Modulo3 Windows

Tecnologia de Redes de Computadores Prof. Gutemberg L.
Medeiros
Professor: Gutemberg L. Medeiros

Carga horria: 360 horas Terminalidade: Administrador de Redes
Bases Tecnolgicas Projeto de Redes Sistemas Operacionais de Redes Administrao de Servios de Redes Semanas
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Base Tecnolgica: Projeto de Redes Estratgia Pedaggica: aulas tericas e oficinas Subcompetncias e Habilidades: Compreender e descrever as arquiteturas de redes; Conhecer os modelos de referncia das arquiteturas de rede; Identificar padres de comunicao e saber reconhecer as implicaes de sua utilizao no ambiente de rede; Conhecer as caractersticas dos meios fsicos de redes disponveis; Conhecer os dispositivos de comunicao; Elaborar projetos de redes locais; Propor e descrever componentes de redes; Conhecer os meios de comunicao em uma empresa e suas aplicaes; Adequar a estrutura de redes ao ambiente fsico. Base Tecnolgica: Sistemas Operacionais de Redes Estratgia Pedaggica: aulas tericas, demonstrativas e prticas Subcompetncias e Habilidades: Conhecer e utilizar os sistemas operacionais de redes; Conhecer e utilizar os servios dos sistemas operacionais de rede; Instalar e configurar servidores e sistemas operacionais de redes; Especificar o sistema operacional de rede de acordo com as necessidades do cliente; Estabelecer a lgica de controle e acesso ao sistema operacional, de acordo com as caractersticas especficas da empresa/organizao; Conhecer e utilizar os servios de segurana de dados. Base Tecnolgica: Administrao de Servios de Redes Estratgia Pedaggica: aulas tericas, demonstrativas e prticas Subcompetncias e Habilidades: Conhecer e utilizar os recursos de administrao de servios dos sistemas de informao em redes; Aplicar tcnicas de gerenciamento de recursos do sistema operacional; Aplicar tcnicas e ensaios, visando a monitorao do desempenho de redes e a manuteno dos seus servios; Conhecer e utilizar recursos de segurana de dados
http://gmedeiros.net 1
Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros
I. II. III. a. b. c. d. e. f. g. h. i. j. k. IV. V. VI. VII.
Os sistemas operacionais Windows 2000 Instalao e configurao o Windows 2000 Server Administrando o Windows 2000 Server Capitulo 1 Introduo administrao de redes Windows 2000 Capitulo 2 Configurando contas de usurios Capitulo 3 Contas de grupos Capitulo 4 Administrando contas de usurios e de grupos Capitulo 5 Gerenciando controladores de domnio Capitulo 6 Permisses de recursos compartilhados Capitulo 7 Permisses de recursos compartilhados em NTFS Capitulo 8 Auditoria Capitulo 9 Monitoramento Capitulo 10 Backup e restaurao de dados Capitulo 11 -Ferramentas utilizadas pelo administrador Active Directory DHCP Server Servio de NAT no RRAS (Servio de Roteamento e Acesso Remoto) Perfis do usurios em redes Windows
http://gmedeiros.net
Clustering O Windows 2000 fornece a capacidade de grupos de computadores independentes executarem juntos uma configurao comum de aplicaes. Este agrupamento aparece como um nico sistema para os clientes e aplicaes. Assim um agrupamento chamado de clustering, e os grupos de computadores so chamados de clusters. Este arranjo de computadores permite um nico ponto de falha. Se um computador falhar , outro computador no grupo fornece os mesmos servios em seu lugar. Caractersticas do Sistema de Arquivo O sistema de arquivo NTFS o sistema de arquivo recomendado para se usar com o Windows 2000. O Windows 2000 fornece os seguintes recursos atravs do suporte ao NTFS: . . . . . Recuperao de sistema de arquivo Grande tamanho de partio Segurana Quantidade determinada de disco Compresso
Nota: Voc tambm pode usar os sistemas de arquivos FAT (File Allocation Table) e FAT32 com o Windows 2000. Qualidade de Servios (QoS) No Windows 2000, a Qualidade de Servio (QoS) uma configurao de exigncia de servio que a rede deve encontrar para assegurar um nvel de servio adequado para a transmisso de dados. Usando o QoS, voc pode controlar como o largura de banda da rede alocada para as aplicaes. O QoS fornece um sistema de entrega expresso garantido para informaes atravs da rede.
Servios Terminais Os servios terminais fornecem acesso remoto para um servidor desktop atravs de um emulador de terminal. Um emulador de terminal uma aplicao que permite a voc acessar um computador remoto como se voc estivesse fisicamente nele. Usando os Servios Terminais, voc pode executar aplicaes clientes no servidor para que os computadores clientes funcionem como terminais especialmente como sistemas independentes. Usando os Servios Terminais, voc pode reduzir o custo total de operao da sua rede. Voc pode distribuir aplicaes baseadas no Windows para computadores clientes que normalmente no so capazes de executar o Windows. Voc tambm pode usar os Servios Terminais para administrar seu servidor de qualquer lugar na rede.
Servios de Instalao Remota Os Servios de Instalao Remota (RIS Remote Installation Services) permite que um administrador desenvolva um sistema operacional para toda a organizao, sem a necessidade de visitar fisicamente cada computador cliente. O RIS um componente opcional que est disponvel como parte do sistema operacional Windows 2000 Server.
Verses do Windows 2000
O Windows 2000 consiste de quatro sistemas operacionais: Windows 2000 Professional, Windows 2000 Server, Windows 2000 Advanced Server e Windows 2000 Datacenter Server. Windows 2000 Professional O Windows 2000 Professional um sistema operacional desktop que incorpora as melhores caractersticas de negcio do Windows 98 e construdo na tradicional fora do Microsoft Windows NT verso 4.0. O Windows 2000 Professional inclui uma interface de usurio simplificada, funcionalidade Plug and Play aumentada, poder de gerenciamento e suporte para uma grande quantidade de dispositivos de hardware. Ele suporta sistemas SMP com dois processadores e 4 GB de memria fsica.
Windows 2000 Server O Windows 2000 Server a edio padro da famlia de servidores do Windows 2000. Ele contm todos os recursos do Windows 2000 Professional e ideal para pequenas e mdias organizaes. Esta verso do Windows 2000 trabalha bem para servidores de arquivo e impresso, servidores Web, e grupo de trabalhos. O Windows 2000 Server suporta sistemas SMP com quatro processadores e 4 GB de memria fsica.
Windows 2000 Advanced Server O Windows 2000 Advanced Server contm todas as funcionalidades do Windows 2000 Server, mais a escalabilidade e a disponibilidade do sistema so aumentadas. A escalabilidade a capacidade de aumentar o poder de processamento incrementalmente para encontrar demandas de rede aumentadas. Esta funcionalidade fornecida atravs de clusters de mltiplos servidores. Estes servidores fornecem poder de processamento adicional, aumentando assim a disponibilidade do sistema. Desta forma, se um servidor estiver indisponvel, os outros servidores no cluster fornecem os servios solicitados. O Windows 2000 Advanced Server projetado para servidores que so usados em redes de grande escala e para trabalho intensivo de banco de dados. O Windows 2000 Advanced Server suporte sistemas SMP com oito processadores e 8 GB de memria fsica. Windows 2000 Datacenter Server O Windows 2000 Datacenter Server contm todas as funcionalidades do Windows 2000 Advanced Server, mais suporte para memria adicional e CPUs por computador. Ele projetado para grandes depsitos de dados, processamento de transaes online, e simulaes de grande escala. Ele tambm pode suportar mais de 10000 usurios simultaneamente em certas cargas de trabalho. O Windows 2000 Datacenter Server suporta sistemas SMP com 32 processadores e 64 GB de memria fsica. Windows 2000 Professional Esta verso destina-se ao uso em estaes de trabalho, e no como servidor. A partir dela foi criado o Windows XP. O Windows XP Professional pode ser considerado uma nova verso do Windows 2000 Professional. O Windows XP Home uma verso reduzida do Windows XP Professional, com vrios dos seus recursos desativados. Windows 2000 Server Esta a verso bsica do Windows 2000 Server. Permite operar com at 4 processadores e 4 GB de memria. ideal para redes cliente-servidor de mdio e pequeno porte. Windows 2000 Advanced Server Esta verso indicada para redes de maior porte. Permite operar com at 8 processadores e 8 GB de memria. Permite que mltiplos servidores operem em conjunto, permitindo aumentar o desempenho em funo do nmero de servidores. Windows 2000 Datacenter Server Tem os recursos da verso Advanced e pode operar com at 32 processadores e 32 GB de memria. A famlia de sistemas para servidores continuar a crescer com novas verses, porm a maioria dos recursos e comandos disponveis mantero compatibilidade com o Windows 2000. Portanto os ensinamentos apresentados aqui certamente sero aproveitados para novas verses. A mais nova verso do Windows para servidores em grandes redes o Windows .NET Server 2003. Possui novos recursos, como ocorre com todas as verses do Windows,
entretanto totalmente compatvel com o Windows 2000 Server e seus comandos de configurao, administrao e utilizao. Componentes de hardware No existe diferena na parte fsica da rede quando usada a arquitetura cliente-servidor. A mesma infra-estrutura de cabos, hubs, switches e outros equipamentos de rede aplicase tanto para redes ponto-a-ponto como a redes cliente-servidor. A nica diferena fica por conta do servidor, que precisa ser dedicado. Lembramos que em redes ponto-a-ponto podemos usar um servidor dedicado, o que altamente recomendvel, porm no obrigatrio. Em redes domsticas, por exemplo, o servidor pode ser usado como estao de trabalho. Nas redes cliente-servidor, o servidor dedicado. Deve ter seu tempo livre para executar apenas as tarefas de atendimento dos demais computadores, fornecendo o acesso a arquivos, impressoras, Internet, alm de gerenciar todas as permisses de acesso a esses recursos. Assim como ocorre nas redes ponto-a-ponto, o acesso Internet pode ser centralizado atravs do servidor. Podemos ter o servidor operando simultaneamente como firewall e roteador para acesso Internet, ou podemos ter um mdulo separado, com firewall e roteador (muitas vezes integrados), deixando o servidor menos congestionado.
Figura 1 - Exemplo de rede de pequeno porte. Requisitos de hardware Um servidor deve ser um computador de alta confiabilidade. Alm de ser mais exigente em termos de velocidade do processador, quantidade de memria e velocidade/capacidade do disco rgido, um servidor deve ser construdo com uma placa de CPU de alta qualidade. Muitos fabricantes de placas de CPU produzem modelos prprios para uso em servidores. So normalmente placas de alto custo, alto desempenho e alta confiabilidade. Servidores mais simples podem ser montados a partir de placas de CPU comuns, mas mesmo assim no podemos abrir mo da qualidade, nem da confiabilidade. Escolha uma placa de CPU de fabricantes conceituados, como Intel, Supermicro, MSI, Asus, Soyo, FIC, A-Trend. No monte servidores usando placas de CPU de segunda linha. No use tambm placas de CPU com tudo onboard, pois seu desempenho normalmente deixa a desejar, assim como a sua confiabilidade. Todos os sistemas operacionais possuem requisitos mnimos de hardware para
funcionarem adequadamente (system requirements). Consulte sempre esses requisitos antes de decidir sobre a configurao de hardware do servidor. Note que so normalmente indicados pelo fabricante do sistema operacional, os requisitos mnimos e os requisitos recomendveis. Se um servidor se limita a atender simplesmente os requisitos mnimos, ir funcionar, entretanto de forma precria. A Microsoft particularmente tem o hbito de indicar os requisitos mnimos. Na prtica um computador que se limite a atender tais requisitos ser extremamente ineficiente na execuo do software em questo. Os requisitos indicados pela Microsoft para o Windows 2000 Server so: Processador Pentium (ou compatvel) de 133 MHz ou superior Memria No mnimo 128 MB, recomendvel 256 MB Disco rgido No mnimo 2 GB, com 1 GB de espao livre A Microsoft no divulga oficialmente requisitos recomendveis para obter um bom desempenho com o Windows 2000 Server e com seus demais sistemas. De acordo com nossos testes, e de acordo com o que especificam inmeros especialistas, nossas recomendaes de uma configurao para executar o Windows 2000 Server com bom desempenho so as seguintes: Processador Pentium II/300 Memria 256 MB Disco rgido No mnimo 2 GB, com 1 GB de espao livre, ou espao adicional para operar como servidor de arquivos Obviamente quanto mais um servidor exceder tais especificaes, melhores sero o seu desempenho e eficincia. Instalando o Windows 2000 Server A instalao do Windows 2000 Server consiste em executar um boot com o seu CD-ROM de instalao e seguir o assistente de instalao. Podemos ter instalados mais de um sistema operacional no computador, usando por exemplo, o Windows XP e o Windows 2000 Server. Entretanto altamente recomendvel que o servidor seja totalmente dedicado, e que aplicativos comuns no sejam usados. Desta forma o servidor estar o tempo todo disponvel para o atendimento dos demais computadores da rede. Recomendamos portanto que o disco rgido seja formatado na ocasio da instalao, utilizando o sistema NTFS. necessrio usar o sistema NTFS para o funcionamento dos recursos de segurana oferecidos pelo Windows 2000 Server. Podemos usar o disco rgido inteiro como um nico drive C, ou dividi-lo em dois ou mais drives lgicos. Esta diviso feita pelo programa de instalao do sistema. Para realizar o boot atravs do CD-ROM de instalao do Windows 2000 Server, pode ser necessrio alterar o CMOS Setup do computador. preciso encontrar o comando que define a seqncia de boot, e ento program-lo para que o CD-ROM seja usado antes do disco rgido (ou seja, o boot s seria feito pelo disco rgido se no existir CD-ROM no drive). Em alguns Setups existem opes como A:, C:, CDROM; C:, A:, CD-ROM, e assim por diante. Em outros Setup temos os itens First boot device, Second boot device, third boot device e fourth boot device, e cada um deles pode ser programado com as opes Floppy, HD e CD-ROM. Enfim, escolhemos uma opo que deixe o CD-ROM ser usado antes do disco rgido.
Gerando disquetes de boot O processo ideal de instalao do Windows 2000 Server executar um boot diretamente com o seu CDROM de instalao. A maioria das placas de CPU modernas podem ser configuradas pelo CMOS Setup o para executarem o boot no somente pelo disco rgido e por disquetes, mas tambm por CD-ROM e outros meios de armazenamento. possvel entretanto que voc precise fazer a instalao em um PC que no suporte o boot por CD-ROM. Nesse caso ser preciso gerar disquetes de inicializao. Providencie quatro disquetes novos e formatados. Usando um computador j configurado com qualquer verso do Windows superior ao 95, coloque o CD-ROM de instalao na sua unidade. Ser executado automaticamente o programa mostrado na figura 5. Clique na opo Examinar este CD.
V ento ao diretrio BOOTDISK e execute o programa MAKEBT32.EXE. O programa ir instruir voc a colocar cada um dos quatro disquetes necessrios, que devem ser identificados por etiquetas.
Figura 6 - Gerando os disquetes de inicializao do Windows 2000 Server. Agora para instalar o Windows 2000 Server, executamos um boot com o primeiro desses disquetes. Entrar em ao um programa de instalao similar ao do CD-ROM de instalao do Windows 2000 Server. O programa pedir a colocao de cada um dos quatro disquetes gerados. O processo de instalao Quem j est acostumado com a instalao das diversas verses do Windows, notar que a instalao do Windows 2000 Server muito parecida com a do Windows 2000 Professional e do Windows XP, e em certos pontos lembra bastante a instalao do Windows 95, 98 e ME. As principais diferenas esto na definio de informaes sobre o administrador e sobre a rede. A figura 7 mostra a tela inicial do programa de instalao do Windows 2000 Server. bastante parecido com o do Windows XP e o do Windows 2000 Professional. Teclamos ENTER para dar incio
Figura 7 - Programa de instalao do Windows 2000 Server. Ser apresentado um contrato de licena. Devemos teclar F8 para concordar com o contrato e prosseguir com a instalao. O programa ir checar o estado do disco rgido. Verificar quais so as parties existentes para que possamos escolher em qual delas ser feita a instalao. Quando um disco rgido novo, todo o seu espao ser indicado como Espao no particionado, ou seja, no existiro parties. No nosso exemplo o disco rgido j havia sido usado. Existe uma partio nica, formatada com FAT32, com pouco mais de 38 GB, dos quais cerca de 22 GB esto livres. Recomendamos que esta partio seja excluda e que seja criada uma nova partio formatada com NTFS. Conforme explica a tela da figura 8, teclamos D para remover a partio.
10
Figura 8 - Escolha da partio onde ser feita a instalao. O programa avisar que os dados da partio antiga sero perdidos. preciso confirmar a escolha para que a partio seja removida. O processo dura apenas alguns segundos, e ao seu trmino, toda a capacidade do disco ser indicada como Espao no particionado, como vemos na figura 9. Podemos agora teclar ENTER para instalar o Windows 2000 Server neste espao.
Figura 9 - Instalar o sistema no espao no particionado.

Na tela seguinte escolhemos a opo Formatar a partio utilizando o sistema de arquivos NTFS. O programa far ento a formatao, operao que ir demorar vrios minutos, dependendo da capacidade e da velocidade do disco rgido. Terminada a formatao ser feita automaticamente a cpia dos arquivos de instalao na partio criada ou selecionada (figura 10). Este processo tambm demorado, apesar de ser mais rpido que a formatao.
Figura 10 - Os arquivos de instalao esto sendo copiados para o disco rgido. O computador ser reiniciado, e o boot desta vez dever ser feito pelo disco rgido. Se voc alterou o CMOS Setup para permitir o boot pelo CD-ROM, altere-o novamente para que o boot seja feito pelo disco rgido. Em muitos computadores, o boot pelo CD-ROM s feito mediante confirmao (Press any key to boot from CD-ROM). Nesse caso basta no pressionar uma tecla e o boot pelo CD-ROM ser ignorado. Seja como for, se aps o boot for apresentada uma tela como a da figura 5, o programa de instalao estar sendo executado desde o incio. Voc deve cancelar a operao e retirar o CD-ROM do drive para que o boot seja feito pelo disco rgido. Quando aparecer a primeira tela grfica do Windows 2000 Server, voc pode colocar novamente o CD-ROM no drive, pois ele ser necessrio no restante da instalao. A tela grfica do Windows 2000 Server estar operando neste momento no modo VGA, com resoluo de 640x480 e 16 cores. Os prximos passos da instalao so explicados a seguir: Instalao de dispositivos O Assistente de instalao levar alguns minutos para instalar e configurar dispositivos como teclado, mouse, monitor e placa de vdeo. O processo demora alguns minutos e a tela poder piscar ou apagar por alguns segundos. O Windows 2000 Server possui drivers para inmeros dispositivos, mas no paratodos. possvel que ao final da instalao,
alguns dispositivos sejam indicados no Gerenciador de dispositivos como sem driver instalado. Voc ter que instalar esses drivers manualmente, depois que o Windows j estiver instalado. Configuraes regionais A localidade do sistema e dos usurios ser definida como Brasil (a menos que voc esteja usando uma verso em ingls). Podemos clicar no boto Personalizar para alterar essas configuraes. O layout do teclado definido como padro na verso brasileira, como Brasil/ABNT. O teclado ABNT aquele que tem um ao lado da tecla ENTER. Se o teclado no for desse tipo, temos que alter-lo. Para isso basta clicar em Personalizar, marcar o item Portugus-Brasil, clicar em Propriedades e selecionar o layout Estados Unidos Internacional. Se este cuidado no for tomado, certos smbolos especiais do teclado no sero reconhecidos corretamente. Nome e organizao Um quadro perguntar o nome do usurio que est fazendo a instalao e o nome da organizao (empresa). Este usurio ter poderes de administrador do sistema. Chave e licenciamento Ser pedida a chave do produto, que o cdigo existente na parte traseira da embalagem do CD-ROM de instalao. Pedir tambm o modo de licenciamento do sistema. Existe dois modos de licenciamento: por servidor e por estao. Em redes com o Windows 2000 Server, preciso comprar no apenas o sistema operacional usado no servidor e os sistemas usados nas estaes de trabalho, mas tambm as licenas de uso que permitem acessar o servidor a partir dos clientes. No modo de licenciamento por estao, cada computador da rede precisa ter uma licena adquirida. Este mtodo indicado para redes que possuem mais de um servidor. A licena de uma estao de trabalho dar acesso a mltiplos servidores. No modo de licenciamento por servidor, o nmero de clientes poder variar, e o servidor admitir um nmero mximo de conexes com clientes. Este mtodo indicado para redes que possuem apenas um servidor. O Windows 2000 Server vendido com licenas embutidas para clientes, e o custo total depender do nmero de licenas para clientes. No nosso exemplo escolheremos o modo de licenciamento por servidor. Nome do computador e senha do administrador O assistente de instalao perguntar o nome do computador. Ser dado automaticamente um nome complicado, como LVC-FTTI5VM9G7L. Podemos alterar o nome neste momento para algo mais amigvel, como SW2000 ou outro nome de nosso agrado. Tambm ser preciso criar uma senha para o administrador do sistema.
13
Escolha dos componentes a serem instalados Ser apresentada uma lista de componentes do Windows, na qual podemos escolher quais devem ser instalados. Esta lista similar obtida quando usamos o comando Adicionar/Remover programas, no Painel de controle. Podemos deixar selecionados os itens sugeridos pelo assistente. Novos componentes sero instalados medida em que forem necessrios durante o uso normal do sistema. Data, hora e fuso horrio Assim como ocorre nas demais verses do Windows, ser perguntada a data, a hora e a zona de tempo que define o fuso horrio. Na verso em portugus usado automaticamente o horrio de Braslia. Se usarmos a verso em ingls poderemos alterar para Braslia, o fuso horrio que vigora na maior parte do Brasil. Configuraes de rede Sero feitas a seguir as configuraes de rede. O assistente perguntar se devem ser usadas as configuraes tpicas ou personalizadas. As configuraes tpicas so indicadas para a maioria dos casos, e incluem: . . . Cliente para redes Microsoft Compartilhamento de arquivos e impressoras em redes Microsoft Protocolo TCP/IP
Se for necessrio utilizar outros componentes de rede, como por exemplo um protocolo adicional, podemos usar as configuraes personalizadas e escolher os componentes desejados. Ser perguntado o domnio ou grupo de trabalho. Em redes com o Windows 2000 Server usamos normalmente uma rede com domnio, e esta deve ser a opo escolhida aqui. Indicamos ento o nome do domnio do qual o computador deve ser membro. No nosso exemplo usaremos o domnio LABO. Ser preciso digitar o nome de um usurio com poderes de administrador, bem como a sua senha. Poder ser o usurio que foi cadastrado durante o processo de instalao. Note que este comando no cria o domnio, e sim adiciona o computador a um domnio j existente. Como estamos instalando o primeiro servidor, o domnio ainda no existe, e ser apresentada uma mensagem de erro, indicando que o domnio invlido. Podemos ento prosseguir e ingressar no domnio mais tarde, atravs do programa de configurao do servidor. Instalao dos componentes selecionados A prxima etapa demorar vrios minutos. a instalao dos componentes selecionados
e das configuraes escolhidas anteriormente. Aguarde at o assistente apresentar um quadro indicando que concluiu o seu trabalho. Clique em Concluir e ser executado um novo boot. No esquea de retirar o CD-ROM de instalao. O primeiro boot O Windows 2000 Server j est instalado, mas ser ainda preciso fazer diversas configuraes. Ser preciso configurar o servidor, criar contas de usurios, compartilhamentos, etc. A mensagem a rede est sendo iniciada apresentada durante alguns minutos. A seguir apresentado um quadro indicando que devemos pressionar Control-Alt-Del. No Windows 2000 Server, esta seqncia provoca a exibio de um quadro de logon, onde devemos preencher o nome do usurio e a senha. O usurio dever ser Administrador, e a senha a que criamos quando instalamos o sistema. Ser apresentada a velha e conhecida rea de trabalho do Windows. A interface grfica do Windows 2000 Server muito parecida com a do Windows 9x/ME.
Figura 11 - A tela do Windows 2000 Server. Tambm ser executado automaticamente o Assistente de configurao do servidor. Antes de configurar o servidor preciso checar se todos os itens de hardware foram instalados corretamente. Certos dispositivos podem ainda no estar operacionais devido falta de drivers. Devemos ento fechar o assistente para fazer as configuraes de hardware necessrias.
Instalao de drivers A primeira coisa a fazer instalar os drivers do chipset da placa me (ou placa de CPU). Esses drivers permitem que os recursos da placa me funcionem corretamente. Se no forem instalados podem ocorrer problemas de mau funcionamento nos acessos a disco, nos acessos placa de vdeo, no gerenciamento de energia e a queda de desempenho do disco rgido. Esta uma etapa muito importante, que at mesmo muitos tcnicos esquecem de cumprir. O grande problema que o Windows no avisa quando os drivers existentes no so adequados, ou quando os drivers do fabricante esto ausentes. Se a placa de CPU for de fabricao recente, possvel que os drivers existentes no CD-ROM que a acompanha sejam adequados. O ideal entretanto obter os drivers mais atualizados, no site do fabricante da placa me.
A figura 12 mostra o programa de instalao que acompanha as placas de CPU fabricadas pela Asus. A placa do nosso exemplo uma TUV4X, que possui um chipset da VIA Technologies. A placa de CPU portanto acompanhada do VIA 4 in 1 drivers, que a primeira opo do menu. Escolhemos esta opo para instalar os drivers do chipset. Ser preciso reiniciar o computador depois desta instalao.
16
Figura 1 - Existem dispositivos com problemas indicados no Gerenciador de dispositivos. Devemos a seguir checar o Gerenciador de dispositivos. No exemplo da figura 1, vemos que existem dois dispositivos com problemas (indicados com um ponto de interrogao). Esses dispositivos fazem parte da placa de som. Vrios modelos de placas de som podem apresentar este problema. Basta usar o mtodo padro de atualizao de driver e usar o CD-ROM que acompanha a placa de som. No caso de placas de CPU com som onboard, os drivers de som esto no CD-ROM que acompanha esta placa. Muito importante checar no Gerenciador de dispositivos a situao da placa de rede. Vemos na figura 1 que a placa de rede reconhecida como: D-Link DFE-530TX PCI Fast Ethernet Adapter Se a placa de rede no estiver indicada no item Adaptadores de rede, o servidor no poder ter acesso rede. Ser preciso instalar os drivers da placa de rede. Menos crtica mas tambm importante a placa de vdeo. Se seus drivers no forem instalados, o Windows usar um driver VGA padro e o modo grfico estar limitado a 640x480 com 16 cores. No nosso exemplo (figura 1) vemos que a placa de vdeo est indicada como: S3 Inc. Trio 3D A placa estar portanto pronta para operar com resolues mais elevadas e com maior nmero de cores. A falta desses recursos no crtica para um servidor, entretanto para trabalhar melhor com os comandos do Windows 2000 Server, ideal usar uma resoluo
de 800x600. Instale os drivers da placa de vdeo se necessrio, e declare a marca e o modelo do monitor. Configurando o servidor Quando o Windows 2000 Server iniciado, executado o Assistente de configurao do servidor (figura 14). Este programa tambm pode ser executado com o comando: Iniciar / Programas / Ferramentas administrativas / Configurar o servidor
Figura 2 - Assistente de configurao do servidor. Alis, a maioria dos programas necessrios configurao e administrao do servidor so encontrados neste menu de ferramentas administrativas. OBS.: Conecte o servidor no hub ou switch onde ser usado antes de realizar o boot, para que o assistente no reclame que a rede no foi encontrada. Na figura 2, marcamos a opo Este o nico servidor da rede e clicamos em Avanar. O Assistente avisa ento (figura 3) que sero instalados trs mdulos importantssimos para o funcionamento do servidor:
. . .
Active Directory DHCP DNS
Esses trs componentes so absolutamente necessrios para o funcionamento do servidor. O Active Directory o sistema de gerenciamento de recursos, usurios, grupos, senhas e demais itens da rede baseada no Windows 2000 Server. O DHCP um mdulo do sistema que distribui e gerencia os endereos IP de todas as mquinas da rede. O DNS um servio de nomes para o protocolo TCP/IP. Graas a ele as mquinas da rede podem enderear umas s outras usando nomes, ao invs de endereos TCP/IP.
Figura 3 - Sero instalados o Active Directory, o DHCP e o DNS. A seguir o Assistente pergunta (figura 4) o nome do domnio. Este nome composto de duas partes, separadas por um ponto. A primeira parte pode ser o nome da empresa ou outra identificao similar. No nosso exemplo usaremos LABO. A segunda parte usada para a formao de nomes de sites naInternet. necessrio que este nome seja registrado no rgo gestor apropriado (no caso do Brasil, a FAPESP). Quando o rede no vai receber acessos externos, usamos a terminao LOCAL.
19
Note que para computadores com sistemas compatveis com o Active Directory, o nome do domnio ser composto das duas partes (no nosso exemplo, LABO.LOCAL). Este ser portanto o nome do domnio para computadores com Windows 2000 e Windows XP. Para computadores com sistemas que utilizam servios de nomes baseados no NetBIOS (Windows 9x/ME), o nome ser visto apenas com a primeira parte (no nosso caso, LABO).
20
Figura 5 - O Assistente est pronto para instalar as opes escolhidas. O Assistente apresentar o quadro da figura 6, e est pronto para instalar os componentes necessrios. O processo demorar vrios minutos e quase totalmente automtico. No clique em nada e observe que os comandos sero realizados automaticamente, como um avio em piloto automtico. Ser pedida a colocao do CD-ROM de instalao do Windows 2000 Server. Terminada a instalao, o computador ser reiniciado. Este processo de boot tambm ser demorado. Depois do boot e do logon habitual, o Assistente de configurao da rede ser executado, agora com o aspecto mostrado na figura 7. Se no quisermos mais que seja executado automaticamente a cada inicializao do Windows, basta desmarcar a opo Mostrar esta tela ao inicializar.
21
Figura 8 - Assistente de configurao da rede. Configurando o servidor DHCP Dentro do servidor fsico no qual est instalado o Windows 2000 Server, podem existir vrios servidores lgicos. Servidor de arquivos, servidor de impresso, servidor DNS, servidor WINS e servidor DHCP so alguns exemplos. Esses servidores so softwares que podem ser instalados em um mesmo computador, fazendo com que passe a oferecer diversos servios. O servidor DCHP o software que faz com que o computador passe a oferecer o servio de distribuio de endereos IP para os demais PCs e dispositivos da rede. A vantagem em usar um servidor DHCP que o administrador no precisa configurar manualmente o endereo IP de cada computador da rede. Todos os endereos sero distribudos automaticamente pelo servidor DHCP. Para que isso funcione corretamente preciso que o servidor seja inicializado antes dos demais computadores. Na maioria das redes, o servidor fica ligado durante 24 horas por dia, 7 dias por semana, e faz apenas algumas paradas programadas para manuteno preventiva. Apenas o servidor precisa ter seu endereo IP configurado. Para fazer esta configurao, abra a pasta Meus locais de rede e clique em conexes dial-up e de rede. L estar o cone da conexo de rede (desde que a placa de rede esteja instalada corretamente).
Clique neste cone com o boto direito do mouse e escolha no menu a opo Propriedades. Ser apresentado o quadro de propriedades de rede. Aplique agora um clique duplo no item Protocolo TCP/IP. Ser apresentado o quadro da figura 9.
Figura 9 - Propriedades do protocolo TCP/IP no servidor. O quadro j dever estar preenchido com a configurao padro do Windows, como mostra a figura 9: Usar o seguinte endereo IP: 10.10.1.1 Mscara de sub-rede: 255.0.0.0 Usar os seguintes endereos de servidor DNS: 127.0.0.1 OBS.: Voc no conseguir digitar manualmente o endereo 127.0.0.1 para o servidor DNS, pois o Windows apresentar uma mensagem de erro e rejeitar este endereo. Entretanto este endereo configurado automaticamente pelo Windows quando usamos o Assistente de configurao de rede. O protocolo TCP/IP nos computadores da rede tambm precisam ser configurados. Em cada cliente, no quadro de propriedades de rede aplicamos um clique duplo no protocolo TCP/IP. A figura 10 mostra o quadro obtido no Windows XP. Marcamos a opo Obter um endereo IP automaticamente e programamos o endereo 10.10.1.1 para o servidor DNS.
23
No Windows 9x/ME, o quadro de configuraes TCP/IP um pouco diferente. Existem guias separadas para o endereo IP e para o DNS. Programe-os com os mesmos valores que mostramos na figura 10. O prximo passo ativar o DHCP no servidor. Isso pode ser feito diretamente pelo comando Rede/DHCP no Assistente de configurao da rede, ou ento clicando em: Iniciar / Programas / Ferramentas administrativas / DHCP
24
Figura 11 - Configurando o servidor DHCP. Se existir apenas o item DHCP na parte esquerda do console da figura 11, clique-o com o boto direito do mouse e escolha no menu a opo Adicionar servidor. Ser apresentado um quadro como o da figura 12. Basta marcar a opo Este servidor DHCP autorizado e clicar em OK.
Figura 12 - Adicionando o servidor DHCP. Aplique um clique simples sobre o servidor (no nosso exemplo, SW2000) e use o comando Ao / Autorizar. As demais configuraes sero feitas automaticamente. Clicando em Concesses ativas (figura 13), veremos as indicaes dos computadores que obtiveram endereo IP automtico a partir do servidor DHCP.
25
Figura 13 - Lista de concesses ativas. Se o servidor j estiver indicado no painel da esquerda, observe a pequena seta no seu cone. Se a seta for verde, ento o servidor DHCP est pronto para funcionar. Se a seta for vermelha, clique no cone do servidor com o boto direito do mouse e no menu apresentado use a opo Autorizar. Espere alguns segundos para que a seta se torne verde. Pressione a tecla F5 ou use o comando Ao / Atualizar. Incluindo as estaes de trabalho no domnio Cada um dos computadores da rede dever ser configurado no apenas para usar endereos IP automticos como j mostramos, mas tambm para ingressar no domnio do servidor. No Windows XP e no Windows 2000 Professional, esta configurao feita da seguinte forma: a) Clique em Meu computador com o boto direito do mouse e escolha no menu a opo Propriedades. Um outro processo mais rpido pressionar simultaneamente as teclas Windows e Pause. b) No quadro apresentado selecione a guia Nome do computador e clique em Alterar. Ser mostrado o quadro da figura 14.
26
Figura 14 - Ingressando no domnio (Windows XP). c) Preencha o nome do computador, marque a opo Domnio e indique o nome do domnio a ser usado. No caso do Windows XP e do Windows 2000, deve ser usado o nome completo, que no nosso caso LABO.LOCAL. No Windows 9x/ME usamos apenas LABO. A alterao estar efetivada depois do prximo logon. No Windows 9x/ME, o ingresso no domnio feito pelo quadro de propriedades de rede. Para isso use o comando Redes no Painel de controle, ou ento clique no cone Meus locais de rede (ou Ambiente de rede) com o boto direito do mouse e no menu apresentado escolha a opo Propriedades. Aplique um clique duplo em Cliente para redes Microsoft e programe o quadro apresentado como mostramos na figura 15. Marque a opo Efetuar logon no domnio do Windows NT e indique a primeira parte do nome do domnio (LABO, e no LABO.LOCAL).
27
Figura 15 - Incluindo um computador em um domnio (Windows 9x/ME). Logon no servidor Depois que uma estao de trabalho est configurada para efetuar logon no servidor, o Windows apresentar um quadro para preenchimento de nome de usurio, senha e domnio. Ser preciso ter uma conta no servidor para fazer o logon. Enquanto as contas de acesso aos usurios das estaes de trabalho no so criadas, voc pode fazer logon usando uma das contas pr-definidas. Use por exemplo a conta de administrador que voc j utiliza para fazer logon no prprio servidor.
Figura 16 - Fazendo logon em uma estao de trabalho usando a conta de administrador. Depois que uma estao de trabalho estiver testada, pode ser liberada para utilizao por
um ou mais usurios da rede. Ser preciso entretanto criar contas para esses usurios, como veremos mais adiante. Ainda na fase de testes, use a conta de administrador (ou crie uma conta comum no servidor para realizar esses testes mais seguro). Uma boa opo usar a conta de Convidado, que j prdefinida no servidor. Basta apenas ativla e definir uma senha. Para isso use no servidor: Inciar / Programas / Ferramentas administrativas / Usurios e computadores do Active Directory No painel da esquerda (figura 17), selecione o item USERS e procure na lista da direita, o nome Convidado. Clique-o com o boto direito do mouse e no menu apresentado escolha a opo Ativar conta. A seguir clique novamente com o boto direito do mouse e no menu apresentado escolha a opo Redefinir senha. Voc poder ento usar esta conta para fazer logon nas estaes de trabalho, para efeito de testes.
Uma vez feito o logon em uma estao de trabalho, podemos pesquisar em Meus locais de rede (ou Ambiente de rede) at chegar ao servidor. Clicando no servidor veremos os recursos compartilhados. No momento aparecero apenas as pastas NETLOGON e SYSVOL, como vemos na figura 18. So duas pastas de sistema, e no devem ser utilizadas nas estaes de trabalho. Seu acesso totalmente bloqueado. Novos cones aparecero quando forem criados compartilhamentos no servidor.
29
Figura 18 - Acessando o servidor a partir de uma estao de trabalho. O logon no Windows XP tem um visual diferente do mostrado na figura 16, porm as informaes so as mesmas. Ser preciso indicar o nome do usurio, e o domnio. Contas de usurios Voc encontrar praticamente todos os comandos para gerenciamento do servidor atravs do menu: Iniciar / Programas / Ferramentas administrativas Ser mostrado o menu que vemos na figura 19. Usaremos agora o comando Usurios e computadores do Active Directory.
30
Figura 19 - O menu de ferramentas administrativas do Windows 2000 Server. Ser mostrada a janela que vemos na figura 20. Trata-se de um console bastante parecido com o do Windows Explorer. Na parte esquerda temos as diversas categorias, na qual selecionamos Users. Na parte direita vemos os itens da categoria selecionada. So mostrados usurios, grupos, computadores, impressoras e outros objetos do Active Directory.
31
Figura 20 - Lista de usurios. Criando contas de usurios Para criar usurios, clicamos em Users ou ento na parte direita do console usando o boto direito do mouse e no menu apresentado escolhamos a opo Novo / Usurio. Ser apresentado um quadro como o da figura 21. Preenchemos o nome, as iniciais, o nome completo e o nome que ser usado no logon.
32
Figura 21 - Criando um novo usurio. No quadro seguinte (figura 22) criamos uma senha para o usurio. interessante marcar a opo O usurio deve alterar a senha no prximo logon. Desta forma este usurio poder fazer logon na rede, mas ser orientado para alterar a senha imediatamente. Isto evita que administradores tenham acesso s senhas dos usurios.
Figura 22 - Senha do usurio.

O usurio recm-criado passar a constar na lista de usurios, como vemos na figura 23. Podemos gerenciar a conta, aplicando um clique duplo sobre a mesma na lista. Com o quadro de propriedades que apresentado podemos alterar senhas, registrar informaes pessoais, definir os grupos aos quais pertence, etc. Neste momento j ser possvel fazer logon em uma estao da rede utilizando esta conta.
Figura 23 - O novo usurio j consta na lista. Uma das guias importantes do quadro de propriedades de um usurio a Membro de (figura 24). Podemos fazer com que qualquer usurio seja membro de grupos. Grupos so conjuntos de usurios com determinadas caractersticas. A vantagem em agrupar usurios a facilidade no gerenciamento. Podemos por exemplo definir que uma certa pasta compartilhada pode ser utilizada por todos os usurios de um determinado grupo. Basta ento especificar o grupo. No preciso especificar individualmente cada usurio. Vrios controles podem ser feitos com usurios e com grupos, facilitando bastante o gerenciamento do servidor. Note que um mesmo usurio pode pertencer a vrios grupos diferentes. Por exemplo, o gerente do departamento de vendas de uma empresa pode pertencer ao grupo GERENTES (que reuniria todos os gerentes de todos os departamentos) e ao grupo VENDAS (que reuniria todas as pessoas do departamento de vendas).
34
Figura 24 - Para espeficiar os grupos aos quais pertence um usurio. Na guia Conta deste quadro de propriedades temos o nome do usurio e alguns controlesrelativos segurana. possvel por exemplo definir os horrios nos quais permitido a um usurio fazer logon. Para isso selecionamos a guia Conta e clicamos em Horrio de logon. Ser apresentado o quadro da figura 25.
35
Figura 25 - Definindo horrios permitidos para o logon. Podemos ento delimitar horrios e dias nos quais o logon ser permitido ou negado. No exemplo da figura 25, marcamos de segunda a sexta-feira, de 8:00 s 19:00. Ainda na guia Conta temos o boto Efetuar logon em. Com ele podemos indicar em quais computadores da rede o usurio poder fazer logon. Podemos por exemplo obrigar cada usurio a fazer logon apenas no seu prprio computador, ou em um grupo de computadores, ou em todos os computadores. Criando grupos Para ilustrar a criao de grupos, suponha que tenhamos criado 4 contas de usurios, com nomes Bernardo, Brbara, Diego e Yan. Vamos criar um grupo chamado JOVENS e nele inscrever esses usurios. Para isso clicamos em USERS com o boto direito do mouse e no menu apresentado escolhemos NOVO / GRUPO. Ser apresentado o quadro da figura 26, no qual escolhemos um nome para o grupo. preciso indicar tambm o Escopo do grupo e o Tipo de grupo. Voc pode utilizar as opes sugeridas, que so Escopo global e Grupo de segurana. Os escopos o grupo dizem respeito ao uso em um s domnio e em mltiplos domnios. O escopo global mais abrangente que o local, porm no faz diferena quando a rede tem um s domnio.
36
Figura 26 - Criando um grupo. O grupo de distribuio usado apenas para efeito de endereamento, por exemplo, para enviar uma mensagem de correio eletrnico para todos os usurios de um grupo. J o grupo de segurana permite definir permisses para acesso a recursos da rede. O grupo estar ento criado. Para incluir usurios basta aplicar um clique duplo no grupo e selecionar a guia Membros (figura 27). Clicamos em Adicionar e ser apresentada a lista de usurios. Selecionamos nesta lista os usurios desejados. Note que tambm possvel que um grupo tenha como membros, outros grupos. Ao clicarmos em Adicionar no quadro da figura 27, sero apresentadas no apenas os usurios, mas tambm os outros grupos que podem ser adicionados a esta grupo. Tambm possvel pelo quadro da figura 27, fazer com que um grupo seja membro de outro grupo, usando a guia Membro de.
37
Um outro mtodo para adicionar usurios a um grupo selecion-los na lista completa (USERS), clicando-os e mantendo a tecla Control pressionada, e a seguir clicar na seleo com o boto direito do mouse e escolhendo a opo Adicionar membros a um grupo. A lista de usurios e grupos pode se tornar muito extensa, o que ruim em redes grandes. Podemos entretanto utilizar filtros. Basta clicar no cone do funil na barra de ferramentas do console (figura 23). Ser apresentado o quadro da figura 28, no qual selecionamos o tipo de objeto que queremos visualizar.
38
Figura 28 - Selecionando o tipo de objeto que queremos visualizar. Registrando computadores O registro de computadores no Active Directory muito importante. Com ele possvel, por exemplo, indicar em quais computadores um usurio pode fazer logon. Clicando em Computadores, o console de gerenciamento do Active Directory mostrar os computadores registrados na rede. O registro de computadores feito da mesma forma como registramos usurios. Clicamos em Computers com o boto direito do mouse e o menu apresentado escolhemos Novo / Computador.
39
Ser apresentado um quadro como o da figura 30. Damos um nome ao computador e podemos indicar um usurio ou grupo de usurios que podem fazer o logon neste computador.
Figura 30 - Registrando um computador no Active Directory. Cotas de disco

Para evitar que usurios sobrecarreguem o servidor com imensas quantidades de dados, podemos estabelecer cotas de disco para os usurios. Definimos para todos os usurios, um li mite mximo que pode ser usado. Usurios ou grupos individuais podem receber cotas maiores, como mostraremos adiante. Para usar cotas de disco, necessrio que a unidade esteja formatada com o sistema NTFS. No recomendamos o uso do sistema FAT32 para servidores com o Windows 2000 Server, pois com este sistema no estaro disponveis seus inmeros recursos de segurana e gerenciamento. Partindo de Meu computador, clicamos o cone da unidade de disco com o boto direito do mouse e escolhemos no menu a opo Propriedades. No quadro de propriedades, selecionamos a guia Cota (figura 31). Marcamos as opes Ativar gerenciamento de cota e Limitar espao em disco a. Indicamos ento o espao destinado ao usurio (no nosso exemplo, 100 MB) e o nvel de notificao. Uma vez atingido este nvel, o usurio ser avisado que o disco est quase cheio. Se o limite for atingido, o usurio poder continuar usando ou poder receber mensagens de disco cheio, sendo negado espao adicional. Isso depende do uso da opo Negar espao em disco para usurios excedendo o limite de cota.
Figura 31 - Ativando as cotas de disco. Clicando no boto Entradas de cota podemos dar cotas diferentes para usurios
selecionados. Usamos ento o comando Cota / Nova entrada de cota. Ser apresentada a lista de usurios e grupos. Podemos selecionar vrios deles, mantendo a tecla Control pressionada. Na figura 32, selecionamos quatro usurios.
Figura 32 - Selecionando usurios que tero cota diferenciada. A seguir ser apresentado o quadro da figura 33. Note que o usurio est indicado como <Multiple>, j que selecionamos quatro usurios. Podemos agora preencher novos valores para os limites. Note que a cota global no nosso exemplo foi definida como 100 MB por usurio, mas estamos dando aos usurios selecionados, a cota de 200 MB.
42
A lista de entradas de cota ter agora o aspecto mostrado na figura 34. Note que os usurios selecionados recebem agora a cota de 200 MB. Podemos fazer mais modificaes sobre esta lista. Clicando em um usurio com o boto direito do mouse e escolhendo no menu a opo Propriedades, podemos modificar mais uma vez a cota para o usurio selecionado.
Service Packs Para todas as verses do Windows, a Microsoft produz Service Packs, que so atualizaes com correes de erros e introduo de novos recursos. Normalmente essas atualizaes so feitas uma vez por ano. Alm desses grandes conjuntos de atualizaes, so tambm oferecidas pequenas atualizaes em programas especficos. A melhor forma de instalar essas atualizaes atravs do comando Windows Update. O Windows 2000 Server foi lanado no ano 2000. As atualizaes foram o Service Pack 1 (2001) e o Service Pack 2 e Service Pack 3 (2002). J em 2003, provavelmente no termos uma atualizao, e simo lanamento da nova verso do Windows (Windows .NET 2003). altamente recomendvel que logo aps a instalao de qualquer verso do Windows, seja instalado o Service Packs mais recente. Cada Service Pack engloba os anteriores. Portanto, ao instalar o Service Pack 3, voc estar tambm instalando as atualizaes existentes nos Service Packs 1 e 2.
No esquea que o Service Pack deve ser de mesmo idioma que o Windows j instalado. Se voc instalar, por exemplo, o Windows em portugus e um Service Pack em ingls, no s ver mensagens estranhas misturando os dois idiomas, mas tambm poder ter problemas de mau funcionamento. Um Service Pack pode ser obtido por download, mas preciso ter uma conexo de banda larga, j que normalmente ocupa vrias dezenas de MB, muito para ser transmitido por uma conexo por modem comum. Temos ainda a opo de solicitar o envio do Service Pack por correio, gravado em um CD-ROM.
Figura 35 - Usando o Windows Update para atualizar o Windows 2000 Server. Se voc no sabe se algum Service Pack foi instalado em um determinado computador, fcil descobrir. Selecione a guia Geral do quadro de propriedades do sistema (use o comando Sistema no Painel de controle, ou clique em Meu computador com o boto direito do mouse e escolha no menu a opo Propriedades). O quadro indicar entre outras informaes, a verso do Windows e o Service Pack instalado. No exemplo da figura 36, vemos que est instalado o Service Pack 3.
44
Figura 36 - Neste computador est instalado o Windows 2000 Server com o Service Pack 3.
Ajustes de desempenho A maioria das configuraes automticas do Windows 2000 Server j resultam no desempenho mximo. Se voc estiver solucionando problemas de desempenho, cheque essas configuraes, pois podem ter sido alteradas indevidamente por um antigo administrador ou tcnico. Bons servidores devem utilizar discos rgidos SCSI, entretanto possvel encontrar muitos servidores mal configurados equipados com discos IDE. Nesse caso preciso configurar esses discos para operarem e modo Ultra DMA. Instale os drivers do chipset da placa de CPU, como j mostramos no incio deste artigo.
45
Figura 47 - Os discos IDE devem operar em modo Ultra DMA. A configurao feita atravs do Gerenciador de dispositivos. Clicamos em Controladores de disco rgido, canal IDE primrio e canal IDE secundrio. Na guia Configuraes avanadas (figura 37), marcamos o modo de transferncia como DMA se disponvel para ambos os dispositivos (Master e Slave) de cada canal. Processamento em segundo plano No quadro de propriedades do sistema, selecione a guia Avanado e clique em Opes de desempenho (figura 38).
46
Na seo Resposta de aplicativos, marque a opo Servios em segundo plano. Isto far com que o servidor opere de forma mais eficiente no compartilhamento de arquivos e impressoras, e na autenticao de usurios. Aplicativos executados em primeiro plano tero menor prioridade, e a resposta ser mais demorada, ou seja, voc notar uma certa lentido ao gerenciar o servidor. Em compensao, o sistema ir atender mais rapidamente as solicitaes dos clientes da rede.
47
Memria virtual A memria virtual constituda pelo arquivo PAGEFILE.SYS (arquivo de paginao ou arquivo de troca), localizado no disco de boot do Windows 2000 Server. usado para simular uma quantidade de memria maior quando toda a RAM do computador est ocupada. Podemos chegar ao quadro de configurao da memria virtual clicando no boto Alterar da figura 38. Figura 39 - Ajustes na memria virtual. Ser apresentado um quadro como o da figura 39. O tamanho indicado como recomendvel para o arquivo de troca igual a 1,5 vezes a quantidade de RAM do sistema. No nosso exemplo temos 256 MB de RAM, portanto o tamanho recomendvel 382 MB (o valor exato seria 384 MB). Em funo desta valor recomendado, existem configuraes para o tamanho inicial e para o tamanho mximo. A configurao padro usar para tamanho inicial, o valor do tamanho recomendado, e para o tamanho mximo, o dobro deste valor. Alguns ajustes recomendados pela Microsoft podem ser feitos para melhorar o desempenho no acesso memria virtual: a) Programe o tamanho mximo e o tamanho inicial, o mesmo valor indicado como tamanho recomendvel. Quando esses tamanhos so iguais, haver menos tempo perdido nas operaes de aumento e diminuio deste tamanho. b) Nunca use um tamanho menor que o recomendvel. c) Se tiver problemas de memria insuficiente, aumente o tamanho inicial e o tamanho mximo, mas de preferncia deixando-os iguais. d) Tambm para aumentar o desempenho, pode m ser criados arquivos de troca em vrias unidades de disco, desde que sejam discos fsicos capazes de operar de forma independente. No adianta usar por exemplo, discos lgicos C e D localizados na mesma unidade fsica. e) Voc pode criar uma unidade lgica exclusivamente para uso do arquivo de paginao. Como outros arquivos no sero usados nesta unidade, no ocorrer a fragmentao do arquivo de paginao, resultando em maior desempenho. Para definir o tamanho do arquivo de paginao, selecione a unidade de disco na figura 39, preencha os valores inicial e mximo e clique em Definir. Dependendo da alterao de tamanho, poder ser preciso reiniciar o Windows.
48
1. Administrando redes Windows A administrao de uma rede baseada em Windows 2000 Server no das tarefas mais fceis de se executar sem nenhum conhecimento, devido a alguns conceitos que devem ser conhecidos para que todo o trabalho j feito no tenha que ser refeito. Esta administrao engloba desde a criao e manuteno de contas de usurios at a monitorao dos recursos que esto sendo utilizados e por quem esto sendo utilizados dentro da rede. Resumindo a administrao da rede : Administrao de contas de Grupos e Usurios Administrao de Impressoras Administrao de Polticas de Segurana rede Monitoramento da rede Planejar, criar e manter uma poltica de contas dentro da rede com a finalidade de que cada usurio tenha acesso ao recurso necessrio e tendo permisso para se conectar a rede. Configurao de Impressoras locais e de redes e resoluo de problemas com as mesmas. Planejamento e implantao de poltica de segurana com a finalidade de proteger dados de acesso restrito. Planejamento e implantao de monitoramento da rede como um todo, controlando acesso a recursos compartilhados, verificao de sesses de usurios, etc. Planejamento de copia de segurana de dados e sua recuperao em caso de perdas.
Backup e recuperao de dados
Capitulo 1 Introduo administrao de redes Windows 2000 Neste capitulo so demonstrados as partes da administrao de rede, bem como as ferramentas utilizadas pelo administrador para monitoramento e backup de dados e como inicializar e finalizar uma rede, logon e logoff. Capitulo 2 Configurando contas de usurios Apresentam-se as contas de usurios, como so criadas, o planejamento de contas e a poltica de conveno de nomes de contas. Tambm apresentadas a criao de contas e suas configuraes como: horrio de logon na rede, permisso de acesso determinada estao ou de toda a rede, permisso de acesso externo e a renomeao e remoo de contas do sistema. Alm de contas, so apresentadas as formas de configurao do ambiente de trabalho dos usurios por meio de perfis e scripts de logon, bem como a configurao de perfis ambulantes na rede.
Capitulo 3 Contas de grupos Este capitulo apresenta as contas globais e locais do Windows 2000, o planejamento de grupos de contas para facilitar a administrao de recursos na rede, a criao de grupos globais e locais, alm de suas configuraes e renomeao e remoo. Tambm so explanadas os direitos a contas de usurios e grupos pr-definidos de contas. Capitulo 4 Administrando contas de usurios e de grupos Este capitulo visa apresentar os modelos de contas, a configurao de poltica para contas e como executar o desbloqueamento e modificao de contas. Capitulo 5 Gerenciando controladores de domnio Este capitulo visa apresentar ao aluno o que um controlador de domnio em uma rede Windows 2000, bem como seus companheiros de trabalho (BCDs e Member Servers). Capitulo 6 Permisses de recursos compartilhados Neste capitulo so apresentados os conceitos de recursos compartilhados, as regras de compartilhamento de recursos e suas permisses. O compartilhamento de recursos apresentado com as configuraes, modificao de compartilhamento e forma de acesso a recursos em uma rede Microsoft.
Capitulo 7 Permisses de recursos compartilhados em NTFS Este capitulo faz uma pequena explanao do sistema de arquivos NTFS do Windows 2000 e apresenta suas vantagens diante de outros sistemas de arquivos, principalmente o FAT. Tambm so apresentadas as permisses disponveis no sistema NTFS e como estas so aplicadas neste sistema. Finalmente, apresentada a forma de se combinar permisses de recursos com as permisses NTFS, a tomada de posse de um recurso e as regras para copia e movimentao de arquivos e pastas entre parties NTFS ou no. Capitulo 8 Impressoras em rede Este capitulo apresenta a configurao de uma impressora em ambiente de rede Windows 2000, seu compartilhamento e suas configuraes como agendamento de trabalhos, acesso, etc. Tambm apresentada a forma de configurao de clientes para acesso a impressoras dentro de uma rede Windows 2000, o acesso a impressoras na rede e a criao de spool de impresso.
Capitulo 9 Administrando impressoras em rede Aqui so apresentadas as formas de administrao de impressoras em rede, a remoo e redirecionamento de trabalhos em fila de impresso, configurao de notificaes, prioridades e tempo de impresso, pausa de trabalhos, finalizao e limpeza de trabalhos da impressora. Finalmente apresentada a forma de se apropriar de uma impressora e tambm so comentados os problemas mais comuns com as mesmas. Capitulo 10 Auditoria Neste capitulo apresentada poltica de auditoria de recursos de uma rede, seu planejamento, definio e implantao da mesma por meio de auditoria em pastas, arquivos e impressoras. Tambm apresentado o programa Visualiza r Eventos como ferramenta para auditoria do sistema como um todo. Capitulo 11 Monitoramento Aqui so apresentadas as formas de monitoramento da rede e suas ferramentas, a monitorao de recursos em uso, compartilhamentos, sesses de usurios, etc. Tambm apresentada a forma de visualizao da configurao do sistema na rede. Capitulo 12 Backup e restaurao de dados Finalmente, este capitulo apresenta o programa de backup do Windows 2000 e suas configuraes, as estratgias de backup como a determi nao dos vrios tipos de backup. Tambm aqui explicada a configurao de backups por meio de arquivos batch e comandos AT. Alm do backup, so explanadas as formas de recuperao de dados, o selecionamento de dados a serem restaurados ao sistema e o selecionamento de opes para recuperao de dados. 2.1 Logon em uma rede Windows 2000 O processo de logon o envio ao sistema operacional de um nome de usurio e uma senha que valida seu acesso rede e aos recursos para os quais o mesmo possui permisses. No Windows 2000, ao contrario do Windows 95, 98 e ME, este processo obrigatrio, pois sem o mesmo, no existe forma de se ter acesso estao de trabalho. 2.1.1 Como o processo de logon O processo de logon no Windows 2000 a primeira etapa do subsistema de segurana que protege o mesmo. Este subsistema requer que, o usurio para acessa-lo, tanto local como participante de um domnio, digite um nome de usurio e uma senha na caixa de informaes de logon.
A partir deste momento, o servio de Net Logon processa a requisio do logon do usurio por meio do processo de Pass-through authentication. Enviando ao controlador de domnio os dados criptografados, onde este ir verificar a autenticidade dos mesmos em seu banco de dados. Caso o usurio esteja logando LOCALMENTE, a verificao dada na estao pelo sistema. 2.1.2 O Logon Para que se possa logar em uma estao com Windows 2000, obrigatria a informao de senha e nome de usurio. Estes dados so bsicos para uma conta do usurio no sistema, portanto, cada usurio precisa de uma conta para que possa se utilizar estao e/ou da rede. Quando a estao iniciada, o subsistema de segurana apresenta uma janela solicitando que o usurio pressione as teclas CTRL + ALT + DEL a fim de iniciar o processo de logon. Aps esta janela, apresentada a tela de logon propriamente dita. Nesta tela informa-se o usurio e a senha. Se a conta, senha for especificada corretamente, o sistema liberado dando acesso para o usurio. 2.3 Logoff O logoff nada mais que o encerramento das atividades do usurio, sendo que esta pode ser tanto para desligar/reiniciar o computador quanto para trocar de usurio. Para efetuar o logoff no Windows 2000 existem duas formas diferentes, sendo que estas apresentam os mesmos resultados. Logoff por meio do boto iniciar A primeira forma de encerrar uma sesso do Windows 2000 por meio do boto iniciar que se encontra na barra de ferramentas. Para tanto, clique sobre este boto e no menu apresentado, selecione a opo desligar. A opo de encerramento por meio da tela de segurana feita atravs do pressionamento simultneo das teclas CTRL + ALT + DEL (como no inicio do sistema) com a finalidade de se apresentar tela de segurana. Nesta tela, deve-se clicar sobre o boto. Aps qualquer uma das formas acima, so apresentadas trs opes para que o usurio selecione uma de acordo com a necessidade, como descrito abaixo:
Desligar o computador Fecha todos os programas, grava as informaes que esto em cache de disco e memria e apresenta ao usurio uma mensagem informando que o computador pode ser desligado. Esta opo utilizada quando se deseja desligar o computador. Reiniciar o computador Como na opo anterior, fecha os programas e grava as informaes pendentes, porem reinicia a maquina. Esta opo normalmente usada quando se deseja somente atualizar o sistema aps a instalao de algum aplicativo ou dispositivo (caso necessrio). Efetuar logoff em Administrador (ou nome do Usurio) Fecha todos os aplicativos abertos e grava as informaes ainda no salvas que se encontram na memria. Alem disto, fecha a sesso atual do usurio e inicia um novo processo de logon, porem no finaliza os servios que esto rodando no computador (servio de Browser de rede, RAS, etc.). A administrao do Windows 2000 e seus conceitos bsicos, apresentado as reas que fazem parte do dia-a-dia da administrao de um sistema baseado nele. Tambm foram apresentados os contedos de cada um dos captulos a serem estudados nesta apostila, bem como os comentrios pertinentes a cada um deles. As ferramentas de administrao do sistema tambm foram apresentadas, tanto as disponveis no Professional como no Server e as comuns aos dois sistemas. Finalmente foi apresentado o processo de Logon e Logoff de estaes baseadas em Windows 2000, bem como as formas de se reiniciar o computador ou deslig-lo. 2 Configurando contas de usurios 1. O que so contas Uma conta de usurio como uma identificao para que o usurio posso acessar a rede e recursos de rede, utilizando o Windows 2000 Professional ou um domnio no Windows 2000 Server. As contas so utilizadas para controle de cada usurio ao acesso de recursos e tambm determinao de direitos do usurio dentro da rede, tendo o mesmo um acesso nico. Diferente de outras verses como Windows 95/98/ME, o processo de autenticao de usurio obrigatrio, sendo assim, no existe possibilidade de entra no sistema pressionando qualquer tecla ou combinao das mesmas. Isto caracterizado por Logon Mandatrio.
53
2. Tipos de contas O Windows 2000 conta com dois tipos distintos de contas: contas criadas e contas de sistema, sendo que as diferenas entre estas so mostradas a seguir:
Contas Criadas: As contas criadas so criadas seguindo uma poltica de contas, onde a pessoa responsvel (administradores ou operadores de contas), cria contas de acesso para cada usurio da rede e incluem seu nome, senha e dados relativos ao mesmo. Contas do Sistema: Contas do sistema so aquelas criadas pelo prprio sistema. Estas contas so sempre criadas na instalao do sistema, porem as mesmas no so obrigatrias para que o sistema funcione. As contas de sistema so Convidado (Guest) e Administrador (Administrator).
3. Como as contas so criadas Excluindo-se as contas de sistema, todas as demais contas so criadas pelo administrador ou operador de contas, designado pelo administrador. Estas contas so criadas em um servidor com domnio utilizando o Active Directory e sem o domnio utilizando o Gerenciador de computador. Gerenciamento do computador Em ferramentas do sistema utilize usurios e grupos locais para fazer o cadastro de um novo usurio ou grupo. Por medidas de segurana comum renomear as contas administrador e convidado. Impedindo assim que um intruso tem acessar ao sistema utilizando esse tipo de conta.
54
Os grupos locais padro que so criados em um computador com Windows 2000 so: Administradores, Operadores de Cpia, Usurios Avanados, Duplicadores e Usurios. Grupos internos devem ser criados separadamente, que veremos mais frente. Esses grupos internos tm um conjunto de permisses e direitos j predefinidos. Para que os usurios tenham permisses e direitos, dizemos que o usurio faz parte do grupo interno. Para criar uma conta no Gerenciamento de computador, escolha ferramentas do sistema, usurios e no menu Ao escolha a opo novo usurio. Siga as instrues apresentadas pelo assistente ate o termino da incluso do novo usurio. Para criar uma conta no Active Directory, escolha o domnio, users e com o boto direito do mouse escolha novo usurio. Siga as instrues apresentadas pelo assistente ate o termino da incluso do novo usurio. Quando uma conta criada em um domnio, a mesma sempre criada no bando de dados de contas do controlador primrio do domnio (PDC) mesmo que tenha sido criada em qualquer estao da rede. Quando a conta criada, aps alguns minutos a mesma replicada para os controladores de backup da rede (BDCs) que tambm armazenam a copia do banco de dados do controlador primrio. No caso de um grupo de trabalho ou um computador com Windows 2000 Server como Member Server da rede, as contas para acesso aos recursos locais ficam na maquina local e no no controlador primrio. Estas contas so chamadas de contas locais. 4. Planejamento de contas Muitos usurios (e diversos administradores de redes Windows 2000) no criam uma
poltica de contas de usurios, o que acarreta diversos problemas como acessos indevidos rede, contas desativadas, impossibilidade de acesso, etc. Tudo isto ocorre devido a no existncia de uma poltica de contas de usurios, por menor que seja esta, com a finalidade de evitar e minimizar os problemas. Para que possa organizar melhor sua poltica de contas, observe os seguintes pontos: Conveno de nomes A forma como cada usurio ser identificado na rede, deve ser bem definido, pois o nome do mesmo no deve ser igual a outro usurio. Senhas Deve-se estudar com cuidado esta questo de senhas que os usurios podem utilizar com a finalidade de ser dificultado o acesso rede, j que os usurios na maioria das vezes utilizam senhas lgicas como: nome da esposa, dos filhos, data de aniversrio, etc. Tambm acontece de um usurio permanecer muito tempo com a mesma senha, sendo este procedimento inseguro. Desta forma deve-se estipular um numero mnimo de caracteres para a senha e por quanto tempo ela deve ser usada ou quando ela deve ser trocada.
Horrio de Logon Se os funcionrios de um departamento terminam o expediente aps as 18:00 horas, no existe a necessidade de permitir as contas o acesso aps esse horrio. Desta forma amplia-se o nvel de segurana da rede, principalmente naquelas conectadas a Internet. Computador usado pelo usurio O usurio pode utilizar uma maquina especifica ou trabalhar em varias maquinas. Nestes casos deve-se determinar qual a maquina ou quais as maquinas esse usurio ter acesso rede. Impedindo assim que ele utilize a rede de maquinas no autorizadas. Estes pontos discutidos aqui so observaes que devem ser estudadas, pois, na implantao de uma rede deve-se levar em considerao todos os aspectos, permitindo assim, um melhor controle e maior segurana.
5. Criando contas Aps o estudo da poltica de contas, deve-se comear o cadastramento de todos os usurios, para que os mesmos possam acessar a rede e recursos dela.
56
Cadastro de usurio de um grupo de trabalho
Cadastro de usurio de um Domnio Estas janelas so utilizadas para o cadastro do usurio, tanto em um grupo de trabalho
como em um domnio. Nome do usurio Nome Completo Descrio Senha Confirmar senha Um nome nico (no permitido espaos) para a conta do usurio. Preenchimento Obrigatrio O nome completo do usurio. A descrio do usurio na empresa. Preenchimento Opcional Deve-se informar uma senha Deve-se redigitar a senha 5.1 Configurando senha e outras opes bsicas O usurio deve alterar a senha no prximo logon Usurio no pode alterar a senha A senha nunca expira A conta esta desativada Faz com que o usurio mude a senha, obrigatoriame nte quando logar na rede. O usurio no tem permisso para mudar o acesso da conta. A conta do usurio nunca perdera a validade O usurio no poder acessar a rede atravs dessa conta.
5.1.1 Horrio de Logon Por padro, um usurio no ser desconectado automaticamente quando as horas de logon expirarem, mas existe uma configurao para resolver isso. Essa configurao se chama desconectar automaticamente usurios quando o tempo de logon expirar. Esse parmetro tambm poder ser estabelecido usando a ferramenta de Diretiva de segurana de domnio ou a ferramenta Diretiva de segurana local.
58
Acesso por estao Como foi comentado nas polticas de contas, pode-se restringir o acesso de um usurio somente a estao que o mesmo utiliza, ou ainda a um grupo de estaes.
5.2 Removendo e renomeando contas Muitas vezes necessrio renomear contas de usurios para que outro usurio possa usar ou ainda remov-la pelo fato de que a mesma no mais vai ser usada.
59
Para renomear uma conta, proceda da seguinte forma: Clique sobre a conta que deseja renomear para selecion-la; Selecione Renomear e digite o nome do novo usurio. Para excluir uma conta, proceda da seguinte forma: Clique sobre a conta que deseja excluir para selecion-la; Selecione Excluir e confirme a excluso.
6. Perfil do usurio
60
Normalmente para se criar um perfil de usurio, acrescent-se o nome do usurio a pasta profiles, onde so armazenados os dados do usurio. Como ambiente de trabalho, Cores, etc. \winnt\profiles\nome do usurio no caminho do perfil O script de logon utilizado para executar alguma tarefa na maquina do usurio, quando o mesmo efetuar o logon. Pasta Base Para atribuir um mapeamento para o usurio no servidor, para que ele tenha acesso a sua pasta, podese criar uma pasta base no perfil, gerando assim um mapeamento automtico toda vez que o usurio logar na rede. 7. Reviso Neste capitulo vimos os seguintes tpicos: O que so contas de usurios e para que as mesmas so usadas, os dois tipos de contas do Windows 2000 (contas criadas pelo administrador/responsvel e contas do sistema),
como as contas so criadas dentro de um domnio usando o Active Directory, como se sincronizam os bancos de dados de contas entre servidores da rede e o que so contas locais, sendo estas usadas em grupos de trabalho e Members Servers. Tambm foi discutidas a necessidade de uma poltica de contas de usurios com a finalidade de que determinados parmetros possam ser discutidos antes das implementaes das contas para que as contas no tenham que ser recriadas. Foi apresentada a forma de criao de contas pelo utilitrio Gerenciador de computador para Grupos de Trabalho e Active Directory para Domnios, as configuraes dos parmetros das contas, como permisso de alterao de senha, desativao da conta, horrio de logon, acesso por estao. Tambm apresentada a forma de se renomear uma conta e como remov-la. Finalmente foi explicada a configurao de locais de armazenamento de dados do usurio por meio do caminho de perfil, script de logon e pasta pessoal do usurio. Capitulo 3 Contas de Grupos 1. Introduo Foi mostrado no capitulo anterior, as contas de usurios e suas configuraes. Porm, alm das contas de usurios existem as contas de grupos que so contas utilizadas para agrupar usurios, facilitando assim a administrao de permisses dos mesmos. Neste capitulo sero apresentadas s contas de grupos locais, globais e universais, suas diferenas e configuraes. Tambm Ser apresentada uma discusso de como utilizar contas de grupos para agilizar a administrao de permisses e recursos de rede. Para finalizar, sero mo strados os direitos de usurios, assim como as modificaes que so permitidas nestes direitos. 2. Grupos Locais, Globais e Universais. Como eles so usados para conceder direitos e permisses, precisamos saber onde a participao naquele grupo significa alguma coisa, ou onde ela aceita. Como podemos aninhar grupos para simplificar a atribuio de permisses e direitos, tambm necessitamos conhecer as regras e recomendaes para aninhamento. Os grupos locais regulares so o nico tipo de grupo que existe em servidores autnomos ou sistemas Windows 2000 Professional. Um servidor autnomo ou um computador profissional que no pertena a um domnio como uma nao isolada sem qualquer conhecimento do mundo exterior. Ele reconhece apenas os recursos, e a participao limitada aos usurios locais. Quando a maquina se junta a um domnio, contudo, essa nao isolada torna-se membro de um corpo de governo maior como uma federao de naes ilhadas. Esse servidor membro ou computador membro mantm os seus grupos e usurios locais, mas aceitar agora que membros no-locais que sejam membros da federao, se associem aos seus grupos locais. Os grupos globais e as
contas da federao (domnio) tambm podero ser informados no objeto listas de permisses (Access Control Lists, ou ACLs). Os grupos de domnio locais, que ficam nos controladores de domnio do Active Directory, existem em contextos diferentes daquele dos grupos locais em computadores, servidores autnomos ou servidores membros. Esses computadores so, por padro, clientes do seu domnio principal e quaisquer outros domnios que estejam na floresta do Active Directory. Os grupos de domnio local podem, portanto, conter membros de qualquer domnio na floresta. Eles podem conter usurios, grupos globais do seu domnio ou de um domnio confivel e grupos universais. Os grupos globais s podero conter membros do mesmo domnio. Agora, no Windows 2000, voc pode colocar outros grupos globais neles. Voc no poder colocar um grupo local ou um grupo universal no grupo global, apenas usurios e grupos globais do mesmo domnio. A participao em um grupo global exatamente o oposto de uma participao em grupos de domnio local; a participao em grupos globais limitada, mas a sua aceitao maior. Os grupos globais podem ser usados em qualquer ACL na floresta. Os grupos universais so novos no Windows 2000 e podem ser criados em qualquer controlador de domnio. Eles podem conter membros de qualquer domnio na sua floresta e podem ser usados em uma ACL. A participao em grupos universais infinitamente flexvel, e a participao aceita universalmente na floresta. Assim, por que simplesmente no usamos apenas os grupos universais para tudo e deixamos de nos preocupar com os grupos locais ou globais. So duas as razes. Primeiro, os grupos universais s podem ser usados no modo nativo. O modo nativo s possvel depois que voc tiver atualizado todos os controladores de domnio NT4; eles no sero capazes de lidar com essa coisa de grupo universal antes disso. Segundo, se voc usar apenas grupos universais, o seu catalogo global ficar estufado e podero surgir problemas de replicao. A est o detalhamento dos grupos local, global e universal. No to difcil depois que voc conhece e compreende as regras do jogo, que so as seguintes: Use grupos locais para conceder privilgios locais e acesso a recursos locais. Coloque outros grupos nos grupos locais e mantenha a participao pequena. Use grupos globais para coletar usurios e outros grupos locais do mesmo domnio que precisaro dos mesmos privilgios ou acessar os mesmos recursos. Coloque esses grupos globais em grupos locais que tem os privilgios e permisses de acesso desejados. Use grupos universais como quiser assim que voc tiver acabado com todos os controladores de domnio do NT 4, mas por motivos de replicao, melhor aninhar grupos globais (como opostos a contas de usurios) dentro dos grupos universais. Embora voc possa faz-lo, no aninhe muitos grupos um dentro do outro ou ter problemas com a performace. Ah, sim, e tambm acho que seria til fazer um resumo das novas regras de aninhamento do Windows 2000.
Os grupos locais (em um computador Windows 2000 Professional ou um Servidor membro) podero conter: Grupos de domnio local, grupos globais e universais do domnio principal . Grupos globais e universais de domnios Windows 2000 confiveis . Grupos globais de domnios NT 4 confiveis Os grupos de domnio local (em um controlador de domnio) podero conter; . Contas de usurios de qualquer domnio da floresta . Grupos universais e globais de qualquer domnio da floresta . Grupos locais apenas do mesmo domnio. Os grupos globais podero conter: . Usurios do mesmo domnio . Outros grupos locais do mesmo domnio Os grupos universais podero conter: . Contas de usurios de qualquer domnio na floresta . Outros grupos universais . Grupos globais de qualquer domnio na floresta 2.1. Planejamento de grupos de contas Normalmente quando se possui um numero pequeno de usurios na rede, so poucos os grupos de contas a serem criados pelo administrador, no trazendo maiores dificuldades. Porem, quando existem centenas de usurios que acessam dezenas de recursos na rede e fazem parte dos mais variados departamentos, um planejamento de contas de grupos obrigatrio para que o administrador de contas possa dar permisses corretas aos usurios corretos que acessam determinado recurso. 2.1.1 Trabalhando com Grupos de Segurana J falamos o suficiente de grupos globais, locais e universais. Voc precisa de alguns exemplos de como isso funciona. Contudo, deixe-me enfatizar o quo importante que voc pense na sua estrutura de seus grupos com antecedncia. Quando voc tiver pralinhado os seus grupos de maior participao (como os grupos locais e universais) e tiver concedido o acesso aos grupos locais quando instalou os seus recursos, voc s precisar mexer com as participaes para os grupos universais e globais da em diante. Isso ir economizar o seu tempo e simplificar a tarefa de conceder permisses de objeto. Alguns bons exemplos de aninhamento podem ser obtidos dos padres de aninhamento que so instalados automaticamente em um domnio. Um deles o aninhamento de grupos de administradores. A conta Administrador em uma maquina Windows 2000 fornece os seus poderes a partir da participao no grupo local Administradores. Se voc tirar a conta administrador do grupo Administradores, a conta no ter nenhum poder ou habilidade especial (no recomendo faz-lo).
64
Outro exemplo de aninhamento de grupos a participao no grupo local de Usurios. Em um membro de domnio ou controlador de domnio, o grupo Usurios normalmente inclui os usurios do domnio. Quando voc cria uma nova conta de usurio em um domnio, o novo usurio designadoautomaticamente para o grupo usurios do domnio. um tipo de grupo Todos os usurios no domnio. O efeito disso que a conta de usurio em um domnio recebe automaticamente os privilgios de usurio em cada maquina membro do domnio. A conta de usurio fica dentro do grupo global usurios do domnio e o grupo global usurios do domnio ficam dentro do grupo local Usurios, que recebe direitos e permisses locais em um sistema. 2.1.2 Permisses Permisses o conjunto de parmetros usados para restringir (ou no) o acesso de usurios a um determinado recurso (pasta, arquivo, impressora, etc). Estas permisses so usadas para que usurios autorizados possam executar determinadas operaes com os recursos, como, por exemplo, acessar uma impressora ou ainda, ler um documento na rede. As permisses bsicas so: Controle Total permite que o usurio acesse o recurso e tenha a possibilidade de trocar permisses de arquivos, se apropriar de objetos e tambm permite todas as opes encontradas na permisso Alterao; Alterao permite que o usurio crie pastas e adicione arquivos, modifique arquivos (abrir, ler, modificar, remover), troque atributos de arquivos, remova arquivos e pastas, bem como permite todas as opes encontradas na permisso Leitura; Leitura permite que o usurio veja nomes de pastas e arquivos, visualize dados e atributos de arquivos, execute aplicativos e visualize pastas dentro de outras pastas. Sem acesso esta opo somente permite a conexo com o recurso compartilhado, porem no permite o acesso ao recurso, bem como o mesmo no apresenta seu contedo. Por meio destas permisses, pode-se travar o usurio para que o mesmo, de acordo com as permisses, possa ter acesso limitado, como por exemplo: um grupo que possui acesso total a uma pasta e outro que somente pode ler os documentos que a mesma contem. Poderia ser dada a permisso de Controle total para o primeiro grupo e a permisso de Alterao para o segundo. Porem estas permisses no devem ser dadas a usurios, mas sim a grupos que o mesmo faa parte, ou seja, concede-se permisso a um grupo local e inclui dentro do mesmo os grupos globais que contem as contas de usurios. 2.1.3 Grupos locais de domnio internos Os grupos locais internos tm direitos e permisses predefinidas com relao administrao. A participao nesses (ou quaisquer) grupos fornece aos usurios todos os
poderes e habilidades concedidas ao grupo. Essa uma forma de atribuir rapidamente tarefas administrativas bem definidas em vez de cri-las do zero. Por exemplo, os Operadores de Servidores tm um conjunto de direitos inerentes que permitem que eles compartilhem pastas e gerenciem servios. Os Operadores de Cpia tm o direito de copiar arquivos e diretrios, ainda que tenham a permisso de l-los ou modific-los. Grupos internos e seus direitos Direitos dos Usurios Grupo Administradores Efetuar logon local Acesso a este computador pela rede Apropriar-se de arquivos de outros objetos Gerenciar a auditoria e o log de segurana Alterar a hora do sistema Desligar o sistema Forar o desligamento a partir de um sistema remoto Fazer backup de arquivos e pastas Restaurar arquivos e pastas Carregar ou descarregar drivers de dispositivos Aumentar a prioridade de planejamento Criar e gerenciar contas de usurio Criar e gerenciar grupos globais Atribuir direitos de usurios Gerenciar a auditoria e diretiva de segurana Bloquear o console do servidor Formatar o disco rgido do servidor Criar grupos de programas comuns Manter um perfil local Compartilhar e cancelar compartilhamento de arquivos e impressoras Os membros tambm podem
Direitos dos Usurios Grupo Operadores de Servidores Efetuar logon local Mudar a hora do sistema Desligar o sistema Forar o desligamento a partir de um sistema remoto Fazer backup de arquivos e pastas Restaurar arquivos e pastas Grupo Operadores de contas Efetuar logon local
Os Membros tambm podem
Bloquear o servidor Sobrepor o bloqueio Formatar o disco rgido do servidor Criar grupos comuns Manter um perfil local Compartilhar e cancelar compartilhamento de arquivos e impressoras
Criar e gerenciar contas de usurios, grupos locais

66
Desligar o sistema Grupo Operadores de Impresso Efetuar logon local Desligar o sistema
e globais Manter um perfil local
Manter um perfil local Compartilhar e cancelar compartilhamento de impressoras
Grupo Operadores de cpia Efetuar logon local Desligar o sistema Fazer o backup de arquivos e pastas Restaurar arquivos e pastas Grupo Todos Acessar esse computador a partir da rede Grupo Usurios Manter um perfil local
Bloquear o servidor
(nenhum) Grupo Convidados (nenhum) Grupo Duplicadores (nenhum)
Criar e gerenciar grupos locais
(nenhum)
(nenhum)
Administradores Os administradores tm praticamente todos os direitos internos, por isso os seus membros so teoricamente todo-poderoso quanto administrao do sistema. Operadores de Cpia Os membros do grupo operadores de cpia tm o direito de fazer backup e restaurar arquivos, tenham eles ou no permisso de acesso a esses arquivos de outra forma. Operadores de Servidores O grupo local operadores de servidores tem todos os direitos necessrios para gerenciar os servidores de domnio. Os membros podem criar, gerenciar e cancelar compartilhamento de impressoras nos servidores; criar, gerenciar e cancelar compartilhamento de rede nos servidores e fazer backup e restaurar arquivos nos servidores; formatar um disco rgido do servidor; bloquear e desbloquear servidores; bloquear arquivos e mudar a hora do sistema. Alem disso, os operadores de servidores podem efetuar logon rede de qualquer servidor de domnio, bem como desligar os servidores.
Operadores de Contas os membros do grupo operadores de contas podem criar contas de usurios e grupos para o domnio, alm de modificar ou excluir a maior parte das contas de usurio e grupo do domnio. Operadores de Impresso Os membros desse grupo podem criar, gerenciar e excluir compartilhamento de impressora para um servidor Windows 2000. Alem disso, eles podem efetuar logon em servidores e deslig-los. Usurios Avanados Esse grupo existe em sistemas no controladores de domnio e Windows 2000 Professional. Os membros podem criar contas de usurios e grupos locais e podem gerenciar a participao de usurios, usurios avanados e convidados, bem como administrar outros usurios e grupos que eles criam. Usurios Os usurios podem executar aplicativos (mas no podem instal-los). Eles tambm podem desligar e bloquear o computador. Se um usurio tiver o direito de bloquear localmente um computador, ele tambm ter o direito de criar grupos locais e gerenciar esses grupos por ele criados. Convidados Os convidados podem efetuar logon e executar aplicativos. Eles tambm podem desligar o sistema, mas de certa forma suas capacidades so ainda mais limitadas que as dos Usurios. Por exemplo, eles no podem manter um perfil local. Duplicadores Esse grupo restrito ao diretrio de duplicao. O servio Duplicador de Pastas executado por meio de uma conta de usurio que dever ser o nico membro desse grupo. No continer user, outros grupos de domnio locais e grupos globais podero ser criados como parte da configurao de determinado servio. Eles podem permitir que os usurios acessem determinados servios. O Windows 2000 tem vrios grupos globais internos, entre eles os Administradores do domnio, Usurios do domnio e Convidados do domnio. Esses grupos aparecero apenas nos controladores de domnio. Embora voc possa usar uma ferrame nta administrativa quando estiver em um no-controlador de domnio para criar os grupos globais, eles existem apenas nos controladores de domnio. Grupos globais internos Grupos Administrador do domnio Ao colocar uma conta de usurio neste grupo global, voc fornece capacidades de nvel administrativo para aquele usurio. Os membros de Administradores de domnio podem administrar o domnio principal, e quaisquer outros domnios confiveis
O que ele faz
que se juntaram ao domnio desse grupo global. Usurios do domnio Os membros do grupo global usurios do domnio tm acesso de usurios e capacidades normais tanto para o prprio domnio como para qualquer computador NT/Windows 2000 do domnio. Esse grupo possui todas as contas de usurios local em qualquer computador NT/Windows 2000 do domnio. Convidados do domnio Esse grupo permite que contas de convidados tenham acesso a recursos alem das fronteiras do domnio, caso essas permisses tenham sido autorizadas pelos administradores do domnio. 2.1.4 Grupos Especiais Internos Alem dos grupos globais e locais internos, vrios grupos especiais que no aparecem no Active Directory, aparecero nas Access Control Lists para recursos e objetos incluindo os seguintes grupos: Interativo Qualquer um que esteja usando o computador localmente. Rede Todos os usurios que esto conectados na rede por meio de um computador. System O sistema operacional. Proprietrio Criador O criador e/ou o proprietrio de subdiretrios, arquivos e trabalhos de Impresso. Usurios Autenticados Todo usurio que foi autenticado pelo sistema. Usado como uma alternativa mais segura do que o grupo Todos. Logon Annimo Um usurio que tenha efetuado logon annimo, como um usurio annimo do FTP. Em lotes
Uma conta que efetuou logon como um programa batch. Servio Uma conta que efetuou logon como um servio. Dialup Usurios que conseguiram acesso ao sistema por meio da Rede Dial-up. 3. Criando contas de grupos Para criar um novo grupo com a opo Usurios e computadores do Active Directory, navegue at o continer no qual voc quer que o grupo permanea. Os grupos podem ser criados na raiz do domnio, em um continer interno como Users ou em uma UO (unidade organizadora), quando o continer estiver selecionado, escolha novo e depois grupo no menu ao. Fornea o nome do grupo e o nome dos nveis inferiores se for diferente, depois escolha o escopo e tipo de grupo. Por padro, o escopo do grupo Global e o tipo segurana. Escolha OK para criar o grupo no continer selecionado.
membros do grupo, v at a guia Membros e escolha adicionar. Como voc pode ver o Windows 2000 permite que os usurios, outros grupos e at mesmo computadores pertenam a grupos, embora existam regras para o aninhamento de grupos, como voc j viu. Os membros de um grupo tambm podem ser provenientes de varias Uos. 4. Removendo contas de grupos Para remover contas de grupos, tanto locais como globais, seleciona-se o grupo desejado na janela do Usurios e computadores do Active Directory e apague (Del). Os grupos no podem ser renomeado devido que permisses so dadas ao mesmo e estes contam com um nico identificador. Para mudar o nome de um grupo, necessrio criar um novo e remover o antigo ou ainda copi-lo para um novo grupo com nome diferente. 5. Reviso
Este capitulo apresentou os grupos de contas locais, globais e universais e suas diferenas, bem como quando usar um e outro e qual a finalidade de cada um dentro de uma rede baseada em Windows 2000. Foram explanadas cada uma das contas possveis de serem criadas pelo administrador, qual a finalidade de cada uma e tambm a criao, configurao e remoo das contas de grupos do sistema. Foi discutida a poltica de contas para ser implementada em uma rede com a finalidade de conceder corretamente aos usurios acesso aos recursos da rede e tambm bloquear aqueles que so necessrios. Finalmente foram discutidos os direitos s contas de grupos e usurios, como implementlos e revoglos e tambm os grupos locais de domnio internos e Especiais. Capitulo 4 Administrando contas de usurios e de grupos. 1. Introduo Este capitulo destinado principalmente facilitar o administrador quando o mesmo possui centenas de contas para gerenciar. Nele sero apresentadas as forma de criao e uso de modelos de contas, as poltica de contas de usurios e suas configuraes, o desbloqueio de contas e a modificao de diversas contas ao mesmo tempo. 2. 2. Modelos de contas Um modelo de conta nada mais que uma conta de usurio pr-configurada pelo administrador com a finalidade de se minimizar a necessidade de configurao de contas. Estes modelos so utilizados quando existem diversas contas a serem criadas para diversos departamentos e/ou usurios. Estes modelos podem configurar automaticamente as seguintes opes: . . . . . . . . . Descrio da conta Perfil do usurio O usurio deve trocar a senha no prximo logon O usurio no pode alterar a senha A senha nunca expira Grupos Horas (somente para controladores de domnio) Acesso por estao (somente para controladores de domnio) Permisso de acesso externo
Observe que as permisses e direitos no so copiados para as contas, portanto os mesmo devem ser configurados manualmente para cada uma das contas. Sugere-se que sejam criados, conforme a necessidade, modelos para departamentos e/ou modelos para usurios. Tambm indicado que seja criado um modelo para aqueles usurios em transito na empresa ou temporrios.
modelos de contas Para criar um modelo de contas simples, bastando criar uma nova conta com os parmetros desejados para as demais e nome-la com um nome de fcil reconhecimento. Indica-se que o nome do modelo seja iniciado por um underscore ( _ ) pois desta forma, os modelos sero apresentados no inicio da lista de contas, facilitando assim sua localizao. Para criar o modelo, siga os passos apresentados no capitulo 2 (configurando contas de usurios). 2.2. Utilizando o modelo de conta Para utilizar o modelo de conta, simplesmente selecione o modelo desejado, clique no menu ao e escolha a opo copiar. Ser apresentada uma janela de cadastro do usurio j com diversos parmetros prconfigurados, existindo a necessidade de somente designar um nome para a conta (nome do usurio) e o sobrenome. 2. 3. Usando Diretivas de Grupo para Estabelecer Senha e Diretiva de Bloqueio
Diretivas de Grupo para Estabelecer Senha e Diretiva de Bloqueio so itens adicionais segurana que devem ser configurados com a finalidade de criar restries e exigncias referentes a senhas e travamento de contas. Estas diretivas so dadas a todas as contas e no a uma especifica, no NT e, quaisquer diretivas de conta estabelecida no Gerenciador de Usurios para domnio aplicadas a conta do domnio e as funes de senha, enquanto os eventos auditados, como reinicializaes, tentativas de logon incorretas e mudanas nas diretivas de segurana, eram aqueles que ocorriam nos controladores de domnio. As diretivas de grupo so muito mais poderosas. Se voc optar por criar uma diretiva no nvel do domnio, as configuraes se aplicaro a todas as maquinas membro do domnio. Uma observao importante sobre as diretivas de grupo de senha, bloqueio de conta e Kereberos: elas so aplicadas apenas no nvel do domnio. Os
controladores de domnio iro receber as suas configuraes das diretivas de conta do nvel do domnio e ignoraro diretivas ligadas as UOs. De fato, voc ver um erro no log de eventos se uma diretiva do nvel UO contiver essas configuraes. Assim infelizmente, voc ainda no pode fazer com que os administradores alterem as suas senhas com mais freqncia do que todo mundo (no sem um grande adesivo, de qualquer forma). As configuraes de diretiva local podem ser aplicadas a Uos, contudo, a diretiva de auditoria pode ser mais rgida nas Uos de alta segurana e mais relaxada em outras. A diretiva de senha inclui as seguintes opes: Aplicar histrico de senhas Ative essa opo e fornea o numero de novas senhas que devem ser exclusivas antes que uma determinada senha possa ser usada novamente. Tempo de vida mximo da senha Essa opo estabelece o perodo de tempo em que uma senha pode ser usada antes que o sistema requeira do usurio uma nova senha. Tempo de vida mnima da senha O valor estabelecido aqui determina o tempo que uma senha precisa ser usada antes que o usurio possa alter-la novamente. Comprimento mnimo da senha Essa opo define o menor numero de caracteres que a senha de um usurio poder conter. Oito caracteres um bom tamanho de senha. Senhas devem satisfazer requisitos de complexidade Os filtros de senha requerem um numero de requerimentos como o numero de caracteres permitido, se devem ser usados letras e nmeros, se qualquer parte do nome do usurio pode ser usada e assim por diante. Armazenar senhas usando criptografia reversvel para todos os usurios do domnio Os clientes do Windows 95/98 e os clientes Macintosh precisam autenticar com uma encriptao de nvel inferior. A diretiva de bloqueio de conta, uma vez ativada, evita que qualquer um efetue logon na conta aps um determinado numero de tentativas incorretas: Limite de bloqueio de conta Esse valor define quantas vezes o usurio pode tentar efetuar logon antes que a conta seja bloqueada. Zerar contador de bloqueio de conta aps Essa configurao define o tempo em que o contador de tentativas incorretas ira ser redefinido. Por exemplo, suponha que voc redefina a conta aps dois minutos e trs tentativas incorretas. Se voc digitar errado duas vezes, esperando dois minutos aps a segunda tentativa, ter trs chances novamente. Limite de bloqueio de conta Essa configurao determina o intervalo que a conta permanecera bloqueada. Aps esse perodo expirar, a conta do usurio no ficara mais bloqueada e o usurio poder tentar efetuar logon novamente. 4. Desbloqueando contas de usurios
Quando um usurio, por algum motivo tem sua conta bloqueada, o administrador pode desbloque-la a qualquer tempo da seguinte forma : 1) Abra Usurios e computadores do Active Directory e d duplo clique na conta bloqueada. A janela de configurao de conta ser apresentada.
Observe que a caixa propriedades de usurio esta com a opo a conta esta bloqueada esta habilitada. Clique sobre a opo e desative a caixa. Clique no boto de OK. Esta opo de bloqueio de conta somente funciona caso a opo limite de bloqueio de conta no esteja configurada. 5. Modificando diversas contas ao mesmo tempo Muitas vezes, existe a necessidade de se modificar parmetros em diversas contas ao mesmo tempo. Para executar esta tarefa, proceda como segue: Abra o Usurios e computadores do Active Directory; Selecione as contas que vo ser modificadas mantendo pressionada a tecla CTRL para a seleo aleatria e SHIFT para uma seleo seqencial; Clique com o boto direito do mouse sobre a seleo e escolha a opo desejada. A janela de propriedades de conta apresentada.
74
Configure as propriedades de acordo com as necessidades Executadas as modificaes feche a anela. 6. Reviso Foi visto neste capitulo os modelos de contas de usurios, como uma forma de facilitar a criao de grandes quantidades de contas, bem como para seguir um padro na criao das mesmas. Tambm foi explanada a forma de utilizao destes modelos pelo administrador. As diretivas de senhas e bloqueios tambm aqui foram mostradas, sendo estas utilizadas principalmente para configurar parmetros de senhas e bloqueios, com a finalidade de ampliar a segurana de acesso rede. Finalmente, foi discutido o desbloqueio de contas de usurios e como efetuar modificaes em diversas contas ao mesmo tempo, com a finalidade de otimizar o gerenciamento das mesmas.
75
Capitulo 5 Gerenciando controladores de domnio. 1. Introduo O capitulo a seguir apresenta o que so os diversos computadores em uma rede Windows 2000 bem como resolver problemas que podem ocorrer com os servidores, principalmente. 2. 2. Controladores de domnio Um controlador de domnio um computador que executa o Windows 2000 Server que tenha sido configurado usando-se o Assistente para instalao do Active Directory. O Assistente para instalao do Active Directory instala e configura componentes que fornecem servios de diretrio do Active Directory a usurios e computadores da rede. Os controladores de domnio armazenam dados de diretrio e gerenciam interaes usuriosdomnio, inclusive processos de logon do usurio, autenticao e pesquisas de diretrio. Um domnio pode ter um ou mais controladores de domnio. Uma organizao pequena que use uma nica Local Area Network (LAN, rede local) pode precisar somente de um domnio com dois controladores de domnio para obter alta disponibilidade e tolerncia falhas. Uma empresa grande com vrios locais de rede precisar um ou mais controladores de domnio em cada localizao para obter alta disponibilidade e tolerncia falhas. O Active Directory oferece suporte duplicao mestre mltiplo de dados de diretrio entre todos os controladores de domnio no domnio. Algumas alteraes no podem ser executadas na forma mestre mltiplo, no entanto, h um nico controlador de domnio, que aceita pedidos para essas alteraes. Em qualquer floresta do Active Directory, h pelo menos cinco funes diferentes do mestre de operaes que so atribudas a um ou mais controladores de domnio. Os controladores de domnio do Windows 2000 Server fornecem uma extenso das capacidades e recursos fornecidos pelos controladores de domnio do Windows NT Server 4.0. A duplicao mestre mltiplo do Windows 2000 Server sincroniza os dados diretrio em cada controlador de domnio, assegurando consistncia das informaes com o tempo. A duplicao mestre mltiplo uma evoluo do modelo do controladores de domnio primrio usado no Windows NT Server 4.0, no qual somente um servidor, o controlador de domnio primrio, possua uma cpia de leitura e gravao do diretrio. 2.1. Operaes do mestre nico O Active Directory d suporte duplicao de mestre mltiplo do armazenamento de dados de diretrio entre todos os controladores do domnio. Algumas alteraes no podem ser executadas na forma de mestre mltiplo; no entanto, h um nico controlador de domnio, chamado de mestre de operaes, que aceita pedidos para essas alteraes. Como as funes do mestre de operaes podem ser movidas para outros controladores de domnio dentro do domnio ou da floresta, essas funes algumas vezes so chamadas de operaes flexveis do mestre nico.
Em qualquer floresta do Active Directory, existem cinco funes de mestre de operaes atribudas a um ou mais controladores de domnio. Algumas funes devem aparecer em todas as florestas. Outras devem aparecer em todos os domnios da floresta. 3. Funes do mestre de operaes em toda a floresta Cada floresta do Active Directory deve ter as seguintes funes: . . Mestre de esquema Mestre de nomeao de domnio
Essas funes devem ser exclusivas na floresta. Isso significa que na floresta inteira pode existir somente um mestre de esquema e um mestre de nomeao de domnio. 3.1 Mestre de esquema O controlador de domnio do mestre de esquema controla todas as atualizaes e modificaes feitas no esquema. Para atualizar o esquema de uma floresta, voc deve ter acesso ao mestre de esquema. Seja qual for o momento, s permitido um mestre de esquema em toda a floresta. 3.2 Mestre de nomeao de domnio O controlador de domnio que retm a funo de mestre de nomeao de domnio controla a adio eremoo de domnios na floresta. permitido apenas um mestre de nomeao de domnio em toda a floresta seja qual for o momento. 2. 4. Funes do mestre de operaes em todo o domnio Cada domnio da floresta deve ter as seguintes funes: . . . Mestre de ID relativa Emulador de Primary Domain Controller (PDC, controlador de domnio primrio) Mestre de infra-estrutura
Essas funes devem ser exclusivas em cada domnio. Isso significa que cada domnio da floresta pode ter apenas um mestre de ID relativa, emulador de PDC e mestre de infraestrutura. 4.1 Mestre de ID relativa O mestre de ID relativa aloca seqncias de identificaes relativas para cada um dos vrios controladores de domnio no seu domnio. Seja qual for o momento, s permitido um controlador de domnio atuando como mestre de ID relativa em cada domnio da floresta. Sempre que um controlador de domnio cria um objeto de usurio, grupo ou computador, ele atribui ao objeto uma identificao de segurana exclusiva. A identificao de segurana consiste em uma identificao de segurana de domnio (que a mesma para
todas as identificaes de segurana criadas no domnio) e uma identificao relativa, que exclusiva para cada identificao de segurana criada no domnio. Para mover um objeto entre domnios (usando o Movetree.exe), voc deve iniciar a movimentao no controlador de domnio que est atuando como mestre de ID relativa do domnio que contm o objeto no momento. 4.2 Emulador de PDC Se o domnio contiver computadores operando sem o software cliente do Windows 2000 ou se ele contiver Backup Domain Controllers (BDC, controladores de domnio de backup) do Windows NT, o emulador de PDC atuar como um controlador de domnio primrio do Windows NT. Ele processa alteraes de senha de clientes e duplica as atualizaes para os bdcs. Seja qual for o momento, s permitido um controlador de domnio atuando como emulador de PDC em cada domnio da floresta. Em um domnio do Windows 2000 operando no modo nativo, o emulador de PDC recebe a duplicao preferencial das alteraes de senha executadas por outros controladores de domnio no domnio. Se uma senha tiver sido alterada recentemente, essa alterao levar algum tempo para ser duplicada em cada controlador do domnio. Se ocorrer uma falha de autenticao de logon em outro controlador de domnio devido a uma senha incorreta, esse controlador encaminhar o pedido de autenticao para o emulador de PDC antes de rejeitar a tentativa de logon. 4.3 Mestre de infra-estrutura O mestre de infra-estrutura responsvel pela atualizao de referncias de grupo para usurio sempre que os membros dos grupos so renomeados ou alterados. Seja qual for o momento, s permitido um controlador de domnio atuando como mestre de infraestrutura em cada domnio. Quando voc renomeia ou move um membro de um grupo (e esse membro reside em um domnio diferente do grupo), pode ser que, temporariamente, o grupo parea no conter esse membro. O mestre de infra-estrutura do domnio do grupo responsvel pela atualizao do grupo para que o domnio do grupo saiba o novo nome ou local do membro. O mestre de infra-estrutura distribui a atualizao por meio de duplicao de mestre mltiplo. A segurana no comprometida durante o perodo entre a renomeao do membro e a atualizao do grupo. Apenas um administrador que observasse a participao desse grupo especfico perceberia a inconsistncia temporria. Para delegar o controle Na rvore de console, clique duas vezes no n do domnio. Na rvore de console, clique com o boto direito do mouse na pasta a ser controlada por
outro usurio ou grupo. Clique em Delegar controle para iniciar o Assistente para delegao de controle. Siga as instrues do Assistente para delegao de controle. Observaes . Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Usurios e computadores do Active Directory. . Voc pode delegar o controle administrativo de um determinado domnio ou unidade organizacional a administradores individuais responsveis somente por esse domnio ou unidade organizacional. Para modificar as propriedades do controlador de domnio Na rvore de console, clique duas vezes no n do domnio. Na rvore de console, clique na pasta que contm o controlador de domnio. No painel de detalhes, clique com o boto direito do mouse no controlador de domnio que deseja modificar e clique em Propriedades. As seguintes guias de propriedade so exibidas: . . . . Geral Sistema operacional Membro de Localizao
Gerenciado por Clique na guia de propriedade que contm a propriedade que deseja modificar. Observaes . Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Usurios e computadores do Active Directory. . Por padro, os controladores de domnio so instalados na pasta Controladores de domnio. . Algumas propriedades so automaticamente atribudas quando o computador ingressa no domnio ou sempre que iniciado. Essas propriedades no podem ser modificadas pelo administrador (por exemplo, Nome, Funo e Sistema operacional). . Se voc estiver visualizando recursos avanados, sero exibidas guias de propriedade adicionais.
79
Para identificar o mestre de ID relativa Clique com o boto direito do mouse no n Usurios e computadores do Active Directory e clique em Mestre de operaes. Na guia RID, o nome do mestre de ID relativa atual exibido em Mestre de operaes. Observaes . Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Usurios e computadores do Active Directory. . Cada domnio possui um mestre de ID relativa. Para identificar o mestre de ID relativa em um Para identificar o emulador de PDC Clique com o boto direito do mouse em Usurios e computadores do Active Directory e clique em Mestre de operaes. Na guia PDC, o nome do emulador de PDC atual exibido em Mestre de operaes.
Observaes . Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Usurios e computadores do Active Directory. . Cada domnio possui um emulador de PDC. Para identificar o emulador de PDC em um domnio diferente, escolha o domnio apropriado antes de clicar em Mestre de operaes. Para identificar o mestre de infra-estrutura Clique com o boto direito do mouse em Usurios e computadores do Active Directory e clique em Mestre de operaes. Na guia Infra-estrutura, o nome do mestre de infra-estrutura atual exibido em Mestre de operaes. Observaes . Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Usurios e computadores do Active Directory. . Cada domnio possui um mestre de infra-estrutura. Para identificar o mestre de infra-estrutura em um domnio diferente, escolha o domnio apropriado antes de clicar em Mestre de operaes. Para transferir a funo do mestre de ID relativa
80
Na rvore de console, clique com o boto direito do mouse no n do controlador de domnio que se tornar o novo mestre de ID relativa e clique em Conectar-se ao domnio. Digite o nome do domnio ou clique em Procurar e selecione o domnio na lista. Na rvore de console, clique com o boto direito do mouse em Usurios e computadores do Active Directory e clique em Mestre de operaes. Clique na guia RID e, em seguida, clique em Alterar. Observao Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Usurios e computadores do Active Directory. Para transferir a funo do emulador de PDC (Primary domain controller, controlador de domnio primrio) Na rvore de console, clique com o boto direito do mouse no n do controlador de domnio que se tornar o novo mestre do emulador de PDC e clique em Conectar-se ao domnio. Digite o nome do domnio ou clique em Procurar e selecione o domnio na lista. Na rvore de console, clique com o boto direito do mouse em Usurios e computadores do Active Directory e clique em Mestre de operaes. Na guia PDC, clique em Alterar. Observao Para abrir Us urios e computadores do Active Directory, clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Usurios e computadores do Active Directory. Para transferir a funo do mestre de infra-estrutura Na rvore de console, clique com o boto direito do mouse no n do controlador de domnio que se tornar o novo mestre de infra-estrutura e clique em Conectar-se ao domnio. Digite o nome do domnio ou clique em Procurar e selecione o domnio na lista. Na rvore de console, clique com o boto direito do mouse em Usurios e computadores do Active Directory e clique em Mestre de operaes.
Na guia Infra-estrutura, clique em Alterar. Observao Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para Programas, para Ferramentas administrativas e clique em Usurios e computadores do Active Directory. 5. Promover domnio Qualquer servidor participante ou autnomo pode ser promovido a controlador domnio usando-se o Assistente para instalao do Active Directory. Para obter os fatores a serem considerados antes de promover um controlador de domnio. Selecione o nvel segurana. Para maximizar a segurana, o Active Directory do Windows 2000, por padro, no permite que o logon de contas efetuado usando o acesso annimo seja capaz de exibir participaes em grupos e outras informaes de usurio e grupo. O Windows NT 4.0 no permitiu esse nvel de acesso. Vrios aplicativos existentes, incluindo os aplicativos Microsoft BackOffice como o SQL Server, bem como alguns aplicativos de outros fornecedores, dependem deste tipo de acesso para funcionarem corretamente. Para permitir que voc escolha entre uma segurana maior, fornecida pelo Windows 2000 e a possibilidade de continuar a usar a segurana necessria para aplicativos legados, o Windows 2000 inclui o grupo de segurana local interno. Acesso a verses anteriores compatveis com o Windows 2000. Adicionar ou remover o grupo especial Todos como um membro deste grupo e reinicializar os controladores de domnio nesse domnio permite que voc opere a sua rede com nveis de segurana anteriores ao Windows 2000 ou com a maior segurana fornecida pelo Windows 2000. Para fornecer um caminho de atualizao limpo e simples no Windows NT, o Assistente para instalao do Active Directory permite que voc escolha Permisses compatveis com os servidores anteriores ao Windows 2000, que fornece o nvel de segurana compatvel com alguns aplicativos anteriores ao Windows 2000 e Permisses compatveis somente com os servidores do Windows 2000. Observao Se voc escolher Permisses compatveis somente com os servidores do Windows 2000 ao promover um controlador de domnio e perceber que os aplicativos no esto funcionando corretamente, tente resolver o problema adicionando o grupo especial Todos ao grupo de segurana. Acesso a verses anteriores compatveis com o Windows 2000 e reinicializando os domnio no domnio. Depois fazer uma atualizao para aplicativos compatveis com Windows 2000, voc deve retornar a uma configurao mais segura do Windows 2000, removendo Todos do grupo de segurana. Acesso a verses anteriores compatveis com o Windows 2000 e reinicializando os domnios no domnio afetado. 6. Reviso
Neste capitulo foram apresentados os diversos tipos de configurao que computadores com Windows 2000 Server podem ser designados dentro de um domnio. Capitulo 6 Permisses de Recursos compartilhados. 1. Introduo Este capitulo visa apresentar ao aluno as permisses de pastas compartilhadas, as regras para compartilhamento de recursos, permisses para recursos e o compartilhamento, modificao e acesso a recursos. 2. 2. Recursos compartilhados; o que so Para definir recursos compartilhados necessrio, primeiramente, definir o que um recurso: Recursos so objetos (pasta, arquivos, impressora, etc.) existentes na rede, possveis de serem compartilhados com a mesma. A partir desta definio podemos afirmar que um recurso compartilhado nada mais que uma pasta, uma unidade ou uma impressora que est sendo disponibilizado rede por um computador, podendo desta forma ser utilizado por qualquer usurio da mesma que possua permisso para tal. As permisses so dadas para que o proprietrio do recurso possa controlar o acesso ao mesmo de acordo com o que cada usurio pode fazer com o mesmo, ou seja, ler, gravar, modificar ou remover recursos. Todos os recursos, quando compartilhados, so apresentados dentro do Windows Explorer logo abaixo do nome do computador que est oferecendo o recurso, em Meus Locais de Rede. As principais vantagens encontradas com o compartilhamento de recursos so: . . . Acesso centralizado a dados na rede Segurana no acesso aos recursos Controle de dados acessados
3. Permisses de recursos Aqui sero apresentadas as permisses para pastas compartilhadas, sendo que as permisses se modificam de acordo com o tipo de recurso que est sendo compartilhado. Com finalidade de se controlar o acesso a recursos compartilhados na rede, existem as chamadas permisses de acesso que podem ser configuradas para usurios, grupos ou ainda para os dois ao mesmo tempo.
As permisses disponveis a recursos so: Permisses somente so validas para pastas compartilhadas em uma rede. Quando o usurio loga localmente na estao, as mesmas no so aplicadas, podendo este acessar a pasta sem restries. Para que esta regra no
seja correta, necessria que a pasta esteja em um volume NTFS. Controle Total Permite que o usurio acesse o recurso e tenha a possibilidade de trocar permisses de arquivos, tomar posse de objetos e tambm permite todas as opes encontradas na permisso Alterao. Permite que o usurio crie pastas e adicione arquivos, modifique arquivos (abrir, ler, modificar, remover), troque atributos de arquivos, remova arquivos e pastas, bem como permite todas as opes encontradas na permisso Leitura. Permite que o usurio veja nomes de pastas e arquivos, visualize dados e atributos de arquivos, execute aplicativos e visualize pastas dentro de outras pastas. Esta opo somente permite a conexo com o recurso compartilhado, porem no permite o acesso ao recurso, bem como o mesmo no apresenta seu contedo.
Alterao
Leitura
Sem acesso
Observe que, caso a pasta seja compartilhada e configuradas as permisses para um determinado grupo, membros de outros grupos no podero fazer acesso ao mesmo. 4. Compartilhando recursos Para compartilhar um recurso na rede com sucesso, necessrio seguir regras bsicas para que a tarefa seja levada a contento e que seja permitido o acesso ao mesmo. As regras bsicas so: Usar nomes intuitivos (fceis de serem lembrados) para o compartilhamento, ou seja, no usar um nome
como JDRFSK para uma pasta que poderia ser denominada usurios. Usar nomes curtos para o compartilhamento. Isto deve ser seguido devido que determinados sistemas operacionais clientes no podem acessar nomes longos. Observe as regras para os sistemas Microsoft.
Aps pensar nestas regras bsicas, a forma de compartilhamento de recursos simples e rpida. Para compartilhar uma pasta, siga os seguintes passos: 1) Abra o Windows NT Explorer e selecione a pasta que deseja compartilhar; 2) Clique na pasta como o boto direito do mouse e selecione a opo Compartilhamento no menu de contexto apresentado;
Nesta janela clique na opo Compartilhar esta pasta. Observe que os campos antes apresentados como desabilitados, agora podem ser editados e configurados; 3) Digite um nome para o compartilhamento na caixa de texto Nome do Compartilhamento, caso o nome proposto pelo sistema no seja o desejado; 4) Caso deseje, coloque uma descrio para o compartilhamento na caixa Comentrio; 5) A area Limite de usurios configura quantos usurios podem se conectar ao mesmo tempo ao recurso. Isto interessante quando existe um recurso que deve ser usado somente por
um usurio de cada vez, como um drive de Cdrom. Escolha Maximo Permitido ou entre com um numero na caixa Permitir... usurios; 6) Clique no boto de Ok. 7) Pronto! A pasta j se encontra compartilhada na rede. Observe que no Windows Explorer a pasta agora se encontra com uma mo sustentando-a. Este o cone que indica um recurso compartilhado.
Existem alguns recursos que so compartilhados automaticamente pelo Windows 2000 com a finalidade de administrao. Estes compartilhamentos so: Compartilhamento Finalidade C$, D$, E$, etc. Todo o root (raiz) de cada volume automaticamente compartilhado com a finalidade de permitir aos administradores acesso ao mesmo. Admin$ A pasta \winnt compartilhada como Admin$, sendo usado somente pelo sistema para administrao remota. Configurando permisses a recursos Aps a configurao de um compartilhamento, devem-se configurar as permisses de acesso para o mesmo. Esta configurao esta no boto Permisses.
Nesta janela apresentado o grupo que possui permisso (Todos) inicialmente, bem como alguns botes utilizados para designar novas permisses. Para conceder novas permisses ao compartilhamento, clique no boto Adicionar. Nesta janela so apresentados os grupos locais, globais e usurios do domnio. A permisso concedida da seguinte forma: 1) Selecione o grupo que ter permisso para acessar o compartilhamento. 2) Depois de selecionado, clique no boto Adicionar. 3) A permisso dada com o selecionamento da mesma. Na caixa permisso, selecione a permisso para esse usurio ou grupo. 4) Clique no boto de Ok.
existir mais de um domnio selecione o domnio desejado na caixa Examinar. Modificando compartilhamento de recursos Algumas modificaes podem ser necessrias em recursos compartilhados durante a administrao como a mudana do nome de compartilhamento, a mudana de permisses ou ainda a finalizao do compartilhamento. Para Encerrar o compartilhamento
Resultado Selecione o compartilhamento, clicando como o boto direito e escolhendo a opo Compartilhamento no menu de contexto apresentado. Na
87
Modificar o nome do compartilhamento Modificar permisses
janela de compartilhamento, selecione No compartilhar esta pasta. Abra a janela de compartilhamento, selecione No compartilhar esta pasta, clique em Aplicar. Selecione Compartilhar esta pasta e digite um novo nome para o compartilhamento Abra a janela de compartilhamento, selecione Permisses e modifique as permisses de acordo com as necessidades.
4.3 Acessando recursos compartilhados em uma rede Existem duas formas distintas de se acessar um recurso compartilhado, sendo que todas elas surtem o mesmo efeito. As formas so mapeamento e acesso direto. 4.3.1 Mapeamento O mapeamento a designao de uma unidade de drive para uma pasta compartilhada na rede, onde a mesma pode ser acessada como se fosse um disco do computador. Para mapear uma pasta, existem as seguintes formas? Pelo prompt de comando 1) Abra o Prompt de comando (boto Iniciar>Programas>Acessrios>Prompt de Comando) e digite: Net use <drive> \\nome do computador\nome do compartilhamento Onde: Net use comando para acesso. Drive letra de unidade a ser utilizada como drive mapeado. Nome do computador nome do servidor onde se encontra o recurso compartilhado.
Nome do compartilhamento nome do recurso compartilhado. 2) Ser apresentada uma mensagem indicando que o comando foi executado com xito; 3) Feche o prompt de comando. Pela opo executar 1) Clique no boto iniciar e aponte para Executar; 2) Na janela apresentada digite o mesmo comando da opo prompt de comando. Por Meus Locais de Rede
88
1) Na area de trabalho, selecione o cone Meus Locais de Rede com o boto direito do mouse e clique na opo Mapear Unidade de Rede. 2) Selecione a letra que deve ser utilizada no mapeamento na caixa unidade. 3) Caso saiba o caminho do compartilhamento, digite o nome na caixa Pasta. Caso no saiba, clique no boto procurar, para encontrar o compartilhamento desejado. 4) Quando uma sesso do Windows 2000 encerrada, todos as unidades mapeadas so removidas, exceto quando selecionada a opo Reconectar-se durante o Logon, que efetua a conexo novamente quando a sesso restaurada.
4.3.2 Acesso direto Existe tambm a possibilidade de se acessar um recurso compartilhado na rede sem que o mesmo esteja mapeado na estao. Para tanto, proceda como em um dos casos abaixo: Pela opo executar 1) Clique no boto Iniciar e aponte para Executar; 2) Na janela apresentada digite o nome do compartilhamento ou ainda o nome do servidor. Sero apresentados os contedos do compartilhamento ou ainda os recursos compartilhados, respectivamente.
Pelo Windows Explorer 1) Abra o Windows Explorer (boto Iniciar>Programas>Acessrios>Windows Explorer) e estenda a rvore abaixo de Meus Locais de Rede. 2) Na rvore, selecione o computador onde esta o recurso. Abaixo do mesmo se encontram os recursos compartilhados por ele na rede; 3) Clique sobre o recurso compartilhado para acessa-lo. 5. Reviso
Neste capitulo foram vistos os recursos compartilhados (pastas) e suas definies, a definio de um recurso, quais as vantagens do compartilhamento na rede para todos os usurios e tambm para a administrao dos mesmos. Foram vistas tambm as permisses, as regras e a forma de conceder permisses a grupos no compartilhamento. A modificao de propriedades dos compartilhamentos como a alterao de nome e permisses e tambm o encerramento do compartilhamento foram abordados neste capitulo com a finalidade de apresentar ao aluno como efetuar alteraes em recursos compartilhados na rede. Finalmente, foi explanado como feito o acesso ao recurso compartilhado pela forma de mapeamento do mesmo na rede e tambm por meio de acesso direto, tanto pelo Windows Explorer como pela opo Executar. Capitulo 7 Permisses de Recursos compartilhados em NTFS. 1. Introduo Este capitulo tem como finalidade apresentar ao aluno as permisses existentes no sistema de arquivos NTFS do Windows 2000 que so um pouco diferentes daquelas apresentadas no capitulo anterior. Tambm apresentada a forma de conceder permisses a usurios, bem como combin-los com permisses de arquivos. 2. 2. O que NTFS O Sistema NTFS (NT File System), um sistema de armazenamento de dados que traz diversas caractersticas do sistema utilizado em ambientes UNIX, bem como algumas caractersticas do sistema HPFS utilizado no OS/2 da IBM, sendo o mesmo apresentado juntamente com o sistema operacional como uma forma de aprimorar o que se existia em matria de sistema de armazenamento e recuperao de informaes em mdia, pois ate esta poca, o sistema de arquivos mais utilizado era FAT que trazia diversos proble mas e no oferecia a segurana necessria e exigida pelo sistema. 2.1. Vantagens do NTFS O Sistema NTFS recomendado para uso em ambientes computacionais que se deseja a segurana de dados e tambm naqueles que possuem grande capacidade de armazenamento.
90
As vantagens deste sistema so: . Controle de acesso a dados por meio de permisses configurveis pelo usurio a pasta e arquivos; . Fragmentao mnima de dados; . Tamanho mximo de partio suportada de 2 Terabytes; . Compactao de dados automtica pelo sistema. Os volumes NTFS podem ser visualizados com o utilitrio FDISK do DOS porm no podem ser manuseados pelo mesmo. 3. Permisses em NTFS As permisses NTFS so aquelas somente apresentadas em volumes formatados com NTFS. Estas permisses provem um alto nvel de segurana a arquivos e pastas, podendo inclusive bloquear acessos aos mesmos localmente. Permisses NTFS devem ser utilizadas principalmente quando se deseja proteger recursos dentro do computador, bem como para filtrar o acesso de informaes via rede. Podem ser dadas tanto a arquivos como as pastas, combinando-as para a implementao da segurana. 3.1. Permisses bsicas No existe a necessidade de se configurar todas estas permisses para uma determinada pasta ou arquivo. Podem-se utilizar as permisses bsicas que so nada mais do que as permisses comentadas acima. 3.2. Como so aplicadas permisses em volumes NTFS As permisses NTFS so aplicadas a grupos ou ainda a usurios da mesma forma que as permisses de compartilhamento. Observe que as permi sses so dadas tanto a pastas como a arquivos. Desta forma, um usurio pode no possuir permisso para acessar uma pasta, mas pode ter permisso de escrita em um arquivo que a pasta contem. Para que este usurio use o arquivo, seria necessrio digitar o caminho do mesmo. Desta forma, deve-se estar atento para que o usurio tenha acesso exclusivo somente aqueles dados que utiliza, podem assim, bloquear o acesso a outros arquivos e pastas. 4. Combinando permisso de recurso com permisso NTFS. No capitulo anterior foi dito que para um usurio ter condies de acessar um recurso em um computador da rede, necessrio que o mesmo esteja compartilhado e que o usurio possua a permisso de acesso. Porem, as permisses de compartilhamento de recursos
contam com pontos fracos em questo de segurana, que so: . Concede ao usurio o mesmo nvel de permisso de acesso a todas as pastas e arquivos que esto dentro do recurso compartilhado; . Permitem o acesso ao recurso localmente; . No permite segurana individual a arquivos. Desta forma, caso deseje que um usurio tenha permisso somente em uma pasta do compartilhamento ou ainda deseje que ele possa somente ler determinados arquivos, as permisses de compartilhamento no so suficientes, sendo necessrias as permisses NTFS. !.5. Regras para uso de permisses NTFS . Remova a permisso padro de Controle Total para o grupo Todos e conceda esta permisso ao grupo Administradores. Caso seja uma pasta de aplicativos, conceda a um determinado grupo a responsabilidade por administrao e resoluo de problemas com permisso de Controle Total. . Caso existam aplicativos em pastas compartilhadas, conceda ao grupo usurios permisso de leitura ao compartilhamento. . Em pastas de dados, conceda ao grupo Usurios permisso de leitura e escrita e Controle Total ao proprietrio da pasta. 2. 6. Aplicando permisses em NTFS Aqui so apresentadas algumas regras bsicas para uso de permisses NTFS em pastas e arquivos. Para aplicar permisses NTFS pasta e arquivos necessrio que o usurio possua permisses para tal. As permisses que habilitam a mudana so: Controle Total Acesso especial: Alterar permisses Acesso especial: Apropriar-se (com esta possvel tomar posse do recurso e depois modificar as permisses) Somente usurio com estas permisses tem possibilidade de modific-las de acordo com as necessidades. 6.1. Acesso especial Na maioria das vezes as permisses bsicas so suficientes para proporcionar segurana de acesso ao recurso, porm se existirem casos especiais onde necessrio conceder permisso especial para um determinado usurio ou grupo, as mesmas podem tambm ser configuradas. Para configurar acesso especial a determinada pasta/arquivo, proceda como segue: 1) Abra o Windows Explorer e clique com o boto direito sobre a pasta/arquivo que deseja configurar; 2) Selecione no menu de contexto a opo Propriedades; 3) Na janela, clique
sobre a guia segurana e dentro desta em permisses; 4) Na janela, clique sobre o grupo/usurio que deseja conceder permisso especial e clique em avanado; 5) Selecione a permisso escolhida clicando sobre a mesma; 6) Clique em OK para fecha a janela; 7) Feche as janelas abertas. 7. Apropriar-se da pasta/arquivo Muitas vezes se faz necessrio tomar posse de uma pasta ou arquivo devido que as permisses concedidas erroneamente ou ainda devido que o proprietrio da mesma no esta ausente ou foi desligado e concedeu permisses exclusivas para determinados usurios que no deveriam ter acesso a pasta/arquivo. Como fazer? Tomar posse nada mais que, de acordo com permisses, outro usurio possa ter a permisso de modificar as configuraes dos mesmos. Por padro, usurios que so membros do grupo administradores podem tomar posse de qualquer recurso da rede, incluindo pastas e arquivos. Alm dos administradores, o proprietrio da pasta/arquivo pode conceder permisso a um grupo ou um usurio especifico para tomar posse dos mesmos.
As permisses que habilitam o usurio a tomar posse so os seguintes: . Controle Total . Acesso Especial, Apropriar-se . Acesso Especial, alterar permisses (com a permisso de tomar posse configurada) Para tomar posse de um arquivo / pasta, proceda como segue: 1) Abra o Windows Explorer e clique com o boto direito sobre a pasta / arquivo que deseja configurar; 2) Selecione no menu do contexto a opo Propriedades; 3) Na janela, clique sobre a guia Segurana e dentro desta, avanado e em proprietrio; 4) Clique em substituir o proprietrio. E clique em aplicar.
8. Reviso Neste capitulo foram apresentadas s permisses existentes em volumes formatados com o sistema NTFS do Windows 2000, suas configuraes e formas de concesso. Tambm foi apresentado um breve comentrio do que o sistema NTFS de arquivos,
quais suas vantagens em relao ao sistema FAT, principalmente e tambm quando o mesmo deve ser usado. Finalmente foram apresentadas as formas de configurao de permisses especiais e a tomada de posse de objetos. Capitulo 8 Auditoria. 1. Introduo Em uma rede de computadores, seja esta de qualquer tamanho (mas principalmente nas grandes redes) necessria auditoria para verificar quais so os recursos que esto sendo utilizados e por quem esto sendo utilizados, quais as tentativas de acesso que foram executadas no sistema, quais os aplicativos utilizados, etc. Este capitulo trata desta auditoria, ou seja, como implementar auditoria dentro do Windows 2000 com a finalidade de auditar as operaes executadas por usurios da rede. Nele sero apresentados os tpicos de planejamento e implantao de auditoria, a auditoria em pastas e arquivos, a auditoria em impressoras e finalmente a visualizao destes eventos no sistema. Esta auditoria, quando ativada, apresenta qual foi ao efetuada, quem efetuou a ao e em que data e hora a mesma foram efetuada, gerando um arquivo com todas estas informaes. 2. 2. Poltica de Auditoria: planejando, implantando e definindo de extrema importncia o planejamento da auditoria dentro do sistema para que esta tenha valia no momento em que se necessita. Ela deve ser planejada considerando os seguintes pontos: Determinar quais eventos sero auditados, como: . . . . Uso de recursos e arquivos na rede Logon de Usurios Finalizao e reinicio do sistema Modificaes em grupos
Modificao em polticas de segurana Determinar se os eventos vo ser auditados tanto na falha como no sucesso do uso. Determinar se existe a necessidade de arquivamento de arquivos com os eventos auditados. Observe que estas questes devem ser definidas com clareza e esmero devido que a auditoria do sistema causa um alto overhead do mesmo. A partir do momento em que a poltica de auditoria esta planejada, necessria a sua efetiva implementao no sistema, sendo que para esta ser implementada. Algumas regras devem ser seguidas: . Somente administradores podem configurar auditoria para arquivos, pastas e impressoras em controladores de domnio. . Caso seja necessria a configurao de auditoria em um computador que no controlador de domnio, a conta administrador deve estar dentro do grupo local administradores. Somente existe a possibilidade de auditoria em volumes NTFS para arquivos e pastas.
O processo de auditoria feito em duas partes: Configurar a poltica de auditoria e selecionar os eventos a serem auditados. Especificar os eventos para auditar arquivos, pastas e impressoras. Para definir uma auditoria, proceda da seguinte forma: 1. 1. Abra o Painel de Controle>Ferramentas Administrativas>Diretivas de Segurana Local>Diretivas Locais>Auditoria. 2. 2. Selecione os eventos a serem auditados, em falha e sucesso, de acordo com suas necessidades. 3. 3. Aps configurar os eventos, clique em ok. 3. Auditoria em pastas e arquivos Caso deseje auditar arquivos individuais ou pastas, necessrio especificar quais os eventos que se deseja auditar. Para tanto, proceda da seguinte forma: 1. 1. Abra o Windows Explorer e selecione a pasta que deseja auditar; 2. 2. No menu Arquivo, selecione a opo Propriedades; 3. 3. Clique em Segurana, Avanado, Auditoria; 4. 4. Clique sobre o boto Adicionar para adicionar os grupos que tero permisso de acesso e clique no boto OK; 5. 5. Dentro da janela, selecione o evento, sucesso ou falha que deseja auditar. 4. Auditoria em impressoras A auditoria em impressoras semelhante executada em pastas, ou seja, necessrio especificar quais os eventos que vo ser auditados. Para tanto, proceda da seguinte forma: 1. 2. 3. 4. 5. 6. 7. 8. 1. 2. 3. 4. 5. 6. 7. 8. Abra a pasta Impressoras; Selecione a impressora que deseja auditar; No menu Arquivo, selecione a opo Propriedades; Clique na guia Segurana, Avanado, Auditoria; Clique em Adicionar. A janela de grupos ser apresentada; Selecione os grupos que deseja e clique em OK; Configure os eventos a auditar de acordo com suas necessidades. Executadas as configuraes desejadas, clique em OK.
5. Visualizar Eventos O programa Visualizar Eventos, a ferramenta do Windows 2000 utilizada tanto para verificar auditorias como para verificar erros do sistema, sendo esta dividida em trs partes, como segue: Sistema apresenta erros, avisos e informaes geradas pelo Windows 2000, bem como por determinado servio; Segurana apresenta informaes sobre o sucesso ou falha de eventos auditados; Aplicaes apresentam erros, avisos e informaes geradas por aplicativos como
programas de mail ou Banco de dados. Normalmente, quando um erro acontece no sistema, emitido um aviso para que o administrador verifique o que ocorreu dentro do programa visualizar eventos para que possa corrigi-lo. Visualizando, localizando e arquivando eventos. Para visualizar eventos locais, proceda da seguinte forma: 1. 1. Abra o programa de visualizar eventos (boto Iniciar > Programas > Ferramentas Administrativas > Visualizar Eventos). Escolha o evento desejado para poder visualizar; 2. 2. Para visualizar detalhes de um evento, clique duas vezes sobre um evento.
5.1.2. Localizando Eventos Para localizar eventos dentro de um arquivo de log, proceda da seguinte forma: 1. 1. Abra o programa visualizar eventos; 2. 2. Abra o menu exibir e selecione a opo filtro...; 3. 3. Ou abra o menu exibir e selecione a opo localizar;
4. 5.
4. 5.
Selecione um critrio de arquivo de acordo com o que necessita. Encontrado o evento desejado, clique em OK para fechar a janela.
5.1.3. Arquivando Eventos Pode ser necessrio o arquivamento para posterior checagem ou ate mesmo como prova de aes executadas. Para arquiv-los, proceda como segue: 1. 2. 1. 2. Abra o visualizar eventos; Abra o menu ao e selecione a opo salvar arquivo de log como...;
3. Na janela apresentada, digite um nome para o arquivo e clique em OK. Caso deseje visualizar um arquivo de log gravado, abra o menu ao e selecione a opo abrir arquivo de log, digitando em seguida o nome do arquivo desejado. 5.2. Configurando opes de log Os arquivos de log contam com configuraes que so usadas para sobrescrever eventos quando o arquivo se encontra cheio. Para configurar estas opes, proceda da seguinte forma: 1. 1. Abra o visualizar eventos; 2. 2. Abra o menu ao, e selecione a opo propriedades; 3. 3. As configuraes disponveis so: Tamanho Maximo; Substituir eventos conforme necessrio; Substituir eventos anteriores a ... dias; No substituir eventos (limpar log manualmente). 6. Reviso Neste capitulo foram tratados as auditorias de sistema, tanto em arquivos e pastas como em impressoras. Foram apresentadas as formas de configurao de auditoria para o sistema, para pastas e arquivos e tambm para impressoras. Tambm foi apresentada a ferramenta do Windows 2000 Visualizar Eventos, que utilizada para verificar tanto erros do sistema como informaes de auditoria. Finalmente, foi apresentada a forma de trabalho com o programa visualizar eventos, suas configuraes e formas de efetuar a leitura de eventos do sistema, bem como a recuperao e armazenamento destes dados. Capitulo 9 Monitoramento 1. Introduo O monitoramento de informaes dentro do sistema extremamente til, tanto por
questes de segurana como por questes de verificar se o sistema esta em ordem. Dentro deste capitulo sero apresentadas s ferramentas utilizadas para a monitorao do sistema, as formas de monitorao de computadores, sesses de usurios, recursos compartilhados e em uso, o envio de alertas administrativos a usurios na rede e finalmente a visualizao do sistema com a finalidade de verificar suas configuraes, drivers que esto sendo usados, etc. Mesmo que voc no faa nenhum ajuste, o Windows 2000 funciona normalmente bem, contanto que haja espao suficiente no hardware. O objetivo no apenas ter muitos recursos, pelo contrario colocar esses recursos nos lugares certos. 2. Rodzio de ferramentas de suporte de ajuste e o que fazer com elas Antes de entrar na descrio de como utilizar estas ferramentas, daremos a um pequeno passeio pela galeria dos procurados pela policia. . . Monitor do Sistema Logs e Alertas de Desempenho
Monitor do Sistema O monitor do sistema um substituto do Windows 2000 para o Monitor de desempenho. Estritamente falando, na verdade ele no um monitor substituto de reorganizao. Quando voc abrir o monitor do sistema, Vera que ele tem dois componentes: um tipo de ferramenta do monitor de desempenho chamado monitor do sistema e os Logs e alertas de desempenho, que esto relacionados com a funo de log. Para abrir o monitor do sistema rapidamente, digite perfmon na opo Executar. O Windows 2000 inicializar o monitor do sistema com a tela ativa do monitor de desempenho. Com o Monitor do Sistema, voc pode: . Fornecer uma simples visualizao dos sinais vitais do seu servidor (um que aparece na apresentao do PowerPoint de seu servidor). . Fazer log de dados da rede a tempo e exportar esses dados para um arquivo que voc possa importar para uma planilha. Logs e Alertas de Desempenho A outra metade das ferramentas de desempenho so os logs e alertas de desempenho, que cuidam das funes de log do monitor de desempenho NT4. Com ela voc pode:
Fazer o log dos valores mnimos, mdios e atuas dos valores do sistema critico.
Enviar alertas para o log do evento e executar um programa quando os contadores excederem as tolerncias estabelecidas pelo usurio ou quando eventos importantes ocorrerem. O log do sistema registra a inicializao e a interrupo dos servios e de qualquer evento relacionado com os assuntos de segurana. Observando os Padres de Desempenho com o Monitor do Sistema Se voc no puder medi-lo, poder ajust-lo.O monitor de desempenho uma ferramenta de exibio grfica no monitor do sistema. Quando voc ativa essa ferramenta, v uma tela aberta.Com essa ferramenta, voc pode fazer o log dos valores mnimos, mximos, mdios e atuais dos valores do sistema critico e conseguir uma visualizao simples dos sinais vitais de sua rede. No entanto ele no faz nada sem que voc, crie um grfico para o objeto que quer monitorar. Criando e visualizando grficos Quando voc inicia a ferramenta Desempenho pela primeira vez, tudo que se v uma tela vazia, voc
tem que selecionar os objetos, as ocorrncias e os contadores que deseja monitorar. Salvando os Dados de Grficos Quando tiver identificado os contadores que deseja monitorar, poder salvar essa
informao e depois reutiliz-la. possvel reutilizar os monitores (pois se for preciso monitorar uma vez, quase certo que ser preciso monitor-los novamente) ou convertlos em um documento .HTM que voc possa exibir em um navegador. 3. Reviso Neste capitulo foram apresentadas as duas ferramentas de monitoramento do sistema; o Monitor do Sistema e Logs e Alertas de Desempenho. Foi apresentada a forma de trabalho de cada uma delas, bem como a visualizao de grficos, etc. O capitulo serve para apresentar as formas de monitoramento de usurios, principalmente em conexo com servidores de rede, bem como o diagnostico de computadores para a verificao de problemas. Capitulo 10 Backup e restaurao de dados O Windows 2000 possui um programa para efetuar backup de dados com a finalidade de copiar e restaurar dados de backup em caso de problemas com os dados do servidor. Com o backup do Windows 2000 pode-se executar backups manualmente ou ainda agendar backups sem a interferncia do administrador. 2. Programa de backup Para executar um backup ou restaurar dados, algumas regras devem ser seguidas: O usurio do programa deve possuir permisso para efetuar backup de dados e restaurlos; O programa de backup do Windows 2000 suporta backup de dados em discos flexveis (dependendo do tamanho), unidades de backup como Zip drive, Jazz Drive ou unidade da rede. 1. 2.1. Selecionando drivers, arquivos e pastas Para efetuar um backup, necessrio o selecionamento dos dados que sero copiados dentro dos discos do computador, sendo que existem arquivos que devem ser copiados sempre, arquivos que devem ser copiados periodicamente e arquivos que no necessitam ser copiados. 2. 2.2. Configurando opes de backup Arquivos Arquivos crticos como arquivos de sistema, arquivos de registro e arquivos de contas. Arquivos de dados e arquivos que so alterados constantemente.
100
Tipo de Backup Sempre efetuar Backup peridico
No efetuar backup
Arquivos temporrios, arquivos de paginao e arquivos que raramente so utilizados.
O programa de backup do Windows 2000 possui cinco tipos de backup diferentes que so utilizados de acordo com o tipo de backup necessrio. Os tipos de backup disponveis no Windows 2000 so:
Tipo de backup Normal Cpia Incremental Diferencial Cpia diria

Descrio de uso. Arquivos selecionados com atributos de arquivamento. Arquivos selecionados sem atributos de arquivamento. Arquivos selecionados com atributos de arquivamento, porem somente os arquivos modificados desde o ultimo backup so copiados. Arquivos selecionados porem somente os arquivos modificados desde o ultimo backup e marcao. Some os arquivos que foram modificados no dia
101
Todos os arquivos so marcados com um atributo de copia conhecido como marca de backup que utilizada para verificar se o arquivo foi copiado ou no, sendo que estas marcas indicam se o backup a ser feito incremental ou diferencial. 3. Determinando arquivos e pastas para backup Para determinar quais arquivos vo ser copiados, proceda como segue: 1. Abra o programa Backup (Iniciar > Programas > Acessrios > Ferramentas do Sistema >Backup).
1. 2. Maximize a janela de drives. Esta janela apresenta os drives locais e os drives remotosconectados. !.3. Selecione os arquivos que vo ser copiados para o backup clicando sobre os mesmos. Observe que existem trs formas de selecionamento indicados pelos quadrados frente dos arquivos/pastas; . Em branco o arquivo/pasta no ser copiado. . Cinza com um x a pasta contm alguns arquivos/pastas que vo ser copiados. . Somente x toda a pasta ser copiada. 2. 4. Com os arquivos selecionados, clique no boto iniciar backup.
Informe a descrio backup, se vai acrescentar ou substituir os dados (para isso deve-se utilizar uma partio ou uma mdia regravvel). 6. Aps essas configuraes clique em iniciar backup. 4. Recuperando dados Para recuperar dados de um backup em caso de desastre com discos ou ainda por remoo indevida dos dados, so necessrios que alguns passos tenham sido executados. . Uma boa estratgia de backup, com backup peridico dos dados do sistema;
. Documentao disponvel de cada backup realizado, indicando quando o mesmo foi executado e quais foram os dados copiados; . Teste de segurana com a finalidade de verificar se os dados armazenados no backup podem ser reutilizados; Caso estes passos tenham sido executados com critrios, certamente a operao de restaurao dos dados ser bem sucedida. 4.1 Selecionando backups Para selecionar arquivos que vo ser restaurados ao sistema de um backup, proceda como segue: 1. 1. Abra o programa de backup (Iniciar > Programas > Acessrios > Ferramentas do Sistema > Backup). 2. 2. No menu restaurar, selecione o backup a restaurar. 3. 3. Clique em iniciar restaurao, depois clique em Ok. 5. Reviso Neste capitulo foram apresentadas s formas de efetuar uma copia de segurana (backup) dos arquivos do sistema ou ainda de drives remotos. Tambm foi apresentada a forma de se agendar o comando de backup. Finalmente, foi apresentada a forma de restaurao de backup em casos de desastres no disco rgido ou ainda por remoo acidental.
103
1 Voc ter srios problemas relacionados resoluo de nomes no domnio (DNS), pois o Active Directory trabalha usando o recurso de DNS (Domain Name System) - e se o DNS no estiver resolvendo corretamente, no existe motivo para se ter um Domnio instalado na rede (pois o mesmo tem o objetivo de fazer a resoluo de nomes de uma sub-rede) 2 Toda e qualquer poltica de grupo (Group Police) aplicada OUs (Organization Units) ser descartada pelas estaes pois as Polticas de Grupo exigem que as estaes faam uma pesquisa de DNS para saber qual servidor est gerando tais restries - e caso o servidor no esteja com seu servio de DNS OK, o request da esta o dar TIME OUT na pesquisa do DNS 3 Uma certa demora para logar no Servidor, algo em torno de 5 a 10 minutos: isso ocorre devido ao TIME OUT na pesquisa do DNS no Active Directory 4 Toda e qualquer tentativa de replicao entre dois DCs ou outros Domnios diferentes iram gerar erros de DNS Existem vrios outros erros referentes pesquisa de um DNS na rede ... 1. Configurando as propriedades de rede antes de rodar o DCPROMO.EXE 1 passo: Apontar o Sufixo DNS e o IP de DNS Primrio para o Servidor DNS (Caso esse seja o 1 servidor da rede, aponte o IP para ele mesmo). V em Start > Settings > Network and Dial-Up Connections (Voc precisar reiniciar o computador). Apontando nas propriedades de TCP/IP da placa de rede o IP do Servidor DNS: 2 passo: Abrir uma Janela do MS-DOS e pingar o nome deste servidor, o mesmo j dever responder com o sufixo DNS do Domain Server. Para isso, v em Start > Run > digite cmd.exe 2. 2. Configurando o servio de zonas DNS antes de rodar o DCPROMO.EXE 1 passo: Instalar o servio de DNS (caso ainda no esteja). V em Start > Settings > Control Panel > Add/Remove Programs > Add/Remove Windows Components > Network Services: Domain Name System (DNS) 2 passo: Adicionar uma nova Zona DNS primria. Caso voc tenha definido seu sufixo DNS como empresa.corp, crie a zona com o mesmo nome e siga com os passos que o sistema oferece. 3 passo: Crie um Zona Inversa Primria (estas zonas servem para definir a informao que permitem ao servidor fazer a converso de endereos para nomes) e aponte para a classe IP da sua rede. Exemplo: se sua rede 192.168.0.X/255.255.255.0, em Network ID aponte para 192.168.0 e siga com as opes padro que o sistema oferece. 4 passo: Clique com o mouse na sua zona primria criada anteriormente (empresa.corp) e verifique se foi criado um Registro de HOST apontando para o IP deste servidor. Caso no tenha sido criado, altere as zonas DNS para aceitarem atualizaes dinmi cas (elas so necess rias para o AD conseguir criar os registros DNS). necessrio tamb m converter a zona inversa para aceitar Atualizaes Dinmicas: clique com o boto direito no nome da zona DNS > Propriedades: 5 passo:
Aps ter alterado as zonas primria e inversa para aceitar atualizaes dinmicas, abra uma janela do MS-DOS e digite ipconfig /registerdns. Isso ir criar o nosso registro de HOST na zona Primria. Promovendo o Servidor Controlador de Domnio com o DCPROMO.EXE 1 passo: Clique em Start > Run > digite DCPROMO.EXE. Esse aplicativo ir carregar o Wizard do Active Directory, com as seguintes opes: Domain Controller for a New Domain: use essa opo caso este seja o primeiro servidor Active Directory da rede. Additional Domain Controller for an existing Domain: use essa opo caso este seja um Backup Domain Controller do Active Directory que j est instalado na rede. 2 passo: Selecione uma das duas opes de acordo com as suas necessidades e clique em Next. 3 passo: Siga com as de mais informaes requeridas pelo Wizard do Active Directory at o assistente completar a promoo deste domnio. Ap s o assistente acabar a promoo ser necessrio reiniciar o computador ...
Testando o DNS com o NSLOOKUP 1 passo Aps ter reiniciado o computador, aguarde cerca de 2 minutos para o servio de DNS acabar de criar os registros do Active Directory na Zona do Domnio empresa.corp 2 passo Abra uma janela do MS-DOS e digite NSLOOKUP. Dever aparecer algo o tipo: Preste ateno nas linhas onde informa o NOME e o IP do servidor DNS da rede: caso ele aparea, isso significa que tudo ocorreu normal com a instalao do Active Directory. Seguir esse artigo garante a voc ter uma implementao do Active Directory 100% segura quanto aos servios que iram ser usados por ele. Nos dias de hoje, importante se ter um servio de DHCP instalado na sua empresa, pois com o mercado de trabalho de informtica crescendo cada vez mais, as empresas esto contratando mais funcionrios tambm, isso implica em se ter um controle maior dos usurios conectado a sua rede fsica, ou seja, quanto melhor o gerenciamento, menos problemas os administradores de redes tero. No primeiro passo, iremos verificar se o servio de DHCP j est instalado em seu servidor: v em Painel de Controle (Control Painel) > Adicionar ou Remover Programas (Add/Remove Programs) > Adicionar ou Remover Componentes do Windows (Add/Remove Windows Components) > Servios de Rede (Network Services): Verifique se o item, Protocolo deconfigurao dinmica de hosts (DHCP) est ativado, caso no
esteja, ative e insira o CD de instalao do Windows no drive de CD-ROM, clique em OK e depois AVANAR. Isso instalar o servio de DHCP no seu servidor. Aps a instalao ter acabado, v em Ferramentas Administrativas (Administrative Tools) > DHCP, dever aparecer a TELA 1.
Precisamos agora criar um escopo, que ir determinar a faixa de endereos IPs que o
servidor ir distribuir para as estaes conectadas na rede. Clique com o boto direito do mouse no nome do servidor e selecione a opo Novo Escopo e siga os passos do assistente de escopo, informando um nome para o mesmo (por exemplo: Servidor de DHCP). Clique em Avanar para prosseguir.. Agora temos que dizer qual os intervalos de IPs que iremos distribuir na rede fsica, veja a TELA 2 como exemplo:
Neste exemplo temos a configurao de uma rede de 24 bits com mscara 255.255.255.0, ou seja, 254 IPs disponveis para novos computadores na rede, caso voc tenha a necessidade de ter mais IPs disponveis, apenas altere o intervalo de endereos IPs para uma classe maior, Exemplo: 172.16.0.1 / 255.255.0.0 Clique em Avanar: agora voc pode definir quais sero os IPs excludos desta faixa de IPs que voc determinou, ou seja, aqueles IPs que no sero usados para distribuio dinmica (TELA 3). Essa rea serve para voc definir por exemplo um IP que usado pelo roteador da rede ou por um servidor com IP fixo nesta mesma classe de rede, pois servidores e roteadores de rede e Internet (Gateways) precisam sempre estar com o mesmo endereo IP para poder fornecer certos servios a rede interna ou externa.
107
Clique em Avanar e siga as prximas duas telas (TELA 4 e TELA 5) com as opes default que o assistente oferece. Ali voc poder definir quais os IPs Gateways e servidores DNS da rede para serem inclusos automaticamente quando uma estao estiver requisitando um servio pelo Cliente DHCP. Servidores DNS, so usados para resoluo de nomes, ou seja, eles convertem o endereo IP do cliente um nome amigvel, pois seria muito difcil ficar decorando cada numero IP de uma rede com muitas estaes. Aps selecionar o servidor de DNS, clique em Avanar, siga com as opes padro que o assistente oferece, aps concluir o assistente, seu servidor de DHCP j estar ativo e fornecendo IPs as estaes.
108
Esse artigo explicar umas das dicas mais procuradas entre administradores de redes e profissionais do ramo que tenham links de Internet ADSL, Dedicado, etc, no intuito de compartilhar o acesso a Internet com os outros computadores de uma mesma rede interna. O primeiro passo verificar sua conectividade com a Internet, para isso voc ir precisar de duas placas de redes: a primeira ser utilizada para a sua rede Internet local e a segunda ser utilizada para o acesso a Internet. Aps isto, v em Ferramentas Administrativas (Administrative Tools) > Roteamento e Acesso Remoto (Routing and Remote Access) > Servidor (Local) > Roteamento IP (IP Routing) e clique em Geral (General) > Novo Protocolo de Roteamento (New Routing Protocol), como mostra a TELA 1.
Aps clicar no item mostrado acima, voc ter que selecionar o Protocolo NAT (TELA 2): selecione a opo (Converso de endereos de rede (NAT) e clique em OK, isso ir adicionar essa opo na guia Roteamento IP (IP Routing).
109
Agora s falta especificar a interface de rede que ser o GATEWAY da rede interna, que neste caso seria sua placa de rede interna e a interface de rede que dar o acesso direto a Internet. Na guia Converso de endereos de rede (NAT) que foi
acrescentada agora, clique com o boto direito do mouse e escolha Nova Interface (New Interface), selecionando a interface que se refere sua placa de rede interna. Clique em OK. Na TELA 3 voc dever selecionar a opo Interface privada conectada sua rede privada (Private interface conected to the private network) e clicar em OK, como mostrado na figura ao lado. Clique novamente na guia Converso de endereos de rede (NAT) e clique com o boto direito do mouse escolhendo Nova Interface (New Interface). Selecione a interface que se refere a sua placa de rede externa (Placa que permite o acesso direto Internet) e clique em OK. Na TELA 4 que ir aparecer, selecione a opo Interface pblica conectada internet (Public interface conected to internet), selecione a opo Converter cabealhos TCP/UDP (recomendado) Translate TCP/UDP headers (recommended) e clique em OK, como mostrado na figura aolado.
110
OK, a partir deste ponto, seu servidor j esta configurado para fornecer o servio de NAT (Network Address Translation). Observao: possvel tambm utilizar o NAT como servidor de DHCP, caso voc ainda no tenha configurado um pelo Windows 2000 Server
111
V. Perfis de usurios no Windows 95/98 No Windows 95/98, os perfis individuais no so criados por padro e devem ser ativados em Painel de Controle/Senhas. Se os perfis ambulantes so ativados em uma maquina Windows 95/98, eles sero guardados automaticamente no diretrio principal do usurio e depois iro operar da mesma forma que os perfis do computador NT. Voc no precisara especificar um caminho de perfil para o usurio no Usurios e computadores do Active Directory. Os perfis mandatorios individuais podero ser usados no Windows 95/98, mas os perfis mandatorios compartilhados no podem. Por essa razo, o administrador precisara criar um perfil para cada usurio e copi-lo para o diretrio principal do usurio. A estrutura de um perfil de usurio Windows 95/98 contem diferenas a partir de um perfil de usurio NT. Em vez de um arquivo NTUSER.DAT, o Windows 95/98 tem um USER.DAT. Em vez do NTUSER.DAT.LOG, o arquivo log de transaes que guarda as mudanas para o arquivo NTUSER.DAT, o Windows 95/98 usa um arquivo cach chamado de USER.DA0. Esses dois arquivos no so exatamente equivalentes. O Windows 95/98 usa o USER.DA0 como um backup, escrevendo uma copia do USER.DAT para o USER.DA0 sempre que um usurio efetua logoff. O NT4 usa o NTUSER.DAT.LOG como um arquivo log de transaes para proteger o arquivo de ramificao enquanto ele estiver sendo atualizado. Para criar um perfil mandatorio de somente leitura, renomeie o arquivo USER.DAT do Windows 95/98 para USER.MAN. O NT4 e o Windows 95/98 usam basicamente a mesma estrutura de pastas, exceto pelo fato de que a pasta Application Data no existe no Windows 95/98. As diferenas adicionais nos perfis do Windows 95/98 incluem o seguinte: . Nem todos os itens da rea de trabalho sero ambulantes, apenas os arquivos LNK (atalhos) e PIF (informaes de programa). . Grupos de programa comuns no so suportados pelo Windows 95/98. . O Windows 95/98 no pode usar um perfil padro do usurio centralizado. Diretivas de Sistema para os Clientes Herdados Embora a Diretiva de grupo de Windows 2000 no funcione para os clientes NT, existem duas ferramentas construdas no NT4 que tornam mais fcil o suporte e o controle de centenas de computadores a partir de um nico ponto. A primeira o perfil de usurios sobre o qual voc leu nas sees anteriores. A outra ferramenta so as diretivas de sistema . Assim, o que uma diretiva de sistema e por que se preocupar? Esse ser o tpico das prximas paginas, mas primeiro vamos dar uma olhada geral. As diretivas de sistema so essencialmente Controles centrais de registros dos usurios. Por que voc desejaria controlar os registros? Como voc sabe, praticamente tudo que tem a ver com o controle de uma maquina cliente NT4 (e uma maquina Windows 2000 e Windows 95/98, nesse caso) esta no registro. Mas aposto que voc no sabia de todas as coisas que pode controlar com o registro; na verdade, algumas delas me surpreenderam. Eis alguns exemplos:
. Iniciar. . . .
O contedo das pastas que um usurio v quando da um clique no boto Que cones e controles aparecero na rea de Trabalho. Se um usurio pode ou no acessar os drives no seu computador. Quais programas ele pode usar no computador.
A idia bsica a seguinte: voc pode usar as entradas do Registro para bloquear um computadorWindows NT ou uma rea de trabalho do Windows 95/98, oferecendo assim aos usurios uma interface de usurio consistente e simplificada e tornando o suporte uma tarefa simples. Legal! Usando as Diretivas de Sistema com Clientes Herdados Bem, legal exceto pelo fato de que para mudar essas importantes entradas do registro em uma serie de maquinas, parece-me que voc ter de andar por todo o prdio, sentando em cada computador e editando o REGEDIT32 ou REGEDIT para modificar o seu registro. No se preocupe: existe uma resposta para isso. Existe uma caracterstica automtica construda nas prprias maquinas Windows NT e Windows 95/98 que podem facilitar bastante a modificao remota do registro. Sempre que um usurio efetuar logon em um domnio a partir de uma maquina Windows NT ou Windows 95/98, a maquina procurar no controlador de domnio por um arquivo chamado de diretiva do sistema. O arquivo de diretiva de sistema, basicamente, um conjunto de instrues como Tenha certeza de que HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Browser\Parameters tem uma chave chamada MaintainServerlist e tem certeza de estabelec-la como No. A diretiva de sistema pode controlar centralizadamente qualquer entrada de registro, exceto aquelas do tipo REG_MULTI_SZ, e isso no nenhuma grande restrio, visto que no existem muitas entradas REG_MULTI_SZ. O controle centralizado do registro atravs das diretivas de sistema uma boa caracterstica, mas tem alguns problemas: . Primeiro, o usurio deve estar logado em um domnio ou o sistema do usurio sequer procurar arquivo de diretiva do sistema. . Segundo, voc no poder ter um arquivo de diretiva do sistema comum tanto para as maquinas Windows NT e Windows 95/98; voc precisar construir um conjunto de diretivas para reas de trabalho do Windows NT e outro para as reas de trabalho do Windows 95/98. . Terceiro, como essas diretivas de sistema no so apenas mudanas do registro e como as diferentes entradas do registro so lidas em horrios diferentes, pode ser um pouco confuso para tentar descobrir se uma diretiva de sistema foi realmente efetivada talvez seja necessria mais uma reinicializao para ver a mudana ativada. Os arquivos de diretiva do sistema foram criados para o Windows NT e Windows 95/98 com programas chamados Editor de diretivas do sistema. Eu disse programa porque existe uma verso Windows NT e uma verso para o Windows 95/98. Na realidade, o Windows 2000 tambm inclui uma verso. Todos os editores de diretivas do sistema so na verdade editores do registro configurveis pelo prprio usurio. Mas, diferentemente do que acontece com o REGEDIT32 e o REGEDIT, eles no mostram tudo o que tem no
registro: basicamente voc tem o programa para trabalhar com o pequeno subconjunto de entradas do registro com as quais voc est preocupado, usando arquivos chamados modelos. Felizmente, voc normalmente no precisa fazer toda essa programao, j que a Microsoft inclui alguns modelos previamente construdos que serviro s necessidades da maior parte das pessoas. OBSERVAO Para as redes que tem um mix de maquinas Windows 2000 e Windows NT, as maquinas Windows 2000 podero ler e aplicar diretivas de sistema criadas com o editor de diretivas do sistema do NT usando modelos do NT 4. Contudo, essa opo no ativada como padro para evitar que as diretivas de sistema entrem em conflito com as diretivas de grupo.
Usando o registro para restringir uma rea de Trabalho: um exemplo bsico Mas antes de entrar nos detalhes das diretivas de sistema, vamos experimentar as mudanas no registro que mencionei. Uma boa parte das mudanas no registro que achamos teis para o controle centralizado das reas de trabalho so entradas do registro que restringem o programa Shell do usurio Explorer.EXE. Explorer.EXE o que isso? Bem, voc provavelmente j sabe que todos os programas que executa em um PC so apenas arquivos especiais designados com a extenso .EXE ou, em alguns programas mais antigos, .COM (no existem no NT programas que usem .COM, mas existem alguns programas antigos do DOS que usam). Voc tambm j deve saber que os registros contem apenas configuraes especificas para o programa; por exemplo, a seo do Word para Windows do registro contem configuraes que so obedecidas apenas pelo Word se voc colocar um parmetro do registro que deveria ser para o servio Localizador de computadores na seo do Word, ele simplesmente ser ignorado. Se eu lhe perguntasse qual programa do Windows voc executa com mais freqncia, voc provavelmente me responderia que o Word, o seu navegador WEB ou talvez o seu programa de e-mail. Mas existe um programa do Windows que voc usa com muito mais freqncia o programa Shell Explorer.EXE. O Explorer o programa que coloca a rea de trabalho na sua tela; ele se inicia automaticamente quando voc efetua logon em um computador Windows NT. O Explorer o programa que sabe procurar e iniciar um programa, quando voc d dois cliques sobre o cone que representaaquele programa. O Explorer coloca o boto iniciar na rea de trabalho e controla quais as aes que voc pode ter quando pressiona o boto Iniciar. Ele tambm o programa que mostra o relgio na rea do sistema da Barra de Tarefas. Assim, qual o valor que controla o Explorer? Bem, como voc ira ver, o Explorer normalmente o programa que voc usa para iniciar os outros programas. Word, Internet Explorer, Pacincia, ou o que for. Sendo capaz de controlar quais programas um usurio pode executar lhe d uma sensao real de poder. Uma das coisas que o Explorer lhe mostra a pasta Ambiente de Rede. Vejamos como modificar as configuraes do registro do Explorer para fazer o Ambiente de Rede desaparecer.O cone de Ambiente de Rede
que aparece na rea de Trabalho do Windows 95/98 e do Windows NT pode trazer mais problemas do que se imagina. Como voc j sabe, o NetHood (como ele conhecido internamente no NT) a interface de usurio pra navegar na rede que permite que algum veja os servidores e compartilhamentos em uma rede. Ele bom, mas, em muitos casos, ele tambm suprfluo, visto que os administradores de rede provavelmente iro criar drives premapeados para os usurios. O Ambiente de Rede, poder, ento, acabar sendo um convite para gastar um tempopesquisando a rede local. Voc poder evitar que o NetHood aparea na rea de Trabalho adicionando uma entrada no registro para USER\Software\Microsoft\CurrentVersion\Polices\Explorer, em que USER a parte especifica para o usurio de um registro. O novo valor (quase com certeza a entrada no estar l como padro) ser NoNetHood, do tipo REG_DWORD. Estabelea ele em 1 e da prxima vez que o usurio efetuar logon, ele no ver o cone Ambiente de Rede. Voc poder fazer uma demonstrao na sua prpria conta (eu lhe mostrarei como desfazer isso, no se preocupe) da seguinte forma: 1. 1. Abra o REGEDIT. 2. 2. Abra o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Polices\Explorer. 3. 3. Com o cursor na pasta Explorer, d um clique com o boto direito do mouse e escolha Novo/ Valor DWORD. A tela se parecer com a mostrada abaixo. 4. 4. D um clique em Editar/Renomear, mude o Novo Valor #1 para NoNetHood, d um clique duplo em NoNetHood, e depois mude o valor de 0 para 1. 5. 5. Saia do REGEDIT. 6. 6. Efetue logoff e, depois, um novo logon usando o mesmo nome de usurio. Voc ver que o cone Ambiente de Rede no aparece mais na sua tela.
OBSERVAO Para fazer o NetHood aparecer de novo, volte ao REGEDIT e mude o valor de 1 para 0,
saia do REGEDIT e novamente efetue logoff e, mais uma vez, logon. Seguindo os passos acima voc imps a restrio para a sua conta. Mas suponha que vrias pessoas compartilhe m determinada maquina NT; voc poder muda o modo como a maquina trata com eles? Claro, s d um pouco mais de trabalho. Por padro, o REGEDIT32 e o REGEDIT carregam apenas o Registro para o usurio que estiver conectado no momento e o registro para o usurio-padro do sistema, as configuraes que so efetivadas quando ningum est conectado. (Por exemplo, se voc definir a cor de fundo como vermelho para o usurio padro, a cor de fundo da tela ser vermelha quando ningum estiver efetuado logon no computador). Mas se voc tiver um numero de pessoas que usem um determinado computador, esse computador reter as configuraes do Registro para essas pessoas; voc precisar apenas ter essas configuraes em ordem para modific-las. Infelizmente, voc no pode dizer ao REGEDIT para carregar as configuraes do registro para outro usurio. Contudo, voc pode dizer ao REGEDIT32 para carregar as configuraes do registro de outro usurio. Algumas vezes, uso uma conta de usurio chamada de TESTUSER na minha maquina; como resultado, existem configuraes do registro para o TESTUSER e eu irei mostrar como carreg-las.
OBSERVAO Voc precisar estar trabalhando com uma conta chamada TESTUSER para me acompanhar. O TESTUSER dever ter efetuado logon e logoff no computador ao menos uma vez para que as configuraes do registro estejam presentes no computador. Para carregar as configuraes do registro para o TESTUSER, siga esses passos: 1. 1. Execute o REGEDIT32; repito, aqui o REGEDIT no funciona. 2. 2. Abra a subrvore HKEY_USER e d um clique na chave HKEY_USER. 3. 3. D um clique em Registro\Carregar Hive e voc ver uma caixa de dialogo chamada Carregar Hive que dever se parecer com uma caixa de dialogo Arquivo/Abrir comum. 4. 4. Navegue ate o drive e o diretrio que mantm o seu sistema operacional. No meu caso, ele est em E: \WINNT, mas ser diferente para voc. Neste diretrio haver um diretrio chamado PERFIS. H um diretrio para cada pessoa que j efetuou logon nesse computador Administrador, Jose, Pedro e TESTUSER bem como uns diretrios extra chamado todos os usurios e Usurio padro. 5. 5. Abra a pasta TESTUSER. 6. 6. Selecione o arquivo NTUSER.DAT, pois ele contm entradas do registro especificas ara esse usurio. D um clique em Abrir. O REGEDIT32 precisar ento saber como ele ir chamar essa nova ramificao. 7. 7. Chame-o de TESTUSER. D um clique em OK. 8. 8. Agora voc pode editar as entradas do registro para TESTUSER da mesma forma que eu fiz com as minhas prprias entradas apenas navegue at HKEY_USER\TESTUSER\Software\Microsoft\Windows\CurrentVersion\Polices\Explorer e adicione o NoNetHood como antes.
9. 9. Assim que voc tiver terminado de modificar as configuraes do TESTUSER, d um clique na chave TESTUSER e escolha Registro/Descarregar Hive. Da prxima vez que o TESTUSER se conectar, ele no ver a pasta do Ambiente de Rede. Entradas da Diretiva de Controle da rea de Trabalho para os cliente NT 4 e 95/98 Existem por volta de duas dzias de configuraes como o NoNetHood que voc poder restringir nasreas de Trabalho do NT (ou 95/98) em vrios lugares no registro. Eu irei discuti-los conforme a sua localizao. Mas, antes de seguir em frente, leia estes lembretes extremamente importantes. ATENO Minha experincia mostrou que muitas dessas entradas do Registro no tem nenhum efeito a no ser que voc esteja executando o Service Pack 2 ou posterior no seu computador NT. OBSERVAO Se voc j trabalhou com diretivas de sistema Windows 95/98, leia esta seo com cuidado, pois o NT inclui algumas diretivas extras que o Windows 95/98 no tinha. Diretivas do Explorer O primeiro grupo esta localizado prximo ao NoNetHood, no HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Polices\Explorer. Cada uma das entradas do tipo REG_DWORD. Voc ativa essas configuraes com o valor 1 e as desativa com o valor 0, a no ser que esteja dito de outra forma: Noclose Remove a opo Desligar do boto Iniciar se estiver estabelecido como 1. O usurio ainda poder desligar o computador usando a caixa de dilogo de segurana (Ctrl+Alt+Del). NoCommonGroups Remove os grupos comuns do menu Iniciar/Programas se estiver em 1. Lembre-se de que os grupos comuns so cones de programa que todos aqueles que efetuarem logon no computador vero. Se voc no notou isso antes, d um clique em Iniciar/Programas e ver uma ou mais linhas separando alguns dos grupos de programas; o grupo inferior mostra os grupos comuns. Se voc no quiser que determinados usurios vejam esses programas comuns, use essa entrada do registro. NoFileMenu Remove o menu Ar quivo do NT Explorer. Removendo-o, voc desarmar em grande parte
o NT Explorer, j que menos uma ferramenta que o usurio poderia usar para criar, mover, copiar ou excluir arquivos. NoTrayContexMenu Remove o menu pop-up (o termo oficial menu de atalho) que voc v quando d um clique com o boto direito do mouse na Barra de tarefas. NoViewContextMenu Remove todos os menus pop-up que aparecem na interface de usurio do Explorer. Isso evita que os menus apaream quando voc d um clique com o boto direito do mouse na rea de trabalho, no Meu Computador, na Barra de tarefas ou em qualquer outro objeto que esteja narea de trabalho. NoNetConnectDisconnect Remove a opo de conectar e desconectar dos recursos da rede usando o Ambiente de rede e o Meu computador. Talvez voc nem soubesse que poderia fazer isso, mas se der um clique com o boto direito do mouse em Meu computador, ou no Ambiente de rede, duas das opes que ver no menu de atalho traro duas caixas de dilogo para controlar as conexes rede; se voc esquecer essa possibilidade, deixar um buraco na sua rea de trabalho. DisableLinkTracking Evita que os atalhos (arquivos LNK) tentem resolver por meio do mtodo de rastreamento em vez do mtodo de procura. Os links que so resolvidos com o rastreamento lembram se originalmente se referiam a programas em outras maquinas, quer voc queira que eles faam isso ou no. Se voc desativar o rastreamento de link, os atalhos procuraro pelo alvo e resolvero cm um caminho local se ele existir. ApprovedShellEx Se estiver em 1, dir ao Shell para mostrar os itens na rea de trabalho ou nos menus de programa somente se eles tiverem extenses de arquivo reconhecidos como .EXE, .LNK, .TXT e assim por diante. Pelo meu conhecimento, no tem nenhuma utilidade, afinal, se voc colocar um objeto em algum desses lugares que no tenha uma extenso reconhecvel pelo NT, no poderia fazer nada mesmo. NoDesktop Remove tudo o que estiver na rea de trabalho quando colocado em 1. Voc no ver o Internet Explorer, Meu porta-arquivos ou qualquer cone fornecido pelo usurio. Isso poder ser muito til se voc for apenas restringir as opes de um usurio a apenas alguns aplicativos. Que eu saiba, a nica forma de se livrar da pasta Meu computador, que ser realme nte intil j quando voc tiver removido todos os drives dela (veja a configurao NoDrives da qual falaremos um pouco mais tarde). NoFind Se ativado (estabelecido em 1), remove a opo Localizar do menu Iniciar. NoNetHood Descrito anteriormente. Existem duas configuraes relacionadas que voc poder achar til se for usar o Ambiente de rede: NoEntireNetwork e NoWorkgroupContens, ambas esto em uma chave diferente do registro, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polices\Network. O NoEntireNetwork remove a entrada Toda a rede do Ambiente de rede, e o NoWorkgroupContents oculta as maquinas, no apenas a entrada Toda a rede. Para ver as maquinas do seu grupo de trabalho, voc realmente precisaria dar um clique em Toda a rede, depois em Rede do Microsoft Windows e depois no nome do seu grupo de trabalho. Ainda no compreendi porque isso til, mas esta disponvel.
NoRun Remove a opo Executar do Menu Iniciar. NoSaveSettings Em teoria, ignora quaisquer mudanas do usurio na rea de trabalho cores, cones, janelas abertas e coisas assim e nas maquinas Windows 95/98, ele funciona bem. Infelizmente, no NT ele no funciona e uma chamada ao suporte da Microsoft confirmou que eles tm cincia desse fato. Talvez no Service Pack 23? NoSetFolders Possui um nome que no diz muito sobre o que ele faz. Se for colocado em 1, a pasta configuraes (aquela que normalmente contm o Painel de controle e a pasta Impressoras) no aparecer no menu Iniciar. NoSetTaskbar Remove a capacidade de estabelecer opes para a Barra de tarefas se estiver em 1. Essa a caixa de dialogo que permite que voc configure o Auto-ocultar e as outras opes para a Barra de tarefas. NoStartMenuSubFolders Em associao com as partes de programa personalizadas. Voc ler em uma pagina ou duas como exatamente poder controlar o que o usurio v quando d um clique em Iniciar/Programas. Mas se voc usar uma pasta de programa personalizada, ento deve estabelecer o NoStartMenuSubFolders em 1 ou o NT no mostrar as suas pastas de programa criada manualmente, ele tambm mostrara as pastas-padrao, o que, provavelmente, voc no queria que acontecesse quando criou as suas prprias pastas de programa. NoDrives Permite que voc oculte um ou mais drives da pasta Meu computador. O funcionamento dele um tanto estranho, assim no se preocupe se precisar ler isso algumas vezes. O valor do REG_DWORD um numero de 32-bit que no simplesmente 0 ou 1. Mais exatamente, ele usa os 26-bits mais a direita do numero de 32-bit (v, eu disse que era estranho) para descrever se um drive deve ou no ser mostrado. O bit mais direita no numero controla se voc poder ou no ver o drive A:. Coloque-o em 0 e voc ver o A:. coloque-o em 1 e voc no ver. O bit a seguir controla o B: exatamente da mesma forma: . Suponha que voc quisesse esconder apenas o drive C: O drive C: o terceiro drive, ento voc precisaria estabelecer o terceiro bit a partir da direita em 1 e todos os outro em 0. O valor correto para o NoDrives seria, ento, 00000000000000000000000000000100 em binrios, o mesmo que 4 em decimal. (Use a calculadora se voc detestar converter binrios em decimais.) . Outro exemplo: Suponha que voc quisesse esconder os drives de disquete do Meu computador. Eles so os drives A: e B:, primeiro e segundo , assim, estabelea os dois bits mais direita para 1, um valor de 00000000000000000000000000000011, ou, em decimal, 3. . Na maioria das vezes, voc desejar esconder todos os drives, ento o valor para o NoDrives dever ser 00000011111111111111111111111111 para esconder todas as 26 letras de drive. Isso o mesmo que 03ffffff em hex ou 67.108.863 em decimal. Isso remover todos os drives do Meu computador e do Explorer no do antigo Gerenciador de Arquivos do Windows 3.x que ainda vem com o NT como WINFILE.EXE. Agora que voc sabe como estabelecer as diretivas do Explorer para bloquear o que um
usurio v quando executa o Explorer, vamos ver como configur-las para que elas restrinjam os programas que podero ser usados pelo usurio. Restringindo quais programas um usurio pode executar com as Diretivas do Explorer O RestrictRun uma outra configurao do registro levemente complexa, mas inacreditavelmente poderosa. Voc poder us-la para dizer interface do Windows: No execute os programas a no ser que estejam na lista a seguir. Por exemplo, voc poderia dizer: Os nicos programas que esse usurio pode executar so o Word e o Internet Explorer. O RestrictRun outra configurao do registro do tipo 1 ou 0. Um valor 0 diz No restrinja os programas que esse usurio pode executar e o 1 diz Somente permita que esse usurio execute os programas que esto listados em HKEY_CURRENT_USER\Software\Microsoft\WINDOWS\ CurrentVersion\Polices\ Explorer\RestrictRun. Essa chave apenas uma lista dos aplicativos que podem ser executados e consiste de tantas entradas de valores quantas forem necessrias, todas do tipo REG_SZ e um aplicativo para um valor. O nome da primeira entrada deve ser simplesmente 1 e novamente deve conter o nome do arquivo de um programa aceitvel. O segundo seria chamado 2 e assim por diante. Provavelmente mais fcil v isso em um exemplo, como o da figura abaixo. Nesse exemplo, permiti que o usurio executasse (respectivamente) a Calculadora, o Internet Explorer, o Word e o Prompt de comando.J disse que o RestrictRun um meio poderoso de se controlar o que executado em uma rea de trabalho, mas no perfeito. Como voc leu algumas paginas atrs, uma das principais razes para se controlar o Explorer, a interface de usurio do Windows, para que voc possa controlar quais programas so executados em um determinado computador. Quer voc inicie o programa dando um clique em um cone na rea de trabalho, dando um clique em Iniciar/Programas ou abrindo o Meu computador e dando um clique em um cone de um dos drives, o programa iniciado pelo Explorer. Suponha que o seu RestrictRun diga ao Explorer Permita que o usurio Max execute apenas o WINWORD.EXE, Excel.EXE, CMD.EXE (o prompt de comando) e IEXPLORE.EXE (o Internet Explorer). Rejeite tentativas de executar outros programas. Suponha ento que Max decida que quer executar o FreeCell. Ele abre o Meu Computador e procura pelo FREECELL.EXE, o programa FreeCell real. Ele d um clique duplo e recebe uma mensagem: Essa operao foi cancelada por causa de restries em efeito nesse computador. Por favor, entre em contato com o seu administrador de sistemas. Ele recebe a mesma mensagem quando tenta executar o FreeCell a partir de Iniciar/Programas/Acessrios/Jogos/FreeCell. Se ele tentar executlo partir do NT Explorer, no conseguir nem comear: o NT Explorer no est na lista aprovada, ento ele tambm no ir funcionar. Max vai ficar se o FreeCell?
120
controla apenas o comportamento do Explorer. Max poderia abrir uma linha de comando, digitar freecell e o FreeCell seria aberto! Por que? Porque o Explorer no iniciou o FreeCell; o command.com, a linha de comando, iniciou. Quase sempre, o Explorer a plataforma de lanamento para os aplicativos; mas nesse caso o command.com iniciou o FreeCell. Por isso, para realmente bloquear uma rea de trabalho para controlar absolutamente quais aplicativos so executados em um determinado computador voc precisar de restries no command.com. Infelizmente essa no uma opo. Como resultado, provavelmente no uma boa idia incluir o command.com na lista de programas aprovados se vocquiser restringir quais programas podero ser executados na rea de trabalho de um usurio. Existem outros problemas com programas? Outros meios de se iniciar programas? Sim, infelizmente: algum que souber o que esta fazendo poder escrever uma macro de trs linhas no Word que ira iniciar um programa partir do Word, e novamente, no existem meios de se evitar que os programas sejam iniciados a partir do Word.Tenho certeza e que os outros programas possuem macros igualmente poderosas.E sobre o Explorer no disco rgido? Existe alguma forma de fazer isso em uma rea de trabalho bloqueada? Acredite se quiser, mas o Internet Explorer um buraco no bloqueio, grande o suficiente para atravessar um caminho. V at a linha URL e digite C:\ e voc ver todo o seu drive C:, complete com cones par que voc possa ver e clicar a vontade. Voc no ser campas de executar quaisquer EXEs restritos a parte do IE, mas certamente poder ver, copiar e excluir arquivos. Portanto, em uma analise final, esteja ciente de que o RestrictRun uma tima ferramenta, mas no uma ferramenta infalvel. Evitando que as pessoas veja o Applet Vdeo no Painel de Controle Em HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Polices\ System, existe uma configurao, o NoDispCPL, que evitar que o Windows NT permita que o usurio acesse a parte de vdeo do Painel de Controle. Quando estabelecida em 1, essa configurao evita que um usurio mude a tela seja dando um clique com o boto direito do mouse na rea de trabalho ou abrindo o Painel de Controle. Evitando que as pessoas usem as ferramentas de edio de registro
Depois de restringir o Explorer, voc no ir querer que as pessoas usem os editores de registro para desfazer o seu trabalho. Voc poder fazer isso adicionando uma entrada ao HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Polices\System para um determinado usurio. O nome da entrada DisableRegistrytools e, se for estabelecida em 1, evitar que o usurio execute o REGEDIT ou o REGEDIT32. Contudo, tenha cuidado, isso no evitar que o usurio execute o POLEDIT, o editor de diretivas do sistema do qual falaremos em algumas paginas. O POLEDIT pode modificar o registro, assim, mantenho-o fora da lista de programas aprovados (presumindo que voc esteja usando o RestrictRun) ou apenas garanta que ele no esteja em nenhum lugar onde o usurio possa execut-lo facilmente.
Controlando as Pastas Programas do Iniciar Parte da criao de uma rea de trabalho personalizada para um usurio inclui o controle dos programas que ele pode executar. Depois de ter tido todo o trabalho de evitar que ele execute tudo, exceto alguns programas, voc precisar dar-lhe um caminho para chegar a esses programas. A maior parte dos itens que voc v no menu Iniciar so apenas pastas para as quais vrias entradas do registro apontam. Olhe em Software\Microsoft\Windows\ CurrentVersion\Explorer\User Shell Folders de qualquer usurio e ver os valores AppData, Desktop, Favorites, Fonts, NetHood, Personal, PrintHood, Programas, Recent, SendTo, Start Menu, Startup e Templates. Eles contem as localizaes para os diretrios que contem a informao especifica do usurio. Por exemplo, o Iniciar contem a localizao de uma pasta que contem os atalhos para os programas que voc quer que o usurio inicie automaticamente quando efetuar logon. De onde vieram os Menus A pasta na qual estamos mais interessados no momento a pasta Programas. Como pode um diretrio de disco ser correspondente aos itens do menu? D uma olhada na figura abaixo, uma cpia da telainteira de uma rea de trabalho do Windows com alguns menus e submenu abertos.
122
Observe que o menu possui vrios submenus: Acessrios, Iniciar, Ferramentas do Microsoft Office. Voc poder dizer pelos cones da pasta e do PC e para as pastas do Iniciar inferior que elas so pastascomuns. Em uma rea de trabalho totalmente controlada, elas provavelmente sequer apareceriam, j que voc usaria a entrada NoCommonGroups do registro para mant-las fora da vista de qualquer forma, portanto, vejamos o menu Programas sem as pastas comuns. Como tudo isso pode ajud-lo? Bem, suponha que voc tenha um conjunto de aplicativos aprovados aos quais quer restringir os usurios. Basta criar uma pasta na rede que contenha os atalhos para esses aplicativos. Depois modifique o registro para cada usurio para que o Software\Microsoft\Windows\CurrentVersion\ Explorer\User Shell Folderes\Programs aponte para o UNC daquela pasta. Quando o usurio efetuar logon, os seus nicos cones de programa sero aqueles que voc colocou na sua pasta centralizada. Um exemplo de pasta Programas personalizada Voc pode tentar isso criando uma conta de usurio descartvel e dando-lhe um menu de programas bastante limitado. Eu lhe direi onde colocar todos os arquivos relevantes no sistema local para que voc sequer precise de uma rede para tentar fazer isso: at mesmo em uma copia do NT Workstation funcionaria. Presumirei, para esse exemplo, que voc instalou o Windows no loca-padro, o C:\WINDOWS: 1. 1. Crie uma pasta chamada de PROGS na raiz do C:, C:\PROGS.
123
2. 2. No C:\PROGS, crie atalhos para o Internet Explorer, a Calculadora, e o Bloco de notas. (Voc poder fazer isso dando um clique com o boto direito do mouse na pasta, escolhendo Novo/Atalho e seguindo o assistente ou simplesmente localizando o IEXPLORE.EXE, CALC.EXE e NOTEPAD.EXE e arrastando-os para a pasta C:\PROGS. O Shell criar atalhos automaticamente em vez de copiar os arquivos). 3. 3. Cria uma conta imaginaria; FALSO seria um nome perfeito. 4. 4. Efetue logon e logoff uma vez como FALSO para que o sistema crie um diretrio para a conta de usurio FALSO no diretrio PROFILES. Efetue logon novamente com uma conta de nvel de privilegio de Administrador. 5. 5. Inicie o REGEDIT e carrego o registro para o usurio FALSO. Coloque o cursor no topo do HKEY_USER, d um clique em Registro/Carregar ramificao, navegue ate C:\WINDOWS\Profiles\Falso, selecione o arquivo e d-lhe um nome quando for solicitado novamente, a palavra falso funcionar muito bem. 6. 6. No FALSO, abra o Software\Microsoft\Windows\CurrentVersion\ Explorer\User Shell Folders e veja os contedos atuas da entrada Programas. Atualmente ele deve ser C:\Windows\Profiles\Falso\ Menu Iniciar\Programs mude-a para o C:\PROGS. 7. 7. Quando estiver l, v at Falso\Software\Microsoft\Windows\CurrentVersion \Polices\Explorer e adicione um novo valor, NoStartMenuSubFolders; digite REG_DWORD e defina-o como 1. Na mesma chave, adicione NoCommonGroups, novamente REG_DWORD, defina como 1. 8. 8. D um clique no topo da arvore Falso e descarregue-o com o Registro / Descarregar ramificao. 9. 9. Confirme que voc quer descarregar a ramificao. Saia do REGEDIT. 10. 10. Efetue logon como FALSO. D um clique em Iniciar/Programas. Esta vendo a diferena? No Meu Computador, quando dou um clique em Iniciar Programas, a minha tela se parece como a figura abaixo.
124

Modulo3 Windows

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Modulo3 Windows

Enviado por

Direitos autorais:

Formatos disponíveis

Tecnologia de Redes de Computadores Prof. Gutemberg L.

Professor: Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

I. II. III. a. b. c. d. e. f. g. h. i. j. k. IV. V. VI. VII.

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Verses do Windows 2000

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Figura 9 - Instalar o sistema no espao no particionado.

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Active Directory DHCP DNS

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Figura 22 - Senha do usurio.

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Figura 30 - Registrando um computador no Active Directory. Cotas de disco

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Backup e recuperao de dados

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros

Tecnologia de Redes de Computadores Prof. Gutemberg L. Medeiros