Você está na página 1de 263

Apostila

de






Curso: Tcnico em Informtica
Disciplina: Redes II
A
u
t
o
r
:

R
e
n
n
e
r

S
o
u
s
a

F
e
r
r
e
i
r
a

T
o
d
o
s

o
s

d
i
r
e
i
t
o
s

r
e
s
e
r
v
a
d
o
s

2


3

Contedo


Introduo ............................................................................................................................................. 8
Requisitos de Sistema ......................................................................................................................... 11
Viso geral sobre o MMC ................................................................................................................... 12
Usando consoles do MMC .................................................................................................................. 12
Personalizando a exibio do MMC e dos consoles salvos ............................................................ 12
Trabalhando com colunas em consoles salvos................................................................................ 12
Usando consoles criados nas verses anteriores do MMC ............................................................. 13
Adicionar um snap-in a um novo console do MMC de um computador local ................................... 13
Para salvar um arquivo de console do MMC ...................................................................................... 15
Gerenciando arquivos e pastas ............................................................................................................ 16
Compartilhar uma pasta ou unidade ........................................................................................... 17
Habilitar cpias de sombra de pastas compartilhadas ................................................................. 17
Alterar as configuraes das cpias de sombra de pastas compartilhadas ................................. 18
Viso geral sobre Pastas compartilhadas ............................................................................................ 20
Para compartilhar uma pasta ou unidade ........................................................................................ 22
Usando Pastas compartilhadas ........................................................................................................ 22
Usando o Windows Explorer ...................................................................................................... 25
Usando uma linha de comando ................................................................................................... 26
Para definir permisses em um recurso compartilhado .................................................................. 26
Usando Pastas compartilhadas .................................................................................................... 27
Usando o Windows Explorer ...................................................................................................... 29
Permisses de compartilhamento ........................................................................................................ 30
Escolhendo um sistema de arquivos: NTFS, FAT ou FAT32 .......................................................... 31
NTFS ............................................................................................................................................... 32
Comparao entre NTFS, FAT e FAT32 ......................................................................................... 33
Reformatando ou convertendo uma partio para usar NTFS ........................................................ 34
Convertendo uma unidade (Convert) .............................................................................................. 36
Sintaxe............................................................................................................................................. 36
Parmetros....................................................................................................................................... 36
Comentrios .................................................................................................................................... 36
Exemplos......................................................................................................................................... 37
Definir, exibir, alterar ou remover permisses de arquivos e pastas ............................................... 38
Permisses NTFS de arquivo e pasta .................................................................................................. 39
Permisses NTFS para arquivos e pastas........................................................................................ 41
Propriedade ..................................................................................................................................... 44
Para apropriar-se de um arquivo ou pasta ................................................................................... 44
Viso geral sobre auditoria em pastas e arquivos ............................................................................... 46
Aplicar ou modificar configuraes de diretiva de auditoria de um arquivo ou pasta local .......... 47
Exibindo logs de segurana ............................................................................................................ 49
Tamanho do log de segurana ......................................................................................................... 49
Fazendo auditoria em arquivos ou pastas com base em operaes ................................................ 49
Aplicar ou modificar as configuraes de diretiva de auditoria de um objeto que usa a Diretiva de
grupo ............................................................................................................................................... 50
4

Gerenciamento do Computador .......................................................................................................... 53
Visualizar eventos ............................................................................................................................... 55
Tipos de eventos ................................................................................................................................. 57
Como Exibir um log de eventos.................................................................................................. 57
O cabealho do evento .................................................................................................................... 59
Noes bsicas sobre opes de log de eventos ............................................................................. 60
Formatos de arquivo de logs arquivados ........................................................................................ 61
Usurios e grupos locais ..................................................................................................................... 62
Viso geral sobre usurios e grupos locais ..................................................................................... 62
Contas de usurio locais.................................................................................................................. 63
Grupos locais padro....................................................................................................................... 64
Criando contas de usurio e de grupo ............................................................................................. 68
Contas de usurio e de computador .................................................................................................... 74
Contas de usurios .......................................................................................................................... 74
Protegendo contas de usurio ...................................................................................................... 75
Opes de conta .......................................................................................................................... 76
Contas InetOrgPerson ................................................................................................................. 78
Contas de computador..................................................................................................................... 78
Controle de acesso no Active Directory ......................................................................................... 78
Descritores de segurana................................................................................................................. 78
Herana de objeto ........................................................................................................................... 79
Autenticao do usurio .................................................................................................................. 80
Unidades organizacionais ................................................................................................................... 81
Delegando a administrao ............................................................................................................. 81
Delegando a administrao com segurana .................................................................................... 82
Personalizando consoles MMC para grupos especficos ................................................................ 83
Usando Diretivas de Grupo para publicar e atribuir consoles personalizados ................................ 83
Viso geral sobre diretiva de grupo .................................................................................................... 84
Diretiva de grupo ............................................................................................................................ 84
Objetos de diretiva de grupo que existem por padro ..................................................................... 86
Como e quando a diretiva de grupo aplicada ............................................................................... 86
Diretiva de computador e de usurio .......................................................................................... 86
Ordem de aplicao..................................................................................................................... 86
Filtrando a diretiva por participao no grupo de segurana ...................................................... 87
Bloqueando a herana de diretiva ............................................................................................... 87
Aplicando a diretiva desde cima ................................................................................................. 87
Diretivas locais e de conta .......................................................................................................... 87
Diretivas de conta ....................................................................................................................... 88
Definindo essa configurao de segurana ..................................................................................... 89
Diretivas locais................................................................................................................................ 91
Diretiva de auditoria ................................................................................................................... 92
Viso geral sobre logs e alertas de desempenho ................................................................................. 96
Viso geral sobre logs e alertas de desempenho ............................................................................. 97
Monitorando o desempenho do servidor....................................................................................... 100
Criar um log de contador .......................................................................................................... 100
Adicionar objetos a um log ....................................................................................................... 101
5

Adicionar contadores a um log ................................................................................................. 102
Viso geral sobre o Monitor do sistema ........................................................................................... 103
Direitos do usurio ............................................................................................................................ 105
Privilgios ..................................................................................................................................... 105
Gerenciando discos e volumes .......................................................................................................... 114
Criar uma partio ou unidade lgica ....................................................................................... 114
Formatar um volume bsico...................................................................................................... 115
Estender um volume bsico ...................................................................................................... 116
Desfragmentar um volume ........................................................................................................ 116
Viso geral sobre cotas de disco ....................................................................................................... 118
Para ativar cotas de disco .............................................................................................................. 119
DNS................................................................................................................................................... 122
Como a consulta DNS funciona .................................................................................................... 123
Parte 1: O resolvedor local ........................................................................................................ 124
Parte 2: Consultando um servidor DNS .................................................................................... 124
Respostas de consultas alternativas .......................................................................................... 126
Como a iterao funciona ......................................................................................................... 127
Como o armazenamento em cache funciona ............................................................................ 128
DNS a abreviatura de Domain Name System. ............................................................................... 129
Instalao do DNS no Windows 2000 Server........................................................................... 140
Tipos de Registros no DNS........................................................................................................... 149
Trabalhando com registros do DNS .......................................................................................... 149
Zonas de pesquisa inversa Reverse Lookup Zones - Conceito .................................................. 152
Criando registros em uma zona..................................................................................................... 156
Criando novos registros em uma zona do DNS ............................................................................ 158
Configurando as propriedades de uma zona Windows 2000 ..................................................... 162
Atualizaes dinmicas no DNS ............................................................................................... 162
Forwaders (Encaminhadores) ....................................................................................................... 165
Encaminhadores condicionais ................................................................................................... 167
Resoluo de nomes de intranet ................................................................................................ 167
Resoluo de nomes de Internet ............................................................................................... 167
Mais opes de Configurao do DNS no Windows 2000 Server: .............................................. 167
Benefcios de usar encaminhadores: ......................................................................................... 173
Usar os encaminhadores exclusivamente (sem recurso): ........................................................ 174
Criando zonas secundrias. ........................................................................................................... 177
Integrao do DNS com o Active Directory ................................................................................. 178
Como o DNS integrado ao Active Directory ............................................................................. 179
Configurando um servidor DNS somente Cache .......................................................................... 181
Configuraes e consideraes sobre a configurao do DNS nos clientes ................................. 182
Configurar nomes dos computadores........................................................................................ 182
Configurar uma lista de servidores DNS .................................................................................. 184
Configurar uma lista de pesquisa de sufixos DNS........................................................................ 185
Comandos para trabalhar com o DNS. ......................................................................................... 186
O comando ipconfig .................................................................................................................. 186
O comando nslookup ................................................................................................................ 187
SERVIO DE DIRETRIO (Active Directory) .............................................................................. 190
6

Introduo ao Active Directory ........................................................................................................ 191
Viso geral sobre o Active Directory............................................................................................ 192
Instalao do AD e criao do Domnio ....................................................................................... 194
Verificando a instalao do AD ................................................................................................ 204
Instalando um controlador de domnio ............................................................................................. 208
Instalando um controlador de domnio ......................................................................................... 208
Para criar um novo domnio em uma nova floresta .................................................................. 208
Para criar um novo domnio filho em uma rvore de domnio existente .................................. 209
Para criar uma nova rvore de domnio em uma floresta existente .......................................... 210
Para instalar um controlador de domnio adicional em um domnio existente ......................... 212
Definio do DHCP (Dynamic Host Configuration Protocol) ......................................................... 213
Benefcios do uso do DHCP ......................................................................................................... 213
Definindo DHCP ........................................................................................................................... 214
Introduo ao DHCP ..................................................................................................................... 214
O que o DHCP - Dynamic Host Configuration Protocol? ......................................................... 214
Termos utilizados no DHCP ..................................................................................................... 217
Como o DHCP funciona ............................................................................................................... 218
Clientes suportados pelo DHCP.................................................................................................... 219
Um recurso de nome esquisito APIPA ......................................................................................... 221
Configurao automtica do cliente.......................................................................................... 221
Terminologia do DHCP ............................................................................................................ 223
Instalao do servidor DHCP no Windows Server ....................................................................... 225
Autorizando o servidor DHCP no Active Directory ................................................................. 228
Entendendo e projetando escopos ................................................................................................. 229
Criar escopos:............................................................................................................................ 230
Criando, administrando e configurando escopos no DHCP ..................................................... 232
Configurando um servidor de impresso .......................................................................................... 238
Impressoras e drivers de impressoras ........................................................................................... 240
Usando o Assistente para Adicionar Impressora .......................................................................... 240
Deteco de nova impressora.................................................................................................... 241
Selecionar uma porta de impressora ......................................................................................... 241
Especificar uma impressora ...................................................................................................... 242
Instalar software da impressora ................................................................................................ 242
Usar o driver existente .............................................................................................................. 243
Fornecer um nome para a impressora ....................................................................................... 243
Compartilhamento de impressora ............................................................................................. 244
Imprimir pgina de teste ........................................................................................................... 244
Seleo de driver de impressora ................................................................................................... 246
Seleo de processador e sistema operacional .............................................................................. 246
Compartilhar a impressora ............................................................................................................ 248
Para compartilhar a impressora ................................................................................................. 248
Definir ou remover permisses para uma impressora ................................................................... 249
Para definir ou remover permisses para uma impressora ....................................................... 249
Conectar-se a uma impressora publicada no Active Directory ..................................................... 250
Para conectar-se a uma impressora publicada no Active Directory ......................................... 250
Conectar-se a uma impressora em uma rede ................................................................................. 250
7

Para conectar-se a uma impressora em uma rede ..................................................................... 250
Conectar-se a uma impressora atravs de um navegador ............................................................. 251
Para conectar-se a uma impressora por meio de um navegador ............................................... 251
Configurando o I.I.S. (Internet Information Service) ....................................................................... 253
Instalando o IIS ............................................................................................................................. 253
Subcomponentes do Servidor de Aplicativo ............................................................................. 254
Subcomponentes dos Servios de informaes da Internet ...................................................... 255
Subcomponentes do Servio World Wide Web........................................................................ 256
Extenses de Servios da Web ................................................................................................. 256
Como: Criar e configurar sites FTP no IIS 6.0 ............................................................................. 257
Para configurar um servidor FTP usando o IIS ........................................................................ 258
Configurar uma pasta FTP e a raiz virtual ................................................................................ 258
Estabelecer permisses para a pasta FTP .................................................................................. 259
Criar um diretrio virtual de servidor Web............................................................................... 259
Como: Criar e configurar diretrios virtuais no IIS 5.0 e 6.0 ....................................................... 260
Criando o Diretrio Virtual ........................................................................................................... 260
Para criar um diretrio virtual usando o Gerenciador do IIS .................................................... 260
Configurar a segurana e autenticao para um diretrio virtual ............................................. 261
Referncias Bibliogrficas ................................................................................................................ 263
SITES: ............................................................................................................................................... 263

8

Introduo
O Windows Server 2003 foi lanado pela Microsoft em 24 de abril de 2003. O Microsoft
Windows Server 2003, tambm conhecido como W2K3 ou simplesmente Windows 2003 um
sistema operacional da Microsoft de rede desenvolvido como sucessor do Windows 2000
Server. tambm conhecido como Windows NT 5.2.
A funo desse sistema operacional servir de interface entre o computador e o usurio, porm,
fornecendo recursos de acesso rede de computadores.
Tal como o Windows 2000, este apresenta o Active Directory como principal ferramenta para a
administrao de domnios. um sistema utilizado comumente em redes de computadores.
Quando se instala o sistema operacional Windows Server em um computador, este passa a se
chamar Servidor, pois serve ou oferece algum servio especfico para os usurios da rede
como: servidor de Impressoras, servidor de banco de dados, servidor de Internet, servidor de
correio eletrnico, etc.
O Microsoft Windows Server 2003 trouxe novas melhorias aos servios de rede, ao sistema de
arquivos NTFS e ao Active Directory, que agora implementa mais funcionalidades em relao
ao Windows 2000 Server.

Atualmente existem quatro verses do Windows Server 2003, ainda que todas elas contem com
verses de 32 e 64 bits. As verses so:


9



Verso Descrio
Windows Server
2003 Standard
Edition
O Windows Server 2003 Standard Edition proporciona nveis
elevados de confiabilidade, escalabilidade e segurana. Essa verso foi
concebida para cargas de trabalho padro e de departamentos e
contribui com as seguintes vantagens:
Suporte para compartilhamento de arquivos e impressoras.
Ligao Internet mais segura.
Implementao centralizada de aplicaes de ambiente de
trabalho.
Polticas de ambiente de trabalho centralizada e solues Web que
ligam funcionrios, parceiros e clientes.

Windows Server
2003 Enterprise
Edition
Desenvolvido para cargas de trabalho de servidores estratgicos, o
Windows Server 2003 Enterprise Edition a plataforma de para
aplicaes, servios Web e infra-estruturas. Caracterizado por um
elevado nvel de confiabilidade e desempenho contribui com as
seguintes vantagens:
Um sistema operacional de servidor com funes completas que
suporta at um mximo de 8 processadores.
Funcionalidades de classe empresarial, tais como clustering de oito
ns e suporte at 64 GB de memria.

Windows Server
2003 Datacenter
Edition
O Windows Server 2003 Datacenter Edition foi desenvolvido tendo
em vista os nveis mais elevados de escalabilidade e confiabilidade.
a nica plataforma a oferecer o suporte e servios do Datacenter High
Availability Program (programa de elevada disponibilidade para
centros de dados). Entre as vantagens proporcionadas pelo Windows
Server 2003 Datacenter Edition incluem-se:

Suporte para multiprocessamento simtrico at 32 vias e 64 GB de
RAM com a verso de 32 bits.
10

Os servios de clustering de oito ns e balanceamento de carga como
funcionalidades padro.
Gestor de Recursos do Sistema Windows para facilitar a
consolidao e gesto de sistemas.

Windows Server
2003 Web Edition
Um novo produto no mbito dos sistemas operacionais Windows, o
Windows Server 2003 Web Edition oferece hospedagem e servios
Web dedicados, bem como as vantagens que se seguem:
Uma plataforma para criar e hospedar aplicaes Web, pginas Web
e servios XML Web Services.
Uma estrutura para utilizao predominante como um servidor Web
com Servios de Informao Internet 6.0.
Uma plataforma para um desenvolvimento e implementao rpidos
de aplicaes e servios Web em XML que utilizem a tecnologia
ASP.NET, um elemento fundamental do .NET Framework.
Implementao e gesto fceis.
OBS: ESSA VERSO NO OFERECE RECURSO DE
IMPLEMNTAO DO ACTIVE DIRECTORY
Windows Small
Business
Server 2003
O Windows Small Business Server 2003 fornece uma soluo de
servidor empresarial completa para pequenas e mdias empresas. O
conjunto integrado de produtos de servidor permite s empresas
compartilhar informaes e recursos de uma forma segura.
A verso Standard Edition inclui o Windows Server 2003 Standard
Edition, Microsoft Windows SharePoint Services, Microsoft
Exchange Server 2003 e Servio de Fax Partilhado da Microsoft.
A verso Premium Edition inclui o Windows Server 2003 Standard
Edition, Microsoft Windows SharePoint Services, Microsoft
Exchange Server 2003, Microsoft Office Outlook 2003, Servio de
Fax Partilhado da Microsoft, Microsoft Internet Security and
Acceleration (ISA) Server, Microsoft SQL Server 2000 e Microsoft
Office FrontPage 2003.



11

Requisitos de Sistema
Requisito Standard
Edition
Enterprise Edition Datacenter
Edition
Web Edition
Velocidade mnima
da CPU
133 MHz 133 MHz para
computadores
baseados em x86
733 MHz para
computadores
baseados em Itanium*
400 MHz para
computadores
baseados em x86
733 MHz para
computadores
baseados em
Itanium*
133 MHz
Velocidade
recomendada da
CPU
550 MHz 733 MHz 733 MHz 550 MHz
Mnimo de RAM 128 MB 128 MB 512 MB 128 MB
Mnimo
recomendado de
RAM
256 MB 256 MB 1 GB 256 MB
Mximo de RAM 4 GB 32 GB para
computadores
baseados em x86
64 GB para
computadores
baseados em Itanium*
64 GB para
computadores
baseados em x86
512 GB para
computadores
baseados em
Itanium*
2 GB
Suporte a vrios
processadores
At 4 At 8 Mnimo
necessrio 8
Mximo 32
At 2
Espao em disco
para instalao
1.5 GB 1.5 GB para
computadores
baseados em x86
2.0 GB para
computadores
baseados em Itanium*
1.5 GB para
computadores
baseados em x86
2.0 GB para
computadores
baseados em
Itanium*
1.5 GB
Fonte: Microsoft
12


Viso geral sobre o MMC
Voc pode usar o Console de gerenciamento Microsoft (MMC) para criar, salvar e abrir
ferramentas administrativas (denominadas consoles do MMC) que gerenciam os componentes de
hardware, software e rede do sistema Windows. possvel executar o MMC nos vrios sistemas
operacionais Windows 9x e Windows NT, bem como no Windows XP Home Edition, Windows XP
Professional e nos sistemas operacionais da famlia Windows Server 2003.
O MMC no executa funes administrativas, mas contm ferramentas que fazem isso. O tipo
principal de ferramenta que voc pode adicionar a um console denominada snap-in. Os outros itens
que voc pode adicionar so controles ActiveX, links para pginas da Web, pastas, exibies de
painel de tarefas e tarefas.
Existem duas maneiras de usar o MMC: no modo de usurio, trabalhando com consoles do MMC
existentes para administrar um sistema, ou no modo de autor, criando novos consoles ou
modificando consoles do MMC existentes.
Usando consoles do MMC
Talvez voc s precise usar consoles pr-configurados do MMC (normalmente denominados
"consoles salvos"), que faam parte do seu sistema operacional ou um aplicativo, e nunca precise
criar seus prprios consoles personalizados. Esses consoles pr-configurados esto normalmente
disponveis na pasta Ferramentas administrativas do Painel de controle ou no menu Iniciar. Se
voc salvar um console personalizado na pasta Ferramentas administrativas por usurio
(localizada em unidade_do_sistema\Documents and Settings\usurio\Menu
Iniciar\Programas\Ferramentas administrativas), ele estar disponvel na pasta Ferramentas
administrativas no menu Programas desse usurio.
provvel que todos os consoles pr-configurados que tenham vindo como parte do seu sistema
operacional estejam configurados para serem abertos em um dos trs modos de usurio. O modo
padro Modo de usurio - acesso limitado, janela nica.
Personalizando a exibio do MMC e dos consoles salvos
Voc pode usar a caixa de dilogo Personalizar exibio no comando Personalizar do menu
Exibir para ocultar ou exibir elementos de um console. Um dos elementos que voc pode ocultar o
prprio menu Exibir. Se voc fizer isso, e depois precisar reconfigurar a exibio, poder tambm
acessar a caixa de dilogo Personalizar exibio no comando Personalizar exibio do menu
Sistema.
Trabalhando com colunas em consoles salvos
Nos consoles salvos que exibem colunas no painel de detalhes, voc pode personalizar a maneira
como as colunas e linhas so exibidas. Por exemplo, voc pode reordenar ou ocultar colunas. Voc
tambm pode reordenar linhas em ordem alfabtica ou cronolgica clicando no ttulo da coluna.
13

Alm disso, com determinados snap-ins, voc pode filtrar colunas com base em atributos adicionais.
Se esse recurso estiver ativado, uma linha de caixas de listagem suspensas que contenham opes de
filtragem ser exibida abaixo dos ttulos das colunas. Para obter mais informaes, consulte Para
reordenar colunas em um console do MMC, Para ocultar ou exibir colunas em um console do MMC
e Para filtrar linhas em um console do MMC.
Voc tambm pode exportar o contedo das colunas para um arquivo de texto. Para obter mais
informaes, consulte Para exportar colunas de um console do MMC para um arquivo de texto.
Se voc personalizar as colunas em um console, suas configuraes sero salvas a cada sesso.
Usando consoles criados nas verses anteriores do MMC
Os consoles que foram criados em verses anteriores do MMC (verses 1.1 e 1.2) podem ser lidos
pelo MMC verso 2.0. Contudo, se voc salvar esses arquivos no MMC 2.0, eles sero
automaticamente convertidos, e no ser possvel restaurar o formato antigo.

Adicionar um snap-in a um novo console do
MMC de um computador local
1. Abra o MMC.
2. No menu Arquivo, clique em Adicionar/remover snap-in e, em seguida, clique em
Adicionar.
3. Em Snap-in, clique duas vezes no item que voc deseja adicionar e, se solicitado, siga um
destes procedimentos:
Clique em Computador local: (o computador onde este console est sendo
executado) e, em seguida, clique em Concluir.
Se um assistente for exibido, siga as instrues.
4. Para adicionar outro item ao console, repita a etapa 3.
14


Observaes
Para abrir o MMC, clique em Iniciar, clique em Executar, digite mmc e clique em OK.
Se voc adicionar um snap-in a um console, e o snap-in se tornar danificado, tente adicionar
outra instncia do mesmo snap-in ao console. Configure-o conforme necessrio e remova a
primeira instncia do snap-in.
Se um console for salvo na pasta Ferramentas administrativas de cada usurio (localizada
em
unidade_do_sistema\Documents and Settings\usurio\Menu Iniciar\Programas\Ferramentas
administrativas), ele estar disponvel na pasta Ferramentas administrativas no menu
Programas desse usurio.
Voc s pode acessar os snap-ins publicados no Active Directory.
Um computador remoto totalmente especfico de snap-in.
Se um snap-in no for exibido na lista, voc dever primeiro instalar o programa, dispositivo
ou servio administrado pelo ele. Na caixa de dilogo Adicionar/remover snap-in do
servio de diretrio do Active Directory, voc poder acessar os snap-ins que no esto
instalados localmente: Voc deve estar usando um dos seguintes sistemas operacionais para
que esse processo funcione:
Estiver executando o Windows 98 com o Windows Installer instalado;
ou
Estiver executando o Windows NT 4.0 com o Windows Installer instalado;
ou
15

Estiver executando o Windows Millennium Edition;
e
For parte de um domnio do Windows.
Para obter mais informaes, consulte a Ajuda.
Para tornar um item subordinado a um item da rvore de console que no seja a raiz do
console, clique no item apropriado em Snap-ins adicionados a antes de clicar em Adicionar
na etapa 2.
Para salvar um arquivo de console do MMC
Em um arquivo de console do MMC no modo de autor, clique em Salvar no menu Arquivo.
Observaes
Para abrir um console salvo no modo de autor, clique com o boto direito do mouse no
arquivo .msc e, em seguida, clique em Autor ou clique em Iniciar e, em seguida, clique em
Executar e digite mmc caminho \ nome_do_arquivo.msc /a.
Se o console no estiver aberto no modo de autor, a opo Salvar no menu Arquivo no
estar disponvel. Nesse caso, o salvamento ser determinado pela marcao da caixa de
seleo No salvar alteraes neste console quando o console foi configurado. Essa caixa
de seleo est disponvel clicando-se em Opes no menu Arquivo. Se essa caixa de
seleo no for marcada, as alteraes no console sero automaticamente salvas quando voc
fechar o MMC. Se essa caixa de seleo for marcada, as alteraes no console sero
descartadas quando voc fechar o MMC.
Se um console for salvo na pasta Ferramentas administrativas por usurio (localizada em
%unidade_do_sistema%\Documents and Settings\usurio\Menu Iniciar\Programas\Ferramen
tas administrativas), ele estar disponvel na pasta Ferramentas administrativas no menu
Programas desse usurio.

16

Gerenciando arquivos e pastas
O gerenciamento de arquivos e pastas inclui o armazenamento e a proteo de recursos, a
disponibilizao desses recursos para os usurios da rede e o gerenciamento das alteraes efetuadas
nesses recursos. A famlia Windows Server 2003 fornece vrias ferramentas que podem ser usadas
para gerenciar arquivos e pastas. Essas ferramentas incluem Pastas compartilhadas, cpias de
sombra de pastas compartilhadas, sistema de arquivos distribudos (DFS), sistema de arquivos com
criptografia (EFS) e Arquivos off-line. Quando uma pasta compartilhada, os usurios podem se
conectar a essa pasta atravs da rede e acessar seu contedo. Com cpias de sombra de pastas
compartilhadas, os usurios podem exibir o contedo das pastas da rede, uma vez que elas existiram
em momentos especficos no passado.
Algumas das tarefas mais comuns so compartilhamento de uma pasta ou unidade, habilitao de
cpias de sombra das pastas compartilhadas e alterao das configuraes de cpias de sombra de
pastas compartilhadas. Voc tambm pode gerenciar arquivos e pastas na linha de comando.

17

Compartilhar uma pasta ou unidade
1. Abra o Gerenciamento do computador.
2. Na rvore de console, clique em Compartilhamentos.
Onde?
Gerenciamento do computador
Ferramentas do sistema
Pastas compartilhadas
Compartilhamentos
3. No menu Ao, clique em Novo compartilhamento.
4. Siga as etapas do Assistente para compartilhamento de pasta e clique em Concluir.
Importante
Ao criar um recurso compartilhado, determine como esse recurso pode ser protegido. H dois
mtodos que podem ser usados para proteger os recursos compartilhados. Para obter mais
informaes, consulte Permisses de compartilhamento.
Observao
Voc precisa ter feito logon como membro do grupo Administradores ou Usurios
avanados para concluir este procedimento. Se o seu computador estiver conectado a uma
rede, as configuraes da diretiva de rede tambm podero impedi-lo de concluir o
procedimento.
Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes,
clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em
Gerenciamento do computador.
Habilitar cpias de sombra de pastas compartilhadas
1. Abra o Gerenciamento do computador (local).
2. Na rvore de console, clique com o boto direito do mouse em Pastas compartilhadas,
aponte para Todas as tarefas e clique em Configurar cpias de sombra.
Onde?
Gerenciamento do computador
Ferramentas do sistema
Pastas compartilhadas
3. Selecione o volume em que voc deseja habilitar cpias de sombra de pastas compartilhadas
e clique em Ativar.
Observao
Para executar este procedimento, voc deve ser um membro do grupo Administradores no
computador local ou deve ter recebido a delegao adequada. Se o computador estiver
associado a um domnio, os membros do grupo Admins. do domnio podero executar este
procedimento.
Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes,
clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em
18

Gerenciamento do computador.
Voc tambm pode acessar cpias de sombra de pastas compartilhadas clicando com o boto
direito do mouse em um volume NTFS fixo em Meu computador ou em Gerenciamento de
disco, clicando em Propriedades e, em seguida, clicando na guia Cpias de sombra.
Voc tambm pode usar o Gerenciamento de disco para gerenciar cpias de sombra de
pastas compartilhadas em servidores remotos. No menu Ao, aponte para Todas as tarefas
e, em seguida, clique em Configurar cpias de sombra.
Se voc habilitar cpias de sombra de pastas compartilhadas, estar tambm criando um
agendamento e configuraes padro para as cpias de sombra subseqentes. Para alterar
esses padres, clique em Configuraes.
As cpias de sombra so habilitadas por volume. Voc no pode selecionar
compartilhamentos especficos em um volume para que sejam ou no copiados.
Alterar as configuraes das cpias de sombra de pastas compartilhadas
1. Abra a ferramenta Gerenciamento do computador (local).
2. Na rvore de console, clique com o boto direito do mouse em Pastas compartilhadas,
aponte para Todas as tarefas e clique em Configurar cpias de sombra.
Onde?
Gerenciamento do computador
Ferramentas do sistema
Pastas compartilhadas
3. Selecione o volume que voc deseja alterar e, em seguida, clique em Configuraes.


4. Nesta caixa de dilogo, voc pode alterar as configuraes descritas na tabela a seguir.
Configurao Observaes
Volume de
armazenamento
Indica onde voc deseja armazenar as cpias de sombra do volume
selecionado. O padro usar o mesmo volume. recomendvel que
voc use um volume separado em outro disco que fornea melhor
desempenho para servidores de arquivos usados com muita freqncia.
Voc s poder alterar o volume de armazenamento quando no
houver cpias de sombra presentes. Se precisar alterar o volume de
armazenamento de um volume que j tenha sido habilitado, voc
dever excluir todas as cpias de sombra desse volume e, depois,
alterar o volume de armazenamento.
Detalhes
Clicando em Detalhes, ser exibida uma caixa de dilogo listando as
cpias de sombra atualmente armazenadas. Esta caixa de dilogo
tambm fornece informaes sobre o espao total e o espao de
armazenamento disponvel no disco.
Limites de
armazenamento
O tamanho padro 10% do tamanho do volume que contm os
arquivos de origem para os quais esto sendo feitas cpias de sombra.
Se as cpias de sombra forem armazenadas em um volume separado
dos arquivos de origem, voc dever alterar esse padro para refletir o
19

espao do volume de armazenamento que pretende dedicar s cpias de
sombra. O limite de armazenamento deve ser de, pelo menos, 100 MB,
o que permitir que apenas uma nica cpia de sombra seja mantida.
Se voc definir um limite de armazenamento restritivo, dever fazer
um teste para assegurar que o nmero de cpias de sombra agendadas
no ultrapassar esse limite. Se as cpias de sombra forem excludas
prematuramente devido aos limites de armazenamento, talvez voc
esteja invalidando a finalidade da habilitao das cpias de sombra de
pastas compartilhadas.
Agendar
Clicando em Agendar, o agendador de tarefas ser aberto e exibir as
informaes necessrias criao de uma agenda de tarefas para fazer
cpias de sombra de pastas compartilhadas regularmente. Antes de
criar a agenda, observe os padres de trabalho dos usurios atuais e crie
uma estratgia que agende as cpias de sombra no momento do dia
mais adequado aos usurios. A agenda padro de segunda-feira
sexta-feira, s 7:00 e s 24:00.

20

Viso geral sobre Pastas compartilhadas
Voc pode usar Pastas compartilhadas para exibir um resumo das conexes e do uso de recursos
em computadores locais e remotos. Pastas compartilhadas substitui os componentes relacionados a
recursos no Painel de controle, no Microsoft Windows NT 4.0 Server.
Com as Pastas compartilhadas possvel:
Criar, exibir e definir permisses para recursos compartilhados.
OBS: recurso compartilhado qualquer dispositivo, dados ou programa utilizado por mais de um
programa ou outro dispositivo. Para o Windows, recurso compartilhado se refere a qualquer recurso
disponvel para os usurios da rede, como pastas, arquivos, impressoras e pipes nomeados. Recurso
compartilhado tambm pode se referir a um recurso em um servidor que esteja disponvel para
usurios da rede.
Exibir uma lista de todos os usurios que esto conectados ao computador atravs de uma rede
e desconectar um ou todos eles.
Exibir uma lista dos arquivos abertos por usurios remotos e fechar um ou todos os arquivos
abertos.
necessrio que voc tenha feito logon como membro do grupo Administradores, grupo Opers. de
servidores ou grupo Usurios avanados para usar Pastas compartilhadas. Se o computador estiver
conectado a uma rede, as configuraes de diretiva de rede tambm podero impedi-lo de concluir o
procedimento. As opes de compartilhamento de arquivo podero ser limitadas se o
compartilhamento simples de arquivo estiver habilitado.
As subpastas em Pastas compartilhadas contm informaes, organizadas em colunas, sobre todos
os recursos compartilhados, sesses e arquivos abertos no computador local. Se Servios para
Macintosh estiver instalado, as informaes sobre os recursos gerenciados por esse servio tambm
podero ser exibidas. Os cabealhos das colunas nessas pastas so definidos da seguinte maneira:
Compartilhamentos
A tabela a seguir mostra as informaes existentes na pasta Compartilhamentos sobre os recursos
compartilhados que esto disponveis no computador:
Coluna Descrio
Nome do
compartilhamento
Lista os recursos compartilhados disponveis no computador. Em alguns
casos, a conexo a uma impressora monitorada aqui como uma conexo a
um pipe nomeado. Um recurso compartilhado pode ser um diretrio
compartilhado, um pipe nomeado, uma impressora compartilhada ou um
recurso de tipo no reconhecido.
Caminho da pasta Exibe o caminho do recurso compartilhado.
Tipo Exibe o tipo da conexo de rede: Windows, NetWare ou Macintosh.
21

N de conexes de
cliente
Exibe o nmero de usurios conectados ao recurso compartilhado.
Descrio Descreve o recurso compartilhado.

Sesses
A tabela a seguir mostra as informaes existentes na pasta Sesses sobre todos os usurios da rede
que esto conectados ao computador.
Coluna Descrio
Usurio Lista os usurios de rede conectados ao computador.
Computador Exibe o nome de computador do usurio conectado.
Tipo Exibe o tipo da conexo de rede: Windows, NetWare ou Macintosh.
N de arquivos
abertos
Exibe o nmero de recursos que foram abertos neste computador por este
usurio.
Tempo de
conexo
Exibe as horas e os minutos decorridos desde que esta sesso foi estabelecida.
Tempo ocioso
Exibe as horas e os minutos decorridos desde a ltima vez em que este usurio
iniciou uma ao.
Convidado
Especifica se este usurio est conectado a este computador como um
convidado (apresentado como Sim ou No).

Arquivos abertos
A tabela a seguir mostra as informaes existentes na subpasta Arquivos abertos sobre todos os
arquivos que esto abertos no computador.


Coluna Descrio
Arquivo aberto
Lista os nomes dos arquivos abertos. Um arquivo aberto pode ser realmente
um arquivo, um pipe nomeado, um trabalho de impresso em um spooler de
impresso ou um recurso de um tipo no reconhecido. Em alguns casos, um
22

trabalho de impresso apresentado aqui como um pipe nomeado aberto.
Acessado por O nome do usurio que abriu o arquivo ou acessou o recurso.
Tipo O tipo da conexo de rede: Windows, NetWare ou Macintosh.
N de bloqueios Exibe o nmero de bloqueios de arquivo iniciados por aplicativo do recurso.
Modo de acesso Exibe a permisso concedida quando o recurso foi aberto.

Para compartilhar uma pasta ou unidade
Usando Pastas compartilhadas
1. Abra o Gerenciamento do computador.
2. Na rvore de console, clique em Compartilhamentos.
Onde?
Gerenciamento do computador
Ferramentas do sistema
Pastas compartilhadas
Compartilhamentos
3. No menu Ao, clique em Novo compartilhamento.
4. Siga as etapas no Assistente para compartilhamento de pasta e clique em Concluir.
Observao
Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes,
clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em
Gerenciamento do computador.
23





24







25

Usando o Windows Explorer
1. Abra o Windows Explorer.
2. Clique com o boto direito do mouse na unidade ou pasta a ser compartilhada e, em seguida,
clique em Compartilhamento e segurana.
3. Clique em Compartilhar esta pasta.
4. Defina qualquer outra opo desejada e clique em OK.
Observao
Para abrir o Windows Explorer, clique em Iniciar, aponte para Programas, para Acessrios
e clique em Windows Explorer.


26

Usando uma linha de comando
1. Abra o Prompt de comando.
2. Digite: net share nome_do_compartilhamento=unidade:caminho
Valor Descrio
net share
Cria, exclui ou exibe recursos
compartilhados.
nome_do_compartilha
mento=unidade:cami
nho
O nome de rede do recurso compartilhado e
seu caminho absoluto.
Observaes
Para abrir um prompt de comando, clique em Iniciar, aponte para Programas, aponte para
Acessrios e clique em Prompt de comando.
Para exibir a sintaxe completa desse comando, digite o seguinte no prompt de comando:
net help share
Importante
Ao criar um recurso compartilhado, determine como proteger esse recurso. Existem vrios
mtodos que podem ser usados para proteger os recursos compartilhados. Para obter mais
informaes, consulte Tpicos relacionados.
Observaes
necessrio que voc tenha feito logon como membro do grupo Administradores, grupo
Opers. de servidores ou grupo Usurios avanados para concluir esse procedimento. Se o
computador estiver conectado a uma rede, as configuraes de diretiva de rede tambm
podero impedi-lo de concluir o procedimento.
Use o recurso Pastas compartilhadas para gerenciar recursos compartilhados em
computadores locais e remotos. Para obter informaes sobre como se conectar a outro
computador, consulte Tpicos relacionados. Com o Windows Explorer e a linha de
comando, voc s poder gerenciar recursos compartilhados no computador local.
possvel ocultar o recurso compartilhado dos usurios digitando $ como ltimo caractere
do nome do recurso compartilhado (o $ passar a fazer parte do nome do recurso). Os
usurios podero mapear uma unidade para o recurso compartilhado, mas no podero v-lo
quando o procurarem no Windows Explorer ou em Meu computador, ou ainda quando
utilizarem o comando net view no computador remoto. Para obter mais informaes sobre
esse comando, consulte Tpicos relacionados.
As opes de compartilhamento de arquivo podero ser limitadas se o compartilhamento
simples de arquivo estiver habilitado. Para obter mais informaes sobre o compartilhamento
simples de arquivo, consulte o artigo Q304040, "Description of File Sharing and Permissions
in Windows XP", no Microsoft Knowledge Base. (http://www.microsoft.com/)
Para definir permisses em um recurso
27

compartilhado
Usando Pastas compartilhadas
1. Abra o Gerenciamento do computador.
2. Na rvore de console, clique em Compartilhamentos.
Onde?
Gerenciamento do computador
Ferramentas do sistema
Pastas compartilhadas
Compartilhamentos
3. No painel de detalhes, clique com o boto direito do mouse no recurso compartilhado cujas
permisses voc deseja definir e, em seguida, clique em Propriedades.
4. Na guia Permisses de compartilhamento, efetue qualquer uma das alteraes a seguir e
clique em OK:
Para atribuir permisses a um usurio ou grupo para um recurso compartilhado,
clique em Adicionar. Na caixa de dilogo Selecione Usurio, Computador ou
Grupo, procure ou digite o nome do usurio ou grupo e clique em OK.
Para revogar o acesso ao recurso compartilhado, clique em Remover.
Para definir permisses individuais para o usurio ou grupo, na caixa Permisses
para grupo ou usurio, marque as caixas de seleo Permitir ou Negar.
Observao
Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes,
clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em
Gerenciamento do computador.

28




29

Usando o Windows Explorer
1. Abra o Windows Explorer.
2. Clique com o boto direito do mouse na unidade ou pasta compartilhada cujas permisses
voc deseja definir e, em seguida, clique em Compartilhamento e segurana.
3. Na guia Compartilhamento, clique em Permisses, efetue qualquer uma das alteraes a
seguir e clique em OK:
Para atribuir permisses a um usurio ou grupo para um recurso compartilhado,
clique em Adicionar. Na caixa de dilogo Selecione Usurio, Computador ou
Grupo, procure ou digite o nome do usurio ou grupo e clique em OK.
Para revogar o acesso a um recurso compartilhado, clique em Remover.
Para definir permisses individuais para o usurio ou grupo, na caixa Permisses
para grupo ou usurio, marque as caixas de seleo Permitir ou Negar.

30

Permisses de compartilhamento
Um recurso compartilhado fornece acesso a aplicativos, a dados ou aos dados pessoais de um
usurio. Voc pode conceder ou negar permisses para cada recurso compartilhado.
Voc poder controlar o acesso a recursos compartilhados atravs de diversos mtodos. Voc pode
usar permisses de compartilhamento, que so simples de aplicar e gerenciar. Uma outra alternativa
usar o controle de acesso no sistema de arquivos NTFS, que oferece um controle mais detalhado
do recurso compartilhado e de seu contedo. Voc tambm poder usar uma combinao desses
mtodos. Se usar uma combinao desses mtodos, a permisso mais restritiva sempre se aplicar.
Por exemplo, se a permisso de compartilhamento for definida como Todos = Leitura (que o
padro) e a permisso de NTFS permitir que os usurios faam alteraes em um arquivo
compartilhado, a permisso de compartilhamento se aplicar e o usurio no poder alterar o
arquivo.
Nem sempre necessrio negar explicitamente uma permisso para um recurso compartilhado.
Geralmente, necessrio negar a permisso apenas quando voc deseja substituir permisses
especficas que j estejam atribudas.
Para obter informaes sobre como definir permisses de arquivo de NTFS, consulte Definir, exibir,
alterar ou remover permisses em arquivos e pastas. Para obter informaes sobre as prticas
recomendadas para o trabalho com Pastas compartilhadas, incluindo a atribuio de permisses,
consulte Prticas recomendadas.
Importante
Na famlia Windows Server 2003, quando voc cria um novo recurso compartilhado, o grupo
Todos recebe automaticamente a permisso de leitura
Permisses de compartilhamento:
Aplicveis apenas aos usurios que obtiverem acesso aos recursos atravs de rede. Elas no
se aplicam a usurios que fazem logon localmente, como, por exemplo, em um servidor de
terminal. Nesses casos, use o controle de acesso no NTFS para definir permisses.
Aplicveis a todos os arquivos e pastas contidos no recurso compartilhado. Para fornecer um
nvel mais detalhado de segurana a subpastas ou objetos em uma pasta compartilhada, use o
controle de acesso no NTFS.
Constituem a nica alternativa de proteo para recursos de rede em volumes FAT e FAT32,
porque as permisses do NTFS no esto disponveis nesses volumes.
Especifique o nmero mximo de usurios que podem acessar o recurso compartilhado na
rede. Isso constitui um recurso adicional segurana oferecida pelo NTFS.
possvel atribuir os seguintes tipos de permisses de acesso a pastas ou unidades compartilhadas:
Leitura
A pemisso de leitura a permisso padro atribuda ao grupo Todos. A permisso de leitura
permite:
Exibio de nomes de arquivos e de subpastas
Exibio de dados em arquivos.
Execuo de arquivos de programa.
31

Alterao
A permisso de leitura padro para qualquer grupo. Essa permisso de alterao permite
todas as permisses de leitura, mais:
Adio de arquivos e subpastas.
Alterao de dados nos arquivos
Excluso de subpastas e arquivos
Controle total
Controle total a permisso padro atribuda ao grupo Administradores no computador local.
Controle total possibilita as mesmas operaes que Leitura e Alterao, alm de:
Alterao de permisses (apenas para arquivos e pastas do NTFS)

Escolhendo um sistema de arquivos: NTFS,
FAT ou FAT32
possvel escolher entre trs sistemas de arquivos para uma partio de instalao: NTFS, FAT e
FAT32. O NTFS bastante recomendvel na maioria das situaes.
Observao
Voc s poder usar recursos importantes, como o Active Directory e a segurana baseada
em domnios, se optar pelo sistema de arquivos NTFS.
Importante
Em discos GPT, disponveis somente em computadores com arquitetura baseada em Itanium,
recomenda-se enfaticamente o uso de NTFS para a partio de instalao. No entanto, se
voc tiver um computador com arquitetura baseada em Itanium e observar que ele tem uma
pequena partio FAT de 100 MB ou mais, no exclua nem reformate essa partio. A
partio necessria ao carregamento do sistema operacional.
A tabela a seguir lista alguns cenrios de instalao ou atualizao para computadores baseados em
x86 (os ltimos dois cenrios so incomuns) e fornece diretrizes de sistemas de arquivos para cada
um deles:
Cenrio de instalao ou atualizao para um
computador baseado em x86
Sistema de arquivos a ser utilizado e
informaes adicionais a serem lidas
O computador atualmente utiliza somente o NTFS
(no usa FAT nem FAT32).
Continue a usar o NTFS.
No h necessidade de informaes adicionais
sobre sistemas de arquivos.
O computador baseado em x86 e possui uma ou
mais parties FAT ou FAT32.
E
O computador contm somente um sistema
Considere a reformatao ou converso de
parties de forma que todas utilizem NTFS.
Para obter mais informaes, consulte
32

operacional, ou os sistemas operacionais no
computador incluem Windows 2000, Windows XP
ou um produto da famlia Windows Server 2003,
mas nenhum outro sistema operacional.
Se o computador tem arquitetura baseada em
Itanium, consulte a observao importante
anteriormente neste tpico.
Reformatando ou convertendo uma partio
para usar NTFS.
O computador conter vrios sistemas operacionais,
um dos quais o MS-DOS, Windows 95, Windows
98 ou Windows Millennium Edition.
Para qualquer partio que precise estar
acessvel a partir de MS-DOS, Windows 95,
Windows 98 ou Windows Millennium
Edition, use FAT (ou, quando adequado,
FAT32).
Para obter mais informaes, consulte
Decidindo se um computador conter mais de
um sistema operacional.
O computador conter vrios sistemas operacionais,
um dos quais o Windows NT.
Consulte Vrios sistemas operacionais e
compatibilidade entre sistemas de arquivos.

NTFS
Alguns dos recursos que voc pode usar quando escolhe o NTFS so:
Melhor escalabilidade para grandes unidades. O tamanho mximo da partio ou do volume
para NTFS muito maior do que para FAT e, medida que o tamanho da partio ou do
volume aumenta, o desempenho com NTFS no degrada como ocorre com FAT.
Active Directory (e domnios, que fazem parte do Active Directory). Com o Active
Directory, voc pode exibir e controlar facilmente os recursos de rede. Com domnios, voc
pode ajustar as opes de segurana e, ao mesmo tempo, manter simples a administrao. Os
controladores de domnio e o Active Directory requerem o NTFS.
Recursos de compactao, inclusive a capacidade de compactar ou descompactar uma
unidade, uma pasta ou um arquivo especfico. (Contudo, um arquivo no pode ser
compactado e criptografado ao mesmo tempo.)
Criptografia de arquivos, que melhora muito a segurana. (Contudo, um arquivo no pode ser
compactado e criptografado ao mesmo tempo.)
Permisses que podem ser definidas em arquivos especficos em vez de apenas em pastas.
Armazenamento remoto, que fornece uma extenso no espao em disco tornando a mdia
removvel (como fitas) mais acessvel.
Log de recuperao de atividades de disco, que permite ao NTFS restaurar informaes
rapidamente no caso de falha de energia ou outros problemas do sistema.
Arquivos esparsos. Esses so arquivos muito grandes criados por aplicativos de modo que
33

seja necessrio somente um espao limitado em disco. Isto , o NTFS aloca espao em disco
apenas para as partes gravadas de um arquivo.
Cotas de disco, que voc pode usar para monitorar e controlar a quantidade de espao em
disco utilizada por usurios individualmente.

Comparao entre NTFS, FAT e FAT32
O NTFS sempre foi um sistema de arquivos mais poderoso do que FAT e FAT32. O Windows 2000,
o Windows XP e a famlia de produtos Windows Server 2003 incluem uma nova verso do NTFS,
com suporte a vrios recursos, incluindo o Active Directory, que necessrio para domnios, contas
de usurio e outros recursos de segurana importantes. Para obter mais detalhes sobre recursos em
NTFS, consulte NTFS.
FAT e FAT32 so semelhantes, exceto que o FAT32 destina-se a discos maiores que o FAT. O
sistema de arquivos que funciona melhor com discos maiores o NTFS.
A tabela a seguir descreve a compatibilidade de cada sistema de arquivos com vrios sistemas
operacionais.
Observao
As opes por sistemas de arquivos no tm efeito sobre o acesso a arquivos na rede. Por
exemplo, o uso de NTFS em todas as parties de um servidor no afeta a conexo de
clientes em uma rede com pastas compartilhadas ou arquivos compartilhados nesse servidor,
mesmo que esses clientes executem um sistema operacional mais antigo, como o Windows
98 ou o Windows NT.
NTFS FAT FAT32
Um computador que execute o Windows
2000, o Windows XP ou um produto da
famlia Windows Server 2003 pode acessar
arquivos em uma partio NTFS local. Um
computador que executa o Windows NT 4.0
com Service Pack 5 ou posterior pode ter
acesso a alguns arquivos. Outros sistemas
operacionais no permitem acesso local.
O acesso a arquivos
em uma partio
local est
disponvel atravs
de MS-DOS, todas
as verses do
Windows e OS/2.
O acesso a arquivos em uma
partio local est disponvel
somente atravs de Windows
95 OSR2, Windows 98,
Windows Millennium Edition,
Windows 2000, Windows XP
e produtos da famlia
Windows Server 2003.

A tabela a seguir compara os possveis tamanhos de disco e arquivo com cada sistema de arquivos.
NTFS FAT FAT32
O tamanho de volume mnimo recomendado de
aproximadamente 10 MB.
Os tamanhos mximos de volume e partio iniciam em
2 terabytes (TB) e se estendem at tamanhos superiores.
Por exemplo, um disco dinmico formatado com um
Volumes do
tamanho de
disquetes
at 4 GB.
No fornece
Os volumes de 33 MB a
2 TB podem ser gravados ou
lidos usando produtos da
famlia
Windows Server 2003.
34

tamanho padro de unidade de alocao (4 KB) pode
ter parties de 16 TB menos 4 KB. Para obter mais
informaes sobre tamanhos mximos de volume e
partio, consulte o Windows Server 2003 Resource
Kit, Server Management Guide no site Microsoft
Windows Resource Kits. (http://www.microsoft.com/)
No pode ser usado em disquetes.
suporte a
domnios.
Os volumes at 32 GB
podem ser formatados como
FAT32 usando produtos da
famlia
Windows Server 2003.
No fornece suporte a
domnios.
O tamanho mximo de arquivo potencialmente 16 TB
menos 64 KB, embora os arquivos no possam ser
maiores que o volume ou a partio em que esto
localizados.
O tamanho
mximo de
arquivo
de 2 GB.
O tamanho mximo de
arquivo de 4 GB.


Reformatando ou convertendo uma partio
para usar NTFS
Se voc tiver uma partio FAT ou FAT32 onde deseja instalar um produto da famlia Windows
Server 2003 utilizando NTFS em seu lugar, h duas opes:
Voc pode converter a partio FAT ou FAT32 em NTFS. Esse procedimento deixa os
arquivos intactos, embora a partio possa ser um pouco mais fragmentada e ter desempenho
mais lento que a partio formatada com o NTFS. Todavia, ainda vantajoso usar o NTFS,
independentemente de a partio ter sido formatada com o NTFS ou convertida.
Se instalar um produto da famlia Windows Server 2003 em uma partio FAT ou FAT32,
voc ter a opo de converter a partio em NTFS. Tambm possvel converter uma
partio FAT ou FAT32 aps a instalao usando Convert.exe. Para obter mais informaes
sobre Convert.exe, consulte Converter.
possvel reformatar a partio com o NTFS. Esse procedimento apaga todos os arquivos da
partio, mas resulta em menos fragmentao e melhor desempenho que em uma partio
convertida.

35

Se voc formatar uma partio durante a instalao, as opes de sistemas de arquivos sero listadas
como NTFS e FAT. A tabela a seguir fornece informaes sobre a relao entre as opes de
tamanho de partio e de sistema de arquivos durante a instalao.
Estado e tamanho da
partio
Opes de instalao e respostas (durante a formatao da
partio)
No formatada, menor que 2
GB.
A instalao oferece NTFS ou FAT. A instalao usa o formato
escolhido.
No formatada, 2 GB ou
maior, at o mximo de 32 GB.
A instalao oferece NTFS ou FAT. Se FAT for escolhido, a
instalao usar FAT32.
No formatada, maior que 32
GB.
A instalao s permite NTFS.
Formatado anteriormente com
FAT32 e maior que 32 GB.
(Partio criada com Windows
95, Windows 98 ou Windows
Millennium Edition.)
No h necessidade de formatao, embora uma partio no
formatada desse tamanho, quando formatada durante ou aps a
instalao de um produto da famlia Windows Server 2003, tenha
que usar NTFS. Em outras palavras, a famlia Windows Server
2003 continua a fornecer suporte s parties FAT32 desse
tamanho anteriormente formatadas.
Se voc formatar uma partio durante a instalao, poder optar por uma formatao rpida ou uma
formatao completa:
Formatao rpida
A formatao rpida cria a estrutura do sistema de arquivos no disco, sem verificar a
integridade de cada setor. Escolha este mtodo para qualquer disco rgido que no tenha
setores defeituosos nem histrico de problemas de arquivos corrompidos que possam estar
relacionados a setores defeituosos.
Formatao completa
Uma formatao completa identifica e controla setores defeituosos, de modo que no sejam
usados para armazenar dados. Escolha este mtodo para qualquer disco que tenha setores
defeituosos ou um histrico de problemas de arquivos corrompidos que possam estar
relacionados a setores defeituosos.


36

Convertendo uma unidade (Convert)
Converte volumes FAT (file allocation table) e FAT32 no sistema de arquivos NTFS, deixando
intactos os arquivos e pastas existentes. Os volumes convertidos ao sistema de arquivos NTFS no
podero ser convertidos de volta em FAT ou FAT32.
Sintaxe
convert [Volume] /fs:ntfs [/v] [/cvtarea:NomeDoArquivo] [/nosecurity] [/x]
Parmetros
Volume
Especifica a letra da unidade (seguida de dois-pontos), o ponto de montagem ou o nome do
volume a ser convertido em NTFS.
/fs:ntfs
Necessrio. Converte o volume em NTFS.
/v
Especifica o modo de detalhe, isto , todas as mensagens sero exibidas durante a converso.
/cvtarea:nome_de_arquivo
Apenas para usurios avanados. Especifica que a tabela de arquivos mestre (MFT) e outros
arquivos de metadados NTFS sero gravados em um arquivo existente de espao reservado
contguo. O arquivo deve estar localizado na pasta raiz do sistema de arquivos a ser
convertido. O uso do parmetro /CVTAREA poder resultar em um sistema de arquivos
menos fragmentado aps a converso. Para obter melhores resultados, o tamanho do arquivo
deve ser 1 KB multiplicado pelo nmero de arquivos e pastas contidos no sistema de arquivos,
no entanto, o utilitrio de converso aceita arquivos de qualquer tamanho.
Importante
necessrio criar o arquivo de espao reservado usando o comando fsutil file
createnew antes de executar o comando convert. Convert no cria esse arquivo. Ele
substitui esse arquivo com os metadados NTFS. Depois da converso, qualquer espao
no utilizado nesse arquivo ser liberado. Para obter mais informaes sobre o
comando fsutil file, consulte Tpicos relacionados.
/nosecurity
Especifica que as configuraes de segurana das pastas e arquivos convertidos podero ser
acessadas por qualquer pessoa.
/x
Desmonta o volume, se necessrio, antes de ser convertido. Os identificadores abertos para o
volume no sero mais vlidos.
Comentrios
Se convert no puder bloquear a unidade (por exemplo, o volume do sistema ou a unidade
atual), ele sugerir que ela seja convertida na prxima vez que o computador for reiniciado.
37

Se voc no puder reiniciar o computador imediatamente para concluir a converso, planeje o
momento de reiniciar o computador e reserve um tempo adicional para o processo de
converso.
No caso de volumes convertidos de FAT ou FAT32 em NTFS, devido utilizao de disco j
existente, a MFT criada em um local diferente, em comparao a um volume originalmente
formatado com NTFS. Devido a isso, o desempenho do volume pode no ser to bom quanto
em volumes originalmente formatados com NTFS. Para obter o desempenho ideal, considere
a possibilidade de recriar esses volumes e format-los com o sistema de arquivos NTFS.
Os volumes convertidos de FAT em NTFS deixam os arquivos intactos, porm, podero no
dispor de alguns benefcios de desempenho se comparados a volumes inicialmente
formatados com NTFS. Em volumes convertidos, por exemplo, a MFT pode ficar
fragmentada. Alm disso, em volumes de inicializao convertidos, o convert aplica a mesma
segurana padro que aplicada durante a instalao do Windows.
Para obter mais informaes sobre como usar o parmetro /cvtarea, consulte File Systems no
site Microsoft Resource Kits.(http://www.microsoft.com/)
Exemplos
Para converter o volume na unidade C: em NTFS e exibir todas as mensagens, digite:
convert c: /fs:ntfs /v



38

Definir, exibir, alterar ou remover permisses
de arquivos e pastas
1. Abra o Windows Explorer.
2. Clique com o boto direito do mouse no arquivo ou na pasta para a qual voc deseja definir
permisses, clique em Propriedades e, em seguida, clique na guia Segurana.
3. Siga um destes procedimentos:
A fim de definir permisses para um grupo ou usurio que no esteja listado na caixa
Nomes de grupo ou de usurio, clique em Adicionar. Digite o nome do grupo ou
usurio para o qual deseja definir permisses e clique em OK.
Para alterar ou remover permisses de um grupo ou usurio existente, clique no nome
do grupo ou usurio.
4. Siga um destes procedimentos:
A fim de conceder ou negar uma permisso, na caixa Permisses para usurio ou
grupo, marque a caixa de seleo Permitir ou Negar.
Para remover o grupo ou usurio da caixa Nomes de grupo ou de usurio, clique em
Remover.
Observaes
Para abrir o Windows Explorer, clique em Iniciar, aponte para Programas, para Acessrios
e clique em Windows Explorer.
Na famlia Windows Server 2003, o grupo Todos no inclui mais Logon annimo.
Somente possvel definir permisses de arquivo e pasta nas unidades formatadas para usar
NTFS.
Para alterar permisses, voc deve ser o proprietrio ou receber do proprietrio permisso
para alter-las.
Os grupos ou os usurios que receberam a permisso Controle total de uma pasta podem
excluir dela arquivos e subpastas, independentemente das permisses que protegem os
arquivos e as subpastas.
Se as caixas de seleo em Permisses para usurio ou grupo estiverem sombreadas, ou se
o boto Remover no estiver disponvel, o arquivo ou a pasta ter herdado permisses da
pasta pai. Para obter mais informaes sobre como a herana afeta arquivos e pastas, consulte
Tpicos relacionados.
Quando voc adicionar um novo usurio ou grupo, por padro ele ter as permisses Ler e
executar, Listar contedo de pastas e Ler.


39

Permisses NTFS de arquivo e pasta
Permisses
especiais
Controle
total
Modificar
Ler e
executar
Listar
contedo de
pastas
(somente
para pastas)
Ler Gravar
Desviar
pasta/execut
ar arquivo
x x x x

Listar
pasta/Ler
dados
x x x x x

Ler atributos x x x x x

Ler atributos
estendidos
x x x x x

Criar
arquivos/Gra
var dados
x x

x
Criar
pastas/Acres
centar dados
x x

x
Gravar
atributos
x x

x
Gravar
atributos
estendidos
x x

x
Excluir
subpastas e
arquivos
x

Excluir x x

Ler
permisses
x x x x x x
Alterar
permisses
x

Apropriar-se x

Sincronizar x x x x x x
Importante
Os grupos ou usurios com Controle total de uma pasta podem excluir dela qualquer arquivo,
40

independentemente das permisses que protegem o arquivo.
Observaes
Apesar das opes Listar contedo de pastas e Ler e executar parecerem ter as mesmas
permisses especiais, essas permisses so herdadas de formas diferentes. A permisso
Listar contedo de pastas herdada por pastas, mas no por arquivos, e deve aparecer
apenas quando voc exibir as permisses de pasta. A permisso Ler e executar herdada
por arquivos e pastas e est sempre presente quando voc exibe permisses de arquivo ou
pasta.
Para obter informaes sobre a definio de permisses e as descries de cada permisso
especial, consulte Tpicos relacionados.
Na famlia Windows Server 2003, por padro, Todos no inclui Annimo, portanto, as
permisses aplicadas a Todos no afetam Annimo.


41

Permisses NTFS para arquivos e pastas
As permisses de pasta incluem Controle total, Modificar, Ler e executar, Listar contedo de
pastas, Ler e Gravar. Para obter informaes sobre essas permisses, consulte Permisses de
arquivo e pasta. Cada uma dessas permisses consiste em um grupo lgico de permisses especiais
listadas e definidas abaixo.
Permisso Descrio
Desviar
pasta/Executa
r arquivo
Para as pastas: Desviar pasta permite ou nega o movimento atravs de pastas para
acessar outros arquivos ou pastas, mesmo que o usurio no tenha permisses para
as pastas desviadas. (Aplica-se somente a pastas.) Desviar pasta tem efeito apenas
quando o grupo ou usurio no tem o direito de usurio Ignorar verificao com
desvio no snap-in de diretivas de grupo. (Por padro, o grupo Todos tem o direito
de usurio Ignorar verificao com desvio.)
Para os arquivos: Executar arquivo permite ou nega a execuo de arquivos de
programa. (Aplica-se somente a arquivos.)
Ao definir a permisso Desviar pasta em uma pasta, voc no est
automaticamente definindo a permisso Executar arquivo em todos os arquivos
dessa pasta.
Listar
pasta/Ler
dados
Listar pasta permite ou nega a exibio de nomes de arquivos e subpastas dentro
da pasta. Essa permisso afeta apenas o contedo da pasta em questo, no afetando
o fato de a pasta na qual a permisso est sendo definida ser listada ou no. (Aplica-
se somente a pastas.)
Ler dados permite ou nega a exibio de dados em arquivos. (Aplica-se somente a
arquivos.)
Ler atributos
Permite ou nega a exibio de atributos de um arquivo ou pasta, como somente
leitura ou oculto. Os atributos so definidos pelo NTFS.
Ler atributos
estendidos
Permite ou nega a exibio de atributos estendidos de um arquivo ou pasta. Os
atributos estendidos so definidos por programas e podem variar de acordo com o
programa.
Criar
arquivos/Grav
ar dados
Criar arquivos permite ou nega a criao de arquivos dentro da pasta. (Aplica-se
somente a pastas.)
Gravar dados permite ou nega as alteraes no arquivo e a substituio de um
contedo existente. (Aplica-se somente a arquivos.)
Criar
pastas/Acresce
Criar pastas permite ou nega a criao de arquivos dentro da pasta. (Aplica-se
42

ntar dados somente a pastas.)
Acrescentar dados permite ou nega as alteraes no final do arquivo, mas no a
alterao, a excluso ou a substituio de dados existentes. (Aplica-se somente a
arquivos.)
Gravar
atributos
Permite ou nega a alterao de atributos de um arquivo ou pasta, como somente
leitura ou oculto. Os atributos so definidos pelo NTFS.
A permisso Gravar atributos no implica na criao ou excluso de arquivos ou
pastas, apenas inclui a permisso para efetuar alteraes nos atributos de um
arquivo ou de uma pasta. Para permitir (ou negar) operaes de criao ou excluso,
consulte Criar arquivos/Gravar dados, Criar pastas/Acrescentar dados,
Excluir subpastas e arquivos e Excluir.
Gravar
atributos
estendidos
Permite ou nega a alterao de atributos estendidos de um arquivo ou pasta. Os
atributos estendidos so definidos por programas e podem variar de acordo com o
programa.
A permisso Gravar atributos estendidos no implica na criao ou excluso de
arquivos ou pastas, apenas inclui a permisso para efetuar alteraes nos atributos
de um arquivo ou de uma pasta. Para permitir (ou negar) operaes de criao ou
excluso, consulte Criar arquivos/Gravar dados, Criar pastas/Acrescentar
dados, Excluir subpastas e arquivos e Excluir.
Excluir
subpastas e
arquivos
Permite ou nega a excluso de subpastas e arquivos, mesmo que a permisso
Excluir no tenha sido concedida na subpasta ou arquivo. (Aplica-se a pastas)
Excluir
Permite ou nega a excluso do arquivo ou pasta. Se voc no tiver a permisso
Excluir em um arquivo ou em uma pasta, ainda assim poder exclu-lo se tiver a
permisso Excluir subpastas e arquivos na pasta pai.
Ler
permisses
Permite ou nega a leitura de permisses do arquivo ou pasta, como Controle total,
Ler e Gravar.
Alterar
permisses
Permite ou nega a alterao de permisses do arquivo ou pasta, como Controle
total, Ler e Gravar.
Apropriar-se
Permite ou nega a apropriao do arquivo ou pasta. O proprietrio de um arquivo ou
pasta sempre pode alterar permisses, independentemente de qualquer permisso
existente que proteja o arquivo ou pasta.
Sincronizar
Permite ou nega a espera de segmentos diferentes no identificador para o arquivo ou
pasta e a sincronizao com outro segmento que possa sinaliz-lo. Essa permisso
aplica-se somente a programas de vrios segmentos e processos.

43



44

Propriedade
Todo objeto tem um proprietrio, seja em um volume do NTFS ou no Active Directory. O
proprietrio controla como as permisses sero definidas no objeto e para quem sero concedidas.
Importante
Um administrador que precise reparar ou alterar permisses em um arquivo deve comear
apropriando-se dele.
Por padro, na famlia Windows Server 2003, o proprietrio o grupo Administradores. O
proprietrio poder sempre alterar as permisses em um objeto, mesmo quando tiver todo o acesso
negado ao objeto.
Podem apropriar-se de um objeto:
Um administrador. Por padro, o grupo Administradores tem o direito de usurio Apropriar-
se de arquivos ou outros objetos.
Qualquer pessoa ou grupo que tenha a permisso Apropriar-se relativa ao objeto em
questo.
Um usurio com o privilgio Restaurar arquivos e pastas.
A propriedade pode ser transferida das seguintes maneiras:
O proprietrio atual pode conceder a outro usurio a permisso Apropriar-se, permitindo
que ele se aproprie a qualquer momento. Para que a transferncia seja concluda, necessrio
que o usurio aproprie-se de fato.
Um administrador pode apropriar-se.
Um usurio com o privilgio Restaurar arquivos e pastas pode clicar duas vezes em
Outros usurios e grupos e escolher qualquer usurio ou grupo para atribuir a ele a
propriedade.
Para obter mais informaes, consulte Apropriar-se de um arquivo ou de uma pasta e Restaurar
arquivos e diretrios.

Para apropriar-se de um arquivo ou pasta
1. Abra o Windows Explorer e localize o arquivo ou a pasta da qual voc deseja se apropriar.
2. Clique com o boto direito do mouse no arquivo ou pasta, clique em Propriedades e, em
seguida, clique na guia Segurana.
3. Clique em Avanada e, em seguida, clique na guia Proprietrio.
4. Na caixa de dilogo Alterar o proprietrio para, siga um destes procedimentos:
Para alterar o proprietrio para um usurio ou um grupo no listado, clique duas vezes
em Outros usurios e grupos e, em Digite o nome do objeto a ser selecionado
(exemplos), digite o nome do usurio ou do grupo e clique em OK.
Para alterar o proprietrio para um usurio ou um grupo listado, clique no novo
proprietrio.
5. (Opcional) Para alterar o proprietrio de todos os sub-recipientes e objetos da rvore, marque
45

a caixa de seleo Substituir o proprietrio em sub-recipientes e objetos.
Observaes
Para abrir o Windows Explorer, clique em Iniciar, aponte para Todos os programas, para
Acessrios e clique em Windows Explorer.
possvel transferir a propriedade de duas maneiras:
O proprietrio atual pode conceder a permisso Apropriar-se a outros, permitindo
que esses usurios apropriem-se a qualquer hora. Um usurio que recebeu a
permisso Apropriar-se poder apropriar-se do objeto ou atribuir a propriedade a
qualquer grupo do qual membro.
Um usurio que tenha o privilgio Restaurar arquivos e pastas poder clicar duas
vezes em Outros usurios e grupos e escolher qualquer usurio ou grupo para
atribuir a ele a propriedade.
Um administrador pode apropriar-se de qualquer arquivo no computador.
Na famlia Windows Server 2003, o grupo Todos no inclui mais o grupo Logon annimo.



46

Viso geral sobre auditoria em pastas e
arquivos
Estabelecer uma diretiva de auditoria uma faceta importante da segurana. O monitoramento da
criao ou modificao de objetos permite que voc controle possveis problemas de segurana,
ajuda a garantir a responsabilidade do usurio e oferece provas se houver quebra de segurana.
Os tipos mais comuns de eventos a serem submetidos auditoria so:
Acesso a objetos, como arquivos e pastas.
Gerenciamento de contas de usurios e grupos.
Momento em que os usurios fazem logon e logoff no sistema.
Quando voc implementar a diretiva de auditoria:
Especifique as categorias dos eventos nas quais voc deseja fazer auditoria. Logon e logoff
do usurio e gerenciamento de contas so exemplos de categorias de eventos. As categorias
de eventos selecionadas constituem sua diretiva de auditoria. Para obter mais informaes
sobre cada categoria de evento, consulte Diretiva de auditoria.
Defina o tamanho e o comportamento do log de segurana. O log de segurana pode ser
exibido com o recurso Visualizar eventos. Para obter mais informaes sobre o log de
segurana, consulte Exibindo logs de segurana.
Se voc quiser fazer auditoria no acesso ao servio de pastas ou o acesso a objetos, determine
os objetos cujo acesso voc deseja monitorar e o tipo de acesso que dever ser monitorado.
Por exemplo, se voc quiser fazer auditoria nas tentativas dos usurios em abrir um arquivo
especfico, pode definir as configuraes de diretiva de auditoria na categoria de evento de
acesso a objetos para registrar as tentativas bem-sucedidas e malsucedidas de leitura do
arquivo.
Para obter mais informaes sobre como definir a auditoria de acesso a objetos, consulte:
Aplicar ou modificar configuraes de diretiva de auditoria de um arquivo ou pasta
local
Aplicar ou modificar as configuraes de diretiva de auditoria de um objeto que usa a
Diretiva de grupo


47

Aplicar ou modificar configuraes de diretiva
de auditoria de um arquivo ou pasta local
1. Abra o Windows Explorer.
2. Clique com o boto direito do mouse no arquivo ou pasta no qual voc deseja fazer a
auditoria, clique em Propriedades e, em seguida, clique na guia Segurana.
3. Clique em Avanada e, em seguida, clique na guia Auditoria.
4. Siga um destes procedimentos:
Para configurar a auditoria para um novo grupo ou usurio, clique em Adicionar. Em
Digite o nome do objeto a ser selecionado, digite o nome do usurio ou grupo
desejado e, em seguida, clique em OK.
Para remover a auditoria de um grupo ou usurio existente, clique no nome do grupo
ou usurio e em Remover, clique em OK e ignore o restante deste procedimento.
Para exibir ou alterar a auditoria de um grupo ou usurio existente, clique no nome e
em Editar.
5. Na caixa Aplicar em, clique no local onde a auditoria deve acontecer.
6. Na caixa Acesso, indique as aes nas quais voc deseja fazer auditoria marcando as caixas
de seleo adequadas:
Para fazer auditoria em eventos bem-sucedidos, marque a caixa de seleo xito.
Para interromper a auditoria em eventos bem-sucedidos, desmarque a caixa de seleo
xito.
Para fazer auditoria em eventos malsucedidos, marque a caixa de seleo Falha.
Para interromper a auditoria em eventos malsucedidos, desmarque a caixa de seleo
Falha.
Para interromper a auditoria em todos os eventos, clique em Limpar tudo.
7. Se voc quiser impedir que arquivos e subpastas subseqentes do objeto original herdem
essas entradas de auditoria, marque a caixa de seleo Aplicar essas entradas de auditoria
apenas a objetos e/ou recipientes dentro deste recipiente.
Importante
Antes de configurar a auditoria de arquivos e pastas, voc deve ativar a auditoria de acesso a
objetos definindo as configuraes de diretiva de auditoria da categoria de evento de acesso
ao objeto. Se voc no ativar a auditoria de acesso a objetos, ser exibida uma mensagem de
erro quando voc configurar a auditoria de arquivos e pastas, e nenhum arquivo ou pasta ser
submetido auditoria. Para obter mais informaes sobre como ativar a auditoria de acesso a
objetos, consulte "Definir ou modificar as configuraes de diretiva de auditoria de uma
categoria do evento" em Tpicos relacionados.
Observaes
necessrio que voc tenha feito logon como membro do grupo Administradores ou tenha
recebido o direito Gerenciar auditoria e log de segurana na Diretiva de grupo para
executar esse procedimento.
Para abrir o Windows Explorer, clique em Iniciar, aponte para Todos os programas, para
Acessrios e clique em Windows Explorer.
48

Para obter informaes sobre como fazer a auditoria de chaves do Registro locais, consulte
"Fazer auditoria da atividade em uma chave do Registro" em Tpicos relacionados.
Uma vez ativada a auditoria de acesso a objetos, exiba o log de segurana no recurso
Visualizar Eventos para analisar os resultados das suas alteraes.
Voc pode configurar a auditoria de arquivos e pastas somente em unidades NTFS.
Se voc observar o seguinte:
Na caixa de dilogo Entrada de Auditoria para Arquivo ou Pasta, na caixa Acesso,
as caixas de seleo no esto disponveis ...
Na caixa de dilogo Configuraes de segurana avanadas para Arquivo ou
pasta, o boto Remover no est disponvel
a auditoria foi herdada da pasta pai.
J que o tamanho do log de segurana limitado, selecione cuidadosamente os arquivos e
pastas a serem auditados. Alm disso, considere a quantidade de espao em disco que voc
deseja destinar ao log de segurana. O tamanho mximo do log de segurana definido em
Visualizar Eventos.




49

Exibindo logs de segurana
A auditoria em um objeto local cria uma entrada no log de segurana. As entradas de segurana que
aparecem no log de segurana dependem das categorias selecionadas para a diretiva de auditoria.
Para os eventos referentes ao acesso a objetos, as entradas no log de segurana tambm dependem
das configuraes da diretiva de auditoria definidas para cada objeto. Para obter mais informaes
sobre auditoria, consulte Fazendo auditoria em eventos de segurana.
Por exemplo, se a diretiva especifica a auditoria de arquivos e pastas, e as propriedades de um
arquivo determinam que as excluses sem xito desse arquivo devem ser submetidas auditoria,
cada tentativa sem xito de um usurio em excluir o arquivo ser exibida no log de segurana.
O log de segurana pode ser exibido com o recurso Visualizar eventos.
Tamanho do log de segurana
importante definir o tamanho do log de segurana corretamente. O log de segurana tem tamanho
limitado, portanto selecione com cuidado os eventos a serem auditados. Alm disso, considere a
quantidade de espao em disco que voc deseja destinar ao log de segurana. O tamanho mximo
definido no recurso Visualizar Eventos.
Para obter informaes sobre o procedimento a ser seguido quando o log de segurana ficar cheio,
consulte Auditoria: Desligar o sistema imediatamente se no for possvel o log de auditorias seguras
Para obter mais informaes sobre os eventos de segurana, consulte "Security Events" no site
Microsoft Windows Resource Kits. (http://www.microsoft.com/).

Fazendo auditoria em arquivos ou pastas com
base em operaes
A auditoria com base em operaes um novo recurso da famlia Windows Server 2003. Nas
verses anteriores do Windows, as informaes obtidas na auditoria de acesso a objetos no eram
to detalhadas como so, agora, na auditoria com base em operaes. Embora fosse possvel
determinar que um usurio tentara acessar um objeto, no havia como ter certeza de que o objeto
havia sido acessado de todas as formas documentadas no evento de auditoria. A auditoria baseada
em operaes permite que voc faa a auditoria das operaes em arquivos e pastas. Isso significa
que voc pode fazer auditoria em certas operaes, como a Gravao, assim como o acesso a
objetos. A auditoria com base em operaes habilitada quando a auditoria de acesso a objetos est
ativada em um arquivo ou pasta. Os eventos de acesso a objetos so registrados, junto com
operaes como a Gravao, no log de segurana.
Para ativar a auditoria baseada em operaes, necessrio:
Ativar a configurao de diretiva Auditoria de acesso a objetos. Para obter mais
informaes, consulte Definir ou modificar configuraes de auditoria para uma categoria de
evento.
50

Aplicar uma diretiva de auditoria a uma pasta especfica. Para obter mais informaes,
consulte:
Aplicar ou modificar configuraes de diretiva de auditoria de um arquivo ou pasta
local
Aplicar ou modificar as configuraes de diretiva de auditoria de um objeto que usa a
Diretiva de grupo
As auditorias com base em operaes so categorizadas como auditorias de objetos e registradas no
log de segurana com o nmero de evento 567. Elas so geradas na primeira vez em que voc
executa a operao. Pode-se configurar apenas arquivos e pastas para a gerao de auditorias com
base em operaes.

Aplicar ou modificar as configuraes de
diretiva de auditoria de um objeto que usa a
Diretiva de grupo
1. Abra o Console de Gerenciamento Microsoft (MMC).
2. No menu Arquivo, clique em Adicionar/remover snap-in e em, seguida, clique em
Adicionar.
3. Clique em Editor de objeto de diretiva de grupo e, em seguida, em Adicionar.
4. Na pgina Selecionar objeto de diretiva de grupo no Assistente de diretiva de grupo, clique
em Procurar.
5. Em Procurar um objeto de diretiva de grupo, selecione um objeto de Diretiva de grupo
(GPO) no domnio, site ou unidade organizacional apropriada ou crie um novo, se preferir
clique em OK e, em seguida, em Concluir.
6. Clique em Fechar e, em seguida, clique em OK.
7. Execute um ou mais dos procedimentos a seguir:
Para fazer a
auditoria
Faa isto
Servios do
sistema
Na rvore de console, clique em Servios do sistema.
Onde?
Configurao do Computador
Configuraes do Windows
Configuraes de Segurana
Servios do Sistema
No painel de detalhes, clique com o boto direito do mouse
no servio cujas configuraes de diretiva voc deseja
aplicar ou modificar e, em seguida, clique em Propriedades.
Marque a caixa de seleo Definir estas configuraes de
diretiva, se no estiver marcada, e selecione a configurao
51

adequada.
Clique em Editar segurana.
Chaves do
Registro
Na rvore de console, clique em Registro.
Onde?
Configurao do Computador
Configuraes do Windows
Configuraes de Segurana
Registro
Se voc quiser adicionar uma chave de Registro auditoria
deste GPO, clique com o boto direito do mouse em
Registro e, em seguida, clique em Adicionar chave. Procure
a chave desejada e clique em OK.
Se voc quiser aplicar ou modificar configuraes de
auditoria de uma chave de Registro j includa no GPO,
clique com o boto direito do mouse na chave de Registro no
painel de detalhes, clique em Propriedades e, em seguida,
clique em Editar segurana.
Arquivos ou
pastas
Na rvore de console, clique em Sistema de arquivos.
Onde?
Configurao do Computador
Configuraes do Windows
Configuraes de Segurana
Sistema de Arquivos
Se voc quiser adicionar um arquivo ou uma pasta
auditoria deste GPO, clique com o boto direito do mouse
em Sistema de arquivos e, em seguida, clique em
Adicionar arquivo. Procure o arquivo desejado, ou crie uma
nova pasta, e clique em OK.
Se voc quiser aplicar ou modificar configuraes de
auditoria de um arquivo ou pasta j includos no GPO, clique
com o boto direito do mouse no arquivo ou pasta no painel
de detalhes, clique em Propriedades e, em seguida, clique
em Editar segurana.
8. Clique em Avanada e, em seguida, clique na guia Auditoria.
9. Siga um destes procedimentos:
52

Para configurar a auditoria para um novo grupo ou usurio, clique em Adicionar. Em
Nome, digite o nome do usurio ou grupo desejado e clique em OK.
Para exibir ou alterar a auditoria de um grupo ou usurio existente, clique no nome
desejado e em Editar.
Para remover a auditoria de um grupo ou usurio existente, clique no nome desejado e
em Remover, clique em OK e ignore o restante deste procedimento.
10. Selecione a entrada adequada na lista
11. Aplicar em.
12. Na caixa Acesso, indique as aes nas quais voc deseja fazer auditoria marcando as
caixas de seleo adequadas:
Para fazer auditoria em eventos bem-sucedidos, marque a caixa de seleo xito.
Para interromper a auditoria em eventos bem-sucedidos, desmarque a caixa de seleo
xito.
Para fazer auditoria em eventos malsucedidos, marque a caixa de seleo Falha.
Para interromper a auditoria em eventos malsucedidos, desmarque a caixa de seleo
Falha.
Para interromper a auditoria em todos os eventos, clique em Limpar tudo.
13. Se voc quiser impedir que arquivos e subpastas da rvore herdem essas entradas de
auditoria, marque a caixa de seleo Aplicar essas entradas de auditoria apenas a objetos
e/ou recipientes dentro deste recipiente.
Importante
Antes de configurar a auditoria de arquivos e pastas, voc deve ativar a auditoria de acesso a
objetos definindo as configuraes de diretiva de auditoria da categoria de evento de acesso
ao objeto. Se voc no ativar a auditoria de acesso a objetos, ser exibida uma mensagem de
erro quando voc configurar a auditoria de arquivos e pastas, e nenhum arquivo ou pasta ser
submetido auditoria. Para obter mais informaes sobre como ativar a auditoria de acesso a
objetos, consulte "Definir ou modificar as configuraes de diretiva de auditoria de uma
categoria do evento" em Tpicos relacionados.
Observaes
Para executar este procedimento, voc deve ser um membro do grupo Admins. do domnio
ou da Administrao corporativa no Active Directory ou ter recebido a delegao adequada.
Como uma prtica recomendada de segurana, considere usar Executar como para executar
este procedimento.
Para abrir o Console de gerenciamento Microsoft, clique em Iniciar, clique em Executar,
digite mmc e clique em OK.
Para obter mais informaes sobre como selecionar onde aplicar as entradas de auditoria,
consulte Tpicos relacionados.
Voc pode configurar a auditoria de arquivos e pastas somente em unidades NTFS.
Se voc observar o seguinte:
Na caixa de dilogo Entrada de auditoria para Arquivo ou pasta, na caixa Acesso,
as caixas de seleo no esto disponveis ...
Na caixa de dilogo Configuraes de segurana avanadas para Arquivo ou
pasta, o boto Remover no est disponvel
a auditoria herdada da pasta pai.
53

Uma vez ativada a auditoria de acesso a objetos, exiba o log de segurana no recurso
Visualizar Eventos para analisar os resultados das suas alteraes.
J que o tamanho do log de segurana limitado, selecione cuidadosamente os arquivos e
pastas a serem auditados. Alm disso, considere a quantidade de espao em disco que voc
deseja destinar ao log de segurana. O tamanho mximo do log de segurana definido em
Visualizar Eventos.



Gerenciamento do Computador
Voc pode usar o Gerenciamento do computador para gerenciar computadores locais e remotos.
O Gerenciamento do computador uma coleo de ferramentas administrativas que voc pode
usar para gerenciar um nico computador local ou remoto. Ele combina vrios utilitrios de
administrao em uma rvore de console e fornece acesso fcil a propriedades e ferramentas
administrativas.




54

Voc pode usar o Gerenciamento do computador para:
Monitorar eventos do sistema, como o nmero de vezes em que o logon feito e os erros de
aplicativo.
Criar e gerenciar recursos compartilhados.
Exibir uma lista de usurios conectados a um computador local ou remoto.
Iniciar e interromper servios do sistema, como o Agendador de tarefas e o Servio de
indexao.
Definir propriedades para dispositivos de armazenamento.
Exibir configuraes de dispositivo e adicionar novos drivers de dispositivo.
Gerenciar aplicativos e servios.
O Gerenciamento do computador contm trs itens: Ferramentas do sistema, Armazenamento e
Servios e aplicativos.
Viso geral sobre Ferramentas do sistema
O recurso Ferramentas do sistema o primeiro item da rvore de console do Gerenciamento do
computador. Voc pode usar as ferramentas padro Visualizar eventos, Pastas compartilhadas,
Usurios e grupos locais, Logs e alertas de desempenho e Gerenciador de dispositivos para
gerenciar os eventos e o desempenho do sistema no computador especificado.


Observao
Se voc no for um membro do grupo Administradores, talvez no tenha as credenciais
administrativas necessrias para exibir ou modificar algumas propriedades ou para executar
algumas tarefas hospedadas no Gerenciamento do computador.


55

Visualizar eventos
Com a ferramenta Visualizar eventos, possvel monitorar os eventos registrados nos logs de
eventos. Geralmente, um computador armazena os logs de aplicativos, de segurana e de sistema.
Ele tambm pode conter outros logs; isso depender da funo do computador e dos aplicativos
instalados.
Voc pode exibir e definir opes de log para logs de eventos, a fim de coletar informaes sobre
problemas de hardware, software e sistema.

Por padro, um computador que executa um sistema operacional da famlia Windows Server 2003
registra eventos em trs tipos de logs:
Log de aplicativo
O log de aplicativo contm eventos registrados por aplicativos ou programas. Por exemplo, um
programa de banco de dados pode registrar um erro de arquivo no log de aplicativo. Os
desenvolvedores de aplicativo decidem quais eventos sero registrados.
Log de segurana
O log de segurana registra eventos como tentativas de logon vlidas e invlidas, bem como eventos
relacionados ao uso de recursos, como criar, abrir ou excluir arquivos ou outros objetos. Por
exemplo, se a auditoria de logon estiver habilitada, as tentativas de logon no sistema sero
registradas no log de segurana.
56

Log de sistema
O log de sistema contm eventos registrados pelos componentes de sistema do Windows. Por
exemplo, se um driver ou outro componente do sistema no for carregado durante a inicializao,
essa falha ser registrada no log de sistema. Os tipos de evento registrados pelos componentes do
sistema so determinados previamente pelo servidor.
Um computador com um sistema operacional da famlia Windows Server 2003 que esteja
configurado como controlador de domnio registra eventos em dois logs adicionais:
Log de servio de diretrio
O log de servio de diretrio contm eventos registrados pelo servio do Active Directory do
Windows. Por exemplo, os problemas de conexo entre o servidor e o catlogo global so
registrados no log de servio de diretrio.
Log de servio de replicao de arquivos
O log de servio de replicao de arquivos contm eventos registrados pelo servio de replicao de
arquivos do Windows. Por exemplo, as falhas na replicao de arquivos e os eventos que ocorrerem
enquanto os controladores de domnio estiverem sendo atualizados com informaes sobre
alteraes de volume de sistema sero registrados no log de replicao de arquivos.
Um computador com o Windows e configurado como servidor de sistema de nomes de domnio
(DNS) registra eventos em log adicional:
Log do servidor DNS
O log do servidor DNS contm eventos registrados pelo servio DNS do Windows.
Outros tipos de eventos e logs de eventos podero estar disponveis em um computador, dependendo
dos servios instalados.
O servio Log de eventos iniciado automaticamente quando voc inicia o Windows.
Se voc for membro do grupo Administradores no computador local, poder definir permisses de
acesso em logs de eventos usando a diretiva de grupo. Para obter mais informaes, consulte
Configuraes de logs de eventos.


57

Tipos de eventos
Visualizar eventos exibe cinco tipos de eventos:
Tipo de evento Descrio
Erro
Um problema significativo, como a perda de dados ou funcionalidade. Por
exemplo, se um servio no for carregado durante a inicializao, um erro
ser registrado.
Aviso
Um evento que no necessariamente significativo, mas pode indicar um
possvel problema futuro. Por exemplo, quando houver pouco espao em
disco, um Aviso ser registrado.
Informaes
Um evento que descreve o funcionamento de um aplicativo, driver ou servio
com xito. Por exemplo, quando um driver de rede for carregado com xito,
um evento de informaes ser registrado.
Auditoria com
xito
Qualquer evento de segurana que passou por auditoria e foi bem-sucedido.
Por exemplo, uma tentativa bem-sucedida do usurio para se conectar ao
sistema ser registrada como um evento Auditoria com xito.
Auditoria sem
xito
Qualquer evento de segurana que passou por auditoria e apresentou falha.
Por exemplo, se um usurio tenta acessar uma unidade de rede e falha, a
tentativa ser registrada como um evento Auditoria sem xito.

Como Exibir um log de eventos
Abra Visualizar eventos.
Na rvore de console, clique no log que deseja exibir.
No painel de detalhes, exiba a lista de eventos individuais.
Para obter mais detalhes sobre um evento especfico, no painel de detalhes, clique duas vezes no
evento.
58



Observaes
Executar essa tarefa no exige que voc tenha credenciais administrativas. Portanto, uma
prtica recomendada de segurana, considere executar essa tarefa como um usurio sem
credenciais administrativas.. No entanto, voc deve ser um membro do grupo
Administradores no computador de destino para abrir o log de segurana ou qualquer log ao
acessar um computador remoto.
Para abrir Visualizar eventos, clique em Iniciar, clique em Painel de controle, clique duas
vezes em Ferramentas administrativas e, em seguida, clique duas vezes em Visualizar
eventos.
Para atualizar a exibio, no menu Ao, clique em Atualizar. Quando voc abre um log, o
recurso Visualizar eventos exibe as informaes atuais referentes a ele. O log no
atualizado enquanto est sendo exibido, a menos que voc atualize a janela Visualizar
eventos. Se voc alternar para outro log e depois retornar ao primeiro, a exibio do primeiro
log ser atualizada automaticamente. Quando o modo de exibio de um log de eventos
atualizado, nenhuma alterao feita no log; ou seja, somente o modo de exibio
atualizado. O comando Atualizar no est disponvel para logs arquivados porque esses
arquivos no podem mais ser atualizados.

59

O cabealho do evento
Informao Significado
Data
A data na qual o evento ocorreu. A data e hora de um evento so armazenadas na
Universal Time Coordinate (UTC), mas elas sempre so exibidas no local do
visualizador.
Hora
A hora na qual o evento ocorreu. A data e hora de um evento so armazenadas na
UTC, mas elas sempre so exibidas no local do visualizador.
Usurio
O nome do usurio em nome do qual o evento ocorreu. Este nome a identificao
de cliente se o evento foi realmente causado por um processo do servidor ou a
identificao primria se a representao no estiver ocorrendo. Quando aplicvel,
uma entrada de log de segurana conter as identificaes primrias e de
representao. A representao ocorre quando o servidor permite que um processo
assuma os atributos de segurana de outro.
Computador
O nome do computador onde o evento ocorreu. , geralmente, o nome de seu prprio
computador, a menos que voc esteja visualizando um log de eventos em outro
computador.
Fonte
O software que registrou o evento, que pode ser um nome de programa como o "SQL
Server," ou um componente do sistema (um nome de driver, por exemplo) ou de um
programa grande. Por exemplo, o "Elnkii" indica um driver EtherLink II. A fonte
sempre permanece em seu idioma original.
Evento
Um nmero que identifica o tipo de evento especfico dessa fonte. A primeira linha
da descrio normalmente contm o nome do tipo de evento. Por exemplo, 6005 a
identificao do evento que ocorre quando o servio Log de eventos iniciado. A
primeira linha da descrio de um evento O servio Log de eventos foi iniciado.
Usando os valores de Fonte e Evento juntos, os representantes de suporte ao produto
podem solucionar problemas do sistema.
Tipo
Uma classificao da gravidade do evento: Erro, Informaes ou Aviso nos logs do
sistema ou do aplicativo, Auditoria com xito ou Auditoria sem xito no log de
segurana. No modo de exibio de lista normal de Visualizar eventos, esses itens
so representados por um smbolo.
Categoria
Uma classificao do evento definida pela fonte do evento. Essa informao usada
principalmente no log de segurana. Por exemplo, para auditorias de segurana, isso
corresponde a um dos tipos de evento para o qual a auditoria bem-sucedida ou
malsucedida pode ser habilitada na diretiva de grupo por um membro do grupo
Administradores.
60

Noes bsicas sobre opes de log de eventos
Com Visualizar eventos, possvel definir parmetros de log para cada tipo de log de eventos. Para
definir parmetros, clique com o boto direito do mouse na rvore de console e, em seguida, clique
em Propriedades. Na guia Geral, defina o tamanho mximo do log e especifique se os eventos
sero substitudos ou armazenados durante um determinado perodo.
A diretiva de log padro a seguinte: se um log estiver cheio, os eventos mais antigos sero
excludos para liberar espao para os novos, contanto que os eventos tenham, no mnimo, sete dias
de idade. possvel personalizar essa diretiva, ou as opes de quebra do log de eventos, para
diferentes logs. Entre as opes de quebra de log de eventos esto:

Use Para
Substituir
eventos quando
necessrio
Faz com que novos eventos continuem a ser gravados quando o log estiver
cheio. Cada novo evento substitui o evento mais antigo no log. Essa opo
uma boa escolha para sistemas de baixa manuteno.
Substituir
eventos com mais
de [x] dias
Mantm o log durante o nmero de dias que voc especificar antes de
substituir os eventos. O padro sete dias. Essa a melhor opo se voc
quiser arquivar os logs semanalmente. Essa estratgia minimiza a chance de
perder entradas de log importantes e ao mesmo tempo mantm os tamanhos
dos logs razoveis.
No substituir Limpa ou arquiva o log manualmente, em vez de faz-lo automaticamente.
61

eventos Selecione essa opo somente se voc no puder perder um evento (por
exemplo, para o log de segurana de um site onde a segurana
extremamente importante).
Voc tambm pode usar a diretiva de grupo para definir tamanhos mximos de log e opes de
quebra de log, bem como definir permisses nos logs de eventos. Para obter mais informaes,
consulte Configuraes de logs de eventos.
O registro do aplicativo e do sistema comeam automaticamente quando voc inicia o computador.
Para obter mais informaes sobre como configurar logs de segurana, consulte Executando
auditoria de eventos de segurana.

Formatos de arquivo de logs arquivados
Ao arquivar um log de eventos, voc o salva em um dos trs formatos de arquivo a seguir:
Formato do arquivo de log (.evt), que permite visualizar novamente o log arquivado em
Visualizar eventos.
Formato do arquivo de texto (.txt), que permite usar as informaes em um programa como
um processador de textos. No use Visualizar eventos para abrir um arquivo de log salvo no
formato .txt.
Formato do arquivo de texto delimitado por vrgulas (.csv), que permite usar as informaes
em um programa como um planilha ou um banco de dados de arquivo simples. No use
Visualizar eventos para abrir um arquivo de log salvo no formato .csv.
A descrio do evento salva em todos os logs arquivados. Os dados contidos em cada registro de
evento individual so gravados na seguinte ordem:
1.Data
2.Hora
3.Fonte
4.Tipo
5.Categoria
6.Evento
7.Usurio
8.Computador
9.Descrio
AES:
Para arquivar um log de eventos
1. Abra a ferramentaVisualizar eventos.
2. Na rvore de console, clique com o boto direito do mouse no log a ser arquivado e, em
seguida, clique em Salvar arquivo de log como.
3. Em Nome do arquivo, digite um nome para o arquivo de log arquivado.
62

4. Em Salvar como tipo, selecione um formato de arquivo e, em seguida, clique em Salvar.

Para limpar um log de eventos
1. Abra Visualizar eventos.
2. Na rvore de console, clique no log que deseja limpar.
3. No menu Ao, clique em Limpar todos os eventos.
4. Para salvar o log antes de limp-lo, clique em Sim.
Observaes
Para executar esses procedimentos, voc deve ser membro do grupo Administradores ou
Operadores de cpia, ou algum deve ter delegado a voc a autoridade apropriada no
computador de destino. Se o computador tiver ingressado em um domnio, os membros do
grupo Admins. do domnio podero executar esse procedimento. Como prtica recomendada
de segurana, aconselhvel usar Executar como.
Para abrir Visualizar eventos, clique em Iniciar, aponte para Configuraes e clique em
Painel de controle. Clique duas vezes em Ferramentas administrativas e, em seguida,
clique duas vezes em Visualizar eventos.
Se voc arquivar um log no formato de arquivo de log (.evt), poder reabri-lo utilizando o
recurso Visualizar eventos. Se voc arquivar um log em formato de texto (.txt) ou
delimitado por vrgulas (.csv), ser possvel reabri-lo em outros programas, como em
programas de planilha ou de processamento de texto, mas no em Visualizar eventos.
Voc s pode salvar logs de evento em formato de arquivo de log no computador em que os
eventos ocorrem; por exemplo, ao usar Visualizar eventos para exibir logs de eventos em
um computador remoto.
Para salvar um log de eventos local em formato de arquivo de log em outro computador, em
Nome do arquivo, digite \\nome_computador_remoto\compartilhamento e, em seguida,
digite o caminho e nome do arquivo morto.
Quando voc arquivar um arquivo de log, o log inteiro ser salvo, independentemente das
opes de filtragem. A ordem de classificao no mantida quando os logs so salvos. No
entanto, voc pode filtrar e classificar o log arquivado novamente ao abri-lo em Visualizar
eventos.
O arquivamento no tem nenhum efeito no contedo atual do log ativo.
Para remover um arquivo de log arquivado do sistema, exclua o arquivo no Windows
Explorer.

Usurios e grupos locais
Use Usurios e grupos locais para criar e gerenciar usurios e grupos que so armazenados
localmente no computador.
Viso geral sobre usurios e grupos locais
O recurso Usurios e grupos locais est localizado no Gerenciamento do computador e consiste em
uma coleo de ferramentas administrativas que voc pode usar para gerenciar um nico
63

computador local ou remoto. Voc pode us-lo para proteger e gerenciar contas de usurio e grupos
armazenados localmente no computador. Uma conta de usurio ou grupo local pode ter permisses e
direitos em um determinado computador e somente nesse computador. Usurios e grupos locais
est disponvel nos seguintes sistemas operacionais cliente e servidor:
Computadores cliente que executam o Microsoft Windows 2000 Professional ou o
Windows XP Professional
Servidores membro que executam um produto na famlia de servidores Microsoft
Windows 2000 ou na famlia Windows Server 2003
Servidores autnomos que executam um produto na famlia de servidores Microsoft
Windows 2000 ou na famlia Windows Server 2003
Com Usurios e grupos locais voc pode limitar a capacidade de os usurios e grupos executarem
determinadas aes atribuindo-lhes direitos e permisses. Um direito autoriza um usurio a executar
determinadas aes em um computador, como fazer backup de arquivos e pastas ou desligar um
computador. Uma permisso uma regra associada a um objeto (geralmente um arquivo, pasta ou
impressora) que regula quais usurios podem ter acesso ao objeto e de que maneira.
Voc no pode usar Usurios e grupos locais para exibir contas de usurio e de grupo locais depois
que um servidor membro tiver sido promovido para um controlador de domnio. No entanto, voc
pode usar esse recurso em um controlador de domnio para computadores remoto de destino (que
no so controladores de domnio) na rede. Use Usurios e computadores do Active Directory para
gerenciar usurios e grupos no Active Directory.
Contas de usurio locais
A pasta Usurios, localizada em Usurios e grupos locais do Console de gerenciamento
Microsoft (MMC), exibe as contas de usurio padro e as contas de usurio que voc criar. Essas
contas de usurio padro so criadas automaticamente quando voc instala um servidor autnomo ou
um servidor membro que executa o Windows Server 2003. A tabela a seguir descreve cada conta de
usurio padro em servidores que executam o Windows Server 2003.
Conta de usurio
padro
Descrio
Conta
Administrador
A conta Administrador tem controle total do servidor e pode atribuir direitos
do usurio e permisses de controle de acesso a usurios conforme
necessrio. Essa conta deve ser usada somente em tarefas que requerem
credenciais administrativas. altamente recomendvel que voc a configure
para usar uma senha de alta segurana.
A conta Administrador membro do grupo Administradores no servidor.
Essa conta nunca pode ser excluda ou removida do grupo Administradores,
mas ela pode ser renomeada ou desativada. Como a conta Administrador
conhecida por existir em vrias verses do Windows, os usurios maliciosos
tero mais dificuldades para acess-la se voc renome-la ou desativ-la. Para
obter mais informaes sobre como renomear ou desativar uma conta de
usurio, consulte Para renomear uma conta de usurio local e Para desativar
64

ou ativar uma conta de usurio local.
Administrador a conta que voc usa quando configura pela primeira vez o
servidor. Voc usa essa conta antes de criar uma conta para voc mesmo.
Importante
Mesmo quando a conta Administrador for desativada, ela ainda
poder ser usada para obter acesso ao computador se voc usar o
Modo seguro.
Conta Convidado
A conta Convidado usada por pessoas que no tm uma conta real no
computador. Um usurio cuja conta est desativada, mas no excluda,
tambm pode usar a conta Convidado. No necessrio ter senha para essa
conta. Ela est desativada por padro, mas voc pode ativ-la.
Voc pode definir direitos e permisses para a conta Convidado exatamente
como para qualquer conta de usurio. Por padro, essa conta membro do
grupo Convidados, o que permite um usurio fazer logon em um servidor.
Os direitos adicionais, e qualquer permisso, devem ser concedidos ao grupo
Convidados por um membro do grupo Administradores. A conta
Convidado desativada por padro e recomenda-se que ela permanea
assim.
A conta
HelpAssistant
(instalada com uma
sesso da
Assistncia
remota)
A conta primria usada para estabelecer uma sesso da Assistncia remota.
Esta conta criada automaticamente quando voc solicita uma sesso da
assistncia remota e tem acesso limitado ao computador. A conta
HelpAssistant gerenciada pelo servio Gerenciador de sesso de ajuda
de rea de trabalho remota e ser excluda automaticamente se nenhuma
solicitao da assistncia remota estiver pendente.

Grupos locais padro
A pasta Grupos, localizada em Usurios e grupos locais do Console de gerenciamento Microsoft
(MMC), exibe os grupos locais padro e os grupos locais que voc criar. Os grupos locais padro
so criados automaticamente quando voc instala um servidor autnomo ou um servidor membro
que executa o Windows Server 2003. Ao pertencer a um grupo local, o usurio passa a ter os direitos
e capacidades para executar vrias tarefas no computador local. Para obter mais informaes sobre
grupos baseados em domnio, consulte Grupos padro.
Voc pode adicionar contas de usurio locais, contas de usurio de domnio, contas de computador e
contas de grupo a grupos locais. No entanto, voc no pode adicionar contas de usurio locais e
contas de grupo locais a contas de grupo de domnio. Para obter mais informaes sobre como
adicionar membros a grupos locais, consulte Para adicionar um membro a um grupo local.
65

Observao
Para saber de qual grupo voc precisa ser membro para executar um determinado
procedimento, vrios tpicos de procedimentos em Como no Centro de ajuda e suporte
fornecem observaes que identificam essas informaes.
A tabela a seguir fornece descries dos grupos padro localizados na pasta Grupos e lista os direitos
de usurio atribudos a cada grupo. Esses direitos so atribudos na diretiva de segurana local. Para
obter descries completas dos direitos de usurio listados na tabela, consulte Atribuio de direitos
de usurio. Para obter informaes sobre como editar esses direitos, consulte Para atribuir direitos de
usurio ao computador local.
Grupo Descrio Direitos de usurio padro
Administradores
Os membros desse grupo tm
controle total do servidor e podem
atribuir direitos do usurio e
permisses de controle de acesso para
os usurios conforme necessrio. A
conta Administrador tambm um
membro padro. Quando esse
servidor includo em um domnio, o
grupo Admins. do domnio
adicionado automaticamente a esse
grupo. Como o grupo tem controle
total do servidor, adicione usurios
com cuidado.
Acesso a este computador pela rede;
Ajustar quotas de memria para um
processo; Permitir logon local; Permitir
logon pelos servios de terminal; Fazer
backup de arquivos e pastas; Ignorar a
verificao completa; Alterar horrio
do sistema; Criar um arquivo de
permuta; Depurar programas; Forar o
desligamento a partir de um sistema
remoto; Aumentar a prioridade de
planejamento; Carregar e descarregar
drivers de dispositivos; Gerenciar
auditoria e log de segurana; Alterar
valores de ambiente de firmware;
Executar tarefas de manuteno de
volume; Traar perfil de um nico
processo; Traar um perfil do
desempenho do sistema; Remover o
computador da estao de encaixe;
Restaurar arquivos e diretrios;
Desligar o sistema; Apropriar-se de
arquivos ou de outros objetos.
Operadores de
cpia
Os membros desse grupo podem
fazer backup e restaurar arquivos no
servidor, independentemente das
permisses que protegem esses
arquivos. Isso ocorre porque o direito
de executar um backup tem
precedncia sobre todas as
permisses de arquivo. Eles no
podem alterar configuraes de
segurana.
Acesso a este computador pela rede;
Permitir logon local; Fazer backup de
arquivos e pastas; Ignorar a verificao
completa; Restaurar arquivos e
diretrios; Desligar o sistema.
Administradores Os membros desse grupo tm acesso Nenhum direito de usurio padro.
66

DHCP (instalado
com o servio do
servidor DHCP)
administrativo ao servio do servidor
protocolo de configurao dinmica
de hosts (DHCP). Esse grupo fornece
uma forma de atribuir acesso
administrativo limitado somente ao
servidor DHCP ao mesmo tempo que
no fornece acesso total ao servidor.
Os membros desse grupo podem
administrar o DHCP em um servidor
que usa o console DHCP ou o
comando Netsh, mas no so capazes
de executar outras aes
administrativas no servidor.
Usurios DHCP
(instalado com o
servio do servidor
DHCP)
Os membros desse grupo tm acesso
somente leitura ao servio do servidor
DHCP. Dessa forma, os membros
podem exibir informaes e
propriedades armazenadas em um
servidor DHCP especificado. Essas
informaes so teis para oferecer
suporte equipe quando ela precisar
obter relatrios de status do DHCP.
Nenhum direito de usurio padro.
Convidados
Os membros desse grupo tero um
perfil temporrio criado durante o
logon, e quando o membro fizer
logoff, o perfil ser excludo. A conta
Convidado (que desativada por
padro) tambm faz parte desse
grupo por padro.
Nenhum direito de usurio padro.
Grupo de servios
de ajuda
Esse grupo permite que os
administradores definam permisses
comuns para todos os aplicativos para
os quais h suporte. Por padro, o
nico membro do grupo a conta
associada aos aplicativos de suporte
da Microsoft, como a Assistncia
remota. No adicione usurios a esse
grupo.
Nenhum direito de usurio padro.
Operadores de
configurao de
rede
Os membros desse grupo podem
fazer alteraes nas configuraes do
TCP/IP, atualizar e liberar endereos
TCP/IP. Esse grupo no tem
membros padro.
Nenhum direito de usurio padro.
Usurios de Os usurios desse grupo podem Nenhum direito de usurio padro.
67

monitor de
desempenho
monitorar os contadores de
desempenho no servidor localmente e
de clientes remotos sem serem
membros dos grupos
Administradores ou Usurios de log
de desempenho.
Usurios de log de
desempenho
Os membros desse grupo podem
gerenciar os contadores de
desempenho, os logs e os alertas no
servidor localmente e de clientes
remotos sem serem membros do
grupo Administradores.
Nenhum direito de usurio padro.
Usurios
avanados
Os membros desse grupo podem criar
contas de usurio; no entanto, eles s
podem modificar e excluir as contas
que criaram. Esses membros podem
criar grupos locais e adicionar ou
remover usurios dos grupos locais
que criaram. Eles tambm podem
adicionar ou remover os usurios dos
grupos Usurios avanados,
Usurios e Convidados. Os
membros podem criar recursos
compartilhados e administrar os
recursos compartilhados que criaram.
Eles no podem apropriar-se de
arquivos, fazer backup ou restaurar
diretrios, carregar ou descarregar
dispositivos ou gerenciar os logs de
segurana e de auditoria.
Acesso a este computador pela rede;
Permitir logon local; Ignorar a
verificao completa; Alterar horrio
do sistema; Traar perfil de um nico
processo; Remover computador da
estao de encaixe; Desligar o sistema.
Operadores de
impresso
Os membros desse grupo podem
gerenciar impressoras e filas de
impresso.
Nenhum direito de usurio padro.
Usurios da rea
de trabalho
remota
Os membros desse grupo podem
fazer logon remotamente em um
servidor.
Para obter mais informaes, consulte
Ativando usurios para que se
conectem remotamente ao servidor.
Permitir logon pelos servios de
terminal.
Duplicadores
O grupo Duplicadores fornece
suporte a funes de replicao. O
nico membro do grupo
Nenhum direito de usurio padro.
68

Duplicadores deve ser uma conta de
usurio de domnio usada para fazer
logon nos servios Duplicadores do
controlador do domnio. No
adicione as contas de usurio dos
usurios reais a esse grupo.
Usurios do
servidor de
terminal
Este grupo contm o usurio que est
conectado ao computador no
momento usando o Terminal Server.
Qualquer programa que um usurio
possa executar no Windows NT 4.0
poder ser executado para um
membro do grupo Usurio do
servidor de terminal. As permisses
padro atribudas ao grupo permitem
que os seus membros executem a
maioria dos programas mais recentes.
Nenhum direito de usurio padro.
Usurios
Os membros desse grupo podem
realizar as tarefas comuns, como
executar aplicativos, usar impressoras
locais e de rede e bloquear o servidor.
Eles no podem compartilhar
diretrios ou criar impressoras locais.
Por padro, os grupos Usurios do
domnio, Usurios autenticados e
Interativo so membros desse grupo.
Por isso, qualquer conta de usurio
criada no domnio se torna membro
desse grupo.
Acesso a este computador pela rede;
Permitir logon local; Ignorar a
verificao completa.
Usurios WINS
(instalado com o
servio WINS)
Os membros desse grupo tm acesso
somente leitura ao servios WINS.
Dessa forma, os membros podem
exibir informaes e propriedades
armazenadas em um servidor WINS
especificado. Essas informaes so
teis para oferecer suporte equipe
quando ela precisar obter relatrios
de status do WINS.
Nenhum direito de usurio padro.

Criando contas de usurio e de grupo
As contas de usurio so usadas para autenticar, autorizar ou negar o acesso a recursos e para fazer
auditoria da atividade de usurios individuais na rede. Uma conta de grupo uma coleo de contas
de usurio que voc pode usar para atribuir um conjunto de permisses e direitos a vrios usurios
69

simultaneamente. Um grupo tambm pode conter contatos, computadores e outros grupos. Voc
pode criar contas de usurio e de grupo no Active Directory para gerenciar usurios de domnio.
Tambm possvel criar contas de usurio e de grupo em um computador local para gerenciar
usurios especficos a esse computador.
Algumas das tarefas mais comuns so criao de contas de usurio no Active Directory, criao de
contas de grupo no Active Directory, criao de contas de usurio em um computador local e criao
de grupos em um computador local. Voc tambm pode usar a linha de comando para criar contas de
usurio e de grupo no Active Directory ou em um computador local. Para obter mais informaes
sobre outras tarefas de gerenciamento de grupos e contas de usurio do Active Directory, consulte
Gerenciar usurios, grupos e computadores. Para obter informaes sobre outras tarefas de
gerenciamento de grupos e contas de usurio em um computador local, consulte Como.
Criar uma conta de usurio no Active Directory
1. Abra Usurios e computadores do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse na pasta qual voc deseja
adicionar uma conta de usurio.
Onde?
Usurios e computadores do Active Directory
n do domnio
pasta
3. Aponte para Novo e clique em Usurio.
4. Em Nome, digite o nome do usurio.
5. Em Iniciais, digite as iniciais do usurio.
6. Em Sobrenome, digite o sobrenome do usurio.
7. Modifique a opo Nome completo para adicionar iniciais ou inverter a ordem do nome e
sobrenome.
8. Em Nome de logon do usurio, digite o nome de logon do usurio, clique no sufixo UPN na
lista suspensa e, em seguida, clique em Avanar.
Se o usurio utilizar um nome diferente para fazer logon em computadores que executem o
Windows 95, Windows 98 ou Windows NT, altere o nome de logon do usurio que aparece
em Nome de logon do usurio (anterior ao Windows 2000) por esse outro nome.
9. Em Senha e Confirmar senha, digite a senha do usurio e selecione as opes de senha
apropriadas.
70


Observaes
Para executar este procedimento, voc deve ser um membro do grupo Operadores de contas,
Admins. do domnio ou do grupo Administrao corporativa no Active Directory ou ter
recebido a delegao adequada. Como uma prtica recomendada de segurana, considere o
uso de Executar como para executar este procedimento.
Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para
Configuraes, clique em Painel de controle, clique duas vezes em Ferramentas
administrativas e, em seguida, clique duas vezes em Usurios e computadores do Active
Directory.
Para adicionar um usurio, voc tambm pode clicar em na barra de ferramentas.
Para adicionar um usurio, voc tambm pode copiar qualquer conta de usurio criada
anteriormente.
Uma nova conta de usurio com o mesmo nome que a conta de usurio anteriormente
excluda no assume automaticamente as permisses e os membros de grupo da conta
excluda anteriormente, pois a identificao de segurana (SID) de cada conta exclusiva.
Para duplicar uma conta de usurio excluda, todos os membros e permisses devem ser
recriados manualmente.
Quando uma conta de usurio criada com o assistente de novo usurio no painel de
detalhes, voc pode editar rapidamente as propriedades de usurio fechando o assistente,
clicando na nova conta e pressionando ENTER. Para abrir o assistente de novo usurio no
painel de detalhes, clique com o boto direito do mouse no painel de detalhes, clique em
Novo e, em seguida, clique em Usurio.
71

Para fins de interoperabilidade com outros servios de diretrio, voc pode criar um objeto
de usurio InetOrgPerson. Para criar um novo inetOrgPerson, na etapa trs, clique em
InetOrgPerson em vez de clicar em Usurio.
Ao criar um novo usurio, o atributo nome completo criado no formato Nome Sobrenome
por padro. O atributo nome completo tambm governa o formato de nome para exibio
mostrado na lista de endereos global. Voc pode alterar o formato de nome para exibio
usando ADSI Edit. Se voc fizer isso, o formato de nome completo tambm ser alterado.
Para obter mais informaes, consulte o artigo Q250455, "How to Change Display Names of
Active Directory Users" no Microsoft Knowledge Base.
Criar uma conta de grupo no Active Directory
1. Abra Usurios e computadores do Active Directory.
2. Na rvore de console, clique com o boto direito do mouse na pasta qual voc deseja
adicionar um novo grupo.
Onde?
Usurios e computadores do Active Directory
n do domnio
pasta
3. Aponte para Novo e clique em Grupo.
4. Digite o nome do novo grupo.
Por padro, o nome que voc digita tambm fornecido como o nome anterior ao Windows
2000 do novo grupo.
5. Em Escopo do grupo, clique em uma das opes.
6. Em Tipo de grupo, clique em uma das opes.
Observaes
Para executar este procedimento, voc deve ser um membro do grupo Operadores de contas,
Admins. do domnio ou do grupo Administrao corporativa no Active Directory ou ter
recebido a delegao adequada. Como uma prtica recomendada de segurana, considere o
uso de Executar como para executar este procedimento.
Para abrir Usurios e computadores do Active Directory, clique em Iniciar, aponte para
Configuraes, clique em Painel de controle, clique duas vezes em Ferramentas
administrativas e, em seguida, clique duas vezes em Usurios e computadores do Active
Directory.
Para adicionar um grupo, voc tambm pode clicar na pasta qual deseja adicionar o grupo
e, em seguida, clicar em na barra de ferramentas.
Se o domnio no qual voc est criando o grupo estiver definido como nvel funcional de
domnio do Windows 2000 misto, s ser possvel selecionar grupos de segurana com os
escopos Domnio local ou Global. Para obter mais informaes, consulte Escopo do grupo.
Quando uma conta de usurio criada com o assistente de novo usurio no painel de
detalhes, voc pode editar rapidamente as propriedades da conta de grupo fechando o
assistente, clicando na nova conta e pressionando ENTER. Para abrir o assistente de novo
grupo no painel de detalhes, clique com o boto direito do mouse no painel de detalhes,
clique em Novo e, em seguida, clique em Grupo.
72

Para criar uma conta de usurio em um computador local
1. Abra o Gerenciamento do computador.
2. Na rvore de console, clique em Usurios.
Onde?
Gerenciamento do computador
Ferramentas do sistema
Usurios e grupos locais
Usurios
3. No menu Ao, clique em Novo usurio.
4. Digite as informaes apropriadas na caixa de dilogo.
5. Marque ou desmarque as caixas de seleo de:
O usurio dever alterar a senha no prximo logon
O usurio no pode alterar a senha
A senha nunca expira
Conta desativada
6. Clique em Criar e, em seguida, clique em Fechar.


73

Observaes
Para executar este procedimento, voc deve ser um membro do grupo Administradores no
computador local ou deve ter recebido a delegao adequada. Se o computador estiver
associado a um domnio, os membros do grupo Admins. do domnio podero executar este
procedimento. Como uma prtica recomendada de segurana, considere usar Executar como
para executar este procedimento.
Para abrir o Gerenciamento do computador, clique em Iniciar, aponte para Configuraes,
clique em Painel de controle, clique duas vezes em Ferramentas administrativas e em
Gerenciamento do computador.
Um nome de usurio no pode ser idntico a outro nome de usurio ou de grupo no
computador que est sendo administrado. Ele pode conter at 20 caracteres maisculos ou
minsculos, exceto os seguintes:
" / \ [ ] : ; | = , + * ? < >
Um nome de usurio no pode ser formado apenas por pontos (.) ou espaos.
Em Senha e Confirmar senha, voc pode digitar uma senha com, no mximo, 127
caracteres. Entretanto, se a rede for composta de computadores que executem o Windows 95
ou Windows 98, recomenda-se usar senhas com, no mximo, 14 caracteres. Se sua senha for
maior, talvez voc no consiga fazer logon na rede nesses computadores.
Voc no deve adicionar um novo usurio local ao grupo local Administradores, a menos
que o usurio realize apenas tarefas administrativas. Para obter mais informaes, consulte
Por que voc no deve executar o computador como um administrador.
Para criar um grupo em um computador local
1. Abra o Gerenciamento do computador.
2. Na rvore de console, clique em Grupos.
Onde?
Gerenciamento do computador
Ferramentas do sistema
Usurios e grupos locais
Grupos
3. No menu Ao, clique em Novo grupo.
4. Em Nome do grupo, digite um nome para o novo grupo.
5. Em Descrio, digite uma descrio para o novo grupo.
6. Para adicionar um ou mais usurios a um novo grupo, clique em Adicionar.
7. Na caixa de dilogo Selecione Usurios, Computadores ou Grupos, faa o seguinte:
Para adicionar uma conta de usurio ou grupo a esse grupo, em Digite os nomes de
objeto a serem selecionados, digite o nome da conta de usurio ou grupo que voc
deseja adicionar ao grupo e clique em OK.
Para adicionar uma conta de computador a esse grupo, clique em Tipos de objeto,
marque a caixa de seleo Computadores e clique em OK. Em Digite os nomes de
objeto a serem selecionados, digite o nome da conta de computador que voc deseja
adicionar e, em seguida, clique em OK.
8. Na caixa de dilogo Novo grupo, clique em Criar e, em seguida, clique em Fechar.
74


Contas de usurio e de computador
As contas de usurio e as contas de computador do Active Directory representam uma entidade
fsica, como um computador ou uma pessoa. As contas de usurio tambm podem ser usadas como
contas de servio dedicadas para alguns aplicativos.
As contas de usurio e de computador (bem como os grupos) tambm so chamadas de objetos de
segurana. Os objetos de segurana so objetos de diretrio aos quais os identificadores de
segurana (SID) so atribudos automaticamente, e que podem ser usados para acessar recursos de
domnio. Uma conta de usurio ou de computador usada para:
Autenticar a identidade de um usurio ou computador.
Uma conta de usurio permite que o usurio faa logon em computadores e domnios com
uma identidade que possa ser autenticada pelo domnio. Para obter mais informaes sobre
autenticao, consulte Controle de acesso no Active Directory. Cada usurio que faz logon
na rede deve ter sua prpria conta de usurio e senha exclusivas. Para maximizar a
segurana, evite que vrios usurios compartilhem uma conta.
Autorizar ou negar acesso a recursos de domnio.
Depois que o usurio foi autenticado, seu acesso a recursos do domnio negado ou
autorizado com base nas permisses explcitas atribudas ao usurio no recurso.
Administrar outros objetos de segurana.
O Active Directory cria um objeto de segurana externo no domnio local para representar
cada objeto de segurana de um domnio externo confivel..
Auditar aes executadas usando a conta de usurio ou de computador.
A auditoria pode ajudar a monitorar a segurana de contas. Para obter mais informaes
sobre auditoria, consulte Viso geral sobre auditoria.
Contas de usurios
O recipiente Usurios, localizado em Usurios e Computadores do Active Directory, exibe trs
contas de usurio internas: Administrador, Convidado e HelpAssistant. As contas de usurio
internas so criadas automaticamente quando voc cria o domnio.
Cada conta interna tem uma combinao diferente de direitos e permisses. A conta Administrador
tem os direitos e permisses mais abrangentes sobre o domnio, enquanto a conta Convidado tem
direitos e permisses limitados. A tabela a seguir descreve cada conta de usurio padro em
controladores de domnio que executam o Windows Server 2003.

Conta de usurio
padro
Descrio
Conta Administrador
A conta de Administrador tem controle total do domnio e pode atribuir
direitos do usurio e permisses de controle de acesso a usurios, conforme
necessrio. Essa conta deve ser usada somente para tarefas que requerem
75

credenciais administrativas. altamente recomendvel que voc a
configure para usar uma senha de alto nvel.
A conta Administrador um membro padro dos grupos Administradores,
Admins. do Domnio, Administrao de Empresa, Proprietrios Criadores
de Diretiva de Grupo e Administradores de Esquemas no Active Directory.
Essa conta nunca pode ser excluda ou removida do grupo
Administradores, mas pode ser renomeada ou desabilitada. Como se sabe
que a conta Administrador existe em vrias verses do Windows, os
usurios maliciosos tero mais dificuldades para acess-la se voc
renome-la ou desativ-la.
A conta Administrador a primeira conta criada quando um novo
domnio configurado usando o Assistente para instalao do Active
Directory.
Importante Mesmo quando a conta Administrador est
desabilitada, ela ainda poder ser usada para obter acesso a um
controlador de domnio se voc usar o Modo de Segurana.
Conta Convidado
A conta Convidado usada por pessoas que no tm uma conta no
domnio. Um usurio cuja conta est desabilitada (mas no excluda)
tambm pode usar a conta Convidado. No necessrio ter senha para
essa conta.
Voc pode definir direitos e permisses para a conta Convidado,
exatamente como para qualquer conta de usurio. Por padro, a conta
Convidado membro do grupo interno Convidados e do grupo global
Convidados domnio, que permite que um usurio faa logon em um
domnio. A conta Convidado desabilitada por padro e recomenda-se
que permanea desabilitada.
Conta HelpAssistant
(instalada com uma
sesso da Assistncia
remota)
A conta primria usada para estabelecer uma sesso da Assistncia
remota. Esta conta criada automaticamente quando voc solicita uma
sesso da Assistncia remota e tem acesso limitado ao computador. A
conta HelpAssistant gerenciada pelo servio Gerenciador de sesses da
'Ajuda' de rea de trabalho remota e ser excluda automaticamente se
nenhuma solicitao da assistncia remota estiver pendente.
Protegendo contas de usurio
Se os direitos e permisses de contas internas no forem modificados ou desabilitados por um
administrador de rede, podero ser usados por qualquer usurio (ou servio) mal-intencionado que
faa logon ilegalmente em um domnio usando a identidade Administrador ou Convidado. Uma boa
prtica de segurana para proteger essas contas renome-las ou desabilit-las. Como mantm o seu
identificador de segurana (SID), a conta de usurio renomeada mantm todas as outras
76

propriedades, como descrio, senha, membros de grupo, perfil do usurio, dados da conta e todas as
permisses e direitos de usurio atribudos.
Para obter a segurana de autenticao e autorizao de usurio, crie uma conta de usurio
individual para cada usurio que participar da rede usando Usurios e computadores do Active
Directory. Cada conta de usurio (inclusive as contas Administrador e Convidado) pode ser
adicionada a um grupo para controlar os direitos e permisses atribudos conta. O uso de contas e
grupos apropriados sua rede garante que os usurios que fizerem logon em uma rede possam ser
identificados e possam acessar somente os recursos permitidos.
Voc pode ajudar a proteger seu domnio contra atacantes, requerendo senhas de alto nvel e
implementando uma poltica de bloqueio de conta. As senhas de alto nvel reduzem o risco de
adivinhaes inteligentes e ataques com dicionrio.
Uma poltica de bloqueio de conta reduz a possibilidade de um ataque que comprometa o domnio
por meio de tentativas de logon repetidas. Isso ocorre porque uma poltica de bloqueio de conta
determina quantas tentativas de logon com falha podem ocorrer em uma conta de usurio antes que
ela seja desabilitada.
Opes de conta
Cada conta de usurio do Active Directory tem uma srie de opes relacionadas segurana que
determinam como algum que faa logon com uma determinada conta de usurio ser autenticado na
rede. Voc pode usar as opes a seguir para configurar senhas e informaes especficas de
segurana para contas de usurio:

Opo de conta Descrio
O usurio deve
alterar a senha no
prximo logon
Fora um usurio a alterar a senha na prxima vez que fizer logon na rede. Use
esta opo quando deseja garantir que o usurio ser a nica pessoa a conhecer
a senha.
O usurio no pode
alterar a senha
Impede que os usurios alterem suas senhas. Use esta opo quando desejar
manter o controle sobre uma conta de usurio, como uma conta de convidado
ou temporria.
A senha nunca
expira
Impede que uma senha do usurio expire. recomendvel que as contas de
Servio tenham esta opo habilitada e usem senhas de alto nvel.
Armazenar senhas
usando criptografia
reversvel
Permite que um usurio faa logon em uma rede Windows usando
computadores Apple. Se o usurio no estiver fazendo logon de um
computador Apple, no utilize esta opo.
Conta desabilitada
Impede que um usurio faa logon com a conta selecionada. Muitos
administradores usam contas desabilitadas como modelos para contas de
usurio comuns.
77

O carto inteligente
necessrio para o
logon interativo
Requer que um usurio possua um carto inteligente para fazer logon na rede
interativamente. O usurio tambm deve ter um leitor de carto inteligente
conectado ao computador e um nmero de identificao pessoal (PIN) vlido
para o carto inteligente. Quando essa opo for selecionada, a senha para a
conta do usurio ser automaticamente definida com um valor complexo e
aleatrio e a opo da conta A senha nunca expira ser definida. Para obter
mais informaes sobre cartes inteligentes.
A conta confivel
para delegao
Permite que um servio que est sendo executado sob esta conta execute
operaes em nome de outras contas de usurio na rede. Um servio executado
sob uma conta de usurio (tambm conhecido como conta de servio) que
confivel para delegao pode representar um cliente para obter acesso a
recursos no computador onde o servio est sendo executado ou em outros
computadores. Em uma floresta definida com o nvel funcional de
Windows Server 2003, esta configurao localiza-se na guia Delegao e s
est disponvel para contas s quais foram atribudos nomes principais de
servio (SPNs), conforme definidos usando o comando setspn das Ferramentas
de suporte do Windows. um campo relacionado segurana e deve ser
atribudo com cuidado.
Esta opo s est disponvel em controladores de domnio executando
Windows Server 2003 onde a funcionalidade de domnio definida como
Windows 2000 misto ou Windows 2000 nativo. Em controladores de domnio
que executam Windows Server 2003 onde o nvel funcional de domnio
definido como Windows Server 2003, a guia Delegao usada para definir
configuraes de delegao. A guia Delegao somente aparece para contas s
quais foi atribudo um SPN.
A conta sensvel
segurana e no
pode ser delegada
Permite o controle sobre uma conta de usurio, como uma conta de convidado
ou temporria. Esta opo pode ser usada se esta conta no puder ser atribuda
para delegao por outra conta.
Use os tipos de
criptografia DES
para esta conta
Fornece suporte para o padro de criptografia de dados (DES). O DES fornece
suporte a vrios nveis de criptografia, inclusive o MPPE padro (40 bits), o
MPPE padro (56 bits), o MPPE de alta segurana (128 bits), o DES IPSec (40
bits), o DES IPSec de 56 bits e o IPSec Triple DES (3DES).
No exigir pr-
autenticao
Kerberos
Fornece suporte para implementaes alternativas do protocolo Kerberos V5.
Os controladores de domnio que executam o Windows 2000 ou Windows
Server 2003 podem usar outros mecanismos para sincronizar o tempo. Como a
pr-autenticao fornece segurana adicional, tenha cuidado ao habilitar esta
opo.
78

Contas InetOrgPerson
O Active Directory fornece suporte para a classe de objeto InetOrgPerson e seus atributos associados
definidos na RFC 2798. A classe de objeto InetOrgPerson usada em vrios servios de diretrio
LDAP e X.500 no-Microsoft para representar pessoas em uma organizao.
O suporte para InetOrgPerson torna mais eficientes as migraes de outros diretrios LDAP para o
Active Directory. O objeto InetOrgPerson derivado da classe de usurio e pode ser usado como
objeto de segurana, assim como a classe de usurio. Para obter informaes sobre a criao de uma
conta de usurio inetOrgPerson, consulte Crie uma nova conta de usurio.
Quando o nvel de domnio funcional foi definido como Windows Server 2003, voc pode definir o
atributo userPassword em InetOrgPerson e objetos de usurio como sendo a senha efetiva, assim
como ocorre com o atributo unicodePwd.
Contas de computador
Todos os computadores que executam o Windows NT, o Windows 2000, o Windows XP ou um
servidor que executa Windows Server 2003 que se associa a um domnio tm uma conta de
computador. Semelhantes a contas de usurio, as contas de computador fornecem um meio de
autenticar e auditar o acesso do computador rede e aos recursos de domnio. Cada conta de
computador deve ser exclusiva.
Observao Computadores executando Windows 95 e Windows 98 no tm recursos de segurana
avanados e no tm contas de computador atribudas a eles.
As contas de usurio e computador so adicionadas, desabilitadas, redefinidas e excludas usando
Usurios e Computadores do Active Directory. Uma conta de computador tambm pode ser criada
quando voc inclui um computador em um domnio.
Quando o nvel funcional de domnio foi definido como Windows Server 2003, um novo atributo
lastLogonTimestamp usado para rastrear o ltimo horrio de logon de uma conta de usurio ou
computador. Este atributo replicado no domnio e pode fornecer informaes importantes sobre o
histrico de um usurio ou computador.
Controle de acesso no Active Directory
Os administradores podem usar o controle de acesso para gerenciar o acesso do usurio a recursos
compartilhados por questes de segurana. No Active Directory, o controle de acesso administrado
no nvel do objeto por meio da configurao de diversos nveis de acesso, ou permisses, aos
objetos, como Controle Total, Gravao, Leitura ou Sem Acesso. O controle de acesso no Active
Directory define como usurios distintos podem usar seus objetos. Por padro, no Active Directory,
as permisses sobre os objetos so definidas com a configurao mais segura.
Os elementos que definem as permisses de controle de acesso sobre os objetos no Active Directory
incluem descritores de segurana, herana de objetos e autenticao do usurio.
Descritores de segurana
As permisses de controle de acesso so atribudas a objetos compartilhados e objetos do Active
Directory com o objetivo de controlar como usurios diversos podem utilizar cada objeto. Um objeto
79

compartilhado, ou recurso compartilhado, um objeto destinado a ser usado em uma rede por um ou
mais usurios, e inclui arquivos, impressoras, pastas e servios. Os objetos compartilhados e os
objetos do Active Directory armazenam permisses de controle de acesso em descritores de
segurana.
Um descritor de segurana contm duas ACLs (listas de controle de acesso) usadas para atribuir e
controlar informaes de segurana para cada objeto: a DACL (lista de controle de acesso
discricional) e a SACL (lista de controle de acesso do sistema).
Listas de controle de acesso discricional (DACL). As DACLs identificam os usurios e os
grupos cujas permisses de acesso a um objeto foram concedidas ou negadas. Se uma DACL
no identificar explicitamente um usurio ou um grupo do qual o usurio membro, o
usurio ter o acesso ao objeto negado. Por padro, uma DACL controlada pelo
proprietrio de um objeto ou pela pessoa que criou o objeto. Ela contm ACEs (entradas de
controle de acesso) que determinam o acesso do usurio ao objeto.
Listas de controle de acesso ao sistema (SACL). As SACLs identificam os usurios e os
grupos, que voc deseja auditar, cujo acesso a um objeto concedido ou negado. A auditoria
usada para monitorar eventos relacionados segurana do sistema ou da rede, identificar
violaes de segurana e determinar a extenso e o local de algum dano. Por padro, uma
SACL controlada pelo proprietrio de um objeto ou pela pessoa que criou o objeto. Uma
SACL contm entradas de controle de acesso (ACEs) que determinam se ser necessrio
registrar uma tentativa bem ou malsucedida de um usurio em obter acesso a um objeto por
meio de determinada permisso, como, por exemplo, Controle total ou Leitura.
Para exibir as DACLs e SACLs em objetos do Active Directory usando Usurios e Computadores
do Active Directory, no menu Exibir, clique em Recursos Avanados para acessar a guia
Segurana de cada objeto. Voc tambm pode usar a ferramenta de suporte DSACLS para gerenciar
listas de controle de acesso no Active Directory.
Por padro, as DACLs e SACLs so associadas a todos os objetos do Active Directory, o que reduz
ataques rede por usurios mal-intencionados ou erros acidentais cometidos por usurios do
domnio. Entretanto, se um usurio mal-intencionado obtiver o nome de usurio e a senha de alguma
conta com credenciais administrativas para o Active Directory, a floresta ficar vulnervel a ataques.
Por esse motivo, recomendvel renomear ou desabilitar a conta de administrador padro e seguir as
prticas recomendadas o Active Directory.
Herana de objeto
Por padro, os objetos do Active Directory herdam ACEs do descritor de segurana localizado em
seu respectivo objeto de recipiente. A herana habilita informaes de controle de acesso definidas
em um objeto de recipiente no Active Directory a serem aplicadas aos descritores de segurana dos
objetos subordinados, inclusive outros recipientes e seus objetos. Esse procedimento elimina a
necessidade de aplicar permisses toda vez que um objeto filho criado. Se necessrio, voc poder
alterar as permisses herdadas. Entretanto, como prtica recomendada, evite alterar as permisses
padro ou as configuraes de herana dos objetos do Active Directory. Para obter mais
informaes.
80

Autenticao do usurio
O Active Directory tambm autentica e autoriza usurios, grupos e computadores a acessarem
objetos na rede. A LSA (autoridade de segurana local) responsvel pelo subsistema de segurana
de todos os servios de autenticao e autorizao interativos do usurio em um computador local. A
LSA tambm usada para processar solicitaes de autenticao efetuadas atravs do protocolo
Kerberos V5 ou NTLM no Active Directory. Para obter mais informaes sobre a autenticao
Kerberos V5.
Depois que a identidade de um usurio confirmada no Active Directory, a LSA no controlador de
domnio responsvel pela autenticao gera um smbolo de acesso do usurio e associa uma SID
(identificao de usurio) ao usurio.
Smbolo de acesso. Quando um usurio autenticado, a LSA cria um smbolo de acesso de
segurana para ele. Um smbolo de acesso contm o nome do usurio, os grupos aos quais o
usurio pertence, um SID para o usurio e todos os SIDs dos grupos aos quais o usurio
pertence. Se voc adicionar um usurio a um grupo depois que o smbolo de acesso for
emitido, o usurio dever fazer logoff e logon novamente para que o smbolo de acesso seja
atualizado.
Identificao de segurana (SID) O Active Directory atribui SIDs automaticamente a
objetos de segurana no momento em que eles so criados. Os objetos de segurana so
contas do Active Directory que podem receber permisses, como contas de computador, de
grupo ou de usurio. Depois de emitido para o usurio autenticado, o SID ser anexado ao
smbolo de acesso do usurio.
As informaes contidas no smbolo de acesso so usadas para determinar o nvel de acesso aos
objetos sempre que o usurio tentar acess-los. Os SIDs no smbolo de acesso so comparados com
a lista de SIDs que compem a DACL do objeto para garantir que o usurio tenha permisso
suficiente para acessar o objeto. Isso ocorre porque o processo de controle de acesso identifica as
contas de usurio por SID e no por nome.
Importante
Quando um controlador de domnio oferece um smbolo de acesso a um usurio, o smbolo
contm apenas informaes sobre membros dos grupos de domnio local se esses grupos
estiverem localizados no domnio do controlador. Para os objetos de diretrio de domnio
replicados no catlogo global, esse fato requer certas consideraes de segurana. Para obter
mais informaes.

81

Unidades organizacionais
Um tipo particularmente til de objeto de diretrio contido em domnios a unidade organizacional.
As unidades organizacionais so recipientes do Active Directory nos quais voc pode inserir
usurios, grupos, computadores e outras unidades organizacionais. Uma unidade organizacional no
pode conter objetos de outros domnios.
o menor escopo ou unidade qual voc pode atribuir configuraes de Diretiva de Grupo ou
delegar autoridade administrativa. Ao usar unidades organizacionais, voc pode criar recipientes em
um domnio que representam as estruturas hierrquicas e lgicas em sua organizao. Dessa forma,
voc pode gerenciar a configurao e usar contas e recursos com base no seu modelo organizacional.
Para obter mais informaes sobre configuraes de Diretiva de Grupo, consulte Diretiva de Grupo
(pr-GPMC).

Como mostra a figura, as unidades organizacionais podem conter outras unidades organizacionais.
Uma hierarquia de recipientes pode ser estendida conforme for necessrio para modelar a hierarquia
de sua organizao em um domnio. O uso das unidades organizacionais vai ajud-lo a minimizar o
nmero de domnios necessrios para a sua rede.
Voc pode usar as unidades organizacionais para criar um modelo administrativo que possa ser
dimensionado para qualquer tamanho. Um usurio pode ter autoridade administrativa para todas as
unidades organizacionais em um domnio ou para uma nica unidade organizacional. Um
administrador de uma unidade organizacional no precisa ter autoridade administrativa para outras
unidades organizacionais no domnio. Para obter mais informaes sobre como delegar autoridade
administrativa, consulte Delegando a administrao.

Delegando a administrao
Ao delegar a administrao, voc pode atribuir algumas tarefas administrativas aos usurios e grupos
apropriados. possvel atribuir tarefas administrativas bsicas a usurios ou grupos normais, e
deixar a administrao de todo o domnio ou de toda a floresta para membros dos grupos Admins. do
82

Domnio e Administrao de empresa. Ao delegar a administrao, voc pode permitir que grupos
em sua organizao tenham mais controle sobre seus recursos de rede locais. Tambm pode ajudar a
proteger sua rede de danos acidentais ou intencionais, limitando a participao em grupos de
administrador.
Voc pode delegar o controle administrativo de qualquer nvel de uma rvore de domnio criando
unidades organizacionais em um domnio e delegando o controle administrativo de unidades
organizacionais especficas a determinados usurios ou grupos.
Para decidir-se sobre quais unidades organizacionais voc deseja criar e quais devem conter contas
ou recursos compartilhados, leve em considerao a estrutura da sua organizao.
Por exemplo, talvez voc deseje criar uma unidade organizacional que lhe permita atribuir a um
usurio o controle administrativo de todas as contas de usurio e de computador em todas as filiais
de um departamento, como Recursos Humanos. Ou talvez atribuir a um usurio o controle
administrativo somente de alguns recursos em um departamento, como, por exemplo, contas de
computador. Outra delegao possvel de controle administrativo seria atribuir a um usurio o
controle administrativo da unidade organizacional Recursos Humanos, mas no o das unidades
organizacionais nela contidas.
O Active Directory define permisses e direitos de usurio especficos que podem ser usados com o
propsito de delegar ou restringir o controle administrativo. Ao usar uma combinao de unidades
organizacionais, grupos e permisses, voc pode definir o escopo administrativo mais apropriado
para uma determinada pessoa, que poderia ser um domnio inteiro, todas as unidades organizacionais
em um domnio ou uma nica unidade organizacional.
O controle administrativo pode ser atribudo a um usurio ou grupo usando o Assistente para
delegao de controle ou pelo console Gerenciador de autorizao. As duas ferramentas permitem
atribuir direitos ou permisses a usurios ou grupos especficos.
Por exemplo, voc pode conceder a um usurio permisses para modificar a propriedade
Proprietrio de contas, sem lhe conceder o direito de excluir contas dessa unidade organizacional. O
Assistente para delegao de controle, como sugere o nome, permite delegar tarefas administrativas
usando um assistente que o orienta durante todo o processo. O Gerenciador de Autorizao um
Microsoft Management Console (MMC) que tambm permite delegar a administrao. O
Gerenciador de autorizao fornece mais flexibilidade do que o Assistente para delegao de
controle, ao custo de maior complexidade.
Para obter mais informaes sobre como usar o Assistente para Delegao de Controle, consulte
Delegar o controle. Para obter mais informaes sobre como usar o Gerenciador de Autorizao,
consulte Gerenciador de Autorizao.
Delegando a administrao com segurana
Delegue a administrao com cuidado e documente todas as atribuies delegadas. Antes de delegar
tarefas, garanta um treinamento adequado para os usurios que recebero o controle administrativo
de objetos. Para revisar os conceitos de segurana do Active Directory, incluindo permisses e
herana.
Para obter mais informaes sobre como delegar administrao com segurana.
83

Personalizando consoles MMC para grupos especficos
Voc pode usar opes do MMC para criar uma verso de uso limitado de um snap-in como
Usurios e Computadores do Active Directory. Isso permite que os administradores controlem as
opes disponveis aos grupos para os quais voc delegou responsabilidades administrativas,
restringindo o acesso a operaes e a reas nesse console personalizado.
Por exemplo, suponha que voc delegue o direito de gerenciar impressoras para o grupo
PrintManagers na unidade organizacional do fabricante. Para simplificar a administrao, voc pode
criar um console personalizado para ser usado por membros do grupo PrintManagers que contm
somente a unidade organizacional do fabricante e restringe o escopo do console usando os modos do
console.
Este tipo de delegao tambm aperfeioada pelas configuraes de Diretivas de Grupo
disponveis para o MMC. Essas configuraes permitem que o administrador determine quais snap-
ins do MMC podem ser executados por um usurio especfico. As configuraes podem ser
inclusivas, permitindo que um conjunto de snap-ins seja executado, ou podem ser exclusivas,
restringindo o conjunto de snap-ins a ser executado.
Usando Diretivas de Grupo para publicar e atribuir consoles
personalizados
Ao usar Diretivas de Grupo, voc pode distribuir um console personalizado para grupos especficos
usando um dos dois modos: publicao ou atribuio. Publicar um console personalizado faz com
que o console seja anunciado aos membros de um grupo especificado na configurao da Diretiva de
Grupo, adicionando o console lista de programas disponveis em Adicionar ou remover programas.
Da prxima vez em que os membros do grupo abrirem Adicionar ou remover programas, eles tero a
opo de instalar o novo console. Atribuir (em oposio a publicar) um console fora o console a ser
instalado automaticamente em todas as contas especificadas.
Para publicar ou atribuir um console, crie ou modifique um objeto de Diretiva de Grupo e aplique-o
ao grupo de usurios apropriado. Em seguida, use a extenso Instalao de software do snap-in
Diretiva de Grupo para publicar ou atribuir o console.
Importante
O console deve ser inserido no pacote antes que o snap-in Instalao de software seja usado.
Voc pode usar uma ferramenta como o Windows Installer para incluir o console
personalizado no pacote. Depois de executar esse procedimento, voc pode configurar o
snap-in Instalao de software para publicar ou atribuir o pacote criado recentemente. Para
obter mais informaes sobre como inserir um aplicativo em pacote.
Se o console personalizado que voc est incluindo no pacote usa um snap-in que no est
instalado na estao de trabalho de destino ou no servidor para o usurio publicado ou
atribudo, ser necessrio incluir o arquivo de snap-in e o registro do arquivo no pacote.
Voc pode criar um pacote separado que contm o snap-in ou adicionar o snap-in durante a
criao do pacote do console personalizado de forma que ele ser instalado corretamente no
computador sempre que um usurio instalar o pacote do console.
Observao
Se um usurio tiver feito logon no seu computador no momento em que um
objeto de Diretiva de Grupo aplicado sua conta, o usurio no ver o
console publicado ou atribudo at que faa logoff e, em seguida, logon.
84

Viso geral sobre diretiva de grupo
As configuraes de diretiva de grupo definem os vrios componentes do ambiente de rea de
trabalho do usurio que o administrador do sistema precisa gerenciar, por exemplo, os programas
que esto disponveis para usurios, os programas que aparecem na rea de trabalho do usurio e as
opes do menu Iniciar. Para criar uma configurao de rea de trabalho especfica referente a um
grupo especfico de usurios, use o Editor de objeto de diretiva de grupo. As configuraes de
diretiva de grupo especificadas esto contidas em um objeto de diretiva de grupo, que, por sua vez,
est associado aos objetos selecionados do Active Directory sites, domnios ou unidades
organizacionais.
A diretiva de grupo se aplica no apenas a usurios e computadores clientes, mas tambm a
servidores membros, a controladores de domnio e a qualquer computador com o Microsoft
Windows 2000 dentro do escopo de gerenciamento. Por padro, a diretiva de grupo aplicada a um
domnio (ou seja, aplicada no nvel do domnio, logo acima da raiz de Usurios e computadores do
Active Directory) afetar todos os computadores e usurios no domnio. Usurios e computadores
do Active Directory tambm fornece uma unidade organizacional de controladores de domnio
interna. Se voc mantiver as contas de controlador de domnio aqui, poder usar a diretiva de
controladores de domnio padro do objeto de diretiva de grupo para gerenciar os controladores de
domnio separadamente dos outros computadores.
A diretiva de grupo inclui as configuraes de diretiva para Configurao do usurio, as quais
afetam os usurios, e para Configurao do computador, as quais afetam os computadores. Para
obter mais informaes, consulte Configurao do usurio e Configurao do computador.
Diretiva de grupo
Voc pode usar a Diretiva de grupo para gerenciar os recursos includos na famlia Microsoft
Windows Server 2003, como Instalao de software da diretiva de grupo, Modelos
administrativos, Redirecionamento de pastas, Servios de instalao remota, Configuraes de
segurana, Scripts (Inicializar/Desligar e fazer Logon/Logoff) e Manuteno do Internet Explorer.

85


Com a diretiva de grupo, voc pode fazer o seguinte:
Gerenciar a diretiva baseada no Registro com modelos administrativos. A diretiva de
grupo cria um arquivo que contm as configuraes do Registro gravadas na parte de
mquina local ou de usurio do banco de dados do Registro. As configuraes de perfil de
usurio especficas a um usurio que faz logon em uma determinada estao de trabalho ou
servidor so gravadas no Registro em HKEY_CURRENT_USER (HKCU) e as
configuraes especficas do computador so gravadas em HKEY_LOCAL_MACHINE
(HKLM). Para obter informaes sobre o procedimento, consulte Usar modelos
administrativos. Para obter detalhes tcnicos, consulte "Implementing Registry-based Policy"
no site Microsoft. (http://msdn.microsoft.com/)
Atribuir scripts. Inclui scripts como inicializao do computador, desligamento, logon e
logoff. Para obter mais informaes, consulte Usar scripts de inicializao, desligamento,
logon e logoff.
Redirecionar pastas. possvel redirecionar pastas, como Meus documentos e Minhas
imagens, a partir da pasta Documents and Settings no computador local para locais de rede.
Para obter mais informaes sobre redirecionamento de pasta, consulte Usar
redirecionamento de pasta.
Gerenciar aplicativos. Com a diretiva de grupo, possvel atribuir, publicar, atualizar ou
reparar aplicativos usando a instalao do software de diretiva de grupo. Para obter mais
informaes, consulte Usar a instalao do software de diretiva de grupo.
Especificar opes de segurana. Para saber sobre como configurar as opes de segurana,
consulte Configuraes de segurana.
86

Objetos de diretiva de grupo que existem por padro
Cada computador que executa o sistema operacional Windows 2000, Microsoft Windows XP
Professional ou os sistemas operacionais de servidor Windows Server 2003 tem exatamente um
objeto de diretiva de grupo armazenado localmente. Esse objeto de diretiva de grupo local contm
um subconjunto das configuraes disponveis em objetos de diretiva de grupo no locais. Para obter
mais informaes, consulte Diretiva de grupo local.
Por padro, quando o Active Directory instalado, dois objetos de diretiva de grupo no locais so
criados:
O objeto de diretiva de domnio padro est vinculado ao domnio e afeta todos os usurios e
computadores do domnio (incluindo os computadores que so controladores de domnio)
atravs da herana de diretiva. Para obter mais informaes, consulte Herana de diretiva.
O objeto de diretiva de controladores de domnio padro est vinculado unidade
organizacional de controladores de domnio e, geralmente, afeta apenas os controladores de
domnio, pois as contas de computador dos controladores de domnio so mantidas
exclusivamente na unidade organizacional de controladores de domnio.
Cuidado
Se voc mover um controlador de domnio para fora da unidade organizacional de
controladores de domnio, a diretiva de controladores de domnio padro no ser mais
aplicada. Se voc precisa manter um controlador de domnio em outra unidade
organizacional, vincule a diretiva de controladores de domnio padro a essa unidade
organizacional.
Como e quando a diretiva de grupo aplicada
Para exibir um cronograma detalhado da aplicao de diretiva, consulte Ordem de eventos na
inicializao e no logon.
Diretiva de computador e de usurio
As configuraes de diretiva do usurio esto localizadas em Configurao do usurio na diretiva
de grupo e so obtidas quando um usurio faz logon. As configuraes de diretiva do computador
esto localizadas em Configurao do computador e so obtidas quando um computador
inicializado. Para obter mais informaes, consulte Configurao do usurio e Configurao do
computador.
Computadores e Usurios so os nicos tipos de objetos do Active Directory que recebem a diretiva.
Especificamente, a diretiva no se aplica a grupos de segurana. Em vez disso, por motivos de
desempenho, os grupos de segurana so usados para filtrar a diretiva atravs de uma entrada de
controle de acesso (ACE) Aplicar diretiva de grupo, que pode ser definida como Permitir ou
Negar, ou no ser configurada. Para obter mais informaes, consulte Para filtrar o escopo de
diretiva de grupo de acordo com a participao no grupo de segurana.
Ordem de aplicao
As diretivas so aplicadas nesta ordem:
87

1. O objeto de diretiva de grupo local exclusivo.
2. Objetos de diretiva de grupo de site, na ordem especificada de forma administrativa.
3. Objetos de diretiva de grupo de domnio, na ordem especificada de forma administrativa.
4. Objetos de diretiva de grupo de unidade organizacional, da maior unidade organizacional
para a menor (unidade organizacional pai para filho), e na ordem especificada de forma
administrativa no nvel de cada unidade organizacional.
Para obter mais informaes, consulte Ordem das configuraes de processamento.
Por padro, as diretivas aplicadas posteriormente substituiro as diretivas previamente aplicadas se
houver inconsistncia entre elas. Entretanto, se as diretivas no forem inconsistentes, as diretivas
anteriores e posteriores iro contribuir para a diretiva em vigor. Para obter mais informaes,
consulte Precedncia de diretiva de grupo.
Filtrando a diretiva por participao no grupo de segurana
Uma ACE do grupo de segurana em um objeto de diretiva de grupo pode ser definida como No
configurada (sem preferncia), Permitida ou Negada. A opo Negada tem precedncia sobre
Permitida. Para obter mais informaes, consulte Para filtrar o escopo de diretiva de grupo de
acordo com a participao no grupo de segurana.
Bloqueando a herana de diretiva
As diretivas que seriam, de outra maneira, herdadas de sites, domnios ou unidades organizacionais
superiores podem ser bloqueadas no nvel do site, domnio ou unidade organizacional. Para obter
mais informaes, consulte Para bloquear a herana de diretiva.
Aplicando a diretiva desde cima
Voc pode definir diretivas que, de outra forma, seriam substitudas por diretivas em unidades
organizacionais filho como No substituir no nvel do objeto de diretiva de grupo. Para obter mais
informaes, consulte Para impedir que um objeto de diretiva de grupo seja substitudo.
Observaes
As diretivas definidas como No substituir no podem ser bloqueadas.
As opes No substituir e Bloquear devem ser usadas com moderao. O uso imprudente
desses recursos avanados dificultar a soluo de problemas. Para obter dicas sobre como
usar a diretiva de grupo, consulte Soluo de problemas e Prticas recomendadas




Diretivas locais e de conta
Todas as diretivas de segurana so baseadas em computador. Esta seo contm explicaes sobre
as diretivas de conta e as diretivas locais.
88

Diretivas de conta
Apesar de as diretivas de conta serem definidas em computadores, elas afetam o modo como as
contas de usurio podem interagir com o computador ou o domnio. As diretivas de conta contm
trs subconjuntos:
Diretiva de senha. Usada para contas de domnio ou de usurio local. Determina
configuraes para senhas, como aplicao e vida til.
As diretivas de senha so utilizadas em contas de domnio e em contas de usurio locais. Elas
determinam as configuraes das senhas, como aplicao e vida til. Esta seo aborda os seguintes
tpicos:
Aplicar histrico de senhas
Essa configurao de segurana determina o nmero de senhas novas e exclusivas que precisam ser
associadas a uma conta de usurio antes que uma senha antiga possa ser reutilizada. O valor deve
estar entre 0 e 24 senhas.
Esta diretiva permite que os administradores aprimorem a segurana garantido que as senhas antigas
no sejam reutilizadas continuamente.
Ative a configurao da diretiva de segurana Durao mnima da senha para evitar que as senhas
sejam alteradas logo aps terem sido modificadas a fim de manter a eficincia do histrico de
senhas.
Durao mnima da senha
Essa configurao de segurana determina o perodo de tempo (em dias) pelo qual uma senha pode
ser utilizada antes de o sistema solicitar ao usurio a sua alterao. possvel configurar senhas para
expirar aps um intervalo entre 1 e 999 dias, ou especificar que as senhas nunca expiraro definindo
o nmero de dias igual a 0. Se a durao mxima da senha estiver entre 1 e 999 dias, Durao
mnima da senha deve ser menor que a durao mxima da senha. Se a durao mxima da senha for
igual a 0, sua durao mnima pode ser qualquer valor entre 0 e 998 dias.
Observao
uma prtica recomendada de segurana configurar senhas para expirar a cada 30 a 90 dias,
dependendo do ambiente. Desse modo, um invasor tem um tempo limitado para descobrir a
senha do usurio e acessar os recursos da sua rede.

Durao mnima da senha
Essa configurao de segurana determina o perodo de tempo (em dias) pelo qual uma senha deve
ser utilizada antes que o usurio possa alter-la. Voc pode definir um valor entre 1 e 998 dias, ou
pode permitir alteraes imediatas definindo o nmero de dias como 0.
A durao mnima da senha deve ser menor que a Durao mxima da senha, a menos que esta seja
configurada como 0, indicando que as senhas nunca expiram. Se a durao mxima da senha for
igual a 0, sua durao mnima pode ser qualquer valor entre 0 e 998.
Configure a durao mnima da senha para ser superior a 0 se voc desejar que Aplicar histrico de
senhas seja implementado. Sem uma durao mnima da senha, os usurios podem percorrer as
senhas repetidas vezes at chegarem a uma antiga de sua preferncia. A configurao padro no
segue essa recomendao de modo que um administrador possa especificar uma senha para um
89

usurio e depois exigir que este altere a senha definida pelo administrador quando fizer logon. Se o
histrico de senhas for definido como 0, o usurio no precisar escolher uma nova senha. Por esse
motivo, Aplicar histrico de senhas definido por padro como 1.


Comprimento mnimo da senha
Essa configurao de segurana determina o menor nmero de caracteres que a senha de uma conta
de usurio pode conter. Voc pode definir um valor entre 1 e 14 caracteres, ou pode estabelecer que
no necessrio senha definindo o nmero de caracteres como 0.

A senha deve satisfazer a requisitos de complexidade
Essa configurao de segurana determina se as senhas devem satisfazer a requisitos de
complexidade.
Se esta diretiva estiver ativada, as senhas precisaro atender aos seguintes requisitos mnimos:
No conter todo ou parte do nome da conta do usurio
Ter pelo menos seis caracteres de comprimento
Conter caracteres de trs das quatro categorias a seguir:
Caracteres maisculos do ingls (A-Z)
Caracteres minsculos do ingls (a-z)
10 dgitos bsicos (0-9)
Caracteres no-alfabticos (por exemplo, !, $, #, %)
Os requisitos de complexidade so impostos quando as senhas so criadas ou alteradas.

Armazenar senhas usando criptografia reversvel
Essa configurao de segurana determina se o sistema operacional armazena senhas usando
criptografia reversvel.
Esta diretiva oferece suporte a aplicativos que usam protocolos que exigem o conhecimento da senha
do usurio para fins de autenticao. Armazenar senhas usando criptografia reversvel basicamente
o mesmo que armazenar verses das senhas em texto sem formatao. Por esse motivo, a diretiva
jamais deve ser ativada, a menos que os requisitos de aplicativo sejam mais importantes que a
necessidade de proteger as informaes sobre senha.
Essa diretiva necessria no uso da autenticao protocolo de autenticao de handshake de desafio
(CHAP) atravs de acesso remoto ou de servios de autenticao de Internet (IAS). Ela tambm
necessria quando a autenticao Digest usada em IIS (servios de informaes da Internet).

Definindo essa configurao de segurana
Diretiva de bloqueio de conta. Usada para contas de domnio ou de usurio local. Determina
as circunstncias e o perodo de tempo em que uma conta ficar bloqueada fora do sistema.
As diretivas de bloqueio de conta so utilizadas em contas de domnio e em contas de usurio locais.
90

Elas determinam as circunstncias e o perodo de tempo pelos quais uma conta ficar bloqueada no
sistema. Esta seo aborda os seguintes tpicos:


Durao do bloqueio de conta
Essa configurao de segurana determina quantos minutos uma conta permanece bloqueada antes
de ser automaticamente desbloqueada. O intervalo disponvel de 1 a 99.999 minutos. Se voc
definir a durao do bloqueio de conta como 0, a conta permanecer bloqueada at ser
explicitamente desbloqueada por um administrador.
Caso seja definido um limite de bloqueio de conta, a sua durao dever ser superior ou igual ao
tempo de redefinio.

Limite de bloqueio de conta
Essa configurao de segurana determina o nmero de tentativas de logon com falha que causa o
bloqueio de uma conta de usurio. Uma conta bloqueada no pode ser usada at ser redefinida por
um administrador ou at o perodo de bloqueio da conta expirar. possvel definir um valor entre 0
e 999 tentativas de logon malsucedidas. Se voc definir o valor como 0, a conta nunca ser
bloqueada.
As tentativas invlidas de introduo de senhas em estaes de trabalho ou servidores membros que
tenham sido bloqueadas pelo uso de CTRL+ALT+DELETE ou protees de tela protegidas por
senha so consideradas tentativas invlidas de introduo de senhas.

Zerar contador de bloqueios de conta aps
Essa configurao de segurana determina quantos minutos devem decorrer entre uma tentativa de
logon malsucedida e a redefinio do contador de tentativas como 0 tentativas de logon invlidas. O
intervalo disponvel de 1 a 99.999 minutos.
Caso seja definido um limite de bloqueio de conta, o tempo de redefinio dever ser inferior ou
igual Durao do bloqueio de conta.
Padro: Nenhum. Essa configurao de diretiva s tem sentido quando um Limite de bloqueio de
conta especificado.





Diretiva Kerberos. Usada para contas de usurio de domnio. Determina as configuraes
relacionadas a Kerberos, como a aplicao e vida til de permisso. As diretivas do Kerberos
no existem na diretiva do computador local.
Para contas de domnio, pode haver somente uma diretiva de conta. A diretiva de conta deve ser
definida na diretiva do domnio padro e aplicada pelos controladores de domnio que compem o
domnio. Um controlador de domnio sempre obtm a diretiva de conta do objeto de diretiva de
91

grupo do domnio padro, mesmo se houver uma diretiva de conta diferente aplicada unidade
organizacional que contm o controlador de domnio. Por padro, as estaes de trabalho e
servidores que tenham ingressado em um domnio (como computadores membro) tambm recebero
a mesma diretiva de conta para suas contas locais. As diretivas de contas locais, contudo, podem ser
diferentes da diretiva de conta do domnio, como quando voc define uma diretiva de conta
especificamente para as contas locais.
Existem duas diretivas nas opes de segurana que tambm se comportam como diretivas de conta.
So elas:
Acesso rede: permitir SID annimo/converso de nomes
Segurana de rede: forar logoff quando o horrio de logon terminar
Diretivas locais
Essas diretivas se aplicam a um computador e contm estes subconjuntos:
Diretiva de auditoria. Determina se os eventos de segurana sero registrados no log de
segurana no computador. Estabelece tambm se sero registradas as tentativas bem-
sucedidas, tentativas sem xito ou ambas. (O log de segurana faz parte da ferramenta
Visualizar eventos).
Atribuio de direitos de usurio. Determina quais usurios ou grupos tm direitos ou
privilgios de logon no computador.
Opes de segurana. Ativa ou desativa as configuraes de segurana do computador, como
a assinatura digital de dados, nomes de conta de administrador e convidado, acesso a
unidades de disquete e CD-ROM, instalao de driver e prompts de logon.
Como um computador pode ter mais de uma diretiva aplicada a ele, possvel existir conflitos em
configuraes de diretiva de segurana. A ordem de precedncia da mais alta para a mais baixa
unidade organizacional, domnio e computador local. Para obter mais informaes, consulte
Aplicando configuraes de segurana com a diretiva de grupo.


92

Diretiva de auditoria
Antes de implementar diretivas de auditoria, decida quais categorias de eventos voc deseja auditar.
As configuraes de auditoria escolhidas para as categorias de eventos definem a diretiva de
auditoria. Em servidores e estaes de trabalho participantes que fazem parte de um domnio, as
configuraes de auditoria das categorias de eventos no so definidas por padro. Em controladores
de domnio, a auditoria permanece desativada por padro. Definindo configuraes de auditoria para
categorias de eventos especficas, voc poder criar uma diretiva de auditoria adequada s
necessidades de segurana da empresa.

93

As categorias de eventos que podem ser escolhidas para auditoria so:
Auditoria de eventos de logon de conta
Essa configurao de segurana determina se deve ser feita a auditoria de cada instncia de logon ou
logoff do usurio em outro computador na qual esse computador seja usado para validar a conta.
Eventos de logon de conta so gerados quando uma conta de usurio do domnio autenticada em
um controlador de domnio. O evento registrado no log de segurana do controlador de domnio.
Os eventos de logon so gerados quando um usurio local autenticado em um computador local. O
evento registrado no log de segurana local. Eventos de logoff de conta no so gerados.
Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com
xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito
geram uma entrada de auditoria quando uma tentativa de logon de conta bem-sucedida. As
auditorias sem xito geram uma entrada de auditoria quando uma tentativa de logon de conta
apresenta falhas.
Caso seja ativada a auditoria com xito para eventos de logon de conta em um controlador de
domnio, haver uma entrada no log para cada usurio que seja validado nesse controlador de
domnio, embora o usurio esteja na realidade fazendo logon em uma estao de trabalho contida no
domnio.

Auditoria de gerenciamento de contas
Essa configurao de segurana determina se deve ser feita a auditoria de cada evento de
gerenciamento de conta de um computador. Os exemplos de eventos de gerenciamento de conta
incluem:
Um grupo ou conta de usurio ser criado, alterado ou excludo.
Uma conta de usurio ser renomeada, desativada ou ativada.
Uma senha ser definida ou alterada.
Se voc definir essa configurao de diretiva, poder especificar se haver auditoria de acessos com
xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito
geram uma entrada de auditoria quando qualquer evento de gerenciamento de conta bem-sucedido.
As auditorias sem xito geram uma entrada de auditoria quando qualquer evento de gerenciamento
de conta apresenta falhas. Para definir este valor como Sem auditoria, na caixa de dilogo
Propriedades dessa configurao de diretiva, marque a caixa de seleo Definir estas
configuraes de diretiva e desmarque as caixas de seleo Sucesso e Falha.

Auditoria de acesso ao servio de diretrio
Essa configurao de segurana determina se ser feita auditoria no evento de acesso de um usurio
a um objeto do Active Directory que tenha a sua prpria lista de controle de acesso do sistema
(SACL) especificada.
Por padro, esse valor definido como sem auditoria no objeto de diretiva de grupo (GPO) do
controlador de domnio padro e permanece indefinido para estaes de trabalho e servidores onde a
diretiva no tem sentido.
Se voc definir essa configurao de diretiva, poder especificar se haver auditoria de acessos com
xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito
geram uma entrada de auditoria quando um usurio tenta acessar com xito um objeto do Active
94

Directory que tem uma SACL especificada. As auditorias sem xito geram uma entrada de auditoria
quando um usurio tenta acessar sem xito um objeto do Active Directory que tem uma SACL
especificada. Para definir este valor como Sem auditoria, na caixa de dilogo Propriedades dessa
configurao de diretiva, marque a caixa de seleo Definir estas configuraes de diretiva e
desmarque as caixas de seleo Sucesso e Falha.
Observe que voc pode definir uma SACL em um objeto do Active Directory usando a guia
Segurana na caixa de dilogo Propriedades desse objeto. Isso equivale diretiva Auditoria de
acesso a objetos, com exceo de que se aplica somente a objetos do Active Directory e no a
objetos do sistema de arquivos e Registro.

Auditoria de eventos de logon
Essa configurao de segurana determina se deve ser feita a auditoria de cada instncia de logon ou
logoff de um usurio em um computador.
Eventos de logon de conta so gerados nos controladores de domnio para a atividade das contas do
domnio e nos computadores locais para a atividade das contas locais. Se ambas as categorias de
diretiva - logon de conta e auditoria de logon - forem ativadas, os logons que usam uma conta de
domnio geram um evento de logon ou logoff na estao de trabalho ou no servidor e geram um
evento de logon de conta no controlador do domnio. Alm disso, logons interativos em um servidor
participante ou em uma estao de trabalho que usa uma conta de domnio gera um evento de logon
no controlador do domnio medida que scripts e diretivas de logon so recuperadas quando um
usurio faz logon. Para obter mais informaes sobre eventos de logon de conta, consulte Auditoria
de eventos de logon de conta.
Se voc definir essa configurao de diretiva, poder especificar se haver auditoria de acessos com
xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito
geram uma entrada de auditoria quando uma tentativa de logon bem-sucedida. As auditorias sem
xito geram uma entrada de auditoria quando uma tentativa de logon apresenta falhas.

Auditoria de acesso a objetos
Essa configurao de segurana determina se deve ser feita a auditoria do evento de acesso de um
usurio a um objeto por exemplo, um arquivo, uma pasta, uma chave do Registro, uma
impressora, etc. que tenha sua prpria lista de controle de acesso do sistema (SACL)
especificada.
Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com
xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. Auditorias bem-sucedidas
geram uma entrada de auditoria quando um usurio acessa com xito um objeto que possui uma
SACL especificada. As auditorias sem xito geram uma entrada de auditoria quando um usurio
tenta acessar sem xito um objeto que tem uma SACL especificada.


Auditoria de alterao de diretivas
Essa configurao de segurana determina se deve ser feita a auditoria de todas as instncias de
alterao em diretivas de atribuio de direitos do usurio, diretivas de auditoria ou diretivas de
confiana.
Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com
95

xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito
geram uma entrada de auditoria quando uma alterao em diretivas de atribuio de direitos do
usurio, de auditoria ou de confiana bem-sucedida. As auditorias sem xito geram uma entrada de
auditoria quando uma alterao nessas diretivas apresenta falhas.

Auditoria de uso de privilgios
Essa configurao de segurana determina se deve ser feita a auditoria de cada instncia do uso de
um direito do usurio.
Se voc definir essa configurao de diretiva, poder especificar se haver auditoria de acessos com
xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito
geram uma entrada de auditoria quando a utilizao de um direito do usurio bem-sucedida. As
auditorias sem xito geram uma entrada de auditoria quando essa utilizao apresenta falhas.
No so geradas auditorias para o uso dos seguintes direitos do usurio, mesmo que auditorias com
ou sem xito estejam especificadas em Auditoria de uso de privilgios: A ativao de auditoria
para esses direitos do usurio tendem a gerar muitos eventos no log de segurana, podendo degradar
o desempenho do computador. Para auditar os direitos de usurio a seguir, ative a chave do Registro
FullPrivilegeAuditing.
Ignorar a verificao completa
Depurar programas
Criar um objeto token
Substituir identificador de nvel de processo
Gerar auditoria de segurana
Fazer backup de arquivos e pastas
Restaurar arquivos e pastas
Cuidado
A edio incorreta do Registro pode causar danos graves ao sistema. Antes de alterar o
Registro, faa backup de todos os dados importantes do computador.

Auditoria de controle de processos
Essa configurao de segurana determina se deve ser feita a auditoria de informaes de controle
de eventos detalhadas, como ativao de programas, trmino de processo, duplicao de
identificador e acesso indireto a objeto.
Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com
xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. As auditorias com xito
geram uma entrada de auditoria quando o processo controlado bem-sucedido. As auditorias sem
xito geram uma entrada de auditoria quando o processo controlado apresenta falhas.

Auditoria de eventos de sistema
Essa configurao de segurana determina se deve ser feita a auditoria quando um usurio reiniciar
ou desligar o computador, ou quando ocorrer um evento que afete a segurana do sistema ou o log
de segurana.
Se voc definir esta configurao de diretiva, poder especificar se haver auditoria de acessos com
xito, acessos sem xito ou se no ocorrer auditoria desse tipo de evento. Auditorias com xito
geram uma entrada de auditoria quando a execuo de um evento do sistema bem-sucedida.
Auditorias sem xito geram uma entrada de auditoria quando uma tentativa de evento do sistema
apresenta falhas.
96

Viso geral sobre logs e alertas de desempenho
Com Logs e alertas de desempenho, voc pode coletar automaticamente dados de desempenho de
computadores locais ou remotos. Voc pode visualizar os dados de contador registrados em log
usando o Monitor do sistema ou export-lo para programas de planilha ou banco de dados, para
fins de anlise e gerao de relatrios. A lista a seguir explica os recursos do servio Logs e alertas
de desempenho:
Na famlia Microsoft Windows Server 2003, h uma nova capacidade de executar coletas
de logs a partir de diferentes contas. Por exemplo, se voc precisar fazer o log de dados em
um computador remoto que necessite de credenciais administrativas, especifique uma conta
com as credenciais necessrias.
Alm disso, h dois novos grupos de segurana na famlia Windows Server 2003 que
ajudaro a garantir que somente usurios confiveis possam acessar e manipular os dados de
desempenho confidenciais. Esses grupos so o Usurios de log de desempenho e o Usurios
de Monitor de desempenho.
A famlia Windows Server 2003 oferece suporte a arquivos de log superiores a 1 GB e, com
o novo formato de arquivo de log, voc pode acrescentar os dados de desempenho a um
arquivo de log j existente.
Coleta de dados em formato separado por vrgulas ou por tabulaes para facilitar a
importao por programas de planilha. fornecido tambm um formato binrio de arquivo
para log circular ou para ocorrncias de log, como segmentos ou processos, que podem
comear depois que o log inicia a coleta de dados (O registro em log circular o processo de
registro contnuo de dados em um nico arquivo, sobrescrevendo os dados anteriores com
novos dados.)
Voc tambm pode coletar dados em formato de banco de dados SQL. Essa opo define o
nome de um banco de dados SQL e conjunto de logs existentes dentro do banco de dados em
que os dados de desempenho sero lidos ou gravados. Esse formato de arquivo til ao
coletar e analisar dados de desempenho de toda a empresa, em vez de computador por
computador. O log de dados diretamente em um banco de dados SQL tem suporte da ODBC
(conectividade aberta de banco de dados).
Os dados do contador coletados por Logs e alertas de desempenho podem ser visualizados
durante a coleta ou aps seu trmino.
Como o log funciona da mesma maneira que um servio, a coleta de dados ocorre
independentemente de um usurio estar conectado ou no ao computador que est sendo
monitorado.
Voc pode definir os momentos de incio e parada, nomes de arquivos, tamanhos de arquivo
e outros parmetros para a gerao automtica do log.
Voc pode gerenciar vrias sesses de log em uma nica janela de console.
Voc pode definir um alerta em um contador, especificando que uma mensagem seja
enviada, um programa seja executado e uma entrada seja feita no log de eventos do aplicativo
ou um log seja iniciado quando o valor do contador selecionado for superior ou inferior a
uma configurao especificada.
Da mesma forma que o Monitor do sistema, o servio Logs e alertas de desempenho d suporte
definio de objetos de desempenho, contadores de desempenho e instncias do objeto de
97

desempenho. Tambm d suporte definio de intervalos de amostragem para monitorar os dados
sobre recursos de hardware e servios do sistema. O servio Logs e alertas de desempenho tambm
oferece outras opes relacionadas ao registro de dados de desempenho:
Iniciar e parar o log manualmente, por demanda ou automaticamente, com base em um
agendamento definido pelo usurio.
Definir configuraes adicionais para log automtico, como renomear o arquivo
automaticamente e definir parmetros para parar ou iniciar um arquivo de log com base no
tempo decorrido ou no tamanho do arquivo.
Criar logs de rastreamento. Usando o provedor de dados padro da famlia de produtos
Windows Server 2003 ou outro provedor de aplicativos, os logs de rastreamento registram
detalhadamente os eventos de aplicativos do sistema, quando ocorrem certas atividades,
como uma operao de E/S de disco ou uma falha de pgina. Quando o evento ocorre, o
sistema operacional registra os dados do sistema em um arquivo de log especificado pelo
servio Logs e alertas de desempenho. Isso difere da operao dos logs de contadores.
Quando eles esto em uso, o servio obtm dados do sistema no fim do intervalo de
atualizao, em vez de esperar por um evento especfico. Uma ferramenta de anlise
necessria para interpretar o resultado do log de rastreamento. Os desenvolvedores podem
criar essa ferramenta usando interfaces para programao de aplicativos (APIs) fornecidas na
MSDN Library site da Microsoft (http://www.microsoft.com/).
Voc tambm pode produzir relatrios de anlise de rastreamento a partir de arquivos de
sada de logs de rastreamento usando a ferramenta Tracerpt. Use-a para processar logs do
kernel, do Active Directory e outros logs de eventos de rastreamento baseados em transaes,
e para gerar relatrios de anlises e arquivos .csv a partir de logs binrios.
Definir um programa que seja executado quando um log for parado.
Se voc desejar exportar dados do log para o Microsoft Excel, o servio de logs e alertas de
desempenho dever ser parado, porque o Microsoft Excel exige acesso exclusivo ao arquivo
de log. No se conhece nenhum outro programa que exija esse acesso exclusivo. Portanto,
voc geralmente pode trabalhar com dados de um arquivo de log enquanto o servio estiver
coletando dados para esse arquivo.
Viso geral sobre logs e alertas de desempenho
Com Logs e alertas de desempenho, voc pode coletar automaticamente dados de desempenho de
computadores locais ou remotos. Voc pode visualizar os dados de contador registrados em log
usando o Monitor do sistema ou export-lo para programas de planilha ou banco de dados, para
fins de anlise e gerao de relatrios. A lista a seguir explica os recursos do servio Logs e alertas
de desempenho:
Na famlia Microsoft Windows Server 2003, h uma nova capacidade de executar coletas
de logs a partir de diferentes contas. Por exemplo, se voc precisar fazer o log de dados em
um computador remoto que necessite de credenciais administrativas, especifique uma conta
com as credenciais necessrias.
Alm disso, h dois novos grupos de segurana na famlia Windows Server 2003 que
ajudaro a garantir que somente usurios confiveis possam acessar e manipular os dados de
desempenho confidenciais. Esses grupos so o Usurios de log de desempenho e o Usurios
de Monitor de desempenho.
98

A famlia Windows Server 2003 oferece suporte a arquivos de log superiores a 1 GB e, com
o novo formato de arquivo de log, voc pode acrescentar os dados de desempenho a um
arquivo de log j existente.
Coleta de dados em formato separado por vrgulas ou por tabulaes para facilitar a
importao por programas de planilha. fornecido tambm um formato binrio de arquivo
para log circular ou para ocorrncias de log, como segmentos ou processos, que podem
comear depois que o log inicia a coleta de dados (O registro em log circular o processo de
registro contnuo de dados em um nico arquivo, sobrescrevendo os dados anteriores com
novos dados.)
Voc tambm pode coletar dados em formato de banco de dados SQL. Essa opo define o
nome de um banco de dados SQL e conjunto de logs existentes dentro do banco de dados em
que os dados de desempenho sero lidos ou gravados. Esse formato de arquivo til ao
coletar e analisar dados de desempenho de toda a empresa, em vez de computador por
computador. O log de dados diretamente em um banco de dados SQL tem suporte da ODBC
(conectividade aberta de banco de dados).
Os dados do contador coletados por Logs e alertas de desempenho podem ser visualizados
durante a coleta ou aps seu trmino.
Como o log funciona da mesma maneira que um servio, a coleta de dados ocorre
independentemente de um usurio estar conectado ou no ao computador que est sendo
monitorado.
Voc pode definir os momentos de incio e parada, nomes de arquivos, tamanhos de arquivo
e outros parmetros para a gerao automtica do log.
Voc pode gerenciar vrias sesses de log em uma nica janela de console.
Voc pode definir um alerta em um contador, especificando que uma mensagem seja
enviada, um programa seja executado e uma entrada seja feita no log de eventos do aplicativo
ou um log seja iniciado quando o valor do contador selecionado for superior ou inferior a
uma configurao especificada.
Da mesma forma que o Monitor do sistema, o servio Logs e alertas de desempenho d suporte
definio de objetos de desempenho, contadores de desempenho e instncias do objeto de
desempenho. Tambm d suporte definio de intervalos de amostragem para monitorar os dados
sobre recursos de hardware e servios do sistema. O servio Logs e alertas de desempenho tambm
oferece outras opes relacionadas ao registro de dados de desempenho:
Iniciar e parar o log manualmente, por demanda ou automaticamente, com base em um
agendamento definido pelo usurio.
Definir configuraes adicionais para log automtico, como renomear o arquivo
automaticamente e definir parmetros para parar ou iniciar um arquivo de log com base no
tempo decorrido ou no tamanho do arquivo.
Criar logs de rastreamento. Usando o provedor de dados padro da famlia de produtos
Windows Server 2003 ou outro provedor de aplicativos, os logs de rastreamento registram
detalhadamente os eventos de aplicativos do sistema, quando ocorrem certas atividades,
como uma operao de E/S de disco ou uma falha de pgina. Quando o evento ocorre, o
sistema operacional registra os dados do sistema em um arquivo de log especificado pelo
servio Logs e alertas de desempenho. Isso difere da operao dos logs de contadores.
Quando eles esto em uso, o servio obtm dados do sistema no fim do intervalo de
atualizao, em vez de esperar por um evento especfico. Uma ferramenta de anlise
99

necessria para interpretar o resultado do log de rastreamento. Os desenvolvedores podem
criar essa ferramenta usando interfaces para programao de aplicativos (APIs) fornecidas na
MSDN Library site da Microsoft (http://www.microsoft.com/).
Voc tambm pode produzir relatrios de anlise de rastreamento a partir de arquivos de
sada de logs de rastreamento usando a ferramenta Tracerpt. Use-a para processar logs do
kernel, do Active Directory e outros logs de eventos de rastreamento baseados em transaes,
e para gerar relatrios de anlises e arquivos .csv a partir de logs binrios.
Definir um programa que seja executado quando um log for parado.
Se voc desejar exportar dados do log para o Microsoft Excel, o servio de logs e alertas de
desempenho dever ser parado, porque o Microsoft Excel exige acesso exclusivo ao arquivo
de log. No se conhece nenhum outro programa que exija esse acesso exclusivo. Portanto,
voc geralmente pode trabalhar com dados de um arquivo de log enquanto o servio estiver
coletando dados para esse arquivo.




100

Monitorando o desempenho do servidor
Nos ambientes comerciais de hoje, os administradores precisam ter a certeza de que os sistemas
executados em seus computadores so eficazes e confiveis. Para otimizar o desempenho dos
servidores, voc precisa dos dados fornecidos pela monitorizao do desempenho. Este tpico
descreve as tarefas mais comuns associadas monitorao do desempenho de uma configurao de
servidor simples, como, por exemplo, algumas estaes de trabalho cliente conectadas a um nico
recurso que contenha um ou mais servidores.
Para monitorar o desempenho de uma configurao de servidor simples, necessrio coletar trs
tipos diferentes de dados de desempenho em um determinado perodo de tempo:
Dados de desempenho geral: informaes que podem ajud-lo a identificar tendncias a curto
prazo, como vazamentos de memria. Aps um ou dois meses de coleta de dados, voc pode
calcular a mdia dos resultados e salv-los em um formato mais compacto. O arquivamento
desses dados poder ajud-lo no planejamento da capacidade medida que sua empresa for
crescendo e, posteriormente, poder ajud-lo a avaliar a eficcia do plano.
Dados de desempenho de linha de base: informaes que podem ajudar a descobrir alteraes
que ocorrem lentamente, no decorrer do tempo. Comparando o estado atual do sistema com
os dados histricos, voc poder solucionar problemas e ajustar o sistema. Como essas
informaes so coletadas somente periodicamente, no h necessidade de compact-las para
armazenamento.
Dados para relatrios em nvel de servio: informaes que podem ajud-lo a garantir que o
sistema atender a um determinado nvel de desempenho ou servio, e que voc
provavelmente apresentar aos tomadores de deciso que no so analistas de desempenho.
A freqncia em que voc coletar e manter esses dados depender das suas necessidades
comerciais especficas.
Para coletar os trs tipos de dados, use Logs e alertas de desempenho para criar um log de
contador. Voc tambm pode coletar essas informaes na linha de comando. Depois, ser possvel
executar o log no decorrer do tempo, manualmente ou com agendamento automatizado. Voc pode
personalizar um log de contador adicionando objetos e adicionando contadores. Para obter mais
informaes sobre como monitorar o desempenho do servidor, modificar os logs de contador, criar
relatrios em vrios formatos e usar os dados coletados, consulte Como.
Criar um log de contador
1. Abra a ferramenta Desempenho.
2. Clique duas vezes em Logs e alertas de desempenho e, em seguida, clique em Logs do
contador.
Todos os logs de contador existentes sero listados no painel de detalhes. Um cone verde
indica que um log est sendo executado. Um cone vermelho indica que um log foi
interrompido.
3. Clique com o boto direito do mouse em uma rea em branco do painel de detalhes e, em
seguida, clique em Novas configuraes de log.
4. Em Nome, digite o nome do contador de log e clique em OK.
5. Na guia Geral, clique em Adicionar objetos e selecione os objetos de desempenho a serem
101

adicionados ou clique em Adicionar contadores para selecionar os contadores individuais
que voc deseja registrar.
Voc deve usar a caixa de texto Executar como e o boto Senha para coletar dados de
contador em um computador gerenciado remotamente. Esses recursos permitem
especificar o nome da conta de logon do log. Voc pode acess-los na guia Geral.
6. Se desejar alterar o arquivo padro e as informaes sobre agendamento, faa as alteraes
na guia Arquivos de log e na guia Agendar.
Observao
Para executar esse procedimento, voc deve ser membro do grupo Administradores ou
Usurios de log de desempenho no computador local, ou algum deve ter delegado a voc a
autoridade apropriada. Se o computador tiver ingressado em um domnio, os membros do
grupo Admins. do domnio podero executar esse procedimento. Como prtica recomendada
de segurana, aconselhvel usar Executar como.
Para abrir Desempenho, clique em Iniciar, aponte para Configuraes e clique em Painel
de controle. Clique duas vezes em Ferramentas administrativas e, em seguida, clique duas
vezes em Desempenho.
Para salvar as configuraes de um log de contador, log de rastreamento ou alerta, clique
com o boto direito do mouse no log ou alerta no painel de detalhes e clique em Salvar
configuraes como. Voc poder especificar um arquivo .htm no qual as configuraes
devero ser salvas. Para reutilizar as configuraes salvas de um novo log ou alerta, clique
com o boto direito do mouse no painel de detalhes e clique em Novas configuraes de log
de ou Novas configuraes de alerta de. Essa uma maneira fcil de gerar novas
configuraes a partir de uma configurao de log ou alerta. Voc tambm pode abrir o
arquivo HTML no Internet Explorer para exibir um grfico do Monitor do sistema.
Embora a extenso de um arquivo de log seja .blg, o formato do arquivo foi alterado na
famlia Windows Server 2003 e, portanto, no pode ser lido em uma verso anterior do
sistema operacional. Por exemplo, se voc copiar um arquivo binrio do Windows
Server 2003, Standard Edition para o Windows 2000, no conseguir l-lo no sistema mais
recente.
Adicionar objetos a um log
1. Abra Desempenho.
2. Clique duas vezes em Logs e alertas de desempenho e, em seguida, clique duas vezes em
Logs do contador ou Alertas.
3. No painel de detalhes, clique duas vezes no log ou alerta que deseja modificar.
4. Na guia Geral, clique em Adicionar objetos. Para cada objeto que desejar adicionar ao log,
siga estas etapas:
Para criar um log de objetos no computador em que o servio de logs e alertas de
desempenho ser executado, clique em Usar objetos de contador de computador
local.
Para criar um log de objetos em um computador especfico, independentemente do
local em que o servio ser executado, clique em Selecionar objetos de contador do
computador: e especifique o nome da conveno de nomenclatura universal (UNC),
como \\MeuServidorDeLog, do computador que voc deseja monitorar.
102

Em Objeto de desempenho, clique em um objeto a ser monitorado e, em seguida,
clique em Adicionar.
Observao
Para executar esse procedimento, voc deve ser membro do grupo Administradores ou
Usurios de log de desempenho no computador local, ou algum deve ter delegado a voc a
autoridade apropriada. Se o computador tiver ingressado em um domnio, os membros do
grupo Admins. do domnio podero executar esse procedimento. Como prtica recomendada
de segurana, aconselhvel usar Executar como.
Para abrir Desempenho, clique em Iniciar, aponte para Configuraes e clique em Painel
de controle. Clique duas vezes em Ferramentas administrativas e, em seguida, clique duas
vezes em Desempenho.
Ao criar configuraes de log de contador para exportao, certifique-se de que selecionou
Usar objetos de contador de computador local. Do contrrio, os logs de contador obtero
dados no computador nomeado na caixa de texto.
Para obter uma descrio de um objeto, clique no objeto em Contadores de desempenho e,
em seguida, clique em Explicar.
Quando voc especifica o nome de um computador usando Selecionar objetos de contador
do computador, somente o nome do computador local e os nomes de computador inseridos
durante a sesso Desempenho atual so listados. Os nomes de computador inseridos nas
sesses anteriores no sero listados.
O recurso Executar como permite executar colees de logs em diferentes contas. Por
exemplo, se voc precisar criar um log de dados em um computador remoto que requeira
credenciais administrativas, use o recurso para especificar uma conta com as permisses
necessrias.
Adicionar contadores a um log
1. Abra a ferramenta Desempenho.
2. Clique duas vezes em Logs e alertas de desempenho e, em seguida, clique em Logs do
contador.
3. No painel de detalhes, clique duas vezes no log que voc deseja modificar.
4. Na guia Geral, clique em Adicionar contadores. Para cada contador ou grupo de contadores
que voc desejar adicionar ao log, siga estas etapas:
Para criar um log de contadores no computador em que o servio de logs e alertas de
desempenho ser executado, clique em Usar contadores locais do computador.
Para criar um log de contadores em um computador especfico, independentemente do
local em que o servio ser executado, clique em Selecionar contadores do
computador e especifique o nome da conveno universal de nomenclatura (UNC),
como \\MeuServidorDeLog, do computador que voc deseja monitorar.
Em Objeto de desempenho, selecione um objeto a ser monitorado.
Em Selecionar contadores na lista, clique em um ou mais contadores a serem
monitorados.
Para monitorar todas as instncias dos contadores selecionados, clique em Todas as
instncias. (Os logs binrios podem incluir instncias que no estejam disponveis na
inicializao do log, mas que podem ser disponibilizadas subseqentemente.)
103

Para monitorar instncias especficas dos contadores selecionados, clique em
Selecionar instncias na lista e, em seguida, clique em uma ou mais instncias a
serem monitoradas.
Clique em Adicionar.


Viso geral sobre o Monitor do sistema
Com o Monitor do sistema, voc pode medir o desempenho de seu prprio computador ou de
outros computadores da rede, das seguintes maneiras.
Coletar e exibir dados de desempenho em tempo real de um computador local ou de vrios
computadores remotos: A usabilidade foi modificada na famlia Windows Server 2003. Por
exemplo, voc pode excluir vrios contadores de uma s vez e exibir a pgina de
propriedades de dados referente a um contador, diretamente na janela de lista. Os dados
selecionados em um arquivo de log de desempenho ou em um banco de dados SQL podem
ser salvos em um novo arquivo para anlise posterior.
Alm disso, h dois novos grupos de segurana na famlia Windows Server 2003 que
ajudaro a garantir que somente usurios confiveis possam acessar e manipular os dados de
desempenho confidenciais. Esses grupos so o Usurios de log de desempenho e o Usurios
de Monitor de desempenho.
Visualizar dados coletados no momento ou previamente em um log de contador. Com a
famlia Windows Server 2003, voc agora pode exibir os dados simultaneamente em vrios
arquivos de log.
Apresentar os dados em um modo de exibio de grfico, histograma ou relatrio que pode
ser impresso.
Incorporar a funcionalidade do Monitor do sistema a aplicativos que ofeream suporte a
controles ActiveX, como pginas da Web, e o Microsoft Word ou outros aplicativos do
Microsoft Office.
Criar pginas HTML a partir de modos de exibio de desempenho. Os modos de exibio
armazenados no formato HTML podem ser exibidos em um navegador.
Criar configuraes de monitoramento reutilizveis que podem ser instaladas em outros
computadores usando o Console de gerenciamento Microsoft (MMC).

104

Com o Monitor do sistema, voc pode coletar e visualizar dados abrangentes sobre o uso dos
recursos de hardware e a atividade dos servios do sistema nos computadores que administra.
possvel definir os dados a serem coletados pelo Monitor do sistema das seguintes maneiras:
Tipo de dados. Para selecionar os dados a serem coletados, voc especifica objetos de
desempenho, contadores de desempenho e instncias do objeto de desempenho.
Alguns objetos fornecem dados sobre recursos do sistema (como memria). Outros fornecem
dados sobre a operao de aplicativos (por exemplo, servios do sistema).
Fonte de dados. O Monitor do sistema pode coletar dados do seu computador local ou de
outros computadores na rede em que voc tem credenciais administrativas. Por padro,
credenciais administrativas so necessrias. Alm disso, voc pode incluir dados em tempo
real ou dados coletados previamente usando logs de contadores. Com a famlia de produtos
Windows Server 2003, voc agora pode exibir os dados de desempenho anteriormente
coletados e armazenados em um banco de dados SQL pelo servio Logs e alertas de
desempenho.
Parmetros de amostragem. O Monitor do sistema d suporte amostragem manual,
amostragem por demanda ou amostragem automtica, com base em um intervalo de tempo
especificado por voc. Essa funcionalidade s se aplica a dados em tempo real. Ao visualizar
dados do log, voc tambm pode escolher os momentos de incio e de parada, de modo a
poder visualizar dados relativos a um intervalo de tempo especfico.
Alm de opes para definir o contedo dos dados, voc tem flexibilidade considervel para projetar
a aparncia dos modos de exibio do Monitor do sistema:
Tipo da exibio. O Monitor do sistema d suporte aos modos de exibio de grfico,
histograma e relatrio. O modo de exibio de grfico o padro. Ele oferece a maior
variedade de configuraes opcionais.
Caractersticas da exibio. Para qualquer um dos trs modos de exibio, voc pode
definir as cores e as fontes para a exibio. Nos modos de exibio de grfico e histograma,
voc pode selecionar vrias opes diferentes ao exibir dados de desempenho:
Fornecer um ttulo para seu grfico ou histograma e rotular o eixo vertical.
Definir o intervalo de valores representado no grfico ou histograma.
Ajustar as caractersticas das linhas ou barras plotadas para indicar valores de
contadores, usando cor, largura, estilo e outros recursos grficos.

105

Direitos do usurio
Os administradores podem atribuir direitos especficos a contas de grupos ou a contas de usurios
individuais. Esses direitos autorizam os usurios a executarem aes especficas, como fazer logon
em um sistema interativamente ou fazer backup de arquivos e pastas. Os direitos do usurio diferem
das permisses, porque os direitos se aplicam a contas de usurio e as permisses so anexadas a
objetos. Para obter informaes sobre permisses, consulte Como a herana afeta as permisses de
arquivo e pasta.
Os direitos do usurio definem recursos no nvel local. Apesar de os direitos do usurio se aplicarem
a contas de usurio individuais, eles so melhor administrados em contas de grupo. Isso garante que
um usurio que esteja fazendo logon como um membro de um grupo herde automaticamente os
direitos associados a esse grupo. Com a atribuio de direitos do usurio a grupos e no a usurios
individualmente, voc simplifica a tarefa de administrao de contas de usurio. Quando todos os
usurios de um grupo precisam dos mesmos direitos, voc pode atribuir o conjunto de direitos de
usurio uma vez ao grupo todo, em vez de atribuir o mesmo conjunto de direitos repetidamente a
cada conta de usurio.
Os direitos do usurio atribudos a um grupo sero aplicados a todos os membros do grupo,
enquanto eles fizerem parte do grupo. Se um usurio for membro de diversos grupos, os direitos
sero cumulativos, o que significa que o usurio possuir mais de um conjunto de direitos. O nico
momento em que os direitos atribudos a um grupo podem entrar em conflito com os direitos
atribudos a outro grupo ser no caso de determinados direitos de logon. Em geral, os direitos do
usurio atribudos a um grupo no entram em conflito com os direitos atribudos a um outro grupo.
Para remover direitos de um usurio, o administrador simplesmente remove o usurio do grupo.
Nesse caso, o usurio deixa de ter os direitos atribudos ao grupo.
H dois tipos de direitos do usurio: privilgios, como o direito de fazer backup de arquivos e pastas,
e direitos de logon, como o direito de fazer logon em um sistema localmente.
Privilgios
Para facilitar a tarefa de administrao de contas de usurio, atribua privilgios principalmente a
contas de grupo, em vez de atribu-los a contas individuais. Quando voc atribui privilgios a uma
conta de grupo, os usurios recebem automaticamente esses privilgios ao se tornarem membros do
grupo. Esse mtodo de administrao de privilgios bem mais fcil do que atribuir privilgios
individuais a cada conta de usurio quando ela criada.
A tabela a seguir lista e descreve os privilgios que podem ser concedidos a um usurio.
Privilgio Descrio
Adicionar estaes de
trabalho a um
domnio
Esta configurao de segurana determina quais grupos ou usurios podem
adicionar estaes de trabalho a um domnio.
Esta configurao de segurana s vlida em controladores de domnio. Por
padro, qualquer usurio autenticado tem esse direito e pode criar at 10
contas de computador no domnio.
106

Ao adicionar uma conta de computador ao domnio, o computador poder
participar do sistema de rede baseado em Active Directory. Por exemplo,
adicionar uma estao de trabalho a um domnio permite que a estao de
trabalho reconhea contas e grupos existentes no Active Directory.
Padro: Usurios autenticados em controladores de domnio.
Ajustar quotas de
memria para um
processo
Este privilgio determina quem pode alterar o volume mximo de memria
que pode ser consumido por um processo.
Este direito de usurio definido no objeto de diretiva de grupo (GPO) do
controlador do domnio padro e na diretiva de segurana local de estaes
de trabalho e servidores.
Padro: Administradores.
Alterar a hora do
sistema
Este direito de usurio determina quais usurios e grupos podem alterar a
data e a hora no relgio interno do computador. Os usurios que receberem
este direito de usurio podero alterar a aparncia de logs de eventos. Se a
hora do sistema for alterada, os eventos registrados em log refletiro a nova
hora e no a hora real em que o evento ocorreu.
Este direito de usurio definido no objeto de diretiva de grupo (GPO) do
controlador do domnio padro e na diretiva de segurana local de estaes
de trabalho e servidores.
Padro:
Em estaes de trabalho e servidores:
Administradores
Usurios avanados
Em controladores de domnio:
Administradores
Opers. de servidores
Apropriar-se de
arquivos ou outros
objetos
Esta configurao de segurana determina quais usurios podem apropriar-se
de objetos protegidos no sistema, incluindo objetos do Active Directory,
arquivos e pastas, impressoras, chaves do Registro, processos e segmentos.
Configurao padro: Administradores.
Ativar computador e
contas de usurio
para serem confiveis
para delegao
Esta configurao de segurana determina quais usurios podem definir a
configurao Confivel para delegao em um objeto de usurio ou
computador.
107

O usurio ou objeto que recebe esse privilgio deve ter acesso de gravao
aos sinalizadores de controle de contas no objeto do usurio ou computador.
Um processo de servidor que esteja em execuo em um computador (ou em
um contexto de usurio) que seja confivel para delegao pode acessar
recursos em outro computador usando as credenciais delegadas de um
cliente, contanto que a conta do cliente no tenha o sinalizador de controle de
conta Conta no pode ser delegada definido.
Este direito de usurio definido no objeto de diretiva de grupo (GPO) do
controlador do domnio padro e na diretiva de segurana local de estaes
de trabalho e servidores.
Configurao padro: Em controladores de domnio:
Administradores
Aumentar prioridade
de agendamento
Esta configurao de segurana determina quais contas podem usar um
processo com acesso de propriedade de gravao a outro processo a fim de
aumentar a propriedade de execuo atribuda ao outro processo. Um usurio
com esse privilgio pode alterar a prioridade de agendamento de um processo
atravs da interface do usurio do Gerenciador de tarefas.
Padro: Administradores.
Bloquear pginas na
memria
Esta configurao de segurana determina quais contas podem usar um
processo para manter dados na memria fsica, evitando que o sistema pagine
esses dados para a memria virtual em disco. A utilizao desse privilgio
pode afetar de modo significativo o desempenho do sistema diminuindo a
quantidade de memria de acesso aleatrio (RAM) disponvel.
Padro: Nenhum. Determinados processos do sistema tm o privilgio por
natureza.
Carregar e
descarregar drivers de
dispositivo
Esse direito de usurio determina quais usurios podem carregar e
descarregar dinamicamente drivers de dispositivos ou outros cdigos para o
modo kernel. Este direito de usurio no se aplica a drivers de dispositivo
Plug and Play. recomendvel que voc no atribua este privilgio a outros
usurios. Em vez disso, use a API StartService().
Configurao padro: Administradores. recomendvel que voc no
atribua esse privilgio a qualquer outro usurio. Os drivers de dispositivo
executam como programas confiveis (ou altamente privilegiados).
Criar arquivo de
permuta
Permite ao usurio criar e alterar o tamanho de um arquivo de paginao.
Isso feito especificando-se um tamanho de arquivo de paginao para uma
108

determinada unidade em Opes de desempenho na guia Avanado de
Propriedades do sistema.
Configurao padro: Administradores
Criar objetos
compartilhados
permanentemente
Permite a um processo criar um objeto de diretrio na famlia Windows
Server 2003 e no gerenciador de objetos do Windows XP Professional. Esse
privilgio til em componentes do modo de ncleo que estendem o espao
de nome do objeto. Os componentes executando no modo de ncleo j tm,
por natureza, esse privilgio; no necessrio atribuir a eles o privilgio.
Configurao padro: Ningum.
Criar objetos globais
Esta configurao de segurana determina quais contas tero permisso para
criar objetos globais em uma sesso de servios de terminal.
Padro: Administradores e Sistema local.
Criar um objeto token
Permite a um processo criar um smbolo que ele poder usar para obter
acesso a todos os recursos locais quando o processo utilizar NtCreateToken()
ou outras APIs de criao de smbolos.
recomendvel que os processos que exigem esse privilgio usem a conta
LocalSystem, que j inclui esse privilgio, em vez de usar uma conta de
usurio separada com esse privilgio atribudo especialmente a ela.
Configurao padro: Ningum.
Depurar programas
Este direito de usurio determina quais usurios podem anexar um depurador
a qualquer processo ou ao kernel. Os desenvolvedores que estiverem
depurando seus prprios aplicativos no precisaro receber este direito de
usurio. Os desenvolvedores que estiverem depurando novos componentes
de sistema precisaro deste direito de usurio para serem capazes de realizar
essa tarefa. Este direito de usurio fornece acesso total a componentes
sensveis e importantes do sistema operacional.
Configurao padro:
Administradores
Sistema local
Desligar o sistema
Esta configurao de segurana determina quais usurios conectados
localmente ao computador podem desligar o sistema operacional usando o
comando Desligar. O mal uso deste direito de usurio pode resultar em
109

negao de servio.
Padro:
Estaes de trabalho: Administradores, Operadores de cpia,
Usurios avanados, Usurios.
Servidores: Administradores, Operadores de cpia, Usurios
avanados.
Controladores de domnio: Opers. de contas, Administradores,
Operadores de cpia, Opers. de servidores e Operadores de
impresso.
Fazer backup de
arquivos e pastas
Este direito de usurio determina quais usurios podem ignorar permisses
de arquivo e diretrio, Registro e outras permisses persistentes de objeto
com a finalidade de fazer backup do sistema.
Padro: Administradores e Operadores de cpia.
Forar o
desligamento a partir
de um sistema remoto
Esta configurao de segurana determina quais usurios tm permisso para
desligar um computador a partir de um local remoto na rede. O mal uso deste
direito de usurio pode resultar em negao de servio.
Este direito de usurio definido no objeto de diretiva de grupo (GPO) do
controlador do domnio padro e na diretiva de segurana local de estaes
de trabalho e servidores.
Padro:
Em estaes de trabalho e servidores: Administradores.
Em controladores de domnio: Administradores, Opers. de
servidores.
Funcionar como parte
do sistema
operacional
Este direito de usurio permite que um processo represente qualquer usurio
sem autenticao. O processo pode, portanto, ter acesso aos mesmos recursos
locais que esse usurio.
Os processos que exigem esse privilgio devem usar a conta LocalSystem,
que j inclui esse privilgio, em vez de usar uma conta de usurio separada
com esse privilgio atribudo especialmente a ela. Se sua organizao utilizar
somente servidores membros da famlia Windows Server 2003, voc no
precisar atribuir esse privilgio a seus usurios. No entanto, se sua
organizao utilizar servidores que executam o Windows 2000 ou o
Windows NT 4.0, talvez voc precise atribuir este privilgio para utilizar
aplicativos que troquem senhas em texto simples.
110

Padro: Sistema local.
Gerar auditoria de
segurana
Esta configurao de segurana determina quais contas podem ser utilizadas
por um processo para adicionar entradas ao log de segurana. O log de
segurana usado para controlar o acesso no autorizado ao sistema. O mal
uso deste direito de usurio pode resultar na gerao de vrios eventos de
auditoria, o que pode ocultar evidncias de um ataque ou causar negao de
servio se a configurao de diretiva de segurana Auditoria: desligar o
sistema imediatamente se no for possvel o log de auditorias seguras
esteja habilitada. Para obter mais informaes, consulte Auditoria: desligar o
sistema imediatamente se no for possvel o log de auditorias seguras
Padro: Sistema local.
Gerenciar auditoria e
log de segurana
Esta configurao de segurana determina quais usurios podem especificar
opes de auditoria de acesso a objetos para recursos individuais, como
arquivos, objetos do Active Directory e chaves do Registro.
Esta configurao de segurana no permite que um usurio habilite a
auditoria de acesso a arquivos e objetos de um modo geral. Para que esse tipo
de auditoria seja habilitado, a configurao de Auditoria de acesso a objetos
em Configurao do computador\Configuraes do
Windows\Configuraes de segurana\Diretivas locais\Diretivas de
auditoria precisa estar definida.
Voc pode exibir os eventos em que ocorreu auditoria no log de segurana do
recurso Visualizar eventos. Um usurio com esse privilgio tambm pode
exibir e limpar o log de segurana.
Padro: Administradores.
Ignorar a verificao
completa
Este direito de usurio determina quais usurios podem atravessar rvores de
diretrios, mesmo que o usurio no tenha permisses sobre o diretrio
atravessado. Este privilgio no permite ao usurio listar o contedo de um
diretrio, mas apenas atravess-lo.
Este direito de usurio definido no objeto de diretiva de grupo (GPO) do
controlador do domnio padro e na diretiva de segurana local de estaes
de trabalho e servidores.
Padro:
Em estaes de trabalho e servidores:
Administradores
Operadores de cpia
111

Usurios avanados
Usurios
Todos
Em controladores de domnio:
Administradores
Usurios autenticados
Modificar valores de
ambiente de firmware
Esta configurao de segurana determina quem pode modificar valores de
ambiente de firmware. As variveis de ambiente de firmware so
configuraes armazenadas na RAM no-voltil de computadores no
baseados no x86. O efeito da configurao depende do processador.
Em computadores baseados no x86, o nico valor de ambiente de
firmware que pode ser modificado com a atribuio desse direito de
usurio a definio de ltima configurao vlida, que s deveria
ser modificada pelo sistema.
Em computadores baseados no Itanium, as informaes de
inicializao so armazenadas em RAM no-voltil. Os usurios
precisam receber esse direito de usurio para executar o arquivo
bootcfg.exe e alterar a configurao do sistema operacional padro
em Inicializao e recuperao em Propriedades do sistema.
Em todos os computadores, esse direito de usurio necessrio para
instalar ou atualizar o Windows.
Configurao padro:
Administradores
Sistema local
Remover o
computador da
estao de encaixe
Esta configurao de segurana determina se um usurio poder desencaixar
um computador porttil de sua estao de encaixe sem fazer logon.
Se esta diretiva estiver habilitada, o usurio precisar fazer logon antes de
remover o computador porttil de sua estao de encaixe. Se estiver
desabilitada, o usurio poder remover o computador porttil da estao de
encaixe sem fazer logon.
Padro: Desativada.
Representar um
cliente aps a
autenticao
Esta configurao de segurana determina quais contas podem representar
outras contas.
Padro: Administradores e Servio.
Restaurar arquivos e Esta configurao de segurana determina quais usurios podem ignorar
112

diretrios permisses de arquivo, pasta, Registro e outras permisses persistentes de
objetos durante a restaurao de arquivos e diretrios de backup. Esta
configurao tambm determina quais usurios podem definir um objeto de
segurana vlido como proprietrio de um objeto.
Especificamente, a concesso deste direito de usurio semelhante
concesso ao usurio ao ou grupo em questo as seguintes permisses sobre
todos os arquivos e pastas no sistema:
Desviar pasta/Executar arquivo
Gravar
Padro:
Estaes de trabalho e servidores: Administradores, Operadores de
cpia
Controladores de domnio: Administradores, Operadores de cpia,
Opers. de servidores.
Sincronizar dados do
servio de diretrio
Esta configurao de segurana determina quais usurios e grupos tm
autoridade para sincronizar todos os dados do servio de diretrio. Isso
tambm conhecido como sincronizao do Active Directory.
Padres: Nenhum.
Substituir um smbolo
de segurana do
processo
Determina as contas de usurio que podem iniciar um processo para
substituir o smbolo padro associado a um subprocesso iniciado.
Esse direito de usurio definido no objeto de diretiva de grupo do
controlador do domnio padro e na diretiva de segurana local de estaes
de trabalho e servidores.
Configurao padro: Servio local e Servio de rede.
Traar perfil de um
nico processo
Esta configurao de segurana determina quais usurios podem usar
ferramentas especficas para monitorar o desempenho de processos que no
sejam do sistema.
Padro: Administradores, Usurios avanados, Sistema local.
Traar perfil do
desempenho do
sistema
Esta configurao de segurana determina quais usurios podem usar
ferramentas para monitorar o desempenho de processos do sistema.
Padro: Administradores, Sistema local.
113

Alguns privilgios podem prevalecer sobre permisses definidas em um objeto. Por exemplo, um
usurio que tenha feito logon em uma conta de domnio como membro do grupo Operadores de
cpia tem o direito de executar operaes de backup para todos os servidores de domnio. No
entanto, isso requer a capacidade de ler todos os arquivos nesses servidores, mesmo os arquivos nos
quais seus proprietrios definiram permisses que negam explicitamente o acesso a todos os
usurios, inclusive membros do grupo Operadores de cpia. Um direito do usurio, nesse caso, o
direito de fazer backup, tem precedncia sobre todas as permisses de arquivo e diretrio.



114

Gerenciando discos e volumes
O gerenciamento de discos e volumes inclui a criao e formatao de parties, unidades lgicas e
volumes; a definio de cotas de disco para limitar o uso do disco; a desfragmentao de volumes
para melhorar o desempenho do sistema de arquivos e a verificao de erros do sistema de arquivos
e de setores defeituosos em um disco rgido. A famlia Windows Server 2003 fornece vrias
ferramentas que podem ser usadas para gerenciar de modo eficaz os discos e volumes em sistemas
novos ou j existentes. Essas ferramentas incluem Gerenciamento de disco, Desfragmentador de
disco, cotas de disco e verificao de erros.
Algumas das tarefas mais comuns so criao de parties ou unidades lgicas, formatao de
volumes bsicos, extenso de volumes bsicos e desfragmentao de volumes. Voc tambm pode
gerenciar discos e volumes na linha de comando. Para obter informaes sobre cotas de disco,
consulte Cotas de disco. Para obter informaes sobre verificao de erros, consulte Detectando e
reparando erros de disco.
Criar uma partio ou unidade lgica
1. Abra o Gerenciamento do computador (local).
2. Na rvore de console, clique em Gerenciamento de disco.
Onde?
Gerenciamento do computador (local)
Armazenamento
Gerenciamento de disco
3. Clique com o boto direito do mouse em uma regio no alocada de um disco bsico e, em
seguida, clique em Nova partio ou clique com o boto direito do mouse no espao livre de
uma partio estendida e, em seguida, clique em Nova unidade lgica.
4. No Assistente para novas parties, clique em Avanar, clique em Partio primria,
Partio estendida ou Unidade lgica e siga as instrues na tela.
Observao
possvel criar parties primrias, parties estendidas e unidades lgicas somente em
discos bsicos. Voc deve criar volumes bsicos em vez de volumes dinmicos se este
computador tambm executar o MS-DOS, Windows 95, Windows 98, Windows Millennium
Edition, Windows NT 4.0 ou Windows XP Home Edition.
Em um disco de registro mestre de inicializao (MBR), voc pode criar at quatro parties
primrias ou trs parties primrias, uma partio estendida e unidades lgicas ilimitadas.
Em um disco de tabela de partio GUID (GPT), voc pode criar at 128 parties primrias.


115



Formatar um volume bsico
1. Abra o Gerenciamento do computador (local).
2. Na rvore de console, clique em Gerenciamento de disco.
Onde?
Gerenciamento do computador (local)
Armazenamento
Gerenciamento de disco
3. Clique com o boto direito do mouse na partio, unidade lgica ou volume bsico que voc
deseja formatar (ou reformatar) e, em seguida, clique em Formatar.
4. Selecione as opes desejadas e clique em OK.
Observao
Voc no pode formatar as parties de sistema, de inicializao, OEM ou desconhecidas.
H suporte para a compactao de arquivos somente em volumes NTFS com clusters de
4 KB e menores.
Se voc marcar a caixa de seleo Executar uma formatao rpida, os arquivos sero
removidos do disco, mas esse disco no ser examinado para verificar a existncia de setores
defeituosos. Use esta opo somente se o disco foi formatado anteriormente e voc tiver
certeza de que no est danificado.


116

Estender um volume bsico
1. Abra o Prompt de comando.
2. Digite: diskpart
3. No prompt DISKPART, digite: list volume
Anote o nmero do volume bsico que voc deseja estender.
4. No prompt DISKPART, digite: select volume n
Seleciona o volume bsico, n, que voc deseja estender no espao vazio contguo do mesmo
disco.
5. No prompt DISKPART, digite: extend [size=n]
Estende o volume selecionado em size=n megabytes (MB).
Observao
Para abrir um prompt de comando, clique em Iniciar, aponte para Programas, aponte para
Acessrios e clique em Prompt de comando.
Para estender um volume bsico, ele no deve ser formatado com um sistema de arquivos ou
deve ser formatado com o sistema de arquivos NTFS.
Voc s pode estender um volume bsico dentro do mesmo disco.
Voc s pode estender um volume bsico se ele for seguido de um espao no alocado
contguo.
Para obter mais informaes sobre o Gerenciamento de disco e o comando diskpart,
consulte Gerenciamento do disco e DiskPart.

Desfragmentar um volume
1. Abra o Desfragmentador de disco.
2. Clique no volume que voc deseja desfragmentar e, em seguida, clique em Desfragmentar.
Depois que a desfragmentao for concluda, o Desfragmentador de disco exibir os
resultados em Uso estimado do disco aps a desfragmentao.
3. Clique em Exibir relatrio para exibir o relatrio de desfragmentao, que apresentar
informaes detalhadas sobre o volume desfragmentado.
Observao
Para abrir o Desfragmentador de disco, clique em Iniciar, aponte para Programas, para
Acessrios, para Ferramentas do sistema e, em seguida, clique em Desfragmentador de
disco.
Voc deve analisar os volumes antes da desfragmentao. Dessa forma, voc saber se
precisar gastar tempo com a desfragmentao.
necessrio que um volume tenha, pelo menos, 15% de espao livre para que o
Desfragmentador de disco o desfragmente total e adequadamente. O Desfragmentador de
disco utiliza esse espao como uma rea de classificao para fragmentos de arquivo. Se um
volume tiver menos de 15% de espao livre, o Desfragmentador de disco o desfragmentar
117

apenas parcialmente. Para aumentar o espao livre em um volume, exclua os arquivos
desnecessrios ou mova-os para outro disco.
Voc no pode desfragmentar volumes que o sistema de arquivos tenha marcado como sujos,
o que indica um possvel corrompimento. Voc deve executar chkdsk em um volume sujo
antes de desfragment-lo. Para determinar se um volume sujo, use o comando fsutil dirty
query. Para obter mais informaes sobre o comando chkdsk, consulte Chkdsk. Para obter
mais informaes sobre o comando fsutil dirty, consulte Fsutil dirty.
O tempo necessrio para que o Desfragmentador de disco desfragmente um volume
depende de vrios fatores, entre eles o tamanho do volume, o nmero e tamanho dos arquivos
contidos no volume, a porcentagem de fragmentao no volume e os recursos de sistema
disponveis.
Voc s pode desfragmentar volumes de sistemas de arquivos locais e executar apenas uma
instncia do Desfragmentador de disco por vez.
Para interromper ou suspender temporariamente a desfragmentao de um volume, clique em
Parar ou Pausar, respectivamente.
Se voc iniciar o Desfragmentador de disco ao executar um backup no mesmo volume, o
processamento da ferramenta ser interrompido.
Executar o comando defrag e o Desfragmentador de disco so tarefas mutuamente
exclusivas. Se voc estiver usando o Desfragmentador de disco para desfragmentar um
volume e executar o comando defrag em um prompt de comando, esse comando apresentar
falha. Em contrapartida, se voc executar o comando defrag e abrir o Desfragmentador de
disco, as opes de desfragmentao desse utilitrio no estaro disponveis.

118

Viso geral sobre cotas de disco
As cotas de disco rastreiam e controlam o uso do espao em disco para os volumes NTFS. Os
administradores podem configurar o Windows para:
Impedir o uso do espao em disco e registrar um evento quando um usurio ultrapassar o
limite de espao em disco especificado, isto , o espao em disco que ele tem permisso para
utilizar.
Registrar um evento quando um usurio ultrapassar um nvel de notificao de espao em
disco especificado, isto , o ponto no qual um usurio estiver se aproximando de sua cota
limite.
Ao ativar as cotas de disco, voc poder definir dois valores: o limite de cota de disco e o nvel de
notificao de cota de disco. Por exemplo, possvel definir um limite de cota de disco de um
usurio como 500 megabytes (MB) e o nvel de notificao de cota de disco como 450 MB. Nesse
caso, o usurio s poder armazenar at 500 MB de arquivos no volume. Se ele armazenar mais de
450 MB de arquivos no volume, voc poder configurar o sistema de cota de disco para criar um log
de evento do sistema. necessrio que voc seja um participante do grupo Administradores para
administrar cotas em um volume. Para obter instrues sobre como definir valores de cota de disco,
consulte Para atribuir valores de cota padro.
possvel especificar que os usurios possam exceder seus limites de cota. O procedimento de
ativar as cotas e no limitar o uso do espao em disco til quando voc no deseja negar aos
usurios o acesso a um volume, mas deseja controlar o uso do espao em disco para cada usurio.
Tambm possvel especificar se um evento dever ou no ser criado quando os usurios excederem
seus nveis de notificao de cota ou seus limites de cota.
Quando voc ativa as cotas de disco para um volume, o uso do mesmo rastreado automaticamente
para todos os usurios a partir desse momento em diante.
Voc pode ativar cotas em volumes locais, volumes de rede e unidades removveis desde que
estejam formatados com o sistema de arquivos NTFS. Alm disso, os volumes de rede devem ser
compartilhados na pasta raiz do volume. As unidades removveis tambm devem ser compartilhadas.
Os volumes formatados com a verso do NTFS usada no Windows NT 4.0 so atualizados
automaticamente pela instalao do Windows.
Voc no pode utilizar a compactao de arquivos para impedir que os usurios ultrapassem seus
limites de cota porque os arquivos compactados so controlados com base em seu tamanho antes da
compactao. Por exemplo, se um arquivo tiver 50 MB, mas ficar com 40 MB aps a compactao,
o Windows considera o tamanho original do arquivo (50 MB) em relao ao limite de cota.


119

Para ativar cotas de disco
1. Abra Meu computador.
2. Clique com o boto direito do mouse no volume de disco para o qual voc deseja ativar cotas
de disco e clique em Propriedades.
3. Na caixa de dilogo Propriedades, clique na guia Cota.
4. Na guia Cota, clique na caixa de seleo Ativar gerenciamento de cota.
5. Selecione uma ou mais das opes a seguir e clique em OK.
Negar espao em disco para usurios excedendo os limites de cota
Os usurios que ultrapassarem seus limites de cota recebero uma mensagem de erro do tipo
"espao em disco insuficiente" do Windows e no podero gravar dados adicionais no
volume sem que antes excluam ou movam alguns arquivos existentes.
Os programas individuais determinaro o prprio tratamento de erro para essa condio. Para
o programa, parecer que o volume est cheio. Se voc desmarcar essa opo, os usurios
podero exceder seus limites de cota. O procedimento para ativar as cotas e no limitar o uso
do espao em disco til quando voc no deseja negar aos usurios o acesso a um volume,
mas controlar o uso do espao em disco para cada usurio. Tambm possvel especificar se
um evento dever ou no ser criado quando os usurios excederem seus nveis de notificao
de cota ou seus limites de cota.
Limitar espao em disco a
Especifique o espao em disco que os novos usurios do volume podero utilizar e o espao
em disco que dever ser usado antes de um evento ser gravado no log do sistema. Os
administradores podem ver esses eventos no recurso Visualizar eventos. Voc pode usar
valores decimais (por exemplo, 20,5). Para o espao em disco e nveis de notificao,
selecione as unidades apropriadas na lista suspensa (por exemplo, KB, MB, GB). Para obter
mais informaes sobre Visualizar eventos, consulte Tpicos relacionados.
Registrar evento em log quando o usurio exceder o limite de cota
Se as cotas estiverem ativadas, um evento ser gravado no log do sistema do computador
local sempre que os usurios ultrapassarem seus limites de cota. Os administradores podem
exibir esses eventos com o recurso Visualizar eventos, aplicando filtros para os tipos de
evento de disco.
Por padro, os eventos de cota so gravados a cada hora no log do sistema no computador
local. Voc pode alterar esse intervalo de gravao utilizando o comando fsutil behavior.
Para obter mais informaes sobre o recurso Visualizar eventos ou o comando fsutil
behavior, consulte Tpicos relacionados.
Registrar evento em log quando o nvel de notificao for excedido
Se as cotas estiverem ativadas, um evento ser gravado no log do sistema do computador
local sempre que os usurios ultrapassarem seus nveis de notificao. Os administradores
podem exibir esses eventos com o recurso Visualizar eventos, aplicando filtros para os tipos
de evento de disco.
Por padro, os eventos de cota so gravados a cada hora no log do sistema no computador
120

local. Voc pode alterar esse intervalo de gravao utilizando o comando fsutil behavior.
Para obter mais informaes sobre o recurso Visualizar eventos ou o comando fsutil
behavior, consulte Tpicos relacionados.





Para negar espao em disco aos usurios que excederem seus limites
1. Abra Meu computador.
2. Clique com o boto direito do mouse no volume para o qual voc deseja negar o uso do
espao em disco e clique em Propriedades.
3. Na caixa de dilogo Propriedades, clique na guia Cota.
4. Na guia Cota, marque a caixa de seleo Ativar gerenciamento de cota, marque a caixa de
seleo Negar espao em disco para limites de cota excedidos e clique em OK.
Observaes
Se o volume no tiver sido formatado com o sistema de arquivos NTFS ou se voc no for
um membro do grupo Administradores, a guia Cota no ser exibida na caixa de dilogo
Propriedades do volume.
121

Quando o sistema de cotas de disco estiver configurado para negar espao em disco aos
usurios do volume que excederem os limites de cotas atribudos a eles, esses usurios no
podero gravar dados adicionais no volume sem primeiramente excluir ou mover alguns
arquivos existentes do mesmo. A resposta do sistema ao fato de um usurio exceder o limite
de cota depende de cada programa individual. Para o programa, parecer que o volume est
cheio.

122

DNS
DNS uma abreviao de sistema de nomes de domnios (Domain Name System), um sistema para
servios de nomes de computadores e redes que organizado em uma hierarquia de domnios. Os
nomes DNS so usados em redes TCP/IP, como a Internet, para localizar computadores e servios
por meio de nomes amigveis para o usurio. Quando um usurio insere um nome DNS em um
aplicativo, os servios DNS podem resolver o nomes para outra informao associada ao nome,
como um endereo IP.
Por exemplo, a maioria dos usurios prefere um nome amigvel, como exemplo.microsoft.com para
localizar um computador como um servidor de correio ou da Web em uma rede. Um nome amigvel
pode ser mais fcil de aprender e lembrar. No entanto, os computadores se comunicam em rede
usando endereos numricos. Para utilizar os recursos da rede de maneira mais fcil, os sistemas de
nomes como DNS fornecem um modo de mapear o nome amigvel do usurio de um computador ou
servio para seu endereo numrico.
A figura a seguir mostra um uso bsico do DNS, que localizar o endereo IP de um computador
com base no seu nome.

Nesse exemplo, um cliente consulta um servidor DNS, pedindo o endereo IP de um computador
configurado para usar host-a.exemplo.microsoft.com como nome de domnio DNS. Como o servidor
DNS capaz de responder consulta com base no banco de dados local, ele responde com uma
resposta que contm as informaes solicitadas: um registro de recurso de host (A) que contm as
informaes de endereo IP para host-a.exemplo.microsoft.com.
O exemplo mostra uma consulta DNS simples entre um nico cliente e o servidor DNS. Na prtica,
as consultas DNS podem ser mais complicadas e incluir etapas adicionais no mostradas aqui. Para
obter mais informaes, consulte Como a consulta DNS funciona.


123

Como a consulta DNS funciona
Quando um cliente precisa procurar um nome usado em um programa, ele consulta os servidores
DNS para resolver o nome. Cada mensagem de consulta que o cliente envia contm trs
informaes, que especificam uma pergunta para o servidor responder:
Um nome de domnio DNS especfico, declarado como nome de domnio totalmente
qualificado (FQDN)
Um tipo de consulta especfica, que pode especificar um tipo de registro de recurso ou um
tipo especializado de operao de consulta.
Uma classe especfica para o nome de domnio DNS.
Para servidores DNS do Windows, isso deve ser especificado como a classe Internet (IN).
Por exemplo, o nome especificado pode ser o FQDN de um computador, como "host-
a.exemplo.microsoft.com." e o tipo de consulta especfica pode ser procurar um registro de recurso
de endereo (A) com esse nome. Pense na consulta DNS como um cliente que faz ao servidor uma
pergunta com duas partes, como Voc tem algum registro de recurso (A) para um computador cujo
nome "nome_do_host.exemplo.microsoft.com.'"? Quando o cliente recebe uma resposta do
servidor, ele l e interpreta o registro de recurso A respondido, conhecendo o endereo IP do
computador que ele solicitou pelo nome.
As consultas DNS so resolvidas de vrias formas. s vezes, um cliente responde a uma consulta
localmente, usando informaes em cache obtidas a partir de uma consulta anterior. O servidor DNS
pode usar seu prprio cache de informaes de registros de recursos para responder a uma consulta.
Um servidor DNS tambm pode consultar ou contatar outros servidores DNS em nome do cliente
solicitante para resolver totalmente o nome e, em seguida, retornar uma resposta para o cliente. Esse
processo conhecido como recurso.
Alm disso, o prprio cliente pode tentar contatar servidores DNS adicionais para resolver um nome.
Ao fazer isso, o cliente usa consultas separadas e adicionais com base nas respostas de referncia
dos servidores. Esse processo conhecido como iterao.
Em geral, o processo de consulta DNS ocorre em duas partes:
Uma consulta de nome comea em um computador cliente e passada para um resolvedor, o
servio de cliente DNS, para resoluo.
Quando a consulta no pode ser resolvida localmente, os servidores DNS podem ser
consultados para resolver o nome, conforme necessrio.
Esses dois processos so explicados com mais detalhes nas sees a seguir.

124

Parte 1: O resolvedor local
A figura a seguir mostra uma viso geral do processo de consulta DNS completo.

Como foi mostrado nas etapas iniciais do processo de consulta, um nome de domnio DNS usado
em um programa no computador local. Em seguida, a solicitao passada para o servio de cliente
DNS para resoluo usando as informaes armazenadas em cache localmente. Se o nome
consultado puder ser resolvido, a consulta ser respondida e o processo ser concludo.
O cache do resolvedor local pode incluir informaes de nomes obtidas em duas fontes possveis:
Se um arquivo Hosts configurado localmente, todos os mapeamentos de nome para
endereo de host desse arquivo so pr-carregados no cache quando o servio de cliente DNS
iniciado.
Os registros de recursos obtidos nas respostas enviadas a partir de consultas DNS anteriores
so adicionados ao cache e mantidos por um perodo de tempo.
Se a consulta no corresponder a uma entrada no cache, o processo de resoluo continuar com o
cliente consultando um servidor DNS para resolver o nome.

Parte 2: Consultando um servidor DNS
Como foi indicado na figura anterior, o cliente consulta um servidor DNS preferencial. O servidor
efetivamente usado durante a consulta cliente/servidor inicial do processo selecionado em uma
lista global.
Quando o servidor DNS recebe uma consulta, ele primeiro verifica se tem autoridade para responder
consulta com base nas informaes de registro de recurso contidas em uma zona configurada
localmente no servidor. Se o nome consultado corresponde a um registro de recurso nas informaes
de zona local, o servidor responder autoritativamente, usando essas informaes para resolver o
nome consultado.
Se no houver informaes de zona para o nome consultado, o servidor verificar se pode resolver o
nome usando informaes de consultas anteriores armazenadas localmente em cache. Se uma
125

correspondncia for encontrada, o servidor responder com essa informao. Novamente, se o
servidor preferencial puder responder ao cliente solicitante com uma resposta positiva
correspondente em seu cache, a consulta ser concluda.
Se o nome consultado no encontrar uma resposta correspondente no servidor preferencial nas
informaes em cache ou de zona o processo de consulta poder continuar usando recurso para
resolver totalmente o nome. Isso envolve a ajuda de outros servidores DNS para resolver o nome.
Por padro, o servio de cliente DNS solicita que o servidor use um processo de recurso para
resolver totalmente nomes solicitados pelo cliente antes de retornar uma resposta. Na maioria dos
casos, o servidor DNS configurado, por padro, para fornecer suporte ao processo de recurso,
como mostra a figura seguinte.
Para que o servidor DNS execute a recurso corretamente, ele primeiro precisa obter algumas
informaes de contato teis sobre outros servidores DNS no espao para nome do domnio DNS.
Essas informaes so fornecidas na forma de dicas de raiz, uma lista de registros de recursos
preliminares que pode ser usada pelo servio DNS para localizar outros servidores DNS
autoritativos para a raiz da rvore de espao para nome do domnio DNS. Os servidores raiz so
autoritativos para a raiz de domnio e para os domnios de nvel superior na rvore de espao para
nome do domnio DNS.
Ao usar as dicas de raiz para localizar servidores raiz, um servidor DNS pode completar o uso da
recurso. Teoricamente, esse processo habilita qualquer servidor DNS para localizar os servidores
autoritativos para qualquer outro nome de domnio DNS usado em qualquer nvel na rvore de
espao para nome.
Por exemplo, considere o uso do processo de recurso para localizar o nome "host-
b.exemplo.microsoft.com." quando o cliente consulta um nico servidor DNS. O processo ocorre
quando um servidor DNS e um cliente so iniciados pela primeira vez e no tm nenhuma
informao armazenada em cache localmente disponvel para ajudar a resolver uma consulta de
nome. Ele pressupe que o nome consultado pelo cliente refere-se a um nome de domnio do qual o
servidor no tem conhecimento local, com base em suas zonas configuradas.
Primeiro, o servidor preferencial analisa o nome completo e determina que ele precisa da localizao
do servidor autoritativo para o domnio de nvel superior, "com". Em seguida, usa uma consulta
iterativa para o servidor DNS "com" para obter uma referncia para o servidor "microsoft.com".
Uma resposta de referncia do servidor "microsoft.com" enviada para o servidor DNS com relao
a "exemplo.microsoft.com".
126

Por fim, o servidor "exemplo.microsoft.com." contatado. Como esse servidor contm o nome
consultado como parte de suas zonas configuradas, ele responde autoritativamente ao servidor
original que iniciou a recurso. Quando o servidor original recebe a resposta indicando que uma
resposta autoritativa foi obtida para a consulta solicitada, ele encaminha essa resposta para o cliente
solicitante e o processo de consulta recursiva concludo.
Embora o processo de consulta recursiva possa requerer uso intenso de recursos quando executado
conforme descrito acima, ele tem algumas vantagens de desempenho para o servidor DNS. Por
exemplo, durante o processo de recurso, o servidor DNS que executa a pesquisa recursiva obtm
informaes sobre o espao para nome do domnio DNS. Essas informaes so armazenadas em
cache pelo servidor e podem ser usadas novamente para ajudar a acelerar as respostas a consultas
subseqentes que as utilizam ou a elas correspondem. Ao longo do tempo, essas informaes em
cache podem crescer de maneira a ocupar uma parte significativa dos recursos de memria do
servidor, embora o cache seja limpo sempre que o ciclo do servio DNS habilitado e desabilitado.
Respostas de consultas alternativas
A discusso anterior sobre consultas DNS pressupe que o processo termina com uma resposta
positiva para o cliente. Entretanto, as consultas tambm podem retornar outras respostas. Estas so
as mais comuns:
Uma resposta autoritativa
Uma resposta positiva
Uma resposta de referncia
Uma resposta negativa
Uma resposta autoritativa uma resposta positiva retornada ao cliente e fornecida com o bit de
autoridade definido na mensagem DNS para indicar que a resposta foi obtida a partir de um servidor
com autoridade direta para o nome consultado.
Uma resposta positiva pode consistir no RR consultado ou em uma lista de RRs (tambm conhecida
como conjunto RR) que corresponde ao nome de domnio DNS consultado e ao tipo de registro
especificado na mensagem de consulta.
Uma resposta de referncia contm registros de recursos adicionais no especificados por nome ou
tipo na consulta. Esse tipo de resposta retornada ao cliente se no houver suporte para o processo
de recurso. Os registros destinam-se a atuar como respostas de referncia teis que o cliente pode
usar para continuar a consulta usando iterao.
Uma resposta de referncia contm dados adicionais, como registros de recursos (RRs), que so
diferentes do tipo consultado. Por exemplo, se o nome de host consultado foi "www" e nenhum RR
A foi encontrado para esse nome nessa zona, mas foi encontrado um RR CNAME, o servidor DNS
pode incluir essa informao quando responder ao cliente.
Se o cliente for capaz de usar iterao, poder fazer consultas adicionais usando a informao de
referncia em uma tentativa de resolver totalmente o nome. Para obter mais informaes
Uma resposta negativa do servidor pode indicar que um dos dois resultados possveis foi encontrado
enquanto o servidor tentava processar e resolver a consulta em modo recursivo total e
autoritativamente.
Um servidor autoritativo indicou que o nome consultado no existe no espao para nome
127

DNS.
Um servidor autoritativo indicou que o nome consultado existe mas no h registros do tipo
especificado para esse nome.
O resolvedor passa os resultados da consulta, na forma de resposta positiva ou negativa, para o
programa solicitante e armazena a resposta em cache.
Observaes
Se a resposta resultante de uma consulta for muito longa para ser enviada e resolvida em um
nico pacote de mensagem UDP, o servidor DNS pode iniciar uma resposta de tolerncia a
falhas na porta TCP 53 para responder ao cliente totalmente em uma sesso TCP conectada.
A desabilitao do uso da recurso em um servidor DNS geralmente feita quando os
clientes DNS esto sendo limitados a resolver nomes para um servidor DNS especfico; por
exemplo, um servidor localizado na sua intranet. A recurso tambm pode ser desabilitada
quando o servidor DNS for incapaz de resolver nomes DNS externos e espera-se que os
clientes utilizem outro servidor DNS para resoluo desses nomes.
possvel desabilitar o uso de recurso configurando as propriedades Avanadas no console
DNS do servidor aplicvel. Para obter mais informaes, consulte Desabilitar recurso no
servidor DNS.
Se voc desabilitar a recurso no servidor DNS, no poder usar encaminhadores no mesmo
servidor.
Por padro, os servidores DNS usam diversos intervalos de tempo padro quando executam
uma consulta recursiva e contatam outros servidores DNS. So eles:
Um intervalo de 3 minutos para uma nova tentativa de recurso. Esse o perodo de
tempo que o servio DNS espera antes de tentar novamente uma consulta feita
durante uma pesquisa recursiva.
Um intervalo de tempo limite de recurso de 15 segundos. Esse o perodo de tempo
que o servio DNS espera antes de falhar uma pesquisa recursiva que foi novamente
tentada.
Na maioria das circunstncias, esses parmetros no precisam de ajuste. Porm, se voc
estiver usando pesquisas recursivas em uma conexo WAN de baixa velocidade, o
desempenho do servidor e a concluso da consulta podero ser melhorados com pequenos
ajustes nas configuraes. Para obter mais informaes.
Como a iterao funciona
A iterao o tipo de resoluo de nomes usado entre clientes e servidores DNS quando as seguintes
condies estiverem em vigor:
O cliente solicita o uso de recurso, mas ela est desabilitada no servidor DNS.
O cliente no solicita o uso de recurso ao consultar o servidor DNS.
Uma solicitao iterativa de um cliente informa ao servidor DNS que o cliente espera a melhor
resposta que o servidor DNS puder fornecer imediatamente, sem entrar em contato com outros
servidores DNS.
Quando a iterao usada, um servidor DNS responde a um cliente com base em seu conhecimento
especfico sobre o espao para nome com relao aos dados de nomes que esto sendo consultados.
128

Por exemplo, se um servidor DNS na sua intranet recebe uma consulta de um cliente local para
"www.microsoft.com", ele deve retornar uma resposta do seu cache de nomes. Se o nome
consultado no estiver armazenado atualmente no cache de nomes do servidor, o servidor poder
responder fornecendo uma referncia isto , uma lista de registros de recursos NS e A de outros
servidores DNS que esto mais prximos ao nome consultado pelo cliente.
Quando uma referncia feita, o cliente DNS assume a responsabilidade por continuar fazendo
consultas iterativas para outros servidores DNS configurados para resolver o nome. Por exemplo, na
maioria dos casos envolvidos, o cliente DNS deve expandir sua pesquisa at os servidores de
domnio raiz na Internet, em um esforo para localizar os servidores DNS que tm autoridade para o
domnio "com". Depois de contatar os servidores raiz da Internet, poder receber respostas iterativas
adicionais a partir desses servidores DNS apontando para servidores DNS da Internet efetivos do
domnio "microsoft.com". Quando o cliente recebe os registros desses servidores DNS, ele pode
enviar outra consulta iterativa para os servidores DNS da Microsoft externos na Internet, que podem
responder com uma resposta definitiva e autoritativa.
Quando a iterao usada, um servidor DNS pode ajudar adicionalmente em uma resoluo de
consulta de nome, alm de enviar sua melhor resposta para o cliente. Na maioria das consultas
iterativas, um cliente usa sua lista de servidores DNS configurada localmente para contatar outros
servidores de nomes em todo o espao para nome DNS se o servidor DNS primrio no conseguir
resolver a consulta.
Como o armazenamento em cache funciona
Quando os servidores DNS processam consultas de clientes usando recurso ou iterao, eles
descobrem e adquirem um estoque significativo de informaes sobre o espao para nome DNS.
Essas informaes so armazenadas em cache pelo servidor.
O armazenamento em cache permite acelerar o desempenho da resoluo DNS para consultas
subseqentes de nomes comuns e reduz substancialmente o trfego de consultas relativo ao DNS na
rede.
Quando fazem consultas recursivas em nome dos clientes, os servidores DNS armazenam em cache
temporariamente os registros de recursos (RRs). Os RRs armazenados em cache contm
informaes obtidas de servidores DNS autoritativos para nomes de domnio DNS conhecidos
durante as consultas iterativas realizadas para pesquisar e responder totalmente a uma consulta
recursiva executada em nome de um cliente. Posteriormente, quando outros clientes fazem novas
consultas solicitando informaes de RR que correspondem aos RRs armazenados em cache, o
servidor DNS pode usar essas informaes de RR armazenadas em cache para responder.
Quando as informaes so armazenadas em cache, um valor de tempo de vida (TTL) aplicado a
todos os RRs armazenados em cache. Enquanto o TTL de um RR armazenado em cache no expirar,
o servidor DNS pode continuar a armazenar esse RR em cache e us-lo novamente quando
responder a consultas feitas por seus clientes que correspondam a esses RRs. Na maioria das
configuraes de zona, o armazenamento em cache dos valores de tempo de vida usados pelos RRs
recebe a atribuio de Tempo de vida mnimo (padro), que definida no registro de recurso de
incio de autoridade (SOA) da zona. Por padro, o TTL mnimo de 3.600 segundos (1 hora), mas
ele pode ser ajustado ou, se necessrio, o armazenamento em cache de TTLs pode ser configurado
para cada RR.
129


DNS a abreviatura de Domain Name System.
O DNS um servio de resoluo de nomes. Toda comunicao entre os computadores e demais
equipamentos de uma rede baseada no protocolo TCP/IP (e qual rede no baseada no protocolo
TCP/IP?) feita atravs do nmero IP. Nmero IP do computador de origem e nmero IP do
computador de destino. Porm no seria nada produtivo se os usurios tivessem que decorar, ou
mais realisticamente, consultar uma tabela de nmeros IP toda vez que tivessem que acessar um
recurso da rede. Por exemplo, voc digita http://www.microsoft.com/brasil, para acessar o site da
Microsoft no Brasil, sem ter que se preocupar e nem saber qual o nmero IP do servidor onde est
hospedado o site da Microsoft Brasil. Mas algum tem que fazer este servio, pois quando voc
digita http://www.microsoft.com/brasil, o protocolo TCP/IP precisa descobrir (o termo tcnico
resolver o nome) qual o nmero IP est associado com o endereo digitado. Se no for possvel
descobrir o nmero IP associado ao nome, no ser possvel acessar o recurso desejado.
O papel do DNS exatamente este, descobrir, ou usando o termo tcnico, resolver um
determinado nome, como por exemplo http://www.microsoft.com Resolver um nome significa,
descobrir e retornar o nmero IP associado com o nome. Em palavras mais simples, o DNS um
servio de resoluo de nomes, ou seja, quando o usurio tenta acessar um determinado recurso da
rede usando o nome de um determinado servidor, o DNS o responsvel por localizar e retornar o
nmero IP associado com o nome utilizado. O DNS , na verdade, um grande banco de dados
distribudo em milhares de servidores DNS no mundo inteiro. Ele possui vrias caractersticas, as
quais descreverei nesta parte do tutorial de TCP/IP.
O DNS passou a ser o servio de resoluo de nomes padro a partir do Windows 2000 Server.
Anteriormente, com o NT Server 4.0 e verses anteriores do Windows, o servio padro para
resoluo de nomes era o WINS Windows Internet Name Service (WINS o assunto da Parte 9
deste tutorial). Verses mais antigas dos clientes Windows, tais como Windows 95, Windows 98 e
Windows Me ainda so dependentes do WINS, para a realizao de determinadas tarefas. O fato de
existir dois servios de resoluo de nomes, pode deixar o administrador da rede e os usurios
confusos.
Cada computador com o Windows instalado (qualquer verso), tem dois nomes: um host name (que
ligado ao DNS) e um NetBios name (que ligado ao WINS). Por padro estes nomes devem ser
iguais, ou seja, aconselhvel que voc utilize o mesmo nome para o host name e para o NetBios
name do computador.
O DNS um sistema para nomeao de computadores e equipamentos de rede em geral (tais como
roteadores,hubs, switchs). Os nomes DNS so organizados de uma maneira hierrquica atravs da
diviso da rede em domnios DNS.
O DNS , na verdade, um grande banco de dados distribudo em vios servidoress DNS e um
conjunto de servios e funcionalidades, que permitem a pesquisa neste banco de dados. Por
exemplo, quando o usurio digita www.abc.com.br na barra de endereos do seu navegador, o DNS
tem que fazer o trabalho de localizar e retornar para o navegador do usurio, o nmero IP associado
com o endereo www.abc.com.br Quando voc tenta acessar uma pasta compartilhada chamada
docs, em um servidor chamado srv-files01.abc.com.br, usando o caminho \\srv-
files01.abc.com.br\docs, o DNS precisa encontrar o nmero IP associado com o nome srv-

files01.abc.com.br. Se esta etapa falhar, a comunicao no ser estabelecida e voc no poder
acessar a pasta compartilhada docs.
Ao tentar acessar um determinado recurso, usando o nome de um servidor, como se o programa
que voc est utilizando perguntass
DNS, voc sabe qual o endereo IP associado com o nome tal?
O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS (dependendo
de como foram feitas as configuraes do servidor DNS, conforme descreverei mais adiante
vez encontrado o nmero IP, o DNS retorna o nmero IP para o cliente:
Este o nmero IP associado com o nome tal.
Nota: O DNS implementado no Windows 2000 Server e tambm no Windows Server 2003
baseado em padres definidos por entidades de pad
documentos so conhecidos como RFCs
facilmente a lista de RFCs disponveis e o assunto relacionada com cada uma. So milhares de RFCs
(literalmente milhares).
Entendendo os elementos que compem o DNS
O DNS baseado em conceitos tais como espao de nomes e rvore de domnios. Por exemplo, o
espao de nomes da Internet um espao de nomes hierrquico, baseado no DNS. Para entender
melhor estes conceitos, obse

Figura - Estrutura hierrquica do DNS
01.abc.com.br. Se esta etapa falhar, a comunicao no ser estabelecida e voc no poder
acessar a pasta compartilhada docs.
Ao tentar acessar um determinado recurso, usando o nome de um servidor, como se o programa
que voc est utilizando perguntasse ao DNS:
DNS, voc sabe qual o endereo IP associado com o nome tal?
O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS (dependendo
de como foram feitas as configuraes do servidor DNS, conforme descreverei mais adiante
vez encontrado o nmero IP, o DNS retorna o nmero IP para o cliente:
Este o nmero IP associado com o nome tal.
O DNS implementado no Windows 2000 Server e tambm no Windows Server 2003
baseado em padres definidos por entidades de padronizao da Internet, tais como o IETF. Estes
documentos so conhecidos como RFCs Request for Comments. Voc encontra, na Internet,
facilmente a lista de RFCs disponveis e o assunto relacionada com cada uma. So milhares de RFCs
Entendendo os elementos que compem o DNS
O DNS baseado em conceitos tais como espao de nomes e rvore de domnios. Por exemplo, o
espao de nomes da Internet um espao de nomes hierrquico, baseado no DNS. Para entender
melhor estes conceitos, observe o diagrama da Figura a seguir:
Estrutura hierrquica do DNS
130
01.abc.com.br. Se esta etapa falhar, a comunicao no ser estabelecida e voc no poder
Ao tentar acessar um determinado recurso, usando o nome de um servidor, como se o programa
O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS (dependendo
de como foram feitas as configuraes do servidor DNS, conforme descreverei mais adiante). Uma
vez encontrado o nmero IP, o DNS retorna o nmero IP para o cliente:
O DNS implementado no Windows 2000 Server e tambm no Windows Server 2003
ronizao da Internet, tais como o IETF. Estes
Request for Comments. Voc encontra, na Internet,
facilmente a lista de RFCs disponveis e o assunto relacionada com cada uma. So milhares de RFCs
O DNS baseado em conceitos tais como espao de nomes e rvore de domnios. Por exemplo, o
espao de nomes da Internet um espao de nomes hierrquico, baseado no DNS. Para entender

131

Nesta Figura apresentada uma viso abreviada da estrutura do DNS definida para a Internet. O
principal domnio, o domnio root, o domnio de mais alto nvel foi nomeado como sendo um ponto
(.). No segundo nvel foram definidos os chamados Top-level-domains. Estes domnios so
bastante conhecidos, sendo os principais descritos na Tabela a seguir:
Top-level-domains:
Top-level-domain Descrio
com Organizaes comerciais
gov Organizaes governamentais
edu Instituies educacionais
org Organizaes no comerciais
net Diversos
mil Instituies militares
Em seguida, a estrutura hierrquica continua aumentando. Por exemplo, dentro do domnio .com,
so criadas sub domnios para cada pas. Por exemplo: br para o Brasil (.com.br), .fr para a frana
(.com.fr), uk para a Inglaterra (.com.uk) e assim por diante. Observe que o nome completo de um
domnio o nome do prprio domnio e mais os nomes dos domnios acima dele, no caminho at
chegar ao domnio root que o ponto. Nos normalmente no escrevemos o ponto, mas no est
errado utiliz-lo. Por exemplo, voc pode utilizar www.microsoft.com ou www.microsoft.com. (com
ponto no final mesmo).
No diagrama da Figura anterior, representei at o domnio de uma empresa chamada abc (abc...), que
foi registrada no subdomnio (.com.br), ou seja: abc.com.br. Este o domnio DNS desta nossa
empresa de exemplo.
Nota: Para registrar um domnio .br, utilize o seguinte endereo: www.registro.br
Todos os equipamentos da rede da empresa abc.com.br, faro parte deste domnio. Por exemplo,
considere o servidor configurado com o nome de host www. O nome completo deste servidor ser
www.abc.com.br, ou seja, com este nome que ele poder ser localizado na Internet. O nome
completo do servidor com nome de host ftp ser: ftp.abc.com.br, ou seja, com este nome que ele
poder ser acessado atravs da Internet. No banco de dados do DNS que ficar gravada a
informao de qual o endereo IP est associado com www.abc.com.br, qual o endereo IP est
associado com ftp.abc.com.br e assim por diante. Mais adiante voc ver, passo-a-passo, como
feita a resoluo de nomes atravs do DNS.
O nome completo de um computador da rede conhecido como FQDN Full Qualifided Domain
Name. Por exemplo ftp.abc.com.br um FQDN. ftp (a primeira parte do nome) o nome de host e o
restante representa o domnio DNS no qual est o computador. A unio do nome de host com o
nome de domnio que forma o FQDN.
Internamente, a empresa abc.com.br poderia criar subdomnios, como por exemplo:
vendas.abc.com.br, suporte.abc.com.br, pesquisa.abc.com.br e assim por diante. Dentro de cada um
destes subdominios poderia haver servidores e computadores, como por exemplo:
srv01.vendas.abc.com.br, srv-pr01.suporte.abc.com.br. Observe que sempre, um nome de domnio
mais baixo, contm o nome completo dos objetos de nvel mais alto. Por exemplo, todos os
132

subdomnios de abc.com.br, obrigatoriamente, contm abc.com.br: vendas.abc.com.br,
suporte.abc.com.br, pesquisa.abc.com.br. Isso o que define um espao de nomes contnio.
Dentro de um mesmo nvel, os nomes DNS devem ser nicos. Por exemplo, no possvel registrar
dois domnios abc.com.br. Porm possvel registrar um domnio abc.com.br e outro abc.net.br.
Dentro do domnio abc.com.br pode haver um servidor chamado srv01. Tambm pode haver um
servidor srv01 dentro do domnio abc.net.br. O que distingue um do outro o nome completo
(FQDN), neste caso: srv01.abc.com.br e o outro srv01.abc.net.br.
Nota: Um mtodo antigo, utilizado inicalmente para resoluo de nomes era o arquivo hosts. Este
arquivo um arquivo de texto e contm entradas como as dos exemplos a seguir, uma em cada
linha:
10.200.200.3 www.abc.com.br
10.200.200.4 ftp.abc.com.br
10.200.200.18 srv01.abc.com.br srv-files
O arquivo hosts individual para cada computador da rede e fica gravado (no Windows NT,
Windows 2000, Windows Server 2003 ou Windows XP), na pasta system32\drivers\etc, dentro da
pasta onde o Windows est instalado. Este arquivo um arquivo de texto e pode ser alterado com o
bloco de Notas.
O DNS formado por uma srie de componentes e servios, os quais atuando em conjunto, tornam
possvel a tarefa de fazer a resoluo de nomes em toda a Internet ou na rede interna da empresa. Os
componentes do DNS so os seguintes:
O espao de nomes DNS: Um espao de nomes hierrquico e contnuo. Pode ser o espao
de nomes da Internet ou o espao de nomes DNS interno, da sua empresa. Pode ser utilizado
um espao de nomes DNS interno, diferente do nome DNS de Internet da empresa ou pode
ser utilizado o mesmo espao de nomes. Cada uma das abordagens tem vantagens e
desvantagens.
Servidores DNS: Os servidores DNS contm o banco de dados do DNS com o mapeamento
entre os nomes DNS e o respectivo nmero IP. Os servidores DNS tambm so responsveis
por responder s consultas de nomes envidas por um ou mais clientes da rede. Voc
aprender mais adiante que existem diferentes tipos de servidores DNS e diferentes mtodos
de resoluo de nomes.
Registros do DNS (Resource Records): Os registros so as entradas do banco de dados do
DNS. Em cada entrada existe um mapeamento entre um determinado nome e uma
informao associada ao nome. Pode ser desde um simples mapeamento entre um nome e o
respectivo endereo IP, at registros mais sofisticados para a localizao de DCs
(controladores de domnio do Windows 2000 ou Windows Server 2003) e servidores de
email do domnio.
Clientes DNS: So tambm conhecidos como resolvers. Por exemplo, uma estao de
trabalho da rede, com o Windows 2000 Professional, com o Windows XP professional ou
com o Windows Vista tem um resolver instalado. Este componente de software
responsvel por detectar sempre que um programa precisa de resoluo de um nome e
repassar esta consulta para um servidor DNS. O servidor DNS retorna o resultado da
consulta, o resultado retornado para o resolver, o qual repassa o resultado da consulta para
o programa que originou a consulta.
133

Entendendo como funcionam as pesquisas do DNS
Imagine um usurio, na sua estao de trabalho, navegando na Internet. Ele tenta acessar o site
www.uol.com.brO usurio digita este endereo e tecla Enter. O resolver (cliente do DNS instalado
na estao de trabalho do usurio) detecta que existe a necessidade da resoluo do nome
www.juliobattisti.com.br, para descobrir o nmero IP associado com este nome. O resolver envia a
pesquisa para o servidor DNS configurado como DNS primrio, nas propriedades do TCP/IP da
estao de trabalho (ou para o DNS informado pelo DHCP, caso a estao de trabalho esteja obtendo
as configuraes do TCP/IP, automaticamente, a partir de um servidor DHCP assunto da Parte 10
deste tutorial). A mensagem envida pelo resolver, para o servidor DNS, contm trs partes de
informao, conforme descrito a seguir:
O nome a ser resolvido. No nosso exemplo: www.uol.com.br
O tipo de pesquisa a ser realizado. Normalmente uma pesquisa do tipo resource record,
ou seja, um registro associado a um nome, para retornar o respectivo endereo IP. No nosso
exemplo, a pesquisa seria por um registro do tipo A, na qual o resultado da consulta o
nmero IP associado com o nome que est sendo pesquisado. como se o cliente
perguntasse para o sevidor DNS: Voc conhece o nmero IP associado com o nome
www.juliobattisti.com.br? E o servidor responde: Sim, conheo. O nmero IP associado
com o nome www.uol.com.br o seguinte... Tambm podem ser consultas especializadas,
como por exemplo, para localizar um DC (controlador de domnio) no domnio ou um
servidor de autenticao baseado no protocolo Kerberos.
Uma classe associada com o nome DNS. Para os servidores DNS baseados no Windows
2000 Server e Windows Server 2003, a classe ser sempre uma classe de Internet (IN),
mesmo que o nome seja referente a um servidor da Intranet da empresa.
Existem diferentes maneiras como uma consulta pode ser resolvida. Por exemplo, a primeira vez que
um nome resolvido, o nome e o respetivo nmero IP so armazenados em memria, no que
conhecido como Cache do cliente DNS, na estao de trabalho que fez a consulta. Na prxima vez
que o nome for utilizado, primeiro o Windows procura no Cache DNS do prprio computador, para
ver se no existe uma resoluo anterior para o nome em questo. Somente se no houver uma
resoluo no Cache local do DNS, que ser envida uma consulta para o servidor DNS.
Chegando a consulta ao servidor, primeiro o servidor DNS consulta o cache do servidor DNS. No
cache do servidor DNS ficam, por um determinado perodo de tempo, as consultas que foram
resolvidas anteriormente pelo servidor DNS. Esse processo agiliza a resoluo de nomes, evitando
repetidas resolues do mesmo nome. Se no for encontrada uma resposta no cache do servidor
DNS, o servidor pode tentar resolver a consulta usando as informaes da sua base de dados ou pode
enviar a consulta para outros servidores DNS, at que uma resposta seja obtida. A seguir descreverei
detalhes deste procsso de enviar uma consulta para outros servidores, processo este chamado de
recurso.
Em resumo, o processo de resoluo de um nome DNS composto de duas etapas:
1. A consulta inicia no cliente e passada para o resolver na estao de trabalho do cliente.
Primeiro o resolver tenta responder a consulta localmente, usando recursos tais como o cache local
do DNS e o arquivo hosts.
2. Se a consulta no puder ser resolvida localmente, o resolver envia a consulta para o servidor
DNS, o qual pode utilizar diferentes mtodos (descritos mais adiante), para a resoluo da consulta.
134

A seguir vou descrever as etapas envolvidas nas diferentes maneiras que o DNS utiliza para
responder a uma consulta enviada por um cliente.
Nota: Vou utilizar algumas figuras da ajuda do Windows 2000 Server para explicar a maneira como
o DNS resolve consultas localmente (resolver) e os diferentes mtodos de resoluo utilizados pelo
servidor DNS.
Inicialmente considere o diagrama da Figura a seguir, contido na Ajuda do DNS, no Windows 2000
Server, diagrama este que apresenta uma viso geral do processo de resoluo de nomes do DNS.


Figura - O processo de resoluo de nomes do DNS.
No exemplo desta figura, o cliente est em sua estao de trabalho e tenta acessar o site da
Microsoft: www.microsoft.com. Ao digitar este endereo no seu navegador e pressionar Enter, o
processo de resoluo do nome www.microsoft.com iniciado. Uma srie de etapas so executadas,
at que a resolua acontea com sucesso ou falhe em definitivo, ou seja, o DNS no consegue
resolver o nome, isto , no consegue encontrar o nmero IP associado ao endereo
www.microsoft.com
Primeira etapa: O DNS tenta resolver o nome, usando o resolver local:
Ao digitar o endereo www.microsoft.com e pressionar Enter, o processo de resoluo iniciado.
Inicialmente o endereo passado para o cliente DNS, na estao de trabalho do usurio. O cliente
DNS conhecido como resolver, conforme j descrito anteriormente, nome este que utilizarei a
partir de agora. O cliente tenta resolver o nome utilizando um dos seguintes recursos:
O cache DNS local: Sempre que um nome resolvido com sucesso, o nome e a informao
associada ao nome (normalmente o endereo IP), so mantidos na memria, o que
conhecido como cache local do DNS da estao de trabalho do cliente. Quando um nome
precisa ser resolvido, a primeira coisa que o resolver faz procurar no cache local.
Encontrando no cache local, as informaes do cache so utilizadas e a resoluo est
completa. O cache local torna a resoluo mais rpida, uma vez que nomes j resolvidos
podem ser consultados diretamente no cache, ao invs de terem que passar por todo o
processo de resoluo via servidor DNS novamente, processo este que voc aprender logo a
seguir. Pode acontecer situaes onde informaes incorretas foram gravadas no Cache
Local e o Resolver est utilizando estas informaes. Voc pode limpar o Cache local,
usando o comando ipconfig /flushdns Abra um prompt de Comando, digite o comando
ipconfig /flushdns e pressione Enter. Isso ir limpar o Cache local.
135

O arquivo hosts: Se no for encontrada a resposta no cache local do DNS, o resolver
consulta as entradas do arquivos hosts, o qual um arquivo de texto e fica na pasta onde o
Windows Server foi instalado, dentro do seguinte caminho: \system32\drivers\etc (para o
Windows NT 4, Windows 2000, Windows Server 2003 e Windos XP). O hosts um arquivo
de texto e pode ser editado com o bloco de notas. Este arquivo possui entradas no formato
indicado a seguir, com um nmeo IP por linha, podendo haver um ou mais nomes associados
com o mesmo nmero IP:
10.200.200.3 www.abc.com.br intranet.abc.com.br
10.200.200.4 ftp.abc.com.br arquivos.abc.com.br
10.200.200.18 srv01.abc.com.br pastas.abc.com.br pastas
Se mesmo assim a consulta no for respondida, o resolver envia a consulta para o servidor DNS
configurado nas propriedades do TCP/IP como servidor DNS primrio ou configurado via DHCP,
como servidor DNS primrio.
Segunda etapa: Pesquisa no servidor DNS.
Uma vez que a consulta no pode ser resolvida localmente pelo resolver, esta enviada para o
servidor DNS. Quando a consulta chega no servidor DNS, a primeira coisa que o servidor DNS faz
consultar as zonas para as quais ele uma autoridade.
Por exemplo, vamos supor que o servidor DNS seja o servidor DNS primrio para a zona
vendas.abc.com.br (diz-se que ele a autoridade para esta zona) e o nome a ser pesquisado
srv01.vendas.abc.com.br. Neste caso o servidor DNS ir pesquisar nas informaes da zona
vendas.abc.com.br (para a qual ele a autoridade) e responder a consulta para o cliente. Diz-se que o
servidor DNS respondeu com autoridade (authoritatively).
No nosso exemplo (Figura anterior) no este o caso, uma vez que o nome pesquisado
www.microsoft.com e o servidor DNS no a autoridade, ou seja, no o servidor DNS primrio
para o domno microsoft.com. Neste caso, o servidor DNS ir pesquisar o cache do servidor DNS
(no confundir com o cache local do DNS no cliente).
medida que o servidor DNS vai resolvendo nomes, ele vai mantendo estas informaes em um
cache no servidor DNS. As entradas so mantidas em cache por um tempo que pode ser configurado
pelo administrador do DNS. O cache do servidor DNS tem a mesma funo do cache local do
resolver, ou seja, agilizar a consulta a nomes que j foram resolvidos previamente. Se for encontrada
uma entrada no cache do servidor DNS, esta entrada ser utilizada pelo servidor DNS para responder
a consulta enviada pelo cliente. e o processo de consulta est completo.
Caso o servidor DNS no possa responder usando informaes de uma zona local do DNS e nem
informaes contidas no cache do servidor DNS, o processo de pesquisa continua, usando um
processo conhecido como recurso (recursion), para resolver o nome. Agora o servidor DNS far
consultas a outros servidores para tentar responder a consulta enviada pelo cliente. O processo de
recurso ilustrado na Figura a seguir, da ajuda do DNS. Em seguida comentarei os passos
envolvidos no processo de recurso.
136


Figura - Resoluo de nomes usando recurso
O servidor DNS ir iniciar o processo de recurso com o auxlio de servidores DNS da Internet. Para
localizar estes servidores, o servidor DNS utiliza as configuraes conhecidas como root hints.
Root hints nada mais do que uma lista de servidores DNS e os respectivos endereos IP, dos
servidores para o domnio root (representado pelo ponto .) e para os domnios top-level (.com, .net,
gov e assim por diante). Esta lista criada automaticamente quando o DNS instalado e pode ser
acessada atravs das propriedades do servidor DNS. Na Figura a seguir exibida uma lista de root
hints configuradas por padro, em um servidor DNS, baseado no Windows 2000 Server:

Figura - Lista de root hints do servidor DNS.
137

Com o uso da lista de servidores root hints, o servidor DNS consege localizar (teoricamente), os
servidores DNS responsveis por quaisquer domnio registrado.
Vamos novamente considerar um exemplo, para entender como o processo de recurso funciona.
Imagine que a consulta enviada pelo cliente para descobrir o endereo IP associado ao nome
srv01.vendas.abc.com. O cliente que fez esta consulta est usando um computador da rede xyz.com,
o qual est configurado para usar, como DNS primrio, o DNS da empresa xyz.com.
Primeiro vamos assumir que o nome no pode ser resolvido localmente no cliente (usando o cache
DNS local e o arquivo hosts) e foi enviado para o servidor DNS primrio da empresa xyz.com. Este
DNS dono, autoridade apenas para o domnio xyz.com e no para vendas.abc.com (lembrando
sempre que a primeira parte do nome o nome da mquina, conhecido como nome de host). Com
isso o servidor DNS primrio da empresa xyz.com.br ir pesquisar no cache do servidor DNS. No
encontrando a resposta no cache, iniciado o processo de recurso, com os passos descritos a seguir:
1. O servidor DNS retira apenas a parte correspondente ao domnio (o nome todo, menos a
primeira parte. No nosso exemplo seria vendas.abc.com, srv01 o nome de host). Usando a lista de
servidores DNS configurados como root hints, o servidor DNS localiza um servidor que seja o dono,
a autoridade para o domnio root da Internet, representado pelo ponto (o processo assim mesmo,
de trs para frente).
2. Localizado o servidor responsvel pelo domnio root, o servidor DNS da empresa xyz.com
envia uma consulta interativa para o servidor DNS responsvel pelo domnio root, perguntando:
Voc sabe quem o servidor DNS responsvel pelo domnio .com?. O servidor DNS root
responde com o endereo IP de um dos servidores DNS responsveis pelo domnio .com. Ou seja, o
servidor DNS root no sabe responder diretamente o nome que est sendo resolvido, mas sabe para
quem enviar, sabe a quem recorrer. Talvez da venha o nome do processo recurso.
3. O servidor DNS do domnio xyz.com recebe a resposta informando qual o servidor DNS
responsvel pelo domnio .com.
4. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS responsvel
pelo .com (informado no passo 3), perguntando: Voc a autoridade para abc.com ou saberia
informar quem a autoridade para abc.com?
5. O servidor DNS responsvel pelo domnio .com no a autoridade para abc.com, mas sabe
informar quem a autoridade deste domnio. O servidor DNS resonsvel pelo .com retorna para o
servidor DNS do domnio xyz.com, o nmero IP do servidor DNS responsvel pelo domnio
abc.com.
6. O servidor DNS do domnio xyz.com recebe a resposta informando o nmero IP do servidor
responsvel pelo domnio abc.com.
7. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS
responsvel pelo abc.com (informado no passo 6), perguntando: Voc a autoridade para
vendas.abc.com ou saberia informar quem a autoridade para vendas.abc.com?
8. O servidor DNS responsvel pelo abc.com no a autoridade para vendas.abc.com, mas sabe
informar quem a autoridade deste domnio. O servidor DNS resonsvel pelo abc.com retorna para
o servidor DNS do domnio xyz.com, o nmero IP do servidor DNS responsvel pelo domnio
vendas.abc.com.
138

9. O servidor DNS do domnio xyz.com recebe a resposta informando o nmero IP do servidor
responsvel pelo domnio vendas.abc.com.
10. O servidor DNS do domnio xyz.com envia uma consulta para o servidor DNS responsvel
pelo vendas.abc.com (informado no passo 9), perguntando: Voc a autoridade para
vendas.abc.com ou saberia informar quem a autoridade para vendas.abc.com?
11. O servidor DNS para vendas.abc.com recebe a consulta para resolver o nome
srv01.vendas.abc.com. Como este servidor a autoridade para o domnio, ele pesquisa a zona
vendas.abc.com, encontra o registro para o endereo serv01.vendas.abc.com e retornar esta
inforamao para o servidor DNS do domnio xyz.com.
12. O servidor DNS do domnio xyz.com recebe a resposta da consulta, faz uma cpia desta
resposta no cache do servidor DNS e retornar o resultado para o cliente que originou a consulta.
13, No cliente o resolver recebe o resultado da consulta, repassa este resultado para o programa
que gerou a consulta e grava uma cpia dos dados no cache local do DNS.
Evidentemente que a descrio do processo demora muito mais tempo do que o DNS realmente leva
para resolver um nome usando este mtodo. Claro que a resoluo rpida, seno ficaria
praticamente impossvel usar a Internet. Alm disso, este mtodo traz algumas vantagens. Durante
esta espcie de pingue-pongue entre o servidor DNS e os servidores DNS da Internet, o servidor
DNS da empresa vai obtendo informaes sobre os servidores DNS da Internet e grava estas
informaes no cache local do servidor DNS. Isso agiliza futuras consultas e reduz,
significativamente, o tempo para a resoluo de nomes usando o processo de recurso. Estas
informaes so mantidas na memria do servidor e com o passar do tempo podem ocupar um
espao considervel da memria. Toda vez que o servio DNS for parado e iniciado novamente,
estas informaes sero excludas da memria e o processo de cache inicia novamente.
Consideraes e tipos especiais de resolues
O processo descrito anteriormente, termina com o servidor DNS (aps ter consultado vrios outros
servidores) retornando uma resposta positiva para o cliente, isto , conseguindo resolver o nome e
retornando a informao associada (normalmente o nmero IP associado ao nome) para o cliente.
Mas nem sempre a resposta positiva, muitos outros tipos de resultados podem ocorrer em resposta
a uma consulta, tais como:
An authoritative answer (resposta com autoridade): Este tipo de resposta obtido quando
o nome resolvido diretamente pelo servidor DNS que a autoridade para o domnio
pesquisado. Por exemplo, um usurio da Intranet da sua empresa (abc.com.br), tenta acessar
uma pgina da intranet da empresa, por exemplo: rh.abc.com.br. Neste caso a consulta ser
enviada para o servidor DNS da empresa, o qual a autoridade para a zona abc.com.br, com
isso o servidor DNS da empresa, responde diretamente consulta, informando o nmero IP
do servidor rh.abc.com.br. tambm uma resposta positiva s que com autoridade, ou seja,
respondida diretamente pelo servidor DNS que a autoridade para o domnio pesquisado,
sem a necessidade de usar recurso.
A positive answer (resposta positiva): uma resposta com o resultado para o nome
pesquisado, isto , o nome pde ser resolvido e uma ou mais informaes associadas ao
nome so retornadas para o cliente.
A referral answer (uma referncia): Este tipo de resposta no contm a resoluo do nome
pesquisado, mas sim informaes e referncia a recursos ou outros servidores DNS que
139

podem ser utilizados para a resoluo do nome. Este tipo de resposta ser retornado para o
cliente, se o servidor DNS no suportar o mtodo de recurso, descrito anteriormente. As
informaes retornadas por uma resposta deste tipo so utilizadas pelo cliente para continuar
a pesquisa, usando um processo conhecido como interao (o qual ser descrito mais
adiante). O cliente faz a pesquisa em um servidor DNS e recebe, como resposta, uma
referncia a outro recurso ou servidor DNS. Agora o cliente ir interagir com o novo recurso
ou servidor DNS, tentando resolver o nome. Este processo pode continuar at que o nome
seja resolvido ou at que uma resposta negativa seja retornada, indicando que o nome no
pode ser resolvido. O processo de interao ser descrito mais adiante.
A negative answer (uma resposta negativa): Esta resposta pode indicar que um dos
seguintes resultados foi obtido em resposta consulta: Um servidor DNS que autoridade
para o domnio pesquisado, informou que o nome pesquisado no existe neste domnio ou
um servidor DNS que autoridade para o domnio pesquisado, informou que o nome
pesquisado exsite, mas o tipo de registro no confere.
Uma vez retornada a resposta, o resolver interpreta o resultado da resposta (seja ela positiva ou
negativa) e repassa a resposta para o programa que fez a solicitao para resoluo de nome. O
resolver armazena o resultado da consulta no cache local do DNS.
Dica Importante: O administrador do DNS pode desabilitar o recurso de recurso em um servidor
DNS em situaes onde os usurios devem estar limitados a utilizar apenas o servidor DNS da
Intranet da empresa.
O servidor DNS tambm define tempos mximos para determinadas operaes. Uma vez atingido o
tempo mximo, sem obter uma resposta consulta, o servidor DNS ir retornar uma resposta
negativa:
Intervalo de reenvio de uma consulta recursiva 3 segundos: Este o tempo que o DNS
espera antes de enviar novamente uma consulta (caso no tenha recebido uma resposta) feita
a um servidor DNS externo, duranto um processo recursivo.
Intervalo de time-out para um consulta recursiva 15 segundos: Este o tempo que o
DNS espera antes de determinar que uma consulta recursiva, que foi reenviada falhou.
Estes parmetros podem ser alterados pelo Administrador do DNS.
Como funciona o processo de interao
O processo de interao utilizado entre o cliente DNS (resolver) e um ou mais servidores DNS,
quando ocorrerem as condies indicadas a seguir:
O cliente tenta utilizar o processo de recurso, discutido anteriormente, mas a recurso est
desabilitada no servidor DNS.
O cliente no solicita o uso de recurso, ao pesquisar o servidor DNS.
O cliente faz uma consulta ao servidor DNS, informando que esperada a melhor resposta
que o servidor DNS puder fornecer imediatamente, sem consultar outros servidores DNS.
Quando o processo de interao utilizado, o servidor DNS responde consulta do cliente com base
nas informaes que o servidor DNS tem sobre o domnio pesquisado. Por exemplo, o servidor DNS
da sua rede interna pode receber uma consulta de um cliente tentando resolver o nome
www.abc.com. Se este nome estiver no cache do servidor DNS ele responde positivamente para o
cliente. Se o nome no estiver no cache do servidor DNS, o servidor DNS responde com uma lista
140

de servidores de referncia, que uma lista de registros do tipo NS e A (voc aprender sobre os
tipos de registro na parte prtica), registros estes que apontam para outros servidores DNS, capazes
de resolver o nome pesquisado. Ou seja, o cliente recebe uma lista de servidores DNS para os quais
ele deve enviar a consulta. Observem a diferena bsica entre o processo de recurso e o processo de
interao. Na recurso, o servidor DNS que entra em contato com outros servidores (root hints),
at conseguir resolver o nome pesquisado. Uma vez resolvido o nome, ele retorna a resposta para o
cliente. J no processo de interao, se o servidor DNS no consegue resolver o nome, ele retorna
uma lista de outros servidores DNS que talvez possam resolver o nome pesquisado. O cliente recebe
esta lista e envia a consulta para os servidores DNS informados. Este processo (esta interao)
continua at que o nome seja resolvido ou que uma resposta negativa seja recebida pelo cliente,
informando que o nome no pode ser resolvido. Ou seja, no processo de interao, a cada etapa do
processo, o servidor DNS retorna para o cliente, uma lista de servidores DNS a serem pesquisados,
at que um dos servidores responde positivamente (ou negativamente) consulta feita pelo cliente.
Como funciona o cache nos servidores DNS
O trabalho bsico do servidor DNS responder s consultas enviadas pelos clientes, quer seja
utilizando recurso ou interao. A medida que os nomes vo sendo resolvidos, esta informao fica
armazenada no cache do servidor DNS. Com o uso do cache, futuras consultas nomes j
resolvidos, podem ser respondidas diretamente a partir do cache do servidor DNS, sem ter que
utilizar recurso ou interao. O uso do cache agiliza o processo de resoluo de nomes e tambm
reduz o trfego de rede gerado pelo DNS.
Quando as informaes so gravadas no cache do servidor DNS, um parmetro chamado Time-To-
Live (TTL) associado com cada informao. Este parmetro determina quanto tempo a informao
ser mantida no cache at ser descartada. O parmetro TTL utilizado para que as informaes do
cache no se tornem desatualizadas e para minimizar a possibilidade de envio de informaes
desatualizadas em resposta s consultas dos clientes. O valor padro do parmetro TTL 3600
segundos (uma hora). Este parmetro pode ser configurado pelo administrador do DNS, conforme
ser mostrado na parte prtica, nas partes de 21 a 50, as quais constituem o Mdulo 2 deste curso.
Aviso Importante: Por padro o Servidor DNS utiliza um arquivo chamado Cache.dns, o qual fica
gravado na pasta systemroot\System32\Dns, onde systemroot representa a pasta onde o Windows
2000 Server ou Windows Server 2003 est instalado. Este arquivo no tem a ver com o Cache de
nomes do servidor DNS. Neste arquivo est contida a lista de servidores root hints (descritos
anteriormente). O contedo deste arquivo carregado na memria do servidor, durante a
inicializao do servio do DNS e utilizado para localizar os servidores root hints da Internet,
servidores estes utilizados durante o processo de recurso, descrito anteriormente.

Instalao do DNS no Windows 2000 Server
Por padro, o DNS no instalado durante a instalao do Windows 2000 Server. Ao instalar o
Active Directory, tornando o servidor um DC, o assistente do Active Directory precisa se comunicar
com um servidor DNS que seja a autoridade para o domnio do qual far parte o DC. Pode ser
qualquer servidor DNS da rede, inclusive servidores DNS baseados no UNIX. Somente ser possvel
utilizar servidores DNS no UNIX, se a verso do DNS for a BIND 8.1.2 ou superior.
Se no for possvel localizar um servidor DNS, o assistente do Active Directory instala o DNS no
servidor que est sendo promovido a DC. O DNS instalado como um servio e configurado para
141

iniciar automaticamente. A maioria das tarefas de administrao do DNS podem ser executadas com
o console DNS, o qual acessado atravs do menu Start -> Administrative Tools (Iniciar ->
Ferramentas Administrativas).
Neste tem voc aprender a instalar o servio DNS em um servidor baseado no Windows 2000
Server. Voc ver que a instalao do DNS extremamente simples.
Nota : Se voc tem servidores DNS baseados no NT Server 4.0, voc pode fazer a migrao destes
servidores para o Windows 2000 Server. Todas as configuraes do DNS j existentes sero
mantidas. Primeiro deve ser feita a migrao dos servidores DNS primrios (onde est a zona
primria de cada domnio DNS) e depois a dos servidores DNS secundrios.
Instalando o DNS no Windows 2000 Server
Para instalar o DNS siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o Painel de Controle: Iniciar -> Painel de Controle.
3. D um clique duplo na opo Adicionar ou remover progrmas.
4. Ser exibida a janela Adicionar ou remover programas. Nas opes do lado esquerdo da janela, d
um clique na opo Adicionar ou Remover Componentes do Windows
5. Ser aberto o assistente de componentes do Windows.
6. O DNS classificado como um servio de rede Servios de Rede. Localize esta opo e d um
clique para marc-la, conforme indicado na Figura a seguir:

Figura - A opo Servios de Rede.
7. Clique no boto Detalhes..., para exibir a lista de servios de redes disponveis.
142

8. Ser aberta a janela Servios de rede. Na lista de servios que exibida, marque a opo Sistema
de nomes de domnio (DNS), conforme indicado na Figura a seguir:

Figura - Selecionando o DNS para instalao.
9. D um clique em OK. Voc estar de volta ao assistente de componentes do Windows.
10. Clique em Avanar, para seguir para a prxima etapa do assistente.
11. O Windows 2000 Server inicia o processo de instalao e emite mensagens sobre o andamento
da instalao. Durante a etapa de cpia dos arquivos voc pode ser solicitado a inserir o CD de
instalao do Windows 2000 Server no drive, conforme exemplo da Figura a seguir:

Figura - O assistente solicita o CD de instalao do Windows 2000 Server.
12. Insira o CD do Windows 2000 Server no driver e clique em OK. O assistente continua o
processo de instalao.
13. A tela final do assistente exibida com uma mensagem informando que o assistente foi
concludo com sucesso. Clique em Concluir para fechar o assistente.
14. Voc estar de volta janela Adicionar ou remover progrmas. Feche-a.
Pronto, o DNS foi instalado e est pronto para ser configurado. No preciso reinicializar o servidor
para que o DNS possa ser utilizado. O DNS instalado como um servio e configurado para ser
143

inicializado automaticamente. O servio do DNS configurado para executar no contexto da conta
Local System. A administrao e configurao do DNS feita atravs do console DNS, o qual
pode ser acessado atravs da seguinte opo: Iniciar -> Programas -> Ferramentas
administrativas -> DNS. Nas prximas partes deste tutorial, voc aprender a executar algumas
aes de administrao do DNS.
Instalando o DNS no Windows Server 2003:
Por padro, o DNS no instalado durante a instalao do Windows Server 2003. Ao instalar o
Active Directory, tornando o servidor um DC, o assistente do Active Directory precisa se comunicar
com um servidor DNS que seja a autoridade para o domnio do qual far parte o DC. Pode ser
qualquer servidor DNS da rede, inclusive servidores DNS baseados no UNIX. Somente ser possvel
utilizar servidores DNS no UNIX, se a verso do DNS for a BIND 8.1.2 ou superior.
Se no for possvel localizar um servidor DNS, o assistente do Active Directory instala o DNS no
servidor que est sendo promovido a DC. O DNS instalado como um servio e configurado para
iniciar automaticamente. A maioria das tarefas de administrao do DNS podem ser executadas com
o console DNS, o qual acessado atravs do menu Start -> Administrative Tools (Iniciar ->
Ferramentas Administrativas).
Neste tem voc aprender a instalar o servio DNS em um servidor Windows Server 2003. Voc
ver que a instalao do DNS extremamente simples.
Nota : Se voc tem servidores DNS baseados no NT Server 4.0 ou no Windows 2000 Server, voc
pode fazer a migrao destes servidores para o Windows Server 2003. Todas as configuraes do
DNS j existentes sero mantidas. Primeiro deve ser feita a migrao dos servidores DNS primrios
(onde est a zona primria de cada domnio) e depois a dos servidores DNS secundrios.
Instalando o DNS no Windows Server 2003
Para instalar o DNS siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o Painel de Controle: Start -> Control Panel (Iniciar -> Painel de Controle).
3. D um clique duplo na opo Add or remove programs (Adicionar ou remover progrmas).
4. Ser exibida a janela Add or remove programs (Adicionar ou remover progrmas). Nas opes do
lado esquerdo da janela, d um clique na opo Add/Remove Windows Components (Adicionar ou
Remover Componentes do Windows)
5. Ser aberto o assistente de componentes do Windows.
6. O DNS classificado como um servio de rede Networking Services. Localize esta opo e d
um clique para marc-la, conforme indicado na Figura a seguir:
144


Figura - A opo Networking Services.
7. Clique no boto Details (Detalhes), para exibir a lista de servios de redes disponveis.
8. Ser aberta a janela Networking Services. Na lista de servios que exibida, marque a opo
Domain Name System (DNS), conforme indicado na Figura a seguir:

Figura - Selecionando o DNS para instalao.
9. D um clique em OK. Voc estar de volta ao assistente de componentes do Windows.
145

10. Clique em Next (Avanar), para seguir para a prxima etapa do assistente.
11. O Windows Server 2003 inicia o processo de instalao e emite mensagens sobre o andamento
da instalao. Durante a etapa de cpia dos arquivos voc pode ser solicitado a inserir o CD de
instalao do Windows Server 2003 no drive, conforme exemplo da Figura a seguir:

Figura - O assistente solicita o CD de instalao do Windows Server 2003.
12. O assistente detecta que o CD foi inserido no drive e continua o processo de instalao.
13. A tela final do assistente exibida com uma mensagem informando que o assistente foi
concludo com sucesso. Clique em Finish (Concluir) para fechar o assistente.
14. Voc estar de volta janela Add/Remove Programs. Feche-a.
Pronto, o DNS foi instalado e est pronto para ser configurado. No preciso reinicializar o servidor
para que o DNS possa ser utilizado. O DNS instalado como um servio e configurado para ser
inicializado automaticamente. O servio do DNS configurado para executar no contexto da conta
Local System. . A administrao e configurao do DNS feita atravs do console DNS, o qual
pode ser acessado atravs da seguinte opo: Iniciar -> Ferramentas administrativas -> DNS. Nas
prximas partes deste tutorial, voc aprender a executar algumas aes de administrao do DNS,
no Windows Server 2003.

Criando, administrando e configurando zonas no DNS
Aps a instalao do DNS, a primeira coisa que o administrador deve fazer criar uma zona
primria direta. Por exemplo, vamos supor que voc est implementando a estrutura de DNS da rede
da sua empresa. Voc comea pelo domnio root, que xyz.com.br. Neste caso, voc tem que criar
uma zona primria direta (mais adiante voc aprender a criar zonas segundrias, aprender sobre o
conceito de zona reversa e como criar uma zona reversa).
A zona chamada primria porque ela ainda no existe e est sendo criada para conter as
informaes do domnio no nosso exemplo, o domnio xyz.com.br. Ela chamada direta, porque
conter informaes para resoluo de nomes para endereo IP, ou seja, fornecido um nome no
domnio xyz.com.br, esta zona conter informaes para retornar o endereo IP associado com o
nome.
Uma zona reversa, que ser descrita em uma das prximas partes deste tutorial, faria o contrrio, ou
seja, dado um endereo IP, o DNS pesquisa na zona reversa para encontrar o nome associado ao
endereo IP. As zonas secundrias somente podem ser criadas se j existir uma zona primria. As
zonas secundrias contm uma cpia integral dos registros da zona primria e recebem as
atualiaes efetuadas na zona primria atravs do mecanismo de replicao de zonas.
Criando uma zona Primria Direta
146

Exemplo: Criar a zona primria direta (Forward Lookup Zone) para conter os registros do domnio
xyz.com.br. Para criar esta zona siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.
3. Ser exibido o console DNS. No painel da esquerda, por padro, esto disponveis as seguintes
opes:
Zonas de pesquisa direta
Zonas de pesquisa inversa
Nota: O console DNS pode ser utilizado para gerenciar toda a estrutura de DNS da empresa de uma
maneira centralizada. O administrador pode usar o console DNS para conectar-se com outros
servidores DNS da rede da empresa e gerenciar zonas e configuraes dos diversos servidores DNS
da rede, a partir de um nico console DNS, centralizadamente.
Na Figura a seguir, apresento um exemplo onde estou utilizando o console DNS para gerenciar dois
servidores DNS diferentes. Para conectar-se a um servidor DNS remoto basta clicar com o boto
direito do mouse na opo DNS (primeira opo, bem em cima, no painel da esquerda). No menu de
opes que exibido clique em Conectar-se ao Computador.... Ser exibida a janela Selecionar
mquina de destino. Clique na opo No seguinte computador. Ao lado desta opo digite o nome
ou o endereo IP do servidor DNS a ser acessado. Clique em OK e pronto, agora voc pode
gerenciar o servidor DNS remotamente. O administrador responsvel pela DNS pode criar um
console personalizado, onde so adicionados os vrios servidores DNS pelos quais ele responsvel.
Feito este breve comentrio, vamos voltar a criao de uma zona direta, no servidor DNS do
Windows 2000 Server.

Figura - Gerenciando vrios servidores DNS em um nico console.
4. Neste exemplo voc utilizar a opo Zonas de pesquisa direta. Clique com o boto direito do
mouse neste opo.
5. No menu de opes que exibido clique em Nova Zona...
6. Ser aberto o assistente para a criao de uma nova zona.. A primeira tela do assistente apenas
informativa. Clique em Avanar, para seguir para a prxima etapa do assistente.
147

7. Nesta etpa voc deve informar o tipo de zona a ser criada. Esto disponveis as opes Integrada
ao Active Directory, Primria Padro e Secundria padro. Voc aprender sobre zonas secundrias
e sobre a integrao com o Active Directory, nas prximas partes deste tutorial. Se o servidor que
voc est utilzando for um DC, estar disponvel a opo Integrada com o Active Directory. Voc
tambm aprender sobre esta opo, nas prximas partes deste tutorial e tambm sobre a integrao
do DNS com o Active Directory. Para o nosso exemplo, defina as configuraes indicadas na Figura
a seguir:

Figura - Criando uma zona primria, no integrada com o Active
Directory.
8. Clique em Avanar, para seguir para a prxima etapa do assistente.
9. Nesta etapa ser solicitado o nome da zona. Digite xyz.com.br no campo Nome da Zona e clique
em Avanar, para seguir para a prxima etapa do assistente.
10. Nesta etapa voc define se deseja criar um novo arquivo onde sero gravadas as informaes
sobre a zona xyz.com.br ou se deseja usar um arquivo existente. Voc pode utilizar um arquivo
existente, caso a zona j existisse anteriormente e houve problemas no servidor. Neste caso voc
poder recriar a zona e mandar usar o arquivo j existente anteriormente. Ao fazer isso, todas as
informaes contidas anteriormente sero recuperadas a partir do arquivo j existente. No nosso
exemplo vamos salvar as informaes da zona em um novo arquivo. Por padro, para o nome do
arquivo, o assistente sugere o nome da zona com a extenso .dns. O arquivo ser criado na pasta
systemroot\System32\Dns , onde systemroot representa a pasta onde est instalado o Windows
2000 Server. Vamos aceitar a opo padro, conforme indicado na Figura a seguir:
148


Figura - Definindo o nome do arquivo onde sero salvas as
informaes.
11. Clique em Avanar, para seguir para a prxima etapa do assistente.
12. Ser exibida a tela final do assistente. Se voc quiser alterar alguma opo pode utilizar o boto
Voltar. Clique em Concluir, para criar a zona primria direta: xyz.com.br, conforme indicado na
Figura a seguir:

Figura - A zona xyz.com.br, recm criada.
Concluso

149

At aqui foi feita a criao de uma zona direta xyz.com.br, no servidor DNS do Windows Server.
Muito bem, a zona xyz.com.br foi criada. Mas criar somente a zona tem pouca (para no dizer
nenhuma) utilidade. Uma zona deve conter registros, os quais sero consultados para responder s
consultas enviadas pelos clientes.

Tipos de Registros no DNS
As informaes sobre o DNS so armazenadas em zonas. Em uma zona pode haver informaes
sobre um ou mais domnios. As informaes so adicionadas em uma zona do DNS, atravs da
criao de registros. Por exemplo, pode ser criado um registro do tipo A, o qual associa o nome DNS
com o respectivo nmero IP. O objetivo desta parte do tutorial justamente apresentar e descrever
os principais tipos de registros disponveis.
Trabalhando com registros do DNS
Um banco de dados de um servidor DNS constitudo por uma ou mais zonas, conforme j descrito
anteriormente, em outras partes desta srie de tutoriais. Em cada zona ficam armazenados os
registros do DNS. Os registros armazenam informaes de uma maneira estruturada. O DNS do
Windows 2000 Server suporta uma srie de registros. Nesta parte do tutorial vou destacar os
principais tipos de registros suportados pelo DNS do Windows 2000 Server. Na Ajuda do DNS
(menu Ajuda do console DNS), voc encontra uma referncia completa, de todos os registros
suportados pelo DNS.
Todos os registros do DNS tm uma estrutura padro, com um conjunto determinado de campos de
informao. At podemos fazer a analogia com uma tabela de um banco de dados, no modelo
relacional de dados, onde cada registro determinado por um conjunto de campos de informao.
Os registros do DNS no Windows 2000 Server, contm os seguintes campos de informao:
Dono (Owner): Indica o nome do domnio DNS no qual o registro se encontra, ou em outras
palavras, o domnio DNS que dono (owner) do registro. Este o nome que exibido no
console DNS.
Time to Live (TTL): Para a maior parte dos tipos de registro este campo opcional. Este
campo utilizado por outros servidores DNS, para determinar por quanto tempo o registro
ser armazenado no cache destes servidores, aps o registro ter sido carregado em resposta a
uma consulta feita ao servidor. Transcorrido o tempo definido neste campo, o registro
descartado. A maioria dos registros criados pelo DNS herdam o valor padro para o TTL que
de uma hora (3600 segundos). Este valor herdado da definio do TTL do registro SOA
Start of Authority, que o principal registro de uma zona, registro que define uma srie de
caractersticas de uma zona. Voc pode definir individualmente, para cada registro, um valor
de TTL diferente do valor herdado do registro SOA. Voc tambm pode definir um valor
igual a zero (0), para registros que no devam ser mantidos no cache dos servidores DNS.
Class: Contm um texto padro, indicativo da classe do registro. Por exemplo, um valor
igual a IN, indica que o registro pertence a classe Internet, alis nica classe suportada pelo
DNS do Windows 2000 Server. Este campo obrigatrio, embora tenha sempre o mesmo
valor no DNS do Windows 2000 Server.
150

Type: Contm um texto padro, indicativo do tipo do registro. Por exemplo, um tipo igual a
A indica um registro que armazena informaes de endereo. o tipo mais comum, onde
gravado um nmero IP associado com um nome. Este campo obrigatrio.
Dados do registro (Record-specific data): Contm os dados do registro. Por exemplo, para
um registro do tipo A, conter o nome e o nmero IP associado com o nome. obrigatrio.
Agora que voc j conhece a estrutura de um registro do DNS, hora de aprender sobre os
principais tipos de registros. Conforme descrito anteriormente, voc encontra uma referncia
completa sobre todos os tipos de registros, na Ajuda do DNS.
Descrio de alguns dos principais tipos de registros do DNS do Windows 2000 Server:
A
Descrio: Endereo de Host (Host address (A) resource record). o tipo mais utilizado, faz o
mapeamento de um nome DNS para um endereo IP verso 4, de 32 bits.
Exemplos:
host1.example.microsoft.com. IN A 127.0.0.1
srv01.abc.com.br IN A 100.100.200.150
srv02.abc.com.br IN A 100.100.200.151
AAAA
Descrio: Endereo de host IPv6 (IPv6 host address (AAAA)). Faz o mapeamento de um nome
DNS para um endereo IP verso 6, de 128 bits.
Exemplo:
ipv6_host1.example.microsoft.com. IN AAAA 4321:0:1:2:3:4:567:89ab
CNAME
Descrio: Canonical name (CNAME): Mapeia um alias (apelido) ou nome DNS alternativo. Por
exemplo, suponha que o site da empresa esteja no servidor srv01.abc.com.br. Porm na internet, os
usurios iro utilizar o nome www.abc.com.br. Neste caso basta criar um alias www que faz
referncia ao nome srv01.abc.com.br. Pronto, quando os usurios digitarem www.abc.com.br estaro
acessando, na verdade, o endereo srv01.abc.com.br. Porm para o usurio, tudo ocorre
transparentemente, como se o nome fosse realmente www.abc.com.br.
Exemplo:
www.abc.com.br. CNAME srv01.abc.com.br.
HINFO
Descrio : Host information (HINFO): Utilizado para armazenar informaes sobre o hardware do
servidor DNS, tais como tipo de CPU, tipo e verso do sistema operacional e assim por diante. Estas
informaes pode ser utilizadas por protocolos como por exemplo o ftp, o qual utiliza procedimentos
diferentes, para diferentes sistemas operacionais
Exemplo:
my-computer-name.example.microsoft.com. HINFO INTEL-386 WIN32
MX
151

Descrio : Mail exchanger (MX): Fornece informaes utilizadas pelos servidores de e-mail, para o
roteamento de mensagens. Cada host definido em um registro MX deve ter um correspondente
registro do tipo A em uma zona vlida, no servidor DNS.
Exemplo:
example.microsoft.com. MX 10 mailserver1.example.microsoft.com
Nota : O nmero de dois dgitos aps o MX, um indicativo da ordem de preferncia quando mais
de um registro MX configurado na mesma zona.
NS
Descrio : utilizado para relacionar um nome DNS com o seu dono, ou seja, o servidor que a
autoridade para o nome DNS. Ou em outras palavras, o servidor DNS onde est a zona primria
associada ao nome.
Exemplo:
example.microsoft.com. IN NS nameserver1.example.microsoft.com
PTR
Descrio : Pointer (PTR): utilizado em zonas reversas, para fazer o mapeamento reverso, ou seja,
o mapeamento de um nmero IP para um nome. Ao criar um registro do tipo A, em uma zona direta,
voc pode criar, automaticamente, o registro PTR associad, se j houver uma zona reversa
configurada.
Exemplo:
10.20.20.10.in-addr.arpa. PTR host.example.microsoft.com.
SOA
Descrio : Start of authority (SOA): O principal registro, o registro que define muitas das
caractersticas de uma zona. Contm o nome da zona e o nome do servidor que a autoridade para a
referida zona, ou seja, o servidor DNS onde est a zona foi criada originalmente. Contm tambm a
definio de outras caractersticas bsicas da zona. sempre o primeiro registro da zona, pois
criado durante a criao da zona. Define caractersticas tais como o nmero serial da zona (que um
indicativo se houve ou no alteraes na zona. Este nmero utilizado para controlar a replicao
entre a zona primria e as zonas secundrias), o valor do TTL para os demais registros da zona e
assim por diante.
Exemplo:
@ IN SOA nameserver.example.microsoft.com. postmaster.example.microsoft.com. (
1 ; serial number
3600 ; refresh [1h]
600 ; retry [10m]
86400 ; expire [1d]
3600 ) ; min TTL [1h]
Sobre registros do DNS era isso. Nas prximas partes deste tutorial voc aprender sobre zonas
reversas e aprender a criar zonas reversas. Em seguida aprender a criar registros, tanto em uma
zona direta, quanto em uma zona reversa.

152

Zonas de pesquisa inversa Reverse Lookup Zones - Conceito
A maioria das consultas para resoluo de nomes, realizadas pelos clientes so consultas diretas
Forward Lookup. Neste tipo de consulta o cliente tem um nome DNS e quer pesquisar uma
informao associada com o nome, normalmente um endereo IP. Ou seja, a resposta esperada o
endereo IP associado com o nome pesquisado. Por exemplo, quando voc digita
http://www.uol.com.brno seu navegador, o servidor DNS faz uma pesquisa direta, para tentar
encontrar o nmero IP associado com o nome www.uol.com.br
O DNS tambm d suporta as chamadas pesquisas inversas (Reverse Lookup), na qual o cliente tem
um endereo IP vlido e deseja localizar o nome associado com o endereo IP. Vejam que o
contrrio da pesquisa direta (por isso que o nome pesquisa reversa). Na pesquisa direta o cliente
tem o nome e deseja localizar o endereo IP associado. Na pesquisa reversa o usurio tem o
endereo IP e deseja localizar o nome associado.
Originalmente o DNS no foi projetado para dar suporte a este tipo de consulta. Pela maneira
hierrquica como o DNS est organizado, a nica maneira para responder este tipo de consulta, se
fossem utilizadas apenas as zonas diretas, seria pesquisar todos os servidores DNS existentes o que
faria com que o tempo de consulta fosse muito elevado, o que inviabilizaria o uso de pesquisas
reversas.
Para resolver esta questo foi criado um domnio especial, com o nome de in-addr.arpa. Este
domnio faz parte das definies atuais do DNS e foi a maneira encontrada para fornecer a resoluo
reversa de nomes, sem que houvesse a necessidade de pesquisar em todos os servidores DNS.
Para criar o espao de nomes reverso, so criados subdomnios do domnio especial in-addr.arpa. O
nome destes subdomnios formado pela ordem inversa do nmero IP da rede.
Por exemplo, considere a rede 100.20.50.0/255.255.255.0. A zona para resoluo reversa desta rede
seria a seguinte:
50.20.100.in-addr.arpa
Observe que coloquei os nmeros da rede de trs para a frente como um sub-domnio do domnio
especial in-addr.arpa. Esta ordem inversa necessria porque, voc deve estar lembrado do tpico
sobre como so resolvidas as consultas do DNS, que a resoluo feita de trs para frente. Ao
reverter os nmeros, para formar o sub-domnio, quando os nmeros so lidos de trs para a frente
eles ficam na ordem certa. Por exemplo, lendo 50.20.100 de trs para frente fica: 100.20.50, ou seja,
o nmero da rede na ordem certa.
Nota: O uso do domnio in-addr.arpa aplicado a todas as redes baseadas no protocolo IP verso 4
(IPv4), que utiliza endereos IP de 32 bits.
Importante: Os mecanismos de recurso e interao, utilizados para a resoluo direta de nomes,
tambm so utilizados para a resoluo reversa.
Criando uma zona reversa
A seguir voc aprender a criar uma zona reversa. Voc criar uma zona reversa para a rede
120.200.35.0/255.255.255.0. A primeira etapa determinar o nome da zona reversa (na prtica isso
no seria necessrio, pois o assistente de criao ns d uma ajuda neste sentido). A determinao do
nome da zona reversa bastante simples:
1. Inverta os octetos que compem a rede: 35.200.120 ( o inverso de 120.200.35).
153

2. O nmero j invertido criado com um sub-domnio do domnio in-addr.arpa: 35.200.120.in-
addr.arpa.
Para criar a zona reversa 35.200.120.in-addr.arpa, siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.
3. Ser exibido o console DNS. No painel da esquerda, por padro, esto disponveis as seguintes
opes:
Zonas de pesquisa direta
Zonas de pesquisa inversa
4. Neste exemplo voc utilizar a opo Zonas de pesquisa inversa. Clique com o boto direito do
mouse neste opo.
5. No menu de opes que exibido clique em Nova Zona...
6. Ser aberto o assistente para a criao de uma nova zona.. A primeira tela do assistente apenas
informativa. Clique em Avanar, para seguir para a prxima etapa do assistente.
7. Nesta etpa voc deve informar o tipo de zona a ser criada. Esto disponveis as opes Integrada
ao Active Directory, Primria Padro e Secundria padro. Voc aprender sobre zonas secundrias
e sobre a integrao com o Active Directory, em outras partes deste tutorial. Se o servidor que voc
est utilzando for um DC, estar disponvel a opo Integrada com o Active Directory. Voc
tambm aprender sobre esta opo mais adiante e sobre a integrao do DNS com o Active
Directory. Para o nosso exemplo, defina as configuraes indicadas na Figura a seguir:

Figura - Criando uma zona primria, no integrada com o Active Directory.
8. Clique em Avanar, para seguir para a prxima etapa do assistente.
9. Nesta etapa ser solicitado que voc digite a identificao da rede. Digite a identificao na ordem
normal. O prprio assistente se encarrega de inverter a ordem dos octetos da rede, para formar o
nome da zona reversa. Digite, por exemplo 35.200.120 e o assistente gera o nome da zona reversa,
conforme exemplo da Figura a seguir:
154


Figura - Gerao automtica do nome da zona reversa.
10. Clique em Avanar, para seguir para a prxima etapa do assistente.
11. Nesta etapa voc define se deseja criar um novo arquivo onde sero gravadas as informaes
sobre a zona reversa 120.200.35.in-addr.arpa ou se deseja usar um arquivo j existente.
Nota: Voc pode utilizar um arquivo existente, caso a zona j existisse previamente e houve
problemas no servidor DNS. Neste caso voc poder recriar a zona e mandar usar o arquivo j
existente anteriormente. Ao fazer isso, todas as informaes contidas anteriormente sero
recuperadas a partir do arquivo j existente.
No nosso exemplo vamos salvar as informaes da zona em um novo arquivo. Por padro, para o
nome do arquivo, o assistente sugere o nome da zona com a extenso .dns. O arquivo ser criado na
pasta systemroot\System32\Dns , onde systemroot representa a pasta onde est instalado o
Windows 2000 Server. Vamos aceitar esta opo, conforme indicado na Figura a seguir:
155


Figura - Definindo o nome do arquivo onde sero salvas as informaes.
12. Clique em Avanar, para seguir para a prxima etapa do assistente.
13. Ser exibida a tela final do assistente. Se voc quiser alterar alguma opo pode utilizar o boto
Voltar. Clique em Concluir, para criar a zona primria reversa: 120.200.35.in-addr.arpa.dns,
conforme indicado na Figura a seguir:

Figura - A zona 120.200.35.in-addr.arpa.dns, recm criada.

156

Criando registros em uma zona
Muito bem, voc j aprendeu a criar uma zona primria e uma zona reversa. Agora hora de
aprender a criar registros em uma zona do DNS. Neste item, atravs de um exemplo prtico, voc
aprender a verificar e alterar o registro SOA de uma zona direta, o qual criado automaticamente
quando a zona criada e tambm aprender a criar registros em uma zona.
Para acessar o registro SOA de uma zona, siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.
3. Ser exibido o console DNS. Clique no sinal de + ao lado da opo Zonas de pesquisa direta.
4. Sero exibidas as zonas de pesquisa direta existentes no servidor.
5. Clique com o boto direito do mouse na zona xyz.com.br criada anteriormente ou na zona na qual
voc deseja criar um registro. No menu de opes que exibido clique na opo Propriedades.
6. Ser exibida a janela de propriedades para a zona xyz.com.br. Clique na guia Incio de autoridade
(Start of Authority (SOA)).
Nota: No posso deixar de registrar os meus mais sinceros e veementes protestos contra a traduo
que feita. Traduzir Start of Authority por Incio de autoridade, pode at ser correto pelo idioma,
mas tecnicamente uma lstima ou algum administrador DNS saber o que o registro Incio de
autoridade? Agora no tem um nico administrador DNS que no saberia informar o que o registro
Start of Authority. Estas questes deviam ser seriamente levadas em considerao na hora de fazer
as tradues.
7. Ser exibida a guia com os valores para os campos do registro SOA, da zona xyz.com.br,
conforme indicado na Figura a seguir:
157


Figura - O registro SOA para o domnio xyz.com.br
8. Estes so os valores padro, definidos pelo assistente de criao da zona direta de pesquisa. A
seguir descrevo, em detalhes, os campos do registro SOA:
Nmero de srie: Este campo exibe o nmero serial do registro SOA. como se fosse um
nmero de verso do registro (que na verdade representa uma verso para a zona como um
todo). Cada vez que a zona alterada (o que ocorre quando qualquer um dos seus registros
alterado, quando novos registros so adicionados ou excludos), este nmero tem o seu valor
aumentado por um incremento de 1, indicando que existe uma nova verso da zona. Este
nmero verificado pelos servidores DNS, periodicamente e comparado com o nmero
serial das zonas secundrias. Se o nmero da zona secundria for menor do que o da zona
primria, isso indica que existem alteraes na zona primria, alteraes estas que devem ser
replicadas para a zona secundria, para manter a zona secundria atualizada. O adminstrador
pode clicar no boto Incrementar, para manualmente aumentar o valor deste nmero, mesmo
que no tenha havido alteraes na zona primria.
Servidor primrio: Contm o nome do servidor que contm a zona primria, isto , a cpia
da zona que pode ser alterada. Lembrando que existe somente uma zona primria, a qual
pode ser alterada, pode ter registros adicionados, excludos e editados. Podem existir cpias
da zona primrias em outros servidores DNS. Estas cpias so denominadas Zonas
secundrias e no podem ser alteradas.
Responsvel: O email do responsvel pela administrao da zona. O endereo de email
utiliza o ponto ao invs do sinal de @. Por exemplo, o email: julio@abc.com digitado neste
campo como julio.abc.com.
Intervalo de atualizao: Define o intervalo para que o servidor DNS verifique se os dados
nas zonas secundrias esto atualizados. Se os dados no estiverem atualizados, o servidor
158

onde est a zona primria, ir notificar o servidor onde est a zona secundria que existem
alteraes. O servidor da zona secundria ira puxar (pull) as alteraes para deixar a zona
secundria sincronizada com a zona primria. Somente as alteraes sero replicadas e no
todo o contedo da zona. O valor padro para novas zonas 15 minutos.
Intervalo de repetio: Se o servidor DNS no conseguir atualizar a zona secundria no
tempo especificado no campo Refresh interval, uma nova tentativa ser feita no tempo
definido no campo Intervalo de repetio. O valor padro para novas zonas 10 minutos.
Expira aps: Determina o tempo que as informaes sero mantidas nas zonas secundrias,
sem que tenha sido possvel fazer uma sincronizao com a zona primria. O padro 24
horas. Isso significa que se dentro de um perodo de 24 horas no for possvel fazer uma
sincronizao de uma zona secundria com a zona primria, os dados da zona secundria iro
expirar e no podero mais ser utilizados para resoluo de nomes. Este parmetro evita que
valores desatualizados continuem sendo utilizados nas zonas secundrias em caso de
impossibilidade de sincronizao com a zona primria.
Tempo de vida mnimo (padro): Determina o TTL mnimo para os registros da zona. Este
valor utilizado quando um registro da zona acessado por um servidor DNS remoto. O
servidor DNS que acessou o registro, ir mant-lo em seu cache pelo perodo definido neste
parmetro. Por exemplo, suponha que voc est na sua empresa (abc.com) e tenta acessar o
site da Microsoft: www.microsoft.com. Usando o processo de recurso, o servidor da
microsoft responde com o endereo IP associado ao nome www.microsoft.com. Estas
informaes ficaro no cache do servidor DNS da empresa abc.com, pelo perodo definido
no parmetro TTL da zona microsoft.com, do servidor DNS da Microsoft.
Tempo de vida para este registro: Permite que seja definido um TTL especfico para o
registro SOA, que pode ser diferente do TTL padro definido para os demais registros da
zona.
9. Aps ter feito as alteraes desejadas clique em OK para fechar a janela de propriedades da zona.
Criando novos registros em uma zona do DNS
Para criar novos registros em uma zona, siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.
3. Ser exibido o console DNS. Clique no sinal de + ao lado da opo Zonas de pesquisa direta se
voc quiser criar um registro em uma zona direta ou no sinal de + ao lado da opo Zonas de
pesquisa inversa, se voc deseja criar um registro em uma zona inversa.
4. Sero exibidas as zonas da opo selecioanda.
5. Clique com o boto direito do mouse na zona onde voc deseja criar o registro. Observe, no menu
que exibido, que j existem opes diretamente para criar os tipos de registros mais utilizados:
Novo Host ... , para criar um registro do tipo A.
Novo Alias ... , para criar um novo registro do tipo CNAME.
New Servidor de mensagens ... , para criar um novo registro do tipo MX.
159

Outros novos registros... , para criar qualquer tipo de registro, inclusive um dos trs tipos
anteriores.
A ttulo de exemplo voc ir criar dois novos tipos de registro em uma zona direta: um registro do
tipo A e outro do tipo HINFO.
6. Clique com o boto direito do mouse em uma zona de pesquisa direta, onde o registro ser criado.
7. No menu de opes que exibido clique na opo Novo host...
8. Ser exibida a janela Novo Host. Digite o nome e o endereo IP associado, conforme exemplo da
Figura a seguir. importante salientar que voc deve digitar apenas o host name (primeira parte do
nome). O prprio DNS completa o nome (no campo Full qualified domain name), anexando o nome
da zona ao nome de host.

Figura - Criando um registro do tipo A.
9. Nesta janela voc tambm tem a opo Criar registro de ponteiro associado (PTR). Se voc
marcar esta opo ser criado um registro do tipo PTR na zona inversa correspondente. Esse registro
permitir a resoluo inversa, ou seja, dado o nmero IP ser retornado o nome associado com o
nmero IP.
10. Defina as opes desejadas e clique em Adicionar Host. A janela Novo Host continua aberta.
Clique em Concludo para fech-la.
11. Pronto, o registro do tipo A foi criado, conforme indicado na Figura a seguir:
160


Figura - Registro do tipo A, recm criado.
12. Agora vamos criar um registro do tipo HINFO.
13. Clique com o boto direito do mouse na zona de pesquisa direta, onde o registro HINFO ser
criado.
14. No menu de opes que exibido clique na opo Outros novos registros...
15. Ser exibida a janela Tipo de registro de recurso. Na lista de tipos de registro clique na opo
Informaes sobre o host, conforme ilustrado na Figura a seguir:

Figura - Criando um novo registro do tipo HINFO.
16. Clique no boto Criar registro...
17. Ser aberta a janela para voc inserir as informaes sobre o registro HINFO. Defina as
informaes, conforme exemplo da Figura a seguir:
161


Figura - Definindo informaes para o registro HINFO.
18. Clique em OK. O registro do tipo HINFO ser criado e voc estar de volta janela Tipo de
registro de recurso. Clique em Concludo para fechar esta janela.
19. O registro do tipo HINFO j exibido no console DNS, conforme indicado na Figura a seguir:

Figura - Registro do tipo HINFO, recm criado.
20. Feche o console do DNS.
162

Configurando as propriedades de uma zona Windows 2000
Uma zona do DNS apresenta diversas propriedades que voc pode configurar. Por exemplo, voc
pode configurar uma zona para aceitar ou no atualizaes dinmicas (novidade disponvel a partir
do DNS do Windows 2000 Server e, evidentemente, tambm presente no Windows Server 2003). Se
voc habilitar a atualizao dinmica, o DHCP poder criar registros automaticamente no DNS, para
os clientes configurados via DHCP.
Neste item voc aprender a configurar as propriedades de uma zona do servidor DNS, no Windows
2000 Server.
Antes de ir para a parte prtica, voc precisa aprender um pouco mais sobre Atualizaes dinmicas,
Expirao e eliminao de registros (Scavenging) e sobre segurana no DNS.
Atualizaes dinmicas no DNS
A possibilidade de atualizaes dinmicas no DNS passou a estar disponvel para o mundo
Windows, a partir do Windows 2000 Server. Com este mecanismo, os clientes da rede podem
dinamicamente registrar e atualizar seus registros no servidor DNS (verses mais novas do
Windows, tais como o Windows 2000, Windows XP e Windows Server 2003). Isso reduz a
necessidade de o administrador manualmente criar entradas e fazer alteraes no DNS, sempre que o
nome ou nmero IP de um computador alterado.
A atualizao dinmica pode ser habilitada a nvel de zona, ou seja, posso ter duas zonas no mesmo
servidor DNS, uma com atualizao dinmica habilitada e outra no. O cliente DNS, na estao de
trabalho do usurio, capaz de registrar um registro do tipo A (na zona direta) e o registro
correspondente do tipo PTR (na zona inversa).
Alguns clientes DNS mais antigos no tem suporte para criao e atualizao dinmica de registros
no DNS. O Windows 2000, o Windows XP, o Windows 2000 Server e o Windows Server 2003 so
as verses do Windows cujo cliente DNS d suporte a atualizao dinmica. A criao dos registros
do tipo A e do tipo PTR feita pelo cliente DHCP, durante a inicializao de um computador com
uma destas verses do Windows (2000, XP ou 2003) e atualizado a cada 24 horas. Mesmo que
voc use um endereo IP fixo, configurado manualmente, o cliente DHCP far o registro dinmico, a
no ser que ele seja desabilitado. Os DCs atualizam seus registros no DNS a cada hora. Esta
atualizao controlada pelo servio Netlogon.
Verses do Windows mais antigas (Windows 95, 98, 3.11, etc) podem ter suas informaes
registradas dinamicamente no DNS. Porm este registro tem que ser feito pelo servidor DHCP, pois
o prprio cliente no capaz de fazer o registro, dinamicamente, no DNS. Neste caso o servidor
DHCP deve ser configurado para dar suporte a este tipo de funcionalidade e ser capaz de criar
registros do tipo A e do tipo PTR para clientes com verses do Windows onde o cliente DNS no d
suporte a atualizao dinmica. Voc aprender a configurar o DHCP no Captulo 4.
O registro dinmico feito utilizando o nome completo do computador. Por exemplo, um
computador com nome de host comp01, em um domnio abc.com.br, ser registrado como
compo01.abc.com.br. O endereo IP associado ao nome ser obtido a partir das configuraes do
protocolo TCP/IP, quer elas tenham sido obtidas a partir de um servidor DHCP ou quer tenham sido
configuradas manualmente. Lembrando que para verses do Windows mais antigas, somente quando
as configuraes so feitas via DHCP que haver o registro dinmico no DNS (se o servidor
DHCP estiver configurado para tal).
163

Uma atualizao dinmica ser enviada para o servidor DNS, quando uma das situaes a seguir
ocorrer:
Um endereo IP for adicionado, removido ou modificado nas propriedades do TCP/IP de
uma das conexes de rede do computador.
Houver uma renovao ou troca de endereo IP, obtido a partir do servidor DHCP em
qualquer das conexes de rede. Por exemplo, quando o computador for inicializado (o
endereo IP obtido a partir do servidor DHCP) ou quando o comando ipconfig/renew for
utilizado.
Quando for utilizado o comando ipconfig /registerdns para forar uma atualizao do nome
do computador com o servidor DNS.
Quando o computador for inicializado.
Quando um member server for promovido a DC.
Algumas regras so aplicadas quando um registro dinamicamen criado no DNS:
Quando um cliente tenta criar dinamicamente um novo registro e o registro no existe, o
DNS server cria o novo registro sem problemas.
Se o registro j existe, porm com um nome diferente e com o mesmo endereo IP, o novo
registro adicionado e o registro antigo ser mantido.
Se o registro j existe com o mesmo nome, mas com um endereo IP diferente, o registro
anterior ser sobrescrito com as novas informaes.
Somente o servidor onde est a zona DNS primria que pode receber as atualizaes dinmicas.
Porm, pode acontecer, de um cliente estar utilizando um servidor DNS onde est uma zona
secundria para o domnio do cliente. Neste caso a solicitao de atualizao enviada para o
servidor onde est a zona secundria. Este repassa a mensagem de atualizao para o servidor DNS
onde est a zona primria. As atualizaes so feitas na zona primria. Aps ter sido atualizada a
zona primria, o servidor DNS primrio envia mensagens para os servidores onde existem zonas
secundrias, notificando que novas atualizaes esto disponveis. As alteraes so copiadas da
zona primria para todas as zonas secundrias.
Nota : Caso o cliente esteja utilizando um servidor DNS que no autoridade para a zona a ser
atualizada dinamicamente, com um servidor DNS somente cache (que ser explicado emuma das
prximas partes deste tutorial), o servidor que no autoridade para a zona no ir repassar a
mensagem de atualizao para o servidor DNS onde est a zona primria a ser atualizada e, portanto,
as atualizaes no sero efetuadas.
Nota : O DNS faz o registro automtico dos registros do tipo A, tipo PTR e tipo SRV. Este registro
feito pelo servio Netlogon que roda em todos os DCs. Os registros so atualizados sempre que o
servio Netlogon for inicializado e depois automaticamente a cada hora.
Se voc fizer alteraes no DNS de um controlador de domnio e quiser que estas alteraes sejam
enviadas imediatamente para o servidor DNS, basta parar e inicializar novamente o servio
Netlogon. Enquanto o servio Netlogon estiver parado, clientes com o Windows 2000, XP
Professional ou Windows 2000 Server continuaro sendo autenticados sem problemas (estes clientes
so autenticados pelo protocolo Kerberos), j clientes mais antigos, como o Windows 95 ou 98 (que
dependem do servio Netlogon), no podero ser autenticados enquanto o servio Netlogon no tiver
sido reinicializado.
164

Expirao e eliminao de registros (Scavenging)
Os servidores DNS do Windows 2000 Server (a exemplo do DNS do Windows Server 2003)
fornecem suporte aos recursos de expirao e eliminao. Esses recursos so fornecidos como um
mecanismo para executar uma limpeza no DNS, com a remoo de registros no atualizados e que
podem se acumular nos dados de uma zona do DNS, ao longo do tempo. Em outras palavras: lixo.
Com a atualizao dinmica, os registros so automaticamente adicionados s zonas, conforme
descrito anteriormente. Esse registro normalmente acontece durante a inicializao do computador.
No entanto, em alguns casos (como por exemplo em uma queda de energia), eles no so
automaticamente removidos quando os computadores so desligados ou desconectados da rede. Por
exemplo, se um computador registra um registro do tipo A na inicializao e depois desconectado
de maneira inadequada da rede, este registro no excludo. Em uma rede com muitos usurios e
computadores mveis, essa situao pode ocorrer com freqncia.
Se forem deixados sem gerenciamento, a presena de registros no atualizados em dados de zona
poder causar alguns problemas, como por exemplo:
Se um grande nmero de registros no atualizados permanecer em zonas dos servidores
DNS, podero eventualmente ocupar o espao em disco do servidor e provocar longas e
desnecessrias transferncias de zonas. Por exemplo, quando uma nova zona secundria for
criada, ser transmitida uma grande quantidade de registros que j no so mais necessrios.
Os servidores DNS que tem zonas com registros no atualizados podero usar informaes
desatualizadas para responder a consultas de clientes, acarretando possveis problemas de
resoluo de nomes na rede.
O acmulo de registros no atualizados no servidor DNS pode diminuir seu desempenho e
velocidade na resoluo de consultas enviadas pelos clientes.
Em alguns casos, a presena de um registro no atualizado em uma zona pode impedir que
um nome de domnio DNS seja usado por outro computador ou dispositivo de host.
Para resolver esses problemas, o servio Servidor DNS tem os seguintes recursos:
Carimbo de data/hora, baseado na data e hora atuais definidos no computador servidor, para
quaisquer registros adicionados dinamicamente s zonas tipo primrias. Alm disso, os
carimbos de data/hora so gravados nas zonas primrias padro onde os recursos de
expirao/eliminao esto ativados.
Para os registros que voc adiciona manualmente, usado um valor de carimbo de data/hora
igual a zero indicando que eles no so afetados pelo processo de expirao e podem
permanecer sem limitao nos dados da zona a menos que voc altere seus carimbos de
data/hora ou os exclua.
A expirao dos registros nos dados locais baseada em um perodo de tempo de renovao
especificado, para todas as zonas qualificadas. Somente zonas primrias participam deste
processo.
Eliminao de todos os registros que persistirem alm do perodo de renovao especificado.
Quando um servidor DNS do Windows 2000 Server executa uma operao de eliminao, ele pode
determinar que os registros expiraram (se no foram atualizados) e remov-los dos dados da zona.
Os servidores podem ser configurados para executar operaes de eliminao recorrentes
automaticamente ou voc pode iniciar uma operao de eliminao imediata no servidor.
165

Cuidado: Por padro, o mecanismo de expirao e eliminao est desativado nos servidores DNS
no Windows 2000 Server. Ele s deve ser ativado quando todos os parmetros estiverem totalmente
entendidos, ou seja, quando o administrador entender exatamente o que significa cada parmetro.
Caso contrrio, o servidor poder ser acidentalmente configurado para excluir registros que no
devem ser excludos. Se um registro for acidentalmente excludo, no apenas ocorrer uma falha
quando os usurios tentarem fazer consultas sobre esse registro como qualquer usurio poder criar
o registro e obter sua propriedade, mesmo em zonas configuradas para atualizao segura dinmica
(zonas integradas com o Active Directory).
O servidor usa o contedo do carimbo de data/hora especfico de cada registro, junto com outras
propriedades de expirao/eliminao que voc pode ajustar ou configurar, para determinar quando
eliminar os registros.
Antes que os recursos de expirao e eliminao do DNS possam ser usados, vrias condies
devem ser atendidas:
A eliminao e a expirao devem estar ativadas no servidor DNS e na zona. Por padro, a
expirao e a eliminao dos registros de recursos esto desativados.
Os registros de recursos devem ser adicionados dinamicamente s zonas ou manualmente
modificados para serem usados nas operaes de expirao e eliminao.
Normalmente, apenas aqueles registros de recursos adicionados dinamicamente usando o
protocolo de atualizao dinmica do DNS esto sujeitos a expirao e eliminao.
Observao: No caso de alterar uma zona, de zona primria padro para zona integrada ao Active
Directory (conforme voc aprender em uma das prximas partes deste tutorial), voc talvez queira
ativar a eliminao de todos os registros de recursos existentes na zona. Para ativar a expirao para
todos os registros de recursos existentes em uma zona, voc pode usar o comando AgeAllRecords
que est disponvel por meio da ferramenta de linha de comando dnscmd.

Forwaders (Encaminhadores)
Um encaminhador um servidor de sistema de nomes de domnios em uma rede usado para
encaminhar consultas DNS sobre nomes DNS externos a servidores DNS localizados fora da rede.
Voc tambm pode encaminhar consultas de acordo com nomes de domnio especficos, usando
encaminhadores condicionais.
Um servidor DNS em uma rede designado como encaminhador quando outros servidores DNS na
rede encaminham as consultas que no conseguem resolver localmente para aquele servidor DNS.
Usando um encaminhador, voc pode gerenciar a resoluo de nomes fora da sua rede (por exemplo,
nomes na Internet) e melhorar a eficincia da resoluo de nomes para os computadores na rede.
Quando no h um servidor DNS especfico designado como encaminhador, todos os servidores
DNS podem enviar consultas para fora de uma rede usando as dicas de raiz. Como resultado, muitas
informaes internas, e possivelmente crticas, podem ficar expostas na Internet. Alm da questo de
segurana e privacidade, esse mtodo de resoluo pode resultar em um grande volume de trfego
externo, que caro e ineficiente para uma rede com conexo de Internet lenta ou uma empresa com
altos custos de servios de Internet.
Quando voc designa um servidor DNS como encaminhador, pode tornar o encaminhador
166

responsvel por manusear trfego externo, limitando assim a exposio do servidor DNS Internet.
Um encaminhador criar um grande cache de informaes de DNS externas, porque todas as
consultas DNS externas na rede so resolvidas por ele. Em pouco tempo, o encaminhador resolver
uma boa parte das consultas DNS externas usando esses dados armazenados em cache e, portanto
reduzir o trfego de Internet na rede e o tempo de resposta para clientes DNS.
Um servidor DNS configurado para usar um encaminhador agir de forma diferente de um servidor
DNS que no foi configurado para usar um encaminhador. O servidor DNS configurado para usar
um encaminhador age da seguinte forma:
1. Ao receber uma consulta, o servidor DNS tenta resolv-la usando as zonas primrias e
secundrias que hospeda e seu cache.
2. Se no for possvel resolver a consulta usando esses dados locais, ele encaminhar a consulta
para o servidor DNS designado como encaminhador.
3. O servidor DNS aguardar brevemente uma resposta do encaminhador antes de tentar
contatar os servidores DNS especificados nas dicas de raiz.
Quando um servidor DNS encaminha uma consulta para um encaminhador, ele envia uma consulta
recursiva ao encaminhador. Isso diferente da consulta iterativa que um servidor DNS enviar a
outro servidor DNS durante a resoluo de nomes padro (a resoluo de nomes que no envolve um
encaminhador).

167

Encaminhadores condicionais
Um encaminhador condicional um servidor DNS em uma rede usado para encaminhar consultas
DNS de acordo com o nome de domnio DNS na consulta. Por exemplo, um servidor DNS pode ser
configurado para encaminhar todas as consultas de nomes que terminam com widgets.exemplo.com
para o endereo IP de um servidor DNS especfico ou para os endereos IP de vrios servidores
DNS.
Resoluo de nomes de intranet
Um encaminhador condicional pode ser usado para melhorar a resoluo de nomes para domnios na
sua intranet. A resoluo de nomes na intranet pode ser melhorada mediante configurao de
servidores DNS com encaminhadores para nomes de domnio internos especficos. Por exemplo,
todos os servidores DNS no domnio widgets.exemplo.com podem ser configurados para
encaminhar consultas para nomes que terminam com teste.exemplo.com aos servidores DNS
autoritativos para mesclados.widgets.exemplo.com, eliminando portanto as etapas de consultar os
servidores raiz de exemplo.com ou configurar servidores DNS na zona widgets.exemplo.com com
zonas secundrias para teste.exemplo.com.
Resoluo de nomes de Internet
Os servidores DNS podem usar encaminhadores condicionais para resolver consultas entre os nomes
de domnio DNS de empresas que compartilham informaes. Por exemplo, duas empresas, Widgets
Toys e TailspinToys, desejam melhorar a forma como os clientes DNS de Widgets Toys resolvem os
nomes dos clientes DNS de Tailspin Toys. Os administradores de Tailspin Toys informam os
administradores de Widgets Toys sobre o conjunto de servidores DNS na rede da Tailspin Toys aos
quais Widgets pode enviar consultas referentes ao domnio bonecas.tailspintoys.com. Os servidores
DNS na rede da Widgets Toys so configurados para encaminhar todas as consultas referentes a
nomes terminados com bonecas .tailspintoys.com aos servidores DNS designados na rede para
Tailspin Toys. Em conseqncia, os servidores DNS na rede da Widgets Toys no precisam
consultar seus servidores raiz internos, ou os servidores raiz da Internet, para resolver consultas para
nomes terminados com bonecas.tailspintoys.com.


Mais opes de Configurao do DNS no Windows 2000
Server:
Utilizando o DNS como encaminhadores
21. Clique na guia Transferncia de zona. Ser exibida a janela indicada na Figura a seguir:
168


Figura - A guia para configurao de transferncia de zonas.
22. Esta guia tem uma relao direta com a segurana no DNS. Nesta guia voc pode limitar quais
servidores esto autorizados a efetuar uma transferncia de uma ou mais zonas primrias do teu
servidor DNS. Na prtica voc est limitando em quais servidores podem ser criadas zonas
secundrias, das zonas primrias existentes no servidor DNS. Estas configuraes podem ser
utilizadas para evitar que usurios externos possam copiar informaes de zonas inteiras. Estas
informaes seriam de grande ajuda para um hacker que esteja com a inteno de invadir a rede da
sua empresa. Limitando os servidores que podem copiar informaes das zonas do servidor DNS,
voc est fechando mais uma porta e dificultando mais a vida dos hackers. Por padro, a opo
Permitir transferncia de zona marcada. Se esta opo estiver marcada, ser permitido que sejam
criadas zonas secundrias desta zona em outros servidores. Se esta opo for desmarcada, isso
impedir que as informaes nesta zona repliquem para outros servidores. Voc tambm pode
definir quais servidores tero permisso para copiar informaes desta zona. As opes disponveis
so as seguintes:
Para qualquer servidor: Evidentemente que esta a opo menos segura, ou seja, qualquer
servidor DNS poder criar uma zona secundria e copiar todas as informaes da zona que
est sendo configurada. Por incrvel que parea, esta a opo padro no DNS do Windows
2000 Server. J no Windows Server 2003 a opo padro somente para servidores listados
na guia Servidores de nome, descrita anteriormente.
169

Somente para servidores listados na guia Servidores de nome: Esta opo especifica
que as transferncias de zona s sero permitidas para servidores nomeados na guia
Servidores de nomes. Essa ao permite que o administrador, restrinja transferncias de
zona, da zona que est sendo configurada, somente para uma lista especificada de servidores.
Se voc marcar esta opo, voc deve informar na lista Servidores de nomes, quais os
servidores tero permisso para copiar informaes desta zona. Se um servidor tentar copiar
informaes desta zona, sem ter as devidas permisses, as informaes no sero copiadas e
a zona fica marcada (no servidor que tentou copiar, no a zona original) com um sinal de
erro, conforme exemplo da Figura a seguir:

Figura - Tentativa de copiar uma zona sem permisso.
Somente para os servidores a seguir: Ao marcar esta opo, voc pode especificar uma
lista de servidores os quais estaro autorizados a transferir informaes sobre a zona que est
sendo configurada, ou seja, servidores que estaro autorizados a criar zonas secundrias da
zona que est sendo configurada. Para inserir servidores na lista basta digitar o nmero IP do
servidor e clicar no boto Adicionar.
Nesta guia voc tambm tem o boto Notificar... Ao clicar neste boto ser aberta a janela Notificar,
indicada na Figura a seguir:
170


Figura - A janela Notificar.
Nesta guia voc define quais servidores devem ser notificados automaticamente sobre as alteraes
efetuadas na zona primria, que est sendo configurada. Voc pode limitar a notificao apenas aos
servidores listados na guia Servidores de Nomes ou pode especificar uma lista de servidores a serem
notificados.
23. Defina as configuraes desejadas na janela Notificar e clique em OK.
24. Voc estar de volta guia Transferncias de zona. Defina as configuraes desejadas e clique
em OK.
25. Pronto. Sobre configuraes das propriedades de uma zona isso.
Configurando as propriedades do servidor DNS
No item anterior voc aprendeu a configurar as propriedades de uma zona. Estas configuraes
afetam apenas a zona que est sendo configurada. Quando voc configura as propriedades do
servidor DNS, voc altera opes que afetam todas as zonas do servidor DNS. Existem algumas
propriedades que so relacionadas com a maneira de operao do servidor DNS e no com as
configuraes de zonas especificamente. Neste item voc aprender a configurar as propriedades do
servidor DNS.
Para acessar e configurar as propriedades do servidor DNS do Windows 2000 Server, siga os passos
indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.
171

3. Ser exibido o console DNS. Clique com o boto direito do mouse no nome do servidor DNS
a ser configurado (lembrando que voc pode utilizar o console DNS para se conectar e administrar
vrios servidores DNS da sua rede, centralizadamente a partir de um nico console).
4. No menu de opes que exibido clique em Propriedades.
5. Ser exibida a janela de propriedades do servidor DNS, com a guia Interfaces j selecionada,
conforme indicado na Figura a seguir:

Figura - A guia de interfaces.
Um servidor com o Windows 2000 Server instalado pode ter mais de uma placa de rede instalada e
pode tambm ter mais de um endereo IP configurado em uma mesma placa de rede. Cada endereo
IP representa uma interface. Voc pode configurar o DNS para responder consultas enviadas por
todas as interfaces (que a opo padro) ou apenas consultas enviadas atravs das interfaces que
voc configurar nesta guia.
6. Para que o DNS responda consultas enviadas por qualquer interface, certifique-se de que a
opo Em todos os endereos IP esteja selecionada. Para fazer com que o DNS responda apenas
consultas enviadas para determinadas interfaces, marque a opo Apenas nos seguintes endereos IP
e informe os endereos IP. Para adicionar um novo endereo IP digite o endereo e clique no boto
Adicionar. Para remover um endereo IP da lista basta selecion-lo na lista e clicar no boto
Remover.
172

7. Clique na guia Encaminhadores (a traduo Encaminhadores, na minha opinio
absolutamente desnecessria. Deveria ser utilizado o termo original Forwarders). Ser exibida a
janela indicada na Figura a seguir:

Figura - A guia Encaminhadores.
Aqui preciso um pouco mais de detalhes sobre o conceito de Forward (Encaminhador) em um
servidor DNS. Ento vamos teoria do uso de Forwarders (ou se preferirem: Encaminhadores).
Os servidores DNS podem ser configurados para enviar todas as consultas recursivas a uma lista
selecionada de servidores, conhecidos como encaminhadores. Os servidores usados na lista de
encaminhadores fornecem pesquisa recursiva para todas as consultas que um servidor DNS recebe e
que no pode responder com base em suas zonas locais. Durante o processo de encaminhamento, um
servidor DNS configurado para usar encaminhadores (um ou mais servidores, com base na lista de
encaminhadores) se comporta essencialmente como um cliente DNS para seus encaminhadores.

173

Benefcios de usar encaminhadores:
Os encaminhadores so indicados quando o acesso a servidores DNS remotos feito atravs de links
de WAN de baixa velocidade, como uma rede local com um barramento de alta velocidade (10
Mbps ou, mais comum hoje em dia, 100 Mbps), ligada Internet por intermdio de uma conexo de
velocidade relativamente baixa. O uso de encaminhadores ajuda a reduzir o trfego de WAN
relacionado a resoluo de nomes DNS, das seguintes maneiras:
Reduz o nmero de consultas gerais enviadas atravs do link de WAN: Por exemplo, se
seu servidor DNS tem uma conexo dial-up de custo elevado e lenta, com um provedor de
servios da Internet (ISP, Internet service provider). Quando o servidor DNS usado como um
encaminhador da sua rede interna recebe uma consulta para um nome remoto na Internet, ele
pode entrar em contato direto com servidores remotos na Internet. Ele pode repetir consultas
adicionais at determinar o servidor autorizado para o nome que est sendo consultado. Aps
encontrar o servidor autorizado, o encaminhador entra em contato com ele e recebe uma
resposta completa.
Outra opo que pode reduzir o trfego usar um servidor DNS na Internet como um
encaminhador. Antes de decidir sobre essa configurao, obtenha permisso para usar um
servidor DNS da Internet como seu encaminhador principal, como um servidor gerenciado
pelo seu ISP. Nessa configurao, todas as consultas so enviadas ao servidor DNS
configurado na lista de Forwareders e ele s retorna a resposta de volta para o cliente.
Observe que todo o trfego de resoluo fica entre o servidor configurado como Forward do
servidor DNS interno e a Internet. Entre o servidor DNS interno e o servidor DNS
configurado como Forward, transmitida somente a consulta (do servidor interno para o
Forward) e a resposta consulta (do servidor Forward para o servidor DNS interno). Cada
consulta representa um nico percurso de ida e volta atravs do link de WAN, deixando todo
o trfego de resoluo entre o Forward e a Internet.
Compartilhar resultados remotos na sua rede local: Os encaminhadores fornecem um
modo de compartilhar informaes sobre nomes remotos com um grupo de servidores DNS
localizados na mesma rea. Por exemplo, pressuponha que sua organizao tem diversos
servidores DNS em uma rede local. Em vez de fazer com que cada servidor envie consultas
atravs de uma firewall e para a Internet, todos os servidores DNS so configurados para
encaminhar consultas para um nico servidor DNS (localizado na firewall) o qual, por sua
vez, faz as consultas necessrias aos servidores remotos. No processo, o encaminhador criar
um cache de nomes DNS da Internet a partir das respostas recebidas. Ao longo do tempo,
como os servidores DNS locais continuam a encaminhar consultas para ele, o encaminhador
responde a mais consultas a partir de seu cache porque ele comea a ter um nmero crescente
de respostas com base nas consultas anteriores para os mesmos nomes ou nomes similares.
Mais uma vez a idia isolar o trfego de resoluo entre um nico servidor DNS
(configurado como Forward) e Internet.
Mais de um encaminhador pode ser listado. Cada servidor na lista tentado somente uma vez e
todas as tentativas de repetio adicionais para o mesmo servidor s podem ocorrer repetindo seu
endereo IP na lista.
Se um servidor DNS no estiver configurado para usar encaminhadores, ele usar o processo de
consulta iterativa normal para responder s consultas recursivas para nomes remotos.
174

Usar os encaminhadores exclusivamente (sem recurso):
Quando um servidor DNS configurado para usar encaminhadores, eles so usados antes de
qualquer outro meio de resoluo de nomes ser tentado. Se a lista de encaminhadores falhar ao
fornecer uma resposta positiva, um servidor DNS poder tentar resolver a consulta por si prprio
usando consultas iterativas e recurso padro.
Um servidor tambm pode ser configurado para no executar recurso depois que os
encaminhadores falharem. Nessa configurao, o servidor no tentar nenhuma consulta recursiva
adicional por si prprio para resolver o nome. Em vez disso, a consulta ir falhar se no obtiver uma
resposta de consulta bem sucedida a partir de qualquer um dos encaminhadores.
Isso obrigar o servidor DNS a usar, exclusivamente os servidores configurados como
encaminhadores, sem utilizar o recurso de recurso. Nesse modo de operao, um servidor
configurado para usar encaminhadores poder ainda verificar primeiro nas suas zonas configuradas
localmente, para tentar resolver um nome consultado. Se ele localizar um registro correspondente
nos seus dados locais (nas zonas do prprio servidor DNS), ele poder responder consulta com
base nessas informaes.
Para tornar um servidor DNS um encaminhador exclusivo, basta marcar a opo No usar recurso
para este domnio.
Nota: Ao usar encaminhadores, as consultas so enviadas para cada encaminhador da lista, ao qual
atribudo um valor de tempo limite em segundos, dentro do qual ele deve responder antes que o
prximo encaminhador seja tentado. Por padro este tempo de 5 segundos e configurado no
campo Tempo limite do encaminhamento da guia Encaminhadores.
Importante: Um servidor DNS no pode encaminhar consultas para nomes que faam partes de
domnios para os quais o servidor autoridade do domnio, ou seja, para zonas que esto
configuradas no prprio servidor. Por exemplo, um servidor que a autoridade para a zona
abc.com.br, no poder encaminhar para outros servidores, consultas para nomes do domnio
abc.com.br. Por exemplo, chega uma consulta para o nome srv01.abc.com.br. O servidor DNS que
autoridade para o domnio abc.com.br, no poder encaminhar esta consulta para outros servidores
DNS.
Agora vamos voltar a guia Forwarders e ver como fazer as configuraes prticas.
8 Para usar encaminhadores basta informar o nmero IP do servidor DNS a ser utilizado como
encaminhador e clicar no boto Adicionar. Para remover um encaminhador da lista, clique no
encaminhador a ser excludo, para selecion-lo e clique no boto Remover. Voc pode alterar a
ordem dos encamihadores, usando os botes Para cima e Para baixo.
9. Defina as configuraes desejadas e d um clique na guia Avanado. Nesta guia voc tem uma
srie de configuraes que afetam a maneira como o DNS trabalha e resolve as consultas (alm de
ser um excelente assunto para questes dos exames de certificao da Microsoft). Sero exibidas as
opes de configuraes avanadas, conforme indicado na Figura a seguir:
175


Figura - Configuraes avanadas do servidor DNS.
Na lista Opes de servidor, voc tem as seguintes opes disponveis:
Desativar recurso: Esta opo determina se o servidor DNS usa ou no a recurso. Por
padro, os servidores DNS do Windows 2000 e do Windows Server 2003 so ativados para
usar recurso. Voc pode marcar esta opo se for necessrio desativar o mtodo de recurso
para para a resoluo de nomes.
Vincular secundrios: Esta opo define se ser usado o formato de transferncia rpido na
transferncia de uma zona para servidores DNS que executam implementaes Berkeley
Internet Name Domain (BIND) legadas, isto , com verses mais antigas do BIND. Por
padro, todos os servidores DNS baseados em Windows usam um formato de transferncia
de zona rpida, que usa compactao e pode incluir vrios registros por mensagem TCP
(Transmission Control Protocol, protocolo de controle de transmisso) durante uma
transferncia conectada. Esse formato tambm compatvel com os servidores DNS
baseados em BIND que executam verses 4.9.4 e posterior. Caso voc ainda utilize algum
servidor DNS com verso mais antiga do BIND e que precise receber atualizaes, voc
deve habilitar esta opo.
A seguir apresento uma descrio das diferentes verses do DNS e das principais caractersticas de
cada uma:
176

1. Servidor DNS do Windows 2000: Fornece funcionalidade de integrao com o
WINS (descrita mais adiante, atualizaes seguras (para zonas integradas ao Active
Directory, conforme descrito mais adiante) e integrao do Active Directory.
2. BIND 8.2.1: Nesta verso foi includa a funcionalidade de transferncia incremental
de zonas, ou seja, apenas o que foi alterado transmitido da zona primria para as
zonas secundrias e no todo o contedo da zona. Esta transferncia controlada por
um registro do tipo IXFR. No esquea deste detalhe para o exame, pois essa uma
nova funcionalidade do DNS, presente no DNS do Windows 2000 Server.
3. BIND 8.1.1: Nesta verso que foi introduzido o suporte a atualizaes dinmicas do
DNS. Lembre tambm deste fato para o exame.
4. BIND 4.9.7: Nesta verso que foi introduzido o suporte aos registros do tipo SRV.
Falhar no carregamento se forem dados de zona danificada (mais uma traduo cinco
estrelas): Por padro, os servidores DNS do Windows 2000 e do Windows Server 2003,
registram os erros nos dados, ignoram todos os dados defeituosos em arquivos de zona e
continuam a carregar a zona. Voc pode marcar esta opo para que o Servidor DNS registre
os erros e falhas ao carregar um arquivo de zona e que no continue a carregar a zona que
contm erros.
Ativar rodzio: Determina se o servidor DNS usar round robin (rodzio) para alternar e
reordenar uma lista de vrios registros de recursos de host (A) se um nome de host
consultado for para um computador configurado com vrios endereos IP (Internet Protocol,
protocolo Internet). Por padro, os servidores DNS do Windows 2000 usam round robin. A
seguir apresento mais detalhes sobre o recurso de round robin (prefiro este termo, que bem
mais conhecido em se tratando de DNS, do que rodzio).



177

Criando zonas secundrias.
Quando voc cria a zona pela primeira vez, ela uma zona primria. Somente na zona primria
permitido fazer alteraes nos registros da zona. Alm da zona primria, o DNS permite que sejam
feitas cpias da zona em outros servidores DNS. Estas cpias so as zonas secundrias. Por
exemplo, voc pode ter uma zona primria no servidor DNS da matriz da empresa e criar uma zona
secundria (cpia da zona primria), nos servidores DNS de cada filial, para reduzir o trfego devido
a resoluo de nomes DNS, nos links de WAN. As zonas secundrias so reconhecidas como
autoridades para o domnio (ou domnios) que gravam informaes na zona e pode responder s
consultas enviadas pelos clientes. A nica diferena, em relao a zona primria, que nas zonas
secundrias no podem ser feitas alteraes, adies de novos registros e excluses. Sempre que
houver alteraes na zona primria, o servidor DNS onde est a zona primria, notifica os servidores
DNS onde existem zonas secundrias. Os servidores DNS da zona secundrio solicita que as
alteraes sejam envidas a partir da zona primria. Com isso o DNS mantm as zonas sincronizadas,
ou seja, alteraes feitas nas zonas primrias so repassadas para as zonas secundrias. O DNS usa
um mecanismo de replicao incremental, ou seja, somente as alteraes so replicadas e no todo o
contedo da zona. Neste item voc aprender a criar uma zona secundria.
Para criar uma zona secundria, siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.
3. Ser exibido o console DNS.
4. Neste exemplo voc criar uma zona secundria direta. Clique com o boto direito do mouse
na opo Zonas de pesquisa direta.
5. No menu de opes que exibido clique em Nova Zona...
6. Ser aberto o assistente para a criao de uma nova zona.. A primeira tela do assistente
apenas informativa. Clique em Avanar, para seguir para a prxima etapa do assistente.
7. Nesta etapa voc deve informar o tipo de zona a ser criada. Esto disponveis as opes
Integradas ao Active Directory, Primria padro e Secundria padro. Para o nosso exemplo, defina
as configuraes indicadas na Figura a seguir:
178


Figura - Criando uma zona secundria.
8. Clique em Avanar, para seguir para a prxima etapa do assistente.
9. Nesta etapa ser solicitado o nome da zona. O nome a ser digitado deve ser o mesmo nome da
zona primria. Digite o nome da zona e clique em Avanar, para seguir para a prxima etapa do
assistente.
10. Nesta etapa voc informa o endereo IP do servidor DNS onde est a zona primria. Informe o
endereo IP do servidor e clique no boto Adicionar, conforme exemplo da Figura a seguir e clique
em Avanar, para seguir para a prxima etapa do assistente.


Integrao do DNS com o Active Directory
No Windows 2000 Server, o Servidor DNS foi cuidadosamente integrado criao e implementao
do Active Directory.
Existem dois pontos fundamentais a serem considerados na integrao do DNS com o Active
Directory:
O DNS necessrio, obrigatrio, para localizao dos DCs do domnio.
O servio Netlogon usa o novo suporte ao servidor DNS para fornecer registro de
controladores de domnio no seu espao de nomes de domnio DNS.
As zonas do DNS podem ser armazenadas na base de dados do Active Directory. Esta integrao
fornece vantagens adicionais, tais como a utilizao dos sofisticados recursos de replicao do
Active Directory, maior segurana, pois zonas integradas com o Active Directory somente aceitam
179

atualizaes dinmicas seguras, ou seja, de computadores autenticados no domnio e o uso dos
recursos de expirao e eliminao de registros baseados em informaes de validade.
Como o DNS integrado ao Active Directory
A integrao inicia no momento da instalao do Active Directory em um member server, para
torn-lo um DC. O assistente de instalao do Active Directory solicita que voc informe o nome
DNS do domnio para o qual est sendo criado um novo DC. Durante a instalao o assistente deve
ser capaz de se conectar a um servidor DNS que seja autoridade para o domnio informado. Se isso
no for possvel, o assistente ir se oferecer para instalar e configurar o DNS no prprio servidor que
est sendo promovido a DC. Se isso tambm no for possvel, o Active Directory no poder ser
instalado. Ou seja, se no for possvel localizar o servidor DNS que autoridade pelo domnio ou
instal-lo no prprio DC, o Active Directory no poder ser instalado.
Depois que tiver instalado o Active Directory, voc tem duas opes para armazenar e duplicar
zonas do DNS quando operar o servidor DNS no novo controlador de domnio.
Armazenamento de zona padro usando um arquivo baseado em texto: As zonas
armazenadas dessa maneira esto localizadas em arquivos de texto, com a extenso .Dns, os
quais so armazenados na pasta %SystemRoot%\System32\Dns em cada computador que
opera um servidor DNS. Os nomes de arquivo de zona correspondem ao nome que voc
escolhe para a zona durante a sua criao, como Exemplo.abc.com.dns o arquivo que
armazena informaes para a zona abc.com.
Armazenamento de zona integrada ao diretrio usando o banco de dados do Active
Directory: As zonas armazenadas dessa maneira esto localizadas na rvore do Active
Directory . Cada zona integrada ao diretrio armazenada em um objeto do tipo dnsZone
identificado pelo nome que voc escolhe para a zona durante a sua criao.
Benefcios da integrao ao Active Directory
Em redes que distribuem o DNS para oferecer suporte ao Active Directory, as zonas primrias
integradas ao diretrio so especcialmente recomendadas e proporcionam os seguintes benefcios:
Atualizaes multi-master baseada na replicao do Active Directory. e recursos de
segurana avanada, baseados nos recursos do Active Directory. Para zonas no integradas, o
modelo de atualizao do tipo single-master. Somente a zona primria sofre alteraes e
repassa estas alteraes para as zonas secundrias. Se o servidor onde est a zona primria
apresentar problemas, novas atualizaes dinmicas e outras alteraes no podero ser
processadas, enquanto este servidor no for recuperado. J com zonas integradas ao Active
Directory, podem ser feitas alteraes em qualquer cpia da zona e existe uma cpia em
todos os DCs (controladores de domnio) do domnio, onde o DNS estiver instalado. Alm
disso, alteraes podem ser feitas em qualquer uma das cpias da zona. O mecanismo de
replicao do Active Directory se encarrega de manter as vrias cpias sincronizadas.
Com esse modelo, qualquer servidor DNS que contenha uma zona integrada ao Active
Directory, poder receber atualizaes dinmicas enviadas pelos clientes. Com isso no
haver um ponto nico de falha, como no caso do modelo baseado em zonas padro.
Outra vantagem das zonas integradas que todo objeto do Active Directory possui uma ACL
Access Control List (idntica a lista de permisses NTFS para uma pasta ou arquivo). Voc
180

pode editar esta ACL para as zonas do DNS integradas ao Active Directory, para ter um
controle mais refinado sobre quem tem acesso e qual o nvel de acesso.
A replicao do Active Directory mais rpida, mais eficiente e mais segura do que o
mecanismo de transferncia de zonas padro do DNS.
Nota: Apenas as zonas primrias podem ser armazenadas no Active Directory. Um servidor DNS
no pode armazenar zonas secundrias no diretrio. Ele dever armazen-las em arquivos de texto
padro.
Voc pode definir que uma zona ser integrada ao Active Directory, durante a criao da zona. Para
isso basta marcar a opo Integrada ao Active Directory, durante a criao da zona, conforme
indicado na Figura a seguir, onde estou criando uma zona primria integrada ao Active Directory.

Figura - Zona integrada ao Active Directory.
Voc tambm pode converter uma zona padro para uma zona integrada com o Active Directory.
Para alterar uma zona de padro para integrada com o Active Directory, siga os passos indicados a
seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o console DNS: Iniciar -> Programas -> Ferramentas Administrativas -> DNS.
3. Ser exibido o console DNS. Clique no sinal de + ao lado da opo Zonas de pesquisa direta.
4. Sero exibidas as zonas de pesquisa direta existentes no servidor.
5. Clique com o boto direito do mouse na zona a ser configurada. No menu de opes que
exibido clique na opo Propriedades.
6. Ser exibida a janela de propriedades da zona, com a guia Geral selecionada.
181

7. Clique no boto Alterar... Ser exibida a janela Alterar o tipo da zona, indicada na Figura a
seguir:

Figura - Alterando a zona de padro para integrada com o Active Directory.
8. Para integrar a zona com o Active Directory, marque a opo Integrada ao Active Directory e
clique em OK. Ser exibida uma janela pedindo confirmao, conforme indicado na Figura a seguir:

Figura - Confirmando a integrao com o Active Directory.
9. Clique em OK para confirmar a integrao.
10. Voc estar de volta janela de propriedades da zona. Clique em OK para fech-la. Pronto, a
zona passar a armazenar suas informaes no Active Directory.



Configurando um servidor DNS somente Cache
Um servidor DNS somente cache um servidor que no tem nenhuma zona configurado. A funo
deste servidor resolver consultas utilizando um dos mtodos descritos nas lies anteriores
(forwareders, recurso, interao, etc) e armazenar os resultados obtidos no cache do servidor DNS.
O cliente envia a consulta para o servidor DNS somente cache, este servidor se utiliza de outros
servidores DNS para resolver o nome. O nome armazenado no cache do servidor DNS somente
Cache e a resposta retornada para o cliente que fez a consulta. Futuras consultas a este mesmo
nome, dentro do perodo de expirao, sero respondidas com base nas informaes do cache do
servidor DNS.
182

O servidro DNS somente cache deve ter quantidade suficiente de memria RAM para exercer esta
funo, pois toda a informao do cache do DNS criada e mantida na memria RAM do servidor.
Para limpar o cache do DNS voc pode usar o console Servios (na opo Ferramentas
administrativas) para parar e iniciar novamente o servio DNS ou utilizar o comando dnscmd
/clearcache. O servidor DNS somente cache no armazena nenhuma zona e no autoridade para
nenhum domnio.
Para instalar um servidor DNS como sendo um servidor somente cache, basta seguir os passos
indicados a seguir:
1. Instale o servio DNS no servidor.
2. No configure o servidor DNS (como voc faria normalmente) para carregar quaisquer zonas.
Ou seja, nenhuma zona ser criada no servidor DNS somente cache.
3. Verifique se os root hints (descritos anteriormente) esto configurados e atualizados
corretamente.
4. Pronto, est configurado o servidor DNS somente cache. Os clientes podem ser configurados
para utilizar este servidor.


Configuraes e consideraes sobre a configurao do DNS
nos clientes
Para clientes do Windows 2000 ou Windows 2000 Server , a configurao do DNS envolve as
seguintes tarefas ao configurar as propriedades do TCP/IP do computador cliente:
Configurar um nome (de host) DNS para cada computador.
Configurar um sufixo DNS primrio para o computador, que posicionado aps o nome de
host ou do computador para formar o nome de domnio totalmente qualificado (FQDN). Por
exemplo, o nome do computador pode ser micro01 e o sufixo DNS ser abc.com.br. Com isso
o nome completo (FQDN) ser: micro01.abc.com.br.
Configurar uma lista de servidores DNS para que os clientes usaro ao resolver nomes DNS,
como um servidor DNS primri e todos os servidores DNS alternativos a serem usados se o
servidor primrio no estiver disponvel.
Configurar a lista ou mtodo de pesquisa de sufixo DNS a ser usado pelo cliente quando ele
executa pesquisas de consultas DNS para nomes de domnio curtos no qualificados.
Configurar nomes dos computadores
Ao configurar nomes dos computadores para o DNS, til pensar no nome como a parte mais
esquerda de um fully qualified domain name (FQDN, nome de domnio totalmente qualificado).
Por exemplo, em micro01.abc.com.br., a primeira parte do nome que precede o primeiro ponto (.) no
FQDN - micr01 - o nome de host do computador. Este primeiro nome conhecido como nome de
host do computador.
183

Voc pode configurar todos os clientes DNS do Windows com um nome do computador baseado
nos caracteres padro com suporte definidos na RFC 1.123 para uso do DNS da Internet. Esses
caracteres incluem o uso de:
Letras maisculas, de A a Z
Letras minsculas, de a a z
Nmeros, 0 a 9
Hfens -
Se a sua rede oferece suporte a espaos de nome NetBIOS e DNS, voc poder usar um nome de
computador diferente dentro de cada espao de nome. No entanto, recomendvel, sempre que
possvel, tentar usar os nomes de computador que possuem 15 caracteres ou menos (que o limite
para nomes NetBios, utilizados pelo WINS, conforme descreverei nos tpicos sobre WINS, em
futuros tutoriais desta srie), alm de seguir os requisitos de nomes definidos acima.
Por padro, no Windows 2000 Server, o rtulo mais esquerda no nome DNS completo do
computador de clientes igual ao nome do computador NetBIOS, a menos que esse rtulo tenha 16
caracteres ou mais. Quando esses rtulos excedem o comprimento mximo para o NetBIOS (que
de 15 caracteres), o nome do computador NetBIOS truncado com base no rtulo total especificado.
Na prtica, todo computador ter dois nomes. Um nome NetBios que configurado na guia
Identificao de rede, na janela de propriedades do Meu computador e um nome de host, o qual
configurado na janela de propriedades avanadas do protocolo TCP/IP, na guia DNS. Evidentemente
que estes nomes devem ser iguais.
Se a integrao do DNS com o WINS estiver ativada (conforme descrito anteriormente), ser preciso
usar nomes de host e NetBios iguais para o computador. De outra forma, os resultados obtidos nas
consultas do DNS ao WINS podero ser inconsistentes.

184

Configurar uma lista de servidores DNS
Estas configuraes so feitas nas propriedades do protocolo TCP/IP. Para acesssar as propriedades
do TCP/IP clique com o boto direito do mouse na opo My Network Places (Meus locais de rede)
na rea de trabalho e, no menu que exibido, clique em Properties (Propriedades). Ser exibida a
janela com as conexes disponveis no computador. Clique com o boto direito do mouse na
conexo de rede local a ser configurada. No menu de opes que exibido clique em Propriedades.
Ser exibida a janela de propriedades da conexo. Marque a opo Internet Protocol (TCP/IP) para
marc-la e depois clique no boto Properties (Propriedades). Ser exibida a janela de propriedades
do protocolo TCP/IP. Clique no boto Avanado... Ser exibida a janela de propriedades avanadas
do TCP/IP. Clique na guia DNS. Ser exibida a janela de propriedades do cliente DNS, indicada na
Figura a seguir:

Figura - Configurando as propriedades do DNS no cliente.
Para que clientes DNS operem efetivamente, uma lista de servidores de nomes DNS ordenada por
prioridade, deve ser configurada para uso em cada computador ao processar consultas e resolver
nomes DNS. Na maioria dos casos, o computador cliente entra em contato e usa seu servidor DNS
primrio, que o primeiro servidor DNS da lista configurada localmente (o cliente tambm pode
receber esta lista a partir do servidor DHCP, conforme voc aprender a configurar na srie de
185

tutoriais sobre DHCP, mais adiante). Entra-se em contato com os servidores DNS alternativos
listados e eles so usados quando o servidor DNS primrio no estiver disponvel.
Em computadores executando o Windows 2000 ou o Windows Server 2003, a lista de servidores
DNS usada pelos clientes apenas para resolver nomes DNS. Quando os clientes enviam
atualizaes dinmicas, por exemplo, ao alterar seu nome de domnio DNS ou um endereo IP
configurado, eles devem contatar esses servidores ou outros servidores DNS conforme necessrio
para atualizar seus registros de recursos. sempre importante lembrar que alteraes, excluses e
adies somente podem ser feitas na zona primria e no em zonas secundrias.
Quando os clientes DNS so configurados dinamicamente usando um servidor DHCP (Dynamic
Host Configuration Protocol), possvel ter uma lista maior de servidores DNS. Para fornecer uma
lista de endereos IP de servidores DNS aos seus clientes DHCP, ative o cdigo de opo 6 nos tipos
de opes configurados fornecidos pelo seu servidor DHCP. Em servidores DHCP do Windows,
voc pode configurar uma lista de at 25 servidores DNS para cada cliente com essa opo.

Configurar uma lista de pesquisa de sufixos DNS
Para clientes Windows, voc pode configurar uma lista de pesquisa de sufixos de domnio DNS (os
sufixos so, no exemplo da Figura anterior: abc.com.br, rh.abc.com.br e sul.rh.abc.com.br) que
estende ou revisa suas capacidades de pesquisa DNS. Ao acrescentar sufixos adicionais lista, voc
pode pesquisar nomes de computador curtos no qualificados em mais de um domnio DNS. Em
seguida, se uma consulta DNS no tiver xito, o servio de cliente DNS poder usar essa lista para
anexar outras terminaes de sufixos de nome ao nome original e repetir as consultas DNS ao
servidor DNS sobre esses FQDNs alternativos. No exemplo da figura anterior, se voc fizer uma
pesquisa usando apenas o nome micro01. Primeiro ser pesquisado o nome
micro01.sul.rh.abc.com.br, se no houver resposta o DNS tenta micro01.rh.abc.com e ainda no
havendo resposta, o DNS tenta micro01.abc.com.br.
Quando a lista de pesquisa de sufixos est vazia ou no est especificada, o sufixo DNS primrio do
computador anexado a nomes curtos no qualificados e a consulta DNS usada para resolver o
FQDN (nome completo) resultante. Se essa consulta falhar, o computador pode tentar consultas
adicionais para FQDNs alternativos anexando qualquer sufixo DNS especfico de conexo
configurado para conexes de rede.
Se nenhum sufixo especfico da conexo estiver configurado, ou as consultas para esses FQDNs
especficos da conexo resultantes falharem, o cliente poder, ento, comear a tentar novamente as
consultas com base na reduo sistemtica do sufixo primrio (tambm conhecida como devoluo).
Por exemplo, se o sufixo primrio for "example.microsoft.com", o processo de devoluo ser capaz
de tentar novamente consultas de nome curto pesquisando nos domnios "microsoft.com" e ".com".
Quando a lista de pesquisa de sufixo no est vazia e tem pelo menos um sufixo DNS especificado,
as tentativas de qualificar e resolver nomes DNS curtos so limitadas pesquisa somente daqueles
FQDNs tornados possveis pela lista de sufixos especificada. Se as consultas para qualquer FQDN
que forem resultado do acrscimo e uso de cada sufixo na lista falharem, o processo de consulta
produz um resultado "nome no encontrado".
Se a lista de sufixos de domnios usada, os clientes continuam a enviar consultas alternativas
adicionais com base em nomes de domnio DNS diferentes quando uma consulta no respondida
186

ou resolvida. Aps um nome ser resolvido usando uma entrada na lista de sufixos, as entradas no
utilizadas da lista no so tentadas. Por esse motivo, mais eficiente ordenar a lista com base na sua
prioridade de uso, ou seja, os sufixos mais utilizados no incio da lista de sufixos.
As pesquisas de sufixos de nomes de domnios so usadas apenas quando uma entrada de nome
DNS no totalmente qualificada (quando no for usado um nome completo). Para qualificar
totalmente um nome DNS, um ponto (.) inserido no final do nome. Por exemplo, se voc pesquisa
o nome micro01.abc.com.br., no ser feita nenhuma tentativa de resoluo baseada na lista de
sufixos, se a pesquisa do nome digitado falhar na priemeira tentativa de resoluo.


Comandos para trabalhar com o DNS.
Existem alguns comandos relacionados diretamente com o DNS, tanto com o cliente DNS, nas
estaes de trabalho da rede, quanto no servidor DNS. Neste item apresentarei as utilizaes bsicas
dos seguintes comandos:
ipconfig
nslookup
Os comandos ipconfig e nslookup so utilizados nas estaes de trabalho, para pesquisar o DNS e
resolver problemas relacionados ao DNS.
O comando ipconfig
Neste item falarei das opes do comando ipconfig, relacionadas com o DNS. O comando ipconfig
j foi descrito na introduo ao protocolo TCP/IP. Este comando utilizado, basicamente, para
exibir as configuraes do protocolo TCP/IP de um computador. Porm ele tem opes relacionadas
ao DNS e tambm ao DHCP. Neste item mostrarei as opes relacionadas ao DNS.
Anteriormente, na parte terica sobre o DNS, descrevi que o cliente DNS mantm um cache local de
DNS, para agilizar a resoluo de nomes, evitando que nomes j resolvidos tenham que passar por
todo o processo de resoluo novamente. Voc pode exibir o cache local do DNS, utilizando o
seguinte comando:
ipconfig /displaydns
Ser listado o cache do DNS local, no formato indicado a seguir, onde apresento a parte inicial da
listagem do cache local do DNS de uma estao de trabalho:
Windows IP Configuration
activex.microsoft.com
----------------------------------------
Record Name . . . . . : activex.microsoft.com
Record Type . . . . . : 1
Time To Live . . . . : 6105
Data Length . . . . . : 4
Section . . . . . . . : Answer
187

A (Host) Record . . . : 207.46.196.108
codecs.microsoft.com
----------------------------------------
Record Name . . . . . : codecs.microsoft.com
Record Type . . . . . : 1
Time To Live . . . . : 6106
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 207.46.196.120
loginnet.passport.com
----------------------------------------
Record Name . . . . . : loginnet.passport.com
Record Type . . . . . : 1
Time To Live . . . . : 164
Data Length . . . . . : 4
Section . . . . . . . : Answer
A (Host) Record . . . : 65.54.226.247
1.0.0.127.in-addr.arpa
----------------------------------------
Record Name . . . . . : 1.0.0.127.in-addr.arpa.
Record Type . . . . . : 12
Time To Live . . . . : 596929
Data Length . . . . . : 4
Section . . . . . . . : Answer
PTR Record . . . . . : localhost
Outra opo do comando ipconfig, relacionada com o DNS a opo flushdns. Esta opo limpa o
cache local do DNS. Esta opo especialmente til em uma situao em que houve problemas com
o servidor DNS e aps a resoluo do problema, os clientes reclamam que conseguem acessar alguns
sites e no conseguem acessar outros sites. Isso acontece porque no cache local do cliente, existem
registros que podem no ser mais vlidos. Neste caso a soluo limpar o cache local do DNS. Para
limpar o cache local do DNS, basta utilizar o comando indicado a seguir:
ipconfig/flushdns
Este comando limpa o cache do DNS e retorna a mensagem indicada a seguir:
Windows IP Configuration
Successfully flushed the DNS Resolver Cache.
O comando nslookup
O comando nslookup utilizado para obter informaes de um servidor DNS. As informaes
obtidas com o comando nslookup, normalmente so utilizadas para a resoluo de problemas
relacionados com o DNS. Com o comando nslookup voc pode retornar partes selecionadas dos
188

registros de uma zona, voc pode verificar se um servidor DNS est funcionando normalmente e
responden s consultas, voc pode obter informaes sobre as zonas existentes em um servidor
DNS.
Vamos aprender a utilizar o comando nslookup, atravs de alguns exemplos prticos.
Para utilizar o comando nslookup, siga os passos indicados a seguir:
1. Faa o logon como Administrador ou com uma conta com permisso de administrador.
2. Abra um Prompt de comando.
3. Podemos utilizar o comando nslookup em dois modos diferentes. No modo direto, digitamos o
comando e mais alguns parmetros, e o Windows 2000 Server retorna um determinado resultado.
Considere o exemplo da Figura a seguir, onde digitei o seguinte comando nslookup server2. O
Windows 2000 Server retorna diversas informaes. Nas duas primeiras linhas, retornado o nome
e o endereo IP do servidor DNS pesquisado. Na segunda linha retornado o nome e o endereo IP
do servidor server2.

Figura - Utilizando o comando nslookup, no modo direto.
4. Caso tenhamos que fazer vrias pesquisas de nome, pode ser mais interessante utilizar o
comando nslookup no modo interativo. Neste modo, digite simplesmente nslookup e tecle Enter. O
Windows 2000 Server exibe o nome e o nmero IP do servidor DNS configurado como DNS
primrio, nas propriedades do TCP/IP e abre um prompt indicado pelo sinal de maior (>), conforme
indicado pela Figura a seguir:

Figura - Utilizando o comando nslookup, no modo interativo.
5. No modo interativo, no prompt >, digite help e tecle Enter, ser exibida uma listagem com os
diversos comandos disponveis no modo interativo.
189

6. Para achar o endereo IP de um computador da rede, simplesmente digite o nome do
computador e tecle Enter.
7. Experimento o comando ls d abc.com (troque abc.com pelo nome do seu domnio DNS) e
tecle Enter. Este comando ir listar todos os registros DNS do domnio abc.com, inclusive alguns
registros criados pelo Windows 2000 Server para uso interno do Active Directory.
8. Para sair do modo interativo digite exit e tecle Enter.
9. Para sair do Prompt de comando, digite exit e tecle Enter.

190

SERVIO DE DIRETRIO (Active
Directory)

O Active Directory (AD) o servio de diretrio baseado em Windows. O AD armazena
informaes sobre objetos em uma rede e disponibiliza essas informaes a usurios e
administradores de rede. O AD proporciona aos usurios de rede acesso a recursos permitidos em
qualquer lugar na rede usando um processo de logon simples. Fornece aos administradores de rede
um modo de exibio intuitivo e hierrquico da rede e um ponto nico de administrao para todos
os objetos de rede.
Consulte tambm: servio de diretrio, partio de diretrio, domnio, floresta, objeto, replicao

O Servio de Diretrio um servio de rede que identifica todos os recursos de uma rede e torna
essa informao disponvel para os usurios e aplicativos. Os servios de diretrios so importantes
porque oferecem uma maneira consistente de nomear, descrever, localizar, acessar, gerenciar e
tornar seguras as informaes sobre esses recursos.
Quando um usurio pesquisa por uma pasta compartilhada na rede, o servio de diretrio que
identifica o recurso e fornece essa informao ao usurio.
Ele a fonte de informaes sobre diretrios e o servio que disponibiliza e possibilita o uso dessas
informaes. Um servio de diretrio permite que os usurios localizem um objeto quando qualquer
um de seus atributos fornecido.


191

Introduo ao Active Directory
O servio de diretrio do Active Directory pode ser instalado em servidores que executem o
Microsoft Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition e
Windows Server 2003, Datacenter Edition. Ele armazena informaes sobre objetos na rede e
facilita o acesso de administradores e usurios a essas informaes. O Active Directory usa um
armazenamento estruturado de dados como base para uma organizao lgica e hierrquica das
informaes de diretrio.
Esse armazenamento de dados, tambm conhecido como diretrio, contm informaes sobre os
objetos do Active Directory. Geralmente, os objetos incluem recursos compartilhados como
servidores, arquivos, impressoras e contas de usurio e de computador da rede. Para obter mais
informaes sobre o armazenamento de dados do Active Directory.
A segurana integrada ao Active Directory atravs da autenticao de logon e controle de acesso a
objetos no diretrio. Com um nico logon na rede, os administradores podem gerenciar a
organizao e os dados de diretrio em suas redes e os usurios de rede autorizados podem acessar
recursos em qualquer lugar da rede. A administrao com base em diretivas facilita o gerenciamento
at mesmo das redes mais complexas. Para obter mais informaes sobre o Active Directory.
O Active Directory tambm inclui:
Um conjunto de regras, o esquema, que define as classes de objetos e atributos contidos no
diretrio, as restries e limites das ocorrncias desses objetos e o formato de seus nomes.
Para obter mais informaes sobre o esquema.
Um catlogo global que contm informaes sobre cada objeto no diretrio. Permite aos
usurios e administradores encontrarem informaes de diretrio independentemente de qual
domnio do diretrio realmente contenha os dados.
Um mecanismo de consulta e ndice para que os objetos e suas propriedades possam ser
publicados e encontrados por usurios ou aplicativos da rede.
Um servio de replicao que distribui dados de diretrio em uma rede. Todos os
controladores de domnio em um domnio participam da replicao e contm uma cpia
completa de todas as informaes de diretrio referentes a seu respectivo domnio. Qualquer
alterao nos dados de diretrio replicada para todos os controladores de domnio no
domnio.
Suporte para software cliente do Active Directory, que disponibiliza vrios recursos do
Microsoft Windows 2000 Professional ou do Windows XP Professional para
computadores que executem o Windows 95, Windows 98 e Windows NT Server 4.0. Para
os computadores cliente que no estiverem executando o software cliente do Active
Directory, o diretrio ser exibido somente como um diretrio do Windows NT.
Observao
Voc no pode instalar o Active Directory em um servidor que execute o Windows
Server 2003, Web Edition, mas pode ingressar o computador em um domnio do Active
Directory como servidor membro.

192

Viso geral sobre o Active Directory
Um diretrio uma estrutura hierrquica que armazena informaes sobre objetos na rede. Um
servio de diretrio, como o Active Directory, fornece os mtodos para armazenar os dados de
diretrio e disponibilizar esses dados aos usurios e administradores da rede. Por exemplo, o Active
Directory armazena informaes sobre contas de usurios, como nomes, senhas, nmeros de
telefone e assim por diante, e permite que outros usurios autorizados da mesma rede tenham acesso
a essas informaes.


193





194

Instalao do AD e criao do Domnio



O primeiro passo. V ate o menu iniciar,executar, na linha a seguir digite dcpromo e clique em ok.
A janela do Assistente para instalao do Active Directory ir aparecer. Clique no boto
Avanar.

Na janela de Compatibilidade de sistema operacional leia os requisitos mnimos dos clientes do
AD. A seguir, clique no boto Avanar.
195


Na janela de Tipo de controlador de domnio, selecione a opo Controlador de domnio para um
novo domnio e clique no boto Avanar.

Na janela de Criar novo domnio, selecione a opo Domnio em uma nova floresta e clique no
boto Avanar.
196


A janela de Novo nome de domnio a opo mais importante na criao do AD. Como todo o
sistema do AD baseado no DNS, a criao do nome de domnio ir afetar toda a operao da rede.

Entre com o nome DNS completo do domnio, por exemplo: contoso.com.br
197


Clique no boto Avanar.
Este parte poder demorar alguns minutos, pois o sistema ir procurar pelo servidor DNS e verificar
se o nome j existe.
Na janela de Nome do domnio NetBIOS, aceite a opo padro (que o primeiro nome do
domnio DNS) e clique no boto Avanar.

Na janela de Pastas do banco de dados e log, lembre-se que a partio dever ser NTFS e voc
somente dever alterar os caminhos padres por motivos de desempenho.
198

O caminho \Windows\NTDS o local onde sero armazenados os dados do AD.
Aceite as opes padres e clique no boto Avanar.

Na janela de Volume de sistema compartilhado, a partio tambm dever ser NTFS e somente
dever ser alterado caso haja problemas de desempenho.
O caminho \Windows\SYSVOL o local onde sero armazenados as GPOs e scripts do AD e esta
pasta replicada para todos os outros DC.
Aceite a opo padro e clique no boto Avanar.

Se o servidor DNS no estiver ativo ou configurado corretamente, voc ver o seguinte aviso:
199


Em geral, o primeiro DC do AD tambm o servidor DNS (que o caso do nosso artigo).
Lembre-se que o servidor DNS requerido pelo AD deve aceitar registro SRVs e atualizaes
dinmicas.
Portanto, o mais recomendvel utilizar o servidor DNS do Windows Server 2003 e deixar que o
assistente faa a instalao e configurao do mesmo.
Selecione a opo Instalar e configurar o servidor DNS neste computador e definir este computador
para usar o servidor DNS como seu servidor DNS preferencial e clique no boto Avanar.
200


Na janela de Permisses, selecione a opo Permisses compatveis somente com os sistemas
operacionais de servidor Windows 2000 ou Windows Server 2003 e clique no boto Avanar.
Esta opo somente dever ser alterada caso voc tenha DCs rodando em plataforma Windows NT,
o que no o caso do nosso artigo.

201

Na janela de senha, digite e confirme a senha de administrador do modo de restaurao; clique no
boto Avanar.
Esta senha importante, pois ela no a mesma senha do administrador do DC e deve ser usada
quando houver problemas no DC ou quando o DC for removido do computador.

Na janela de Resumo, verifique as opes selecionadas. Caso as opes estejam corretas, clique
no boto Avanar.

202

Voc ir acompanhar o assistente executando as tarefas solicitadas.



203

Nunca clique no boto Cancelar, pois voc ir estragar todo o computador!
Caso tenha cometido algum erro, aguarde o assistente finalizar e depois o execute novamente para
desfazer as alteraes.
Caso as tarefas tenham sido realizadas com sucesso, voc obter a seguinte tela:

Clique no boto Concluir.
Voc precisar reiniciar o computador para iniciar o AD. Clique no boto Reiniciar agora.




204

Verificando a instalao do AD
Nesta etapa iremos verificar se a instalao do AD foi realizada com sucesso.
Primeiro, vamos verificar se todas as ferramentas de administrao do AD foram instaladas.
Clique no menu Iniciar, Todos os programas, Ferramentas administrativas.


Execute o programa Usurios e computadores do Active Directory. Verifique se o domnio
contoso.com.br foi criado e se dentro dele existem as opes padres de objetos.

205



Execute o programa Servios e sites do Active Directory. Verifique se foi criado um site
chamado Primeiro-site-padro e dentro dele est o servidor.

Execute o programa DNS. Verifique se existe uma zona com o nome de domnio
contoso.com.br. Dentro desta zona, deve existir 4 registros SRVs.
206


Ateno! Caso no aparea os 4 registros SRVs, isso significa que o servidor DNS est com
problemas. Caso o servidor DNS no tenha sido criado e configurado pelo assistente do
Windows, o problema pode estar nas configuraes IP, sufixos, atualizaes dinmicas, etc.
Caso voc tenha problemas no servidor DNS, execute novamente o DCPROMO e refaa o AD,
antes de criar usurios, grupos e computadores.
Verifique a existncia do diretrio NTDS e seus arquivos.

Verifique a existncia do diretrio SYSVOL e seus sub-diretrios.
207


Verifique a existncia dos compartilhamentos de rede SYSVOL e NETLOGON nos Meus
Locais de Rede.

Caso todas as condies acima estejam corretas, voc instalou o AD corretamente.
Verifique se aparece a ferramenta Usurios e computadores do Active Directory.
Clique nele e verifique se o domnio contoso.com. br foi criado.
Pronto!!! O Active Directory j esta em funcionamento.
208

Instalando um controlador de domnio
Instalando um controlador de domnio
Os controladores de domnio fornecem aos usurios e computadores da rede o servio de diretrio
do Active Directory, que armazena e replica dados do diretrio e gerencia interaes do usurio com
o domnio, incluindo processos de logon do usurio, autenticao e pesquisas de diretrio. Cada
domnio deve conter, pelo menos, um controlador de domnio. Voc instala um controlador de
domnio instalando o Active Directory em qualquer servidor membro ou autnomo (exceto aqueles
com contratos de licena restritivos).
Quando voc instalar o primeiro controlador de domnio na organizao, estar criando o primeiro
domnio (tambm chamado de domnio raiz) e a primeira floresta. possvel adicionar controladores
de domnio a um domnio existente para fornecer tolerncia a falhas, melhorar a disponibilidade dos
servios e balancear a carga dos controladores de domnio existentes.
Voc pode instalar um controlador de domnio para criar um novo domnio filho ou uma nova rvore
de domnio. Crie um novo domnio filho quando um novo domnio tiver que compartilhar um
espao_para_nome contguo com um ou mais domnios. Isso significa que o nome do novo domnio
contm o nome completo do domnio pai. Por exemplo, sales.microsoft.com seria um domnio filho
de microsoft.com. Crie uma nova rvore de domnio somente quando voc precisar de um domnio
cujo espao_para_nome de sistema de nomes de domnio (DNS) no esteja relacionado aos outros
domnios da floresta. Isso significa que o nome do domnio raiz da nova rvore de domnio (e todos
os seus filhos) no inclui o nome completo do domnio pai. Uma floresta pode conter uma ou mais
rvores de domnio.
Antes de instalar um novo controlador de domnio, voc precisar considerar nveis de segurana
compatveis com verses anteriores do Windows 2000 e identificar o nome DNS do domnio..
As tarefas mais executadas durante a instalao de um controlador de domnio so criao de um
novo domnio em uma nova floresta, criao de um novo domnio filho em uma rvore de domnio
existente, criao de uma nova rvore de domnio em uma floresta existente e adio de um
controlador de domnio a um domnio existente.
Para criar um novo domnio em uma nova floresta
1. Abra o Assistente para instalao do Active Directory.
2. Na pgina Tipo de controlador de domnio, clique em Controlador de domnio para um
novo domnio e, em seguida, clique em Avanar.
3. Na pgina Tipo de controlador de domnio, clique em Domnio em uma nova floresta e,
em seguida, clique em Avanar.
4. Na pgina Novo nome de domnio, digite o nome DNS completo do novo domnio e clique
em Avanar.
5. Na pgina Nome do domnio NetBIOS, verifique o nome NetBIOS e clique em Avanar.
6. Na pgina Pastas do banco de dados e log, digite o local no qual voc deseja instalar o
banco de dados e as pastas de log ou clique em Procurar para escolher um local e, em
seguida, clique em Avanar.
209

7. Na pgina Volume de sistema compartilhado, digite o local onde deseja instalar a pasta
Sysvol ou clique em Procurar para escolher um local e, em seguida, clique em Avanar.
8. Na pgina Diagnstico de registro de DNS, verifique se algum servidor DNS existente
autoritativo nesta floresta ou, se necessrio, escolha instalar e configurar o DNS neste
servidor clicando em Instalar e configurar o servidor DNS neste computador e definir
este computador para usar o servidor DNS como seu servidor DNS preferencial e, em
seguida, em Avanar.
9. Na pgina Permisses, selecione uma destas opes:
o Permisses compatveis com verses de sistemas operacionais de servidor
anteriores ao Windows 2000
o Permisses compatveis somente com os sistemas operacionais de servidor
Windows 2000 ou Windows Server 2003
10. Examine a pgina Resumo e clique em Avanar para iniciar a instalao.
11. Reinicie o computador.
Observaes
Para executar este procedimento, voc deve ser membro do grupo Administradores no
computador local ou deve ter recebido a autoridade adequada. Se o computador fizer parte de
um domnio, possvel que os membros do grupo Administradores de domnio possam
executar esse procedimento. Como prtica recomendada de segurana, considere o uso de
Executar como para executar este procedimento.
O servidor em que voc executa esse procedimento ser promovido a primeiro controlador
de domnio no domnio raiz da floresta.
As opes do assistente na pgina Permisses afetam a compatibilidade de aplicativo com
sistemas operacionais anteriores ao Windows 2000 Server e Windows Server 2003. Alm
disso, elas no esto relacionadas funcionalidade do domnio.
O Assistente para instalao do Active Directory permite nomes de domnio do Active
Directory com at 64 caracteres ou at 155 bytes. Apesar de o limite de 64 caracteres ser
normalmente alcanado antes do limite de 155 bytes, o contrrio pode ser verdade se o nome
contiver caracteres Unicode que consomem trs bytes. Esses limites no se aplicam a nomes
de computador.
Para criar um novo domnio filho em uma rvore de domnio existente
1. Abra o Assistente para instalao do Active Directory.
2. Na pgina Tipo de controlador de domnio, clique em Controlador de domnio para um
novo domnio e, em seguida, clique em Avanar.
3. Na pgina Criar novo domnio, clique em Domnio filho em uma rvore de domnio
existente e, em seguida, clique em Avanar.
4. Na pgina Credenciais de rede, digite o nome de usurio, a senha e o domnio do usurio da
conta de usurio que deseja usar nesta operao e clique em Avanar.
5. Na pgina Instalao de domnio filho, verifique o domnio pai, digite o novo nome de
domnio filho e clique em Avanar.
6. Na pgina Nome de domnio NetBIOS, verifique o nome NetBIOS e clique em Avanar.
210

7. Na pgina Pastas do banco de dados e log, digite o local no qual voc deseja instalar o
banco de dados e as pastas de log ou clique em Procurar para escolher um local e, em
seguida, clique em Avanar.
8. Na pgina Volume de sistema compartilhado, digite o local onde deseja instalar a pasta
Sysvol ou clique em Procurar para escolher um local e, em seguida, clique em Avanar.
9. Na pgina Diagnstico de registro de DNS, verifique se as configuraes de DNS esto
corretas e clique em Avanar.
10. Na pgina Permisses, selecione uma destas opes:
o Permisses compatveis com verses de sistemas operacionais de servidor
anteriores ao Windows 2000
o Permisses compatveis somente com os sistemas operacionais de servidor
Windows 2000 ou Windows Server 2003
11. Na pgina Senha do administrador do modo de restaurao dos servios de diretrio,
digite e confirme a senha a ser atribuda a esta conta Administrador do servidor que ser
usada quando o servidor for iniciado no modo de restaurao dos servios de diretrio e
clique em Avanar.
12. Examine a pgina Resumo e clique em Avanar para iniciar a instalao.
13. Reinicie o computador.
Observaes
Para executar este procedimento, voc deve ser um membro do grupo Admins. do Domnio
ou Administrao de Empresa no Active Directory, ou a autoridade adequada deve ter sido
delegada a voc. Como prtica recomendada de segurana, considere o uso de Executar
como para executar este procedimento.
O servidor em que voc executa esse procedimento ser promovido a primeiro controlador
de domnio em um novo domnio filho.
Quando um domnio filho adicionado a um domnio de rvore existente, uma confiana
bidirecional, transitiva, pai e filho estabelecida por padro.
As opes do assistente na pgina Permisses afetam a compatibilidade de aplicativo com
sistemas operacionais anteriores ao Windows 2000 Server e Windows Server 2003. Alm
disso, elas no esto relacionadas funcionalidade do domnio.
O Assistente para instalao do Active Directory permite nomes de domnio do Active
Directory com at 64 caracteres ou at 155 bytes. Apesar de o limite de 64 caracteres ser
normalmente alcanado antes do limite de 155 bytes, o contrrio pode ser verdade se o nome
contiver caracteres Unicode que consomem trs bytes. Esses limites no se aplicam a nomes
de computador.
Para criar uma nova rvore de domnio em uma floresta existente
1. Abra o Assistente para instalao do Active Directory.
2. Na pgina Tipo de controlador de domnio, clique em Controlador de domnio para um
novo domnio e, em seguida, clique em Avanar.
3. Na pgina Criar novo domnio, clique em rvore de domnio em uma floresta existente.
4. Na pgina Credenciais de rede, digite o nome de usurio, a senha e o domnio do usurio da
conta de usurio que deseja usar nesta operao e clique em Avanar.
211

5. Na pgina Nova rvore de domnios, digite o nome DNS completo do novo domnio e
clique em Avanar.
6. Na pgina Nome do domnio NetBIOS, verifique o nome NetBIOS e clique em Avanar.
7. Na pgina Pastas do banco de dados e log, digite o local onde deseja instalar o banco de
dados e as pastas de log ou clique em Procurar para escolher um local e, em seguida, clique
em Avanar.
8. Na pgina Volume de sistema compartilhado, digite o local onde deseja instalar a pasta
Sysvol ou clique em Procurar para escolher um local e, em seguida, clique em Avanar.
9. Na pgina Diagnstico de registro de DNS, verifique se algum servidor DNS existente
autoritativo nesta floresta ou, se necessrio, escolha instalar e configurar o DNS neste
servidor clicando em Instalar e configurar o servidor DNS neste computador e definir
este computador para usar o servidor DNS como seu servidor DNS preferencial e, em
seguida, em Avanar.
10. Na pgina Permisses, selecione uma destas opes:
o Permisses compatveis com verses de sistemas operacionais de servidor
anteriores ao Windows 2000
o Permisses compatveis somente com os sistemas operacionais de servidor
Windows 2000 ou Windows Server 2003
11. Na pgina Senha do administrador do modo de restaurao dos servios de diretrio,
digite e confirme a senha a ser atribuda a esta conta Administrador do servidor que ser
usada quando o servidor for iniciado no modo de restaurao dos servios de diretrio e
clique em Avanar.
12. Examine a pgina Resumo e clique em Avanar para iniciar a instalao.
13. Reinicie o computador.
Observaes
Para executar este procedimento, voc deve ser um membro do grupo Admins. do Domnio
ou Administrao de Empresa no Active Directory, ou a autoridade adequada deve ter sido
delegada a voc. Como prtica recomendada de segurana, considere o uso de Executar
como para executar este procedimento.
O servidor em que voc executa esse procedimento ser promovido a primeiro controlador
de domnio em uma nova rvore de domnio.
Quando uma nova rvore de domnio adicionada a uma floresta existente, uma confiana
raiz de rvore bidirecional e transitiva estabelecida por padro.
As opes do assistente na pgina Permisses afetam a compatibilidade de aplicativo com
sistemas operacionais anteriores ao Windows 2000 Server e Windows Server 2003. Alm
disso, elas no esto relacionadas funcionalidade do domnio.
O Assistente para instalao do Active Directory permite nomes de domnio do Active
Directory com at 64 caracteres ou at 155 bytes. Apesar de o limite de 64 caracteres ser
normalmente alcanado antes do limite de 155 bytes, o contrrio pode ser verdade se o nome
contiver caracteres Unicode que consomem trs bytes. Esses limites no se aplicam a nomes
de computador.
212

Para instalar um controlador de domnio adicional em um domnio existente
1. Abra o Assistente para instalao do Active Directory.
2. Na pgina Tipo de controlador de domnio, clique em Controlador de domnio adicional
para um domnio existente e, em seguida, clique em Avanar.
3. Na pgina Credenciais de rede, digite o nome de usurio, a senha e o domnio do usurio da
conta de usurio que deseja usar nesta operao e clique em Avanar. Consulte Observao
para obter mais informaes.
4. Na pgina Controlador de domnio adicional, digite o nome DNS completo do domnio
existente para o qual o servidor se tornar um controlador de domnio e clique em Avanar.
5. Na pgina Pastas do banco de dados e log, digite o local no qual voc deseja instalar o
banco de dados e as pastas de log ou clique em Procurar para escolher um local e, em
seguida, clique em Avanar.
6. Na pgina Volume de sistema compartilhado, digite o local onde deseja instalar a pasta
Sysvol ou clique em Procurar para escolher um local e, em seguida, clique em Avanar.
7. Na pgina Senha do administrador do modo de restaurao dos servios de diretrio,
digite e confirme a senha a ser atribuda a esta conta Administrador do servidor que ser
usada quando o servidor for iniciado no modo de restaurao dos servios de diretrio e
clique em Avanar.
8. Examine a pgina Resumo e clique em Avanar para iniciar a instalao.
9. Reinicie o computador.
Observaes
Para executar este procedimento, voc deve ser um membro do grupo Admins. do Domnio
ou Administrao de Empresa no Active Directory, ou a autoridade adequada deve ter sido
delegada a voc. Como prtica recomendada de segurana, considere o uso de Executar
como para executar este procedimento.
Para criar um controlador de domnio adicional a partir dos arquivos de backup restaurados,
inicie o Assistente para instalao do Active Directory digitando dcpromo /adv em um
prompt de comando.
213

Definio do DHCP (Dynamic Host
Configuration Protocol)
O protocolo DHCP (protocolo de configurao dinmica de hosts) um padro IP que simplifica o
gerenciamento da configurao IP do host. O padro DHCP prepara o uso de servidores DHCP
como uma forma de gerenciar a alocao dinmica de endereos IP e outros detalhes de
configurao relacionados para os clientes com DHCP da rede.
Todos os computadores de uma rede TCP/IP devem ter um endereo IP exclusivo. O endereo IP
(junto com a mscara de sub-rede relacionada) identifica o computador host e a sub-rede qual ele
est anexado. Quando voc move um computador para uma sub-rede diferente, o endereo IP deve
ser alterado. O DHCP permite que voc atribua dinamicamente um endereo IP a um cliente a partir
de um banco de dados de endereo IP de servidor DHCP na rede local:

Em redes baseadas em TCP/IP, o DHCP reduz a complexidade e a quantidade de trabalho
administrativo envolvido na reconfigurao dos computadores.
A famlia Microsoft Windows Server 2003 fornece um servio DHCP compatvel com RFC que
voc pode usar para gerenciar a configurao de cliente IP e automatizar a atribuio de endereos
IP na rede.

Benefcios do uso do DHCP
O DHCP oferece os seguintes benefcios para a administrao da rede baseada em TCP/IP:
Configurao confivel e segura
O DHCP evita erros de configurao causados pela necessidade de digitao manual de
valores em cada computador. Alm disso, o DHCP ajuda a impedir conflitos de endereo
causados por um endereo IP atribudo anteriormente e que est sendo utilizado novamente
para configurar um novo computador na rede.
Menor gerenciamento de configurao
Usar servidores DHCP pode diminuir bastante o tempo gasto na configurao e
reconfigurao de computadores da rede. Os servidores podem ser configurados para
fornecer um intervalo completo de valores de configurao adicional ao atribuir concesses
214

de endereo. Esses valores so atribudos atravs de opes DHCP.
Alm disso, o processo de renovao de concesso de DHCP ajuda a assegurar que, quando
as configuraes de cliente precisarem ser atualizadas com freqncia (que o que acontece,
por exemplo, quando usurios com computadores portteis ou mveis mudam de local
freqentemente), essas alteraes podero ser realizadas de forma eficaz e automtica por
clientes que se comunicam diretamente com servidores DHCP.

Definindo DHCP
O DHCP a abreviatura de Dynamic Host Configuration Protocol. O DHCP um servio utilizado
para automatizar as configuraes do protocolo TCP/IP nos dispositivos de rede (computadores,
impressoras, hubs, switchs, ou seja, qualquer dispositivo conectado rede e que esteja utilizando o
protocolo TCP/IP).
Sem o uso do DHCP, o administrador da rede e a sua equipe teriam que configurar, manualmente, as
propriedades do protocolo TCP/IP em cada dispositivo de rede (genericamente denominados hosts).
Com o uso do DHCP esta tarefa pode ser completamente automatizada. O uso do DHCP traz
diversos benefcios, dentro os quais podemos destacar os seguintes:
Automao do processo de configurao do protocolo TCP/IP nos dispositivos da rede.
Facilidade de alterao de parmetros tais como Default Gateway, Servidor DNS e assim por
diante, em todos os dispositivos da rede, atravs de uma simples alterao no servidor
DHCP.
Eliminao de erros de configurao, tais como digitao incorreta de uma mscara de sub-
rede ou utilizao do mesmo nmeor IP em dois dispositivos diferentes, gerando um conflito
de endereo IP.
Introduo ao DHCP
Neste tpico apresentarei uma srie de conceitos tericos sobre o funcionamento do DHCP. Voc
aprender como funciona o processo de concesso de endereos IP (tambm conhecido como lease),
aprender sobre os conceitos de escopo, superescopo, reserva de endereo, ativao do servidor
DHCP no Active Directory e demais conceitos relacionados ao DHCP.
O que o DHCP - Dynamic Host Configuration Protocol?
Voc aprendeu, nas primeiras partes deste tutorial, sobre os fundamentos do protocolo TCP/IP, que
um equipamente de rede, que utiliza o protocolo TCP/IP precisa que sejam configurados uma srie
de parmetros. Os principais parmetros que devem ser configurados para que o protocolo TCP/IP
funcione corretamente so os seguintes:
Nmero IP
Mscara de sub-rede
Default Gateway (Gateway Padro)
Nmero IP de um ou mais servidores DNS
215

Nmero IP de um ou mais servidores WINS
Sufixos de pesquisa do DNS
Em uma rede com centenas ou at mesmo milhares de estaes de trabalho, configurar o TCP/IP
manualmente, em cada estao de trabalho uma tarefa bastante trabalhosa, que envolve tempo e
exige uma equipe tcnica para executar este trabalho. Alm disso, sempre que houver mudanas em
algum dos parmetros de configurao (como por exemplo uma mudana no nmero IP do servidor
DNS), a reconfigurao ter que ser feita manualmente em todas as estaes de trabalho da rede. Por
exemplo, imagine que o nmero IP do Default Gateway teve que ser alterado devido a uma
reestruturao da rede. Neste caso a equipe de suporte teria que ir de computador em computador,
alterando as propriedades do protocolo TCP/IP, para informar o novo nmero IP do Default
Gateway, isto , alterando o nmero IP antigo do Default Gateway para o novo nmero. Um
trabalho e tanto.
Alm disso, com a configurao manual, sempre podem haver erros de configurao. Por exemplo,
basta que o tcnico que est configurando uma estao de trabalho, digite um valor incorreto para a
mscara de sub-rede, para que a estao de trabalho no consiga mais se comunicar com a rede. E
problemas como este podem ser difceis de detectar. Muitas vezes o tcnico pode achar que o
problema com a placa de rede, com o driver da placa ou com outras configuraes. At descobrir
que o problema um simples erro na mscara de sub-rede pode ter sido consumido um bom tempo:
do tcnico e do funcionrio que utiliza o computador, o qual ficou sem poder acessar a rede. E hoje
em dia sem acesso rede significa, na prtica, sem poder trabalhar.
Bem, descrevo estas situaes apenas para ilustrar o quanto difcil e oneroso manter a configurao
do protocolo TCP/IP manualmente, quando temos um grande nmero de estaes de trabalho em
rede. Pode at nem ser to grande este nmero, com redes a partir da 30 ou 50 estaes de trabalho
j comea a ficar difcil a configurao manual do protocolo TCP/IP.
Para resolver esta questo e facilitar a configurao e administrao do protocolo TCP/IP que foi
criado o DHCP. DHPC a abreviatura de: Dynamic Host Configuration Protocol (Protocolo de
configurao dinmica de hosts). Voc pode instalar um ou mais servidores DHCP em sua rede e
fazer com que os computadores e demais dispositivos que precisem de configuraes do TCP/IP,
obtenham estas configuraes, automaticamente, a partir do servidor DHCP.
Por exemplo, considere uma estao de trabalho configurada para utilizar o DHCP. Durante a
inicializao, esta estao de trabalho entra em um processo de descobrir um servidor DHCP na
rede (mais adiante detalharei como este processo de descoberta do servidor DHCP). Uma vez
que a estao de trabalho consegue se comunicar com o servidor DHCP, ela recebe todas as
configuraes do protocolo TCP/IP, diretamente do servidor DHCP. Ou seja, com o uso do DHCP, o
administrador pode automatizar as configuraes do protocolo TCP/IP em todas os computadores da
rede.
Com o uso do DHCP, a distribuio de endereos IP e demais configuraes do protocolo TCP/IP
(mscara de sub-rede, default gateway, nmero IP do servidor DNS e assim por diante)
automatizada e centralizadamente gerenciada. O administrador cria faixas de endereos IP que sero
distribudas pelo servidor DHCP (faixas estas chamadas de escopos) e associa outras configuraes
com cada faixa de endereos, tais como um nmero IP do Default Gateway, a mscara de sub-rede,
o nmero IP de um ou mais servidores DNS, o nmero IP de um ou mais servidores WINS e assim
por diante.
216

Todo o trabalho de configurao do protocolo TCP/IP que teria que ser feito manualmente, agora
pode ser automatizado com o uso do DHCP. Imagine somente uma simples situao, mas que serve
para ilustrar o quanto o DHCP til. Vamos supor que voc o administrador de uma rede com
3000 estaes de trabalho. Todas as estaes de trabalho esto configuradas com o protocolo
TCP/IP. As configuraes so feitas manualmente, no utilizado um servidor DHCP na rede. Voc
utiliza um nico servidor externo, do seu provedor de Internet, com servidor DNS. O nmero IP
deste servidor DNS est configurado em todas as estaes de trabalho da rede. O seu Provedor de
Internet sofreu uma reestruturao e teve que alterar o nmero IP do servidor DNS (veja que uma
situao que est fora do controle do administrador da rede, j que a alterao foi no servidor DNS
do provedor). Como voc configura o TCP/IP manulamente nos computadores da rede, s resta uma
soluo: pr a sua equipe em ao para visitar as 3000 estaes de trabalho da rede, alterando o
nmero IP do servidor DNS em cada uma delas. Em cada estao de trabalho o tcnico ter que
acessar as propriedades do protocolo TCP/IP e alterar o endereo IP do servidor DNS para o novo
endereo. Um trabalho e tanto, sem contar que podem haver erros durante este processo.
Agora imagine esta mesma situao, s que ao invs de configurar o TCP/IP manualmente voc est
utilizando o DHCP para fazer as configuraes do TCP/IP automaticamente. Nesta situao, quando
houve a alterao do nmero IP do servidor DNS, bastaria alterar esta opo nas propriedades do
escopo de endereos IP no servidor DHCP e pronto. Na prxima reinicializao, os computadores da
rede j receberiam o novo nmero IP do servidor DNS, sem que voc ou um nico membro da sua
equipe tivesse que reconfigurar uma nica estao de trabalho. Bem mais simples, mais produtivo e
menos propenso a erros.
Isso o DHCP, um servio para configurao automtica do protocolo TCP/IP nos
computadores e demais dispositivos da rede que utilizam o protocolo TCP/IP. Configurao
feita de maneira automtica e centralizada. Em redes baseadas em TCP/IP, o DHCP reduz a
complexidade e a quantidade de trabalho administrativo envolvido na configurao e reconfigurao
do protocolo TCP/IP.
Nota: A implementao do DHCP no Windows 2000 Server e no Windows Server 2003 baseada
em padres definidos pelo IETF. Estes padres so definidos em documentos conhecidos como
RFCs (Request for Comments). As RFCs que definem os padres do DHCP so as seguintes:
RFC 2131: Dynamic Host Configuration Protocol (substitui a RFC 1541)
RFC 2132: DHCP Options and BOOTP Vendor Extensions
As RFCs a seguir tambm podem ser teis para compreender como o DHCP usado com outros
servios na rede:
RFC 0951: The Bootstrap Protocol (BOOTP)
RFC 1534: Interoperation Between DHCP and BOOTP
RFC 1542: Clarifications and Extensions for the Bootstrap Protocol
RFC 2136: Dynamic Updates in the Domain Name System (DNS UPDATE)
RFC 2241: DHCP Options for Novell Directory Services
RFC 2242: Netware/IP Domain Name and Information
O site oficial, a partir da qual voc pode copiar o contedo integral das RFCs disponveis o
seguinte:
217

http://www.rfc-editor.org/
Termos utilizados no DHCP
O DHCP composto de diverses elementos. O servidor DHCP e os clientes DHCP. No servidor
DHCP so criados escopos e definidas as configuraes que os clientes DHCP iro receber. A seguir
apresento uma srie de termos relacionados ao DHCP. Estes termos sero explicados em detalhes at
o final desta lio.
Termos utilizados no DHCP:
Servidor DHCP: um servidor com o Windows 2000 Server ou com o Windows Server
2003, onde foi instalado e configurado o servio DHCP. Aps a instalao de um servidor
DHCP ele tem que ser autorizado no Active Directory, antes que ele possa, efetivamente,
atender a requisies de clientes. O procedimento de autorizao no Active Directory uma
medida de segurana, para evitar que servidores DHCP sejam introduzidos na rede sem o
conhecimento do administrador. O servidor DHCP no pode ser instalado em um
computador com o Windows 2000 Professional, Windows XP Professional ou Windows
Vista.
Cliente DHCP: qualquer dispositivo de rede capaz de obter as configuraes do TCP/IP a
partir de um servidor DHCP. Por exemplo, uma estao de trabalho com o Windows
95/98/Me, Windows NT Workstation 4.0, Windows 2000 Professional, Windows XP,
Windows Vista, uma impressora com placa de rede habilitada ao DHCP e assim por diante.
o Escopo: Um escopo o intervalo consecutivo completo des endereos IP possveis
para uma rede (por exemplo, a faixa de 10.10.10.100 a 10.10.10.150, na rede
10.10.10.0/255.255.255.0). Em geral, os escopos definem uma nica sub-rede fsica,
na rede na qual sero oferecidos servios DHCP. Os escopos tambm fornecem o
mtodo principal para que o servidor gerencie a distribuio e atribuio de endereos
IP e outros parmetros de configurao para clientes na rede, tais como o Default
Gateway, Servidor DNS e assim por diante..
o Superescopo: Um superescopo um agrupamento administrativo de escopos que
pode ser usado para oferecer suporte a vrias sub-redes IP lgicas na mesma sub-rede
fsica. Os superescopos contm somente uma lista de escopos associados ou escopos
filho que podem ser ativados em cojunto. Os superescopos no so usados para
configurar outros detalhes sobre o uso de escopo. Para configurar a maioria das
propriedades usadas em um superescopo, voc precisa configurar propriedades de
cada escopo associado, individualmente. Por exemplo, se todos os computadores
devem receber o mesmo nmero IP de Default Gateway, este nmero tem que ser
configurado em cada escopo, individualmente. No tem como fazer esta configurao
no Superescopo e todos os escopos (que compem o Superescopo), herdarem estas
configuraes.
o Intervalo de excluso: Um intervalo de excluso uma seqncia limitada de
endereos IP dentro de um escopo, excludo dos endereos que so fornecidos pelo
DHCP. Os intervalos de excluso asseguram que quaisquer endereos nesses
intervalos no so oferecidos pelo servidor para clientes DHCP na sua rede. Por
exemplo, dentro da faixa 10.10.10.100 a 10.10.10.150, na rede
10.10.10.0/255.255.255.0 de um determinado escopo, voc pode criar uma faixa de
218

excluso de 10.10.10.120 a 10.10.10.130. Os endereos da faixa de excluso no
sero utilizados pelo servidor DHCP para configurar os clientes DHCP.
o Pool de endereos: Aps definir um escopo DHCP e aplicar intervalos de excluso,
os endereos remanescentes formam o pool de endereos disponveis dentro do
escopo. Endereos em pool so qualificados para atribuio dinmica pelo servidor
para clientes DHCP na sua rede. No nosso exemplo, onde temos o escopo com a faixa
10.10.10.100 a 10.10.10.150, com uma faixa de excluso de 10.10.10.120 a
10.10.10.130, o nosso pool de endereos formado pelos endereos de 10.10.10.100
a 10.10.10.119, mais os endereos de 10.10.10.131 a 10.10.10.150.
o Concesso: Uma concesso um perodo de tempo especificado por um servidor
DHCP durante o qual um computador cliente pode usar um endereo IP que ele
recebeu do servidor DHCP (diz-se atribudo pelo servidor DHCP). Uma concesso
est ativa quando ela est sendo utilizada pelo cliente. Geralmente, o cliente precisa
renovar sua atribuio de concesso de endereo com o servidor antes que ela expire.
Uma concesso torna-se inativa quando ela expira ou excluda no servidor. A
durao de uma concesso determina quando ela ir expirar e com que freqncia o
cliente precisa renov-la no servidor.
o Reserva: Voc usa uma reserva para criar uma concesso de endereo permanente
pelo servidor DHCP. As reservas asseguram que um dispositivo de hardware
especificado na sub-rede sempre pode usar o mesmo endereo IP. A reserva criada
associada ao endereo de Hardware da placa de rede, conhecido como MAC-
Address. No servidor DHCP voc cria uma reserva, associando um endereo IP com
um endereo MAC. Quando o computador (com o endereo MAC para o qual existe
uma reserva) inicializado, ele entre em contato com o servidor DHCP. O servidor
DHCP verifica que existe uma reserva para aquele MAC-Address e configura o
computador com o endereo IP associado ao Mac-address. Caso haja algum problema
na placa de rede do computador e a placa tenha que ser substituda, mudar o MAC-
Address e a reserva anterior ter que ser excluda e uma nova reserva ter que ser
criada, utilzando, agora, o novo Mac-Address.
o Tipos de opo: Tipos de opo so outros parmetros de configurao do cliente
que um servidor DHCP pode atribuir aos clientes. Por exemplo, algumas opes
usadas com freqncia incluem endereos IP para gateways padro (roteadores),
servidores WINS (Windows Internet Name System) e servidores DNS (Domain
Name System). Geralmente, esses tipos de opo so ativados e configurados para
cada escopo. O console de Administrao do servio DHCP tambm permite a voc
configurar tipos de opo padro que so usados por todos os escopos adicionados e
configurados no servidor. A maioria das opo predefinida atravs da RFC 2132,
mas voc pode usar o console DHCP para definir e adicionar tipos de opo
personalizados, se necessrio.
Como o DHCP funciona
O DHCP utiliza um modelo cliente/servidor. O administrador da rede instala e configura um ou mais
servidores DHCP. As informaes de configurao escopos de endereos IP, reservas e outras
219

opes de configurao so mantidas no banco de dados dos servidores DHCP. O banco de dados
do servidor inclui os seguintes itens:
Parmetros de configurao vlidos para todos os cliente na rede (nmero IP do Default
Gateway, nmero IP de um ou mais servidores DNS e assim por diante). Estas configuraes
podem ser diferentes para cada escopo.
Endereos IP vlidos mantidos em um pool para serem atribudos aos clientes alm de
reservas de endereos IP.
Durao das concesses oferecidas pelo servidor. A concesso define o perodo de tempo
durante o qual o endereo IP atribudo pode ser utilizado pelo cliente. Conforme mostrarei
mais adiante, o cliente tenta renovar esta concesso em perodos definidos, antes que a
concesso expire.
Com um servidor DHCP instalado e configurado na rede, os clientes com DHCP podem obter os
endereos IP e os parmetros de configurao relacionados, dinamicamente, sempre que forem
inicializados. Os servidores DHCP fornecem essa configurao na forma de uma oferta de concesso
de endereo para os clientes solicitantes.
Clientes suportados pelo DHCP
O termo Cliente utilizado para descrever um computador ligado rede e que obtm as
configuraes do protocolo TCP/IP a partir de um servidor DHCP. Qualquer computador com o
Windows (qualquer verso) instalado ou outros dispositivos, capazes de se comunicar com o
servidor DHCP e obter as configuraes do TCP/IP a partir do servidor DHCP, considerado um
cliente DHCP.
Os clientes DHCP podem ser quaisquer clientes baseados no Microsoft Windows ou outros clientes
que oferecem suporte e so compatveis com o comportamento do cliente descrito no documento
padro de DHCP, que a RFC 2132, publicado pela Internet Engineering Task Force - IETF.
Exemplo prtico: Configurando um cliente baseado no Windows para que seja um cliente do
DHCP: Para configurar um computador com o Windows 2000 para ser um cliente DHCP, siga os
passos indicados a seguir:
1. Faa o logon com a conta de Administrador ou com uma conta com permisso de
administrador.
2. Abra o Painel de controle: Iniciar -> Configuraes -> Painel de controle.
3. Abra a opo Conexes dial-up e de rede.
4. Clique com o boto direito do mouse na conexo de rede local a ser configurada. No menu de
opes que exibido clique em Propriedades.
5. Ser exibida a janela de propriedades da conexo de rede local.
6. Clique na opo Protocolo Internet (TCP/IP) para selecion-la. Clique no boto Propriedades,
para abrir a janela de propriedades do protocolo TCP/IP.
7. Nesta janela voc pode configurar o endereo IP, a mscara de sub-rede e o Gateway padro,
manualmente. Para isso basta marcar a opo Utilizar o seguinte endereo IP e informar os
endereos desejados.
220

8. Para configurar o computador para utilizar um servidor DHCP, para obter as configuraes do
TCP/IP automaticamente, marque a opo Obter um endereo IP automaticamente, conforme
indicado na Figura a seguir. Marque tambm a opo Obter o endereo dos servidores DNS
automaticamente, para obter o endereo IP do servidor DNS a partir das configuraes fornecidas
pelo DHCP.

Figura - Configurando o cliente para usar o DHCP.
9. Clique em OK para fechar a janela de propriedades do TCP/IP.
10. Voc estar de volta janela de propriedades da conexo de rede local.
11. Clique em OK para fech-la e aplicar as alteraes efetudas. Ao clicar em OK, o cliente
DHCP j tentar se conectar com um servidor DHCP e obter as configuraes do protocolo TCP/IP,
a partir do servidor DHCP.
O servidor DHCP d suporte as seguintes verses do Windows (e do MS- DOS) com clientes
DHCP:
Windows Longhorn Server
Windows Vista
Windows Server 2003 (todas as edies)
Windows 2000 Server (todas as edies)
Windows XP Home e Professional
Windows NT (todas as verses lanadas)
Windows Me
221

Windows 98
Windows 95
Windows for Workgroups verso 3.11 (com o Microsoft 32 bit TCP/IP VxD instalado)
Microsoft-Network Client verso 3.0 para MS-DOS (com o driver TCP/IP de modo real
instalado)
LAN Manager verso 2.2c
Um recurso de nome esquisito APIPA
APIPA a abreviatura de Automatic Private IP Addressing. Esta uma nova funcionalidade que foi
introduzida no Windows 98, est presente no Windows 2000, Windows XP, Windows Vista,
Longhorn Server e no Windows Server 2003. Imagine um cliente com o protocolo TCP/IP instalado
e configurado para obter as configuraes do protocolo TCP/IP a partir de um servidor DHCP. O
cliente inicializado, porm no consegue se comunicar com um servidor DHCP. Neste situao, o
Windows, usa o recurso APIPA, e automaticamente atribui um endereo IP da rede
169.254.0.0/255.255.0.0. Este um dos endereos especiais, reservados para uso em redes internas,
ou seja, este no seria um endereo de rede, vlido na Internet. A seguir descrevo mais detalhes
sobre a funcionalidade APIPA.
No esquea: O nmero de rede usado pelo recurso APIPA o seguinte: 169.254.0.0/255.255.0.0
Nota: O recurso APIPA especialmente til para o caso de uma pequena rede, com 4 ou 5
computadores, onde no existe um servidor disponvel. Neste caso voc pode configurar todos os
computadores para usarem o DHCP. Ao inicializar, os clientes no conseguiro localizar um
servidor DHCP (j que no existe nenhum servidor DHCP nesta rede do nosso exemplo). Neste caso
o recurso APIPA atribuir endereos da rede 169.254.0.0/255.255.0.0 para todos os computadores
da rede. O resultado final que todos ficam configurados com endereos IP da mesma rede e
podero se comunicar, compartilhando recursos entre si. uma boa soluo para um rede domstica
ou de um pequeno escritrio.
Configurao automtica do cliente
Se os clientes estiverem configurados para usar um servidor DHCP (em vez de serem configurados
manualmente com um endereo IP e outros parmetros), o servio do cliente DHCP entrar em
funcionamento a cada vez que o computador for inicializado. O servio do cliente DHCP usa um
processo de trs etapas para configurar o cliente com um endereo IP e outras informaes de
configurao.
O cliente DHCP tenta localizar um servidor DHCP e obter as configuraes do protocolo
TCP/IP, a partir desse servidor.
Se um servidor DHCP no puder ser encontrado, o cliente DHCP configura automaticamente
seu endereo IP e mscara de sub-rede usando um endereo selecionado da rede classe B
reservada, 169.254.0.0, com a mscara de sub-rede, 255.255.0.0 (recurso APIPA). O cliente
DHCP ir fazer uma verificao na rede, para ver se o endereo que ele est se auto-
atribuindo (usando o recurso APIPA) j no est em uso na rede. Se o endereo j estiver em
uso ser caracterizado um conflito de endereos. Se um conflito for encontrado, o cliente
selecionar outro endereo IP. A cada conflito de endereo, o cliente ir tentar novamente a
222

configurao automtica aps 10 tentativas ou at que seja utilizado um endereo que no
gere conflito.
Depois de selecionar um endereo no intervalo de rede 169.254.0.0 que no est em uso, o
cliente DHCP ir configurar a interface com esse endereo. O cliente continua a verificar se
um servidor DHCP no est disponvel. Esta verificao feita a cada cinco minutos. Se um
servidor DHCP for encontrado, o cliente abandonar as informaes configuradas
automaticamente (endereo da rede 169.254.0.0/255.255.0.0). Em seguida, o cliente DHCP
usar um endereo oferecido pelo servidor DHCP (e quaisquer outras informaes de opes
de DHCP fornecidas) para atualizar as definies de configurao IP.
Caso o cliente DHCP j tenha obtido previamente uma concesso de um servidor DHCP (durante
uma inicializao anterior) e esta concesso ainda no tenha expirado, ocorrer a seguinte seqncia
modificada de eventos, em relao a situao anterior:
Se a concesso de cliente ainda estiver vlida (no expirada) no momento da inicializao, o
cliente ir tentar renovar a concesso com o servidor DHCP.
Se durante a tentativa de renovao o cliente no conseguir localizar qualquer servidor
DHCP, ele ir tentar efetuar o ping no gateway padro que ele recebeu do servidor DHCP
anteriormente. Dependendo do sucesso ou falha do ping, o cliente DHCP proceder
conforme o seguinte:
1. Se um ping para o gateway padro for bem-sucedido, o cliente DHCP presumir que ainda
est localizado na mesma rede em que obteve a concesso atual e continuar a usar a concesso. Por
padro, o cliente ir tentar renovar a concesso quando 50 por cento do tempo de concesso tiver
expirado.
2. Se uma solicitao de ping do gateway padro falhar, o cliente presumir que foi movido para
uma rede em que no esto disponveis servidores DHCP, como uma rede domstica ou uma rede de
uma pequena empresa, onde no est disponvel servidor DHCP (pode ser o exemplo de um
vendedor conectando um notebook em um ponto da rede de um pequeno cliente).
O cliente ir configurar automaticamente o endereo IP conforme descrito anteriormente. Uma vez
que configurado automaticamente, o cliente continua a tentar localizar um servidor DHCP a cada
cinco minutos e obter uma nova concesso de endereo IP e de demais configuraes.
No esquea: APIPA isso. A sigla mais complicada do que a funcionalidade. Se voc est se
preparando para os exames de Certificao do Windows 2000 Server, fique atento a esta
funcinalidade. Normalmente aparecem questes envolvendo conhecimentos desta funcionalidade.
223

Como funciona o DHCP
O DHCP utiliza um modelo cliente/servidor. O administrador da rede estabelece um ou mais
servidores DHCP que mantm as informaes de configurao de TCP/IP e as fornecem aos
clientes. O banco de dados do servidor inclui o seguinte:
Parmetros de configurao vlidos para todos os clientes da rede.
Endereos IP vlidos mantidos em um pool para serem atribudos aos clientes, alm de
endereos reservados para atribuio manual.
Durao de uma concesso oferecida pelo servidor. A concesso define o perodo de tempo
em que o endereo IP atribudo pode ser utilizado.
Com um servidor DHCP instalado e configurado na rede, os clientes com DHCP podem obter os
endereos IP e parmetros de configurao relacionados dinamicamente sempre que iniciarem e
ingressarem em uma rede. Os servidores DHCP fornecem essa configurao sob a forma de uma
oferta de concesso de endereo para clientes solicitantes.

Terminologia do DHCP
Termo Descrio
escopo
Um escopo o intervalo consecutivo completo dos endereos IP possveis para uma
rede. Em geral, os escopos definem uma nica sub-rede fsica na rede qual sero
oferecidos servios DHCP. Os escopos tambm fornecem o mtodo principal para que
o servidor gerencie a distribuio e atribuio de endereos IP e quaisquer parmetros
de configurao relacionados para clientes na rede.
superescopo
Um superescopo um agrupamento administrativo de escopos que pode ser usado
para oferecer suporte a vrias sub-redes IP lgicas na mesma sub-rede fsica. Os
superescopos contm somente uma lista de escopos membros ou escopos filho que
podem ser ativados em conjunto. Os superescopos no so usados para configurar
outros detalhes sobre o uso do escopo. Para configurar a maioria das propriedades
usadas em um superescopo, voc precisa configurar propriedades de escopo membro
individualmente.
intervalo de
excluso
Um intervalo de excluso uma seqncia limitada de endereos IP dentro de um
escopo, excludo das ofertas de servio DHCP. Os intervalos de excluso asseguram
que quaisquer endereos nesses intervalos no sero oferecidos pelo servidor a
clientes DHCP na rede.
pool de
endereos
Aps definir um escopo DHCP e aplicar intervalos de excluso, os endereos restantes
formaro o pool de endereos no escopo. Os endereos em pool so qualificados para
atribuio dinmica pelo servidor a clientes DHCP na rede.
concesso
Uma concesso um perodo de tempo especificado por um servidor DHCP durante o
qual um computador cliente pode usar um endereo IP atribudo. Uma concesso est
ativa quando ela feita a um cliente. Geralmente, o cliente precisa renovar sua
atribuio de concesso de endereo no servidor antes que ela expire. Uma concesso
torna-se inativa quando ela expira ou excluda no servidor. A durao de uma
concesso determina quando ela expirar e com que freqncia o cliente precisa
224

renov-la no servidor.
reserva
Voc usa uma reserva para criar uma atribuio de concesso de endereo permanente
pelo servidor DHCP. As reservas asseguram que um dispositivo de hardware
especificado na sub-rede sempre poder usar o mesmo endereo IP.
tipos de
opo
Os tipos de opo so outros parmetros de configurao de cliente que um servidor
DHCP pode atribuir ao oferecer concesses a clientes DHCP. Por exemplo, algumas
opes usadas com freqncia incluem endereos IP para gateways padro
(roteadores), servidores WINS e servidores DNS. Geralmente, esses tipos de opo
so ativados e configurados para cada escopo. O console DHCP tambm permite a
voc configurar tipos de opo padro que so usados por todos os escopos
adicionados e configurados no servidor. A maioria das opes predefinida atravs da
RFC 2132, mas voc pode usar o console do DHCP para definir e adicionar tipos de
opo personalizados, se necessrio.
classe de
opes
Uma classe de opes uma forma de o servidor gerenciar os tipos de opo
fornecidos aos clientes. Quando uma classe de opes adicionada ao servidor, os
clientes dessa classe podem receber tipos de opo especficos de classe para suas
configuraes. No Microsoft Windows 2000 e Windows XP, os computadores
clientes tambm podem especificar uma identificao de classe durante a
comunicao com o servidor. Para clientes DHCP anteriores que no oferecem
suporte ao processo de identificao de classe, o servidor pode ser configurado com
classes padro quando estiver inserindo clientes em uma classe. As classes de opes
podem ser de dois tipos: classes de fornecedor e classes de usurio.



225

Instalao do servidor DHCP no Windows Server
Por padro, o DHCP no instalado durante a instalao do Windows 2000 Server. Porm, na
prtica, dificilmente voc deixar de utilizar o DHCP, optando por fazer as configuraes do
protocolo TCP/IP manualmente.
O DHCP um servio, assim como o DNS e o WINS e instalado de maneira semelhante a estes
dois. A maioria das tarefas de administrao do DHCP podem ser executadas com o console DHCP,
o qual acessado atravs do menu: Iniciar -> Programas -> Ferramentas Administrativas. O console
DHCP passa a estar disponvel depois que o servio DHCP for instalado. Voc tambm pode usar o
console DHCP para se conectar e administrar remotamente, outros servidores DHCP da rede. Com
isso, a partir de um nico console, centralizadamente, o administrador pode gerenciar os vrios
servidores DHCP existentes na rede.
Neste item voc aprender a instalar o DHCP em um servidor. Voc ver que a instalao do DHCP
extremamente simples.
Exemplo: Instalando o DHCP - Para instalar o DHCP siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o Painel de Controle: Iniciar -> Configuraes -> Painel de Controle.
3. D um clique duplo na opo Adicionar ou remover progrmas.
4. Ser exibida a janela Adicionar ou remover progrmas. Nas opes do lado esquerdo da janela,
d um clique na opo Adicionar ou Remover Componentes do Windows.
5. Ser aberto o assistente de componentes do Windows.
6. O DHCP classificado como um Sservio de rede (Networking Services). Localize esta opo
e d um clique para marc-la, conforme indicado na Figura a seguir:
226


Figura - A opo Servios de rede.
7. Clique no boto Detalhes, para exibir a lista de servios de redes disponveis.
8. Ser aberta a janela Servios de rede. Na lista de servios que exibida, marque a opo
Protocolo de configurao dinmica de hosts (DHCP), conforme indicado na Figura a seguir:

Figura - Selecionando o DHCP para instalao.
9. D um clique em OK. Voc estar de volta ao assistente de componentes do Windows.
10. Clique em Avanar, para seguir para a prxima etapa do assistente.
227

11. O Windows 2000 Server inicia o processo de instalao e emite mensagens sobre o andamento
da instalao. Durante a etapa de cpia dos arquivos voc pode ser solicitado a inserir o CD de
instalao do Windows 2000 Server no drive. Se for solicitado, insira o cd de instalao do
Windows 2000 Server no driver de CD e clique em OK para continuar a instalao.
12. A tela final do assistente exibida com uma mensagem informando que o assistente foi
concludo com sucesso. Clique em Concluir para fechar o assistente.
13. Voc estar de volta janela Adicionar ou Remover Programas. Feche-a.
Pronto, o DHCP foi instalado e est pronto para ser configurado. No preciso reinicializar o
servidor para que o DHCP possa ser utilizado. O DHCP instalado como um servio e configurado
para ser inicializado automaticamente. O servio do DHCP configurado para executar no contexto
da conta Local System.
Agora hora de avanarmos um pouco mais. Inicialmente voc aprender a autorizar o servidor
DHCP no Active Directory e o porqu necessria esta autorizao. Em seguida (j nas prximas
partes deste tutorial), voc aprender a criar e a configurar escopos . Tambm aprender sobre o
conceito de faixa de excluso e reservas.
228

Autorizando o servidor DHCP no Active Directory
Aps ter instalado o servidor DHCP, o prximo passo autorizar o servidor DHCP no Active
Directory. Somente membros do grupo Enterpries Admins (Administradores de empresa) que tem
autorizao para autorizar um servidor DHCP no Active Directory. A autorizao obrigatrioa no
Active Directory uma medida de segurana.
Se no fosse obrigatria a autoriazao do DHCP no Active Directory, qualquer usurio poderia
instalar o servio DHCP, em um servidor com o Windows 2000 Server, configurar um escopo e
passar a conceder endereos IP para os clientes da rede. O pior que este usurio poderia fornecer
configuraes incorretas, o que faria com que os clientes no pudessem se comunicar na rede. Isso
iria gerar chamadas a equipe de suporte, sem contar que seria difcil detectar onde est o servidor
DHCP que est fornecendo concesses incorretas.
No esquea: Se o servidor DHCP no for autorizado no Active Directory, ele no poder fornecer
concesses de endereos para os clientes DHCP. Na prtica como se o servidor DHCP no tivesse
sido instalado. Voc pode criar e ativar escopos antes de autorizar o servidor DHCP no Active
Directory, porm ele no poder fornecer concesses enquanto no for autorizado no Active
Directory. Se voc est se preparando para os exames do MCSE 2000 fique atento, pois isto um
assunto que gosta de aparecer em questes dos exames.
Para autorizar o servidor DHCP no Active Directory, siga os passos indicados a seguir:
1. Faa o logon com uma conta pertencente ao grupo Enterprise Admins.
2. Abra o console DHCP: Iniciar -> Programas -> Ferramentas Administrativas -> DHCP.
3. Ser exibido o console de administrao do DHCP. No painel da esquerda, clique no nome do
servidor DHCP a ser autorizado, para marc-lo.
4. Selecione o comando Ao -> Autorizar.
5. Pronto, o servidor DHCP foi autorizado no Active Directory e est pronto para ser utilizado.
229

Entendendo e projetando escopos
Um escopo DHCP consiste em um pool de endereos IP em uma determinada sub-rede, como por
exemplo de 192.168.0.1 -> 192.168.0.254, que o servidor DHCP pode conceder aos clientes da rede.
Um escopo uma faixa de endereos IP. A faixa deve estar dentro da faixa de endereos da rede
onde o servidor DHCP ser utilizado. Por exemplo, se voc utilizar o servidor DHCP na seguinte
rede: 10.10.20.0/255.255.255.0, voc poder criar escopos como os exemplificados a seguir:
10.10.10.20.30 a 10.10.20.100
10.10.10.20.120 a 10.10.20.150
10.10.10.20.200 a 10.10.20.250
Cada sub-rede pode ter somente um nico escopo DHCP com um nico intervalo contnuo de
endereos IP, definido em um servidor DHCP. Para usar vrios intervalos de endereo dentro de um
nico escopo ou sub-rede para o servio DHCP, primeiro voc deve definir o escopo e, em seguida,
definir quaisquer intervalos de excluso necessrios. Voc aprender a criar faixas de excluso, nas
prximas partes desta srie de tutoriais.
Primeiro, o administrador cria um escopo para cada sub-rede fsica e, em seguida, utiliza-o para
definir os parmetros usados pelos clientes. Os parmetros associados a um escopo podem ser, por
exemplo: mscara de sub-rede, default gateway, endereo IP de um ou mais servidores DNS,
endereo IP do servidor WINS e assim por diante. Um escopo tem as seguintes propriedades:
Um intervalo de endereos IP usados para de concesso do servidor DHCP para os clientes.
Da faixa de endereo podem ser criadas faixas de excluso, para endereos que no devam
ser concedidos via DHCP, tais como endereos que j esto em uso na rede.
Uma mscara de sub-rede exclusiva que determina a sub-rede para um determinado endereo
IP. Por exemplo, ao criar um escopo usando a faixa 10.10.20.200 a 10.10.20.250, voc
tambm tem que definir qual a mscara de sub-rede associada a este escopo.
Um nome de escopo atribudo quando o escopo for criado.
Um valor que define a durao da concesso em horas, dias ou meses.
Intervalos de excluso:
Voc pode definir intervalos de excluso para retirar de um escopo, endereos que voc no quer
que sejam concedidos pelo servidor DHCP para os clientes da rede. Por exemplo, voc pode excluir
os 10 primeiros endereos no escopo 10.10.20.30 a 10.10.20.100, criando uma excluso de
10.10.20.30 a 10.10.20.39. Com isso, restariam, efetivamente, a seguinte faixa, para concesso do
servidor DHCP para os clientes: 10.10.20.40 a 10.10.20.100. O conjunto de endereos IP
disponveis, j descontados os endereos das faixas de excluso, conhecido como Pool de
endereos.
Ao definir uma excluso desses endereos, voc especifica que esses endereos no sero oferecidos
a clientes DHCP quando eles solicitam a configurao ao servidor DHCP. Endereos IP excludos
podem estar ativos na sua rede, como por exemplo em computadores ou outros dispositivos de rede
configurados manualmente (IP fixo).
230

Criar escopos:
Ao criar um escopo DHCP, voc usa o console DHCP para inserir as seguintes informaes
necessrias:
Um nome de escopo, atribudo por voc ou pelo administrador que criou o escopo.
Uma mscara de sub-rede exclusiva usada para determinar a sub-rede qual pertence a faixa
de endereos IP do escopo.
Um intervalo de endereos IP, que o que define o escopo.
Um intervalo de tempo (conhecido como durao da concesso) que especifica por quanto
tempo um cliente DHCP pode usar um endereo IP atribudo antes que seja necessrio
renovar a configurao com o servidor DHCP, conforme descrito na parte terica sobre
DHCP, anteriormente neste captulo.
Usar a regra 80/20 para escopos:
Para equilibrar o uso do servidor DHCP, uma boa prtica usar a regra "80/20" para dividir o
endereo do escopo entre os dois servidores DHCP. Se o Servidor 1 estiver configurado para
disponibilizar a maioria (aproximadamente 80%) dos endereos, o Servidor 2 pode ser configurado
para disponibilizar os outros endereos (aproximadamente 20%) para os clientes. A ilustrao
seguinte (retirada da ajuda do DHCP ) um exemplo da regra 80/20.

Figura - A regra 80/20 de distribuio de endereos em escopos.
Depois de definir um escopo, voc pode configurar adicionalmente o escopo executando as
seguintes tarefas:
Definir intervalos de excluso adicionais: Voc pode excluir quaisquer outros endereos IP
que no devem ser concedidos a clientes DHCP. Voc deve usar excluses para todos os
dispositivos que devem ser configurados estaticamente. Os intervalos excludos devem
incluir todos os endereos IP que voc atribuiu manualmente a outros servidores DHCP,
clientes no-DHCP, estaes de trabalho sem disco, impressoras de rede configuradas com
endereo IP ou clientes PPP (Point to Point Protocol, protocolo ponto a ponto) e de
roteamento e acesso remoto.
231

Criar reservas: Voc pode escolher reservar alguns endereos IP para atribuio de
concesso permanente a dispositivos ou computadores especificados na sua rede. Voc deve
fazer reservas somente para dispositivos que tenham DHCP e que devem ser reservados para
fins especficos na rede (como servidores de impresso). Outro caso tpico so computadores
que acessam aplicativos do Mainframe, via softwares de emulao de terminal. Muitos destes
programas exigem que o computador tenha um IP fixo (sempre o mesmo IP), pois a
impresso remota associada com o nmero IP da estao de trabalho. Para resolver esta
questo pode ser criada uma reserva de IP associada ao MAC Address da placa de rede da
estao de trabalho. Com isso a estao de trabalho receber sempre o mesmo nmero IP, a
no ser que a sua placa de rede seja trocada. Neste caso voc ter que excluir a reserva
existente e fazer uma nova reserva, associada com o MAC Address da nova placa de rede.
Ajustar a durao de uma concesso: Voc pode modificar a durao da concesso a ser
usada para atribuir concesses de endereo IP. A durao de concesso padro de oito dias.
Configurar opes e classes a serem usadas com o escopo: Para fornecer configurao
total a clientes, as opes de DHCP precisam ser configuradas e ativadas para o escopo. So
exemplos de opes que devem ser configuradas: nmero IP do default gateway, nmero IP
de um ou mais servidores DNS e assim por diante.
No esquea: Aps definir e configurar um escopo, o escopo deve ser ativado antes que o servidor
DHCP comece a fazer concesses aos clientes. No entanto, voc no deve ativar um novo escopo at
ter especificado as opes DHCP para ele (default gateway, nmero IP do servidor DNS e assim por
diante). Aps ativar um escopo, voc no deve alterar o intervalo de endereos de escopo. Observe
ento que para colocar o servidor DHCP em funcionamento existem uma srie de etapas que devem
ser cumpridas, conforme descrito a seguir:
1. Instalar o servio DHCP.
2. Autorizar o DHCP no Active Directory. Somente usurios membros do grupo Enterprise
Admins tem permisso para autorizar servidores DHCP no Active Directory.
3. Criar e configurar um escopo: definir a faixa do escopo, a mscara de sub-rede, o tempo de
concesso e demais opes, tais como default gateway, servidor DNS e assim por diante.
4. Se for o caso, criar faixas de excluso dentro do escopo.
5. Ativar o escopo.


232

Criando, administrando e configurando escopos no DHCP
Para criar e configurar um escopo, siga os passos indicados a seguir:
1. Faa o logon como administrador ou com uma conta com permisso de administrador.
2. Abra o console de administrao do DHCP: Iniciar -> Programas -> Ferramentas
Administrativas -> DHCP.
3. Clique no sinal de + ao lado do servidor DHPC no qual voc quer criar um novo escopo.
Nota: importante lembrar que voc pode utilizar um nico console DHCP para se conectar com
diferentes servidores DHCP, remotamente atravs da rede. Para conectar o console de administrao
do DHCP, com um servidor remoto, clique com o boto direito do mouse na opo DHCP (bem em
cima, no painel da esquerda). No menu que exibido clique em Adicionar servidor... Ser exibida a
janela Adicionar servidor. No campo Este servidor, digite o nome ou o endereo IP do servidor
DHCP e clique em OK. Pronto, o novo servidor adicionado ao console DHCP e pode ser
administrado, remotamente, desde que a conta com a qual voc est logado, tenha permisso para
tal.
4. Clique com o boto direito do mouse no nome do servidor onde o escopo ser criado.
5. No menu de opes que exibido clique em Novo escopo...
6. O assistente para criao de um novo escopo ser aberto. A primeira tela do assistente
apenas informativa. Clique em Avanar, para seguir para a prxima etapa do assistente.
7. Nesta etapa voc deve digitar um nome e uma descrio para o escopo que est sendo criado.
Preencha estas informaes, conforme exemplo da Figura a seguir:

Figura - Preenchendo o nome e a descrio do escopo.
233

8. Clique em Avanar, para seguir para a prxima etapa do assistente.
9. Nesta etapa voc deve informar a faixa de endereos IP que faro parte do escopo. Para
informar a faixa voc deve digitar o primeiro endereo da faixa e o ltimo endereo. Tambm deve
ser informada a mscara de sub-rede. No exemplo da Figura a seguir, estou criando um escopo de
exemplo que vai de 10.10.20.10 a 10.10.20.150, com uma mscara de sub-rede 255.255.255.0. Ou
seja, estou criando um escopo de 140 endereos IP para a rede 10.10.20.0.

Figura - Definindo a faixa de endereos e a mscara de sub-rede.
10. Clique em Avanar, para seguir para a prxima etapa do assistente.
11. Nesta etapa voc pode criar uma faixa de excluso. Vamos pegar o exemplo que est sendo
criado. Tenho 140 endereos da rede 10.10.20.0, que so do endereo 10 ao 150. Vamos supor que
dentro desta faixa, os endereos de 30 a 50 so reservados para os servidores, ou seja, so endereos
configurados manualmente nos servidores que devem ter IP fixo. Portanto estes endereos no
devem ser ofertados pelo escopo que est sendo criado, para que no haja um conflito de endereos
IP. Para solucionar esta questo, basta criar uma faixa de escluso, dentro do escopo, para a faixa de
10.10.20.30 a 10.10.20.50. Para criar esta faixa de excluso, preencha os endereos conforme
indicado na Figura a seguir:
234


Figura - Definindo uma faixa de excluso.
12. Digite o endereo inicial e o endereo final da faixa de excluso, conforme exemplo da Figura
anterior e clique no boto Adicionar, para criar a faixa de excluso. Voc poder criar faixas de
excluso adicionais, simplesmente digitando o endereo inicial da faixa, o endereo final e clicando
em Adicionar.
13. Clique em Avanar, para seguir para a prxima etapa do assistente.
14. Nesta etapa voc informa a durao padro para as concesses deste escopo. O padro um
tempo de 8 dias. Na metade deste tempo, o cliente tentar renovar a concesso. Caso no seja
possvel, ele tentar novamente em 87,5% do tempo, quando ento entrar no estado de religao.
O tempo de 8 dias atende a maioria das situaes. Se voc tiver um grande nmero de endereos IP
disponveis, comparativamente com o nmero de computadores conectados, voc pode aumentar
este tempo. Se voc tiver poucos endereos IP disponveis, sendo que este nmero apenas um
pouco maior do que o nmero de computadores conectados, pode ser necessrio diminuir este
tempo, conforme comentado anteriormente. Vamos aceitar o valor padro de oito dias, conforme
indicado na Figura a seguir:
235


Figura - O valor padro do tempo de concesso (lease).
15. Clique em Avanar, para seguir para a prxima etapa do assistente.
16. Nesta etapa voc pode configura as opes associadas com o escopo. As opes so, por
exemplo, o nmero IP do Default Gateway, o nmero IP de um ou mais servidores DNS, o nmero
IP de um ou mais servidores WINS e assim por diante. Neste exemplo prtico, vamos configurar o
nmero IP do Default Gateway, o nmero IP dois servidores DNS e o nmero IP de um servidor
WINS. Estes valores sero enviados para o cliente, junto com a concesso do endereo IP. Estes
parmteros de configurao so enviados na mensagem DHCPOffer, enviada pelo servidor DHCP
para o cliente, conforme descrito anteriormente. Certifique-se de que a opo Sim, desejo configurar
estas opes agora, esteja marcada e clique em Avanar, para seguir para a prxima etapa do
assistente.
17. Nesta etapa voc deve informar o nmero IP de um ou mais roteadores da rede (gateways). O
endereo que ficar em primeiro da lista ser utilizado como Default Gateway. Para inserir o nmero
IP de um roteador, basta digitar o nmero IP no campo Endereo IP e clicar em Adicionar. Para
remover um endereo, basta clicar no endereo a ser removido e clicar em Remover. Voc pode usar
os botes Para cima e Para baixo, para alterar a posio dos endereos IP da lista. Na Figura a seguir
voc tem um exemplo onde foi informado o endereo IP de dois roteadores. O primeiro da lista ser
o default gateway e o segundo somente ser utilizado se o primeiro no estiver online.
236


Figura - Definindo informaes sobre os roteadores.
17. Clique em Avanar, para seguir para a prxima etapa do assistente.
18. Nesta etapa voc pode informar o domnio DNS a ser utilizado pelos clientes e um ou mais
servidores DNS para resoluo de nomes. Voc pode digitar o endereo IP dos servidores DNS, ou
digitar o nome do servidor, no campo Nome do servidor e depois clicar no boto Resolver, para que
o Windows 2000 Server tente encontrar o IP associado com o nome do servidor digitado. Preencha
as informaes de domnio e o endereo IP de um ou mais servidores DNS, conforme exemplo da
Figura a seguir:
Figura - Definindo informaes sobre os servidores DNS.
19. Clique em Avanar, para seguir para a prxima etapa do assistente.
20. Nesta etapa voc informa o nmero IP de um ou mais servidores WINS. Insira as informaes
dos servidores WINS e clique em Avanar, para seguir para a prxima etapa do assistente.
237

21. Nesta etapa voc tem a opo de ativar o escopo. importante recordar que, alm de criado, o
escopo tem que ser ativado, para que ele possa comear a conceder endereos IP e demais
informaes para os clientes DHCP da rede. Certifique-se de que a opo Sim, desejo ativar este
escopo agora, esteja selecionada, conforme indicado na Figura a seguir:

Figura - Ativando o escopo que est sendo criado.
22. Clique em Avanar, para seguir para a prxima etapa do assistente.
23. Ser exibida a tela final do assistente. Voc pode utilizar o boto Voltar para alterar alguma
opo definida nas etapas anteriores. Clique em Concluir.
24. Pronto, o escopo foi criado e j est ativo, conforme indicado na Figura a seguir. Observe, na
coluna Status que exibido o status Ativo. Isso indica que o escopo foi ativado com sucesso. Os
clientes DHCP da rede j podero receber endereos deste escopo.

Figura - O escopo criado neste exemplo.
238

Configurando um servidor de impresso
Se voc planeja usar este computador para gerenciar e compartilhar impressoras, configure-o como
um servidor de impresso.
Observao
Este recurso no est includo em computadores que executam o sistema operacional
Microsoft Windows Server 2003, Web Edition.
A tabela a seguir lista as informaes que voc precisa saber antes de adicionar a funo do servidor
de impresso.

Antes de adicionar a funo do
servidor de impresso
Comentrios
Determine a verso do sistema
operacional dos clientes que enviaro
trabalhos a esta impressora.
necessrio que voc tenha essa informao para poder
selecionar corretamente os drivers de impresso do cliente
para os computadores clientes e servidor. Depois que voc
adiciona a funo, o servidor de impresso pode distribuir
automaticamente os drivers aos clientes. Alm disso, o
conjunto de sistemas operacionais dos clientes determina o
driver que voc precisa instalar no servidor para a instalao
da funo do servidor de impresso.
Na impressora, imprima uma pgina
de configurao ou de teste que
contenha informaes sobre o
fabricante, o modelo, a linguagem e
as opes instaladas.
Voc precisar dessas informaes para escolher o driver de
impresso correto. As informaes sobre o fabricante e o
modelo geralmente so suficientes para identificar de forma
exclusiva a impressora e sua linguagem. No entanto, algumas
impressoras oferecem suporte a vrias linguagens, que so
geralmente listadas na impresso das configuraes. Ademais,
a impresso das configuraes freqentemente relaciona as
opes instaladas, como memria adicional, bandejas de
papel, alimentadores de envelopes e unidades de impresso
duplex.
Determine a forma como o servidor
de impresso se conecta
impressora.
Se a impressora oferecer suporte para Plug and Play e
conectar-se ao servidor de impresso usando a tecnologia de
infravermelho, uma porta USB (barramento seial universal)
ou uma porta IEEE 1394, o servidor de impresso ser
configurado automaticamente. Voc no precisa executar o
restante do procedimento.
Caso contrrio, se a impressora estiver conectada ao servidor
de impresso por um cabo, identifique a porta do servidor est
sendo utilizada. Em impressoras, LPT1 a porta normalmente
239

usada.
Se a impressora estiver distante do servidor de impresso e
usar seu prprio adaptador de rede para receber trabalhos de
impresso, determine o endereo IP do adaptador de rede na
impressora.
(Opcional) Determine se voc precisa
de um driver de impresso novo ou
atualizado.
H drivers de suporte para a maioria das impressoras no CD
de instalao do sistema operacional Windows Server 2003.
Para economizar tempo voc pode ignorar essa etapa, j que o
assistente que voc usar para configurar o servidor de
impresso fornece informaes sobre compatibilidade. Se o
assistente no listar um driver para sua impressora, procure
uma atualizao no fabricante da mquina ou no Windows
Update.
Escolha um nome para a impressora.
Os usurios que utilizam computadores clientes baseados no
Windows escolhem a impressora pelo nome. O assistente que
voc usar para configurar o servidor de impresso oferece
um nome padro, composto pelo nome do fabricante e
modelo da impressora. O nome da impressora geralmente tem
at 31 caracteres.
Escolha um nome de
compartilhamento.
O usurio pode se conectar a uma impressora compartilhada
digitando o nome dela ou selecionando-a em uma lista de
nomes de compartilhamentos. Geralmente, o nome de
compartilhamento tem at 8 caracteres, por razes de
compatibilidade com os clientes MS-DOS e Windows 3.x.
(Opcional) Escolha uma descrio e
um comentrio para a localizao da
impressora.
Isso pode ajudar a identificar a localizao da impressora,
fornecendo informaes adicionais. Por exemplo, a
localizao poderia ser "Segundo andar, sala de impresso" e,
o comentrio, "Cartuchos de toner disponveis no
almoxarifado do primeiro andar".
Configurando o servidor de impresso
Para configurar o servidor de impresso, inicie o Assistente para configurar o servidor seguindo um
destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma funo. Por padro,
Gerenciar o Servidor iniciado automaticamente quando voc faz logon. Para abrir
Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique duas vezes em
Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de
Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, em
Assistente para Configurar o Servidor.
240

Na pgina Funo do Servidor, clique em Servidor de impresso e, em seguida, clique em
Avanar.
Impressoras e drivers de impressoras
Na guia Impressoras e Drivers de Impressora, siga um destes procedimentos:
Se todos os clientes da rede executarem Windows XP Home Edition, Windows XP
Professional ou o Windows 2000, clique em apenas clientes do Windows 2000 e
Windows XP.
Se algum dos clientes executar o Windows XP 64-bit Edition (Itanium), Windows NT 4.0,
Windows Millennium Edition, Windows 98 ou Windows 95, clique em Todos os clientes do
Windows.
Quando terminar, clique em Avanar.
Resumo das Selees
Na pgina Resumo das Selees, examine e confirme as opes selecionadas. Se voc selecionou
Apenas clientes do Windows 2000 e Windows XP na pgina anterior, ser exibido o seguinte:
Adicionar impressoras a este servidor usando o Assistente para Adicionar Impressora.
Se voc selecionou Todos os clientes do Windows na pgina anterior, ser exibido o seguinte:
Adicionar impressoras a este servidor usando o Assistente para Adicionar Impressora.
Adicionar impressoras a este servidor usando o Assistente para adicionar driver de
impressora.
Para aplicar as selees mostradas na pgina Resumo das Selees, clique em Avanar.
Usando o Assistente para Adicionar Impressora
Depois que voc clica em Avanar, o Assistente para Configurar o Servidor executa o Assistente
para Adicionar Impressora uma vez para cada impressora que voc deseja adicionar. Se o assistente
for concludo e voc optar por compartilhar pelo menos uma impressora, seu servidor poder ser
usado como servidor de impresso. Se voc cancelar o Assistente para adicionar impressora, o
servio de Spooler de impresso permanece instalado. Se voc cancelar o Assistente para adicionar
impressora e no houver impressoras compartilhadas, o servidor no adiciona a funo do servidor
de impresso.

Importante
Se a impressora que voc deseja compartilhar oferece suporte para Plug and Play, no
execute o Assistente para adicionar impressora. As impressoras Plug and Play concluem
automaticamente as etapas de configurao do Assistente para adicionar impressora. Se a
241

impressora que voc desejar compartilhar oferecer suporte para Plug and Play, clique em
Cancelar.
Deteco de nova impressora
Se voc marcou a caixa Detectar e instalar automaticamente a impressora Plug and Play e o
assistente no conseguir detectar impressoras Plug and Play, ser exibida esta pgina. Clique em
Avanar.
Para concluir as etapas da pgina Selecione uma Porta de Impressora.
Selecionar uma porta de impressora
Se voc selecionou Impressora local conectada ao computador, ser exibida esta pgina.
Na pgina Selecione uma Porta de Impressora, escolha uma das seguintes opes:
Se um cabo conecta a impressora diretamente a uma porta do servidor de impresso, clique
no nome dessa porta em Usar a seguinte porta. LPT1 a porta mais usada por esse tipo de
impressora.
Se a impressora possuir seu prprio adaptador de rede e voc quiser enviar trabalhos atravs
da rede, clique em Criar uma nova porta e, em seguida, clique no tipo de porta que voc
deseja criar. Se voc no souber o tipo de porta que deve ser criada, recomendamos escolher
Porta TCP/IP Padro.
Se voc clicar em Porta TCP/IP Padro e, depois, clicar em Avanar, ser iniciado o
Assistente para Adicionar Porta de Impressora TCP/IP Padro. Clique em Avanar no
Assistente para Adicionar Porta de Impressora TCP/IP Padro. Na pgina Adicionar Porta,
digite o nome ou o endereo IP da impressora. Geralmente, o endereo IP listado na pgina
de configurao da impressora. medida que voc digita o nome ou o endereo IP, o
assistente preenche o campo Nome da Porta automaticamente. Clique em Avanar.
O assistente tenta se conectar impressora. Se o assistente conseguir se conectar, ser
exibida a pgina Concluindo o 'Assistente para adicionar porta de impressora TCP/IP
padro' e voc pode clicar em Concluir. Se o assistente no conseguir se conectar, ser
exibida a pgina So Necessrias mais Informaes sobre a Porta. Se voc achar que o
endereo ou o nome que digitou esto incorretos, clique em Voltar, digite novamente o
nome ou o endereo e clique em Avanar.
Se tiver certeza de que o endereo ou o nome esto corretos, selecione um dos tipos de
dispositivos abaixo para identificar o adaptador de rede da impressora:
o Padro o padro. Se voc clicar em Padro, clique no fabricante e no modelo do
adaptador de rede na lista Padro.
o Se o adaptador de rede da impressora utiliza configuraes fora do padro, clique em
Personalizado e, em seguida, clique em Configuraes. Ser exibida a pgina
Configurar o Monitor de Porta TCP/IP Padro. Especifique as configuraes
recomendadas pelo fabricante do adaptador de rede da impressora e clique em OK.
Quando terminar, clique em Avanar.
242

Especificar uma impressora
Se voc selecionou Uma impressora de rede, ou uma impressora conectada a outro
computador, ser exibida essa pgina.
Na pgina Especifique uma Impressora, escolha uma das seguintes opes para configurar seu
servidor de impresso para encaminhar os trabalhos de impresso a outro servidor:
Se o servidor de impresso ao qual voc deseja se conectar estiver disponvel na rede, clique
em Procurar impressora, clique em Avanar e, em Impressoras compartilhadas, clique
no servidor e na impressora na lista.
Se o servidor de impresso ao qual voc deseja se conectar estiver temporariamente
indisponvel na rede, clique em Conectar-se impressora (marque esta opo e clique em
'Avanar' p/ procurar a impressora) e e digite os nomes do servidor e da impressora no
campo Nome.
Se o servidor de impresso ao qual voc deseja se conectar pertence a outra organizao e
est disponvel na Internet, clique em Conectar-se a uma impressora na Internet ou em
uma rede domstica ou no escritrio.
Importante
Use as opes dessa pgina somente se quiser que o servidor de impresso encaminhe os
trabalhos de impresso a outro servidor. Se no quiser fazer isso, clique em Voltar, clique
em Impressora local conectada ao computador, clique em Avanar e siga as etapas de
Selecione uma Porta de Impressora.
Quando terminar, clique em Avanar.
Nesse caminho de configurao, voc pode ignorar algumas etapas deste documento. Para continuar
as instrues deste caminho de configurao.
Instalar software da impressora
Na pgina Instalar Software da Impressora do Assistente para Adicionar Impressora, em
Fabricante, clique no fabricante da impressora e, em seguida, em Impressoras, clique no modelo.
Observao
Anote o fabricante e o modelo selecionados. Voc precisar dessas informaes
posteriormente se usar o Assistente para adicionar driver de impressora para instalar drivers
de impressora em outros clientes baseados no Windows.
Se o fabricante ou o modelo no for listado, tente executar as etapas indicadas na tabela abaixo, em
seqncia, para instalar o software de impressora correto.

Etapa Comentrios
Verifique a impresso das As listas Fabricante e Impressoras mostram os nomes oficiais
243

configuraes para confirmar que
os nomes do fabricante e do
modelo da impressora foram
escritos corretamente.
dos produtos, que podem ser diferentes dos nomes que voc
normalmente usa.
Clique em Com Disco, localize
os arquivos do driver e clique em
OK.
Se os arquivos do driver de impressora estiverem armazenados
em outro local, siga essas etapas. Por exemplo, o fabricante da
impressora pode incluir um CD-ROM contendo os arquivos do
driver na embalagem da impressora.
Clique em Windows Update.
Se voc quiser procurar drivers novos ou atualizados
disponibilizados pela Microsoft como parte do Windows Update,
clique nessa opo. Quando voc clica em Windows Update, as
listas Fabricante e Impressoras passam a mostrar somente os
drivers disponveis no Windows Update. Se a impressora no for
listada, retorne lista original clicando em Voltar e, em seguida,
em Avanar.
Selecione o fabricante e o modelo
de uma impressora compatvel e
clique em Avanar.
Para identificar as impressoras compatveis, consulte o guia do
usurio da impressora. Alm disso, alguns fabricantes fornecem
informaes sobre compatibilidade em seus sites da Web.
Quando terminar, clique em Avanar.
Usar o driver existente
Se voc adicionar outra impressora com o mesmo nome de fabricante e modelo de uma impressora
j instalada, ser exibida a pgina Usar o Driver Existente. Decida se quer manter o mesmo driver
ou substitu-lo por um novo. Se voc selecionar Substituir o driver existente, o assistente
reinstalar os arquivos do driver.
Quando terminar, clique em Avanar.
Fornecer um nome para a impressora
Na pgina Fornea um Nome para a Impressora do Assistente para Adicionar Impressora, o nome
padro o nome do fabricante seguido do modelo da impressora. Voc pode mudar esse nome para
facilitar o uso e a administrao da impressora. Ao utilizar aplicativos, os usurios freqentemente
selecionam uma impressora contida na lista que exibe os nomes das impressoras disponveis. Para
ajud-los a decidir qual impressora selecionar, o aplicativo pode, tambm, listar a localizao ou um
comentrio.
Em Deseja que esta seja a impressora padro?, clique em Sim ou No. A resposta ser aplicada
apenas quando voc imprimir de um aplicativo que est sendo executado nesse servidor de
impresso. A resposta no define a impressora como aquela que ser usada pelos clientes por
padro.
Quando terminar, clique em Avanar.
244

Compartilhamento de impressora
Importante
necessrio compartilhar pelo menos uma impressora para que este servidor funcione como
servidor de impresso.
Na pgina Compartilhamento Impressora do Assistente para Adicionar Impressora, a opo
Nome do compartilhamento selecionada por padro, para que a impressora seja compartilhada. O
nome de compartilhamento padro composto pelas primeiras 8 letras do nome do fabricante e do
modelo da impressora, sem espaos. Voc pode mudar esse nome para facilitar o uso e a
administrao da impressora.
Para oferecer compatibilidade aos clientes que executam MS-DOS ou verses anteriores do
Windows, digite um nome de compartilhamento seguindo estas regras:
O nome de compartilhamento contm apenas letras, nmeros e o ponto final (.).
O nome do compartilhamento no contm mais de oito letras e nmeros e, opcionalmente,
antecede um ponto final, que seguido de at trs letras ou nmeros.
Quando terminar, clique em Avanar.
Local e comentrio
Na pgina Local e Comentrio do Assistente para Adicionar Impressora, em Local, digite uma
descrio do local do servidor de impresso e, em Comentrio, digite um comentrio. Essa etapa
opcional, mas recomendvel, j que as informaes facilitam o uso e a administrao do servidor de
impresso. Muitos aplicativos exibem o comentrio ou o local quando o usurio imprime um
documento. Dessa forma, o usurio pode escolher a impressora que lhe for mais adequada.
Quando terminar, clique em Avanar.
Imprimir pgina de teste
Na pgina Imprimir Pgina de Teste do Assistente para Adicionar Impressora, escolha se voc
deseja imprimir uma pgina de teste para confirmar que a impressora est pronta para uso.
Observao
A pgina de teste no automaticamente impressa quando voc clica em Avanar. Ela
impressa quando voc conclui o assistente.
Quando terminar, clique em Avanar.
Concluir o Assistente para Adicionar Impressora.
Na pgina Concluindo o Assistente para Adicionar Impressora, a caixa de seleo Reiniciar o
assistente para adicionar outra impressora marcada por padro. Se voc deix-la selecionada e
clicar em Concluir, o assistente ser reiniciado para adicionar outra impressora. Se voc terminou
245

de adicionar todas as impressoras que queria compartilhar nesse servidor, desmarque essa caixa e
clique em Concluir.
Quando voc clica em Concluir, o assistente instala os arquivos do driver de impressora. Em
seguida, se voc escolheu imprimir uma pgina de teste, o assistente tenta imprimi-la. Se a
impressora no receber a pgina de teste, talvez voc tenha selecionado a porta incorreta. No
entanto, se a impressora receber a pgina de teste e imprimi-la incorretamente, talvez voc tenha
selecionado fabricante e modelo incompatveis.
Quando voc iniciou o Assistente para Configurar o Servidor para configurar este como o servidor
de impresso, selecionou uma das opes abaixo na pgina Impressoras e Drivers de Impressora:
Windows 2000 e Windows XP apenas clientes
Todos os clientes do Windows
Se voc selecionou Todos os clientes do Windows, o Assistente para Adicionar Driver de
Impressora ser iniciado depois que voc clicar em Concluir no Assistente para Adicionar
Impressora. Voc pode usar o Assistente para adicionar driver de impressora para instalar drivers de
impressora clientes no servidor de impresso, que poder, ento, distribu-los automaticamente aos
clientes.
Observao
O Assistente para adicionar driver de impressora no se comunica com o Assistente para
adicionar impressora. Portanto, o Assistente para adicionar driver de impressora no
executado automaticamente para cada impressora que voc adicionar e no instala
automaticamente os drivers para o mesmo fabricante e modelo de impressora. Em vez disso,
voc deve decidir quantas vezes quer executar o Assistente para adicionar driver de
impressora e, a cada vez que ele for executado, voc deve escolher o fabricante e o modelo
dos drivers a serem instalados.
Usando o Assistente para Adicionar Driver de Impressora.
Se voc selecionou Todos os clientes do Windows na pgina Impressoras e Drivers de
Impressora do Assistente para Configurar o Servidor, o Assistente para Adicionar Driver de
Impressora ser iniciado aps o Assistente para Adicionar Impressora. Se voc cancelar o Assistente
para adicionar driver de impressora, o servio de Spooler de impresso permanecer instalado e as
impressoras adicionadas sero mantidas, mas os arquivos de driver cliente adicionais no sero
instalados no servidor. Conseqentemente, o servidor no poder distribuir esses drivers aos
clientes.
Esta seo descreve as seguintes etapas do Assistente para adicionar driver de impressora:
Seleo de driver de impressora
Seleo de processador e sistema operacional
Concluindo o Assistente para Adicionar Driver de Impressora
246

Seleo de driver de impressora
Na pgina Seleo de Driver de Impressora do Assistente para Adicionar Driver de Impressora,
selecione o fabricante e o modelo de uma impressora compartilhada no servidor de impresso e
clique em Avanar.
Importante
O Assistente para adicionar driver de impressora no seleciona automaticamente um
fabricante e um modelo para uma impressora que voc j tenha adicionado. Em vez disso, ele
seleciona o primeiro fabricante da lista e o nome do primeiro modelo de impressora (em
ordem alfabtica) daquele fabricante. Se possvel, selecione o fabricante e o modelo de uma
impressora que voc j adicionou. Se voc selecionar um fabricante ou um modelo diferente,
o assistente poder instalar drivers que no funcionem corretamente com a impressora.
Seleo de processador e sistema operacional
Na pgina Seleo de Processador e Sistema Operacional do Assistente para Adicionar Driver de
Impressora, selecione os sistemas operacionais e os processadores clientes.
Os drivers para o sistema operacional do seu servidor so automaticamente instalados quando voc
adiciona uma impressora. Como resultado, uma das opes abaixo selecionada, sem que seja
possvel remov-la: Windows 2000, Windows XP e Windows Server 2003 para processadores
compatveis com x86, Windows XP e Windows Server 2003 para processadores baseados no
Itanium ou Windows XP e Windows Server 2003 para processadores compatveis com x64.
Quando terminar, clique em Avanar.
Concluindo o Assistente para Adicionar Driver de Impressora
Na pgina Concluindo o Assistente para Adicionar Driver de Impressora, a caixa Reiniciar o
assistente para adicionar outro driver de impressora selecionada por padro. Se voc deix-la
selecionada e clicar em Concluir, o assistente ser reiniciado para adicionar outro driver de
impressora. Se voc terminou de adicionar todos os drivers de impressora que queria compartilhar
nesse servidor, desmarque essa caixa e clique em Concluir.
Concluindo o Assistente para Configurar o Servidor
Depois que voc concluir o Assistente para Adicionar Impressora e, se necessrio, o Assistente para
Adicionar Driver de Impressora, o Assistente para Configurar o Servidor exibir a pgina Este
Servidor Agora um Servidor de Impresso. Para rever todas as alteraes feitas no servidor pelo
Assistente para Configurar o Servidor ou verificar se uma nova funo foi instalada com sucesso,
clique em Log de Configurao do Servidor. O log do Assistente para Configurar o Servidor
localiza-se em raiz_do_sistema\Debug\Configure Your Server.log. Para fechar o Assistente para
Configurar o Servidor, clique em Concluir.
Antes de usar o servidor de impresso, recomendvel executar as seguintes etapas:
Execute o Windows Update. Para obter mais informaes.
Execute o Assistente de Configurao de Segurana.
247

Removendo a funo do servidor de impresso
Se for necessrio reconfigurar seu servidor para uma outra funo, voc poder remover funes
existentes do servidor. Se voc remover a funo do servidor de impresso, todos os clientes que
enviaram trabalhos apenas a este servidor de impresso no podero imprimir at que voc
reconfigure cada cliente para envio de trabalhos a um servidor de impresso diferente. Alm disso,
todas as impressoras que so gerenciadas apenas por este servidor de impresso no podero receber
trabalhos at que voc reconfigure outro servidor de impresso para enviar trabalhos quelas
impressoras.
Para remover a funo do servidor de impresso, reinicie o Assistente para configurar o servidor
seguindo um destes procedimentos:
Em Gerenciar o Servidor, clique em Adicionar ou remover uma funo. Por padro,
Gerenciar o Servidor iniciado automaticamente quando voc faz logon. Para abrir
Gerenciar o Servidor, clique em Iniciar e em Painel de Controle, clique duas vezes em
Ferramentas Administrativas e, em seguida, clique duas vezes em Gerenciar o Servidor.
Para abrir o Assistente para Configurar o Servidor, clique em Iniciar, em Painel de
Controle, clique duas vezes em Ferramentas Administrativas e, em seguida, em
Assistente para Configurar o Servidor.
Na pgina Funo do Servidor, clique em Servidor de impresso e, em seguida, clique em
Avanar. Na pgina Confirmao de Remoo de Funo, reveja os itens listados em Resumo,
marque a caixa Remover a funo de servidor de impresso e clique em Avanar. Na pgina
Funo de Servidor de Impresso Removida, clique em Concluir.
Prximas etapas: Concluindo tarefas adicionais
Depois que voc concluir o Assistente para configurar o servidor, o servidor estar pronto para uso
como servidor de impresso. Seguindo as etapas deste documento, voc:
Adicionou uma ou mais impressoras.
Compartilhou impressoras para que os clientes pudessem enviar trabalhos de impresso.
Se necessrio, adicionou drivers de impresso clientes.
Voc pode usar o Assistente para adicionar impressora e o Assistente para adicionar driver de
impressora para adicionar mais impressoras e drivers clientes. Esses assistentes esto disponveis em
Gerenciar o servidor.
A tabela a seguir lista algumas tarefas adicionais que voc pode executar no servidor de impresso.

Tarefa Objetivo da tarefa Referncia
Definir a configurao
correspondente s
opes instaladas.
Fornecer ao usurio acesso s opes instaladas, como
alimentador de envelopes ou memria adicional,
disponveis em algumas impressoras. Se sua
impressora oferece outros recursos, voc deve atualizar
Definir opes
instalveis de uma
impressora
248

a configurao para que os usurios possam us-los.
Definir os padres de
impresso.
Definir a configurao padro para os clientes, quando
estes se conectarem impressora. Por exemplo, voc
pode definir o layout padro ou a origem do papel.
Definir padres de
impresso
Atribuir permisses
de impressora.
Alterar as permisses dos usurios para a impressora.
Definir ou remover
permisses para
uma impressora
Escolher uma pgina
separadora.
Definir a incluso de uma pgina no incio de cada
impresso.
Escolher uma
pgina separadora
Configurar os clientes
de rede para usar a
impressora.
Configurar os clientes que se conectaro s impressoras
compartilhadas neste servidor de impresso.
Conectar clientes a
uma impressora
Definir tarefas de
impressora avanadas.
Gerenciar o servidor de impresso com mais eficcia e
eficincia. Por exemplo, programar tempos de
impresso alternativos, ativar o rastreamento do local
da impressora ou definir prioridades diferentes para
grupos diferentes.
Usar Opes
avanadas
Publicar uma
impressora no Active
Directory.
Ajudar os usurios do domnio a encontrar rapidamente
impressoras compartilhadas por este servidor de
impresso. Para essa tarefa, o servidor de impresso
deve ser um servidor membro.
Publicando uma
impressora no
Active Directory
Configure as portas
para permitir a
administrao remota.
Para gerenciar o servidor de impresso em outros
computadores da rede.
Configuraes do
Firewall do
Windows



Compartilhar a impressora
Para compartilhar a impressora
1. Abra Impressoras e Aparelhos de Fax.
2. Clique com o boto direito do mouse na impressora que deseja compartilhar e, em seguida,
clique em Compartilhamento.
249

3. Na guia Compartilhamento, clique em Compartilhar esta impressora e digite um nome
para a impressora compartilhada.
Se voc compartilhar a impressora com usurios em outro hardware ou em sistemas
operacionais diferentes, clique em Drivers Adicionais. Clique no ambiente e no sistema
operacional dos outros computadores e clique em OK para instalar os drivers adicionais.
Se voc tiver feito logon em um domnio do Windows 2000 ou da famlia Windows
Server 2003, poder disponibilizar a impressora para outros usurios no domnio clicando em
Listar no Diretrio para publicar a impressora no Diretrio.
4. Clique em OK ou, se tiver instalado drivers adicionais, clique em Fechar.
Observaes
Para abrir Impressoras e Aparelhos de Fax, clique em Iniciar e, em seguida, clique em
Impressoras e Aparelhos de Fax.
Este recurso no est includo em computadores que executam o sistema operacional
Microsoft Windows Server 2003, Web Edition.
Por padro, as impressoras no so compartilhadas quando voc as instala em computadores
que executam o Windows XP Professional, mas voc pode optar por compartilh-las no seu
computador. (Em qualquer produto da famlia Windows Server 2003, a impressora
compartilhada por padro quando voc a adiciona).
Quando voc publica uma impressora no Active Directory, os outros usurios que fizeram
logon no domnio podem procurar pela impressora com base em sua localizao e seus
recursos como, por exemplo, quantas pginas so impressas por minuto e se h suporte para
a impresso em cores.

Definir ou remover permisses para uma impressora
Para definir ou remover permisses para uma impressora
1. Abra Impressoras e Aparelhos de Fax.
2. Clique com o boto direito do mouse na impressora cujas permisses deseja definir, clique
em Propriedades e, em seguida, clique na guia Segurana.
3. Siga um destes procedimentos:
o Para alterar ou remover permisses de um grupo ou usurio existente, clique no nome
do grupo ou usurio.
o Para configurar permisses para um novo grupo ou usurio, clique em Adicionar.
Em Selecione Usurios, Computadores ou Grupos, digite o nome do usurio ou
grupo para o qual voc deseja definir permisses e clique em OK para fechar a caixa
de dilogo.
4. Em Permisses, clique em Permitir ou em Negar para cada permisso que voc deseja
permitir ou negar, se for necessrio. Ou ento, para remover o grupo ou usurio da lista de
permisses, clique em Remover.
Observaes
250

Para alterar as configuraes do dispositivo, voc deve ter a permisso para gerenciar
impressoras. Para obter informaes sobre permisses de segurana de impresso.
Para abrir Impressoras e Aparelhos de Fax, clique em Iniciar e, em seguida, clique em
Impressoras e Aparelhos de Fax.
Para exibir ou alterar as permisses subjacentes que compem Imprimir, Gerenciar
Impressoras e Gerenciar Documentos, clique no boto Avanado.
Uma impressora deve ser compartilhada para que as configuraes de permisso afetem os
usurios e grupos listados.
Voc tambm pode exibir as permisses atribudas a voc clicando no grupo ao qual pertence
na guia Segurana. Para obter informaes sobre como encontrar o grupo ao qual voc
pertence.

Conectar-se a uma impressora publicada no Active Directory
Para conectar-se a uma impressora publicada no Active Directory
1. Localize a impressora qual voc deseja se conectar. Para obter instrues sobre como
procurar por uma impressora.
2. No painel de detalhes, clique com o boto direito do mouse na impressora que voc deseja
utilizar e clique em Conectar ou clique duas vezes no nome da impressora na lista.
Observaes
S possvel procurar por impressoras no Active Directory se voc tiver feito logon em um
domnio da famlia Windows Server 2003 ou do Windows 2000 e se seu cliente estiver
executando o Windows XP Professional, Windows 2000, Windows 95 ou Windows 98.
Os clientes Windows 95 e Windows 98 devem executar o servio de diretrio para consultar
o Active Directory.
Os clientes Windows NT 4.0 podem conectar-se a uma impressora compartilhada em um
servidor de impresso procurando em Meus locais de rede ou utilizando o Assistente para
adicionar impressora.


Conectar-se a uma impressora em uma rede
Para conectar-se a uma impressora em uma rede
1. Abra Impressoras e Aparelhos de Fax.
2. Clique duas vezes em Adicionar Impressora para iniciar o Assistente para Adicionar
Impressora e clique em Avanar.
251

3. Clique em Uma impressora de rede, ou uma impressora conectada a outro computador
e, em seguida, clique em Avanar.
4. Conecte-se impressora desejada usando um dos trs mtodos a seguir.
Procurando por ela no Active Directory
Digitando o nome da impressora ou procurando por ele
1. Clique em Conectar-se impressora ou clique em Avanar para procurar por uma
impressora.
2. Siga um destes procedimentos:
Digite o nome da impressora usando o formato a seguir e clique em Avanar:
\\nome_do_servidor_de_impresso\nome_do_compartilhamento
Procure por ele na rede clicando em Avanar, localizando a impressora em
Impressoras compartilhadas e clicando em Avanar.
Conectar-se a uma impressora da intranet ou Internet
5. Siga as instrues na tela para concluir a conexo com a impressora.
O cone da impressora exibido na pasta Impressoras e aparelhos de fax.
Observaes
Para abrir Impressoras e Aparelhos de Fax, clique em Iniciar e, em seguida, clique em
Impressoras e Aparelhos de Fax.
Voc tambm pode se conectar a uma impressora arrastando-a da pasta Impressoras e
Aparelhos de Fax no servidor de impresso e soltando-a na sua pasta Impressoras e
Aparelhos de Fax ou clicando com o boto direito do mouse no cone e, depois, em
Conectar.
Depois de ter se conectado a uma impressora compartilhada na rede, voc poder us-la
como se estivesse conectada ao seu computador.


Conectar-se a uma impressora atravs de um navegador
Para conectar-se a uma impressora por meio de um navegador
1. Abra o Internet Explorer ou abra Impressoras e aparelhos de fax.
2. Na barra de endereos, digite uma destas opes:
o Se no souber o nome da impressora, digite o seguinte, usando o formato:
http://Nome_do_servidor_de_impresso/impressoras/
Por exemplo, digite http://PrintSrv1/impressoras para receber uma listagem de
pginas de todas as impressoras e clique na impressora que deseja usar.
o Se no souber o nome da impressora, digite sua URL usando o formato:
http://Nome_do_Servidor_de_Impresso/Nome_da_Impressora/
252

Por exemplo, digite http://PrintSrv1/ColorPrinter5/ para ir diretamente para a
pgina dessa impressora.
3. Ao exibir a pgina da impressora, clique em Conectar para se conectar a essa impressora.
Observaes
Para abrir Impressoras e Aparelhos de Fax, clique em Iniciar e, em seguida, clique em
Impressoras e Aparelhos de Fax.
Um servidor que executa um sistema operacional da famlia Windows Server 2003 copia o
driver de impressora apropriado para o computador cliente.
O administrador pode desativar a impresso na Internet utilizando a configurao da diretiva
de grupo Desativar impresso baseada na Web para impressoras.
Para fins de impresso na Internet, necessrio ter o Internet Information Server (IIS)
instalado no servidor, ou o servio da Web ponto a ponto (PWS) em um computador que
executa o Windows XP Professional.
Voc deve usar o Internet Explorer verso 4.0 ou superior para conectar-se a uma
impressora.
Aps conectar-se a uma impressora compartilhada a partir de um navegador da Web, voc
poder us-la como se estivesse conectada a seu computador. Voc tambm poder adicion-
la pasta Favoritos de seu navegador.


253

Configurando o I.I.S. (Internet Information
Service)

O IIS (Internet Information Services) um servidor web criado pela Microsoft para seus sistemas
operacionais para servidores. Sua primeira verso foi introduzida com o Windows NT Server verso
4, e passou por vrias atualizaes. tambm o sucessor do PWS. Atualmente, a verso mais atual
o IIS 7.5 (disponvel apenas no Windows Server 2008 R2 e Windows 7)
Uma de suas caractersticas mais utilizadas a gerao de pginas HTML dinmicas, que
diferentemente de outros servidores web, usa tecnologia proprietria, o ASP (Active Server Pages),
mas tambm pode usar outras tecnologias com adio de mdulos de terceiros.
Para utilizar essa ferramenta faz-se necessrio adquirir licena de uso que para cada instalao ou
verso preciso de pagamento.
Depois do lanamento da plataforma .NET em 2002 o IIS ganhou tambm a funo de gerenciar o
ASP.NET. Este formado basicamente por dois tipos de aplicaes:
Pginas Web: Tradicionais acessadas por usurios, contm a extenso ASPX
Web Services: Funes disponibilizadas pela rede, chamada por aplicativos ASMX

O ASP.NET, assim como o seu concorrente direto, o JSP compilado antes da execuo. Esta
caracterstica traz vantagens sobre as opes interpretadas, como o ASP e o PHP.

Instalando o IIS
As etapas a seguir mostram como instalar o IIS.

Para instalar o IIS


1. Clique em Iniciar, Painel de Controle e Adicionar ou Remover Programas.
2. Clique no boto Adicionar ou Remover Componentes do Windows para iniciar o Assistente
de Componentes do Windows.
3. Na lista Componentes do Windows, marque a caixa de seleo ao lado de Servidor de
Aplicativo e clique em Detalhes.
4. Na caixa de dilogo Servidor de Aplicativo, observe o que est instalado por padro. Em
254

Subcomponentes do Servidor de Aplicativo, realce Servios de Informaes da Internet
(IIS) e clique em Detalhes.
5. Na caixa de dilogo Internet Information Services (IIS), observe o que est instalado por
padro. Na lista Subcomponentes do Internet Information Services (IIS), selecione Servio
World Wide Web e clique em Detalhes.
6. Na caixa de dilogo Servio World Wide Web, observe o que est instalado por padro.
7. Para adicionar componentes adicionais, marque a caixa de seleo ao lado do componente que
voc deseja instalar.
8. Para remover componentes opcionais, marque a caixa de seleo ao lado do componente que
voc deseja remover.
9. Clique em OK at voltar para o Assistente para Componentes do Windows.
10.Clique em Avanar e em Concluir.



Subcomponentes do Servidor de Aplicativo
A tabela a seguir descreve os componentes do Servidor de Aplicativo e fornece recomendaes de
quando habilit-los.
Subcomponentes do Servidor de Aplicativo
Nome do
componente na
interface do usurio
Configurao Lgica da configurao
Console do Servidor
de Aplicativos
Desabilitado Fornece o snap-in Console de Gerenciamento Microsoft (MMC)
que permite que todos os componentes do Servidor de
Aplicativos da Web sejam administrados. Esse componente no
exigido em um servidor IIS dedicado porque o Gerenciador de
Servidor IIS pode ser usado.
ASP.NET Desabilitado Fornece suporte a aplicativos ASP.NET. Habilite esse
componente quando um servidor IIS executar aplicativos
ASP.NET.
Enable network
COM+ access
Habilitado Permite que o servidor IIS hospede componentes COM+ para
aplicativos distribudos. Exigido para FTP, extenses de servidor
BITS, Servio World Wide Web e Gerenciador de IIS, entre
outros.
Ativar acesso ao
DTC de rede
Desabilitado Permite que um servidor IIS hospede aplicativos que participem
de transaes de rede atravs do DTC (coordenador de transaes
distribudas). Desabilite esse componente a menos que os
aplicativos executados no servidor IIS o exijam.
Servios de Habilitado Fornece servios bsicos de Web e FTP. Esse componente
255

Nome do
componente na
interface do usurio
Configurao Lgica da configurao
Informaes da
Internet (IIS)
exigido para servidores IIS dedicados.
Enfileiramento de
Mensagens
Desabilitado Observao: Se esse componente no for habilitado, todos os
subcomponentes so desabilitados.
Subcomponentes dos Servios de informaes da Internet
A tabela a seguir descreve os subcomponentes do IIS e fornece recomendaes de quando hablit-
los.
Subcomponentes do IIS
Nome do
componente na
interface do
usurio
Configurao Lgica da configurao
Extenses de
Servidor BITS
Habilitado BITS um mecanismo de transferncia de arquivos em segundo
plano usado pelo Windows Update e Atualizaes Automticas.
Esse componente exigido quando o Windows Update ou
Atualizaes Automticas so usados para aplicar
automaticamente service packs e hotfixes a um servidor IIS.
Common Files Habilitado O IIS exige esses arquivos e eles sempre devem estar habilitados
nos servidores IIS.
Servio FTP (File
Transfer Protocol)
Desabilitado Permite que servidores IIS forneam servios de FTP. Esse servio
no exigido para servidores IIS dedicados.
Extenses de
Servidor do
FrontPage 2002
Desabilitado Fornece suporte ao FrontPage para a administrao e publicao de
sites. Desabilite em servidores IIS dedicados quando nenhum site
usar extenses FrontPage.
Gerenciador dos
Servios de
Informaes da
Internet
Habilitado Interface administrativa para o IIS.
Impresso da
Internet
Desabilitado Fornece gerenciamento de impressoras baseado na Web e permite
o compartilhamento de impressoras pelo HTTP. Esse servio no
exigido em servidores IIS dedicados.
Servio NNTP Desabilitado Distribui, consulta e publica artigos da Usenet na Internet. Esse
componente no exigido em servidores IIS dedicados.
Servio SMTP Desabilitado Suporta a transferncia de correio eletrnico. Esse componente no
exigido em servidores IIS dedicados.
Servio World
Wide Web
Habilitado Fornece servios da Web, contedo esttico e dinmico a clientes.
Esse componente exigido em servidores IIS dedicados.

256

Subcomponentes do Servio World Wide Web
A tabela a seguir descreve os componentes do Servio World Wide Web e fornece recomendaes
de quando habilit-los.
Subcomponentes do Servio World Wide Web
Nome do
componente na
interface do usurio
Opo de
instalao
Lgica da configurao
Pginas do Active
Server
Desabilitado Fornece suporte para ASP. Desabilite esse componente quando
nenhum site ou aplicativo da Web nos servidores IIS usar ASP ou
desabilite-o utilizando as extenses de servios da Web. Para
obter mais informaes.
Conector de Dados
da Internet
Desabilitado D suporte a contedo dinmico fornecido atravs de arquivos
com a extenso .idc. Desabilite esse componentes quando
nenhum site ou aplicativo da Web executado nos servidores IIS
incluir arquivos com extenses .idc ou desabilite-o de usar
extenses de servios da Web.
Administrao
Remota (HTML)
Desabilitado Fornece uma interface HTML para a administrao do IIS. Use o
Gerenciador do IIS em seu lugar para permitir uma administrao
mais fcil e reduzir a superfcie de ataque de um servidor IIS.
Esse recurso no exigido em servidores IIS dedicados.
Conexo da Web da
rea de Trabalho
Remota
Desabilitado Inclui pginas Microsoft ActiveX de controle e exemplo para
hospedagem de conexes de clientes de Servios de Terminal.
Use o Gerenciador do IIS em seu lugar para permitir uma
administrao mais fcil e reduzir a superfcie de ataque de um
servidor IIS. No exigido em um servidor IIS dedicado.
Incluses no
Servidor
Desabilitado Fornece suporte a arquivos .shtm, .shtml e .stm. Desabilite esse
componente quando nenhum site ou aplicativo da Web executado
no servidor IIS usar arquivos de incluso com essas extenses.
WebDAV Desabilitado O WebDAV estende o protocolo HTTP/1.1 para permitir que os
clientes publiquem, bloqueiem e gerenciem recursos na Web.
Desative esse componente em servidores IIS dedicados ou
desabilite-o a usar extenses de servio Web.
Servio World
Wide Web
Habilitado Fornece servios da Web, contedo esttico e dinmico a clientes.
Esse componente exigido em servidores IIS dedicados.
Extenses de Servios da Web
A tabela a seguir lista as extenses de servios da Web predefinidas e fornece detalhes de quando
habilitar cada extenso.
Extenses de servios da Web
Extenso de servios da
Web
Habilite a extenso quando
Pginas do Active
Server
Um ou mais sites ou aplicativos da Web executados em servidores IIS
contiverem contedo ASP.
257

Extenso de servios da
Web
Habilite a extenso quando
ASP.NET v1.1.4322 Um ou mais sites ou aplicativos da Web executados em servidores IIS
contiverem contedo ASP.NET
Extenses de Servidor
do FrontPage 2002
Um ou mais sites executados em servidores IIS usarem Extenses do
FrontPage.
IDC (Conector de
Dados da Internet)
Um ou mais sites e aplicativos da Web executados em servidores IIS usarem
IDC para exibir informaes de banco de dados (esse contedo inclui
arquivos .idc e .idx).
SSI (Server Side
Includes)
Um ou mais sites executados em servidores IIS usarem diretivas de SSI para
instruir servidores IIS a inserir contedo reutilizvel (por exemplo, uma
barra de navegador, um cabealho ou rodap de pgina) em diferentes
pginas da Web.
WebDav (Web
Distributed Authoring
and Versioning)
O suporte a WebDAV necessrio em servidores IIS para que os clientes
publiquem e gerenciem recursos da Web de forma transparente.


Como: Criar e configurar sites FTP no IIS 6.0
O Protocolo de Transferncia de Arquivo (FTP) um protocolo padro para mover os arquivos de
um computador para outro atravs da Internet.Os arquivos so armazenados em um computador
servidor, que executa o software servidor FTP.Computadores remotos, em seguida, podem se
conectar usando FTP e ler arquivos dos arquivos de servidor ou copiar arquivos para o servidor.Um
servidor FTP semelhante a um servidor HTTP (isto , um servidor web), pois voc pode se
comunicar com ele usando um protocolo de Internet.No entanto, um servidor FTP no executa
pginas da Web; ele apenas envia e recebe arquivos a partir de computadores remotos.
Voc pode configurar Servios de Informaes da Internet (IIS) para funcionar como um servidor
FTP.Isso permite que outros computadores se conectem ao servidor e copiem arquivos do servidor e
para o servidor.Por exemplo, voc pode configurar o IIS para atuar como um servidor FTP se voc
estiver hospedando sites da Web no seu computador e voc deseja permitir que usurios remotos se
conectem ao seu computador e copiem seus arquivos para o servidor.
Observao:
Normalmente, credenciais FTP so passadas como texto limpo e no criptografado para
transmisso. recomendvel que voc use FTP annimo ou a autenticao bsica.
O IIS como um servidor FTP
Alm disso, para atuar como um servidor Web, o IIS pode atuar como um servidor FTP.O servio
FTP no instalado por padro no IIS.Portanto, para usar o IIS como um servidor FTP, voc deve
instalar o servio FTP.
Observao: Ser necessrio o CD do Windows.
258

Para configurar um servidor FTP usando o IIS
1. Clique no boto Start, clique em Painel de Controle e em seguida, clique em Adicionar ou
Remover Programas.
2. Clique em Adicionar/remover componentes do Windows.
3. Na caixa de dilogo Assistente de componentes do Windows, se voc estiver executando
pelo menos o Windows Server 2003, selecione Servidor de aplicativo e em seguida, clique
em Detalhes.
4. Selecione Servios de Informaes da Internet (IIS) e, em seguida, clique em Detalhes.
5. Na caixa de dilogo Servios de Informaes da Internet (IIS), selecione a caixa de seleo
Servio FTP e clique em OK.
6. Na caixa de dilogo Assistente de componentes do Windows, clique em Avanar.Se
solicitado, insira o CD do Windows.
Quando o processo de Instalao for concludo, voc pode usar o servio FTP com o IIS.
Criando pastas
Aps configurar um servidor FTP, voc precisa criar uma estrutura de pasta para o servidor.Por
padro, o servidor FTP ter uma pasta raiz com o seguinte caminho: C:\Inetpub\Ftproot.
A pasta raiz do FTP atua como a raiz para o seu servidor FTP da mesma forma que
C:\inetpub\wwwroot a raiz para o seu servidor Web.
Voc deve criar as pastas fsicas onde os arquivos residiro.Isso pode ser uma subpasta da Raiz FTP
ou outra pasta em outro local no computador.Em seguida, crie uma raiz virtual, ou um apelido, que o
servidor FTP usar para apontar para o diretrio fsico no qual os arquivos residiro.
Configurar uma pasta FTP e a raiz virtual
1. Crie uma nova pasta para armazenar arquivos.Voc pode nomear a pasta como quiser.Por
exemplo, nomeie a nova pasta ExampleFtpFiles, para que o caminho da pasta seja
C:\inetpub\ftproot\ExampleFtpFiles.
2. No Windows, a partir do menu Ferramentas administrativas, selecione Servios de
Informaes da Internet.
Observao:
No Windows XP, voc tambm pode clicar com o boto direito do mouse em Meu
Computador no menu Iniciar ou na rea de trabalho e, em seguida, clicar em Gerenciar.Na
caixa de dilogo Computer Management, abra o n Services and Applications.
3. Abra o n para o seu computador, e ento abra o n Sites FTP.
4. Clique com o boto direito do mouse no n Site FTP padro, clique em Novo e, em seguida,
clique em Diretrio Virtual.
5. No Criao do Virtual Diretrio assistente, especifique um alias (ou nome) que os usurios
podem usar para acessar a pasta FTP que voc Criado na etapa 1.O nome pode ser que
259

desejar. geralmente menos confuso para usar o nome do diretrio como o apelido, assim, o
diretrio virtual pode ser chamado ExampleFtpFiles.
6. Para o caminho, digite ou procure o caminho do diretrio a partir da etapa 1, por exemplo
Inetpub\ftproot\ExampleFtpFiles.
7. Para obter permisses de acesso, especifique Ler e, em seguida, clique em Avanar para
concluir o assistente.
Observao:
No habilite as permisses Gravar a menos que voc saiba como proteger o servidor FTP do
IIS.
Configurando permisses
Voc tambm deve conceder permisses a usurios para que eles possam ler da pasta e gravar nela.
Estabelecer permisses para a pasta FTP
1. No Windows, a partir do menu Ferramentas Administrativas, escolha Servios de
Informaes da Internet.
Observao:
No Windows XP, voc tambm pode clicar com o boto direito do mouse em Meu
Computador no menu Iniciar ou na rea de trabalho e, em seguida, selecionar Gerenciar.Na
caixa de dilogo Computer Management, abra o n Services and Applications.
2. Abra o n do seu computador, abra o n Web Sites, e abra o n Site FTP padro .
3. Clique com o boto direito do mouse no n do diretrio virtual para a pasta FTP que voc
deseja (por exemplo, ExampleFtpFiles) e clique em Permisses.
4. Na guia Segurana, selecione ou adicione sua conta de usurio e atribua permisses
Modificar.
Isso define as permisses NTFS.Para especificar restries de IP, clique com o boto direito
do mouse no nome da pasta, clique em Propriedades e adicione restries na guia Segurana
de diretrio.
5. Feche a caixa de dilogo Propriedades.
Criando um diretrio virtual de Servidor Web
Voc normalmente cria uma diretrio virtual para o servidor Web que mapeia o site FTP, pois assim
o servidor Web pode acessar os arquivos na raiz do FTP.O nome do diretrio virtual Web pode ser o
mesmo que o do diretrio virtual FTP, mas no necessariamente.
Criar um diretrio virtual de servidor Web
1. Na caixa de dilogo Servios de Informaes da Internet, abra o n Sites da Web.
260

2. Clique com o boto direito do mouse no n Site Web padro, clique em Novo e, em seguida,
clique em Diretrio Virtual.
3. No assistente, especifique um apelido que os usurios utilizaro com o protocolo http:// para
acessar os arquivos na pasta FTP.Esse pode ser o mesmo que o apelido FTP, por exemplo,
ExampleFtpFiles.
4. Para o caminho de diretrio, digite ou procure o caminho do diretrio FTP, por exemplo
C:\inetpub\ftproot\ExampleFtpFiles.
5. Para obter permisses de acesso, selecione Ler e Executar scripts.
6. Clique em Concluir para criar a diretrio virtual e fechar o assistente.

Como: Criar e configurar diretrios virtuais no IIS 5.0 e 6.0
Voc pode usar IIS Manager para criar um diretrio virtual um aplicativo ASP.NET hospedado no
IIS 5.1, IIS 5.0 e IIS 6.0.Um diretrio virtual aparece para navegadores como se ele estivesse
contido no diretrio raiz do servidor Web, mesmo que ele possa fisicamente residir em algum outro
lugar.Essa abordagem permite que voc publique contedo da Web que no esteja localizado sob a
pasta raiz do servidor Web, como o contedo que est localizado em um computador remoto.Uma
maneira conveniente tambm criar um site local para desenvolvimento Web de seu trabalho pois
isso no requer um site Web para cada diretrio virtual.Este tpico explica como voc pode criar um
diretrio virtual e configur-lo para executar as pginas ASP.NET.
Observao:
Voc deve criar um diretrio virtual como parte de um site Web IIS existente.Isso pode ser o site da
Web padro que criado quando o IIS instalado, ou um site que voc criou.Para obter mais
informaes sobre como instalar e configurar o IIS ou sobre como criar um site da Web.
Como alternativa para criar um diretrio virtual de um aplicativo da Web, voc pode criar um novo
site.Para obter detalhes sobre como criar um site da Web no IIS Manager.
Criando o Diretrio Virtual
Abra o Gerenciador do IIS , siga um dos procedimentos descritos no tpico IIS Manager.Voc
tambm pode criar um diretrio virtual.
Para criar um diretrio virtual usando o Gerenciador do IIS
1. No IIS Manager, expanda o computador local e o site ao qual voc deseja adicionar um
diretrio virtual.
2. Clique com o boto direito do mouse no site ou na pasta na qual voc deseja criar o diretrio
virtual, clique em New e em seguida, clique em Virtual Directory.
3. Na Assistente para criao de diretrio virtual, Clique em Next.
4. Na caixa Alias, digite um nome para o diretrio virtual e, em seguida, clique em Next.
Escolha um nome curto que seja fcil de digitar, pois o usurio digita esse nome para acessar
o site da Web.
261

5. Na caixa Path, digite ou procure pelo diretrio fsico que contm o contedo do diretrio
virtual, ento clique em Next.
Voc pode selecionar uma pasta existente ou criar uma nova para conter o contedo para o
diretrio virtual.
6. Marque as caixas de seleo para as permisses de acesso que voc deseja atribuir aos
usurios.
Por padro, as caixas Ler e Executar Scripts esto selecionadas.Essas permisses lhe
permitem rodar as pginas ASP.NET em muitos cenrios comuns.
Clique em Next e depois clique em Finish.
Configurando o diretrio virtual
Depois de criar um novo diretrio virtual, voc pode configurar a segurana e autenticao para o
diretrio virtual.Quando voc configurar a segurana, voc especifica permisses para uma conta ou
grupo.A tabela a seguir mostra as configuraes permisses que esto disponveis no IIS 5.0, IIS 5.1
e IIS 6.0.
Conta ou Grupo Permisses
Uma conta ou grupo com permisso para pesquisar o site se voc desabilitou
autenticao annima quanto criou o diretrio virtual.
Ler e Executar
Esta conta est configurada para acessar os recursos de acesso ao sistema para o
contexto do atual usurio ASP.NET, como a conta do Servio de Rede (IIS 6.0)
ou a conta ASPNET (IIS 5.0 e 5.1).
Ler e Executar
Listar Contedos
do Diretrio
Read
Write
Configurar a segurana e autenticao para um diretrio virtual
1. No IIS Manager, clique com o boto direito no n para o site que deseja configurar, e ento
clique em Properties.
2. V para a guia Segurana de Diretrio, e em Controle de acesso e autenticao annima,
selecione Editar.
3. Selecione a caixa de seleo para o(s) mtodo(s) de autenticao que deseja usar seu
diretrio virtual, e ento clique em OK.Por padro, as caixas de seleo Habilitar acesso
annimo e Autenticao integrada do Windows j esto selecionadas.
Os dois cenrios mais comuns de autenticao so:
o A autenticao integrada do Windows para um site da intranet local.
o Autenticao de formulrios para um site da internet ou extranet onde os usurios
acessam o site por meio de um firewall.
262

Para configurar a autenticao para um site, voc deve configurar a autenticao de
formulrios.Para obter informaes sobre opes de autenticao.
4. Para configurar a autenticao para uma intranet ou local de desenvolvimento cenrio,
desmarque Permitir annimo acessar caixa de seleo e certifique-se que o Integrado a
autenticao do Windows caixa de seleo est selecionada.
5. No Windows Explorer, abra o diretrio pai do diretrio que ir conter as pginas do
site.Clique com o boto direito no diretrio e ento clique em Compartilhamento e
Segurana.
A caixa de dilogo Properties para a pasta exibida.
6. Clique na guia Security.
7. Na lista Group or user names, selecione um grupo ou nome de usurio.
Observao:
Para adicionar um novo grupo ou nome de usurio, clique em Adicionar, e ento clique no
boto Locais.Na lista, selecione o Computador Local e clique em OK.Ento digite o nome da
conta que deseja adicionar na caixa de texto.Aps digitar o nome, clique em Verificar Nomes
para verificar o nome da conta.Clique em OK para adicionar a conta.
8. Na lista de Permisses, selecione as permisses apropriadas para o grupo ou nome de
usurio.
9. Clique em Apply.
10. Clique em OK.
263

Referncias Bibliogrficas


Ortiz, Eduardo Bellincanta. Microsoft Windows 2000 Server. Editora rica.2004
Minasi, Mark. Dominando o Windows Server 2003 - A Bblia. MAKRON BOOKS.
Baddini, Francisco. Microsoft Windows Server 2003 - Implementao & Administrao.
Editora rica.





SITES:
http://msdn.microsoft.com/pt-br/library/zwk103ab.aspx

http://www.microsoft.com/pt/br/default.aspx