clique em Desativar Conta (Disable Account) e ento clique em Avanar (Next). Na pgina Nome e Descrio (Name and Description), aceite o nome e a descrio da tarefa padres clicando em Avanar (Next). Na pgina cone da Tarefa (Task Icon), selecione um cone e ento clique em Avanar (Next). Na pgina Completando o Assistente de Nova Tarefa (Completing the New Task Wizard), clique em Executar este assistente novamente (Run this wizard again) e ento clique em Concluir (Finish). Repita os passos de a at f, alterando o passo c conforme necessrio para adicionar as seguintes tarefas ao bloco de tarefas: Redefinir senha (Reset password) Excluir (Delete)
-171-
h.
5. Adicionar a tarefa ao bloco de tarefas a. que permite a criao de novas contas de usurio.
b.
c.
d.
e.
f.
g.
h.
Propriedades (Properties) Depois de adicionar a tarefa Propriedades (Properties), na pgina Completando o Assistente de Nova Tarefa (Completing the New Task Wizard), garanta que Executar este assistente novamente (Run this wizard again) no esteja selecionado e ento clique em Concluir (Finish). Na rvore do console, clique com o boto direito em Segurana (Security) e ento clique em Editar Visualizao do Bloco de Tarefas (Edit Taskpad View). Na caixa de dilogo Propriedades de Gerenciamento dos Usurios da UO Segurana (Gerenciamento dos Usurios da UO Segurana Properties), na guia Tarefas (Tasks), clique em Nova (New). Na pgina Bem-vindo ao Assistente de Nova Tarefa (Welcome to the New Task Wizard), clique em Avanar (Next). Na pgina Tipo de Comando (Command Type), garanta que Comando do menu (Menu command) esteja selecionado e ento clique em Avanar (Next). Na pgina Comando do Menu de Atalho (Shortcut Menu Command), na lista Origem do comando (Command source), clique em Tarefa de item da rvore (Tree item task). Sob Comandos disponveis (Available commands), clique em Novo -> Usurio (New -> User) e ento clique em Avanar (Next). Na pgina Nome e Descrio (Name and Description), aceite o nome e a descrio da tarefa padres clicando em Avanar (Next). Na pgina cone da Tarefa (Task Icon), selecione um cone e ento clique em Avanar (Next).
-172-
6. Modificar as seguintes propriedades do console: Ocultar a rvore do console. Remover os menus padres. Remover a barra de ferramentas padro. Remover a barra de status. Remover as guias de navegao do Bloco de Tarefas. Remover os menus do snap-in. Remover barras de ferramentas do snap-in. Nome do console: Gerenciamento dos Usurios da OU Segurana. Modo do console: Modo usurio acesso limitado, nica janela (User mode limited access, single window). Desabilitar menus de contexto em blocos de tarefas. No permitir alteraes nestes console. No permitir que os usurios personalizem visualizaes. Salvar o console na pasta All Users\Administrative Tools como Gerenciamento dos Usurios da UO Segurana.
i. Na pgina Completando o Assistente de Nova Tarefa (Completing the New Task Wizard), clique em Concluir (Finish). j. Clique em OK para fechar a caixa Propriedades de Gerenciamento dos Usurios da UO Segurana (Gerenciamento dos Usurios da OU Segurana Properties). a. No menu Exibir (View), clique em Personalizar (Customize). b. Na caixa de dilogo Personalizar Exibio (Customize View), desmarque todas as caixas de verificao e ento clique em OK. c. No menu Console, clique em Opes (Options). d. Altere o nome do console para Gerenciamento dos Usurios da OU Segurana. e. Na lista Modo do console (Console mode), clique em Modo usurio acesso limitado, nica janela (User mode limited access, single window). f. Desmarque as caixas de verificao Habilitar menus de contexto em blocos de tarefas neste console (Enable context menus on taskpads in this console) e Permitir que o usurio personalize visualizaes (Allow the user to customize views). g. Escolha No salvar alteraes neste console (Do not save changes to this cnosole) e ento clique em OK. h. Salve o console em Documents and Settings\All Users\Menu Iniciar\Programas\Ferramentas Administrativas (Documents and Settings\All Users\Start Menu\Programa\Administrative Tools) como Gerenciamento dos Usurios da OU Segurana. i. Feche o console e ento efetue o logoff. -173-
Exerccio 2: Utilizando um Console Administrativo Personalizado

Cenrio O administrador da rede criou uma ferramenta administrativa personalizada para o Usurio Assistente para ajudar este usurio a executar tarefas de gerenciamento de contas de usurio na OU Segurana. Objetivo Neste exerccio, voc efetuar o logon como Usurio Assistente e utilizar a ferramenta administrativa personalizada para gerenciar contas de usurio na UO Segurana. Tarefas 1. Efetuar o logon como Assistente e executar as seguintes tarefas de gerenciamento de usurios utilizando a ferramenta Gerenciamento dos Usurios da UO Segurana: Criar um novo usurio. Desativar a conta Redefinir Senha. Redefinir a senha para a conta Usurio Secretrio. Entrar com um endereo para a conta Usurio Secretrio. Excluir a nova conta de usurio. Passos Detalhados a. Efetue o logon como Assistente com a senha senha. b. Abra Gerenciamento dos Usurios da UO Segurana a partir do menu Ferramentas Administrativas (Administrative Tools). c. Utilizando a ferramenta Gerenciamento dos Usurios da UO Segurana, execute as seguintes tarefas de gerenciamento: Crie um novo usurio. Desative a conta Redefinir Senha. Redefina a senha para a conta Usurio Secretrio. Entre com um endereo para a conta Usurio Secretrio. Exclua a nova conta de usurio. 2. Tentar acessar o menu de atalho para a. Clique com o boto direito em uma uma das contas de usurio. das contas de usurio e tente exibir o menu de atalho. Voc foi capaz de acessar o menu de atalho para a conta de usurio? Por que? 2. (continuao) b. Feche a ferramenta Gerenciamento dos Usurios da UO Segurana e ento efetue o logoff.
-174-
Prticas Recomendadas
Utilize Permisses de Negao Criteriosamente Assegure que Usurios Delegados Completem as Tarefas Delegadas Treine os Usurios Que Tenham Controle dos Objetos Adicione Consoles Personalizados Mais Utilizados ao Menu Iniciar (Start) Salve Cpias de Seus Consoles Personalizados em uma Pasta Compartilhada Delegue a Grupos e Adicione Usurios Especficos a Estes Grupos
A seguinte lista fornece as prticas recomendadas para a delegao de controle administrativo. Utilize permisses Negar (Deny) criteriosamente. Se voc atribui permisses corretamente, voc no precisa negar permisses. Na maioria dos casos, permisses de negao indicam enganos que foram feitos na atribuio de participaes em grupo. Negar permisses tambm pode dificultar o rastreamento das mesmas. Garanta que usurios delegados tomem responsabilidade e que as tarefas sejam completadas. Como administrador, voc no final das contas o responsvel pela execuo das tarefas delegadas. Fornea treinamento aos usurios que tenham controle delegado de objetos. O treinamento garante que os usurios que voc delegou responsabilidade entendam suas responsabilidades e saibam como executar as tarefas administrativas. Adicione consoles MMC personalizados que voc mais usa ao menu Iniciar (Start) do computador que voc tipicamente utiliza para administrao, de forma que voc possa obter acesso rapidamente aos consoles quando precisar utiliz-los. Se voc executa tarefas administrativas a partir de mltiplos computadores, ou administra remotamente, salve uma cpia de cada um de seus consoles MMC personalizados em uma pasta compartilhada. Desta forma, voc pode obter acesso facilmente a seus consoles a partir de qualquer computador que tenha os snap-ins necessrios instalados. recomendado delegar a grupos ao invs de usurios especficos. Voc pode ento adicionar os usurios especficos aos grupos com as permisses necessrias.
-175-
Reviso
Segurana de Objeto no Active Directory Controlando o Acesso aos Objetos do Active Directory Delegando Controle Administrativo dos objetos do Active Directory Personalizando consoles MMC Configurando Blocos de Tarefas Melhores Prticas
1. Como o Windows Server 2003 determina quem tem permisso de obter acesso aos objetos do Active Directory e o tipo de acesso que permitido? 2. Voc quer atribuir a um assistente administrativo as permisses necessrias para redefinir senhas para todas as contas de usurio em uma nica UO. Qual a melhor forma de fazer isto? 3. Ao delegar controle administrativo dos objetos, porque um administrador atribuiria controle em nvel de UO sempre que possvel? 4. Voc personaliza um console MMC e o fornece aos administradores para utilizarem em seus computadores cliente executando o Windows Server 2003 Professional. O que eles devem fazer antes que possam utilizar com sucesso o console? 5. Um assistente em Marketing tem apenas uma responsabilidade administrativa, que redefinir senhas para usurios. Voc no quer que o assistente utilize o Usurios e Computadores do Active Directory (Active Directory Users and Computers) para esta nica tarefa. O que voc deve fazer?
-176-

06 Delegando Controle Administrativo

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

06 Delegando Controle Administrativo

Enviado por

Direitos autorais:

Formatos disponíveis

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Segurana dos Objetos no Active Directory

Mdulo 6: Delegando Controle Administrativo

Componentes de Segurana do Active Directory

Mdulo 6: Delegando Controle Administrativo

Listas de Controle de Acesso Discricionrias e de Sistema

Mdulo 6: Delegando Controle Administrativo

Entradas de Controle de Acesso

Mdulo 6: Delegando Controle Administrativo

Parent Parent Object Object

DACLs Are Inherited by Child Objects

Users Assigned Access Permission for Parent Object

Mdulo 6: Delegando Controle Administrativo

Local Local Security Security Subsystem Subsystem

Ticket Ticket Ticket Ticket Kerberos Kerberos Service Service

Global Catalog Server

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Sinais de Acesso (Access tokens)

Mdulo 6: Delegando Controle Administrativo

Como o Windows Server 2003 Concede Acesso aos Recursos

Security Security Subsystem Subsystem

Mdulo 6: Delegando Controle Administrativo

Controlando o Acesso os Objetos do Active Directory

Permisses do Active Directory

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Controlando a Herana das Permisses

Mdulo 6: Delegando Controle Administrativo

Definindo Permisses do Active Directory

Allow Full Control

Standard Standard Permissions Permissions Special Special Permissions Permissions

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Alterando a Propriedade do Objeto

Mdulo 6: Delegando Controle Administrativo

Delegando Controle Administrativo dos objetos do Active Directory

Viso Geral da Delegao de Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Domain OU1 Admin1 Admin2

Utilizando o Assistente de Controle de Delegao (Delegation of Control Wizard)

Mdulo 6: Delegando Controle Administrativo

Criar, excluir e gerenciar grupos (Create, delete and manage groups)

Mdulo 6: Delegando Controle Administrativo

Orientaes para a Delegao de Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Laboratrio A: Delegando o Controle Administrativo Objetivos

Exerccio 1: Revisando as Permisses do Active Directory

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Exerccio 2: Delegando Controle

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Personalizando Consoles MMC

Criando Consoles MMC Personalizados

Mdulo 6: Delegando Controle Administrativo

Mdulo 6: Delegando Controle Administrativo

Distribuindo Consoles MMC Personalizados

To To Use Use a a Distributed Distributed MMC MMC Console: Console:

permission permission for for the the console console