01/11/2014

http://identidademcp.blogspot.com.br/search?updated-max=2014-10-28T10:31:00-07:00&max-results=7&start=4&by-date=false 1 / 38
INCIO SUPORTE TCNICO MAPA DO SITE
Configurando Controle de Acesso Dinmico - Suporte a
declaraes (Atributos), autenticao composta,
proteo Kerberos e classificao de arquivos
Cenrio: No ambiente de produo o escalonamento requer que seja negada ou habilitada a
permisso do usurio de forma mais flexvel e dinmica. O usurio ter acesso a sua estao de
trabalho, compartilhamento e recursos do domnio utilizando tambm as regras de classificao
atravs de atributos de Objetos do AD.
Objetivo pretendido e vantagens para provisionamento:
Identificar dados usando classificao automtica e manual dos arquivos. Marcao
dos dados nos servidores de arquivos para todo o domnio.
Novo mecanismo de autorizao e auditoria que poder processar expresses
condicionais e polticas centrais.
Suporte autenticao Kerberos para declaraes de usurio e de dispositivo.
Melhorias na FCI (Infraestrutura de Classificao de Arquivos).
Suporte proteo RMS para criptografia no Microsoft.
Acompanhe como implementar o Controle de Acesso Dinmico (DAC) com Active Directory do
Windows Server 2012
Configurando Controle de Acesso Dinmico -
Configurao de GPO e Gerenciador de Recursos de Servidor de Arquivos
0) Observe os atributos dos usurios do AD que sero utilizados.
Alexandre - Cargo: Gerente ; Departamento: Diretoria
Fernanda - Cargo: Operador ; Departamento: Contabilidade
1) No Iniciar do Windows Server digite "central" e clique em Central Administrativa do Active
Directory. Pode ser encontrado tambm no menu Ferramentas do Gerenciador do Servidor.
2) Clique em Controle de acesso Dinmico e selecione a Unidade Organizacional Claim Types.
Certificaes Microsoft
Precisa de Ajuda?
O talento vence jogos, mas s o trabalho em
equipe ganha campeonatos. Michael Jordan
Configurando Script de Logon
com GPO - Adicionar cones
Desligar, Reiniciar e Logoff na
nova interface de Aplicativos
(Iniciar)
Cenrio: Todas as estaes de trabalho
tero configuradas umScript de Logon. Os cones de atalho
na nova interface de aplicativos do Win...
Configurar Papel de Parede
com GPO
Cenrio: Todas as estaes de trabalho
devem ter Papel de Parede
padronizado, sua implementao deve
ser centralizada e permitir ajustes...
Configurando Resultados da
Poltica de Grupo - Winning
GPO (Vencedor da GPO)
Cenrio: Todas as estaes de trabalho
tero um grande numero de GPOs
sendo aplicadas. Ser utilizada uma
estratgia confivel e de baixo...
Configurando hierarquia,
precedncia e coleo de
configuraes de GPO -
Controlando vrias GPOs
Cenrio: Todas as estaes de trabalho
tero suas polticas definidas pelas
posies hierrquicas que suas Unidades Organizacionais
ocup...
Configurar bloqueio para
Rede sem Fio (Wireless) com
Tpicos Populares
Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 2 / 38
Clique com o boto direito expanda a opo Novo e selecione Tipo de Declarao.
3) Escolha o atributo de objeto department e em "Nome de exibio:" digite Departamento.
Selecione quem utilizar este atributo, neste exemplo marque Usurios.
4) Refaa os passos 2 e 3 com o atributo title e Nome de exibio: Cargo.
5) Observe os tipos de declarao criados e selecione a OU Resource Properties.
6) Dentro de Resource Properties d um duplo clique em Department.
7) Dentro das propriedades de Department em "Nome de exibio:" digite Departamento. Em
Valores Sugeridos clique em Adicionar.

Rede sem Fio (Wireless) com
GPO
Cenrio: Todas as estaes de trabalho
esto ao alcance de uma rede wireless
aberta comacesso a internet liberado.
As estaes de traba...
Configurar logon apenas para
domnio padro com GPO
Cenrio: Todas as estaes de trabalho
devem permitir logon apenas para
o domnio padronizado.
Acompanhe como implementar uma
poltica...
Configurar auditoria em
pastas da rede com GPO
Cenrio: Todas as estaes de trabalho
devero registrar no log de segurana
do Visualizador de Eventos do servidor
o acesso de leitura,...
Configurando o Active
Directory - Desabilitar Logon
Simultneo de Usurio
Cenrio: Todas as estaes de trabalho
no permitiro logon simultneo de
usurios. Os usurios devero efetuar
logon apenas emsuas est...
Configurar o DFS - Implantar
Namespace ao caminho UNC
Cenrio: Todo o domnio ter que ter
Namespaces (espaos de nomes) que
apontem para diversos
compartilhamentos espalhados em
vrios ser...
Configurando um relatrio
detalhado de GPO em HTML e
exportando com Powershell
Cenrio: Todas as estaes de trabalho
tero suas GPOs examinadas,
exportaremos com Powershell um
relatrio detalhado emHTML comas inf...
Administrao ADCS Administrao ADDS
Administrao Remota Apps Metro DAC
DHCP Firewall GPO Logon
Namespace DFS NAT NPS NTP Powershell
RADIUS Remote Desktop Script VPN WMI
Marcadores
PESQUISAR
Busque aqui o que procura
Contador
1 1 4 9
Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 3 / 38
8) Em valor sugerido digite duas vezes Contabilidade.
9) Clique em Adicionar em Valores Sugeridos e digite duas vezes Diretoria. Nas propriedades de
Department clique em Ok.
10) Clique com o boto direito em Departamento e selecione Habilitar.
11) Clique com o boto direito em Resource Properties e expanda a opo Novo, selecione
Propriedade de Recurso.
12) Digite Cargo em "Nome de exibio:". Digite title_MS em "Defina a ID como uma
propriedade de recuso idntica semanticamente em uma..." e em Valores Sugeridos clique em
Adicionar.
13) Em valor sugerido digite duas vezes Gerente.

Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 4 / 38
14) Clique em Adicionar em Valores Sugeridos e digite duas vezes Contabilidade.
15) Na janela Criar Propriedades de Recurso: Cargo clique em Ok.
16) Selecione Resource Property Lists. Clique com boto direito em Global Resource Property e
selecione Adicionar propriedades do recurso....
17) Selecione as propriedades de recursos Cargo e Departamento e clique no boto "> >" para
adicionar cada um dos recursos. Clique em Ok.
18) Selecione Central Acess Rules. Clique com o boto direito e expanda a opo Novo e selecione
Regra de Acesso Central.
Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 5 / 38
19) Digite em "Nome:" Regra-Diretores. Selecione em Permisses a opo Usar as seguintes
permisses como atuais e clique em Editar....
21) Em Configuraes de Segurana Avanada de Permisses clique em Adicionar.
22) Clique em Selecionar uma entidade de segurana e adicione o grupo Usurios autenticados.
Em Permisses bsicas marque a opo Controle Total. Adicione uma Condio e a defina nesta
ordem: Usurio - Cargo - Igual - Valor - Gerente. Clique em Ok nas trs ltimas janelas e retorne
a janela Central Administrativa do Active Directory
Para evitar o crescimento excessivo da postagem no adicionaremos outras condies. Mais vale
ressaltar que, a opo de utilizar condies agora poder ser feita tambm, com o contedo dos
atributos Cargo e Departamento do objeto do AD Usurio. Resumidamente quero dizer que as
permisses podero ser acrescidas de condies como o Cargo ou o Departamento para
controlar o acesso.
23) Selecione Central Acess Policies, clique com boto direito e expanda a opo Novo e
selecione Poltica de Acesso Central.
24) Clique no boto "> >" para adicionar a regra recm criada e clique em OK.
Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 6 / 38
25) Abra o Gerenciador de Poltica de Grupo no menu Ferramentas do seu Gerenciador do
Servidor. Clique com o boto direito no seu domnio e selecione Criar um GPO neste domnio e
fornecer um link para ele aqui....
26) Digite o nome da sua nova GPO e clique em OK. Selecione sua nova GPO criada e clique em
Editar...
27) Nesta nova console expanda as seguintes pastas: "Configurao do
Computador/Polticas/Configuraes do Windows/ Configuraes de segurana Sistema de
arquivos/Poltica de Acesso Central/Sistema/KDC". Clique com o boto direito e selecione
Gerenciar Politicas de Acesso Central....
28) Selecione a poltica e clique em Adicionar. Clique em OK. Feche o Editor de Gerenciamento de
Poltica de Grupo.
29) Clique na sua GPO recm criada (na imagem DAC). Em Filtros de Segurana selecione
Usurios Autenticados e clique em Remover. Clique em Adicionar e acrescente todas as contas
de Computadores que tero esta poltica aplicada.
Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 7 / 38
30) Clique em Tipos de objeto para sua busca retornar as contas de Computador.
31) Clique em Adicionar para colocar todos os Computadores que tero a poltica de grupo (neste
exemplo DAC) aplicada.
32) Clique e expanda a OU Domain Controllers. Clique com boto direito em Default Domain
Controllers Policy e selecione Editar...
33) Nesta nova console expanda as seguintes pastas: "Configurao do
Computador/Polticas/Modelos Administrativos:.../Sistema/KDC". D um duplo clique em
Suporte do KDC a declaraes, autenticao composta e proteo Kerberos.

Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 8 / 38
34) Nesta nova janela clique em "Habilitado", confira se a opo Suportado esta selecionada e
clique em OK. Feche o Editor de Polticas de Grupo.
ESTA CONCLUDA A CONFIGURAO DO DAC NESTE SERVIDOR.
Para efetivar no domnio estas configuraes continue as prximas etapas
35) No Powershell execute o comando gpupdate /force
36) No Powershell execute o comando Update-FSRMClassificationpropertyDefinition
Instalando o Gerenciador de Recurso do Servidor de Arquivos -
Utilizao de Classificao em Pastas, Arquivos, Recursos e Logon
37) Instale no Servidor que ser o Servidor de Arquivos a Funo Gerenciador de Recurso de
Servidor de Arquivos. Na janela Gerenciador do Servidor no menu Gerenciar selecione Adicionar
Funes e Recursos. Avance at a opo de Funes do servidor expanda as opes Servio de
Arquivo e Armazenamento/Sevios de Arquivo e iSCSI e marque a opo Gerenciador de
Recurso do Servidor de Arquivos.
38) Clique em Adicionar Recursos e adicione os recursos associados, prossiga com a instalao.
Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 9 / 38
| 10/27/2014 08:53:00 AM
MARCADORES: ADMINISTRAO ADDS, DAC, GPO
39) Note na imagem abaixo que antes da configurao do DAC no existia a aba Classificao.
Clique com o boto direito em qualquer arquivo ou pasta compartilhada e selecione Propriedades,
clique na aba Classificao. Na aba Classificao clique no Atributo (Nome) e depois abaixo
selecione o Valor para definir essa condio ao acesso. No definir um valor nesta aba far que
essa condio no seja aplicada ao arquivo/pasta.
40) Na aba Segurana clique em Avanadas. Nesta nova janela selecione a aba Acesso Efetivo e
clique em Selecionar um usurio, adicione um usurio. Clique em Exibir acesso efetivo para
exibir as permisses efetivas que o usurio ter a esta pasta.
Concluso: Trabalhar com atributo de objeto do AD exige que os valores contidos em cada
atributo no seja idntico ao valor de outro atributo. Exemplo: no usar Cargo Diretoria e
Departamento Diretoria. Voc pode trabalhar com apenas um atributo ( mais comum) ou vrios
atributos.
"Permisses DAC" so aplicadas at para efetuar logon.
Alm das permisses NTFS agora podemos usar as "permisses DAC" que utiliza o nome e os
valores contidos nos atributos de objetos do AD. Ao configurar Condies poderemos utilizar o
nomes dos atributos ou os seus contedos.
Aviso: Em produo, consulte antes o Material de referncia da Microsoft.
Esse artigo foi submetido por
Alexandre de Matos
MCSE - MCSA - MCTS
alexandremn@live.estacio.br
Nenhum comentrio:
Postar um comentrio
Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 10 / 38
< >
Assinar: Postar comentrios (Atom)
Digite seu comentrio...
Comentar como: Selecionar perfil...
Publicar Publicar

Visualizar Visualizar
Administrao ADCS Administrao ADDS Administrao Remota Apps Metro DAC DHCP Firewall GPO Logon Namespace DFS NAT NPS
NTP Powershell RADIUS Remote Desktop Script VPN WMI
Marcadores
Identidade MCP Direitos Reservados. Autor: Alexandre Matos. Tecnologia do Blogger.
Identidade MCP: Configurando Controle de Acesso Dinmico - Suporte a declaraes (Atributos), autenticao composta, proteo Kerberos e classificao de arquivos 01/11/2014
http://identidademcp.blogspot.com.br/2014/10/configurando-controle-de-acesso.html 11 / 38
01/11/2014
https://www.google.com.br/search?q=salvar+em+pdf+windows+8&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:pt-BR:official&client=firefox-a&channel=fflb&gfe_rd=cr&ei=vAhVVPTcEuGB8Qem_oDIDA 12 / 38
01/11/2014
http://www.baixaki.com.br/busca/?q=salvar+em+pdf&so=1&buscar= 13 / 38
01/11/2014
https://www.blogger.com/blogger.g?blogID=5344113488897037312#allposts/postNum=1 14 / 38
01/11/2014
https://www.blogger.com/blogger.g?blogID=5344113488897037312#allpages 15 / 38
01/11/2014
https://pt.scribd.com/doc/216944969/Modulo-5-Implementacao-do-IPv4-pdf 16 / 38
01/11/2014
https://www.youtube.com/channel/UC-jd0MYqb_IxT0kk6bjRHLA 17 / 38
01/11/2014
https://www.google.com.br/search?q=MOC+2014&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:pt-BR:official&client=firefox-a&channel=fflb&gfe_rd=cr&ei=geNUVOq_LeWB8QfsxYHoCg#rls=org.mozilla:pt-BR:official&channel=fflb&q=trainerhandbook+PTB+microsoft+2014+site%3Ascribd.com&spell=1 18 / 38
01/11/2014
https://www.google.com.br/search?q=trainer+hand+book+PTB+microsoft+2014+site:scribd.com&client=firefox-a&rls=org.mozilla:pt-BR:official&channel=fflb&biw=1360&bih=633&source=lnms&sa=X&ei=Z_xUVJn1N8upNtKFgdgL&ved=0CAcQ_AUoAA#rls=org.mozilla:pt-BR:official&channel=fflb&q=24410+site:scribd.com 19 / 38
01/11/2014
https://pt.scribd.com/doc/216944985/Resposta-do-laboratorio-Modulo-1-Implantacao-e-gerenciamento-do-Windows-Server-2012-pdf 20 / 38
01/11/2014
https://pt.scribd.com/ralmeida_61/documents 21 / 38
01/11/2014
https://pt.scribd.com/upload-document?archive_doc=216944973&escape=false&metadata=%7B%22context%22%3A%22archive%22%2C%22page%22%3A%22read%22%2C%22action%22%3A%22toolbar_download%22%2C%22logged_in%22%3Atrue%2C%22platform%22%3A%22web%22%7D 22 / 38
01/11/2014
https://pt.scribd.com/doc/216944975/Modulo-12-Protecao-de-servidores-Windows-usando-Objetos-de-Politica-de-Grupo-pdf 23 / 38
01/11/2014
https://pt.scribd.com/doc/216944979/Modulo-13-Implementacao-da-virtualizacao-de-servidores-com-o-Hyper-V-pdf 24 / 38
01/11/2014
https://pt.scribd.com/search-documents?escape=false&page=4&query=trainer+hand+book+microsoft 25 / 38
01/11/2014
https://www.google.com.br/search?q=Redefinir+a+Relacao+deconfian%C3%A7a+entre+computador+e+o+dominio&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:pt-BR:official&client=firefox-a&channel=fflb&gfe_rd=cr&ei=a_dUVIHLJueB8QeSmoHYDg 26 / 38
01/11/2014
http://technet.microsoft.com/pt-br/library/cc770264.aspx 27 / 38
01/11/2014
http://www.cooperati.com.br/2014/01/31/redefinir-a-relacao-de-confianca-entre-o-computador-e-o-dominio/ 28 / 38
01/11/2014
https://www.mundotibrasil.com.br/dhcp-failover-windows-2012-r2-sem-cluster/ 29 / 38
01/11/2014
https://www.mundotibrasil.com.br/acesso-remoto-gerenciamento-com-direct-access/ 30 / 38
01/11/2014
http://technet.microsoft.com/pt-br/library/hh831447.aspx 31 / 38
01/11/2014
http://technet.microsoft.com/pt-br/library/dd458979.aspx 32 / 38
01/11/2014
https://www.google.com.br/search?q=instalando+RRAS+Windows+server+2012&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:pt-BR:official&client=firefox-a&channel=fflb&gfe_rd=cr&ei=MrFSVI2OH-uB8Qf58ICIDA#rls=org.mozilla:pt-BR:official&channel=fflb&q=configurar+RRAS+Windows+server+2012 33 / 38
01/11/2014
https://www.youtube.com/results?search_query=configura%C3%A7%C3%A3o+rras+windows+server+2012 34 / 38
01/11/2014
https://translate.google.com.br/translate?sl=en&tl=pt&js=y&prev=_t&hl=pt-BR&ie=UTF-8&u=http%3A%2F%2Fdaviwa.blogspot.com.br%2F2012%2F11%2Fwindows-server-2012-enable-rras-as-nat.html&edit-text= 35 / 38
01/11/2014
http://www.windowsnetworking.com/articles-tutorials/windows-server-2008/Using-Windows-Server-NAT-Router.html 36 / 38
01/11/2014
http://technet.microsoft.com/pt-br/library/hh801901.aspx 37 / 38
01/11/2014
about:addons 38 / 38