Você está na página 1de 63

M Cristina Jung

Sumario
Historico - Sistemas Operacionais ..............................................................................................................03
Arquitetura do Windows Server ..................................................................................................................04
Redes em 2 Camadas: Servidor/Cliente ......................................................................................................05
Protocolo TCP/IP .........................................................................................................................................06
Para Saber Mais! .........................................................................................................................................10
Exercicios ....................................................................................................................................................12
DHCP ..........................................................................................................................................................14
Utilitarios de Diagnostico de Conexo .......................................................................................................16
Exercicios ....................................................................................................................................................18
Sistema de Arquivos - NTFS .......................................................................................................................19
Active Directory - AD .................................................................................................................................21
Renomeando Computadores para Ingressar no Dominio ............................................................................29
Exercicios ....................................................................................................................................................31
Usuarios e Computadores do AD ................................................................................................................32
Exercicios ....................................................................................................................................................39
Unidades Organizacionais - UOs ................................................................................................................41
Exercicios ....................................................................................................................................................43
Politicas de Segurana - GPOs ....................................................................................................................44
Exercicios ....................................................................................................................................................52
Delegao de Operaes Administrativas nas UOs ....................................................................................57
Histrico - Sistemas Operacionais Microsoft

MS-DOS Ioi o sistema operacional que inseriu a MicrosoIt no mercado de soItware. Revolucionou a
aplicao de tareIas simples como copiar, mover, renomear e excluir dados. Operava em modo texto, de Iorma
rapida e eIiciente e agilizou as operaes de usuarios na epoca.
- Caractersticas:
* operava em modulo de 16 bits;
* sistema de arquivos de FAT12 para depois evoluir para FAT16;
*DOSSHEL para gerenciamento simultneo de arquivos (novidade para a epoca, pois no existia a
multi-tareIa;
* altamente eIiciente na manuteno e gerenciamento de componentes do hardware da epoca;
* interIace de texto composta por comandos com sintaxes especiIicas;
Como sucessor do MS-DOS, surgiu o Windows. Com interIace graIica porem totalmente dependente
do DOS, revolucionou mais ainda o modo de operao de micros-computadores, pois permitia uma viso
mais intuitiva das tareIas da maquina, aproximando assim o usuario da manipulao de componentes.
-Verses do Ms Windows - uso domstico :
*Windows 1.0;
*Windows 2.0;
*Windows 3.0, 3.1 e 3.11 Ior Workgroups (verso que se tornou popular no Brasil - ulitma verso do SO
que Ioi baseada em tecnologia 16 bits;
*Windows95 (lanado em 25 de agosto de 1995, primeiro sistema da MicrosoIt a operar com tecnologia
de 32 bits;
*Windows98;
*Windows ME;
*WindowsXP- Home Edition;
-Verses do Ms Windows - hbridos:
Sistemas Operacionais hibridos so sistemas que podem ser utilizados tanto em uso domestico quanto
servidores.
*WindowsNTWorkStation para estaes de trabalho (ano de lanamento 1995);
*Windows2000 ProIessional
*WindowsXPProIessional, possui suporte a aplicao do Active Directory;
*
-Verses do MS Windows - servidores:
A ideia da MicrosoI era uniIicar a aplicao dos Sistemas Operacionais, ou seja, criar sistemas que
poderiam integrar o uso domestico, em estaes de trabalho e servidores. Surgiram ento, as verses de
sistemas servidores:
*WindowsNTServer 3.1 e 3.51;
*WindowsNTWorkStation 4.0 e NT4.0 (baseada em tecnologia 32 bits);
*WindowsServer 2000;
*WindowsServer2003;
*WindowsServer2008;
3
Arquitetura do Windows Server2003
Um sistema servidor e acima de tudo um sistema que proporciona gerenciamento de hardware e soItwares
completamente diIerente dos sitemas operacionais domesticos. E uma aplicao complexa que envolve
segurana, autonomia e preciso de toda e qualquer operao executada em sua plataIorma.
Na verso Server2003, a MicrosoIt disponibiliza 4 verses diIerentes para aplicao:
`Windows Server 2003 Web Edition: Verso exclusiva para servidores web, ou seja, para servidores que
armazenam websites, aplicaes web ou .NET (ASP .NET, XML, etc). Possui gerenciamento de ate 2
processadores e no maximo 2 GBde RAM.
` Windows Server 2003 Standard Edition: Verso destinada para pequenas e medias empresas ou
servidores de departamentos. Aplicado para o gerenciamento de ate 100.000 usuarios, servios basicos como
compartilhamento de arquivos, impresso ou Internet. Gerencia ate 4 processadores e ate 4GB de memoria
RAM. No possui suporte a servios de Clusters (um servio de cluster e quando se pode conIigurar um ou
mais servidores operando como se Iossem um unico servidor).
`Windows Server 2003 Enterprise Edition: Verso destinada a empresas de medio a grande porte, por
ser uma verso mais robusto do SO, possui as caracteristicas da Standart Edition adicionada a -
gerenciamento de mais de 100.000 usuarios na rede, roteamento, servidor de Banco de Dados (SQL
Server2000, ORACLE, etc). Gerencia ate 8 processadores de 32 bits simultneos, 32 GB de RAM na verso
32 bits, Cluster com ate 8 servidores, verso de 64 bits para processadores Intel, troca de memoria sem
desligar o servidor (somente disponivel nas edies Enterprise e Data Center e depende de suporte do
Iabricante do hardware do servidor).
`Windows Server 2003 Data Center Edition: E a verso mais 'poderosa da MicrosoIt, apresenta o
maior numero de recursos. E indicado para aplicao de operaes que envolvam alta taxa de preciso e
segurana (Iuncionamento de uma bolsa de valores, aplicaes web que mantem sites de comercio eletrnico
em Iuncionamento ou que mantem um banco em Iuncionamento).
Suas limitaes de requisitos de hardware so:
*64 GBde memoria RAM na verso de 32 bits e ate 512 GBde RAM na versod e 64 bits, para servidores
baseados no processador Intel Itanium;
*Cluster com ate oito servidores;
*64 processadores na verso de 64 bits, para servidores baseados no processador Intel Itanium e 32
processadores na verso de 32 bits;
O Windows Server Data Center Edition no pode ser adquirido normalmente, ou seja, como as outras
verses de servidores. Esta verso esta disponivel atraves do programa 'Windows Datacenter High
Availability Program, onde analistas de TI da MicrosoIt visitam a empresa que deseja adquirir a licena e
Iazem um estudo para detectar a viabilidade de custo-beneIicio da aplicao do Data Center.
Segurana de Sistema Servidor- Windows Server2003
*Firewall de Conexo com a Internet (IFC - Internet Connection Firewall): Com o Windows XP
ProIessional e Iornecido um Firewall de Conexo com a Internet, o qual tambem e disponibilizado com o
Windows Server 2003. Este Firewall permite um primeiro nivel de proteo contra ataques vindos da Internet.
`Polticas para restrio de Software: OAdministrador pode criar uma lista de SoItwares permitidos, ou
seja, de programas que so autorizados a serem executados nas estaes de trabalho da rede da empresa. Os
programas que Iazem parte da lista de soItware autorizado Iuncionaro normalmente. Se o usuario instalar um
programa no permitido, as politicas de restrio de SoItware bloquearo a execuo deste programa. Como
Administrador voc podera criar excees a politica de restrio de SoItware. Por exemplo, voc poderia
conIigurar as politicas de restrio para permitir que um programa especiIico possa ser executado.
4
Redes em 2 Camadas: Servidor/Cliente
Uma rede com arquitetura servidor/cliente possui dois tipos de relao: a que Iornece servios e, como o
proprio nome diz, e deIinido pelo servidor e o cliente, que obtem recursos deste servidor.
Esta relao e vivenciada no dia-a-dia do usuario, mesmo que ele no se conecte a uma sub-rede com
caracteristicas servidor/cliente. Ao se conectar a Internet, o usuario esta usuIruindo dos servios de um
servidor web que disponibiliza na rede protocolos de HTTP, HTTPs, FTP, SMTP, etc. Ao se logar no seu
webmail, o usuario esta obtendo recursos especiIicos que esto sendo disponibilizados na sua maquina cliente
naquele momento, recursos estes, que ele no teria se no estivesse logado, pois todas estas inIormaes esto
armazenadas no servidor de webmail. Outro exemplo, o compartilhamento de uma impressora para varias
estaes de trabalho. No ha necessidade de ter uma impressora conIigurada para cada computador, somente
uma e, esta oIerecera recursos de impresso para todos os computadores conectados.
Na Iigura abaixo temos um exemplo da relao entre Servidor/Cliente.
Servidor
Cliente Cliente
Cliente
Cliente
Em uma rede de computadores, onde temos Servidores e Clientes, todos os computadores precisam 'Ialar
a mesma lingua, para que possam ser trocadas inIormaes entre os computadores da rede. Este 'Ialar a
mesma lingua, em termos de redes, signiIica que todos os computadores de uma rede precisam ter o mesmo
Protocolo de comunicao instalado e corretamente conIigurado.
Um protocolo nada mais e do que um conjunto de regras padronizadas para que os computadores operem
na mesma linguagem de comunicao.
Quer um exemplo? Imagine voc, Ialando a lingua portuguesa e nada mais, tentando se comunicar com
outra pessoa que so Iala mandarim. Qual o resultado disto? No minimo, um showde mimica!
Ento, um protocolo de comunicao serve para conIigurar todos os computadores na mesma linguagem,
'Ialando a mesma linguagem.
Existem varios protocolos de comunicao, durante todos estes anos de evoluo da rede, estes protocolos
evoluiram para melhoria da troca de dados, atualmente o protocolo mais usado e sem duvida o TCP/IP.
OWindows Server2003 Iornece suporte a varios protocolos, porem o que usaremos e o TCP/IP.
5
Protocolo TCP/IP
AIamilia de protocolos TCP/IP Ioi inicialmente desenvolvida como parte de um projeto incentivado pela
DeIenseAdvanced Research Project Agency (DARPA) nos Estados Unidos. Esse projeto tinha como objetivo
desenvolver tecnologias para que as maquinas interligadas em uma rede continuassem a se comunicar mesmo
que parte dessa rede no estivesse operacional.
Onome TCP/IPse deve a dois do principais protocolos da Iamilia: o Transmission Control Protocol (TCP)
e o Internet Protocol (IP). AIamilia de protocolos TCP/IP e organizada em 4 camadas: interIace com a rede,
internet, transporte e aplicao. Os protocolos dessa Iamilia encontram-se descritos em documentos
chamadso Request Ior Comments (RFC), que so atualizados regularmente e podem ser obtidos pela Internet.
Oprotocolo IPtem, dentre suas responsabilidades, rotear os dados entre a maquina de origem e a maquina
de destino. OTCP, por sua vez, e um dos protocolos na camada de transporte.
TCP
Transmission Control Protocol e o mais importante e complexo protocolo de transporte. Presta um servio
orientado a conexo, isto e, quando um segmento de dados e recebido, identiIica-se a que conexo esta
associado. As inIormaes relativas a uma conexo so armazenadas em um registro por conexo. Os
processos envolvidos na comunicao so identiIicados por numeros de portas e podem:
* Abrir uma conexo;
* Enviar dados;
* Receber dados;
* Obter inIormaes sobre uma conexo;
* Fechar uma conexo;
Para garantir a entrega dos dados, o protocolo TCPespera que os segmentos recebidos sejam conIirmados
pela maquina de destino. Se a recepo no Ior conIirmada dentro de um intervalo, a maquina de origem
transmite novamente o segmento. Ointervalo de tempo durante o qual e aguardada a conIirmao no e Iixo,
ja que um intervalo Iixo e ineIiciente em redes de grande porte.
Odestino so pode conIirmar o recebimento de dados recebidos em sequncia sem interrupes. Se existem
interrupes na sequncia em decorrncia de segmentos perdidos ou recebidos Iora de ordem, o destino no
pode conIirmar o recebimento dos dados. A perda de um pacote (segmento), pode, portanto, resultar na
retransmisso de varios segmentos.
Resumindo, o protocolo TCP opera no envio e recebimento de pacotes de dados. Para haver conexo e
obrigatoria a identiIicao da origem e destino, a cada transmisso, o ponto de destino envia uma resposta de
conIirmao de recebimento dos dados.
A maquina de origem
dispara pacotes TCP.
A maquina de destino
retorna a conIirmao
Origem
Destino
6
IP
OInternet Protocol e um dos principais protocolos em uma rede TCP/IP. E a identiIicao do dispositivo
conectado a rede. Atraves do IP, as maquinas usam regras comuns para endereamento dos computadores na
rede, uma delas e o endereo IP.
Os endereos de rede IP, so compostos por 4 octetos que Iormam um total de 32 bits.

Quando utilizamos o protocolo TCP/IPpara conectar computadores na rede, existem alguns parmetros de
conIigurao que devemos observar:
IP: 10.1.2.1
Subnet: 255.255.255.0
IP: 10.1.2.2
Subnet: 255.255.255.0
IP: 10.1.2.3
Subnet: 255.255.255.0
IP: 10.1.2.4
Subnet: 255.255.255.0
IP: 10.1.2.5
Subnet: 255.255.255.0
IP: 10.1.2.6
Subnet: 255.255.255.0
Endereo IP
Mascara de Sub-rede (subnet)
201.178.132.46
1 octeto de 8 bits
Os valores de combinao para conIigurao vo de 0 a 255.
Sendo que, 0 no podera ser utilizado no ultimo octeto, pois
identiIica a propria rede e o valor 255 e chamado de broadcast,
no podera ser utilizado nos octetos.
7
Como e exibido na Iigura anterior, um numero de IPe Iormado por quatro octetos separados por um ponto.
Um IP e a identiIicao unica de um dispositivo conectado a rede. No ha possibilidade de dois dispositivos
'compartilharem ao mesmo tempo o mesmo numero de IP, um deles sempre Iicara sem conexo. Quando
dois dispositivos so conIigurados com o mesmo endereo IPha um conIlito de parmetros.
Uma parte do numero de IP e a identiIicao da rede na qual o dispositivo pertence. Na imagem anterior,
vemos os endereos de IPa seguir:
* .1
* .2
* .3
* .4
* .5
* .6
O que deIine quantos dos quatro numeros Iazem parte da identiIicao da rede e quantos Iazem parte da
identiIicao da maquina e a mascara de sub-rede (subnet mask).
As trs primeiras partes da mascara de sub-rede iguais a 255 indicam que os trs primeiros numeros
representam a identiIicao da rede e o ultimo numero e a identiIicao do equipamento dentro da rede. Para o
quadro acima ou a imagem da pagina anterior, teriamos a rede: , ou seja, todos os dispositivos que
Iazem parte desta rede ou, em outras palavras, o numero IP de todos os equipamentos da rede comeam com
.
Neste exemplo, utilizamos os trs primeiros numeros para identiIicar a rede e somente o quarto numero
para identiIicar o computador, temos um limite de 254 dispositivos que podem ser ligados nesta rede, ja que 0
e 255 no sero utilizados.
Resumindo, todos os dispositivos que se utilizam do protocolo TCP/IPpara se comunicarem, precisam de
um endereo IP e uma mascara de sub-rede. Uma mascara de sub-rede deIine tambem a quantidade de
maquinas e/ou demais equipamentos podero se conectar a esta rede. Veja o quadro abaixo:
10.1.2
10.1.2
10.1.2
10.1.2
10.1.2
10.1.2
10.1.2
10.1.2
Mascara de sub-rede
N de dispositivos
conectados
255.255.255.0
255.255.0.0
255.0.0.0
254
65.534
16.777.214
IP: 10.1.2.3 IP: 10.1.2.4
255.255.255.0 255.255.255.0
Mascara de sub-rede (subnet mask)
10.1.2.3
IdentiIica a rede na qual o dispositivo pertence
IdentiIica o dispositivo
8
Gateway Padro
Para que computadres e outros dispositvos se conectem a uma sub-rede so precisamos utilizar os dois
parmetros vistos anteriormente, ou seja, n de IP e Mascara de Sub-rede, mas, quando estes equipamentos
precisam se conectar a outras sub-redes e mesmo a Internet, mais um parmetro e preciso ser conIigurado.
Chama-se Gateway Padro que, traduzido literalmente para o portugus signiIica 'porto padro.
No sentindo da estrutura da rede, Gateway Padro signiIica o caminho que a rede deve tomar para se
conectar a outras redes. Fisicamente, precisamos de um roteador, ou servidor para conexo destes
equipamentos e, este roteador tambem possuira um endereo IP. O roteador ou servidor sera o responsavel
por achar a rota para a rede de destino.
Vamos imaginar uma rede com dois computadores. Estes computadores precisam ter acesso a Internet e
esto interligados por um modem roteador. Como Iicaria a conIigurao?Vejamos a imagem abaixo:
Outro exemplo, com um servidor Proxy:
IP: 10.1.1.2
Subnet: 255.255.255.0
Gateway: 10.1.1.1
IP: 10.1.1.1
Subnet: 255.255.255.0
IP: 10.1.1.3
Subnet: 255.255.255.0
Gateway: 10.1.1.1
IP: 10.1.1.4
Subnet: 255.255.255.0
Gateway: 10.1.1.1
IP: 10.1.1.3
Subnet: 255.255.255.0
Gateway: 10.1.1.2
IP: 10.1.1.1
Subnet: 255.255.255.0
IP: 10.1.1.2
Subnet: 255.255.255.0
Gateway: 10.1.1.1
IP: 10.1.1.4
Subnet: 255.255.255.0
Gateway: 10.1.1.2
IP: 10.1.1.5
Subnet: 255.255.255.0
Gateway: 10.1.1.2
9
Para Saber Mais!!
ClassiIicaode IP:
Uma classiIicao do endereamento de IP Ioi necessaria devido ao rapido crescimento da Internet.
Outras novas alternativas tiveram que ser criadas, como por exemplo o IP v6, um endereamento alIa-
numerico de 128 bits. Porem, a grande maioria da rede ainda utiliza o IP de 32 bits, para permitir a
combinaode endereos em sub-redes, Ioi criada ento a classiIicao de IP.
Redes ClasseA:
Utilizada no primeiro octeto do IP. So endereos que vo do 1 ate 126. O numero 127 no e utilizado
como rede classe A, pois e um numero especial, reservado para Iazer reIerncia ao proprio computador. O
numero 127.0.0.1 e um numero especial, conhecido como localhost. Ou seja, sempre que um programa Iizer
reIerncia a localhost ou ao numero 127.0.0.1, estara Iazendo reIerncia a si mesmo. Amascara de sub-rede
padro e: 255.0.0.0.
Redes Classe B:
Utilizada nos dois primeiros octetos do IP. So endereos que podem variar do 128 ate 191. Amascara de
sub-rede padro e: 255.255.0.0.
Redes Classe C:
Utilizada nos trs primeiros octetos do IP. So endereos que vo do 193 ate 223. Amascara de seb-rede
padro e: 255.255.255.0.
Endereos reservados na rede:
* 127.0.0.0: endereo utilizado como um apelido (alias), e utilizado para Iazer reIerncia a propria
maquina. Geralmente e utilizado o endereo 127.0.0.1.
* 0.0.0.0: endereo que identiIica a propria rede. Por exemplo, vamos pensar que voc tenha uma rede
Classe C. A maquina a seguir e uma maquina desta rede: 202.221.150.3. Neste caso o endereo da rede e:
202.221.150.0, ou seja, zero na parte destinada a identiIicao da maquina.
* 255.255.255.255: endereo de broadcast, ou seja, e enviado para toda rede.
Existe tambem o endereo 192.168.0.0 que e direcionado para conIigurao de sub-redes. Hoje em dia, os
endereos IP 10.1.1.0 (identiIica a sub-rede), 10.1.1.1, so utilizados como conIigurao padro de modem
para conexo banda larga, o que no impede de seguir um padro sequencial para uma sub-rede!
DNS Primrio e DNS Secundrio (ou alternativo):
O DNS (Domain Name System - Servidor de Nomes de Domnios) um sistema de gerenciamento de
nomes hierrquico e distribudo operando segundo duas definies:
Examinare atualizarseu banco de dados.
Resolvernomes de domnios em endereos de rede (IPs).
O sistema de distribuio de nomes de domnio foi introduzido em 1984 e com ele os nomes de hosts
residentes em um banco de dados pode ser distribudo entre servidores mltiplos, diminuindo assim a
10
carga em qualquer servidor que prov administrao no sistema de nomeao de domnios. Ele baseia-
se em nomes hierrquicos e permite a inscrio de vrios dados digitados alm do nome do host e seu IP.
Em virtude do banco de dados de DNS ser distribudo, seu tamanho ilimitado e o desempenho no
degrada tanto quando se adiciona mais servidores nele. Este tipo de servidor usa como porta padro a
53.
Aimplementao do DNS-Berkeley, foi desenvolvido originalmente para o sistema operacional BSD
UNIX4.3.
Aimplementao do Servidor de DNS Microsoft se tornou parte do sistema operacional Windows
NT na verso Server 4.0. O DNS passou a ser o servio de resoluo de nomes padro a partir do
Windows 2000 Server como a maioria das implementaes de DNS teve suas razes nas RFCs 882 e 883,
e foi atualizado nas RFCs 1034 e 1035.
O servidor DNS traduz nomes para os endereos IP e endereos IP para nomes respectivos, e
permitindo a localizao de hosts em um domnio determinado. Num sistema livre o servio
implementado pelo software BIND. Esse servio geralmente se encontra localizado no servidor DNS
primrio.
O servidor DNS secundrio uma espcie de cpia de segurana do servidor DNS primrio. Quando
no possvel encontrar um domnio atravs do servidor primrio o sistema tenta resolver o nome
atravs do servidorsecundrio.
Existem 13 servidores DNS raiz no mundo todo e sem eles a Internet no funcionaria. Destes, dez
esto localizados nos Estados Unidos da Amrica, um na sia e dois na Europa. Para Aumentar a base
instalada destes servidores, foram criadas rplicas localizadas por todo o mundo, inclusive no Brasil
desde 2003.
Ou seja, os servidores de diretrios responsveis por prover informaes como nomes e endereos
das mquinas so normalmente chamados servidores de nomes. Na Internet, os servios de nomes
usado o DNS, que apresenta uma arquitetura cliente/servidor, podendo envolver vrios servidores
DNS na resposta a uma consulta.
` Fonte: Wikipdia.org
11
Exerccios de Reviso do Contedo:
1) Aseguir esto as conIiguraes basicos do TCP/IP de trs estaes de trabalho: micro01, micro02 e
micro03.
Configuraes do micro01:
Numero IP: 100.100.100.3
Mascara de sub-rede: 255.255.255.0
Gateway: 100.100.100.1
Configuraes do micro02:
Numero IP: 100.100.100.4
Mascara de sub-rede: 255.255.240.0
Gateway: 100.100.100.1
Configuraes do micro03:
Numero IP: 100.100.100.5
Mascara de sub-rede: 255.255.255.0
Gateway: 100.100.100.2
` Estudo de Caso:
O micro 02 no esta conseguindo se comunicar com os demais computadores da rede. Ja o micro03
consegue comunicar-se na rede local, porem no no tem acesso a nenhum recurso de outras redes, como por
exemplo a Internet. Quais alteraes voc deve Iazer para que todos os computadores possam se comunicar
normalmente, tanto na rede local quanto com as redes externas?

2) Monte um diagrama de IPs onde:


* IDda sub rede: 192.168.0.1
* Arede devera ter 4 dispositivos conectados entre si e com acesso aWeb;
12
3) Monte um diagrama de IP, onde:
*IP do Modem: 10.1.1.1
*Servidor de DNS primario: 201.125.192.105
*Servidor de DNS secundario:201.125.192.104
*Arede devera ter:
- Um servidor Proxy de controle de acesso a Web;
- Duas sub-redes com trs computadores cada;
4) Uma empresa contratou um provedor de acesso a web. Essa empresa disponibilizou um servio de DNS
preIerencial cujo o numero e 201.107.172.105.
O servidor com um roteador da LAN dessa empresa sera atribuido com o IP 192.168.0.1. Por outro lado,
voc como administrador da rede tera que conIigurar e reservar os endereos de IP para 10 micro
computadores, mais parmetros de mascara de sub-rede e gateway padro.
De acordo com as inIormaes acima, preencha o quadro abaixo:
* Servidor de DNS PreIerencial:
* IPdo Modem:
* Mascara de Sub-rede:
* Faixa de IPda sub-rede: ate
* GatewayPadro:
13
DCHP- Dynamic Host Configuration Protocol
Todos os computadores que executam o TCP/IPprecisam de inIormaes especiIicas para identiIicarem a
si proprios de Iorma exclusiva, a rede da qual so membros e a localizao de pacotes no vinculados para
computadores da rede local. Essas inIormaes so chamadas de endereo de IP, mascara de sub-rede e
gateway padro respectivamente.
ODHCP, Ioi criado para conIigurar dinmicamente estaes de trabalho com endereos IPe inIormaes
aIins de TCP/IP. Para utilizar esse recurso, e preciso implantar um servidor dedicado so para isso. Do lado dos
micros clientes, e preciso conIigurar o TCP/IPpara obter seu endereo DHCPa partir do servidor.
Cada vez que o computador e ligado, carrega o protocolo TCP/IP e em seguida envia um pacote de
broadcast para toda a rede, perguntando que e o servidor DHCP. Esse pacote especial e endereado como
255.255.255.255, ou seja, para toda a rede. Junto com o pacote, o cliente enviara o endereo Iisico da rede
(endereo MACdo adaptador de rede).
Ao receber o pacote, o servidor DHCP usa o endereo Iisico do cliente para enviar para ele um pacote
especial, contendo seu endereo IP. Este endereo e temporario, no e da estao, mas simplesmente
emprestado pelo servidor DHCP para que seja usado durante certo tempo. A conIigurao do 'Lease
Duration muda de sistema para sistema. No Windows Server, pode ser conIigurado atraves do utilitario
DHCP Manager. Depois de ter decorrido metade do tempo de emprestimo, a estao tentara contatar o
servidor DHCP para renovar o emprestimo. Se o servidor estiver Iora do ar, ou no puder ser contatado por
qualquer outro motivo, o cliente esperara ate que tenha passado 87,5 do tempo toral, tentando varias vezes
em seguida.
AconIigurao padro do tempo de emprestimo e de 12 ou 24 horas, ou mesmo estabelecer o tempo como
ilimitado, assim a estao podera usar o endereo ate que seja desligada no Iinal do dia.
Todos os provedores de acesso convencionais a Web usam servidores DHCPpara Iornecer dinamicamente
endereos de IPaos usuarios. No caso deles, esta e uma necessidade, pois o provedor possui uma Iaixa de IP,
assim como um numero de linhas bem emnor do que a quantidade total de assinantes, pois trabalham sobre
perspectiva de que nem todos acessaro ao mesmo tempo.
Resumindo, existem duas Iormas de conIigurao de IP e seus parmetros. Manualmente, ou seja,
conIigurar os parmetros de rede maquina a maquina, ou obter endereo de IPautomaticamente a partir de um
servidor DHCP.
Configurao de IP
Para conIigurar IPe parmetros de
rede, tanto manualmente quanto
automaticamente, acesse:
* Propriedades de Meus Locais de
Rede (pelo proprio icone do
Desktop ou o icone em Painel de
Controle)
14
* Duplo-clique em Propriedades do Protocolo
TCP/IP ou, selecione e clique sobre o boto
Propriedades;
* Selecione a opo Obter um endereo
IP automaticamente para a rede com
conIiguraes dinmicas, ou seja,
quando houver um servidor DHCP;
15
* Ou selecione a opo Usar o seguinte
endereo IP.
OBS: no esquea! Voc no podera
'inventar um numero de IP! Os
parmetros de conIigurao de rede
devero obedecer a Iaixa de operao da
rede. As conIiguraes de Servidor DNS
preIerencial (primario) e Servidor de DNS
alternativo (secundario) tambem devero
obedecer a estrutura da rede na qual voc
deseja se conectar.
Utilitrios de Diagnstico e Conexo
Seguem relacionados abaixo, alguns comandos de diagnostico de conexo e suas Iunes e sintaxes:
`IPCONFIG: e um comando que Iornece um sistema com os dados e conIiguraes do TCP/IP.
Especialmente util se o IP Ior deIinido atraves de um servidor DHCP. O ipconIig retorna o endereo de IP
padro, mascara de sub-rede e gateway padro.
Sintaxes:
` ipconfig/all: exibe inIormaes detalhadas, retorna inIormaes adicionais para todos os
adaptadores que estiverem executando o TCP/IP. Isso inclui o nome do host, o tipo de no, o estado do
roteamento do IPno seu sistema (veja a imagem seguinte).
16
`Ipconfig/release: comando que requisita novo endereo IP ao servidor DHCP, pode ser utilizado
para 'zerar as conIiguraes de rede de um micro-computador conectado a um servidor DHCP.
`Ipconfig/renew: renova a concesso de emprestimo de IPa um servidor DHCP.
OBS: o comando IPCONFIG e extremamente util para conIiguraes de rede, principalmente para
diagnostico.
`PING (Packet Internet Gopher): comando PINGenvia pacotes pequenos para um host para veriIicar se
o servidor esta ativo. Ping e um comando para soluo de problemas muito comuns ao lidar co, redes.
Sintaxes:
` -a (address): deIine o endereo IPpara o nome do host;
` -n (nmero): especiIica o numero de solicitao de eco a serem enviados;
` -l (tamanho): envia o comprimento de pacote especiIicado. Opadro e 64 bytes e o maximo 8.192
bytes.
` -t (time): dispara contra o hostespeciIicado ate ser interrompido;
O Ping usa a resoluo de nomes do tipo Windows Socket para resolver problemas: desse modo, se a
utilizao do Ping para veriIicar o endereo Ialhar, o problema reside na resoluo do nome, em
consequncia, em alguns casos, na conectividade.
Ping n de IP, ou nome da maquina, endereo de website.
`Tracert: utilitario de rastreamento de rotas de IP.
`Sintaxe:
*Tracert n de IPou nome da maquinha, endereo de website;
`ARP (Adrress Resolution Protocol): permite a exibio e o gerencimento de mapeamento de IP e
endereos da rede Iisica. Utiliza o modo broadcast para descobrir o endereo MACdo computador de destino,
ou seja, perguntara a todos os computadores o segmento Iisico.
17
Exerccios de Reviso do Contedo:
1) Responda as questes:
a) Oque eTCP/IP? Qual o mode de operao desse protocolo?

b) Qual a estrutura de um endereo IP?

c) Qual a Iuno de um servidor de DNS?

d) Oque e gateway padro?

e) Qual a Iuno da mascara de sub-rede?

I) Como e Ieita a requisio de parmetros de conIigurao de rede de uma estao de trabalho para um
servidor DHCP?

g) Oque e um endereo MAC?

h) Oque relaciona o comando ARP?

i) DeIina e disserte sobre a ClassiIicao e Hierarquia dos endereos IP:

18
Sistema deArquivos - NTFS
Fromatar um HDsigniIica incluir todas as estruturas de que o sistema operacional precisa para acessa-lo.
Apos a Iormatao Iisica, Ieita pelo proprio Iabricante do HDnas etapas Iinais da produo, temos um HD
dividido em trilhas e setores; toda a inIra-estrutura basica para permitir que a cabea de leitura e gravao
possa ler e gravar dados.
Na Iormatao logica e escrita a estrutura logica de aramzenamento de arquivos utilizada pelo sistema
operacional.
Um sistema de arquivos e um conjunto de estruturas logicas e de rotinas, que permitem ao sistema
operacional controlar o acesso ao disco rigido. DiIerentes sistemas operacionais usam diIerentes sistemas de
arquivos.
As caracteristicas dos sistemas da Iamilia windows so a Iacilidade e a compatibilidade com os demais
sistemas, principalmente as verses para servidores.
ONewTechnology File System - NTFS e um sistema de arquivos criado e desenvolvido para os sistemas
servidores da MicrosoIt, porem, sistemas domesticos tambem o utilizam.
Uma das caracteristicas importantes do NTFS e que ele implementa Listas de Controle de Acesso
baseando-se em inIormaes de usuarios e grupos e, atualmente, somente HDs podem ser Iormatados em
NTFS. ONTFS Iornece suporte a criptograIia de pastas e arquivos atraves do EFS (Endripeted File System) -
tambem disponivel nas verses Windows Server e Pro 2000 eWindows XPProIessional.
Outra das caracteristicas do NTFS e que o sistema mantem um log de todas as operaes realizadas. Com
isto, mesmo que o computador seja desligado bem no meio da atualizao de um arquivo, o sistema podera,
durante o proximo boot, examinar este log e descobrir exatamente em que ponto a atualizao parou, tendo a
chance de automaticamente corrigir o problema.
`Criptografia
CriptograIia e o processo de converter dados em um Iormato que no possa ser lido por um outro usuario, a
no ser aquele que criptograIou o arquivo. Depois que um usuario criptograIar um arquivo, esse arquivo
permanecera automaticamente criptograIado quando Ior armazenado em disco.
No Windows Server2003, a criptograIia e transparente, ou seja, somente o usuario que a criptograIou
podera ter acesso e no notara nehuma diIerena, pois o proprio sistema Iara isto automaticamente.
`Permisses NTFS
O NTFS atraves de sua Lista de Controle de Acessos (ACL) permite as conIiguraes de restrio e/ou
permisses em conteudos de pastas compartilhadas, por exemplo. Ao compartilhar uma pasta no quer dizer
que todo o seu conteudo esteja realmente disponivel para usarios e grupos da rede. E possivel restringir quais
os usuarios tero acesso ao conteudo comparilhado e, quando o tem, em que nivel de operao ocorrera. Como
por exemplo: pode haver situaes em que determinados usuarios tenham acesso de somente leitura ao
conteudo, enquanto outros tenham acesso de controle total sobre esse conteudo.
Por padro, ao criar um compartilhamento, o Windows Server2003, atribui a premisso Somente Leitura
para todos os usuarios, por isso, ao criar um compartilhamento, o administrador ja devera estabelecer as
conIiguraes de acesso ao conteudo compartilhado.
`Permisses de Compartilhamento: so conIiguradas em trs niveis.
- Leitura:Apermisso de Leitura permite ao usuario:
* Listar os nomes de arquivos e de subpastas, dentro da pasta compartilhada;
* Acessar as subpastas dentro da pasta compartilhada;
* Abrir os arquivos para leitura;
* Execuo de arquivos de programa (.exe, .com, etc);
19
- Alterao: Permite ao usuario os mesmos direitos da permisso leitura, mais os seguintes direitos:
* Criao de arquivos e subpastas;
* Alterao de dados nos arquivos;
* Excluso de subpastas e arquivos;
- Controle total: Esta e a permisso padro que se aplica a todos os novos compartilhamentos. No
Windows Server2000, essa permisso era atribuida ao grupo Todos. Ja no Windows Server 2003 e atribuida a
permisso Somente Leitura ao grupo Todos por padro, quando um novo compartilhamento e criado.
Controle total possibilita as mesmas operaes que Leitura e Alterao, mais as seguintes:
* Alterao de permisses apenas para arquivos e pastas do NTFS;
* Apropriao (Take Ownership), apenas para arquivos e pastas em um volume Iormatado com NTFS;
No esquea!! Todo arquivo ou pasta de um disco Iormatado com NTFS, possui uma Lista de Controle
de Acesso (ACL). Nesta ACL Iica uma lista de todas as contas de usuarios e grupos para os quais Ioi
conIiguradoo acesso para o recurso, bem como o nivel de acesso de cada um deles.
` Permisses NTFS so cumulativas: isto e , se um usuario pertence a mais de um grupo, os quais tem
diIerentes niveis de permisso para um recurso, a permisso eIetiva do usuario e a soma das permisses
atribuidas aos grupos aos quais o usuario pertence.
` Permisses NTFS para um arquivo tm prioridade sobre permisses NTFS para pastas. Por
exemplo se um usuario tm permisso NTFS de escrita em uma pasta, mas somente permisso NTFS de
leitura para um arquivo dentro desta pasta, a sua permisso eIetiva sera somente a de leitura, pois a permisso
para o arquivo tem prioridade sobre a permisso para a pasta.
` Negar uma permisso NTFS tem prioridade sobre permitir. Por exemplo, se um usuario pertence
a dois grupos diIerentes. Para um dos grupos Ioi dado permisso de leitura para um arquivo e para o outro
grupo Ioi Negada a permisso de leitura, o usuario no tera o direito de leitura, pois Negar tem prioridade
sobre Permitir.
Servidores Microsoft baseados em sistemas de direttios s podem ser configurados em parties
NTFS!
Resumindo! O sistema de arquivos NTFS que vai oferecer suporte aos servios de diretrio,
permisses de acesso e execuo, segurana dos dados na rede atravs da criptografia, gerao de logs
para restaurar atualizaes do sistema e, consequentemente, logs de todas as operaes de usurios de
Domnio, o que comearemos a verlogo em seguida.
`Principais Caractersticas do NTFS
MFT (Master File Table), substitui a FAT, armazenando as localizaes de todos os arquivos e
diretorios, incluindo os arquivos reIerentes aoproprio sistema de arquivos.
Cada entrada de arquivo ou diretorio no MFT possui 2Kb, onde so aramzenados o nome do arquivo e
seus atributos. Orestante sera usado para armazenar o inicio do arquivo. Quando o arquivo Ior pequeno, sera
aramzenado no proprio MFT. Caso contrario, sero aramzenados apenas os numeros dos clusters ocupados
pelo arquivo.
Pode parecer estranho um arquivo possa ter mais de 2Kb so de atributos, mas no NTFS os atributos de
arquivos so muito alem dos normais e esto interligados as permisses NTFS:
*Nome
*Verso
*Nome no MS-Dos
*Permisses de acesso
*Auditoria
*Compresso de arquivos e pastas
20
Active Directory
E sem sombra de duvida a maior revoluo operacional em servidores MicrosoIt. OAD surgiu na verso
Windows Server2000 com a Iuno de centralizar todas as operaes executadas em um servidor. E a
implementao de diretorio da MicrosoIt para redes baseadas em Windows Server2000, 2003 e 2008,
compativel com as especiIicaes para inIormaes pertinentes a rede.
Todas as inIormaes de rede so armazenadas no Active Directory. La estaro registradas, por exemplo, o
nome do usuario e a senha utilizada para Iazer login na rede. Anteriormente, eram necessarias uma senha para
acessar o sistema principal de uma empresa, uma senha para ler seus e-mails, uma senha para se logar no
computador e varias outras senhas. Com a utilizao do AD, os usuarios podero ter apenas uma senha para
acessar todos os recursos disponiveis na rede. Podemos deIinir um diretorio como sendo uma banco de dados
que armazena todas as inIormaes do usuario.
Oque caracteriza uma rede baseada em diretorio e o Iato de todos os servidores terem acesso a mesma base
de dados, ou seja, todos compartilham o mesmo diretorio, as mesmas inIormaes sobre usuarios, grupos,
servidores e recursos.
No modelo baseado em diretorio, a vida do Administrador Iica bem mais Iacil. Vamos supor que o usuario
pedro queira acessar um recurso em um dos servidores da rede. Sem problemas, qualquer servidor tem uma
copia da base de dados do diretorio. Com isso a conta do usuario pedro estara disponivel em qualquer servidor.
Com isso ele podera acessar recursos em qualquer um destes servidores. E se o usuario pedro alterar a sua
senha. Isso sera Ieito na copia do banco de dados do diretorio de um dos servidores. Esta alterao sera
replicada para todos os demais servidores e a senha do usuario pedro estara sincronizada em todos os
servidores.
`Domnio: Um Dominio e nada mais do que um limite administrativo e de segurana, ou seja, o
administrador do Dominio possui permisses somente no Dominio, e no a outros Dominios. DiIerentes
Dominios podem ter diIerentes administradores e politicas de segurana especiIicas para cada um deles.
Podemos dizer tambem que o Dominio e a estrutura logica do AD, pois permite a criao e conIigurao de
'areas de aplicao diIerenciadas. Um exemplo bem pratico e que, usuarios pertencentes ao Dominio A
possuem como caracteristicas de segurana de senha, um comprimento minimo de 8 caracteres e, usuarios
pertencentes ao Dominio B possuem como caracteristicas de segurana de senha, um comprimento minimo
de 12 caracteres.
Ao utilizaros Domnios baseados no AD, temos os seguintes recursos:
` Logon nico: com esse recurso, o usuario necessita Iazer apenas um logon para acessar os recursos
em diversos servidores da rede;
` Conta de usurio nica: os usuarios possuem apenas um nome de usuario para acessar os recursos
da rede. As contas de usuario Iicam armazenadas no Banco de Dados do AD;
` Gerenciamento Centralizado: com os Dominios baseados no AD, temos uma administrao
centralizada. Todas as inIormaes sobre contas de usuarios, grupos e recursos da rede, podem ser
administradas a partir de um unico local no Dominio;
` Escalonabilidade: os Dominios podem crescer a qualquer momento, sem limite de tamanho. A
Iorma de administrao e a mesma para uma rede pequena ou grande;
Ento podemos chegar a concluso que, um conjunto de servidores, estaes de trabalhos, grupos,
usuarios e as politicas de segurana que envolvem esses objetos Iormam um Dominio. E simplesmente um
agrupamento logico de todas as inIormaes, os quais compartilham as diretivas de segurana.
Uma criao de contas de usuarios e/ou grupos e automaticamente replicada para todos os servidores da
rede e, consequentemente para todas as estaes de trabalho, ou seja, uma conta de usuario e valida para todo o
Active Directory tambm disponibiliza uma srie de servios que executam as seguintes funes:
* Replicao entre os Controladores de dominio.
* Autenticao
* Pesquisa de objetos na base de dados
* InterIace de programao para acesso aos objetos do diretorio
OADe organizado de Iorma heirarquica, com o uso de Dominios. Caso a rede utilize o AD, podera conter
varios Dominios.
21
Dominio, sendo que o usuario pedro pode receber permisses para acessar recursos e servios em qualquer
servidor do Dominio, seja em um Controlador de Dominio.
Uma rede baseada em sistema de Domnio:
` rvores de Domnios: Quando existem diversos dominios relacionados e conIigurados na rede
servidor/cliente mantidos pelo Active Directory, temos uma Arvore de Dominios. Uma arvore nada mais e do
que um agrupamento ou arranjo hierarquico de um ou mais dominios do Windows Server2003, os quais
compartilham um espao de nome.
Controlador de Domnio - DC
Servidor1 Servidor2 Servidor3
Base de usurios nica
empresa.com
ti.empresa.com adm.empresa.com
rh.adm.empresa.com cobr.adm.empresa.com cpd.ti.empresa.com Iunc.ti.empresa.com
22
O Active Directory utiliza o DNS (Domain Name System) como servio de nomes de servidores e
recursos e de resoluo de nomes. Por isso um dos pre-requisitos para que o AD possa ser instalado e
Iuncionar perIeitamente e que o DNS deve estar instalado e corretamente conIigurado.
`Instalao do Active Directory: Simples e Iacil, basta se logar no Server2033 como Administrador,
apos, acessar Menu Iniciar/Executar e digitar o comando dcpromo
Aprimeira tela e meramente inIormativa, porem, vamos deixar de lado o 'avanar, avanar e avanar e,
prestar um pouco de ateno ao que iremos Iazer.
Aqui voc encontrara uma tela de boas
vindas ao Assistente para instalao do
Active Directory. Vale lembrar que o
mesmo comando que voc ira utilizar
para instalar e conIigurar o AD, sera o
mesmo utilizado para desinstala-lo.
Costuma-se dizer que, quando iremos
promover um computador para um
Controlador de Dominio, estamos
'levantando o servidor e, quando
desinstalamos, estamos 'rebaixando o
servidor.
Nessa tela e descrita a Iuno do
assistente e Iornece um link para a
documentao sobre Active Directory, na
Ajuda do Windows Server 2003.
Clique em Avanar, para seguir para a
proxima etapa do assistente.
dcpromo
Promover
Controlador de Dominio
23
DeIina agora se o servidor Iara parte
de um novo Dominio ou se o servidor Iara
parte de um Dominio existente (um
servidor que pertence a um Dominio
existente, chama-se de Servidor
Membro). Selecione a opo Controlador
de Dominio para um novo Dominio,
clique em avanar.
Nesta etapa, sero exibidas trs opes
para seleo:
* Dominio em uma nova Iloresta: Esta
opo e utilizada quando voc esta
criando o primeiro dominio. Ou seja,
ainda no existe uma arvore de dominios e
voc esta criando o primeiro dominio.
*Dominio Iilho em uma arvore de
dominio existente: Selecione esta opo
se voc estiver criando um novo dominio
em uma arvore de dominios ja existente.
*Arvore de dominio em uma Iloresta
existente: Selecione esta opo se voc
esta criando uma nove arvore de
dominios, a qual sera integrada a uma ou
mais arvores ja existentes, para Iormar
uma Iloresta.
Aqui voc devera digitar o nome
completo do Dominio, na estrutura de
DNS, ou seja com a extenso de DNS.
Veja o exemplo que utilizei aolado:
~tecnicoqi.com, clique em avanar.
24
DeIina o nome NETBIOS do Dominio.
O nome NetBIOS e uma especie de
apelido, de nome curto para o dominio.
Normalmente e utilizada a primeira parte
do nome DNS, no nosso exemplo o nome
DNS e tecncioqi.com, o nome NetBIOS
sera TCNICOQI. Observe que o campo
'Nome NetBIOS do dominio, ja vem
preenchido com o nome do Dominio. O
nome NetBIOS e importante por questes
de compatibilidade, para aplicaes e
clientes mais antigos, os quais no
utilizam o DNS, mas sim o WINS
(Windows Internet Name Service). O
servio WINS continua disponivel no
Windows Server 2003 por questes de
compatibilidade.
Na proxima tela, voc deIinira o local
onde sero gravadas as inIormaes do
AD, como arquivos de log e base de dados
do AD. E recomendado que a partio na
qual esses arquivos sero armazenandos
esteja Iormatado com o sistema de
arquivos NTFS. Clique em avanar.
Proxima etapa! DeIinira o local onde a
pasta SYSVOL sera criada. O diretorio
SYSVOL cont em uma ser i e de
inIormaes Iundamentais para o
Iuncionamento do Active Directory, bem
como para a implementao das politicas
de segurana (GPOs). Esta pasta,
obrigatoriamente, tem que estar em um
volume Iormatado com o sistema de
arquivos NTFS. Uma das Iunes da
SYSVOL e armazenar uma copia dos
arquivos publicos de Dominio do servidor.
25
Proximo passo! O assistente inIorma
que no pode localizar um servidor DNS
para o dominio tecnicoqi.come oIerece a
opo de voc deixar que o assistente
instale e conIigure o DNS no servidor que
esta sendo promovido a DC.
CertiIique-se de que a opo Instalar e
conIigurar o servidor DNS, esteja
selecionada.
DeIinir o tipo de permisso padro
utilizada para os objetos usuarios e grupos.
Existem duas opes:
*Permisses compativeis com verses
de sistemas operacionais de servidor
anteriores ao Windows2000: essa opo
deve ser selecionada quando existem
servidores que rodem verses anteriores
a o Wi ndows 2000 ou Wi ndows
Server2000;
*Permisses compativeis somente com
os sistemas operacionais de servidor
Windows 2000 ou Windows Server2003:
essa opo deve ser selecionada quando
todos os servidores rodarem verses do
Windows 2000 ou superior. Com essa
opo, o acesso ao servidor somente
podera ser Ieito por usuarios autenticados.
DeIinir a senha do Administrador de
modo de restaurao do Controlador de
Dominio. A conta de Aministrador de
modo de restaurao e diIerente da conta
de Administrador de Dominio. As senhas
devem ser diIerentes uma da outra.
26
Apos a conIigurao, o assistente de
instalao do AD ira exibir um relatorio
com as conIiguraes executadas durante
as etapas de conIigurao.
Observe que ele exibe o NETBIOS e o
endereo dos principais diretorios para o
Iuncionamento do Active Directory.
E iniciado o processo de conIigurao
do Active Directory. Durante esse
processo, o CDde instalaao do Windows
Server2003 podera ser solicitado. Caso
seje, insira o CD.
O servidor e promovido a Controlador
de Dominio. Apasta NTDS e criada. Essa
pasta armazena os arquivos de log do ADe
a base de dados do Active Directory. A
pasta SYSVOL e criada. Essa pasta
contem inIormaes essnciais para o
Iuncionamento do AD e a implementao
das GPOs.
Novos utilitarios para a administrao
so criados:
*Dominios e conIianas do AD:
utilitario para administrar as relaes de
conIiana criadas entre Dominios.
*Sites e Servios do AD: utilitario
usado para gerenciamento da replicao
do AD.
*Usuarios e Computadores do AD:
importantissimo recurso, responsavel
pela centralizao de todas as operaes
que envolvem o gerenciamento dos
objetos que pertencem ao Dominio.
* Di r e t i v a d e Se g u r a n a d o
Controlador de Dominio: gerenciamento
das politicas de segurana que envolvem
os Controladores de Dominio.
*Diretiva de Segurana do Dominio:
conIigurao das Politicas de Segurana
do Domminio.
Apos o termino da instalao, voc
27
devera reiniciar o computador e, no proximo logon, sera o logon do Dominio. Todos os servios e recursos de
um Controlador de Dominio estaro disponiveis para o termino da conIigurao. Na imagem abaixo, pode-se
ver o conteudo da importante pasta NTDS so gravados os arquivos com a base de dados do Active Directory e
com os logs de transaes desta base de dados.
Agora que instalamos e comeamos a conIigurao de um Controlador de Dominio, vamos para o proximo
passo na nossa tareIa de transIormar esse servidor em um Controlador de Dominio Administrativo, ou seja, a
criao e conIigurao de objetos do Dominio tais como: usuarios, grupos, computadores e Unidades
Organizacionais.
28
Renomeando Computadores para Ingressar no
Domnio
Agora que instalamos e conIiguramos o Active Directory vamos para o proximo passo. ConIigurar as
maquinas clientes para que sejam reconhecidas no Dominio e pelo Controlador de Dominio. Ao conIigurar a
estao de trabalho para o Dominio, o computador Iara parte deste limite administrativo, pois herdara todas as
politicas de segurana e se tornara um objeto do Active Directory, podendo participar de grupos, ser
relacionadoa usuarios permitindo o logon no Dominio.
*Para Renomear uma maquina no Dominio:
1) Acessar propriedades de Meu Computador;
2) Clique sobre a guia Nome do Computador (IdentiIicao de Rede);
3) Clique em Alterar (Propriedades);
4) Digite um nome para o Computador;
5) Na opo Membro de: ative Dominio e digite o nome do Dominio (sem .com);
6) Em Mais, digite o DNS do Dominio. Ex: tecnicoqi.com;
7) Reiniciar o computador para validar as alteraes;
Apos reiniciar a maquina
cliente, ela sera exibida no
u t i l i t a r i o U s u a r i o s e
Comput a dor e s do Ac t i ve
Di r e c t or y e , voc c omo
Administrador da rede podera
gerenciar, atribuir Politicas de
Segurana, limitar usuarios a se
l ogar em um comput ador
e s p e c i I i c o , a c e s s a r e s t e
computadore pela rede, etc.
O B S : m u i t a s d a s
Iuncionalidades e Iacilidades
administrativas do Windows
Server2003, somente podero ser
utilizadas com clientes Windows
2000 ProIessional ou Windows
tecnicoqi.com
29
XP ProIessional. Embora seja possivel Iazer com que um cliente com o Windows 95/98/Me instalado, Iaa
parte de um dominio, muitas das Iacilidades administrativas e de segurana, disponibilizadas pelo Active
Directory, nopodero ser implementadas.
Ainda ao reiniciar o computador voc ja nota a primeira diIerena. Atela tradicional de logon, onde era
exibida a lista de usuarios cadastrados no computador local, no e mais exibida. Ao inves disso e exibida a tela
de logon tradicional, onde voc deve inIormar o nome do usuario, a senha e tambem o nome do Dominio.
Tambem e possivel Iazer o logon usando as contas locais. Para isso basta inIormar o nome de logon de um
usuario local (alunotecnico, aluno, lab102, etc.), a respectiva senha e, no campo Fazer logon em: selecionar a
opo que corresponde ao nome do computador. Ao Iazer o logon local, o usuario no tera acesso aos recursos
do Dominio, como por exemplo pasta e impressoras compartilhadas nos servidores do Domino. E
interessante observar que, todas as contas locais Ioram mantidas. Se no Iuturo, o computador Ior retirado do
dominio, a tela de logon do Windows XP, com a lista de usuarios voltara a ser exibida. Em resumo, ao
ingressar no dominio passamos a ter duas opes de logon: Fazer o logon no Dominio ou Iazer o logon
localmente.
Resumindo, com isso concluimos a incluso do computador no Dominio. Apartir deste momento, todas as
politicas de segurana e demais conIiguraes administrativas, conIiguradas no Dominio, passaro a ser
aplicadas ao computador, enquanto ele Iizer parte do Dominio. Por exemplo, o Administrador pode aplicar
politicas de segurana, restringindo o acesso a determinadas opes de conIigurao, como por exemplo o
acesso as conIiguraes de rede, Painel de Controle, Propriedades de Video, etc. Estas politicas sero
aplicadas a todos os computadores e usuarios que Iizerem parte do Dominio. Contudo e importante salientar,
que ainda e possivel Iazer o logon localmente. Por exemplo, a conta Administrador local continua existindo.
Sempre que voc precisar executar alguma ao com permisses de Administrador, como por exemplo
instalar um driver de Hardware ou uma conIigurao especiIica de SoItwares, podera utilizar a conta
Administrador local.
30
Revisando!
As diferenas entre um logon local e logon no Domnio:
`Logon Local: e todo o logon eIetuado por um usuario criado e conIigurado no proprio sistema, como
por exmplo o item Contas de Usrios do Painel de Controle. As conIiguraes de perIis do usuario Ioram
determinadas localmente e no sero replicadas para uma rede.
`Logon no Domnio: e todo o logon eIetuado de Iorma 'remota, ou seja, um usuario Ioi criado e
conIigurado em Usuarios e Computadores do AD, seu perIil (conjunto de parmetros de conIiguraes) Ioram
criados pelo Administrador do Controlador de Dominio. As permisses de direitos de acesso e/ou execuo
ou as restries esto armazenadas e conIiguradas no Controlador de Dominio, no na Estao de Trabalho. A
cada logon desse usuario, todo o seu perIil e carregado na maquina cliente apos ser validado pelo Banco de
Dados SAM (Security Accounts Manager), que Iica armazenado no Active Directory.
Resumindo, para burlar uma conIigurao de Controlador de Dominio, o usuario necessitara deter a conta
e senha do Administrador para alterar as conIiguraes eIetuadas em seu perIil.
`Questes para Reviso de Contedo
1) Quais as Iunes dos componentes Sysvol e NETBIOS?

2) Quais os objetos do Active Directory?

3) DeIina:
*DCPROMO:

*Dominio:

*DNS doDominio:

*Controlador de Dominio:

*Arvore de Dominio:

4) Quais as caracteristicas de operao do Active Directory?

31
Usurios e Computadores do Active Directory
`Administrao de contas de usurios e grupos do Active Directory:
Quando se trabalha com rede na estrutura do Windows Server2003 precisa-se de uma maneira para poder
identiIicar quem e o usuario logado e quais aes ele esta realizando. OWindows Server 2003 tambem precisa
identiIicar cada usuario para liberar ou no o acesso a recursos protegidos por permisses de acesso. Vamos
supor que o Administrador conIigure uma pasta compartilhada chamada Documentos, no servidor SRV01.
Nesta pasta, Ioi permitido o acesso, de tal maneira que somente o usuario Pedro Souza, logon psouza, possa
acessar esta pasta. OWindows Server 2003 precisa saber quem e o usuario que esta acessando a pasta. Se Ior
o psouza, o Windows Server 2003 libera o acesso, caso contrario o acesso e negado.
OWindows Server 2003 identiIica cada usuario pelas inIormaes de logon. Que inIormaes so essas?
Um nome com o qual o usuario Ioi cadastrado na rede e a respectiva senha(dados cadastrados no AD). Por
exemplo, o nosso usuario Pedro Souza poderia ser cadastrado como psouza, ja a Maria poderia ser
cadastrada como maria, e assim por diante. Ou seja, o primeiro passo para que um usuario possa ter acesso
aos recursos da rede e cadastrar o usuario. Cadastrar o usuario signiIica criar uma conta de usuario e um senha
no Active Directory.
`Contas de Usurios: uma conta de usuario e um objeto do Active Directory que permite o acesso
atraves do logon a recursos conIigurados e permitidos pelo Administrador do sistema. As inIormaes sobre
as contas de usuarios Iicam armazenadas no Active Directory e nos servidores Controladores de Dominio que
pertencem a rede. Quando um usuario se loga na rede baseada em Dominio, suas inIormaes so
veriIicadas. Se o usuario e senha existirem e, a conta de usuario no estiver bloqueada, o logon sera permitido
e o perIil do objeto sera carregado na area de trabalho da maquina cliente.
Uma conta de usuario de Dominio e diIerenciada, pois todas as conIiguraes so executadas no
Controlador de Dominio, permisses, restries, acessos e execues so deIinidas pelo Administrador. A
isso chamamos de logon no Dominio, pois no importa em que estao de trabalho o usuario ira se logar, ele
carregara as conIiguraes armazenadas no AD. Uma vez que o usuario Iez o logon no Dominio, ele passou a
estar identiIicado, ou seja, todas as aes que o usuario executar estaro associadas com a sua conta de
usuario. Por exemplo, se o usuario psouza Iizer o logon no dominio TCNICOQI e tentar acessar um
arquivo para o qual ele no tem permisso, Iicara registrado nos logs de auditoria do servidor as seguintes
inIormaes. As contas criadas no Dominio so chamadas de Contas de Usuario de Dominio e sera
identiIicada como psouzatecnicoqi.com, essa conta possui como caracteristica principal e de receber
recursos, permisses e/ou restries para todo o Dominio.
Quanto as senhas, devera ser obedecida a regra da politica de segurana do Windows Server2003. Senhas
com requisitos de complexidade, significam que devero ser cadastradas utilizando caracteres
maisculos e minsculos mais nmeros.
Exemplo de senha com requisitos de complexidade:
- XySenha4879
`Grupos de Usurios: um Grupo de Usuarios e um objeto do Active Directory, e uma coleo de usuarios.
-Observaes para nomes de contas de usurios:
* Onome de logon deve ser unico no dominio. No e possivel criar dois usuarios com o mesmo nome
de logon no mesmo dominio.
* Onome de logon tambem no pode ser igual ao nome de um grupo do dominio. Por exemplo, se ja
existe um grupo chamado Adm, voc no podera criar uma conta de usuario com o campo nome de logon
preenchido como Adm.
* Onome de logon pode conter espaos em branco e pontos, porem no pode ser Iormado somente por
espaos e pontos. E conveniente evitar o uso de espaos em branco, pois contas com espaos em branco no
nome, tero que ser escritas entre aspas, quando voc utiliza scripts para administrao do Windows Server
2003.
32
Os grupos simpliIicam a administrao porque o Administrador pode atribuir direitos em nivel de grupo. Para
simpliIicar a administrao de contas de usuarios que tm necessidades semelhantes, basta dividi-los em
Grupos. Um Grupo e um nome, semelhante ao nome de usuario de uma conta, que pode ser usado para se
reIerir a um ou mais usuarios. Ouso de grupos e conveniente para permitir e controlar o acesso de usuarios que
realizam tareIas semelhantes.
Sem os grupos seria necessario alterar as restries de cada conta de usuario. Ao agrupar os usuarios, voc
permite a todos eles os mesmos recursos ou restries de uma vez so.
`Tipos de Grupos:
-Grupos de Segurana: Normalmente utilizados para atribuir permisses de acesso aos recursos da
rede. Por exemplo, ao criar um grupo Adm (que contera todas as contas dos Iuncionarios do departamento
administrativo) o qual sera utilizado para atribuir permisses de acesso a uma pasta compartilhada, deve-se
criar este grupo como sendo do tipo Grupo de segurana. Um grupo de segurana tambem pode ser utilizado
como um grupo de distribuio, embora essa no seja uma situao muito comum. Esses grupos, assim coma
as contas de usuarios so armazenados no Banco de dados do Active Directory.
-Grupos de Distribuio: So utilizados para Iunes no relacionadas com segurana (no
relacionadas a atribuio de permisses) . Normalmente so utilizados em conjunto com servidores de e-mail,
tais como o Exchange Server 2003, para o envio de e-mail para um grupo de usuarios. Uma das utilizaes
tipicas para um Grupo de distribuio e o envio de mensagens de e-mail para um grupo de usuarios de uma so
vez. No e possivel utilizar grupos de distribuio para Iunes relacionadas com segurana.
`Escopo de Grupos:
O Escopo permite que o grupo seja utilizado de diIerentes maneiras para a atribuio de permisses. O
escopo de um grupo, determina em que partes do Dominio ou de uma Iloresta de Dominios, o grupo e visivel,
ou seja, pode ser utilizado para receber permisses de acesso aos recursos da rede e quais tipos de objetos
(grupos e usuarios), podem ser inseridos como membros do grupo. Existem trs escopos para grupos de
usuarios: Universal, Global e Local do dominio.
-Grupos Universais: podem ser utilizados em qualquer parte de um Dominio ou da arvore de
Dominios e podem conter como membros, grupos e usuarios de quaisquer Dominios. Pode ser membro de:
Grupos locais de qualquer Dominio ou grupos universais de qualquer Dominio. Pode receber permisses para
recursos localizados em qualquer Dominio;
-Grupos Globais: Um grupo Global e 'global quanto aos locais onde ele pode receber permisses de
acesso, ou seja, um grupo Global pode receber permisses de acesso em recursos (pastas compartilhadas,
impressoras, etc) de qualquer dominio;
-Grupos de Domnio Local: So grupos que somente podem receber permisses para os recursos do
Dominio onde Ioram criados, porem podem ter como membros, grupos e usuarios de outros Dominios;
`Contas de Computadores: todo o computador, no importando o sistema operacional, mas que esteja
conectado e pertendente a um Dominio, possui uma Conta de Computador. Um Computador tambem e um
objeto do Active Directory. As Contas de Computador Iornecem um meio de autenticar e auditar o acesso do
computador a rede e aos recursos de Dominio. Cada conta de Computador deve ser exclusiva, isto e, no
podem haver duas contas, com o mesmo nome, no mesmo Dominio. As contas de usuario e computador so
adicionadas, desabilitadas, redeIinidas e excluidas usando o utilitario Usurios e Computadores do Active
Directory. Uma conta de computador tambem pode ser criada quando voc inclui um computador em um
Dominio. Quando o Administrador conIigura uma estao de trabalho, para Iazer parte de um Dominio, sera
criada no Active Directory, uma conta para o computador que esta ingressando nesse Dominio. O nome da
conta tera o mesmo nome do computador. Todo computador que Iaz parte de um Dominio (com exceo de
computadores com o Windows 95/98/Me), tem uma conta de computador criada no Active Directory. Alem
`Caractersticas de Operao com Grupos:
- Grupos so uma coleo de contas de usuarios;
- Os membros de um grupo, herdam as permisses atribuidas ao grupo;
- Os usuarios podem ser membros de varios grupos;
- Grupos podem ser membros de outros grupos;
- Contas de computadores podem ser membros de um grupo (novidade do Windows Server 2003);
33
da conta e criada tambem uma senha, porem esta senha e gerada, automaticamente, pelo Active Directory.
Esta senha tambem e alterada, periodicamente, pelo AD.
`Utilitrio Usurios e Computadores do AD:
Importante Ierramenta utilizada para o gerenciamento dos objetos do Active Directory. Para acessa-la:
Menu Iniciar/FerramentasAdministradtivas/Usuarios e Computadores do Active Directory.
Do lado direito encontraremos uma estrutura de recipientes responsaveis por organizar, atribuir e gerenciar
os objetos do AD. Ao lado esquerdo, encontraremos o 'conteudo de cada recipiente. E o que estudaremos a
seguir:
Abaixo do nome do Domnio temos:
`Builtin: grupos Builtin, grupos criados automaticamente quando o Active Directory e instalado.
Estes grupos so utilizados para Iunes de administrao do Dominio. Por exemplo, os membros do grupo
Administradores tem permisses administrativas em todo o Dominio, ja membros do grupo Opers. de contas
tem permisses para criar e administrar contas de usuarios no dominio e assim por diante. Os grupos que
Iicam nesta opo so grupos Locais do Dominio.
`Computers: e exibido a lista de computadores que pertencem ao Dominio. Importante lembrar que,
computadores com Windows 95/98/ME no possuem contas de computadore em um Dominio.
`Domain Controllers (Controladores de Domnio): e exibido a lista de computadores
Controladores de Dominios.
`ForeignSecurityPrincipals: e exibido a lista de relaes de conIiana relacionadas a politicas de
segurana criadas manualmente pelo Administrador de Dominio.
`Users (usurios): e exibida a lista de contas criadas automaticamente apos a instalao do Active
34
Directory. Por padro, e aqui que o Administrador cria e cadastra suas contas de usuarios, a menos que ele
estruture seu Dominio com Unidades Organizacionais (UOs), o que estudaremos mais adiante.
`As Contas Builtin: essas contas, como ja vimos antes, so contas criadas automaticamente apos a
instalao do AD, mas vamos perder mais um tempo estudando estes objetos to importantes na
administrao de uma rede.
` CriarContas de Usurios:
Selecione o recipiente Users/clique com o botao direito do mouse em qualuqer area vazia do lado direito
da tela/Novo/Usuario.
-Conta Administrador: Esta conta pertence a diversos grupos do Dominio. Oresultado pratico e que
a conta Administrador tem poderes totais em todos os computadores do Dominio, ou seja, e a conta com o
mais alto nivel de permisses no Dominio. Esta conta pertence, automaticamente, aos seguintes grupos:
Administradores, Domain Admins (Admins. do Dominio), Domain Users (Usuarios do Dominio), Enterprise
Admins (Administradores de empresa), Group Police Creator Owners (Proprietarios criadores de diretivas de
grupo) e SchemaAdmins (Administradores de esquemas). Como a contaAdministrator e a conta com o maior
niveis de permisses do dominio, algumas recomendaes adicionais de segurana so necessarias:
* DeIina uma senha complexa para esta conta. Senha complexa signiIica uma senha com no minimo
10 ou mais caracteres e que possua requisitos de complexidade;
* E recomendado que voc renomeie a contaAdministrador. Com isso, se alguem quiser Iazer o logon
como administrador, alem da senha desta conta tera tambem que tentar descobrir o novo nome. Ao renomear a
conta Administrador, voc diIiculta a vida de um hacker, ao Iazer com que ele tenha que descobrir o nome e
tambem a senha.
* E recomendado que o Administrador do Dominio tenha tambem uma conta de usuario comum, com
permisses limitadas. Somente quando Ior necessario realizar tareIas administrativas e que este usuario deve
Iazer o logon como Administrador. Isso reduz a possibilidades de erros de operao, os quais podem ser
desastrosos se cometidos quando o usuario esta logado como Administrador do Dominio.
- Conta Convidado: Esta conta e criada automaticamente e por padro esta bloqueada, ou seja, no esta
habilitada para ser usada para logon no Dominio. Esta conta normalmente e utilizada por pessoas de Iora da
empresa, que esto na empresa prestando um servio especiIico ou participando de uma reunio e precisam,
por algum motivo, Iazer o logon na rede. Aconta Convidado pode ter senha em branco e por padro tem acesso
bastante limitado aos recursos da rede.
35
Apos abrir a janela de criao de usuarios, preencha os campos para o cadastro do usuario. Em nome de
logon, deIina o nome para o logon do usuario. Esse nome podera receber espaos, acentos, caracteres
maiuscuilos, porem no e adequado por questes de praticidade.
Clique em Avanar. Nesta proxima etapa, voc devera deIinir uma senha para o logon desse usuario. A
senha e uma questo a parte, voc como Administrador de Dominio no precisa ter acesso a senha do usuario
para poder monitorar as suas tareIas. Normalmente, o Administrador Iornece uma senha generica, igual para
todos os usuarios que esta cadastrando, o usuario ao eIetuar o primeiro logon e que Iicara responsavel de
cadastrar a sua senha particular.
`Opes de Senha:
-O usurio deve alterar a senha no prximo logon: opo mais utilizada, como citei acima, voc
como Administrador no precisa ter conhecimento da senha do usuario. Ao cadastrar o usuario e marcar esta
opo, o mesmo ao se logar pela primeira vez tera que cadastrar sua propria senha.
-O usurio no pode alterar a senha: se esta opo estiver maracada, somente o Administrador
podera alterar a senha. Opo mais utilizada para Iuncionarios temporarios e estagiarios.
-A senha nunca expira: independente das politicas de segurana vigentes no Dominio, o usuario
nunca precisara alterar a sua senha, caso contrario, de acordo com as diretivas de segurana, de tempos em
tempos, o usuario precisara cadastrar nova senha.
-Conta desativada: O Administrador marca esta opo para desativar/bloquear a conta de um
usuario. Usuarios com a conta bloqueada no podem mais eIetuar logon e, consequentemente, no podem
mais acessar recursos da rede. Esta opo normalmente e utilizada para desativar, temporariamente, a conta
de empregados que esto em Ierias. Quando o empregado retorna ao servio, o Administrador libera a sua
conta, simplesmente desmarcando esta opo.
`Propriedades da Conta
de Usurio:
So as conIiguraes mais
especiIicas que voc como
Admi ni s t r ador poder a
eIetuar. So detalhes do
u s u a r i o c o mo : n o me
completo, endereo, teleIone,
email, site, etc. Na guia
Conta, voc podera redeIinir
as opes de senha, horario de
logon, vencimento da conta e,
em que estao de trabalho o
usuario devera se logar. Para
acessar as propriedades do
usuario, basta dar duplo-
clique sobre o objeto ou clicar
com o bot o di r ei t o,
acessando Propriedades.
`Copiando Usurios:
Para agilizar a criao de usuarios que compartilham das mesmas caracteristicas, tais como horario de
logon, opes de senha ou teleIone do setor da empresa, e aconselhavel que voc crie uma conta modelo para
que possa ser copiada. Uma conta modelo nada mais e que uma conta de usuario normal, portanto basta cria-la
com as conIiguraes desejadas, apos e so utilizar o comando copiar (acessado atraves do boto direito do
mouse sobre o objeto).
Quando voc cria demais usuarios utilizando uma conta modelo, esses objetos herdam:
-Guia Geral: Nenhuma propriedade e herdada do modelo.
- Guia Endereo: Todas as propriedades so herdadas, com exceo do campo Rua.
OBS: lembre-se, por padro, os requisitos de complexidade de senha ativados, potanto a senha cadastrada
pelo Administrador devera obedecer a esta politica de segurana.
36
- Guia Conta: Todas as propriedades so herdadas, com exceo dos campos Nome de logon do
usuario e Nome de logon do usuario (anterior ao Windows 2000).
- Guia Perfil: Todas as propriedades so copiadas, porem so adaptadas para reIletir o nome de logon
do usuario que esta sendo criado.
- Guia Telefones: Nenhuma propriedade e copiada.
- GuiaOrganizao: Todas as propriedades so copiadas, com exceo do campo Titulo.
- Guia Membro de: Todas as inIormaes so copiadas, ou seja, a nova conta, criada a partir de um
modelo, pertencera exatamente aos mesmos grupos aos quais pertence a conta modelo.
- Guias Discagem, Ambiente, Sesses, Controle remoto, Perfil de servios de terminal e COM+:
Nenhuma inIormao e copiada destas guias, do modelo para a nova conta que esta sendo criada.
`Gerencimanto de Contas de usurios:
O Administrador possui controle total sobre os objetos do Dominio, consequentemente, tem acesso ao
gerenciamento das contas de usuarios, tais como: redeIinir senha para o caso do usuario errar sua senha
durante o processo de logon, renomear usuario, mover, excluir, desativar conta, etc.
`Criao de Grupos: em Usuarios e Computadores do AD, selecione o recipiente Users, clique com o
boto direito do mouse em uma area vazia do lado direito da tela Novo/Grupo. Faa as conIiguraes do
Grupo desejadas (ja vimos os conceitos deTipos de Grupos e Escopo de Grupos).
Para adicionar usuarios como membros do Grupo, d duplo-clique no objeto, acesse a guia
Membros/Adicionar/digite os nomes de usuarios, gurpos e/ou computadores que pertencero ao grupo
criado. O mesmo caminho voc devera Iazer para o caso de desejar remover objetos que pertencem a este
Grupo.
`Grupos Builtin: quando um dominio e criado (com a instalao do Active Directory no primeiro DCdo
dominio), uma serie de grupos so criados. Estes grupos podem ser acessados usando o console Usuarios e
computadores do Active Directory. Na opo Builtin so exibidos os grupos locais do dominio, criados
automaticamente durante a criao do dominio. Outros grupos tambem so criados automaticamente. Estes
grupos Iicam na opo Users. Nesta opo so criados grupos Locais, Globais e Universais.
-Operadores de Conta: membros deste gurpos podem criar, editar, mover e excluir contas de usarios.
Aunica restrio que membros deste grupo tm e que no podero excluir, editar ou incluir contas de usuarios
no Grupo Administradores.
-Administradores: podem tudo dentro do dominio. Membros deste grupo tem controle e permisso
total, em todos os Controladores do Dominio. Por padro, o grupo Adminis. do Dominio e o grupo
Administradores de empresa, so membros do grupo local Administradores. AcontaAdministrador tambem
e membro deste grupo, por padro. Por padro os membros deste grupo tambem tem os seguintes direitos de
usuario: Acessar este Computadore pela Rede; Ajuste de Memoria e quotas de Processos; Backup de
Arquivos e Pastas; Alterar hora do Sistema; Criar Paginao de Arquivos; Debug em Programas; Ativar
Contas de usuarios e Computadores para Delegao de Controle; Forar Desligamento do Sistema Remoto;
Remover Estao de Trabalho; Restaurar Arquivos e Diretorios, Gerenciar Logs de Auditoria e Segurana,
etc. Como os membros deste grupo tem controle total em todos os Controladores de Dominio, seja cuidadoso
37
e somente adicione novos membros a este grupo quando realmente Ior necessario.
-Operadores de Cpia: Os membros deste grupo podem Iazer o backup de pastas e arquivos, mesmo
que no tenham permisso de acesso (permisses NTFS) as pastas e arquivos. Isso permite que a
administrao das copias de segurana (backup) seja realizada centralizadamente, sem que tenha que ser
atribuida permisso de acesso para o Administrador do Backup, em todos os recursos que Iazem parte do
backup. Por padro este grupo no tem nenhum membro. OAdministrador devera adicionar membros a este
grupo.
-Convidados: nenhum direito de usuario e atribuido a este grupos, pois ele obedece aos mesmos
conceitos do usuario Convidado ja visto anteriormente.
-Criadores de Confiana de Floresta de Entrada: Membros deste grupo tem permisso para criar
relaes de conIiana unilateral com o Dominio principal de outras Ilorestas.
-Operadores de Configuraes de Rede: membros deste grupo podem alterar as conIiguraes do
protocolo TCP/IP, bem como executar os comandos de diagnostico de rede.
-Usurios do monitor de Desempenho: possuem permisses para gerenciar o monitoramento do
sistema, tanto no Controlador de Dominio, quanto nas Estaes de Trabalho. Por padro, este grupo no
possui nenhum usuario.
-Usurios dos log de Desempenho: membros deste grupo tem permisso para usar o Utilitatio de
Desempenho para monitorar os contadores e logs de desempenho, bem como alertas de desempenho nos
Controladores de Dominio, tanto localmente quanto a partir de uma estao de trabalho da rede. Estas
permisses, por padro, so atribuidas a este grupo e aos grupos Administradores e Usuarios de log de
desempenho. Por padro este grupo no tem nenhum membro e nenhum direito de usuario e atribuido a este
grupo.
-Acesso compatvel com verses anteriores ao Windows 2000: membros deste grupo tem
permisso de acesso de leitura em todos os objetos do tipo usuarios e grupos do Dominio. Este grupo e
disponibilizado por questes de compatibilidade com estaes de trabalho rodando o Windows NT 4.0 ou
verso anterior. Por padro, o objeto Todos e membro deste grupo. Somente adicione usuarios a este grupo, se
eles estiverem utilizando uma estao de trabalho com o NT4.0 ou verso anterior. Os membros deste grupo
tambem tem o seguinte direito de usuario: Acessar este Computador pela Rede;
-Opers. de Impresso: membros deste grupo tem permisso para gerenciar, criar, compartilhar e
excluir impressoras conectadas em Controladores do Dominio. Eles tambem tem permisso para gerenciar
impressoras que Ioram publicadas no Active Directory.
-Usurios da rea de trabalho remota: membros deste grupo tem permisso para Iazer o logon
remotamente nos Controladores de Dominio. E a mesma Iuncionalidade de desktop remoto, introduzida
inicialmente no Windows XP.
-Duplicadores: este grupo da suporte as Iuncionalidades de replicao do Active Directory e e
utilizado peloservio de replicao de arquivos que roda nos Controladores de Dominio.
-Opers. de Servidores: os membros deste grupo podem realizar uma serie de operaes nos
Controladores de Dominio do dominio, tais como: logar localmente, criar e deletar compartilhamentos,
inicializar e parar servios, Iazer o backup e restaurao de arquivos, Iormatar um disco rigido e desligar o
servidor. Por padro este grupo no tem nenhum membro.
OBS: estes grupos Builtin so predeIinies do Active Directory, ou seja, so conIiguraes 'prontas
para serem utilizadas. Qualquer usuario comum criado em Usuarios e Computadores do AD, pode se
transIormar em um usuario de sistema quando Ior adicionado a um deles, portanto, voc como Administrador
de Rede devera ter um projeto consistente para medir a real necessidade de conIiguraes de usuarios de
sistema, pois estara delegando uma serie de controles a mais objetos, talvez desnecessarios.
38
Exerccios de Reviso do Contedo:
1) Apos instalar e conIigirar o AD, acessr Usuarios e Computadores do AD;
2) Selecionar o recipiente Users e desenvolver a estrutura abaixo:
`Grupo de Domnio Global e de segurana com nome deADM;
-User1
-User2
-User3
-ConIiguraes de usuarios: horario de logon- de 2 a 6 das 8:00 as 18:00, usuario deve alterar a senha
no proximo logon, vencimento da conta: 120 dias;
`Grupo de Domnio Local e de segurana com nome deAssessores;
-User4
-User5
-User6
-ConIiguraes de usuarios: horario de logon- de 2 a Sab. das 8:00 as 20:00, usuario deve alterar a
senha no proximo logon, vencimento da conta: 90 dias;
`Grupo de Domnio Local e de segurana com nome de Funcionrios Diurno;
-User7
-User8
-User9
-ConIiguraes de usuarios: horario de logon- de 2 a 6 das 6:00 as 14:00, usuario deve alterar a senha
no proximo logon, vencimento da conta: 30 dias;
`Grupo de Domnio Local e de segurana com nome de Funcionrios Tarde;
-User10
-User11
-User12
-ConIiguraes de usuarios: horario de logon- de 2 a 6 das 14:00 as 20:00, usuario deve alterar a
senha no proximo logon, vencimento da conta: 30 dias;
`Grupo de Domnio Local e de segurana com nome de Funcionrios Noite;
-User13
-User14
-User15
-ConIiguraes de usuarios: horario de logon- de 2 a 6 das 20:00 as 02:00, usuario deve alterar a
senha no proximo logon, vencimento da conta: 30 dias;
`Grupo de Domnio Global e de segurana com nome de CPD-TI;
Adicione tambm os usurios relacionados abaixo aos grupos especificados. No esquea, um
usurio pode sermembro de mais de um grupo!
-User16 membro do grupo Operadores de Conta
-User17 membro do grupo Operadores de Impresso
-User18 membro do grupo Operadores de Backup
-ConIiguraes de usuarios: horario de logon- de 2 a 6 das 00:00 as 00:00, usuario deve alterar a
senha no proximo logon, vencimento da conta: 120 dias;
3) Crie um diagrama de endereos IP e parmetros onde voc como Administrador da rede devera
conIigurar:
39
*DNS preIerncial e DNS alternativo:
*IPdo modem:
*Dominio:
*DNS do Dominio:
*NETBIOS do Dominio:
*Arede devera ter:
-1 servidor controlador de dominio cujo o hostname e SRV01;
-2 sub-redes com 3 estaes de trabalho cujo os hostnames so respectivamente:micro01, micro02,
micro03, micro04, micro05 e micro06;
-DeIinir um usuario para cada estao de trabalho;
Todos os equipamentos devero constar o nome do Dominio;
40
Domnio: empx.com
srv01.empx.com
UO Poa
empx.com/poa
UO Canoas
empx.com/canoas
UO Pelotas
empx.com/pelotas
UO SM
empx.com/sm
UO Cxs
empx.com/cxs
Unidades Organizacionais - UOs
Aqui temos um capitulo a parte, as Unidades Organizacionais. Uma Unidade Organizacional e um
recipiente - objeto tambem pertencente ao Active Directory e surgiu junto com o ADno Windows Server2000
e veio solucionar um problema serio de administrao do Windows NT4.
Com o NTServer 4.0, no havia como atribuir permisses de acesso apenas a uma parte do Dominio. Ou
voc atribuia permisses de Administrador no Dominio inteiro ou no tinha como atribuir permisses de
Administrador para um usuario. Imagine uma empresa que tem uma rede, nas principais cidades do RS.
Vamos supor que a rede e composta de por um Dominio, sendo que esse Dominio esta na sede da empresa da
cidade de Porto Alegre. Esse Dominio abrange as cidades de Porto Alegre, Caxias do Sul, Canoas, Santa
Maria e Pelotas. Com o NT Server 4.0, voc no teria como deIinir que um usuario tivesse permisses de
Administrador somente nos servidores da Iilial de Porto Alegre. Uma vez que voc atribuia permisses de
Administrador, o usuario teria estas permisses em todos os recursos da rede. No nosso exemplo, o usuario
seria Administrador nos servidores de todas as Iiliais, ou seja, em todos os servidores que pertencem ao
Dominio. Esta situao gerava inconvenientes, pois um simples usuario tinha acesso aos recursos do
Dominio. Era comum a situao onde um Dominio tinha 20 ou mais contas de usuarios com permisso de
Administrador. Ora, eram 20 ou mais contas com permisses total em todos os servidores do Dominio. Nivel
de segurana igual a zero!
Com o surgimento das Unidades Organizacionais este problema Ioi resolvido, pois voc pode criar varias
UOs e adicionar computadores, grupos usuarios e outras Unidades Organizacionais. Melhor ainda, pode
delegar controles para estes objetos.
As Unidades Organizacionais permitem a delegao de controle granular das tareIas administrativas. Isso
possibilita o emprego inteligente do controle administrativo em diversos niveis, permitindo que usuarios,
computadores e outros objetos sejam reunidos em uma UOe que a administrao da mesma seja delegada ao
administrador adequado. Resumindo, voc podera deIinir areas de politicas de segurana diIerenciadas
dentro de um mesmo Dominio.
Tomado o devido conhecimento da verdadeira Iuno de uma UO, no nosso exemplo anterior, voc
poderia criar uma Unidade Organizacional para cada cidade -Iilial da empresa. A cada uma destas UOs,
adicionar os objetos pertencentes a rede, ou seja, computadores, grupos e usuarios.
41
` Criando uma Unidade Organizacional:
1) Acesse Usuarios e Computadores do Active Directory;
2) Selecione o nome do Dominio;
3) Clique com o boto direito do mouse, Novo/Unidade Organizacional;
Observe que o icone de Unidade Organizacional aparece ao lado direito do utilitario Usuarios e
Computadores do Active Directory, junto com os demais recipientes. Para voc criar outra UOdentro desta,
basta deixa-la selecionana e repetir a operao.
4) Para mover os objetos do ADe simples! Basta selecionar os objetos (grupos, computadores e usuarios)
onde eles se encontram, clicar com o boto direito sobre eles e clicar sobre a opo mover. Observe que no
adianta tentar 'arrastar os objetos, pois aqui no ha as opes normais de arraste como ocorre no Windows
Explorer, e necessario a utilizao do comando Mover.
5) Apos selecionar Mover, uma tela exibindo a estrutura de Usuarios e Computadores do Active Directory
se abre, com as Unidades Organizacionais disponiveis. Acesse a UOde destino e clique em OK;
OBS: para excluir uma UO, basta selecion-la com o boto direito do mouse e clicar sobre excluir. Ao
excluir uma UO, todos os objetos que pertencem a ela sero excludos bem como suas configuraes de
polticas de segurana.
tecnicoqi.comfadm
42
Exerccios de Reviso do Contedo:
1) ConIigure uma rede Servidor/Cliente onde a maquina servidor devera estar com o Server e AD
instalado. Maquina cliente com Windows 2000 Pro ou XP;
2) No Server, acesse o utilitario Usuarios e Computadores do AD;
3) Crie a estrutura abaixo:
- UO Escola
- UO Direo
- Grp de Domnio Local e Segurana com nome de DireoAdm;
User1
User2
User3
Propriedades dos Usuarios: horario de logon: 2 a 6 das 8:00 as 22:00; o usuario
devera alterar a senha no proximo logon; vencimento da conta: 30 dias;
- UO Secretaria
- Grp de Domnio Local e Segurana com nome de Secretrios;
User4
User5
Propriedades dos Usuarios: horario de logon: 2 a 6 das 8:00 as 22:00; o usuario
devera alterar a senha no proximo logon; vencimento da conta: 30 dias;
- Grp de Domnio Local e Segurana com nome de ProfessoresDiurno;
User6
User7
Propriedades dos Usuarios: horario de logon: 2 a 6 das 8:00 as 12:00; o usuario
devera alterar a senha no proximo logon; vencimento da conta: 30 dias;
- Grp de Domnio Local e Segurana com nome de ProfessoresTarde;
User8
User9
Propriedades dos Usuarios: horario de logon: 2 a 6 das 13:00 as 18:00; o usuario
devera alterar a senha no proximo logon; vencimento da conta: 30 dias;
- Grp de Domnio Local e Segurana com nome de ProfessoresNoite;
User10
User11
User12
Propriedades dos Usuarios: horario de logon: 2 a 6 das 18:00 as 22:00; o usuario
devera alterar a senha no proximo logon; vencimento da conta: 30 dias;
- UO CPD
- Grp de Domnio Global e Segurana com nome de CPDTI;
User4 - adicionar user ao grp Operadores de Contas;
User5 - adicionar user ao grp Administradores
Propriedades dos Usuarios: a senha nunca expira; vencimento da conta: 120dias;
4) Na estao de trabalho, logar os usuarios disponiveis;
43
Polticas de Segurana - GPOs
Ao criar um Dominio, com a instalao do Active Directory no primeiro Controlador de Dominio, por
padro so deIinidas algumas politicas de segurana relacionadas com as senhas dos usuarios. Por padro e
deIinido que a senha deve ter no minimo 7 caracteres, deve obedecer a requisitos de complexidade (caracteres
maiusculos, minusculos e digitos), ser trocada a cada 42 dias, dentre outras deIinies. O administrador do
sistema pode alterar estas politicas de segurana, para adequa-las as necessidades da sua rede. As politicas de
segurana so deIinidas para o Dominio como um todo, ou seja, uma vez deIinidas elas passam a valer em
todo o Dominio. Alias esta e um das caracteristicas determinantes de um Dominio, ou seja, o
compartilhamento de um conjunto unico de politicas de segurana.
As politicas de segurana so conIiguradas em dois utilitarios que se encontram em Ferramentas
Administrativas:
`Diretivas de Segurana do Domnio: aplica GPOs (Group Polices Objects) de conIigurao das
opes de segurana que sero validas para todos os computadores de Dominio (clientes, usuarios e
servidores do Dominio).
`Diretivas de Segurana do Controlador de Domnio: e utilizado para administrar as politicas de
segurana que sero aplicadas ao controlador de dominio com o qual o console esta conectado, normalmente
o servidor local. As politicas deIinidas com este utilitario no tero eIeito em todo o Dominio, mas somente no
servidor onde Ioram conIiguradas
` Diretivas de Segurana do Domnio
`Configuraes de Segurana/Diretivas de Conta:
*Diretivas de Senha: politicas de segurana relacionadas com a senha do usuario. DeIinem as
caracteristicas que as senhas devem ter. O numero minimo de caracteres, devem ser trocadas de quantos em
quantos dias, devem ou no atender a criterios de complexidade e assim por diante. No Windows Server 2003,
por padro, so deIinidas as seguintes politicas de segurana em relao as senhas de usuarios:
* Quando o usuario vai trocar a senha, no pode ser utilizada uma senha igual as 24 ultimas;
- Diretivas de Segurana do Domnio e Diretivas de Segurana do Controladorde Domnio.
44
* Asenha expira (isto e, deve ser alterada) a cada 42 dias;
* O tempo minimo de vida de senha e um dia. Ou seja, voc trocou a senha hoje, no podera troca-lo
novamente daqui a uma ou duas horas, somente apos um dia;
* Tamanho minimo de 7 caracteres;
* A opo 'A senha deve atender criterios de complexidade e habilitada por padro. Uma serie de
requisitos devem ser atendidos para que a senha seja aceita. Como por exemplo:
Exemplo de senha com requisitos de complexidade:
Configuraes de Diretivas de Senha:
` Aplicar histrico de senhas: nesta diretiva o administrador inIorma o numero de senhas que sero
gravadas no historico de senhas do usuario. Por exemplo, se esta diretiva estiver deIinida com um valor 5,
signiIica que ao trocar a senha, o usuario no podera utilizar uma das ultimas cinco senhas que ele utilizou.
Esta diretiva e utilizada para evitar que o usuario possa repetir sempre as mesmas senhas. Por padro ela tem o
seu valor deIinido como 24, ou seja, ao trocar a senha, o usuario no podera utilizar uma senha igual a uma das
ultimas 24 que ele utilizou;
` Tempo de vida mximo da senha: Esta diretiva deIine um tempo maximo de durao da senha. Uma
vez transcorrido este periodo o usuario e obrigado a alterar a senha. Esta diretiva aceita valores na Iaixa entre 1
e 999. Se voc deIinir um valor 0 para este diretiva, equivale a deIinir que as senhas nunca expiram. Se o valor
desta diretiva Ior deIinido na Iaixa entre 1 e 999, o valor da diretiva Tempo de vida minimo da senha, deve ser
menor do que o valor deIinido na diretiva Tempo de vida maximo da senha. Ovalor padro para esta diretiva e
de 42 dias;
` Tempo de vida mnimo da senha: Esta diretiva deIine o tempo minimo, em dias, pelo qual a senha deve
ser utilizada, antes que ele possa ser novamente alterada. Por exemplo, se esta diretiva estiver deIinida com
um valor igual a 5 e o usuario alterar a sua senha hoje, signiIica que ele somente podera alterar novamente esta
senha daqui a cinco dias. Este diretiva, deve ser utilizada em conjunto com a diretiva Aplicar historico de
senhas, para eIetivamente Iorar que seja mantido um historico de senhas e que o usuario no possa utilizar
uma senha igual as ultimas 24 senhas por exemplo, sendo o valor 24 deIinido na diretiva Aplicar historico de
senhas. Ovalor desta diretiva pode estar na Iaixa de 1 a 998. Um valor 0 signiIica que no existe tempo de vida
minimo da senha, ou seja, o usuario pode alterar a senha a qualquer momento e repetidamente. Por padro e
deIinido o valor 1 nos Controladores de Dominio e 0 nos servidores pertencentes ao Dominio;
` Comprimento mnimo da senha: Esta diretiva deIine o numero minimo de caracteres que deve ter a
senha. Voc pode deIinir um valor entre 1 e 14. Para deIinir que no e exigido um comprimento minimo,
deIina esta diretiva com o valor 0. Por padro e deIinido o valor 7 nos Controladores de Dominio;
` Asenha deve satisfazer a requisitos de complexidade: Esta diretiva e habilitada por padro. Com isso,
uma serie de requisitos devem ser atendidos para que a senha seja aceita. Veja o exemplo acima;
` Armazenar senhas usando criptografia reversa: Esta diretiva somente deve ser habilitada quando
houver aplicaes que necessitam deste padro de senhas. Mais especiIicamente so aplicaes que precisam
conhecer a senha do usuario por questes de autenticao. Esta diretiva, em termos de segurana, e muito
- Asenha no pode conter parte ou todo o nome da conta. Se o nome da conta Ior alunotecnico, a senha
no podera conter as silabas do nome da conta;
- Ter pelo menos seis caracteres. Onumero minimo de caracteres pode ser aumentado, conIigurando-
se as politicas de segurana para senhas;
- Deve conter caracteres de pelo menos trs dos quatro grupos a seguir: letras maiusculas de Aate Z,
letras minusculas de a ate z, digitos de 0 a 9 ou caracteres especiais (:, !, , #, $, , etc.);
Xy;3508T01
45
semelhante a armazenar a senha como texto sem criptograIia, ou seja, no e recomendada em termos de
segurana e somente deve ser habilitada quando realmente houver necessidade por questes de
compatibilidade com algum sistema de aplicao critica para a empresa (senhas de bancos, por exemplo).
Configuraes de Diretivas de Conta:
` Limite de bloqueio de conta: Esta diretiva deIine o numero de tentativas de logon sem sucesso que sero
necessarias para que a conta seja bloqueada. Este numero de tentativas deve ocorrer dentro do periodo
deIinido pela diretiva Zerar Contador de Bloqueios de Conta Apos. Vamos supor que a diretiva Limite de
bloqueio de conta esteja deIinida com o valor trs e que a diretiva Zerar contador de bloqueios de conta apos
esteja deIinida com o valor 15 minutos. Isso signiIica que se o usuario Iizer trs tentativas de logon sem
sucesso, dentro de 15 minutos, a sua conta sera bloqueada. Esta diretiva pode ter um valor entre 1 e 999. Um
valor igual a 0 signiIica sem bloqueio, ou seja, o usuario podera Iazer quantas tentativas quiser, que a conta
nosera bloqueada;
` Zerar contador de bloqueios de conta aps: Esta diretiva deIine o periodo dentro do qual as tentativas
de logon sem sucesso devem ser Ieitas para que a conta seja bloqueada. Por exemplo, vamos imaginar que esta
diretiva estiver deIinida como 15 minutos e o usuario tenha Ieito duas tentativas de logon sem sucesso. Se ele
Iizer mais uma tentativa nos proximos 15 minutos, a conta sera bloqueada. Se transcorrer 60 minutos sem
nenhuma tentativa sem sucesso, o contador sera zerado. O Administrador do Dominio tambem podera
reativar a conta caso seja necessario. Esta diretiva pode conter valores na Iaixa de 1 a 99999 minutos. Esta
diretiva depende da ativao d a diretiva Limite de bloqueio de conta;
` Durao do bloqueio de conta: Esta diretiva deIine o tempo, em minutos, pelo qual a conta
permanecera bloqueada, uma vez que tenha sido bloqueada por sucessivas tentativas de logon sem sucesso. O
valor pode variar de 1 a 99999. Um valor 0 signiIica que a conta no sera desbloqueada automaticamente.
Com esta conIigurao o Administrador tera que desbloquear a conta do usuario. Esta diretiva somente tera
eIeito quando a diretiva Limite de bloqueio de conta tiver sido deIinida;
Configurao de Diretivas de Kerberos
Kerberos e um protocole de autenticao. Permite que a conta seja autenticada por servidores utilizando
diIerentes verses e implementaes do protocolo Kerberos. E um protocola padro e muito utilizado.
Existem algumas politicas de segurana relacionadas ao protocolo Kerberos que podem ser deIinidas pelo
administrador.
46
O sistema operacional deve ser capaz de disponibilizar alguns servios basicos em relao a segurana:
identiIicao (atraves do mecanismo de contas de usuarios, logon e do protocolo Kerberos), restrio de
acesso aos recursos (com base no mecanismo de permisses de acesso, atraves do uso de uma ACL Access
Control List, Lista de Controle deAcesso a cada recurso da rede) e tambem deve ser capaz de registrar as aes
que esto sendo executadas nos recursos da rede, juntamente com inIormaes sobre o horario da ao, quem
Ioi o usuario que executou a ao e outras inIormaes relevantes. Esta e a verdadeira Iuno do Kerberos e, a
ativao dele dependera a gerao de Logs deAuditoria, o que veremos mais adiante.
Diretivas Locais
`Auditorias
Componente extremamente importante, relacionado a ativao dos kerberos, permite ao Dominio
'auditar, ou seja, controlar toda e qualquer operao de usuarios no Dominio. Uma Auditoria ativada,
armazena no Dominio todas as operaes executadas nesse Dominio, as auditorias geram arquivos chamados
de Logs, que so responsaveis por exibir o usuario, a maquina cliente e todas as suas execues em relatorios
especiIicos e separados por categorias.
Resumindo, tudo o que o usuario Iizer e/ou executar quando logado num Dominio, sera registrado para
posterior uso. Auditoria e um processo de acompanhamento das aes que so executadas nos servidores do
Dominio, atraves da rede, tanto aes do proprio Sistema Operacional, como por exemplo a incializao de
um servio, mas principalmente aes do usuario, como um logon ou um acesso aos arquivos de uma pasta
compartilhada. Por exemplo, toda vez que o Windows Server 2003 e inicializado uma serie de servios so
iniciados automaticamente, como o servio spooler que controla a impresso, o servio Workstation que
controla a interIace graIica do Windows Server 2003 e assim por diante. Cada um destes servios e capaz de
escrever eventos nos logs de auditoria do Windows Server 2003. Um evento e um relatorio que pode ser
inIormativo, pode ser um aviso e pode ser uma mensagem de erro. Um outro exemplo, quando um usuario
tenta Iazer o logon e inIorma uma senha errada, um evento e gravado no log de segurana, neste caso e
gravado um relatorio de Ialha de logon.
Aauditoria de segurana monitora varios eventos relativos a segurana. O monitoramento de eventos do
sistema e necessario para detectar invasores e tentativas de comprometer os dados do sistema. Uma tentativa
de logon sem xito e um exemplo de um evento que pode ser submetido a auditoria.
47
`Diretivas deAuditoria
- Auditoria de acesso a objetos: determina se deve ser Ieita a auditora do acesso de um usuario a um objeto
(um arquivo, uma pasta, uma impressora etc). Se voc deIinir esta conIigurao de diretiva, podera
especiIicar se havera auditoria de acessos com xito, acessos sem xito ou se no ocorrera auditoria desse tipo
de evento. As auditorias com xito geram uma entrada de auditoria quando um usuario acessa com xito um
objeto. Por exemplo, o usuario tem permisso de leitura em um arquivo e ele acessa o arquivo para leitura.
Este e um evento com sucesso. As auditorias sem xito geram uma entrada de auditoria quando um usuario
tenta acessar sem xito um objeto, como por exemplo, tentar imprimir em uma impressora na qual ele no tem
permisso ou tentar alterar um arquivo para o qual ele tenha apenas permisso de leitura. E interessante
observar que a deIinio de Auditoria de acesso a objetos ocorre em duas etapas. Primeiro o administrador
deve habilitar esta diretiva, para acessos com sucesso, com Ialha ou ambos. Em seguida, em cada objeto
(pasta, impressora, arquivo, etc) a ser auditado, o Administrador deve conIigurar a auditoria e especiIicar
quais usuarios ou grupos devem ser monitorados. Apenas habilitar a diretiva no far com que o acesso
aos objetos sejam auditados. Porpadro esta diretiva est desabilitada.
-Auditoria de acesso a servios de diretrio: deIine se sero auditadas tentativas de acesso com sucesso,
com Ialha ou ambas, a objetos do Active Directory, para os quais tenha sido habilitada a auditoria dos acessos.
OAcrive Direcotry, e a base de dados na qual Iicam armazenados uma serie de objetos, como por exemplo:
contas de usuarios, grupos de usuarios, Unidades Organizacionais, Dominios, etc. Podemos implementar
uma politica para detectar tentativas de alterao sem sucesso, nas contas que Iazem parte do grupo
Administradores. Por padro esta politica esta desabilitada para Controladores de Dominio e indeIinida para
os demais computadores.
- Auditoria de alterao de diretivas: determina se deve ser Ieita a auditoria das alteraes eIetuadas nas
diretivas de segurana. O normal habilitar a auditoria de eventos sem sucesso, para tentar identificar
tentativas de alterao das diretivas, por usurios no autorizados. Alterar as diretivas e uma das
maneiras de criar brechas na segurana do sistema, por isso somente usuarios autorizados devem ter este nivel
de permisso.
- Auditoria de controle de processos: determina se deve ser Ieita a auditoria de inIormaes de controle
de eventos detalhadas, como ativao de programas, termino de processo, duplicao de identiIicador e
acesso indireto a objeto. Esta diretiva e utilizada para Iazer uma auditoria dos programas que esto rodando no
48
computador, na tentativa de detectar usuarios que esto tentando utilizar programas para os quais eles no tem
permissoou tentando isntalar processos que possam abrir o servidor para ataques de segurana.
-Auditoria de eventos de logon de conta: com esta opo voc pode conIigurar se os eventos de logon
devem ou no ser auditados. So considerados eventos de logon, todo e qualquer logon Ieito em uma estao
de trabalho da rede, que pertena ao dominio e com uma conta do dominio. No esquea, a validao do logon
e Ieita nos Controladores de Dominio, onde esta instalado o Active Directory. Neste caso se o usuario
alunotecnico, por exemplo, Iizer o logon com a sua conta de Dominio, na sua estao de trabalho, um evento
de logon sera gerado para este usuario. Alem disso voc deIine se devem ser auditados os eventos com sucesso
(quando o usuario Iaz o logon normalmente) ou com Ialha (quando o usuario no consegue Iazer o logon, por
ter digitado uma senha incorreta, por exemplo). Para habilitar esta diretiva voc deve marcar a opo DeIinir
as conIiguraes dessas diretivas. Ao marcar esta opo, sero habilitadas as opes. Omais comum para este
diretiva e habilitar tanto os eventos de sucesso, quanto os eventos de Ialha, para que Iique registrado no log do
servidor, todos os eventos de logon, que seja com sucesso, quer seja com Ialha.
- Auditoria de eventos de sistema: determina se deve ser Ieita a auditoria quando um usuario reiniciar ou
desligar o computador, ou quando ocorrer um evento que aIete a segurana do sistema ou o log de segurana.
- Auditoria de gerenciamento de contas: esta diretiva determina se deve ser Ieita a auditoria de cada
evento de gerenciamento de conta de um usuario, grupo ou computador do Dominio. Os exemplos de eventos
de gerenciamento de conta incluem: criao ou alterao de uma conta, renomeao de uma conta,
ativao/desativao da conta, incluir um usuario em um grupo ou retirar o usuario de um grupo, o
administrador deIinir a senha de uma conta e assim por diante.
-Auditoria de uso de privilgios: determina se deve ser Ieita a auditoria de cada instncia do uso de um
direito do usuario. Direitos so permisses especiais, como por exemplo incluir um computador como
membro de um dominio, Iazer o logon interativamente nos controladores de dominio, alterar a hora dos
servidores e assim por diante. Estes direitos podem ser conIiguradas pelo Administrador, o qual pode permitir
estes direitos para determinados usuarios ou grupos.
-Auditoria de eventos de logon de conta de auditoria: esta diretiva determina se deve ser Ieita a
auditoria de cada logon ou logoII de usuario, bem como de qualqure conexo de rede com o computador local,
ou no caso com o Controlador de Dominio que o usuario esta utilizando. Se voc, como Administrador,
estiver registrando no log os eventos daAuditoria de eventos de logon de conta com xito em um Controlador
de Dominio, as tentativas de logon de um usuario, a partir da sua estao de trabalho no geraro auditorias de
logon (as quais sero geradas se a diretiva Auditoria de eventos de logon de conta, descrita anteriormente,
estiver habilitada) . Somente tentativas de logon de rede e interativas no proprio controlador de Dominio
geraro eventos de logon. Resumindo, Auditoria de eventos de logon de conta so gerados no local onde
reside a conta; ou seja, no DC. Eventos de logon so gerados no local onde ocorre a tentativa de logon. Se Ior
um logon interativo no DC, no proprio DC, se Ior um logon interativo em um member server, no log de
auditoria local do member server. Voc pode conIigurar para que sejam auditadas tentativas de logon com
sucesso, com Ialha ou ambas. No caso de um computador com o Windows Server 2003, as tentativas de logon
so consideradas as tentativas locais.
Logs de Eventos
Repetindo, um Log e uma mensagem, um relatorio de todas as operaes de uma rede servidor/cliente
baseada em um Dominio. Uma mensagem no log do sistema, possui inIormaes tais como o usuario que que
OBS: Um cuidado que deve ser tomado e o de habilitar somente as auditorias realmente necessarias, de
acordo com a politica de segurana da empresa, pois se Iorem habilitadas auditorias em um grande numero
de objetos, pode haver uma queda de desempenho, alem de um crescimento exagerado no tamanho do log de
segurana.
49
executou a ao, a ao executada e se esta Ioi executada com sucesso ou no. Olog de eventos do Windows
Server 2003 pode ser conIigurado, de tal maneira que o Administrador escolha quais eventos devem ser
gravados no log, como por exemplo: tentativas de logon com sucesso, tentativas de logon sem sucesso ou
ambas . Alem disso, voc pode deIinir se devem ser monitorados somente acessos bem sucedidos ou acessos
negados (sem sucesso), tais como um usuario com permisso somente de leitura que tenta alterar um
determinado arquivo, em uma pasta compartilhada. Os logs do sistema so acessados utilizando a opo
Visualizar Eventos em FerramentasAdministrativas ou Gerenciamento do Computador.
Existem trs categorias de Logs:
- Log deAplicativo: contem erros, avisos e mensagens inIormativas de diversos programas que rodam no
Windows Server 2003. Por exemplo, soItwares desenvolvedores de Banco de Dados, gravam uma serie de
eventos no log Aplicativo. O log do aplicativo contem eventos registrados por aplicativos ou programas. Os
desenvolvedores de soItware decidem quais eventos monitorar, isto e, ao desenvolver um programa, e
possivel deIinir quais eventos o programa ira gravar no log de eventos do Windows Server 2003.
-Log de Segurana: contem inIormaes sobre o sucesso ou no de eventos de auditoria, de acordo com
deIinies da politica de auditoria. De acordo com o que Ioi conIigurado nas Diretivas de Auditorias, o
Administrador deIine quais os eventos de seguraa que sero monitorados. Portanto, uma Diretiva depende
da outra para que seu Dominio Iique bem protegido. O log de segurana registra eventos como tentativas de
logon validas e invalidas, assim como eventos relacionados ao uso de recursos, como criar, abrir ou excluir
arquivos ou outros objetos. Por exemplo, se voc ativou a auditoria de logon, as tentativas de logon no sistema
sero registradas no log de segurana. Por padro somente usurios com permisso de administrador
podem acessaro log de segurana.
-Log de Sistema: contem erros, avisos e inIormaes geradas pelo proprio Windows Server 2003. O
Windows Server 2003 deIine quais os eventos sero gerados. O log do sistema contem eventos registrados
pelos componentes de sistema do Windows Server 2003. Por exemplo, a Ialha de um driver ou de outro
componente do sistema ao ser carregado durante a inicializao e registrada no log do sistema. Os tipos de
evento registrados no log pelos componentes do sistema so determinados previamente pelo Windows Server
2003.
Ainda Ialando sobre os Logs de Eventos, existem cinco tipos de relatorios exibidos no utilitario Visualizar
Eventos:
50
- Erro: representado por um circulo vermelho com um x branco. Indica um problema serio tal como perda
de dados ou de alguma Iuncionalidade de um servio ou dispositivo que no esta operando corretamente.. Por
exemplo, se um servio Ialhar (DHCP, por exemplo), durante a inicializao, um evento de erro sera logado.
- Aviso: representado por um tringulo amarelo com um ponto de exclamao. Um evento que no e
necessariamente um erro, mas pode representar um problema Iuturo. Por exemplo, quando o espao em disco
esta Iicando pequeno, um aviso sera gravado.
- Informaes: representado por um balo branco, com um ponto de exclamao azul. dentro. Descreve
uma operao de sucesso de uma aplicao, execuo de usuario, driver ou servio. Por exemplo, quando um
driver de rede e carregado com sucesso, um evento de inIormao e gerado.
- Auditoria com xito: representado por uma chave amarela. Evento gravado no log Segurana. Indica o
evento de um acesso com sucesso. Por exemplo, se Ior habilitada a auditoria de tentativas de logon com
sucesso, esse evento pode indicar um usuarioque Iez o logon com sucesso.
Nas imagens
dispostas na
pagina
podemos
constatar os
varios tipos de
Logs de
Eventos
dispostos em
suas categorias.
Toda vez que
voc como
Administrador
precisar
gerenciar e/ou
visualizar os
Logs, basta
clicar duas
vezes sobre o
log.
51
Exerccios de Reviso do Contedo
Assinale a alternativa correta:
1) Estudo de caso1: Voc e o administrador de rede da empresa, a qual e baseada no Windows2003Server
e no AD. A rede Ioi a pouco tempo reIeita e e Iormada por um unico dominio abc.com. Voc ainda no
implementou uma estrutura de UOs. Com isso voc tem que incluir oito contas de usuarios como membros do
grupo Admins. Do Dominio, para que estes usuarios possam administrar os servidores, usuarios e grupos de
seus setores. Um dos administradores (power user) esta excluindo indevidamente, contas de usuarios dos
setores. Como voc pode descobrir qual dos administradores esta Iazendo estas exclusoes indevidas?
a) ( ) Abra o utilitario Usuarios e Computadores do ADe pesquise por registros de excluses de conta em
todoDominio;
b) ( ) Abra o utilitario Usuarios e Computadores do AD e pesquise por registros de uso do direito de
excluso de contas;
c) ( ) Faa uma pesquisa no log de Segurana de todo o dominio abc.com, pesquisando por eventos de
gerenciamentede contas de usuarios;
d) ( ) Faa uma pesquisa no log de Segurana de todo o dominio abc.com, pesquisando por eventos de
acesso as contas de usuarios;
2) Estudo de caso2: Voc e o administrador de uma rede com servidores baseados no Server2003. Os
clientes so baseados no Windows2000 ProIessional e XP. Arede e Iormada pelo dominio abc.com. Como
parte da Politica de Segurana da empresa, voc quer registrar nos logs de auditoria, todas as tentativas de
logon no dominio, quer seja logon com sucesso, quer seja logon com Ialha. Qual a maneira mais Iacil de
implementar esta exigencia?
a) ( ) Altere as GPOs de segurana local em cada Controlador de Dominio. Habilite a diretiva: Auditoria
de Eventos de Logon, tanto para sucesso e Ialha;
b) ( ) Altere as GPOs de segurana local em cada Controlador de Dominio. Habilite a diretiva: Eventos de
logon de Conta deAuditoria tanto para sucesso e Ialha;
c) ( ) Altere as GPOs de segurana de Dominio. Habilite a diretiva: Eventos de logon de Conta de
Auditoria tanto para sucesso e Ialha;
d) ( ) Altere as GPOs de segurana de Dominio. Habilite a diretiva: Eventos de logon tanto para sucesso e
Ialha;
3) Quais as condies necessarias para que um usuario possa Iazer o logon em um computador com
Windows XP, o qual Iaz parte de um dominio baseado em Windows Server 2003 eAD:
I. Ocomputador deve ter uma conta no AD;
II. Aconta de computador deve estar habilitada;
III. Ousuario deve ter uma conta de usuario no AD;
IV. Aconta do usuario no pode estar bloqueada;
V. Aconta do usuario no pode estar desativada;
- Estocorretas as seguintes alternativas:
a) ( ) I, II
b) ( ) I, II e III
c) ( ) I, II e IV
d) ( ) II, III, IVeV
e) ( ) I, II, II, IVeV
4) Em relao a Direitos e Permisses de uma Pasta Compartilhada (permisses NTFS), no e correta a
seguinte inIormao:
a) ( ) Os Direitos e permisses so cumulativos, ou seja, se um usuario pertencer a mais de um grupo, sua
52
permisso eIetiva sera a soma das permisses de todos os grupos.
b) ( ) Se um usuario restrito retirar todas as permisses de uma pasta ou arquivo, esta pasta estara
deIinitivamente inacessivel.
c) ( ) As permisses de arquivos tem precedncia sobre as permisses de pastas.
d) ( ) Negar (sem acesso) tem precedncia sobre qualquer outra permisso.
e) ( ) E possivel no executar nenhuma conIigurao de Direitos e Permisses se esta Ior a estrutura da
rede;
5) Ousuario jsilva pertence aos seguintes grupo: Gerentes, Tecnicos e Marketing. Ousuario jsilva precisa
ter acessos somente de leitura nos documentos do Word que esto em uma pasta compartilhada, no servidor
\\SRV01\worddocs. O usuario deve ter permisso somente de leitura, quer ele esteja acessando a pasta
worddocs atraves da rede ou localmente logado no servidor SRV01.
As permisses de compartilhamento desta pasta e o seu conteudo, esto conIigurados da seguinte maneira:
Grupos: Gerentes Tcnicos Marketing
Permisses: Leitura Leitura eAlterao Acesso Total
Oque deve ser alterado para que o usuario jsilva no possa alterar os documentos desta pasta, mas somente
ler o conteudo dos documentos, quer seja atraves da rede, quer seja acessando localmente o servidor SRV01?
a) ( ) Atribua a permisso negar leitura a conta jsilva
b) ( ) Retire o usuario jsilva do grupo Gerentes
c) ( ) Retire o usuario jsilva do grupo Marketing
d) ( ) DeIina permisso de leitura para a conta jsilva
e) ( ) Retire o usuario jsilva dos grupos Tecnicos e Marketing
6) Em relao a deIinio das UOs, e correta a seguinte inIormao:
a) ( ) As UOs permitem a delegao de controle total de todos os objetos do Dominio, inclusive o proprio
Dominio.
b) ( ) As UOs permitem a delegao de controle de Iorma organizada, alem de permitir a separao em
categorias dos componentes do Usuarios e Computadores do Active Directory.
c) ( ) As UOs permitem a delegao de controle somente a usuarios do Dominio.
d) ( ) As UOs permitem a delegao de controle somente de Direitos e Permisses a usuarios do Dominio.
e) ( ) Todas as inIormaes esto corretas
7) Considere as aIirmaes a seguir em relao aos tipos e escopos de grupos de usuarios, no Windows
Server 2000:
I. Grupos de Segurana: Normalmente utilizados para atribuir permisses de acesso aos recursos da
rede. Por exemplo, ao criar um grupo Contabilidade (que contera todas as contas de Iuncionarios do
departamento de contabilidade) o qual sera utilizado para atribuir permisses de acesso a uma pasta
compartilhada, devo criar este grupo como sendo do tipo de Grupo de Segurana. Um grupo de segurana
tambem pode ser utilizado como um grupo de distribuio, embora no seja uma situao muito comum.
Esses grupos, assim como as contas de usuarios so armazenadas no BDdo Active Directory.
II. Grupos de Distribuio: So utilizados para Iunes no relacionadas como segurana.
Normalmente so utilizados em conjunto com servidores de e-mail para o envio de e-mail para um grupo de
usuarios. Uma das utilizaes tipicas para um Grupo de Distribuio e o envio de mensagem de e-mail para
um grupo de usuarios de uma so vez. Somente programas que Ioram programados para trabalhar com o AD,
podero utilizar Grupos de Distribuio. No e possivel utilizar Grupos de Distribuio para Iunes
relacionadas com segurana.
III. Grupos Universais: So grupos que podem ser utilizados em qualquer parte de um dominio ou da
arvore de dominios e podem conter como membros, grupos e usuarios de quaisquer dominios. Pode conter:
contas de usuarios, outros grupos universais e grupos globais de qualquer dominio. Pode receber permisses
para recursos localizados em qualquer dominio.
IV. Grupo Global: Um grupo Global e 'global quanto aos locais onde ele pode receber permisses de
53
acesso, ou seja, um Grupo Global pode receber permisses de acesso em recursos (pasta compartilhada,
impressoras, etc) de qualquer dominio. Pode receber permisses para recursos localizados em qualquer
dominio.
V. Grupos de Domnio Local: So grupos que somente podem receber permisses para os recursos do
dominio onde Ioram criados, porem podem ter como membros, grupos e usuario de outros dominio. Pode
conter membros de qualquer dominio. Somente podem receber permisses para recursos em servidores de
dominio no qual o grupo Ioi criado.
- Esto corretas as aIIrmativas:
a) ( ) Todas
b) ( ) I e II
c) ( ) III, IVeV
d) ( ) II, III, IVeV
e) ( ) I, II e III
8) Voc e o Administrador de uma rede com servidores baseados em Windows Server 2003 e no AD. A
rede e Iormada por um unico dominio: xyz.com. Arede da empresa e Iormada pela rede local da matriz em SP
e pelas redes locais das Iiliais em RS, SC e PR. Voc esta em Iase de implementao da rede e gostaria de
limitar o numero de usuarios com permisses de Administrador em todos os recursos do dominio, ou seja,
voc quer reduzir o numero de usuarios que sero incluidos no grupo Administradores do Dominio. Porem
voc gostaria de ter usuarios com permisso para gerenciar recursos tais como contas de usuario e
computadores em cada uma das redes locais. Por exemplo, voc gostaria de permitir que um usuario da matriz
SPpossa gerenciar recursos apenas para os usuario, servidores e recursos de uma rede local de SP. Que tipo de
objeto do ADvoc pode utilizar para implementar a soluo proposta?
a) ( ) Unidades Organizacionais
b) ( ) Group Policy Objects (GPOs)
c) ( ) Diretivas deAuditorias
d) ( ) Diretivas Locais de segurana
e) ( ) Grupos de Distribuio
9) A estao de trabalho de uma rede servidor/cliente, com hostname Adm01 Iaz parte do dominio
xyz.com.br. O usuario com nome de alvarosilva tambem pertence ao mesmo dominio. Para o Active
Directory, como so reconhecidos estes objetos?
a- ( ) Adm01.xyz.com e alvarosilvaxyz.com.br;
b- ( ) Adm01.xyz.com.br e alvarosilva.com.br;
c- ( ) Adm01.xyz.com.br e alvarosilvaxyz.com.br;
d- ( ) Adm01.xyz.com e alvarosilvaxyz.com;
e- ( ) Adm01.xyz.com.br e alvarosilvaxyz.com;
10) As diretivas de segurana podem ser aplicadas aos dominios, contas de usuarios, grupos e
computadores nessa ordem. O campo de ao das diretivas de segurana esta diretamente relacionado ao
espao e nome do AD, a hierarquia de arvore, estrutura do dominio, UOs e usuarios/computadores.
Para a restrio de objetos, tais como acesso a conexo, a rede ou a impressoras, acesso qual utilitario?
Enumere os passos para tal tareIa:

54
Atribuio de Direitos de Usurios
Conjunto de GPOs que permite ao Administrador do Dominio atribuir direitos especiais a grupos,
computadores e usuarios especiIicos. Entre as Diretivas esto:
* Alterar hora do Sistema
* Desligar o sistema
* Restaurar arquivos e pastas
* Sincronizar servios de Diretorio
* Permitir Logon de servios
* Acesso a este computador pela rede
* Adicionar estaes de trabalho ao Dominio, etc;
Opes de Segurana
Conjunto de GPOs que permite ao Administrador de Dominio aumentar o nivel de segurana para objetos
do Dominio. Estas GPOs envolvem componentes de sistema tais como: desligamento, dispositivos, logon
interativo, membro de Dominio, objetos de sistema, segurana de rede e servidor de rede MicrosoIt.
Algumas das diretivas:
* evita que usuarios instalemressora
* Iorar logoII quando horario de logon expirar
* permite Iormatar e ejetar midia removivel, etc;
Servios de Sistema
Um Servio e um componente de soItware que e inicializado automaticamente quando o Windows Server
2003 e carregado, ou pode ser iniciado a qualquer momento ou manualmente, pelo Administrador. Um
Servio continua carregado e Iuncionando, mesmo quando no existe nenhum usuario logado no servidor. Por
exemplo o servio Spooler, responsavel pela impresso continua trabalhando, mesmo quando no existe
nenhum usuario logado. A maioria das Iuncionalidades de rede do Windows Server 2003 e Iornecida por
servios. O Servio Server permite que os usuarios acessem o servidor atraves da rede. Existem uma
inIinidade de servios disponiveis no Windows Server 2003 e outros podem ser acrescentados por programas
que so instalados.
Na verdade, o Windows Server2003 e nada mais, nada menos que um conjunto de servios que operam
55
continuamente e de Iorma integrada. Temos os servios principais, aqueles que Iorma o nucleo do Sistema
Operacional, tambem conhecido como 'Kernel do sistema. Estes servios so responsaveis por Iunes
Iundamentais tais como o gerenciamento de memoria, gerenciamento do sistema de I/O (entrada e saida),
deteco e conIigurao do Hardware, gerenciamento da interIace graIica e ate servios mais comuns como o
Mensageiro, que permite que as maquinas conectadas a rede enviem mensagens como o comando NETSEND
executadovia prompt de comando.
Na configurao dos Servios temos trs formas de ativ-lo:
- Automtico: na inicializao do Windows Server 2003;
- Manualmente: Ieito pelo usuario ou por algum outro servio;
- Desativado: para a execuo do servio;
`Grupos Restritos
Simples recipiente que aramazena uma listagem de grupos deIinidos pelo Administrador da rede que
contenham restries de execuo e acesso aos recursos da rede.
Diretivas de Segurana do Controladorde Domnio
Grupos de GPOs que conIiguram as politicas de segurana nas relaes de conIiana entre servidores. So
rigorosamente iguais as Diretivas de Segurana do Dominio, porem em nivel hierarquico diIerente, ou seja,
enquanto que as GPOs de Dominio so aplicadas e replicadas para todos os objetos do Dominio, uma GPOde
Controlador de Dominio e aplicada aos servidores DCs e sero replicadas somente para os objetos do sub-
Dominio. Veja o graIico abaixo:
Dominio: empresa
DNS de Dominio: empresa.com
NETBIOS: EMPRESA
srv01.empresa.com
srv02.adm.empresa.com srv03.Iunc.empresa.com
GPOS de Controlador de Dominio:
* senhas devem satisIazer requisitos de complexidade
* comprimento minimo da senha: 8 caracteres
* historico de senhas: 10 senhas
* tempo de vida maximo da senha: 15 dias
* tempo de vida minimo da senha: 5 dias
GPOS de Dominio:
* senhas devem satisIazer requisitos de complexidade
* comprimento minimo da senha: 4 caracteres
* historico de senhas: 4 senhas
* tempo de vida maximo da senha: 30 dias
* tempo de vida minimo da senha: 5 dias
m01.empresa.com
m011.adm.empresa.com m021.func.empresa.com
m012.adm.empresa.com m022.func.empresa.com
m013.adm.empresa.com m023.func.empresa.com
m02.empresa.com m03.empresa.com m04.empresa.com m05.empresa.com
56
Delegao de Operaes Administrativas nas
Unidades Organizacionais
Anteriormente ja estudamos as Unidades Organizacionais, mas como um simples objeto do Active
Directory utilizado para organizar outros objetos do Dominio. Apartir de agora, vamos estudar as UOs como
recipientes responsaveis pela delegao de controle administrativo, ou seja, como um poderoso recurso para
descentralizar as politicas de segurana de um Dominio.
Vamos partir do seguinte conceito: Uma UO um objeto de Domnio que aplica polticas de segurana
para objetos do Domnio, mas no para o Domnio. Isto tudo se deve a hierarquia aplicada a um
Domnio.
Vamos partir do exemplo seguinte. Suponhamos que uma empresa no tenha recursos para investir em
mais servidores Windows Server2003 (como ja vimos anteriormente no exemplo das deIinies basicas de
uma UO). Como ento eIetuar as delegaes de policas de segurana diIerenciadas no mesmo Dominio?
E simples a resposta; atraves da utilizao e aplicao de Unidades Organizacionais. Repetindo: Uma
Unidade Organizacional permite a delegao de controle granular das tareIas administrativas. Isso possibilita
o emprego inteligente do controle administrativo em diversos niveis, permitindo que usuarios, computadores
e outros objetos sejam reunidos em uma UOe que a administrao da mesma seja delegada ao administrador
adequado, ou seja, voc, como Administrador do Dominio podera criar 'areas de politicas de segurana
diIerentes dentro do mesmo Dominio.
As politicas de segurana de uma UO chamam-se de Diretivas de Grupo e permitem uma conIigurao
mais detalhada de componentes do sistema e da rede que entraro em vigor somente a partir dos objetos que
pertencem a Unidade Organizacional.
Vamos pensar da seguinte Iorma: o Dominio empresa.compossui como politicas de senha e bloqueio de
conta as seguintes caracteristicas:
` senhas devem satisfazerrequisitos de complexidade;
` comprimento mnimo da senha: 12 caracteres;
` tempo de vida mximo da senha: 30 dias;
` tempo de vida mnimo da senha: 5 dias;
` limite de bloqueio de conta: 3 tentativas de logon invlidas;
` durao do bloqueio da conta: 60 minutos;
` zerarcontadores: 60 minutos;
Observe que, se a estrutura da rede baseada em Dominio no possuir outro sub-Dominio, as conIiguraes
Dominio
Controlador de Dominio
Unidades Organizacionais
Grupos
Computadores
Usuarios
57
em vigor para senhas sero as descritas acima.
Seguindo ainda nossas suposies, poderiamos criar uma UO com nome de Administrao e uma UO
com nome de Funcionrios.
Na UOAdministrao poderiamos conIigurar as seguinte politicas de segurana:
` senhas devem satisfazerrequisitos de complexidade;
` comprimento mnimo da senha: 24 caracteres;
` tempo de vida mximo da senha: 15 dias;
` tempode vida mnimo da senha: 1 dias;
` limite de bloqueio de conta: 2 tentativas de logon invlidas;
` durao do bloqueio da conta:90 minutos;
` zerarcontadores: 90 minutos;
Na UOFuncionarios poderiamos conIigurar as seguintes politicas de segurana:
` senhas devem satisfazerrequisitos de complexidade;
` comprimento mnimo da senha: 2 caracteres;
` tempo de vida mximo da senha: 7 dias;
` tempo de vida mnimo da senha: 2 dias;
` limite de bloqueio de conta: 2 tentativas de logon invlidas;
` durao do bloqueio da conta: 120 minutos;
` zerarcontadores: 120 minutos;
E um numeromaior de conIiguraes diIerenciadas que veremos mais adiante.
Ate o surgimento do Windows Server2000, no era possivel implementar politicas de segurana
diIerenciadas na rede, pois uma Unidade Organizacional e uma diviso logica do Dominio, a qual pode ser
utilizada para organizar os objetos de um determinado dominio em um agrupamento logico para eIeitos de
administrao.
No Windows NTServer 4.0 se um usuario Iosse adicionado ao grupo Administradores (grupo com poderes
totais sobre qualquer recurso do Dominio), ele poderia executar qualquer ao em qualquer servidor do
Dominio. Com a utilizao de Unidades Organizacionais, e possivel restringir os direitos administrativos
apenas a nivel da Unidade Organizacional, sem que com isso o usuario tenha poderes sobre todos os demais
objetos do Dominio.
Aplicando GPOs (Group Policy Objects) em Unidades Organizacionais:
1) Se logue com a contaAdministrador do Dominio;
2) Acesse Usuarios e Computadores do Active Directory (FerramentasAdministrativas);
3) Crie uma UOou selecione uma UOexistente;
4) Acesse Propriedades da UO(boto direito do mouse);
5) Sera exibida a janela de Propriedades das Diretivas de Grupo;
Quando usaruma Unidade Organizacional:
* Se voc quiser representar a estrutura e organizao da sua companhia em um Dominio. Sem a utilizao
de Unidades Organizacionais, todas as contas de usuarios sero mantidas e exibidas em uma unica lista,
independente da localizao, departamento ou Iuno do usuario;
*Se voc quiser delegar tareIas administrativas sem para isso ter que dar poderes administrativos em todo
o Dominio. Com o uso de Unidades Organizacionais, voc pode dar permisses para um usuario somente a
nivel da Unidade Organizacional.
* Se quiser Iacilitar e melhor acomodar alteraes na estrutura da sua companhia. Por exemplo, e muito
mais Iacil mover contas de usuarios entre Unidades Organizacionais do que entre dominios, embora no
Windows Server 2003 seja bem mais Iacil mover uma conta de um Dominio para outro, do que era no
Windows 2000 Server.
58
6) Digite um nome para a GPOque voc esta criando;
7) Clique em Editar. A interIace de administrao de uma GPO e muito semelhante a interIace de
administrao de pastas e subpastas do Windows Explorer. Observe que, por padro, so exibidas duas opes
no painel da esquerda: Configuraes do Computador e Configuraes do Usurio. As quais podero ser
expandidas, para tanto, basta clicar no sinal de +ao lado de cada item;
` Configuraes do computador: Contem as opes de conIigurao que so aplicadas ao computador,
durante o processo de inicializao;
` Configuraes do usurio: Contem as opes de conIigurao que so aplicadas ao usuario, quando
este Iaz ologon;
Para no esquecer! GPO - Group Policy Objects. Group Policy signiIica um grupo de politicas ou um
grupo de diretivas. Isto e em uma GPO esto disponiveis centenas de opes de conIigurao. Cada opo e
uma police, uma politica de segurana. As opes que esto disponiveis dependem dos templates (modelos)
de polices, chamados de GPT - Group Policy Templates, os quais so gravados na pasta SYSVOL, ja
estudamos anteriormente. E Objects, porque todos os componentes do Active Directory so denominados de
objetos. Ento uma GPO nada mais e do que um objeto do Active Directory, o qual representa um grupo de
politicas, um grupo de polices um Group Policy.
59
8) vamos supor que voc deseja restringir o AutoExecutar (poderia ser qualquer outro, pois como voc
pode ver, as conIiguraes das GPOs so variadas). Acesse Configuraes do Usurio/Modelos
Administrativos/Sistema;
9) Na listagem de polices localize a opo AutoExecutar. Duplo-clique em AutoExecutar. As opes de
conIiguraes sero exibidas. A maioria das polices esta com o status No-configurado, que na pratica
signiIica: noesta aplicada.
10) Escolha qual das unidades de disco (isto ira incluir discos removiveis), que voc deseja Desativar o
AutoExecutar;
11) Clique em OK;
12) Ao Iechar o utilitario Editor de Politicas de Grupo (Group Policy Editor), voc estara de volta a guia
Diretiva de Grupo, da janela de propriedades da Unidade Organizacional que esta sendo conIigurada.
Observe que nesta janela esta disponivel a opo Bloquear herana de diretiva. Oadministrador pode marcar
esta opo, para impedir que as conIiguraes deIinidas nos objetos Pai, sejam propagadas para a Unidade
Organizacional que esta sendo conIigurada. Esta opo no tera eIeito, se a opo No sobrescrever tiver sido
habilitada nas GPOs dos objetos pai (hierarquia dos objetos do Dominio).
13) Para conIigurar as opes da GPO, clique na GPOConIiguraes da seo de vendas para seleciona-
la. Em seguida clique no boto Opes. Sera exibida a janela de opes da GPO ConIiguraes da seo da
UOAdministrao;
60
` No sobrescrever: Esta opo e utilizada para impedir que a aplicao da GPO seja bloqueada nos
objetos Iilho, ou seja, quandou houver Unidades Organizacionais dentro de outras UOs (estas sero chamadas
de OBJETOS FILHO). Atraves do uso da opo Bloquear herana de diretiva, as conIiguraes de GPOda
UO pai, houver itens que esto marcados como No conIigurados, a UO Iilho no ira herdar estes itens 'no
conIigurados. Lembrando que a maioria das opes pode ser marcada como Ativada, Desativada ou No
deIinida. As opes que tiverem o valor padro como desabilitado, tambem sero deIinidas como desabilitado
na UO Iilho. As opes que estiverem conIiguradas na UO pai, ativadas ou desativadas (no conIundir com
aquelas que tem o valor padro como desativadas) e as respectivas opes no estiverem conIiguradas na UO
Iilho, sero herdadas pela UO Iilho, com o mesmo valor deIinido na UO pai. Se uma determinada opo
estiver conIigurada na UO Iilho, valera o que esta conIigurado nesta UO, a no ser que a opo No
Sobrescrever tenha sido deIinida na GPO da UO pai. Resumindo: Para forar a herana, ou seja, para
fazer com que os objetos filho, obrigatoriamente, tenham que aplicar as configuraes definidas no
objeto pai, voc utiliza a opo No sobrescrever. Ao marcar esta opo, voc fora todos os objetos
filho a herdarem as configuraes definidas no objeto Pai.
` Desativado: Ao marcar esta opo, a GPOdeixara de ser aplicada a Unidade Organizacional.
14) Execute as conIiguraes desejadas e clique em OK;
`Configurando as Propriedades de uma UO:
1) Acesse Propriedades da UOdesejada;
2) Sera exibida a janela com a guia Geral da UO;
OBS: esto disponiveis as opes para desativar toda a arvore de conIiguraes de computador (Desativar
conIiguraes do computador) e uma opo para desabilitar toda a arvore de conIiguraes de usuario
(Desativar conIiguraes do usuario). Estas opes so especialmente uteis, em situaes onde voc precisa
desativar temporariamente as polices para uma determinada aplicao na rede.
61
3) Clique na guia Vinculos. Nesta guia sera exibida uma listagem das Unidades Organizacionais que esto
vinculadas a esta Diretiva de Grupo;
4) Clique na guia segurana. Esta guia e muito semelhante a guia Segurana, da janela de propriedades de
uma pasta ou arquivo, em um volume Iormatado com NTFS (permisses NTFS). Basta deIinir permisses de
acesso apenas para o grupo para o qual devem ser aplicadas as conIiguraes da GPO.
62
OBS: se determinadas restries devam ser aplicadas para todos os usuarios, com exceo de um
determinado grupo, como por exemplo o grupo Administradores, neste caso, basta colocar permisso de
acesso negada ao grupo Administradores e permisso de acesso para o grupo Todos. Neste caso as
conIiguraes sero aplicadas para todos os usuarios, com exceo dos usuarios do grupo Administradores, o
qual teve acesso a GPOnegado.
Importante! As conIiguraes de computador e de usuarios das GPOs so aplicadas quando o
computador e inicializado. Porem existem algumas conIiguraes de segurana, que so reaplicadas
periodicamente, normalmente a cada quinze minutos. Estas opes so reaplicadas, para garantir que os
computadores estejam com as conIiguraes de segurana corretas e para evitar problemas com segurana.
Portanto, no se preocupe se as GPOs no entrarem em vigor imediatamente apos reiniciar o computador,
voc no Iez nada de errado. Simplesmente tera que esperar pela sincronizao do Dominio, o que e
absolutamente normal.
Importante II! As conIiguraes de Diretivas de Grupo tambem podem ser executadas localmente, ou
seja, aplicadas nas estaes de trabalho. Para tanto, basta acessar o GPEdit (Menu
Iniciar/Executar/gpedit.msc). Mas no pode esquecer! Estas conIiguraes, por serem locais vo vigorar,
inclusive para a conta Administrador, isto pode limitar bastante a operao do Administrador, mas no deixa
de ser uma conIigurao de apoio excelente.
Revisando.
Uma Unidade Organizacional e um objeto de Dominio utilizado para organizar outros objetos do
Dominio. Com a utilizao das UOs, voc podera dividir um Dominio aplicando politicas de segurana
diIerenciadas.
Uma UOrecebe Diretivas de Grupo e replica para todos os objetos abaixo dela na hierarquia de Dominio.
As Diretivas de Grupo (GPOs- Group Policy Objects) so conIiguraes mais detalhadas e se dividem em
duas partes:
* ConIiguraes do Computador;
* ConIiguraes do Usuario;
Pode-se criar UOs dentro de outras Unidades Organizacionais. E muito mais Iacil mover grupos e/ou
usuarios entre Unidades Organizacionais do que mov-los entre Dominios.
Acima de tudo:
Uma Unidade Organizacional delega controles administrativos e granulares para todos os objetos do
Dominio.
63