Moc 10222a-Ptb Parte01 PDF

P R ODU T O S M IC RO S OFT O F FIC I A L L E A RN IN G
10222A
Configurao e soluo de
problemas dos servios de domnio
do Windows Server 2008 Active
Directory
Volume 1
Lembre-se de acessar o contedo de aprendizado ampliado no CD

complementar do curso, includo na contracapa do livro.
ii Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
As informaes includas neste documento, inclusive URLs e referncias a outros sites da Internet,
esto sujeitas a alteraes sem aviso prvio. Salvo indicao em contrrio, os nomes de empresas,
organizaes, produtos, nomes de domnios, endereos de email, logotipos, pessoas, lugares e
acontecimentos aqui mencionados so fictcios e nenhuma associao a empresas, organizaes,
produtos, nomes de domnio, endereos de email, logotipos, pessoas, lugares ou acontecimentos
reais intencional ou deve ser inferida. O cumprimento de todas as leis de direitos autorais
aplicveis de exclusiva responsabilidade do usurio. Sem limitar-se aos direitos autorais, nenhuma
parte deste documento pode ser reproduzida, armazenada ou apresentada em um sistema de
recuperao ou transmitida de qualquer forma ou por qualquer meio (eletrnico, mecnico,
fotocpia, gravao ou de outra forma), ou para qualquer fim, sem a permisso por escrito da
Microsoft Corporation.
A Microsoft pode ter patentes, solicitaes de patente, marcas registradas, direitos autorais ou
outros direitos de propriedade intelectual relativos ao assunto em questo neste documento. Exceto
se expressamente fornecido em qualquer contrato de licena por escrito da Microsoft, o
fornecimento deste documento no lhe concede licena para essas patentes, marcas registradas,
direitos autorais ou outra propriedade intelectual.
Os nomes de fabricantes, produtos ou URLs fornecidos servem apenas para fins informativos, e a
Microsoft no faz promessas nem oferece garantias, expressas, implcitas ou legais, referentes a
esses fabricantes ou ao uso dos produtos com qualquer tecnologia Microsoft. A incluso de um
fabricante ou produto no implica endosso da Microsoft em relao ao fabricante ou produto.
Podem ser fornecidos links para sites de terceiros. Esses sites no so controlados pela Microsoft, e a
Microsoft no se responsabiliza pelo contedo de qualquer site vinculado ou qualquer link existente
em um site vinculado, ou qualquer mudana ou atualizao em tais sites. A Microsoft no se
responsabiliza pela divulgao por webcast ou qualquer outra forma de transmisso recebida de
qualquer site vinculado. A Microsoft fornece esses links para sua convenincia, e a incluso de
qualquer link no implica endosso da Microsoft em relao ao site ou a produtos nele contidos.
2010 Microsoft Corporation. Todos os direitos reservados.
Microsoft, Microsoft Press, Access, Active Directory, ActiveX, Convergence, Excel, Forefront, Hyper-V,
Internet Explorer, MS, MSDN, MS-DOS, Outlook, PowerPoint, Segoe, SharePoint, SQL Server, Visio,
Visual Basic, Visual Studio, Windows, Windows Live, Windows Mobile, Windows NT, Windows
PowerShell, Windows Server e Windows Vista so marcas registradas ou marcas comerciais da
Microsoft Corporation nos Estados Unidos e/ou em outros pases.
Todas as outras marcas comerciais pertencem a seus respectivos proprietrios.
Nmero do produto: 10222A
Pea nmero: X16-99405
Lanamento: 09/2010
TERMOS DE LICENA DA MICROSOFT
OFFICIAL MICROSOFT LEARNING PRODUCTS EDIO DO
INSTRUTOR Verses de Pr-lanamento e final
Estes termos de licena so um acordo entre a Microsoft Corporation e voc. Por favor, leia-os. Eles se
aplicam ao Contedo Licenciado supracitado, que inclui a mdia na qual ele est contido, caso haja uma. Os
termos tambm se aplicam aos seguintes itens da Microsoft:
atualizaes,
suplementos,
servios via Internet e
servios de suporte
referentes a este Contedo Licenciado, a menos que outros termos acompanhem esses itens. Nesse caso,
tais termos se aplicam.
Ao usar o Contedo Licenciado, voc estar aceitando estes termos. Se voc no os aceitar,
no use o Contedo Licenciado.
Se cumprir estes termos de licena, voc ter os direitos a seguir.

1. DEFINIES.
a. Materiais Acadmicos significa a documentao impressa ou eletrnica, como manuais, livros
didticos, white papers, press-releases, folhas de dados e perguntas freqentes, que esteja
includa no Contedo Licenciado.
b. Centro(s) de Aprendizagem Autorizado(s) significa um local de Microsoft Certified Partner
for Learning Solutions, um local do IT Academy ou outra entidade semelhante designada
ocasionalmente pela Microsoft.
c. Sesso(es) de Treinamento Autorizada(s) significa aquelas sesses de treinamento
autorizadas pela Microsoft e conduzidas por um Instrutor em Centros de Aprendizagem
Autorizados ou por meio deles, fornecendo treinamento a Alunos somente em Produtos Microsoft
Official Learning (anteriormente conhecidos como MOC [Microsoft Official Curriculum]) e
Produtos Microsoft Dynamics Learning (anteriormente conhecidos como cursos do Microsoft
Business Solutions). Cada Sesso de Treinamento Autorizada fornecer treinamento sobre a
matria de um (1) Curso.
d. Curso significa um dos cursos que utilizam Contedo Licenciado oferecidos por um Centro de
Aprendizagem Autorizado durante uma Sesso de Treinamento Autorizada, cada um dos quais
fornecendo treinamento sobre uma matria tecnolgica especfica da Microsoft.
e. Dispositivo(s) significa um nico computador, dispositivo, estao de trabalho, terminal ou
outro dispositivo analgico ou eletrnico digital.
f. Contedo Licenciado significa o material que acompanha estes termos de licena. O
Contedo Licenciado pode incluir os seguintes elementos, sem se limitar a eles: (i) Contedo do
Instrutor, (ii) Contedo do Aluno, (iii) guia de configurao da sala de aula e (iv) Software. H
componentes diferentes e separados do Contedo Licenciado para cada Curso.
g. Software significa as Mquinas Virtuais e os Discos Rgidos Virtuais ou outros aplicativos de
software que estejam includos no Contedo Licenciado.
h. Aluno(s) significa um aluno devidamente inscrito em uma Sesso de Treinamento Autorizada
em seu local.
i. Contedo do Aluno significa o material de aprendizagem que acompanha estes termos de
licena e que se destina ao uso por Alunos e Instrutores durante uma Sesso de Treinamento
Autorizada. O Contedo do Aluno pode incluir laboratrios, simulaes e arquivos de curso para
um Curso.
j. Instrutor(es) significa a) uma pessoa devidamente certificada pela Microsoft como um
Microsoft Certified Trainer e b) outro indivduo que esteja autorizado, por escrito, pela Microsoft e
esteja vinculado a um Centro de Aprendizagem Autorizado para ministrar uma Sesso de
Treinamento Autorizada a Alunos em nome do Centro de Aprendizagem Autorizado.
k. Contedo do Instrutor significa o material que acompanha estes termos de licena e que se
destina ao uso por Alunos e Instrutores, conforme aplicvel, unicamente durante uma Sesso de
Treinamento Autorizada. O Contedo do Instrutor pode incluir Mquinas Virtuais, Discos Rgidos
Virtuais, arquivos do Microsoft PowerPoint e anotaes do instrutor, bem como guias de
demonstrao e arquivos de script para um Curso.
l. Discos Rgidos Virtuais significa o Software Microsoft composto por discos rgidos
virtualizados (como um disco rgido virtual bsico ou discos associados) para uma Mquina Virtual
que pode ser carregado em um nico computador ou outro dispositivo para permitir que os
usurios finais executem vrios sistemas operacionais simultaneamente. Para os fins destes
termos de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor.
m. Mquina Virtual significa uma experincia de computao virtualizada, criada e acessada com o
uso de software Microsoft Virtual PC ou Microsoft Virtual Server, que consiste em um ambiente
de hardware virtualizado, um ou mais Discos Rgidos Virtuais e um arquivo de configurao que
define os parmetros do ambiente de hardware virtualizado (p. ex., RAM). Para os fins destes termos
de licena, Discos Rgidos Virtuais sero considerados parte do Contedo do Instrutor.
n. voc significa o Centro de Aprendizagem Autorizado ou o Instrutor, conforme aplicvel, que
concordou com estes termos de licena.
2. VISO GERAL.
Contedo Licenciado. O Contedo Licenciado inclui Software, Materiais Acadmicos (online e
eletrnicos), Contedo do Instrutor, Contedo do Aluno, guia de configurao da sala de aula e
qualquer mdia associada.
Modelo de Licena. O Contedo Licenciado licenciado por cpia por local de Centro de
Aprendizagem Autorizado ou por Instrutor.
3. DIREITOS DE INSTALAO E USO.
a. Centros de Aprendizagem Autorizados e Instrutores: para cada Sesso de Treinamento
Autorizada, voc pode:
i. instalar cpias individuais do Contedo Licenciado relevante em Dispositivos de sala de aula
somente para uso pelos Alunos inscritos e pelo Instrutor que ministrar a Sesso de
Treinamento Autorizada, desde que o nmero de cpias em uso no exceda o nmero de
Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada, OU
ii. instalar uma cpia do Contedo Licenciado relevante em um servidor de rede somente para
acesso por Dispositivos de sala de aula e somente para uso pelos Alunos inscritos e pelo
Instrutor que ministrar a Sesso de Treinamento Autorizada, desde que o nmero de
Dispositivos que acessem o Contedo Licenciado no dito servidor no exceda o nmero de
Alunos inscritos, mais o Instrutor que ministrar a Sesso de Treinamento Autorizada;
iii. e permitir que os Alunos inscritos e o Instrutor que ministrar a Sesso de Treinamento
Autorizada utilizem o Contedo Licenciado instalado por voc de acordo com (i) ou (ii) acima
durante a dita Sesso de Treinamento Autorizada de acordo com estes termos de licena.
iv. Separao de Componentes. Os componentes do Contedo Licenciado so licenciados como
uma nica unidade. Voc no poder separar os componentes e instal-los em Dispositivos
diferentes.
v. Programas de Terceiros. O Contedo Licenciado poder conter programas de terceiros. Estes
termos de licena se aplicaro ao uso desses programas de terceiros, a menos que outros
termos acompanhem esses programas.
b. Instrutores:
i. Os Instrutores podem usar o Contedo Licenciado instalado por voc ou por um Centro de
Aprendizagem Autorizado em um Dispositivo de sala de aula para ministrar uma Sesso de
Treinamento Autorizada.
ii. Os Instrutores tambm podem usar uma cpia do Contedo Licenciado conforme se segue:
A. Dispositivo Licenciado. O Dispositivo licenciado o Dispositivo no qual voc usa o
Contedo Licenciado. Voc pode instalar e usar uma cpia do Contedo Licenciado no
Dispositivo licenciado somente para seu uso em treinamento pessoal e para a preparao
de uma Sesso de Treinamento Autorizada.
B. Dispositivo Porttil. Voc pode instalar outra cpia em um dispositivo porttil somente
para seu uso em treinamento pessoal e para a preparao de uma Sesso de Treinamento
Autorizada.
4. VERSES DE PR-LANAMENTO. Se esta for uma verso de pr-lanamento (beta), as seguintes
clusulas sero aplicveis alm de outros termos neste contrato:
a. Contedo Licenciado de Pr-Lanamento. Este Contedo Licenciado uma verso de pr-
lanamento. Ele no pode conter as mesmas informaes e/ou funcionar da mesma maneira que
uma verso definitiva do Contedo Licenciado. Poderemos alter-lo na verso comercial definitiva.
Alm disso, no podemos lanar uma verso comercial. Voc dever informar o disposto acima de
maneira clara e visvel a todos os Alunos participantes de cada Sesso de Treinamento Autorizado.
Alm disso, informe que voc ou a Microsoft no tem qualquer obrigao de fornecer nenhum
outro contedo, incluindo, mas sem limitao, a verso lanada em carter definitivo do Contedo
Licenciado do Curso.
b. Comentrios. Se voc concordar em enviar Microsoft comentrios sobre o Contedo
Licenciado, estar dando Microsoft, a ttulo gratuito, o direito de usar, compartilhar e
comercializar seus comentrios de qualquer maneira e para qualquer finalidade. Alm disso, voc
concede a terceiros, sem custos, todos os direitos de patente necessrios para que seus produtos,
suas tecnologias e seus servios usem, ou estabeleam conexo com, qualquer parte especfica de
um software, Contedo Licenciado ou servio da Microsoft que inclua os comentrios. Voc no
dever enviar comentrios sujeitos a uma licena que exija da Microsoft o licenciamento do seu
software ou da sua documentao a terceiros em virtude da incluso dos seus comentrios nesses
elementos. Esses direitos permanecero em vigor aps o trmino deste contrato.
c. Informaes Confidenciais. O Contedo Licenciado, incluindo qualquer visualizador, interface
de usurio, recursos e documentao que porventura estejam presentes no Contedo Licenciado,
confidencial e de propriedade da Microsoft e de seus fornecedores.
i. Uso. Durante cinco anos aps a instalao do Contedo Licenciado ou do seu lanamento
comercial, o que ocorrer primeiro, voc no poder divulgar informaes confidenciais a
terceiros. Voc poder divulgar informaes confidenciais apenas aos seus funcionrios e
consultores que tenham a necessidade de conhecer essas informaes. Voc dever
firmar contratos por escrito com eles para proteger essas informaes confidenciais, pelo
menos, de maneira idntica a este contrato.
ii. Continuidade da obrigao. Seu dever de proteger as informaes confidenciais
permanecer aps o trmino deste contrato.
iii. Excluses. Voc poder divulgar informaes confidenciais para atender ordens judiciais
ou do Poder Pblico. Voc dever enviar Microsoft uma notificao prvia por escrito
permitindo que ela busque uma medida cautelar ou de outra forma proteja as
informaes. Entre as informaes confidenciais no esto informaes que
passem a ser de conhecimento pblico atravs de atos lcitos;
voc tenha recebido de terceiros que no violaram obrigaes de sigilo para com a
Microsoft ou seus fornecedores; ou
voc tenha desenvolvido de forma independente.
d. Prazo. O prazo deste contrato de verses de pr-lanamento (i) a data que a Microsoft informar
a voc como data final de uso da verso beta, ou (ii) o lanamento comercial da verso definitiva
do Contedo Licenciado, o que for anterior (prazo do beta).
e. Uso. Voc dever deixar de usar todas as cpias da verso beta na resciso ou trmino dessa
verso, bem como destruir todas as cpias dela em seu poder ou sob seu controle e/ou em poder
ou sob controle de qualquer Instrutor que tenha recebido cpias da verso pr-lanada.
f. Cpias. A Microsoft informar os Centros de Treinamento Autorizados se eles podem produzir
cpias da verso beta (seja na verso impressa e/ou em CD) e distribuir essas cpias aos Alunos
e/ou Instrutores. Caso a Microsoft permita essa distribuio, voc dever cumprir todos os outros
termos que a Microsoft apresentar em relao a essas cpias e distribuio.
5. DIREITOS DE USO E/OU REQUISITOS DE LICENCIAMENTO ADICIONAIS.
a. Centros de Aprendizagem Autorizados e Instrutores:
i. Software.
Discos Rgidos Virtuais. O Contedo Licenciado pode conter verses do Microsoft XP,
Microsoft Windows Vista, Windows Server 2003, Windows Server 2008 e Windows 2000
Advanced Server e/ou de outros produtos Microsoft que so fornecidos em Discos Rgidos
Virtuais.
A. Se os Discos Rgidos Virtuais e os laboratrios forem inicializados por meio do
Microsoft Learning Lab Launcher, estes termos sero aplicveis:
Software com limite de tempo. Caso o Software no seja redefinido, deixar de funcionar
dentro do prazo indicado na instalao das Mquinas Virtuais (entre 30 e 500 dias aps a
instalao). Voc no ser avisado antes que o Software deixe de funcionar. possvel
que voc no consiga acessar os dados usados ou as informaes salvas nas Mquinas
Virtuais quando o Software parar de funcionar e poder ser obrigado a redefinir essas
Mquinas Virtuais para o estado original. Voc dever remover o Software dos
Dispositivos no final de cada Sesso de Treinamento Autorizado e reinstal-lo e inici-lo
antes do incio da Sesso de Treinamento Autorizado seguinte.
B. Se os Discos Rgidos Virtuais exigirem uma chave de produto para serem
inicializados, estes termos sero aplicveis:
A Microsoft desativar o sistema operacional associado com cada Disco Rgido Virtual.
Antes de instalar Discos Rgidos Virtuais em Dispositivos de sala de aula para uso durante
uma Sesso de Treinamento Autorizada, voc obter da Microsoft uma chave de produto
para o software de sistema operacional referente aos Discos Rgidos Virtuais e ativar o
dito Software com a Microsoft usando a dita chave de produto.
C. Estes termos sero aplicveis a todas as Mquinas Virtuais e Discos Rgidos
Virtuais:
Voc s poder usar as Mquinas Virtuais e os Discos Rgidos Virtuais se
cumprir os termos e as condies deste contrato e os seguintes requisitos de
segurana:
o Voc no poder instalar Mquinas Virtuais e Discos Rgidos Virtuais em Dispositivos
portteis ou Dispositivos que possam ser acessados por outras redes.
o Voc dever remover as Mquinas Virtuais e os Discos Rgidos Virtuais de todos os
Dispositivos de sala de aula ao final de cada Sesso de Treinamento Autorizada,
exceto os mantidos em locais de Microsoft Certified Partners for Learning Solutions.
o Voc dever remover as partes de unidades associadas dos Discos Rgidos Virtuais de
todos os Dispositivos de sala de aula ao final de cada Sesso de Treinamento
Autorizada em locais de Microsoft Certified Partners for Learning Solutions.
o Voc dever garantir que as Mquinas Virtuais e os Discos Rgidos Virtuais no sejam
copiados ou baixados dos Dispositivos em que foram instalados por voc.
o Voc dever cumprir rigorosamente todas as instrues da Microsoft referentes
instalao, ao uso, ativao e desativao e segurana das Mquinas Virtuais e
dos Discos Rgidos Virtuais.
o Voc no poder modificar as Mquinas Virtuais e os Discos Rgidos Virtuais ou
qualquer contedo dos mesmos.
o Voc no poder reproduzir ou redistribuir as Mquinas Virtuais ou os Discos Rgidos
Virtuais.
ii. Guia de Configurao da Sala de Aula. Voc dever garantir que qualquer Contedo
Licenciado instalado para uso durante uma Sesso de Treinamento Autorizada seja realizado
de acordo com o guia de configurao da sala de aula correspondente ao Curso.
iii. Elementos de Mdia e Modelos. Voc poder permitir que os Instrutores e Alunos utilizem
imagens, clip-arts, animaes, sons, msicas, formas, videoclipes e modelos fornecidos com o
Contedo Licenciado somente em uma Sesso de Treinamento Autorizada. Caso os Instrutores
tenham uma cpia prpria do Contedo Licenciado, eles podero usar Elementos de Mdia
para seu uso em treinamento pessoal.
iv Software de Avaliao. Qualquer Software includo no Contedo do Aluno designado como
Software de Avaliao poder ser usado por Alunos somente para seu treinamento pessoal
fora da Sesso de Treinamento Autorizada.
b. Somente para Instrutores:
i. Uso de Modelos de Slide Deck do PowerPoint. O Contedo do Instrutor pode incluir slide
decks do Microsoft PowerPoint. Os Instrutores podem usar, copiar e modificar os slide decks
do PowerPoint somente para ministrar uma Sesso de Treinamento Autorizada. Caso opte por
exercer os direitos mencionados acima, voc estar concordando ou assegurando que o
Instrutor concorde: (a) que a modificao dos slide decks no constituir a criao de
trabalhos obscenos ou escandalosos, conforme definidos pela legislao federal no momento
em que o trabalho for elaborado; e (b) em cumprir todos os outros termos e condies deste
contrato.
ii. Uso de Componentes Didticos no Contedo do Instrutor. Para cada Sesso de
Treinamento Autorizada, os Instrutores podero personalizar e reproduzir, de acordo com o
Contrato do MCT, as partes do Contedo Licenciado que estejam logicamente associadas
instruo da Sesso de Treinamento Autorizada. Caso opte por exercer os direitos
mencionados acima, voc estar concordando ou assegurando que o Instrutor concorde: (a)
que qualquer uma dessas personalizaes ou reprodues ser usada somente para ministrar
uma Sesso de Treinamento Autorizada; e (b) em cumprir todos os outros termos e condies
deste contrato.
iii. Materiais Acadmicos. Caso o Contedo Licenciado inclua Materiais Acadmicos, voc
poder copiar e usar esses Materiais. No permitido fazer modificaes nos Materiais
Acadmicos nem imprimir livros (eletrnicos ou em verso impressa) integralmente. No caso
da reproduo de Materiais Acadmicos, voc concorda que:
o uso dos Materiais Acadmicos ser exclusivamente para sua referncia ou treinamento
pessoal;
voc no republicar nem postar os Materiais Acadmicos em nenhum computador de
rede, nem os transmitir em nenhuma mdia;
voc incluir o aviso de direitos autorais original dos Materiais Acadmicos, ou um aviso
de direitos autorais em benefcio da Microsoft no formato indicado abaixo:
Formato do Aviso:
2010 Reimpresso para uso como referncia pessoal apenas com a
permisso da Microsoft Corporation. Todos os direitos reservados.
Microsoft, Windows e Windows Server so marcas registradas ou comerciais
da Microsoft Corporation nos Estados Unidos e/ou em outros pases. Outros
nomes de empresas e produtos aqui mencionados so marcas comerciais de
seus respectivos proprietrios.
6. SERVIOS VIA INTERNET. A Microsoft poder fornecer servios via Internet com o Contedo
Licenciado. Ela poder alter-los ou cancel-los a qualquer momento. Voc no poder usar esses
servios de maneira que possa danific-los ou prejudicar seu uso por outros. Em nenhuma hiptese
voc poder usar os servios para tentar obter acesso no autorizado a qualquer servio, dado, conta
ou rede.
7. ESCOPO DA LICENA. O Contedo Licenciado licenciado, no vendido. Este contrato apenas
outorga a voc alguns direitos de uso do Contedo Licenciado. A Microsoft se reserva todos os outros
direitos. Salvo quando a legislao aplicvel lhe conceder mais direitos do que esta limitao, voc s
poder usar o Contedo Licenciado conforme expressamente permitido neste contrato. Ao fazer isso,
voc dever cumprir quaisquer limitaes tcnicas no Contedo Licenciado que permitam o seu uso
apenas de determinadas maneiras. vedado(a):
a instalao de mais cpias do Contedo Licenciado em Dispositivos de sala de aula do que o
nmero de Alunos mais o Instrutor na Sesso de Treinamento Autorizada;
a concesso de permisso de acesso ao servidor para mais Dispositivos de sala de aula do que o
nmero de Alunos inscritos mais o Instrutor que ministrar a Sesso de Treinamento Autorizada,
caso o Contedo Licenciado esteja instalado em um servidor de rede;
a cpia ou reproduo do Contedo Licenciado em qualquer servidor ou local para posterior
reproduo ou distribuio;
a divulgao dos resultados de qualquer teste de desempenho do Contedo Licenciado a terceiros
sem o prvio consentimento, por escrito, da Microsoft;
a resoluo de limitaes tcnicas no Contedo Licenciado;
a realizao de engenharia reversa, descompilao ou desmontagem do Contedo Licenciado,
exceto e somente na medida em que esta atividade seja expressamente permitida pela legislao
aplicvel, no obstante esta limitao;
a produo de mais cpias do Contedo Licenciado do que aquelas especificadas neste contrato
ou permitidas pela legislao aplicvel, no obstante esta limitao;
a publicao do Contedo Licenciado para a cpia por outras pessoas;
a transferncia do Contedo Licenciado, no todo ou em parte, para um terceiro;
o acesso a ou uso de qualquer Contedo Licenciado para o qual voc (i) no esteja ministrando
um Curso e/ou (ii) no tenha sido autorizado pela Microsoft a acessar e usar;
o aluguel, arrendamento ou emprstimo do Contedo Licenciado; ou
o uso do Contedo Licenciado para servios de hospedagem comercial ou fins comerciais gerais.
Os direitos de acesso ao software para servidor que possa estar includo com o Contedo
Licenciado, inclusive os Discos Rgidos Virtuais, no concedem a voc nenhum direito para
implementar patentes da Microsoft ou outras propriedades intelectuais da Microsoft em softwares
ou dispositivos que acessem o servidor.
8. RESTRIES EXPORTAO. O Contedo Licenciado est sujeito s leis e normas de exportao
dos Estados Unidos. Voc dever cumprir todas as leis e normas nacionais e internacionais de
exportao que se aplicam ao Contedo Licenciado. Essas leis incluem restries a destinos, usurios
finais e uso final. Para obter informaes adicionais, visite a pgina www.microsoft.com/exporting.
9. SOFTWARE/CONTEDO LICENCIADO NO COMERCIALIZVEL (NFR ou Not For
Resale). vedada a venda de software ou Contedo Licenciado identificado como NFR ou Not for
Resale (No Comercializvel).
10. EDIO ACADMICA. Voc dever ser um Usurio Educacional Qualificado para usar Contedo
Licenciado identificado como Academic Edition ou AE. Caso voc no saiba se ou no um Usurio
Educacional Qualificado, visite a pgina www.microsoft.com/education ou contate a afiliada da
Microsoft em seu pas.
11. RESCISO. Sem prejuzo de quaisquer outros direitos, a Microsoft poder rescindir este contrato caso
voc no cumpra os termos e condies destes termos de licena. No caso de seu status como Centro
de Aprendizagem Autorizado ou Instrutor a) expirar, b) ser rescindido voluntariamente por voc e/ou
c) ser rescindido pela Microsoft, este contrato ser rescindido automaticamente. Em caso de resciso
deste contrato, voc dever destruir todas as cpias do Contedo Licenciado e de todos os seus
componentes.
12. CONTRATO INTEGRAL. Este contrato, e os termos dos suplementos, das atualizaes, dos
servios via Internet e dos servios de suporte usados por voc, constituem o contrato
integral para o Contedo Licenciado e os servios de suporte.
13. LEGISLAO APLICVEL.
a. Nos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado nos Estados Unidos, as leis
do Estado de Washington regero a interpretao deste contrato e sero aplicveis s reclamaes
de violao do mesmo, independentemente dos princpios de conflito de leis. As leis do Estado
onde voc vive regero todas as outras reclamaes, incluindo leis de defesa do consumidor,
concorrncia desleal e obrigaes extracontratuais.
b. Fora dos Estados Unidos. Se voc tiver adquirido o Contedo Licenciado em qualquer outro
pas, as leis desse pas sero aplicveis.
14. EFEITO LEGAL. Este contrato descreve alguns direitos legais. Voc poder ter outros direitos de
acordo com as leis do seu pas. Voc tambm poder ter direitos em relao ao terceiro de quem o
Contedo Licenciado foi adquirido. Este contrato no alterar os seus direitos de acordo com as leis do
seu pas, caso as leis do seu pas no o permitam.
15. ISENO DE RESPONSABILIDADE. O Contedo Licenciado licenciado no estado em que
se encontra. O risco de us-lo responsabilidade sua. A Microsoft no oferece garantias
ou condies expressas. Voc poder ter direitos de consumidor adicionais de acordo com
suas leis locais, os quais este contrato no poder alterar. Na extenso permitida pelas leis
locais, a Microsoft exclui as garantias implcitas de comercializao, adequao a uma
finalidade especfica e no-violao.
16. LIMITAO E EXCLUSO DE RECURSOS E DANOS. VOC PODE RECUPERAR DA
MICROSOFT E DE SEUS FORNECEDORES APENAS DANOS DIRETOS LIMITADOS A US$ 5,00
(CINCO DLARES AMERICANOS). NO POSSVEL RECUPERAR OUTROS DANOS,
INCLUINDO CONSEQENCIAIS, LUCROS CESSANTES, ESPECIAIS, INDIRETOS OU
INCIDENTAIS.
Esta limitao aplica-se a:
qualquer assunto relacionado ao Contedo Licenciado, ao software, aos servios, ao contedo
(incluindo cdigo) em sites de Internet de terceiros ou a programas de terceiros; e
reclamaes por violao contratual, quebra de garantia ou condio, responsabilidade objetiva,
negligncia ou outra responsabilidade extracontratual, na extenso permitida pela legislao
aplicvel.
Tambm ser aplicada ainda que a Microsoft saiba ou tivesse que saber sobre a possibilidade dos
danos. A limitao ou excluso acima poder no se aplicar a voc pelo fato de o seu pas no permitir
a excluso ou limitao de danos incidentais, conseqenciais ou outros.
Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory xiii
Reconhecimento
O Microsoft Learning gostaria de prestar reconhecimento e agradecer
contribuio dos profissionais a seguir para a elaborao deste curso. O esforo
deles nas diversas etapas do desenvolvimento garantiu aos alunos uma boa
experincia em sala de aula.
Dan Holme Especialista no assunto

Graduado na Universidade de Yale e na Thunderbird, Dan passou 15 anos como
consultor e instrutor, fornecendo solues a milhares de profissionais de TI das
organizaes e corporaes mais prestigiadas do mundo inteiro. A empresa de
Dan, Intelliem, uma firma de treinamento e consultoria pequena e exclusiva, com
clientela citada na revista Fortune e bastante experincia e conhecimento em
Windows, Active Directory e Microsoft Office SharePoint. De sua base na linda
ilha Maui, Dan viaja pelo mundo todo dando suporte a clientes e fornecendo
treinamento sobre tecnologias da Microsoft. Dan tambm editor colaborador da
revista Windows IT Pro, alm de Microsoft MVP (servios de diretrio do Windows
Server, 2007, e Office SharePoint Server, 2008-2009) e lder da comunidade
SharePointProConnections.com. No ltimo ano, Dan publicou dois livros pela
Microsoft Press: o Windows Administration Resource Kit (em ingls) e o kit de
treinamento para o exame MCTS 70-640, ambos na lista de livros mais vendidos
sobre o Windows. Atualmente, ele est desenvolvendo solues do SharePoint
para dar suporte transmisso dos Jogos Olmpicos de Inverno 2010, em
Vancouver, como Consultor de tecnologias da Microsoft para a NBC Olympics,
funo que j desempenhou no ano passado em Pequim e, anteriormente, em
Turim.
Claudia Woods Revisora tcnica

Claudia foi administradora de rede local, engenheira de sistemas e instrutora
tecnolgica por mais de dez anos. E como tal, projetou, implementou e
documentou as solues tecnolgicas de diversos clientes. Claudia escreveu,
editou e apresentou cursos de tecnologia personalizados para vrias organizaes
dos EUA. Ela participa regularmente de eventos de TI, como TechEd, MCT Summit
e FOSE.
Natural da regio sudeste dos EUA, Claudia reside atualmente no Reino Unido. Ela
instrutora de equipe de uma firma internacional de treinamento tecnolgico. Sua
especialidade em solues Microsoft inclui Windows Server, Active Directory e
Exchange Messaging.
xiv Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Ryan Boswell Revisor tcnico

Ryan trabalhou como engenheiro de sistemas, consultor de TI e instrutor
tecnolgico por mais de dez anos. Ele possui vrias certificaes da Microsoft,
como diversos nveis de MCSE, MCTS, MCITP e MCT. Sua especialidade inclui
tecnologias do Windows Server, Active Directory, System Center Configuration
Manager, System Center Operations Manager e Microsoft Hyper-V. Atualmente,
Ryan reside em Denver, Colorado.
Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory xv
Contedo
Mdulo 1: Introduo ao AD DS (Servios de Domnio Active Directory)
Lio 1: Introduo ao Active Directory, identidade e acesso 1-4
Lio 2: Componentes e Conceitos do Active Directory 1-21
Lio 3: Instalao dos Servios de Domnio Active Directory 1-47
Laboratrio: Instalao de um controlador de domnio do AD DS para
criar uma floresta de domnio nico 1-57
Lio 4: Extenso de IDA com Servios do Active Directory 1-66
Mdulo 2: Administrao segura e eficiente do Active Directory

Lio 1: Trabalho com snap-ins do Active Directory 2-4
Lio 2: Consoles personalizados e privilgios mnimos 2-14
Laboratrio A: Criao e e execuo de um console administrativo
personalizado 2-25
Lio 3: Localizao de objetos no Active Directory 2-36
Laboratrio B: Localizao de objetos no Active Directory 2-53
Lio 4: Uso de comandos do DS para administrar o Active Directory 2-62
Laboratrio C: Uso de comandos do DS para administrar o
Active Directory 2-81
Mdulo 3: Gerenciamento de usurios

Lio 1: Criao e administrao de contas de usurio 3-4
Laboratrio A: Criao e administrao de contas de usurio 3-29
Lio 2: Configurao de atributos de objeto de usurio 3-35
Laboratrio B: Configurao de atributos de objeto de usurio 3-51
Lio 3: Automatizao da criao de conta de usurio 3-61
Laboratrio C: Automatizao da criao de conta de usurio 3-70
xvi Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Mdulo 4: Gerenciamento de grupos

Lio 1: Gerenciamento de uma empresa com grupos 4-4
Lio 2: Administrao de grupos 4-46
Laboratrio A: Administrao de grupos 4-67
Lio 3: Prticas recomendadas para gerenciamento de grupos 4-75
Laboratrio B: Prticas recomendadas para gerenciamento de grupos 4-91
Mdulo 5: Suporte a contas de computador

Lio 1: Criao de computadores e ingresso no domnio 5-4
Laboratrio A: Criao de computadores e ingresso no domnio 5-35
Lio 2: Administrao de contas e objetos de computador 5-43
Laboratrio B: Administrao de contas e objetos de computador 5-63
Mdulo 6: Implementao de uma infraestrutura de diretiva de grupo

Lio 1: Compreenso da Diretiva de Grupo 6-4
Lio 2: Implementao de GPOs 6-22
Laboratrio A: Implementao da Diretiva de Grupo 6-39
Lio 3: Uma discusso mais profunda sobre configuraes e GPOs 6-43
Laboratrio B: Gerenciamento de configuraes e GPOs 6-66
Lio 4: Gerenciamento do escopo da Diretiva de Grupo 6-73
Laboratrio C: Gerenciamento do escopo da Diretiva de Grupo 6-104
Lio 5: Processamento de Diretiva de Grupo 6-112
Lio 6: Soluo de problemas de aplicao de diretiva 6-122
Laboratrio D: Soluo de problemas de aplicao de diretiva 6-134
Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory xvii
Mdulo 7: Gerenciamento da segurana e da configurao da empresa com

as configuraes de Diretiva de Grupo
Lio 1: Delegao do suporte de computadores 7-4
Laboratrio A: Delegao do suporte de computadores 7-16
Lio 2: Gerenciamento das configuraes de segurana 7-20
Laboratrio B: Gerenciamento das configuraes de segurana 7-49
Lio 3: Gerenciamento de software com GPSI 7-62
Laboratrio C: Gerenciamento de software com GPSI 7-81
Lio 4: Auditoria 7-87
Laboratrio D: Auditoria do acesso ao sistema de arquivos 7-101
Mdulo 8: Administrao segura

Lio 1: Delegao de permisses administrativas 8-4
Laboratrio A: Delegao de administrao 8-26
Lio 2: Auditoria de alteraes do Active Directory 8-34
Laboratrio B: Auditoria de alteraes do Active Directory 8-40
Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio

do AD DS (Servios de Domnio Active Directory)
Lio 1: Configurao de diretivas de senha e de bloqueio 9-4
Laboratrio A: Configurao de diretivas de bloqueio de conta e senha 9-25
Lio 2: Auditoria de autenticao 9-31
Laboratrio B: Auditoria de autenticao 9-41
Lio 3: Configurao de controladores de domnio somente leitura 9-45
Laboratrio C: Configurao de controladores de domnio somente
leitura 9-66
USO EXCLUSIVO DE INSTRUTORES MCT. PROIBIDO O USO POR ALUNOS
Sobre este curso i
Sobre este curso

Esta seo apresenta uma breve descrio do curso, do pblico, dos pr-requisitos
sugeridos e dos objetivos do curso.
Descrio do curso
O objetivo deste curso de 5 dias ensinar aos Especialistas na Tecnologia Active
Directory a configurar o AD DS (Servios de Domnio Active Directory) em um
ambiente distribudo, implementar a Diretiva de Grupo, executar backup e
restaurao, e monitorar e solucionar problemas relacionados ao Active Directory.
Aps concluir este curso, os alunos sero capazes de implementar e configurar os
Servios de Domnio Active Directory em seu ambiente corporativo.
Pblico-alvo
O pblico-alvo deste curso inclui Especialistas na Tecnologia Active Directory,
Administradores de Servio e Administradores Corporativos que desejam aprender
a implementar o Active Directory em um ambiente distribudo; proteger domnios
atravs da Diretiva de Grupo; executar backup e restaurao; e monitorar e
solucionar problemas de configurao do Active Directory para garantir uma
operao tranquila.
Pr-requisitos do aluno
Para participar deste curso, voc precisa estar em conformidade com os seguintes
pr-requisitos:
Noes bsicas de rede. Voc deve compreender como o protocolo TCP/IP
funciona e ter uma noo bsica sobre endereamento, resoluo de nomes
(DNS [Sistema de Nomes de Domnio ]/WINS [Servio de Cadastramento na
Internet do Windows]), mtodos de conexo (com fio, sem fio, VPN [rede
virtual privada) e NET+ ou conhecimento equivalente.
Conhecimento intermedirio dos sistemas operacionais de rede. Voc deve
ter um conhecimento intermedirio de sistemas operacionais como Windows
2000, Windows XP ou Windows Server 2003. recomendvel tambm
compreender o sistema operacional cliente Windows Vista.
Conscientizao das prticas recomendadas de segurana. Voc deve
conhecer as permisses de sistema de arquivos, os mtodos de autenticao, a
estao de trabalho, os mtodos de proteo de servidores etc.
Conhecimento bsico do hardware do servidor. Voc deve ter um A+ ou
conhecimento equivalente.
ii Sobre este curso
Alguma experincia com a criao de objetos no Active Directory.

Conceitos bsicos de backup e recuperao em um ambiente Windows
Server. Voc deve ter conhecimento bsico dos tipos de backup, mtodos de
backup, topologias de backup etc.
Objetivos do curso
Depois de conclurem este curso, os alunos sero capazes de:
Localizar a funo estratgica de um servio de diretrio em uma empresa no
que diz respeito a identidade e acesso.
Explicar os processos de autenticao e autorizao.
Identificar os principais componentes do AD DS.
Compreender os requisitos de instalao de um controlador de domnio para
criar uma nova floresta.
Identificar as funes de e as relaes entre AD DS, servios AD LDS, AD RMS,
AD FS e AD CS.
Instalar, localizar e descrever os snap-ins usados para administrar o AD DS.
Executar tarefas administrativas bsicas com o snap-in Usurios e
Computadores do Active Directory.
Criar um console do MMC (Console de Gerenciamento da Microsoft) para
administrao.
Executar tarefas administrativas enquanto estiver conectado como um usurio.
Controlar a exibio dos objetos no snap-in Usurios e Computadores do
Active Directory.
Localizar objetos no Active Directory.
Trabalhar com consultas salvas.
Identificar o DN (nome distinto), RDN (nome diferenciado relativo) e CN
(nome comum) de um objeto do Active Directory.
Use o comandos do DS para administrar o Active Directory na linha de
comando.
Criar e configurar as propriedades relacionadas a contas de um objeto de
usurio.
Sobre este curso iii
Identificar a finalidade e os requisitos dos atributos de conta de usurio.

Executar tarefas administrativas comuns para dar suporte a contas de usurio,
como redefinio de senha e desbloqueio de conta.
Habilitar e desabilitar contas de usurio.
Excluir, mover e renomear contas de usurio.
Exibir e modificar atributos ocultos de objetos de usurio.
Identificar a finalidade e os requisitos dos atributos de objeto de usurio.
Criar usurios com base em modelos de conta de usurio.
Modificar atributos de vrios usurios simultaneamente.
Exportar atributos de usurios com o CSVDE (Comma Separated Value
Directory Exchange).
Importar usurios com o CSVDE.
Importar usurios com o LDIFDE (Data Interchange Format Directory
Exchange) do LDAP.
Criar grupos delegados, seguros e bem documentados.
Compreender os tipos, o escopo e o aninhamento de grupos.
Compreender a prtica recomendada para o aninhamento de grupos a fim de
obter o gerenciamento baseado em funes.
Criar, excluir e gerenciar grupos com o DSCommands, o CSVDE e o LDIFDE.
Enumerar e copiar os membros do grupo.
Compreender os grupos (Builtin) padro.
Compreender as identidades especiais.
Compreender a relao entre um membro de domnio e o domnio, em termos
de identidade e acesso.
Identificar os requisitos para ingressar em um computador no domnio.
Implementar processos de prtica recomendada para ingressos em
computador.
Proteger o AD DS para impedir a criao de contas de computador no
gerenciadas.
Gerenciar objetos de computador e seus atributos usando a interface e as
ferramentas de linha de comando do Windows.
iv Sobre este curso
Administrar contas de computador atravs de seu ciclo de vida.

Identificar os fatores comerciais para o gerenciamento de configurao.
Compreender os componentes e as tecnologias que compem a estrutura da
Diretiva de Grupo.
Gerenciar GPOs (Objetos de Diretiva de Grupo).
Configurar e compreender vrios tipos de configurao de diretiva.
Criar escopo de GPOs usando links, grupos de segurana, filtros WMI,
processamento de loopback e direcionamento de preferncias.
Explicar o armazenamento, a replicao e o controle de verso de GPOs.
Administrar uma infraestrutura de Diretiva de Grupo.
Avaliar a herana, a precedncia e o RSoP (Conjunto de Diretivas Resultante)
do GPO.
Localizar os logs de eventos contendo eventos relacionados Diretiva de
Grupo.
Delegar a administrao dos computadores.
Usar as diretivas de Grupos Restritos para modificar ou impor os membros
dos grupos.
Usar as Preferncias da Diretiva de Grupo para modificar os membros dos
grupos.
Definir as configuraes de segurana usando a diretiva de Segurana Local.
Criar e aplicar modelos de segurana para gerenciar informaes de segurana.
Analisar a configurao de segurana com base nos modelos de segurana.
Criar, editar e aplicar diretivas de segurana usando o Assistente de
Configurao de Segurana.
Implantar a configurao de segurana com a Diretiva de Grupo.
Implantar software usando o GPSI (Instalao de Software de Diretiva de
Grupo).
Remover o software instalado originalmente com o GPSI.
Descrever a finalidade comercial da delegao.
Atribuir permisses a objetos do Active Directory usando as interfaces de
usurio do editor de segurana e o Assistente para Delegao de Controle.
Sobre este curso v
Exibir e reportar permisses sobre os objetos do Active Directory usando a

interface e as ferramentas de linha de comando.
Redefinir as permisses em um objeto para o valor padro.
Descrever a relao entre delegao e criao de unidades organizacionais.
Configurar a auditoria de Alteraes no servio de diretrio.
Especificar configuraes de auditoria em objetos do Active Directory.
Identificar entradas do log de eventos criadas pela auditoria de Acesso ao
Diretrio e pela auditoria de Alteraes no servio de diretrio.
Implementar a diretiva de senha e bloqueio de conta do seu domnio.
Configurar e atribuir diretivas refinadas de senha.
Configurar a auditoria de atividade relacionada autenticao.
Diferenciar entre logon de conta e eventos de logon.
Identificar eventos relacionados autenticao no log de segurana.
Identificar os requisitos comerciais para RODCs (Controladores de Domnio
Somente Leitura).
Instalar um RODC.
Configurar a diretiva de replicao de senha.
Monitorar o cache de credenciais em um RODC.
Compreender a funo da estrutura, a estrutura e a funcionalidade do DNS
(Sistema de Nomes de Domnio).
Descrever os processos de resoluo de nomes de servidor e de cliente.
Instalar o DNS.
Gerenciar registros DNS.
Definir configuraes do servidor DNS.
Compreender a integrao entre o AD DS e o DNS.
Escolher um domnio DNS para um domnio do Active Directory.
Criar uma delegao de zona para um novo domnio do Active Directory.
Configurar a replicao das contas integradas ao Active Directory.
Descrever a finalidade dos registros SRV no processo de localizao de
controlador de domnio.
vi Sobre este curso
Compreender os servidores DNS somente leitura.

Compreender e configurar a resoluo de nomes de rtulo nico.
Definir configuraes avanadas do servidor DNS.
Auditar, fazer a manuteno e solucionar problemas da funo de servidor
DNS.
Instalar um controlador de domnio padro ou somente leitura em rvores ou
domnios novos ou existentes.
Adicionar e remover controladores de domnio usando vrios mtodos de
linha de comando ou GUI.
Configurar um controlador de domnio no Server Core.
Compreender e identificar funes de mestre de operaes.
Gerenciar o posicionamento, a transferncia e a captura de funes de mestre
de operaes.
Migrar a replicao de SYSVOL do FRS (Servio de Replicao de Arquivos)
para o DFS-R (Replicao de Sistema de Arquivos Distribudo).
Configurar sites e sub-redes.
Compreender a localizao do controlador de domnio e gerenciar os
controladores de domnio em sites.
Configurar a replicao do conjunto de atributos parcial para servidores de
catlogo global.
Implementar o cache de associao de grupo universal.
Compreender a funo das parties de diretrio de aplicativos.
Configurar a topologia de replicao com objetos de conexo, servidores
bridgehead, links de site e pontes de link de site.
Relatar, analisar e solucionar problemas de replicao com repadmin.exe e
dcdiag.exe.
Monitorar os eventos e o desempenho, em tempo real, com o Gerenciador de
Tarefas, o Visualizar Eventos e o Monitor de Confiabilidade e Desempenho do
Windows.
Aproveitar os novos recursos do Visualizar Eventos no Windows Server 2008,
incluindo modos de exibio personalizados e inscries de evento.
Sobre este curso vii
Monitorar o desempenho registrado e em tempo real com o Monitor de

Desempenho, os conjuntos de coleta de dados e os relatrios.
Identificar fontes de informaes sobre desempenho e eventos para os
controladores de domnio do AD DS.
Criar alertas com base em eventos e mtricas de desempenho.
Manter e otimizar o banco de dados do Active Directory.
Fazer backup e restaurar o AD DS e os controladores de domnio.
Recuperar objetos e atributos excludos.
Compreender os nveis funcionais de domnio e floresta.
Aumentar os nveis funcionais de domnio e floresta.
Identificar os recursos adicionados por cada nvel funcional.
Criar uma estrutura efetiva de domnios e rvore do AD DS.
Identificar a funo da Ferramenta de Migrao do Active Directory e os
problemas relacionados migrao de objetos e reestruturao de domnios.
Compreender as relaes de confiana.
Configurar, administrar e proteger as relaes de confiana.
viii Sobre este curso
Estrutura do curso
Esta seo fornece um resumo do curso:
Mdulo 1: explica como instalar e configurar os Servios de Domnio Active
Directory, e como instalar e configurar um controlador de domnio somente
leitura.
Mdulo 2: explica como trabalhar com segurana e eficincia no Active Directory.
Mdulo 3: explica como gerenciar e oferecer suporte s contas de usurio no
Active Directory.
Mdulo 4: explica como criar, modificar, excluir e oferecer suporte aos objetos de
grupo no Active Directory.
Mdulo 5: explica como criar e configurar contas de computador.
Mdulo 6: explica o que Diretiva de Grupo, como ela funciona e qual a melhor
forma de implementa a Diretiva de Grupo na sua organizao.
Mdulo 7: explica como gerenciar a segurana e a instalao de softwares, e como
fazer a auditoria de arquivos e pastas.
Mdulo 8: explica como administrar os Servios de Domnio Active Directory com
segurana.
Mdulo 9: descreve os componentes de autenticao do domnio, incluindo as
diretivas que especificam requisitos de senha e a auditoria das atividades
relacionadas a autenticao.
Mdulo 10: explica como implementar o DNS para dar suporte resoluo de
nomes dentro do domnio do AD DS e fora do seu domnio e da sua intranet.
Mdulo 11: explica como administrar controladores de domnio em uma floresta.
Mdulo 12: explica como criar um servio de diretrio distribudo que oferea
suporte a controladores de domnio em partes da rede que so separadas por links
dispendiosos, lentos ou no confiveis.
Sobre este curso ix
Mdulo 13: descreve as tecnologias e ferramentas que esto disponveis para

ajudar a garantir a integridade e a longevidade do servio de diretrio. Voc
explorar ferramentas que ajudam a monitorar o desempenho em tempo real e
aprender a registrar o desempenho ao longo do tempo e a observar as tendncias
de desempenho para detectar problemas potenciais.
Mdulo 14: explica como elevar os nveis de funcionalidade de domnios e
florestas no ambiente, como projetar a infraestrutura ideal do AD DS, como migrar
objetos entre domnios e florestas, e como habilitar a autenticao e o acesso a
recursos nos vrios domnios e florestas.
x Sobre este curso
Materiais do curso
Os seguintes materiais foram includos no seu kit:
Manual do curso. Contm o material abordado em aula. Deve ser usado em
conjunto com o CD complementar do curso.
CD complementar do curso. Contm o contedo completo do curso, incluindo o
contedo expandido de cada pgina de tpico, exerccios de laboratrio
completos e suas respectivas respostas, recursos por tpico e categoria, e links
da Web. Deve ser usado dentro e fora da aula.
Observao: para acessar o contedo completo do curso, coloque o CD complementar

do curso na unidade de CD-ROM e, no diretrio raiz do CD, clique duas vezes em
StartCD.exe.
Avaliao do curso. Ao final do curso, voc ter a oportunidade de fazer uma

avaliao online para fornecer comentrios sobre o curso, sobre as instalaes
em que foi oferecido o treinamento e sobre o instrutor.
Para fornecer comentrios adicionais sobre o curso, envie um email para

support@mscourseware.com. Em caso de dvidas sobre o programa MCP
(Microsoft Certification Program), envie um email para mcphelp@microsoft.com.
Ambiente de mquina virtual

Esta seo fornece as informaes sobre a configurao do ambiente de sala de
aula para dar suporte ao cenrio comercial do curso.
Configurao da mquina virtual

Neste curso, voc usar o Microsoft Virtual Server 2005 e o MSL Lab Launcher
para executar os laboratrios.
Importante: ao final de cada laboratrio, voc deve fechar a mquina virtual e no

salvar nenhuma alterao. Para fechar uma mquina virtual sem salvar as alteraes,
execute estas etapas: 1. Para cada mquina virtual em execuo, feche a janela Controle
Remoto de Mquina Virtual. 2. Na caixa Fechar, selecione Desligar Computador e
Descartar Alteraes. Clique em OK.
Sobre este curso xi
A tabela a seguir mostra a funo de cada mquina virtual usada neste curso:
Mquina virtual Funo

Controlador de domnio do Windows Server 2008 no
10222A-HQDC01-A
domnio Contoso

10222A-HQDC01-B
domnio Contoso
10222A-HQDC01-D Membro de grupo de trabalho do Windows Server 2008
10222A-HQDC02-A Membro de grupo de trabalho do Windows Server 2008

10222A-HQDC02-B
domnio Contoso
10222A-HQDC03-A Windows Server 2008 Server Core no grupo de trabalho
10222A-HQDC03-B Windows Server 2008 Server Core no domnio Contoso
10222A-DESKTOP101-A Cliente do Windows Vista no domnio Contoso
10222A-BRANCHDC01-A Membro de grupo de trabalho do Windows Server 2008
Controlador de domnio do Windows Server 2008 Server

10222A-BRANCHDC01-B
Core no domnio Contoso

10222A-SERVER01-A
domnio Contoso
10222A-SERVER01-B Membro de grupo de trabalho do Windows Server 2008

10222A-TSTDC01-A
domnio Tailspintoys
Configurao de software
O seguinte software est instalado em todas as mquinas virtuais:
Windows Server 2008 Enterprise
Windows Vista Enterprise
xii Sobre este curso
Configurao da sala de aula

Cada computador da sala de aula ter a mesma mquina virtual configurada da
mesma forma.
Nvel de hardware do curso

Para assegurar uma experincia satisfatria ao aluno, o Microsoft Learning exige uma
configurao mnima de equipamento para os computadores do instrutor e do aluno
em todas as salas de aula da CPLS (Microsoft Certified Partner for Learning
Solutions) nas quais o curso Official Microsoft Learning Product ministrado.
Este um curso de hardware nvel 5.5 com RAM adicional. Consulte o Guia de
Configurao da Sala de Aula para obter especificaes de hardware detalhadas.
Importante: o nvel de hardware deste curso foi modificado para ser executado, por
padro, supondo-se que 4 GB de RAM esto disponveis na mquina host, em vez de 2
GB, que a quantidade normal de memria necessria, definida pelo hardware nvel 5.5.
Portanto, a configurao padro na instalao e na inicializao definida para ser
executada quando houver 4 GB de RAM disponveis na mquina host. Para conhecer as
etapas detalhadas sobre como configurar esse ambiente, siga as etapas descritas na
seo Configurao da sala de aula Hardware nvel 5.5 com 4 GB de RAM do Guia de
Configurao da Sala de Aula.
Se voc no tiver 4 GB de RAM disponveis nas mquinas dos alunos, ser necessrio
executar etapas de configurao alternativas. Um arquivo de configurao
LauncherSettings.config alternativo fornecido no curso; esse arquivo definir
novamente os valores de RAM de cada mquina virtual para permitir que eles sejam
inicializados e executados na definio normal do hardware nvel 5.5, com a alocao de
2 GB de RAM disponveis na mquina host. Para obter detalhes sobre como configurar a
sala de aula em que h somente 2 GB disponvel nas mquinas dos alunos, consulte a
seo Configurao da sala de aula Hardware nvel 5.5 com 4 GB de RAM do Guia de
Configurao da Sala de Aula.
altamente recomendvel que voc leia o MSL Lab Launcher Getting Started Guide
disponvel no MCT Download Center. Esse documento contm informaes sobre como
instalar e personalizar o MSL Lab Launcher e complementar o contedo do guia de
configurao deste curso.
Cada computador da sala de aula funcionar como host de cinco mquinas virtuais
que sero executadas no Virtual Server 2005R2 SP1.
O tempo estimado para configurao da sala de aula aproximadamente 140
minutos.
Introduo ao AD DS (Servios de Domnio Active Directory) 1-1
Mdulo 1
Introduo ao AD DS (Servios de Domnio
Active Directory)
Sumrio:
Lio 1: Introduo ao Active Directory, identidade e acesso 1-4
Lio 2: Componentes e conceitos do Active Directory 1-21
Lio 3: Instalao dos Servios de Domnio Active Directory 1-47
Laboratrio: Instalao de um controlador de domnio do AD DS para
criar uma floresta de domnio nico 1-57
Lio 4: Extenso de IDA com Servios do Active Directory 1-66
1-2 Configurao e soluo de problemas dos servios de domnio do Windows Server 2008 Active Directory
Viso geral do mdulo
O Active Directory e seus servios relacionados compem a base das redes que
executam o Windows, pois juntos eles trabalham para armazenar informaes
sobre as identidades de usurios, computadores e servios, autenticar um usurio
ou um computador e fornecer um mecanismo com o qual o usurio ou
computador pode acessar recursos na empresa. Neste mdulo, voc comear a
explorar o Active Directory do Windows Server 2008 instalando a funo do AD
DS (Servios de Domnio Active Directory) e criando um DC (controlador de
domnio) em uma nova floresta do Active Directory. Voc descobrir que o
Windows Server 2008 d continuidade evoluo do Active Directory mediante o
aprimoramento de muitos dos conceitos e recursos com os quais voc j est
familiarizado graas sua experincia com o Active Directory.
Este mdulo concentra-se na criao de uma nova floresta do Active Directory com
um nico domnio em um nico controlador de domnio. O Laboratrio deste
mdulo orientar voc na criao de um domnio chamado contoso.com, que ser
usado em todos os outros laboratrios deste curso. Nos mdulos posteriores, voc
aprender a implementar outros cenrios, como florestas de vrios domnios,
atualizaes de florestas existentes para o Windows Server 2008 e opes de
instalao avanadas.
O mais importante de tudo que este mdulo prepara a base do curso inteiro ao
apresentar uma "viso geral" do Active Directory. Voc ir rever conceitos-chave de
autenticao, autorizao e servios de diretrio e ter uma viso geral de alto nvel
sobre os principais componentes do Active Directory e como eles se combinam.
Seja voc bastante experiente com o Active Directory ou um novato na plataforma,
este mdulo o capacitar a entender onde voc ir chegar neste curso.
Objetivos
Aps concluir este mdulo, voc ser capaz de:
Explicar os processos de autenticao e autorizao.
Identificar as funes do AD DS, AD LDS, AD RMS, AD FS e AD CS e as
relaes entre eles.
Lio 1
Introduo ao Active Directory, identidade e
acesso
O AD DS (Servios de Domnio Active Directory) oferece a funcionalidade de uma

soluo de IDA (identidade e acesso) para redes corporativas. A lio examina os
principais conceitos de IDA e do Active Directory.
Objetivos
Aps concluir esta lio, voc ser capaz de:
Explicar conceitos, terminologia, processos e tecnologias de autenticao e
autorizao.
Resumo da proteo das informaes
Pontos principais
Se voc resumir tudo, a funo de um profissional de TI (tecnologia da
informao) conectar usurios com as informaes de que eles precisam para
fazer seu trabalho. Isso seria muito fcil se no tivssemos de nos preocupar com
algo chamado "segurana". Como os usurios precisam de diferentes nveis de
acesso a diferentes classes de informao, devemos gerenciar a associao dos
usurios certos com os nveis de acesso corretos: proteo das informaes.
O setor define vrias abordagens para obter proteo das informaes. Cada uma
dessas estruturas de "sopa de letrinhas" basicamente um ponto de vista diferente
sobre o mesmo problema:
IDA: identidade e acesso. Usurios e outras entidades de segurana (que podem
incluir computadores, servios e grupos) so representados como identidades
(com frequncia chamadas de "contas") que recebem acesso (permisses) a
informaes, recursos ou sistemas.
AAA: autenticao, autorizao e estatsticas. Os usurios fornecem credenciais,

como nome de usurio e senha, que so autenticadas quando eles fornecem
credenciais que podem ser validadas. Os usurios recebem permisses para
recursos (controle de acesso) que so usadas para autorizar solicitaes de
acesso. O acesso monitorado, o que propicia estatsticas e auditoria. Em
algumas documentaes, a auditoria considerada um "A" parte (em ingls,
accounting, estatsticas), gerando o acrnimo "AAAA".
CIA: confidencialidade, integridade e disponibilidade. As informaes so
protegidas para que no sejam divulgadas a pessoas no autorizadas
(confidencialidade) e no sejam modificadas incorretamente (integridade) de
maneira intencional ou acidental. As informaes ficam disponveis quando
necessrio (disponibilidade).
Leitura adicional
Solues de identidade e acesso da Microsoft (em ingls) -
http://go.microsoft.com/fwlink/?LinkId=168485
IDA (identidade e acesso)
Pontos principais
No centro da proteo das informaes esto dois conceitos essenciais: identidade
e acesso, ou IDA.
Vamos usar alguns minutos para examinar os fundamentos, componentes,
processos e tecnologias de identidade e acesso em sistemas Windows. Embora a
maior parte destas informaes ou todas elas sejam familiares para voc, levando
em considerao a sua experincia anterior com o Windows, importante definir a
base do Active Directory e esclarecer a terminologia, os componentes e os
processos envolvidos em IDA.
Em um sistema protegido, cada usurio representado por uma identidade. Em
sistemas Windows, a identidade a conta do usurio. As contas de um ou mais
usurios so mantidas em um armazenamento de identidades, tambm chamado de
banco de dados de diretrio. Em sistemas Windows, uma identidade chamada de
entidade de segurana. As entidades de segurana so identificadas de maneira
exclusiva por um atributo, conhecido como identificador de segurana, ou SID.
Na outra ponta do sistema est o recurso para o qual o usurio precisa de acesso. O
recurso protegido com permisses, e cada uma delas determina uma combinao
de um nvel especfico de acesso com uma identidade. Muitos recursos do
Windows, como arquivos e pastas em volumes NTFS (principalmente), so
protegidos por um descritor de segurana devidamente nomeado que contm uma
DACL (lista de controle de acesso discricionrio) em que cada permisso assume a
forma de uma ACE (entrada de controle de acesso).
Autenticao e autorizao
Pontos principais
Entre o usurio (entidade de segurana) e o acesso ao recurso existem alguns
conceitos e processos importantes.
Os prximos quatro slides detalharo este processo.
Autenticao
Pontos principais
Autenticao o processo de verificar a identidade de um usurio. O usurio
fornece credenciais, que consistem em pelo menos dois componentes: um nome de
logon e um segredo (como uma senha), que apenas o usurio e o sistema
conhecem. O sistema valida a exatido das credenciais apresentadas pelo usurio
comparando-as com aquelas armazenadas como parte da identidade.
Existem dois tipos de autenticao: local e remota. O logon local ou interativo
ocorre quando um usurio faz logon em um computador diretamente; por
exemplo, quando voc faz logon no seu laptop pela manh. O logon remoto ou de
rede quando voc se conecta a outro computador, como um servidor de
arquivos, um servidor de emails ou mesmo um controlador de domnio, para
recuperar um script de logon.
Tokens de acesso
Pontos principais
Depois que um usurio autenticado, a LSA (autoridade de segurana local) gera
um token de acesso e segurana (tambm chamado de token de segurana ou token de
acesso) que representa o usurio no sistema; para isso, a LSA coleta o SID do
usurio e de todos os grupos aos quais ele pertence. O token de acesso tambm
representa privilgios (chamados de direitos de usurio) do usurio no sistema,
como o direito de desligar o sistema ou at mesmo de fazer logon no sistema
interativamente (localmente).
importante lembrar que o token de acesso gerado e armazenado localmente no
computador que autenticou o usurio. Quando um usurio faz logon em seu
desktop (logon local ou interativo), o desktop cria um token de segurana e,
presumindo que o usurio tenha direito de fazer logon no sistema interativamente,
chama o processo do Windows Explorer, que cria a rea de trabalho.
Quando um usurio se conecta a um servidor para acessar um arquivo

compartilhado (logon remoto ou de rede), o servidor autentica o usurio e gera um
token de acesso no servidor que representa o usurio com o respectivo SID e os
SIDs de todos os grupos aos quais ele pertence. O token de acesso no servidor
diferente do token de acesso no desktop do usurio. Um token de acesso nunca
transmitido pela rede, e a LSA de um sistema Windows nunca aceitaria o token de
acesso gerado por outra LSA.
Sem dvida isso aconteceria porque o usurio provavelmente pertence a grupos
locais do servidor diferentes dos grupos do desktop e seguramente possui
privilgios (direitos de usurio) diferentes no servidor e no desktop.
Descritores de segurana, ACLs e ACEs
Pontos principais
O descritor de segurana de um recurso protegido, como um arquivo ou uma pasta
de um volume NTFS, descreve integralmente suas caractersticas de segurana. O
descritor de segurana contm a DACL, que por sua vez contm entradas de
controle de acesso (ACEs, ou "permisses"). Cada permisso composta por um
sinalizador, que indica se a ACE uma ACE Permitir ou Negar, um Objeto de
confiana (o SID de um usurio ou grupo) e uma marca de acesso que especifica
um nvel de acesso. Portanto, a ACE define quem (o Objeto de confiana
representado pelo SID) pode ou no pode fazer o que (representado pela mscara
de acesso).
O descritor de segurana tambm contm a SACL (lista de controle de acesso do
sistema), que contm configuraes de auditoria e atributos, como o proprietrio
do objeto. Como a DACL o foco da maior parte da rotina de gerenciamento de
segurana de um recurso, muitas vezes o nome e o acrnimo so abreviados. Por
isso, a forma abreviada lista de controle de acesso, ou ACL, embora tecnicamente
imprecisa, usada por muitos administradores e em vrias documentaes
(inclusive neste curso) para se referir DACL.
Autorizao
Pontos principais
Autorizao o processo que determina se um certo nvel de acesso a um recurso
deve ser concedido ou negado para um usurio. feita uma solicitao de acesso
que indica o recurso, o nvel de acesso e o token de segurana que representa o
usurio. Em seguida, o subsistema de segurana examina a ACL do recurso,
comparando os SIDs das ACEs com os do token de segurana. A primeira ACE a
coincidir com um SID no token e o tipo desejado de acesso determina se o usurio
pode (se a ACE uma ACE Permitir) ou no (se a ACE uma ACE Negar) acessar
o recurso. Quando no h correspondncia, o acesso negado.
Leitura adicional
Tecnologias de logon e autenticao (em ingls):
http://technet.microsoft.com/pt-br/library/cc780455(WS.10).aspx
Tecnologias de autorizao e controle de acesso (em ingls):
Autenticao autnoma (grupo de trabalho)
Pontos principais
Em uma configurao autnoma de sistemas Windows, tambm chamada de grupo
de trabalho, cada computador mantm somente um armazenamento de identidades
confivel: uma lista local de usurios e grupos armazenada no Registro, chamada
banco de dados do Gerenciador de Contas de Segurana, ou SAM.
Como os sistemas Windows so seguros, um usurio no pode nem mesmo fazer
logon em um computador sem ter uma conta de usurio nesse sistema. Ele deve
apresentar credenciais validadas com base nas identidades do SAM. Depois que o
usurio autenticado e autorizado para logon local, acionado o processo do
Windows Explorer, que gera a j conhecida rea de trabalho do Windows.
Se o usurio deseja acessar uma pasta compartilhada de um servidor, h um

problema imediato: o servidor no confia em uma identidade apresentada a ele
porque a identidade foi autenticada por um sistema desconhecido e no confivel.
O servidor confia apenas em seu prprio armazenamento de identidades - seu
prprio SAM. Portanto, para que o usurio possa fazer logon remotamente no
servidor, este deve ter uma identidade (conta de usurio) para o usurio no
respectivo SAM. Caso o nome de logon e a senha da identidade sejam idnticos s
credenciais da identidade na estao de trabalho, o processo de autenticao
transparente para o usurio, mas ele no acontece. Porm, se os nomes de logon
ou as senhas no coincidirem, o usurio dever inserir credenciais que sejam
vlidas para o servidor quando tentar se conectar ao recurso compartilhado.
A ACL de um recurso protegido no servidor no pode conter permisses que se
refiram a identidades no confiveis, por isso todos os usurios que precisam de
acesso ao recurso devem ter contas no servidor.
Isso imediatamente implica desafios de gerenciamento bvios. Se o usurio alterar
sua senha no desktop, as duas contas no estaro mais sincronizadas, e o usurio
dever inserir credenciais quando se conectar ao servidor. O problema s piora
medida que voc adiciona mais usurios, recursos e sistemas Windows ao
ambiente. Os desafios de gerenciamento associados manuteno de vrias
identidades para cada usurio tornam-se rapidamente insustentveis.
Domnios do Active Directory: armazenamento de

identidades confivel
Pontos principais
Os desafios de gerenciamento e segurana de um grupo de trabalho so resolvidos
por meio da centralizao do armazenamento de identidades, de modo que exista
apenas uma identidade (conta de usurio) necessria para um usurio - um
armazenamento de identidades confivel para todos os computadores. Essa
unidade de identidade confivel criada com a introduo de um domnio do
Active Directory.
Um domnio do Active Directory fornece um armazenamento de identidades
centralizado confivel para todos os membros do domnio, isto , todos os
computadores que mantm contas no domnio. Um domnio tambm fornece um
servio de autenticao centralizado. Tanto o armazenamento de identidades (o
banco de dados do Active Directory) quanto o servio de autenticao, junto com
inmeros outros componentes e servios sobre os quais voc aprender neste
curso, so hospedados em um servidor que desempenha a funo de controlador de
domnio.
Active Directory, identidade e acesso
Pontos principais
Como mencionado nas introdues ao mdulo e a esta lio, o Active Directory
fornece a soluo de IDA para redes corporativas baseadas no Windows. O IDA
necessrio para manter a segurana de recursos empresariais, como arquivos,
emails, aplicativos e bancos de dados. Uma infraestrutura de IDA deve fazer o
seguinte:
Armazenar informaes sobre usurios, grupos, computadores e outras

identidades. Como aprendemos, uma identidade uma representao de uma
entidade que executar aes na rede corporativa. Por exemplo, um usurio
abrir documentos de uma pasta compartilhada em um servidor. Voc sabe
que o documento estar protegido com permisses em uma ACL. O acesso ao
documento gerenciado pelo subsistema de segurana do servidor, que
compara a identidade do usurio com as identidades existentes na ACL para
determinar se a solicitao de acesso do usurio ser concedida ou negada.
Computadores, grupos, servios e outros objetos tambm executam aes na
rede e devem ser representados por identidades. Entre as informaes
armazenadas sobre uma identidade esto propriedades que identificam o
objeto de forma exclusiva, como um nome de usurio ou SID e a senha da
identidade. Portanto, o armazenamento de identidades um componente de
uma infraestrutura de IDA. O armazenamento de dados do Active Directory,
tambm conhecido como diretrio, um armazenamento de identidades. O
diretrio propriamente dito hospedado e gerenciado por um controlador de
domnio - um servidor que desempenha a funo do AD DS.
Autenticar uma identidade. O servidor no conceder acesso ao documento
para o usurio, a menos que confie que a identidade apresentada na solicitao
de acesso vlida. Para validar a identidade, o usurio fornece segredos que
apenas ele e a infraestrutura de IDA conhecem. Esses segredos so
comparados com as informaes do armazenamento de identidades em um
processo chamado autenticao.
Em um domnio do Active Directory, um protocolo chamado Kerberos usado
para autenticar as identidades. Quando um usurio ou computador faz logon
no domnio, o Kerberos autentica suas credenciais e emite um pacote de
informaes chamado TGT (permisso de concesso de permisso). Antes de o
usurio se conectar ao servidor para solicitar o documento, uma solicitao
Kerberos enviada ao controlador de domnio, junto com a TGT, que serve
para identificar o usurio autenticado. O controlador de domnio emite outro
pacote de informaes para o usurio, chamado tquete de servio, que identifica
o usurio autenticado para o servidor. O usurio apresenta o tquete de servio
ao servidor, que aceita o tquete como prova de que o usurio foi autenticado.
Essas transaes Kerberos resultam em um nico logon de rede, ou logon
nico. Depois que o usurio ou computador fez o logon inicial e recebeu uma
TGT, o usurio autenticado no domnio inteiro e pode receber tquetes de
servio que o identificam para qualquer servio. Toda essa atividade de
tquetes gerenciada pelos clientes e servios Kerberos embutidos no
Windows e transparente para o usurio.
Controlar o acesso. A infraestrutura de IDA responsvel por proteger

informaes confidenciais, como aquelas armazenadas no documento. O
acesso a informaes confidenciais deve ser gerenciado de acordo com as
diretivas da empresa. A ACL do documento reflete uma diretiva de segurana
composta por permisses que especificam nveis de acesso para determinadas
identidades. Neste exemplo, o subsistema de segurana do servidor est
executando a funcionalidade de controle de acesso na infraestrutura de IDA.
Fornecer uma trilha de auditoria. Uma empresa pode monitorar alteraes e
atividades realizadas na infraestrutura de IDA; para isso, deve fornecer um
mecanismo de gerenciamento de auditoria.
O AD DS o componente de maior destaque de uma infraestrutura de IDA, mas

no o nico componente de IDA suportado pelo Windows Server 2008. Com o
lanamento do Windows Server 2008, a Microsoft consolidou diversos
componentes anteriormente separados em uma plataforma de IDA integrada. Mais
adiante neste mdulo, voc aprender sobre os seguintes servios do Active
Directory:
Servios AD LDS (Active Directory Lightweight Directory Services)
AD CS (Servios de Certificados do Active Directory)
AD RMS (Active Directory Rights Management Services)
AD FS (Servios de Federao do Active Directory)
Cada um desses servios desempenha um papel importante na extenso de IDA

para acomodar cenrios e configuraes mais complexos. Novamente, esses
detalhes sero apresentados mais adiante neste mdulo.
Lio 2
Componentes e conceitos do Active Directory
Os Mdulos 2 a 14 deste curso detalham os processos de instalao, configurao,

gerenciamento e soluo de problemas do AD DS. Para comear, vlido ter uma
viso geral dos componentes, tecnologias e conceitos relacionados ao Active
Directory.
Objetivos
Active Directory como banco de dados
Pontos principais
O Active Directory um banco de dados de configurao e recursos empresariais.
Um pacote de servios d suporte ao banco de dados e utiliza as informaes
contidas nele para fornecer identidade e acesso corporativo. Na terminologia de
banco de dados, cada "registro" do banco de dados do Active Directory um objeto
do Active Directory, como um usurio, grupo ou computador. Cada "campo" um
atributo, tambm chamado de propriedade de um objeto. Os atributos incluem o
nome, a senha, a descrio, a associao ou o SID do objeto.
As entidades de segurana, tambm chamadas de "contas", so um tipo especfico
de objeto no AD DS. As entidades de segurana possuem vrios atributos
exclusivos, sendo que o mais importante deles o SID. O SID utilizado para
atribuir acesso a recursos para uma conta, conforme aprendemos na lio anterior.
Na lio anterior, o foco foi uma nica entidade de segurana: usurios. No

entanto, mais fcil gerenciar o acesso a recursos quando voc atribui permisses
a um grupo e h uma classe de objeto de grupo, chamada grupo de segurana, que
tambm uma entidade de segurana. Os computadores de um domnio tambm
so entidades de segurana. Na verdade, o objeto de computador muito
semelhante a um objeto de usurio: ele tem um nome de logon e uma senha que o
computador usa para fazer a autenticao no domnio durante a inicializao.
Por fim, h uma classe de objetos chamada inetOrgPerson. Ela usada em
situaes bastante especficas para possibilitar a interoperabilidade com vrios
servios de diretrio de terceiros. inetOrgPerson tambm uma entidade de
segurana e, resumindo, muito parecida com uma conta de usurio.
O banco de dados do Active Directory suportado e utilizado por inmeros
servios, como Kerberos (responsvel pela autenticao), DNS (responsvel pela
resoluo de nomes) e DRA (agente de replicao de diretrio), responsvel por
replicar o banco de dados entre controladores de domnio.
possvel acessar o banco de dados do Active Directory de vrias formas usando
diversos componentes, ferramentas e interfaces do Windows, programao
(atravs de APIs) ou usando o protocolo LDAP.
Demonstrao: Esquema do Active Directory
Pontos principais
Nesta demonstrao, o instrutor apresentar a funo e a estrutura do esquema
fazendo um tour pelo Esquema do Active Directory.
Muitas vezes, o esquema comparado a um plano grfico do Active Directory. Ele
define os atributos e tipos de objetos que podem ser armazenados no diretrio. Por
exemplo, o fato de o Active Directory poder ter objetos de usurio e a necessidade
de os objetos de usurio terem um nome de logon e um endereo de email
(opcional) determinado pelo esquema.
O esquema tem dois contineres principais. O continer Attributes armazena as
definies de cada atributo suportado pelo Active Directory. possvel abrir os
atributos de propriedades com as quais voc j est familiarizado:
objectSID: identificador de segurana.
sAMAccountName: o nome de logon anterior ao Windows 2000, que a
maioria dos administradores chama de "nome de usurio".
unicodePwd: o armazenamento da senha. Este atributo armazena uma senha

como um cdigo hash resultante de uma funo unidirecional.
No possvel ler ou derivar a senha com base neste atributo sem executar
algum tipo de ataque de dicionrio de fora bruta (invaso por hackers).
member: o atributo que armazena a lista de membros de um objeto de grupo.
O continer objectClasses define os tipos de objetos que podem ser instanciados

(criados) no diretrio, inclusive usurio e grupo. As classes de objeto esto
associadas a atributos definidos no continer Attributes. Essas associaes
determinam que classes de objeto tm quais atributos e quais desses atributos so
obrigatrios para uma determinada classe.
Etapas da demonstrao
1. Na mquina virtual 10222A-HQDC01-A, abra
D:\AdminTools\ADConsole.msc. Expanda os ns Active Directory > Esquema
do Active Directory [HQDC01.contoso.com].
2. Examine o continer Attributes. Abra as Propriedades dos seguintes itens:
objectSID
sAMAccountName (o que a maioria dos administradores chama de nome de
usurio)
unicodePwd
member
descrio
3. Abra o continer Classes. Enquanto percorre o continer, observe classes de
objeto familiares, como usurio, computador e grupo.
Leitura adicional
O que o esquema do Active Directory? (em ingls)
Unidades organizacionais
Pontos principais
O Active Directory um banco de dados hierrquico. Os objetos do
armazenamento de dados podem ser reunidos em contineres. Um tipo de
continer a classe de objeto chamada continer. Voc viu os contineres padro,
como Usurios, Computadores e Builtin, ao abrir o snap-in Usurios e
Computadores do Active Directory. Outro tipo de continer a UO (unidade
organizacional). As UOs fornecem no apenas um continer para objetos, mas
tambm um escopo com o qual gerenci-los. Isso ocorre porque as UOs podem ter
objetos chamados GPOs (Objetos de Diretiva de Grupo) vinculados a elas. Os
GPOs podem conter parmetros de configurao que sero aplicados
automaticamente por usurios ou computadores de uma UO.
Leitura adicional
Os Mdulos 6 e 8 discutem a finalidade, o gerenciamento e o design de
unidades organizacionais.
Gerenciamento baseado em diretiva
Pontos principais
A administrao baseada em diretiva diminui a carga de gerenciamento at mesmo
das maiores e mais complexas redes, pois fornece um nico ponto para configurar
parmetros que so implantados em vrios sistemas.
A Diretiva de Grupo permite definir configuraes de segurana e milhares de
parmetros de configurao para um ou mais usurios ou computadores da
empresa. Por exemplo, a Diretiva de Grupo que define diretivas de senha e
bloqueio para um domnio, especificando o comprimento mnimo das senhas e a
poltica de expirao de senha. A Diretiva de Grupo pode especificar configuraes
de auditoria, por exemplo, para monitorar o acesso a pastas no servidor ou as
alteraes feitas em grupos de segurana sigilosos do Active Directory, como
Administradores do Domnio. A Diretiva de Grupo tambm pode gerenciar a
configurao, por exemplo, especificando uma home page do Microsoft Internet
Explorer para um grupo de usurios ou impedindo usurios de acessar
ferramentas de edio do Registro.
O conceito importante de Diretiva de Grupo que deve ser entendido neste ponto
do curso que a Diretiva de Grupo permite definir a configurao em um objeto
chamado GPO. Um GPO pode ser aplicado a um ou mais usurios ou
computadores.
Outro exemplo de gerenciamento baseado em diretiva so as diretivas refinadas de
senha e bloqueio, um novo recurso do Windows Server 2008. Agora possvel
especificar diferentes diretivas de senha e bloqueio para diferentes grupos de
usurios do ambiente. Por exemplo, voc pode configurar um comprimento
mnimo de senha maior e uma diretiva de alterao de senha mais frequente para
os membros do grupo Administradores do Domnio do que para usurios normais.
interessante e importante observar que essas tecnologias permitem que o Active
Directory v alm do simples gerenciamento de identidades e acesso e d uma
contribuio significativa para o gerenciamento mais amplo de sua rede
corporativa.
Leitura adicional
Os Mdulos 6 a 9 detalham o gerenciamento baseado em diretiva.
O armazenamento de dados do Active Directory
Pontos principais
Como mencionado na lio anterior, o AD DS armazena suas identidades no
diretrio - um armazenamento de dados hospedado em controladores de domnio.
O diretrio um nico arquivo, chamado ntds.dit, e por padro est localizado na
pasta %systemroot%\ntds de um controlador de domnio.
O banco de dados dividido em vrias parties, o que ser detalhado nos
prximos mdulos. As parties incluem:
Esquema: discutido em um tpico anterior.
Contexto de nomenclatura de domnio (NC de domnio): uma partio
especialmente importante para a administrao cotidiana, pois contm os
dados sobre os objetos de um domnio - os usurios, grupos e computadores,
por exemplo. Quando voc faz alteraes no Active Directory usando o snap-in
Usurios e Computadores do Active Directory, est modificando o contedo
do NC de Domnio.
Configurao: contm informaes sobre domnios, servios e topologia.
DNS: se voc usa o DNS integrado ao Active Directory, as zonas e os registros

dos recursos DNS so armazenados em uma partio.
PAS (conjunto de atributos parcial): esta partio usada pelo Catlogo
Global, detalhado em um tpico mais adiante desta lio e no Mdulo 12.
O Active Directory tambm armazena informaes em uma estrutura de pastas

chamada SYSVOL. Por padro, essa pasta est localizada na pasta %systemroot%
(c:\windows). SYSVOL contm itens como scripts de logon e arquivos
relacionados a objetos de Diretiva de Grupo.
Leitura adicional
Voc aprender mais sobre as parties do Active Directory e o SYSVOL ao
longo deste curso. DNS o foco do Mdulo 10, e o PAS examinado com
detalhes no Mdulo 12. O contedo de SYSVOL explorado no Mdulo 6, e
os objetos armazenados na Configurao so discutidos no Mdulo 12. Os
objetos da partio Domnio so abordados nos Mdulos 3 a 6, e as tarefas de
manuteno e administrao de banco de dados so detalhadas nos Mdulos
9 e 13.
Controladores de domnio
Pontos principais
Os controladores de domnio, tambm chamados de controladores de domnio,
so servidores que desempenham a funo do AD DS. Como parte dessa funo,
eles hospedam e replicam o banco de dados do Active Directory (NTDS.DIT) e
SYSVOL.
Os controladores de domnio tambm executam o servio Centro de Distribuio
de Chaves Kerberos, que executa autenticao e outros servios do Active
Directory.
Devido grande importncia da autenticao para a empresa, podemos imaginar
que a orientao de prtica recomendada ter pelo menos dois controladores de
domnio disponveis para que, se os clientes no conseguirem acessar um, tenham
acesso ao outro.
Alm da disponibilidade, os controladores de domnio devem ser seguros. Alm da

segurana fsica (como colocar os controladores de domnio em datacenters
seguros), h duas opes para melhorar a segurana dos controladores de
domnio:
Ncleo do Servidor: possvel instalar o Windows Server 2008 com a opo
de instalao Ncleo do Servidor. Essa opo instala uma configurao
mnima do Windows Server 2008 que possui uma interface de Prompt de
Comando no lugar do Explorer. Voc instalar um controlador de domnio de
Ncleo do Servidor no laboratrio do Mdulo 11.
RODCs (controladores de domnio somente leitura). Os RODCs permitem
autenticar usurios em ambientes menos seguros, como filiais, ao armazenar
em cache as credenciais somente desses usurios. As senhas dos outros
usurios no so replicadas no RODC. Alm disso, o RODC no permite fazer
alteraes no Active Directory, o que diminui a vulnerabilidade do domnio AD
DS a danos acidentais ou intencionais em um site menos seguro. Os RODCs
so abordados com mais detalhes no Mdulo 9.
Leitura adicional
Os controladores de domnio so discutidos ao longo deste curso, mas os
Mdulos 11 e 12 abordam especificamente a administrao e o
posicionamento dos controladores de domnio. O Mdulo 9 discute os
RODCs.
Domnio
Pontos principais
So necessrios um ou mais controladores de domnio para criar um domnio do
Active Directory. Um domnio uma unidade administrativa onde so
compartilhados certos recursos e caractersticas. Primeiro, todos os controladores
de domnio replicam a partio do domnio do armazenamento de dados, que
contm, entre outras coisas, os dados de identidade dos usurios, grupos e
computadores do domnio. Como todos os controladores de domnio mantm o
mesmo armazenamento de identidades, qualquer controlador de domnio pode
autenticar qualquer identidade em um domnio.
Um domnio tambm um escopo de diretivas administrativas, como as diretivas
de complexidade de bloqueio de contas e senhas. Essas diretivas configuradas em
um domnio afetam todas as contas existentes nele, mas no as contas de outros
domnios.
Qualquer controlador de domnio pode fazer alteraes em objetos do banco de

dados do Active Directory, que sero replicadas em todos os outros controladores
de domnio. Portanto, em redes nas quais no h suporte para a replicao de
todos os dados entre controladores de domnio, talvez seja necessrio implementar
mais de um domnio para gerenciar a replicao de subconjuntos de identidades.
Leitura adicional
Voc aprender mais sobre domnios ao longo deste curso, e o Mdulo 14
destaca as consideraes de design relacionadas ao nmero de domnios que
voc deve ter na empresa.
Replicao
Pontos principais
Os servios de replicao distribuem dados de diretrios em uma rede. Isso inclui
o armazenamento de dados e os dados necessrios para implementar diretivas e
configurao, como scripts de logon. Voc aprender no Mdulo 12 que a
replicao do Active Directory eficiente e robusta.
O Active Directory mantm uma partio separada do armazenamento de dados,
chamada Configurao, que armazena informaes sobre a configurao, a
topologia e os servios de rede: o NC de Configurao.
Leitura adicional
A Replicao do Active Directory abordada com detalhes no Mdulo 12. A
replicao de SYSVOL discutida no Mdulo 9.
Sites
Pontos principais
Ao considerar a topologia de rede de uma empresa distribuda, certamente voc
discutir os sites da rede. No entanto, no Active Directory, os sites tm um
significado muito peculiar porque h uma classe de objeto especfica chamada site.
Um site do Active Directory um objeto que representa uma parte da empresa
onde a conectividade de rede boa. Um site cria um limite de replicao e
utilizao de servio.
Os controladores de domnio de um site replicam alteraes em questo de
segundos. As alteraes so replicadas entre os sites de forma controlada,
supondo-se que as conexes entre sites sejam lentas, caras ou no confiveis em
comparao com as conexes dentro de um site.
Alm disso, os clientes preferiro usar os servios distribudos fornecidos por

servidores de seus sites ou do site mais prximo. Por exemplo, quando um usurio
faz logon no domnio, primeiro o cliente do Windows tenta autentic-lo em um
controlador de domnio de seu site. Somente se no houver nenhum controlador
de domnio disponvel no site que o cliente tentar autenticar o usurio em um
controlador de domnio de outro site.
Leitura adicional
Os objetos de sub-rede e sites do Active Directory so discutidos no Mdulo 12.
rvore
Pontos principais
O namespace DNS (Sistema de Nomes de Domnio) dos domnios de uma floresta
cria rvores na floresta. Se um domnio um subdomnio de outro domnio, os
dois so considerados uma rvore. Por exemplo, se a floresta treyresearch.net
contm dois domnios, treyresearch.net e antarctica.treyresearch.net, esses
domnios constituem uma parte contgua do namespace DNS, portanto so uma
nica rvore. Por outro lado, se os dois domnios so treyresearch.net e
proseware.com, que no so contguos no namespace DNS, considera-se que a
floresta tem duas rvores. rvores so o resultado direto dos nomes DNS
escolhidos para os domnios da floresta.
O slide ilustra uma floresta do Active Directory da Trey Research, que mantm uma
pequena operao em uma estao de campo na Antrtida. Como a conexo da
Antrtida com a sede cara, lenta e no confivel, Antarctica est configurado
como um domnio parte. O nome DNS da floresta treyresearch.net. O domnio
Antarctica um domnio filho no namespace DNS, antarctica.treyresearch.net, por
isso considerado um domnio filho na rvore de domnio.
O domnio proseware.com, por no compartilhar um namespace DNS contguo,

outra rvore da mesma floresta.
Leitura adicional
Os conceitos e o design de uma floresta de vrios domnios so discutidos no
Mdulo 14.
Floresta
Pontos principais
Uma floresta uma coleo de um ou mais domnios do Active Directory. O
primeiro domnio instalado em uma floresta chama-se domnio raiz da floresta. Uma
floresta contm uma nica definio de configurao de rede e uma nica instncia
do esquema de diretrio. Em outras palavras, cada controlador de domnio de uma
floresta replica as parties Configurao e Esquema.
Uma floresta uma nica instncia do diretrio - nenhum dado replicado pelo
Active Directory fora dos limites da floresta. Portanto, a floresta define um limite de
replicao e de segurana.
Leitura adicional
Os conceitos e o design de uma floresta de vrios domnios so discutidos no
Mdulo 14.
O Catlogo Global
Pontos principais
Vrios componentes e tecnologias permitem consultar o Active Directory para
localizar objetos no armazenamento de dados. Uma partio do armazenamento
de dados chamada catlogo global (tambm conhecido como conjunto de atributos
parcial) contm informaes sobre cada objeto do diretrio. uma espcie de
ndice que pode ser utilizado para localizar objetos no diretrio. Ele
particularmente importante quando voc procura objetos em outro domnio de
uma floresta. Como os controladores de domnio do seu domnio no contero
informaes sobre objetos de outros domnios, voc deve contar com o catlogo
global, que possui o conjunto de atributos parcial indexado de todos os objetos de
outros domnios.
Leitura adicional
O catlogo global explorado com detalhes no Mdulo 12.
Nvel funcional
Pontos principais
A funcionalidade disponvel no domnio ou na floresta do Active Directory
depende do seu nvel funcional. O nvel funcional uma configurao do AD DS
que permite usar recursos avanados do AD DS no domnio inteiro ou na floresta
inteira. Existem trs nveis funcionais de domnio (Windows 2000 nativo,
Windows Server 2003 e Windows Server 2008) e dois nveis funcionais de floresta
(Windows Server 2003 e Windows Server 2008). medida que voc aumenta o
nvel funcional de um domnio ou de uma floresta, os recursos fornecidos pela
verso do Windows se tornam disponveis para o AD DS. Por exemplo, quando o
nvel funcional do domnio elevado para Windows Server 2008, torna-se
disponvel um novo atributo que revela a ltima vez em que o usurio fez logon
com xito em um computador, o computador em que o usurio fez logon pela
ltima vez e o nmero de tentativas de logon malsucedidas desde o ltimo logon.
O fato importante que voc precisa saber sobre nveis funcionais que eles
determinam as verses do Windows permitidas em controladores de domnio.
Para que voc possa elevar o nvel funcional de um domnio para Windows Server
2008, todos os controladores de domnio devem estar executando o Windows
Server 2008.
Leitura adicional
Os nveis funcionais so apresentados com detalhes no Mdulo 14.
Parties DNS e de aplicativo
Pontos principais
O Active Directory e o DNS tm uma relao muito prxima. Primeiro, existe uma
relao um-para-um entre um nome DNS e um domnio do Active Directory. Em
segundo lugar, h total confiana no DNS para localizar computadores e servios
no domnio. Em terceiro lugar, bastante comum configurar controladores de
domnio para que eles tambm funcionem como servidores DNS. Quando voc faz
isso, tem a opo de armazenar dados de DNS, chamados de zona, no prprio
Active Directory.
O armazenamento de dados do Active Directory tambm pode ser usado para dar
suporte a aplicativos e servios no diretamente relacionados ao AD DS. Dentro do
banco de dados, as parties de aplicativos podem armazenar dados para dar
suporte a aplicativos que exigem dados replicados. O servio DNS em um servidor
Windows Server 2008 pode armazenar suas informaes em um banco de dados
chamado zona integrada ao Active Directory, que mantido como uma partio de
aplicativo no AD DS e replicado usando servios de replicao do Active Directory.
Leitura adicional
O DNS abordado no Mdulo 10.
Relaes de confiana
Pontos principais
No incio deste mdulo, voc considerou a configurao padro autnoma de
"grupo de trabalho" do Windows Server. Em seguida, aprendeu que, quando uma
mquina ingressa em um domnio, a Autoridade de Segurana Local do sistema
comea a confiar no armazenamento de identidades e nos servios de autenticao
fornecidos pelo domnio. Isso permite que uma conta de usurio armazenada no
domnio seja autenticada e d acesso a recursos do servidor.
O mesmo conceito se estende a outros domnios. Um domnio pode autenticar
usurios de outro e permitir que esses usurios recebam acesso a recursos do
domnio. Isso feito ao se estabelecer uma relao de confiana entre domnios.
Em uma relao de confiana, o domnio de confiana estende seu realm de
confiana para que ele confie no armazenamento de identidades e nos servios de
autenticao do domnio. As contas de usurio no domnio de confiana podem
ser melhor autenticadas, e os SIDs das contas de usurio no domnio confivel
podem ser adicionados a ACLs no domnio de confiana.
Em uma floresta, um domnio confia no outro. Voc deve estabelecer relaes de
confiana manualmente entre os domnios de florestas diferentes.
Leitura adicional
As relaes de confiana so abordadas no Mdulo 14.
Lio 3
Instalao dos Servios de Domnio Active
Directory
Esta lio discute como instalar os Servios de Domnio Active Directory e

configurar um controlador de domnio.
Objetivos
Configurar um controlador de domnio com a funo do AD DS usando a
interface do Windows.
Instalao do Windows Server 2008
Pontos principais
A instalao do Windows Server 2008 um processo simples:
1. Insira o DVD de instalao do Windows Server 2008.
2. Ligue o sistema.
Se o disco rgido do sistema estiver vazio, o sistema inicializar a partir do
DVD. Se no houver informaes no disco, talvez voc tenha de pressionar
uma tecla para inicializar do DVD.
Caso o sistema no seja inicializado do DVD nem oferea um menu de
inicializao, v para as configuraes de BIOS da mquina e defina a ordem
de inicializao para assegurar que o sistema seja inicializado do DVD.
O assistente Instalar o Windows exibido, mostrando a seguinte captura de

tela:
3. Selecione o idioma, a configurao regional e o layout de teclado correto para

o sistema e clique em Avanar.
4. Clique em Instalar agora.

exibida uma lista de verses para instalao, conforme ilustrado na prxima
captura de tela. Se voc est usando um computador x64, sero exibidas as
verses x64 em vez das verses x86.
5. Selecione o sistema operacional apropriado e clique em Avanar.

6. Clique em Aceito os Termos da Licena e em Avanar.
7. Clique em Personalizada (Avanado).
8. Na pgina Onde Deseja Instalar o Windows?, selecione o disco em que voc
deseja instalar o Windows Server 2008.
Se precisar criar, excluir, estender ou formatar parties, ou se precisar
carregar um driver de armazenamento em massa personalizado para acessar o
subsistema do disco, clique em Opes Avanadas.
9. Clique em Avanar.
A caixa de dilogo Instalando o Windows exibida, mostrando a captura de
tela a seguir. A janela mantm voc informado sobre o andamento da
instalao do Windows.
A instalao do Windows Server 2008, como a do Windows Vista, baseada

em imagem. Por isso o processo consideravelmente mais rpido do que nas
verses anteriores do Windows, embora os sistemas operacionais
propriamente ditos sejam bem maiores do que as verses anteriores. O
computador ser reinicializado uma ou mais vezes durante a instalao.
Quando a instalao for concluda, voc ser informado de que a senha do
usurio deve ser alterada antes de fazer logon pela primeira vez.
10. Clique em OK.
11. Insira uma senha para a conta Administrador nas caixas Nova Senha e
Confirmar Senha e pressione ENTER.
A senha deve ter no mnimo sete caracteres e pelo menos trs destes quatro
tipos de caracteres:
Letras maisculas: AZ
Letras minsculas: az
Nmeros: 09
Caracteres no alfanumricos: smbolos como $, #, @ e !
12. Clique em OK.
Se voc selecionou a Instalao Completa, ser exibida a rea de trabalho da conta

Administrador. Se voc instalou um Ncleo do Servidor, aparecer um prompt de
comando.
Gerenciador de Servidores e configurao baseada em

funo do Windows Server 2008
Pontos principais
Para reduzir os custos de gerenciamento e a exposio a vulnerabilidades de
segurana, a instalao do Windows Server 2008 instala somente os principais
componentes do sistema operacional. No entanto, diferentemente das verses
anteriores do Windows, o resultado uma instalao mnima em vez de um
servidor multifuncional. Assim, aps a instalao do sistema operacional, voc
dever adicionar os componentes necessrios para o servidor com base na funo
que ele desempenhar na sua empresa. A funcionalidade do Windows Server 2008
adicionada na forma de funes e recursos. O console de Gerenciamento de
Servidor permite adicionar e remover funes. Ele tambm mostra os snap-ins
administrativos mais comuns com base na funo do servidor.
Preparao para criar uma nova floresta com o Windows

Server 2008
Pontos principais
Antes de instalar a funo AD DS em um servidor e promov-lo para atuar como
controlador de domnio, voc deve planejar a infraestrutura do Active Directory.
Entre as informaes necessrias para criar um controlador de domnio esto as
seguintes:
O nome e o nome DNS do domnio. Um domnio deve ter um nome DNS
exclusivo, como contoso.com, e um nome curto, como CONTOSO, chamado
nome NetBIOS. NetBIOS um protocolo de rede que tem sido usado desde as
primeiras verses do Windows NT e ainda utilizado por alguns aplicativos
herdados.
Se o domnio precisar dar suporte a controladores de domnio que executam
verses anteriores do Windows. Quando criar uma nova floresta do Active
Directory, voc ir configurar o nvel funcional. Se o domnio incluir somente
controladores de domnio do Windows Server 2008, voc poder definir o
nvel funcional adequadamente para aproveitar os recursos avanados
introduzidos por esta verso do Windows.
Detalhes de como o DNS ser implementado para dar suporte ao Active

Directory. uma prtica recomendada implementar o DNS para as zonas de
domnio do Windows usando o Servio DNS do Windows, conforme voc
aprender no Mdulo 9, mas possvel dar suporte a um domnio do
Windows com um servio DNS de terceiros.
A configurao de IP do controlador de domnio. Os controladores de domnio
exigem endereos IP estticos e valores de mscara de sub-rede. Alm disso, o
controlador de domnio deve ser configurado com um endereo de servidor
DNS com o qual executar a resoluo de nomes. Se voc estiver criando uma
nova floresta e for executar o Servio DNS do Windows no controlador de
domnio, poder configurar o endereo DNS para apontar para o endereo IP
do prprio servidor. Aps a instalao do DNS, o servidor poder ele mesmo
resolver os nomes DNS.
O nome de usurio e a senha de uma conta do grupo Administradores do
servidor. A conta deve ter uma senha, que no pode ficar em branco.
O local em que o armazenamento de dados (incluindo ntds.dit) e o volume do
sistema (SYSVOL) devem ser instalados. Por padro, esses armazenamentos
so criados em %systemroot%, por exemplo, c:\windows, nas pastas NTDS e
SYSVOL, respectivamente. Quando voc cria um controlador de domnio,
possvel redirecionar esses armazenamentos para outras unidades.
Leitura adicional
Esta lista abrange as configuraes que voc dever definir ao criar um
controlador de domnio. Existem vrias outras consideraes sobre a
implantao do AD DS em uma configurao de empresa. Para obter mais
informaes, consulte a Biblioteca Tcnica do Windows Server 2008, em
http://technet.microsoft.com/pt-br/library/cc706994(WS.10).aspx.
Instalao e configurao de um controlador de domnio
Pontos principais
Para instalar e configurar um controlador de domnio do Windows Server 2008,
primeiro necessrio instalar a funo do AD DS usando o Gerenciador de
Servidores. Fazendo isso, voc adiciona os arquivos e componentes do Registro
necessrios para que posteriormente o servidor se torne um controlador de
domnio. No entanto, adicionar a funo no configura nem habilita o servidor
como controlador de domnio. Essa etapa realizada com a execuo do Assistente
de Instalao dos Servios de Domnio Active Directory. O Assistente de Instalao
do AD DS, tambm chamado DCPromo, uma vez que pode ser iniciado atravs do
comando dcpromo.exe, orienta voc no processo de selecionar a configurao de
implantao, adicionar outros recursos de controlador de domnio, como a funo
DNS, especificar a localizao dos arquivos do Active Directory e configurar a
Senha do Administrador do Modo de Restaurao dos Servios de Diretrio, uma
senha que usada para restaurar o Active Directory de um backup, conforme voc
aprender no Mdulo 13.
Laboratrio: Instalao de um controlador de

domnio do AD DS para criar uma floresta de
um nico domnio
Cenrio
Voc foi contratado para melhorar o gerenciamento de identidades e acesso na
Contoso, Ltd. No momento, a empresa tem um servidor em uma configurao de
grupo de trabalho. Os funcionrios conectam-se ao servidor usando seus PCs
cliente. Com a previso de crescimento a curto prazo, voc recebeu a tarefa de
aprimorar o gerenciamento e a segurana dos recursos da empresa. Voc decidiu
implementar um domnio e uma floresta do AD DS promovendo o servidor a
controlador de domnio. Voc acabou de instalar o Windows Server 2008 usando
o DVD de instalao.
Exerccio 1: Executar tarefas de configurao ps-instalao

Neste exerccio, voc preparar o servidor executando tarefas de configurao
ps-instalao.
As principais tarefas desse exerccio so:
1. Preparar-se para o laboratrio.
2. Configurar a resoluo de vdeo.
3. Configurar o fuso horrio.
4. Alterar a configurao de IP.
5. Renomear o servidor HQDC01.
6. Reiniciar o servidor.
Tarefa 1: Preparar-se para o laboratrio

Inicie 10222A-HQDC01-D.
Faa logon com o nome de usurio Administrador e a senha Pa$$w0rd (onde
0 um zero).
Tarefa 2: Configurar a resoluo de vdeo

Configure a resoluo de vdeo como 1024 por 768.
Tarefa 3: Configurar o fuso horrio

Usando a janela Tarefas de Configurao Iniciais, altere o fuso horrio de
acordo com o seu local.
Tarefa 4: Alterar a configurao de IP

Usando a janela Tarefas de Configurao Iniciais, altere a configurao de IP
(IPv4) da seguinte maneira:
Endereo IP: 10.0.0.11
Mscara de Sub-rede: 255.255.255.0
Gateway Padro: 10.0.0.1
Servidor DNS Preferencial: 10.0.0.11
Tarefa 5: Renomear o servidor HQDC01

Usando a janela Tarefas de Configurao Iniciais, renomeie o servidor como
HQDC01. No reinicie o servidor.
Tarefa 6: Reiniciar o servidor

1. Na janela Tarefas de Configurao Iniciais, observe os links Adicionar funes
e Adicionar recursos.
No prximo exerccio, voc usar o Gerenciador de Servidores para adicionar
funes e recursos a HQDC01. Esses links so outra forma de executar as
mesmas tarefas.
Por padro, a janela Tarefas de Configurao Iniciais ser exibida sempre que
voc fizer logon no servidor.
2. Marque a caixa de seleo No mostrar esta janela no logon para que a janela
no seja exibida.
Caso precise abrir a janela Tarefas de Configurao Iniciais no futuro, basta
executar o comando Oobe.exe.
3. Clique no boto Fechar na parte inferior da janela.
O Gerenciador de Servidores ser exibido.
Com ele, voc pode configurar e administrar as funes e os recursos de um
servidor que executa o Windows Server 2008. Voc usar o Gerenciador de
Servidores no prximo exerccio.
Na parte inferior da janela do Gerenciador de Servidores, uma mensagem de
status informa que O console no pode ser atualizado at que o computador seja
reiniciado.
4. Clique no link Reiniciar ao lado da mensagem de status.

exibida a mensagem Deseja reiniciar agora?.
5. Clique em Sim.
O computador reiniciado.
Resultados: aps esse exerccio, voc ter um servidor chamado HQDC01 no fuso
horrio correto, com a resoluo de vdeo de pelo menos 1024 x 768 e a configurao
de IP especificada na Tarefa 4.
Exerccio 2: Instalar uma nova floresta do Windows Server

2008 com a interface do Windows
Agora que voc preparou o servidor com um nome e uma configurao de IP
apropriados, est pronto para configurar HQDC01 como controlador de domnio.
Neste exerccio, voc adicionar a funo do AD DS e criar a floresta e o domnio
promovendo HQDC01 a primeiro controlador de domnio da floresta
contoso.com.
1. Adicionar a funo Servios de Domnio Active Directory a HQDC01.
2. Configurar uma nova floresta do Windows Server 2008 chamada contoso.com
com HQDC01 como o primeiro controlador de domnio.
3. Examinar a configurao padro da floresta e do domnio contoso.com.
4. Desligar a mquina virtual.
Tarefa 1: Adicionar a funo Servios de Domnio Active Directory a

HQDC01
1. Faa logon em HQDC01 como Administrador com a senha Pa$$w0rd.
2. Usando o Gerenciador de Servidores, adicione a funo Servios de Domnio
Active Directory. Aceite todos os padres.
Tarefa 2: Configurar uma nova floresta do Windows Server 2008

chamada contoso.com com HQDC01 como o primeiro controlador de
domnio
1. No Gerenciador de Servidores, expanda o n Funes no painel de rvore e
selecione Servios de Domnio Active Directory.
2. Clique no link Execute o Assistente de Instalao dos Servios de Domnio
Active Directory (dcpromo.exe).
O Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
4. Na pgina Compatibilidade de Sistema Operacional, verifique o aviso sobre

as configuraes de segurana padro dos controladores de domnio do
Windows Server 2008 e clique em Avanar.
5. Na pgina Escolher uma Configurao de Implantao, selecione Criar um
novo domnio em uma nova floresta e clique em Avanar.
6. Na pgina Nomear o Domnio Raiz da Floresta, digite contoso.com e clique
em Avanar.
O sistema executa uma verificao para ter certeza de que os nomes DNS e
NetBIOS ainda no esto sendo usados na rede.
7. Na pgina Definir Nvel Funcional da Floresta, escolha Windows Server
2008 e clique em Avanar.
A pgina Opes Adicionais de Controlador de Domnio ser exibida.
Cada um dos nveis funcionais descrito na caixa Detalhes da pgina. Escolher
o nvel funcional de floresta do Windows Server 2008 assegura que todos os
domnios da floresta operem nesse nvel, o que permite que novos recursos
sejam fornecidos pelo Windows Server 2008.
Em um ambiente de produo, escolha o nvel funcional de floresta do
Windows Server 2008 quando for criar uma nova floresta se voc precisar dos
recursos fornecidos pelo nvel funcional de domnio do Windows Server 2008
e se no for adicionar controladores de domnio que estejam executando
sistemas operacionais anteriores ao Windows Server 2008.
Servidor DNS selecionado por padro. O Assistente de Instalao dos
Servios de Domnio Active Directory criar uma infraestrutura DNS durante a
instalao do AD DS.
O primeiro controlador de domnio de uma floresta deve ser um servidor de
catlogo global e no pode ser um RODC.
Um aviso de atribuio de IP esttico ser exibido.
Como o debate sobre o IPv6 est alm do escopo deste kit de treinamento,
voc no atribuiu um endereo IPv6 esttico para o servidor no Exerccio 2.
Voc atribuiu um endereo IPv4 esttico no Exerccio 1, e os demais
laboratrios deste curso usaro o IPv4. Portanto, ignore este erro no contexto
do exerccio.
9. Clique em Sim, o computador usar um endereo IP atribudo

dinamicamente (no recomendvel).
Ser exibido um aviso que informa que no possvel criar uma delegao
para o servidor DNS.
No contexto deste exerccio, voc pode ignorar este erro. As delegaes de
domnios DNS sero discutidas mais adiante neste curso.
10. Clique em Sim para fechar a mensagem de aviso do Assistente de Instalao
dos Servios de Domnio Active Directory.
11. Na pgina Local de Banco de Dados, Arquivos de Log e SYSVOL, aceite os
locais padro do arquivo de banco de dados, dos arquivos de log do servio de
diretrio e dos arquivos de SYSVOL e clique em Avanar.
A prtica recomendada em um ambiente de produo armazenar esses
arquivos em trs volumes separados que no contenham aplicativos ou outros
arquivos no relacionados ao AD DS. Esse design de prtica recomendada
melhora o desempenho e aumenta a eficincia de backup e restaurao.
12. Na pgina Senha do Administrador do Modo de Restaurao dos Servios
de Diretrio, digite Pa$$w0rd nas caixas Senha e Senha Confirmada. Clique
em Avanar.
Em um ambiente de produo, voc deve usar uma senha muito forte como a
Senha do Administrador do Modo de Restaurao dos Servios de Diretrio.
No esquea a senha atribuda ao Administrador do Modo de Restaurao dos
Servios de Diretrio.
13. Na pgina Resumo, examine suas selees.
Se alguma configurao estiver incorreta, clique em Voltar para fazer
modificaes.
A configurao do AD DS iniciada. Aps vrios minutos de configurao, ser
exibida a pgina Concluindo o Assistente de Instalao dos Servios de
Domnio Active Directory.
15. Clique em Concluir.
16. Clique em Reiniciar Agora.
O computador reiniciado.
17. Prossiga para a Tarefa 3 (opcional) ou v para a Tarefa 4.
Tarefa 3: Examinar a configurao padro da floresta e do domnio

contoso.com (OPCIONAL)
1. Faa logon em HQDC01 como Administrador com a senha Pa$$w0rd.
A rea de trabalho do Windows ser exibida e, aps alguns instantes, o
Gerenciador de Servidores ser aberto.
2. Expanda o n Funes no painel de rvore e expanda o n Servios de
Domnio Active Directory.
3. Expanda Usurios e Computadores do Active Directory e o n de domnio
contoso.com.
4. Na rvore, selecione o continer Usurios.
Os usurios e grupos que voc v esto disponveis para qualquer computador
do domnio. Por exemplo, por padro, a conta Administrador do domnio
pode ser usada para fazer logon em qualquer computador do domnio, e o
grupo Usurios do Domnio membro do grupo local Usurios em cada
computador do domnio.
5. Na rvore, selecione o continer Builtin.
Os grupos que voc v so compartilhados por controladores de domnio e
esto disponveis para eles, mas no para as estaes de trabalho ou os
servidores membro. Por exemplo, os membros do grupo Operadores de
Backup podem executar tarefas de backup e restaurao somente nos
controladores de domnio, e o grupo Administradores no continer Builtin
representa os administradores de todos os controladores de domnio.
6. Na rvore, selecione o continer Computadores.
Ele est vazio. Esse o continer padro de estaes de trabalho e servidores
membro.
7. Selecione a UO Domain Controllers na rvore.
Essa a UO em que so colocados os controladores de domnio. O objeto de
computador de HQDC01 ser exibido nessa UO.
Tarefa 4: Desligar a mquina virtual

1. Se voc ainda no estiver conectado a HQDC01, faa logon em HQDC01
como Administrador com a senha Pa$$w0rd.
2. Desligue HQDC01 e no salve nenhuma alterao feita durante este exerccio
de laboratrio.
Resultados: aps esse exerccio, voc ter uma floresta de um nico domnio
chamada contoso.com com um nico controlador de domnio chamado HQDC01.
Reviso do laboratrio
Aps este laboratrio, voc ter:
Executado tarefas posteriores instalao ao nomear um servidor como
HQDC01, configurar o fuso horrio correto, com a resoluo de vdeo de pelo
menos 1024 x 768 e especificar as informaes de endereo IP.
Configurado uma floresta de um nico domnio chamada contoso.com com
um nico controlador de domnio (HQDC01).
Lio 4
Extenso de IDA com Servios do Active
Directory
O AD DS no o nico componente de IDA suportado pelo Windows Server 2008.

Com o lanamento do Windows Server 2008, a Microsoft consolidou diversos
componentes anteriormente separados em uma plataforma de IDA integrada. O
prprio Active Directory agora vem com cinco tecnologias diferentes, cada uma
com uma funo especfica na extenso do Active Directory para suportar a
proteo de aplicativos, identidades e informaes.
Objetivos
Identificar as funes do AD DS, AD LDS, AD RMS, AD FS e AD CS e as
relaes entre eles.
AD LDS (Active Directory Lightweight Directory Services)
Pontos principais
Basicamente o AD LDS uma verso autnoma do Active Directory, acessada por
aplicativos que usam o protocolo LDAP.
O AD LDS o substituto do ADAM (Active Directory Application Mode) O nome
da verso anterior da ferramenta indica sua finalidade: o objetivo do AD LDS dar
suporte para aplicativos habilitados para diretrio. Ele pode ser usado para
aplicativos que exigem um armazenamento de identidades mas no precisam do
tipo de infraestrutura fornecida por um domnio do Active Directory.
Cada instncia do AD LDS pode ter sua prpria partio de esquema, configurao
e aplicativos. Isso permite criar um armazenamento de diretrios altamente
personalizado sem afetar a infraestrutura de IDA, baseada no AD DS. Embora o AD
LDS no seja dependente do AD DS, em um ambiente de domnio, ele pode usar a
autenticao AD DS das entidades de segurana do Windows (usurios,
computadores e grupos).
O AD LDS pode ser configurado em um ambiente autnomo ou de grupo de

trabalho, sendo at mesmo possvel executar vrias instncias em um nico
sistema, cada uma com suas prprias portas LDAP e SSL exclusivas.
Quando voc adiciona um aplicativo habilitado para diretrio ao ambiente,
particularmente um aplicativo que modificar o esquema, considere usar o AD LDS
como alternativa. Por ser um subconjunto da funcionalidade do AD DS (o AD LDS
inclui at mesmo a capacidade de replicao), a maioria dos aplicativos pode
trabalhar com ele. Com o AD LDS, voc tambm tem a opo de estender um
diretrio para lugares em que normalmente no desejaria colocar seus
controladores de domnio AD DS, para dar suporte a aplicativos que esto na DMZ
do firewall, por exemplo.
AD CS (Servios de Certificados do Active Directory)
Pontos principais
O AD CS estende o conceito de relao de confiana para que um usurio, um
computador, uma organizao ou um servio possa provar sua identidade fora ou
dentro da floresta do Active Directory.
Os certificados so emitidos por uma autoridade de certificao. Quando um
usurio, computador ou servio usa um certificado para provar sua identidade, o
cliente na transao deve confiar na autoridade de certificao emissora. Uma lista
de autoridades de certificao raiz confiveis, que inclui, por exemplo, VeriSign e
Thawte, mantida pelo Windows e atualizada como parte do Windows Update.
Se voc pensar na ltima vez que fez uma compra em um site de intranet, ir se
lembrar de que provavelmente o site usava SSL, com um endereo HTTPS://. O
servidor prova sua identidade para o cliente, seu navegador, representando um
certificado emitido por uma autoridade de certificao em que o navegador confia,
como VeriSign ou Thawte.
Uma PKI (infraestrutura de chave pblica) baseada em uma cadeia de confiana.

Uma autoridade de certificao pode criar um certificado para outra autoridade de
certificao. A segunda autoridade de certificao poder ento emitir certificados
para usurios, computadores, organizaes ou servios que sero confiveis para
qualquer cliente que confie na autoridade de certificao raiz upstream.
Os certificados podem ser usados para inmeras finalidades em uma rede
corporativa, incluindo a criao de canais seguros, como o exemplo de SSL
mencionado anteriormente, e para VPNs (redes virtuais privadas) e segurana em
ambientes sem fio, alm de autenticao, como logon com carto inteligente.
O AD CS d a voc as tecnologias e ferramentas necessrias para criar e gerenciar
uma PKI. Embora o AD CS possa ser executado em um servidor autnomo, bem
mais comum e avanado execut-lo integrado ao AD DS, que pode funcionar como
um armazenamento de certificados e fornecer uma estrutura na qual gerenciar a
vida til dos certificados: como eles so obtidos, renovados e revogados.
AD RMS (Active Directory Rights Management Services)
Pontos principais
O AD RMS cria uma estrutura com a qual voc pode assegurar a integridade das
informaes, dentro e fora da organizao.
Em um modelo tradicional de proteo das informaes, so usadas ACLs para
definir como ser o acesso s informaes. Por exemplo, um usurio pode receber
permisso de leitura em um documento. Entretanto, no h nada que o impea de
executar qualquer ao uma vez que o documento tenha sido aberto. O usurio
pode fazer alteraes no documento e salv-lo em qualquer lugar, pode imprimir o
documento, encaminh-lo por email a um usurio que, de outro modo, no teria
permisso para l-lo, e assim por diante.
O AD RMS atende a esses e a outros cenrios impondo diretivas de uso de
informao. Isso tudo feito usando licenas e criptografia para proteger as
informaes e tendo aplicativos habilitados para gerenciamento de direitos, que
podem consumir as licenas, criar diretivas de uso, abrir contedo protegido e
impor diretivas de uso.
O AD RMS um dos servios do Active Directory mais difceis de ser

implementado, pois tem dependncias do AD DS e de inmeras outras tecnologias,
como IIS, um banco de dados (o Microsoft SQL Server em produo ou o Banco
de Dados Interno do Windows para testes), aplicativos habilitados para
gerenciamento de direitos e do AD FS, se a proteo e o uso de informaes
tiverem de ser estendidos para alm da floresta do Active Directory.
AD FS (Servios de Federao do Active Directory)
Pontos principais
O AD FS permite que uma organizao estenda a autoridade do servio de
diretrio para autenticar usurios entre diferentes organizaes, plataformas e
ambientes de rede.
A tradicional relao de confiana entre domnios do Windows cria uma relao de
confiana em que o domnio de confiana permite que o domnio confivel
autentique usurios, mas o resultado que todos os usurios do domnio confivel
so confiveis. Alm disso, para manter uma relao de confiana, devem ser
criadas vrias excees que no so agradveis para muitas organizaes, e
certamente no servem para dar suporte a aplicativos baseados na Web.
O AD FS projeta identidades autenticadas do servio de diretrio do AD DS (ou AD

LDS) usando um modelo de servios Web que tem vrios efeitos muito
importantes.
Compatibilidade entre plataformas. O modelo de servios Web permite que
aplicativos no baseados no Windows utilizem a identidade de um usurio em
um diretrio confivel.
Baseado na Internet. Como as transaes com o AD FS so realizadas via
porta 443, que segura e criptografada, bem mais fcil dar suporte a
aplicativos habilitados para diretrio hospedados na rede de permetro.
Com base em regras. O ambiente de confiana tem a capacidade de
especificar quais identidades so confiveis.
O AD FS extremamente til para estender a autoridade de um diretrio em

cenrios B2B e de parceria, bem como para dar suporte a aplicativos Web de logon
nico.
Administrao segura e eficiente do Active Directory 2-1
Mdulo 2
Administrao segura e eficiente do Active
Directory
Sumrio:
Lio 1: Trabalho com snap-ins do Active Directory 2-4
Lio 2: Consoles personalizados e privilgio mnimo 2-14
Laboratrio A: Criao e execuo de um console administrativo
personalizado 2-25
Lio 3: Localizao de objetos no Active Directory 2-36
Laboratrio B: Localizao de objetos no Active Directory 2-53
Lio 4: Uso de comandos DS para administrar o Active Directory 2-62
Laboratrio C: Uso de comandos DS para administrar o Active Directory 2-81
Viso geral do mdulo
A maioria dos administradores tm a primeira experincia com o Active Directory

abrindo Usurios e Computadores do Active Directory e criando objetos de
usurio, computador ou grupo nas UOs (unidades organizacionais) de um
domnio. Infelizmente, muitos administradores nunca reservam um tempo para
melhorar suas habilidades com as ferramentas administrativas do Active Directory.
Independentemente de ser um administrador novo ou um veterano com
experincia, voc precisa trabalhar com segurana e eficincia. Por isso, este
mdulo tambm compartilhar os segredos da administrao eficiente, que muitas
vezes so aprendidos somente depois de meses ou anos de experincia.
Objetivos
Ao concluir este mdulo, voc ser capaz de:
Instalar, localizar e descrever os snap-ins usados para administrar o AD DS.
Criar um console do MMC personalizado para administrao.
Executar tarefas administrativas enquanto estiver conectado como usurio.

Controlar a exibio de objetos no snap-in Usurios e Computadores do Active
Directory.
Identificar o DN (nome distinto), o RDN (nome distinto relativo) e o CN
Usar os comandos DS para administrar o Active Directory da linha de
comando.
Lio 1
Trabalho com snap-ins do Active Directory
As ferramentas administrativas do Active Directory, ou snap-ins, expem a

funcionalidade de que voc precisa para dar suporte ao servio de diretrio. Nesta
lio, voc identificar e localizar os snap-ins mais importantes do Active
Directory.
Objetivos
Identificar os snap-ins no Gerenciador de Servidores e os consoles nativos
usados para administrar o AD DS.
Instalar as Ferramentas de Administrao de Servidor Remoto (RSAT).
O console do MMC
Pontos principais
As ferramentas administrativas do Windows compartilham uma estrutura em
comum chamada MMC (Console de Gerenciamento Microsoft). O MMC exibe as
ferramentas administrativas, chamadas snap-ins, em uma janela personalizvel com
um painel esquerdo que mostra a rvore de console (semelhante rvore do
Windows Explorer) e um painel central que exibe os detalhes. Um painel Aes,
direita, expe os comandos, chamados de aes no MMC.
O slide acima mostra os principais componentes do MMC:
A rvore de console. O painel esquerdo que exibe a rvore de console,
tambm chamado de painel de escopo
O boto Mostrar/Ocultar rvore de Console. Ativa e desativa o painel da
rvore de console
Snap-ins. Ferramentas que fornecem funcionalidade administrativa
O painel de detalhes. Exibe os detalhes do escopo selecionado na rvore de
console
O painel Aes. Exibe comandos que podem ser executados no escopo

selecionado na rvore de console ou no(s) item(ns) selecionado(s) no painel
de detalhes
O menu Ao. Tambm exibe comandos que podem ser executados no
escopo ou nos itens selecionados
O menu de contexto (no mostrado). Aparece quando voc clica com o
boto direito do mouse em um item do painel de escopo ou de detalhes; um
terceiro local de onde possvel iniciar aes
O boto Mostrar/Ocultar Painel de Aes. Ativa e desativa o painel Aes
Pergunta: Que consoles administrativos voc usa que tem um snap-in?
Pergunta: Que consoles administrativos voc usa que possuem mais de um snap-in?
Leitura adicional
Console de Gerenciamento Microsoft 3.0:
http://technet.microsoft.com/pt-br/library/cc709659.aspx
Snap-ins de administrao do Active Directory
Pontos principais
A maior parte da administrao do Active Directory feita com os seguintes snap-
ins e consoles:
Usurios e Computadores do Active Directory. Este snap-in gerencia os
recursos mais comuns do dia a dia, como usurios, grupos, computadores,
impressoras e pastas compartilhadas. Provavelmente o snap-in mais utilizado
por administradores do Active Directory.
Sites e Servios do Active Directory. Gerencia replicao, topologia de rede e
servios relacionados.
Domnios e Relaes de Confiana do Active Directory. Configura e mantm
relaes de confiana e o nvel funcional do domnio e da floresta.
Esquema do Active Directory. Este esquema examina e modifica a definio
de atributos e classes de objeto do Active Directory. Trata-se do "plano grfico"
do Active Directory. visto raras vezes e ainda mais raramente alterado. Por
isso, o snap-in Esquema do Active Directory no est instalado por padro.
Leitura adicional
Servios de Domnio Active Directory (em ingls):
http://technet.microsoft.com/en-us/library/cc753910.aspx
Gerenciando o Active Directory do MMC:
Instalar o snap-in Esquema do Active Directory:
Localizao de snap-ins do Active Directory
Pontos principais
Os snap-ins e consoles do Active Directory so instalados quando voc adiciona a
funo do AD DS a um servidor. Duas ferramentas administrativas bastante usadas
do Active Directory so adicionadas ao Gerenciador de Servidores quando voc
instala a funo do AD DS: os snap-ins Usurios e Computadores do Active
Directory e Sites e Servios do Active Directory.
Para administrar o Active Directory de um sistema que no um controlador de
domnio, voc deve instalar as RSAT. RSAT um recurso que pode ser instalado do
n Recursos do Gerenciador de Servidores no Windows Server 2008.
Tambm possvel instalar RSAT em clientes Windows, como Windows Vista
Service Pack 1 (ou posterior) e Windows 7. Voc s precisa baixar os arquivos de
instalao das RSAT, que esto disponveis em www.microsoft.com/downloads. O
Assistente de Instalao orientar voc no processo de instalao. Depois de
instalar as RSAT, ative tambm as ferramentas que voc deseja que fiquem visveis.
Para fazer isso, use o comando Ativar ou Desativar Recursos do Windows, no
aplicativo Programas e Recursos do Painel de Controle.
Uma vez instalados e ativados, todos os consoles administrativos do Active

Directory podem ser encontrados na pasta Ferramentas Administrativas, localizada
no Painel de Controle. Na exibio clssica do Painel de Controle, voc ver a pasta
Ferramentas Administrativas. Na exibio Pgina Inicial do Painel de Controle, as
ferramentas administrativas esto disponveis em Sistema e Manuteno.
Leitura adicional
Pacote de Ferramentas de Administrao de Servidor Remoto:
Demonstrao: Administrao bsica com Usurios e

Computadores do Active Directory
Pontos principais
Exibio de objetos
O snap-in Usurios e Computadores do Active Directory exibe os objetos
existentes no continer (domnio, unidade organizacional ou continer)
selecionado na rvore de console.
Atualizao da exibio
A exibio no atualizada automaticamente. Para ver as alteraes mais recentes
feitas na exibio de objetos, selecione o continer na rvore de console e clique no
boto Atualizar da barra de ferramentas do snap-in ou pressione F5.
Voc deve selecionar o continer na rvore de console antes de clicar em Atualizar
(ou de pressionar F5) clicar em uma rea vazia do painel de detalhes no
suficiente. Esta uma peculiaridade do snap-in Usurios e Computadores do
Active Directory.
Criao de objetos
Para criar um objeto em Usurios e Computadores do Active Directory, clique com
o boto direito do mouse no domnio, em um continer (como Usurios ou
Computadores) ou em uma unidade organizacional. Em seguida, aponte para
Novo e clique no tipo de objeto que voc deseja criar.
Quando cria um objeto, voc solicitado a configurar algumas de suas
propriedades mais bsicas, como as propriedades consideradas necessrias para o
tipo de objeto em questo.
Configurao de atributos do objeto
Depois que um objeto criado, voc pode acessar suas propriedades. Clique com o
boto direito do mouse no objeto e clique em Propriedades.
A caixa de dilogo Propriedades que exibida mostra muitas das propriedades
mais comuns do objeto. As propriedades so agrupadas em guias, que facilitam a
localizao de uma propriedade especfica.
Voc pode configurar tantas propriedades quantas quiser, em quantas guias quiser,
e clicar em Aplicar ou OK para salvar todas as alteraes. A diferena entre Aplicar
e OK que o boto OK fecha a caixa de dilogo Propriedades, enquanto Aplicar
salva as alteraes e mantm a caixa de dilogo aberta para que voc possa fazer
outras alteraes.
Exibio de todos os atributos do objeto
Um objeto de usurio tem ainda mais propriedades do que as que podem ser
vistas na caixa de dilogo Propriedades. Algumas das propriedades ditas ocultas
podem ser bastante teis para a sua empresa. Para exibir esses atributos de usurio
"ocultos", voc deve ativar o Editor de Atributos, um novo recurso do Windows
Server 2008.
Para ativar o Editor de Atributos no snap-in Usurios e Computadores do Active
Directory:
Clique no menu Exibir e selecione a opo Recursos avanados.
Para abrir o Editor de Atributos para um objeto especfico do Active Directory:

1. Clique com o boto direito do mouse no objeto e clique em Propriedades.
2. Clique na guia Editor de Atributos.
A guia Editor de Atributos da caixa de dilogo Propriedades ser exibida:
Como podemos ver na captura de tela acima, alguns atributos de um objeto de

usurio podem ser muito teis, incluindo diviso, employeeID, employeeNumber e
employeeType. Apesar de os atributos no serem mostrados nas guias padro de
um objeto de usurio, agora eles esto disponveis atravs do Editor de Atributos.
Para alterar o valor de um atributo, clique duas vezes no valor.
Os atributos tambm podem ser acessados por programao com o Windows
PowerShell, Windows Visual Basic Scripting Edition ou Microsoft .NET
Framework.
Lio 2
Consoles personalizados e privilgios mnimos
Nesta lio, voc ir alm da pasta Ferramentas Administrativas para trabalhar com
mais segurana e eficincia. Voc aprender a criar consoles administrativos
personalizados e a trabalhar em um ambiente com privilgios mnimos, ao qual se
conecta como usurio no administrativo, mas realiza tarefas administrativas como
administrador.
Objetivos
Criar um console do MMC personalizado para administrao.
Executar tarefas administrativas enquanto estiver conectado como usurio.
Demonstrao: Criao de um console do MMC

personalizado para administrar o Active Directory
Pontos principais
mais fcil administrar o Windows quando as ferramentas de que voc precisa
esto em um nico lugar e podem ser personalizadas de acordo com as suas
necessidades. Isso feito criando-se um console administrativo MMC
personalizado contendo os snap-ins necessrios para as tarefas administrativas. Ao
criar um console do MMC personalizado, voc pode:
Adicionar vrios snap-ins para no precisar alternar entre consoles a fim de
executar suas tarefas de trabalho; dessa forma, voc s precisa iniciar um
console para executar qualquer tarefa administrativa.
Salvar o console para us-lo regularmente.
Distribuir o console para outros administradores.
Salvar o console, e outros consoles, em um local compartilhado para fins de
administrao personalizada unificada.
Para criar um console do MMC personalizado:

1. Clique em Iniciar. Na caixa Iniciar Pesquisa, digite mmc.exe e pressione
ENTER.
2. Clique no menu Arquivo e clique em Adicionar/Remover Snap-ins.
A caixa de dilogo Adicionar/Remover Snap-ins permite adicionar, remover,

reordenar e gerenciar os snap-ins do console.
Depois que voc instala as RSAT, todos os quatro snap-ins de gerenciamento do
Active Directory so instalados, mas o snap-in Esquema do Active Directory no
ser exibido na caixa de dilogo Adicionar/Remover Snap-ins at voc registr-lo.
Para registrar Esquema do Active Directory:
1. Abra um prompt de comando; para isso, clique em Iniciar, digite cmd.exe e
pressione ENTER.
2. Digite regsvr32.exe schmmgmt.dll e pressione ENTER.
Pergunta: Voc j criou um console do MMC personalizado?
Pergunta: Quais snap-ins voc achou teis?
Pergunta: Por que voc criou o seu prprio console?
Leitura adicional
Adicionar, remover e reorganizar snap-ins e extenses no MMC 3.0:
Administrao segura com privilgios mnimos,

Executar como Administrador e Controle de Conta de
Usurio
Pontos principais
Muitos administradores fazem logon no computador usando suas contas
administrativas. Esta prtica perigosa porque uma conta administrativa tem mais
privilgios e acesso a mais recursos da rede do que uma conta de usurio padro.
Por isso, malwares iniciados com credenciais administrativas podem causar danos
considerveis.
Para evitar esse problema, no faa logon como administrador. Em vez disso,
conecte-se como usurio padro e use o recurso Executar como Administrador
para iniciar ferramentas administrativas no contexto de segurana de uma conta
administrativa.
1. Clique com o boto direito do mouse no atalho de um executvel, de um
miniaplicativo do Painel de Controle ou de um console do MMC que voc
deseja iniciar e clique em Executar como administrador. Se voc no vir o
comando, tente manter a tecla SHIFT pressionada enquanto clica com o boto
direito do mouse.
Ser exibida a caixa de dilogo Controle de Conta de Usurio (UAC), que

solicita credenciais administrativas.
2. Clique em Usar outra conta.
3. Insira o nome de usurio e a senha da conta administrativa.
4. Clique em OK.
Dica: se voc for executar um aplicativo regularmente como administrador, dever criar
um novo atalho que pr-configure Executar como Administrador. Crie um atalho e abra
a caixa de dilogo Propriedades do atalho. Clique no boto Avanado e selecione
Executar como Administrador. Quando voc iniciar o atalho, a caixa de dilogo UAC ser
exibida.
Leitura adicional
Usando Executar como:
Demonstrao: Administrao segura com Controle de

Conta de Usurio e Executar como Administrador
Pontos principais
Quando voc inicia um processo como administrador, a conta administrativa pode
no ter acesso aos mesmos locais que sua conta de usurio. Por isso,
recomendvel salvar os consoles personalizados em um local que possa ser
acessado pelas suas contas de usurio e de administrador.
Para executar como administrador:
1. Clique com o boto direito do mouse no atalho de um executvel, de um
miniaplicativo do Painel de Controle ou de um console do MMC que voc
deseja iniciar e clique em Executar como administrador. Se voc no vir o
comando, tente manter a tecla SHIFT pressionada enquanto clica com o boto
direito do mouse.
Ser exibida a caixa de dilogo Controle de Conta de Usurio, que solicita
credenciais administrativas.
3. Insira o nome de usurio e a senha da conta administrativa.

4. Clique em OK.
Leitura adicional
Usando Executar como:
Demonstrao: "Superconsoles"
Pontos principais
possvel estender seu console do MMC administrativo personalizado para
executar tarefas de administrao usando credenciais privilegiadas, que, de outro
modo, so difceis ou impossveis de obter.
Cenrio 1: Voc precisa dar suporte a uma pasta compartilhada (para atribuir
permisses, etc.). Sua conta administrativa (secundria) tem amplas permisses de
administrao em pastas compartilhadas. Sua conta padro (logon interativo) no
tem.
possvel mapear uma unidade de rede usando credenciais alternativas, mas o
Windows no deixa voc fazer isso se estiver conectado ao mesmo servidor com as
credenciais padro. O Windows Explorer no aceita vrias conexes com o mesmo
servidor usando credenciais diferentes. Entretanto, no console do MMC, o controle
ActiveX exposto pelo snap-in Link para Endereo da Web se conectar usando as
credenciais do prprio console.
Para criar uma exibio de uma pasta compartilhada:

1. Clique no menu Arquivo e clique em Adicionar/Remover Snap-in.
2. Na lista Snap-ins Disponveis, clique em Link para Endereo da Web e
clique no boto Adicionar.
O Assistente para Vinculao de Endereos da Web ser exibido.
3. Em Caminho ou URL, digite o caminho UNC (conveno universal de
nomenclatura) da pasta compartilhada (por exemplo,
\\NomedoServidor\NomedoCompartilhamento) e clique em Avanar.
4. Digite um nome amigvel para o snap-in. Esse nome ser exibido na rvore de
console. Clique em Concluir.
5. Clique em OK.
Para usar o snap-in, o servidor desejado deve estar na zona de segurana Intranet
Local ou Sites Confiveis do Internet Explorer. Isso deve ser configurado para as
credenciais administrativas, pois so elas que so utilizadas pelo processo mmc.exe
e pelo snap-in.
1. Faa logon no computador usando suas credenciais administrativas.
2. Clique no boto Iniciar e em Painel de Controle.
3. Clique duas vezes em Opes da Internet.
4. Clique na guia Segurana.
5. Clique em Intranet local ou em Sites confiveis.
6. Clique no boto Sites.
7. Digite \\NomedoServidor, clique no boto Adicionar e, depois, em OK.
H muitos comandos e aplicativos que um administrador precisa executar que no

so snap-ins do MMC. Pode ser cansativo iniciar cada comando ou aplicativo com
credenciais privilegiadas. Para reduzir a carga de administrao com privilgios
mnimos, possvel adicionar esses comandos e aplicativos ao console do MMC.
Como o console do MMC executado com credenciais administrativas, qualquer
comando do shell executado no console herdar as credenciais administrativas
automaticamente.
Para criar um "Painel Inicial para Administradores" do qual voc possa abrir outras
ferramentas:
1. Clique no menu Arquivo e clique em Adicionar/Remover Snap-in.
2. Na lista Snap-ins Disponveis, clique em Pasta, clique no boto Adicionar e
em OK.
3. Na rvore de console, clique com o boto direito do mouse no n Pasta que
voc acabou de adicionar e clique em Renomear.
4. Digite um nome (por exemplo, Painel Inicial para Administradores e
pressione ENTER.
5. Clique na pasta com o boto direito do mouse e selecione Nova Exibio do
Painel de Tarefas.
O Assistente para Exibir Novo Painel de Tarefas ser exibido.
7. Na pgina Estilo do Painel de Tarefas, clique em Sem Lista e em Avanar.
8. Na pgina Reutilizao do painel de tarefas, clique em Item da rvore
selecionado e em Avanar.
9. Na pgina Nome e Descrio, aceite o nome padro e clique em Avanar.
10. Desmarque a caixa de seleo Adicionar novas tarefas a este painel de
tarefas aps fechar o assistente e clique em Concluir.
Para adicionar aplicativos e comandos ao painel inicial administrativo:

1. Clique com o boto direito do mouse no painel e clique em Editar modo de
exibio do painel de tarefas.
2. Clique na guia Tarefas.
3. Clique no boto Nova.
O Assistente de Nova Tarefa ser exibido.
5. Na pgina Tipo de Comando, clique em Comando do shell e em Avanar.
6. Na pgina Linha de Comando, insira os dados solicitados e clique em

Avanar.
Por exemplo, para iniciar o Prompt de Comando, digite cmd.exe em
Comando.
Se o comando no estiver no caminho do sistema (por exemplo, a pasta
System32), digite o caminho completo do comando.
7. Digite um nome de tarefa e clique em Avanar.
8. Selecione um cone de Tarefa e clique em Avanar.
Escolha um cone personalizado. As seguintes fontes podem ter cones teis: o
prprio executvel do comando, %systemroot%\system32\shell32.dll, e
%systemroot%\System32\Imageres.dll.
Por exemplo, use %systemroot%\system32\cmd.exe como fonte do cone do
Prompt de Comando.
10. Clique em Concluir e em OK.
Laboratrio A: Criao e execuo de um

console administrativo personalizado
Cenrio
Neste exerccio, voc Pat Coleman, administrador do Active Directory na
Contoso, Ltd. Voc responsvel por vrias tarefas de suporte do Active Directory
e sempre precisa abrir diversos consoles da pasta Ferramentas Administrativas, no
Painel de Controle. Voc decidiu criar um nico console que contenha todos os
snap-ins de que precisa para trabalhar. Alm disso, a poltica de segurana de TI da
Contoso est mudando, e voc no poder mais fazer logon em um sistema
usando credenciais com privilgios administrativos, exceto em casos de
emergncia. Em vez disso, voc dever fazer logon usando credenciais sem
privilgios.
Exerccio 1: Executar tarefas administrativas bsicas usando

o snap-in Usurios e Computadores do Active Directory
Neste exerccio, voc executar tarefas administrativas bsicas no snap-in Usurios
e Computadores do Active Directory.
2. Exibir objetos.
3. Atualizar a exibio.
4. Criar objetos.
5. Configurar atributos de objeto.
6. Exibir todos os atributos de um objeto.

1. Inicie 10222A-HQDC01-A.
2. Faa logon em HQDC01 como Pat.Coleman_Admin com a senha Pa$$w0rd.
Pat.Coleman_Admin membro de Administradores do Domnio.
O Gerenciador de Servidores aberto automaticamente.
3. Feche o Gerenciador de Servidores.
4. Abra D:\Labfiles\Lab02a.
5. Clique com o boto direito do mouse em Lab02a_Setup.bat e clique em
Executar como administrador.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
6. Clique em Continuar.
7. O script de instalao do laboratrio executado. Quando a execuo for
concluda, pressione qualquer tecla para continuar.
8. Feche a janela do Windows Explorer, Lab02a.
Tarefa 2: Exibir objetos

1. Abra Usurios e Computadores do Active Directory na pasta Ferramentas
Administrativas.
2. Examine os objetos da UO Funcionrios dentro da UO Contas de Usurio.
Tarefa 3: Atualizar a exibio

Atualize a exibio da UO Funcionrios.
Tarefa 4: Criar objetos

Crie uma nova UO na raiz do domnio chamado 10222A.
Tarefa 5: Configurar atributos de objeto

1. Abra as propriedades do objeto de usurio Pat Coleman na UO Funcionrios.
2. Altere o atributo Escritrio na guia Geral para Redmond.
Tarefa 6: Exibir todos os atributos de um objeto

1. Confirme que a guia Editor de Atributos no est visvel na caixa de dilogo
Propriedades de Pat Coleman e que no h controle de entrada para a
propriedade diviso em nenhuma das guias.
2. Ative a exibio de Recursos avanados para o snap-in Usurios e
3. Exiba o Editor de Atributos de Pat Coleman.
4. Altere o atributo diviso de Pat Coleman para 10222A.
5. Feche Usurios e Computadores do Active Directory.
Resultados: aps esse exerccio, voc ter experimentado os conceitos bsicos de

administrao usando o snap-in Usurios e Computadores do Active Directory.
Exerccio 2: Criar um console administrativo personalizado

do Active Directory
Neste exerccio, voc criar um console administrativo personalizado contendo
todos os snap-ins de que precisa para fazer seu trabalho.
1. Criar um console do MMC personalizado com o snap-in Usurios e
2. Adicionar outros snap-ins do Active Directory ao console.
3. Adicionar o snap-in Esquema do Active Directory a um console do MMC
personalizado.
4. Gerenciar snap-ins em um console do MMC personalizado (opcional).
Tarefa 1: Criar um console do MMC personalizado com o snap-in

Usurios e Computadores do Active Directory
1. Inicie e maximize o console do MMC vazio.
2. Adicione o snap-in Usurios e Computadores do Active Directory.
3. Salve o console. Crie uma nova pasta chamada C:\AdminTools e salve o
console nela como MyConsole.msc.
Tarefa 2: Adicionar outros snap-ins do Active Directory ao console

1. Adicione ao console a lista de snap-ins Sites e Servios do Active Directory e
Domnios e Relaes de Confiana do Active Directory.
2. Renomeie a raiz do console como Ferramentas Administrativas do Active
Directory.
3. Salve o console.
Tarefa 3: Adicionar o snap-in Esquema do Active Directory a um

console do MMC personalizado
1. Confirme que o Esquema do Active Directory no est listado como um
snap-in disponvel na caixa de dilogo Adicionar ou Remover Snap-ins.
O snap-in Esquema do Active Directory instalado com a funo Servios de
Domnio Active Directory e com as RSAT, mas no registrado, por isso no
aparece.
2. No menu Iniciar, clique com o boto direito do mouse em Prompt de
Comando e clique em Executar como administrador.
3. No prompt de comando, digite o comando regsvr32.exe schmmgmt.dll.
Esse comando registra a DLL (biblioteca de vnculo dinmico) do snap-in
Esquema do Active Directory. Isso deve ser feito uma vez no sistema para que
voc possa adicionar o snap-in a um console.
4. Feche a janela Prompt de comando.
5. Adicione o snap-in Esquema do Active Directory ao console.
6. Salve o console.
Tarefa 4: (Opcional): Gerenciar snap-ins em um console do MMC

personalizado
Abra a caixa de dilogo Adicionar ou Remover Snap-ins e use os botes
Mover para Cima, Mover para Baixo e Remover para reorganizar o console.
Para os prximos Laboratrios, voc precisar do console na condio em que
ele estava ao final da Tarefa 3, por isso no salve o console alterado. Em vez
disso, feche o console sem salvar as alteraes.
Resultados: aps esse exerccio, voc ter um console do MMC personalizado com os
snap-ins Usurios e Computadores do Active Directory, Sites e Servios do Active
Directory, Domnios e Relaes de Confiana do Active Directory e Esquema do Active
Directory.
Exerccio 3: Executar tarefas administrativas com privilgios

mnimos, Executar como Administrador e Controle de
Conta de Usurio
Neste exerccio, voc executar tarefas administrativas enquanto estiver conectado
com credenciais de usurio padro.
1. Fazer logon com credenciais que no tm privilgios administrativos.
2. Executar o Gerenciador de Servidores como administrador.
3. Examinar as credenciais usadas por processos em execuo.
4. Executar o prompt de comando como administrador.
5. Executar Ferramentas Administrativas como administrador.
6. Executar um console administrativo personalizado como administrador.
Tarefa 1: Fazer logon com credenciais que no tm privilgios

administrativos
1. Saia de HQDC01.
2. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd.
Pat.Coleman membro de Usurios do Domnio e no tem privilgios
administrativos.
Tarefa 2: Executar o Gerenciador de Servidores como administrador

1. Clique no cone Gerenciador de Servidores em Incio Rpido, ao lado do
boto Iniciar.
A caixa de dilogo Controle de Conta de Usurio ser exibida.
Como a sua conta de usurio no membro de Administradores, a caixa de
dilogo pede para voc inserir credenciais administrativas: um nome de
usurio e uma senha.
Se voc no vir as caixas Nome de usurio e Senha, certifique-se de que est
conectado como Pat.Coleman e no como Pat.Coleman_Admin.
2. Na caixa Nome de usurio, digite Pat.Coleman_Admin.
3. Na caixa Senha, digite Pa$$w0rd e pressione ENTER.
O Gerenciador de Servidores aberto.
Tarefa 3: Examinar as credenciais usadas por processos em execuo

1. Clique com o boto direito do mouse na barra de tarefas e clique em
Gerenciador de Tarefas.
2. Clique na guia Processos.
3. Clique em Mostrar processos de todos os usurios e, na caixa de dilogo
Controle de Conta de Usurio, autentique-se como Pat.Coleman_Admin
com a senha Pa$$w0rd
O Gerenciador de Tarefas pode ser executado sem credenciais administrativas,
mas exibir somente os processos executados com a conta de usurio atual.
Por isso, a caixa de dilogo Controle de Conta de Usurio tem uma opo que
permite autenticar usando as mesmas credenciais que voc usou para se
conectar: Pat.Coleman.
4. Clique na guia Processos e classifique por Nome de usurio.
5. Localize os processos que esto sendo executados como Pat.Coleman e
Pat.Coleman_Admin.
Pergunta: Que processos esto sendo executados como Pat.Coleman_Admin? Que

aplicativos os processos representam?
Tarefa 4: Executar o prompt de comando como administrador

1. Clique em Iniciar, clique com o boto direito do mouse em Prompt de
Comando e clique em Executar como administrador.
2. Na caixa de dilogo Controle de Conta de Usurio, autentique-se como
Pat.Coleman_Admin com a senha Pa$$w0rd.
A janela Administrador: Prompt de Comando ser exibida.
3. Feche a janela do prompt de comando.
4. Clique em Iniciar e, na caixa Iniciar Pesquisa, digite cmd.exe e pressione
CTRL+SHIFT+ENTER.
Na caixa Iniciar Pesquisa, o atalho de teclado CTRL+SHIFT+ENTER executa o
comando especificado como administrador.
A janela Administrador: Prompt de Comando ser exibida.
Tarefa 5: Executar ferramentas administrativas como administrador

1. Clique no cone Mostrar rea de Trabalho em Incio Rpido, ao lado do
boto Iniciar.
2. Clique em Iniciar, aponte para Ferramentas Administrativas, clique com o
boto direito do mouse em Usurios e Computadores do Active Directory e
clique em Executar como administrador.
Tarefa 6: Executar um console administrativo personalizado como

administrador
Voc est comeando a perceber que pode ficar cansativo executar como
administrador cada ferramenta administrativa de que precisa. Uma das vantagens
de um console administrativo personalizado, com vrios snap-ins, que voc pode
inici-lo com um nico comando Executar como Administrador.
1. Feche todas as janelas abertas na rea de trabalho.
2. Execute C:\AdminTools\MyConsole com credenciais administrativas. Na
caixa de dilogo Controle de Conta de Usurio, autentique-se como
3. Saia de HQDC01. No desligue nem reinicie a mquina virtual.
Resultados: aps esse exerccio, voc ter aprendido que ter um nico console
administrativo personalizado ajuda a trabalhar com segurana. Voc pode fazer logon
no computador com credenciais de usurio (no administrativas) e executar esse
console como administrador.
Exerccio 4 (Avanado opcional): Personalizao avanada

do MMC e administrao remota
Os exerccios Avanados opcionais apresentam desafios adicionais para os alunos
que terminam os exerccios de laboratrio rapidamente. No h respostas nas
Respostas do laboratrio.
1. Iniciar SERVER01-A.
2. Iniciar DESKTOP101-A.
3. Usar os procedimentos descritos nesta lio para personalizar ainda mais o
console do MMC (C:\AdminTools\MyConsole.msc). Adicionar um snap-in
que d acesso administrativo ao compartilhamento Data em SERVER01
(\\SERVER01\Data).
4. Usando os procedimentos descritos nesta lio, criar um Painel Inicial para
Administradores com uma tarefa que abra o Prompt de Comando.
5. Adicionar uma tarefa ao Painel Inicial para Administradores que permita
desligar um computador remotamente. No h procedimentos listados para
esta tarefa: voc est por sua prpria conta! Dica: Shutdown.exe.
6. Copiar o console para D:\AdminTools. A pasta D:\AdminTools est
compartilhada como \\HQDC01\AdminTools.
7. Fazer logon em DESKTOP101 como Pat.Coleman usando a senha Pa$$w0rd e
criar um atalho para \\HQDC01\AdminTools\MyConsole.msc.
8. Configurar as propriedades do atalho para que ele sempre pea credenciais
administrativas. No h procedimentos listados para esta tarefa: voc est por
sua prpria conta!
9. Executar o console personalizado como administrador.
10. Sair de DESKTOP101 e de HQDC01. No desligue nem reinicie as mquinas
virtuais.
Observao: no desligue as mquinas virtuais ao concluir este laboratrio, pois as

configuraes definidas aqui sero usadas no Laboratrio B.
Perguntas de reviso do laboratrio
Pergunta: Que snap-in provavelmente voc usar no dia a dia para administrar o
Active Directory?
Pergunta: Quando voc for criar um console do MMC personalizado para

administrao na sua empresa, que snap-ins adicionar?
Lio 3
Localizao de objetos no Active Directory
medida que o Active Directory vai sendo preenchido com objetos de usurio,
grupo, computador e outros, torna-se mais difcil localizar determinado(s)
objeto(s) que voc deseja modificar. Nesta lio, voc aprender vrias formas de
localizar objetos no Active Directory.
Objetivos
Controlar a exibio de objetos no snap-in Usurios e Computadores do Active
Directory.
Localizao de objetos no Active Directory
Voc aprendeu a criar objetos no Active Directory. Mas para que serve uma
informao de um servio de diretrio se voc no consegue obt-la tambm no
diretrio? H muitas ocasies em que voc precisar localizar objetos no Active
Directory:
Conceder permisses. Ao configurar permisses para um arquivo ou uma
pasta, voc deve selecionar o grupo (ou usurio) para o qual elas sero
concedidas.
Adicionar membros a um grupo. Um grupo pode ser formado por usurios,
computadores, grupos ou qualquer combinao desses trs. Quando voc
adiciona um objeto como membro de um grupo, deve selecionar o objeto.
Criar links. Propriedades vinculadas so propriedades de um objeto que se
referem a outro objeto. Na verdade, uma associao de grupo uma
propriedade vinculada. Existem outras propriedades vinculadas, como o
atributo Gerenciado Por, que tambm so links. Quando voc especifica o
nome Gerenciado Por, deve selecionar o usurio ou grupo apropriado.
Pesquisar um objeto. possvel procurar qualquer objeto no domnio do
Active Directory.
H muitas outras situaes que exigiro pesquisa no Active Directory. Voc

encontrar vrias interfaces de usurio. Nesta lio, voc aprender alguns truques
para trabalhar com cada uma delas.
Demonstrao: Uso da caixa de dilogo Selecionar

Usurios, Contatos, Computadores ou Grupos
Quando voc adiciona um membro a um grupo, atribui uma permisso ou cria

uma propriedade vinculada, exibida a caixa de dilogo Selecionar Usurios,
Contatos, Computadores ou Grupos mostrada aqui.
Se voc sabe os nomes dos objetos necessrios, pode digit-los diretamente na

caixa de texto grande. possvel inserir vrios nomes, separando-os com pontos-e-
vrgulas, conforme ilustrado acima.
Quando voc clica em OK, o Windows pesquisa cada item da lista, converte-os em
um link para o objeto e fecha a caixa de dilogo. O boto Verificar nomes tambm
converte cada nome em um link, mas deixa a caixa de dilogo aberta, conforme
ilustrado aqui:
No necessrio inserir o nome completo voc pode digitar o nome ou

sobrenome do usurio ou somente parte do nome ou do sobrenome. Por exemplo,
a primeira captura de tela acima mostra o nome linda, o sobrenome danseglio, o
nome parcial joan e o nome tony. Quando voc clicar em OK ou em Verificar
nomes, o Windows tentar converter o nome parcial no objeto correto. Se houver
apenas um objeto correspondente, os nomes sero resolvidos conforme mostrado
na segunda captura de tela acima.
Se houver vrias correspondncias, como o nome Tony, ser exibida a caixa

Diversos nomes encontrados, mostrada abaixo. Selecione o(s) nome(s) correto(s) e
clique em OK.
Por padro, a caixa de dilogo Selecionar pesquisa no domnio inteiro. Se voc

obtiver muitos resultados e quiser restringir o escopo da pesquisa, ou se precisar
pesquisar em outro domnio ou entre os usurios e grupos locais de um membro
do domnio, clique em Locais.
Alm disso, a caixa de dilogo Selecionar, apesar de seu nome completo Selecionar
Usurios, Contatos, Computadores ou Grupos, raramente pesquisa em todos esses
quatro tipos de objeto. Quando voc adiciona membros a um grupo, por exemplo,
por padro os computadores no so pesquisados. Se inserir um nome de
computador, ele no ser resolvido corretamente. Quando voc especifica o nome
na guia Gerenciado Por, os grupos no so pesquisados por padro. Certifique-se
de que o escopo da caixa de dilogo Selecionar est definido para resolver os tipos
de objetos que voc deseja selecionar. Clique no boto Tipos de objeto, use a caixa
de dilogo Tipos de objeto mostrada abaixo para selecionar os tipos corretos e
clique em OK.
Se tiver dificuldade para localizar os objetos desejados, clique no boto Avanado

da caixa de dilogo Selecionar. A exibio avanada, mostrada abaixo, permite
pesquisar nos campos de nome e descrio e em contas desabilitadas, senhas que
no perdem a validade e contas "obsoletas" que no se conectaram por um
determinado perodo.
Alguns dos campos da guia Consultas comuns podero estar desabilitados,

dependendo do tipo de objeto que voc est procurando. Clique no boto Tipos de
objeto para especificar exatamente o tipo de objeto desejado.
Opes para localizar objetos em Usurios e Computadores

do Active Directory
Pontos principais
Apesar de poder navegar pelo Active Directory para procurar um objeto, muitas
vezes voc encontrar o objeto de que precisa mais rapidamente usando
classificao ou pesquisa.
Leitura adicional
Pesquisar no Active Directory:
Demonstrao: Controle da exibio de objetos em

Usurios e Computadores do Active Directory
Pontos principais
O painel de detalhes do snap-in Usurios e Computadores do Active Directory
pode ser personalizado para ajudar voc a trabalhar com os objetos do seu
diretrio de modo mais eficiente. Use o comando Adicionar/Remover Colunas do
menu Exibir para adicionar colunas ao painel de detalhes. Nem todo atributo fica
disponvel para ser exibido como coluna, mas certamente voc encontrar colunas
que sero teis para exibio, como Nome de Logon do Usurio. Talvez voc
tambm encontre colunas desnecessrias. Caso as suas UOs tenham apenas um
tipo de objeto (usurio ou computador, por exemplo), talvez a coluna Tipo no
seja til.
Quando uma coluna est visvel, voc pode alterar a ordem das colunas arrastando
os cabealhos para a esquerda ou para a direita. Tambm possvel classificar a
exibio no painel de detalhes clicando na coluna o primeiro clique classificar
em ordem crescente, o segundo em ordem decrescente, como no Windows
Explorer.
Uma personalizao comum adicionar a coluna Sobrenome a uma exibio de

usurios, assim eles podem ser classificados por sobrenome. Normalmente mais
fcil localizar usurios por sobrenome do que pela coluna Nome, que o CN
(nome comum) e geralmente nome-sobrenome.
Para adicionar a coluna Sobrenome ao painel de detalhes:
1. Clique no menu Exibir e clique em Adicionar/Remover Colunas.
2. Na lista Colunas disponveis, clique em Sobrenome.
3. Clique no boto Adicionar.
4. Na lista Colunas exibidas, clique em Sobrenome e clique em Mover para
Cima duas vezes.
5. Na lista Colunas exibidas, clique em Tipo e em Remover.
6. Clique em OK.
7. No painel de detalhes, clique no cabealho de coluna Sobrenome para
classificar em ordem alfabtica por sobrenome.
Demonstrao: Uso do comando Localizar
Os sistemas Windows tambm fornecem a ferramenta de consulta do Active

Directory, que muitos administradores chamam de caixa Localizar. Uma das
formas de iniciar a caixa Localizar clicar no boto Localizar Objetos nos Servios
de Domnio Active Directory do snap-in Usurios e Computadores do Active
Directory. O boto e a caixa Localizar resultante so mostrados a seguir.
Use a lista suspensa Localizar para especificar o(s) tipo(s) de objeto que voc
deseja consultar ou selecione Consultas comuns ou Pesquisa personalizada. A lista
suspensa Em especifica o escopo da pesquisa. Sempre que possvel,
recomendvel limitar o escopo da pesquisa para evitar que o desempenho seja
afetado devido a pesquisas grandes feitas no domnio inteiro. Juntas, as listas
Localizar e Em definem o escopo da pesquisa.
Em seguida, configure os critrios da pesquisa. Os campos mais comumente
usados esto disponveis como critrios considerando-se o tipo de consulta
realizada. Quando voc terminar de especificar o escopo e os critrios da pesquisa,
clique em Localizar Agora. Os resultados sero exibidos.
Clique com o boto direito do mouse em qualquer item da lista de resultados e
escolha comandos administrativos, como Mover, Excluir e Propriedades.
Determinao da localizao de um objeto
Pontos principais
s vezes, voc deseja localizar um objeto usando o comando Localizar, pois no
sabe onde o objeto est.
Para determinar onde um objeto est localizado:
1. Clique no menu Exibir e selecione Recursos avanados.
2. Clique no boto Localizar e procure o objeto.
3. Clique no objeto com o boto direito do mouse, clique em Propriedades e,
depois, na guia Objeto.
4. O Nome de objeto cannico mostra o caminho para o objeto, iniciando no
domnio.
Se preferir, na caixa de dilogo Localizar, voc pode exibir a coluna Publicado em.
1. Na caixa de dilogo Localizar, clique no menu Exibir e clique em Escolher
Colunas.
2. Na lista Colunas disponveis, clique em Publicado em e clique em Adicionar.
3. Clique em OK.
Demonstrao: Uso de consultas salvas
Pontos principais
O Windows Server 2003 introduziu o n Consultas salvas do snap-in Usurios e
Computadores do Active Directory. Essa funo avanada permite criar exibies
do seu domnio baseadas em regras, mostrando os objetos de uma ou mais UOs.
Para criar uma consulta salva:
1. Abra o snap-in Usurios e Computadores do Active Directory.
As consultas salvas no ficam disponveis no snap-in Usurios e
Computadores do Active Directory que faz parte do Gerenciador de
Servidores. Voc deve usar o console Usurios e Computadores do Active
Directory ou um console personalizado com o snap-in.
2. Clique com o boto direito do mouse em Consultas salvas, aponte para Nova
e clique em Consulta.
3. Insira um nome para a consulta.
4. Opcionalmente, insira uma descrio.
5. Clique em Procurar para localizar a raiz da consulta.

A pesquisa se limitar ao domnio ou UO selecionada. recomendvel
restringir a pesquisa o mximo possvel para melhorar o desempenho dela.
6. Clique em Definir consulta para definir sua consulta.
7. Na caixa de dilogo Localizar, selecione o tipo de objeto que voc deseja
consultar.
As guias da caixa de dilogo e os controles de entrada em cada guia mudam
para mostrar opes apropriadas para a consulta selecionada.
8. Configure os critrios para a consulta.
9. Clique em OK.
Depois de criada, a consulta salva na instncia do snap-in Usurios e

Computadores do Active Directory. Assim, se voc abriu o console Usurios e
Computadores do Active Directory (dsa.msc), a consulta estar disponvel na
prxima vez que abrir o console. Se voc criou a consulta salva em um console
personalizado, ela estar disponvel nesse console. Para transferir uma consulta
salva para outros consoles ou usurios, exporte a consulta como um arquivo XML
e importe-a para o snap-in de destino.
A exibio da consulta salva no painel de detalhes pode ser personalizada
conforme descrito anteriormente, com colunas especficas e classificao. Uma
vantagem muito importante das consultas salvas que a exibio personalizada
especfica de cada uma delas. Quando voc adiciona a coluna Sobrenome
exibio normal de uma UO, na verdade, a coluna adicionada exibio de cada
UO, por isso voc ver uma coluna Sobrenome vazia mesmo para uma UO de
computadores ou grupos. No caso das consultas salvas, possvel adicionar a
coluna Sobrenome a uma consulta de objetos de usurio e outras colunas para
outras consultas salvas.
As consultas salvas so uma forma avanada de virtualizar a exibio do diretrio e
monitorar problemas como contas desabilitadas ou bloqueadas. Aprender a criar e
gerenciar consultas salvas um uso proveitoso do seu tempo.
Laboratrio B: Localizao de objetos no Active

Directory
Cenrio
Agora a Contoso abrange cinco localidades geogrficas no mundo inteiro, com
mais de 1000 funcionrios. medida que o domnio vai sendo preenchido com
tantos objetos, cada vez mais difcil localizar objetos usando a funo Procurar.
Voc tem a tarefa de estabelecer prticas recomendadas de localizao de objetos
no Active Directory para o restante da equipe de administradores. Voc tambm
precisa monitorar a integridade de certos tipos de contas.
Exerccio 1: Localizar objetos no Active Directory

Neste exerccio, voc utilizar diversas ferramentas e interfaces que facilitam a
localizao de objetos no Active Directory.
1. Explorar o comportamento da caixa de dilogo Selecionar.
2. Controlar a exibio de objetos no snap-in Usurios e Computadores do Active
Directory.
3. Usar o comando Localizar.
4. Determinar a localizao de um objeto.
Tarefa 1: Explorar o comportamento da caixa de dilogo Selecionar
Observao importante: as etapas destas tarefas orientam voc quanto ao uso de

vrias interfaces importantes de Usurios e Computadores do Active Directory. Voc
pode pensar nesta tarefa como um "tour" pelas interfaces e seus recursos. As alteraes
especficas que voc ir fazer so menos importantes do que a experincia adquirida
com as nuanas dessas interfaces. Siga as etapas exatamente como listadas e no se
preocupe com o que voc est fazendo; em vez disso, concentre-se em como faz-lo e
no comportamento das interfaces de usurio.
A mquina virtual j deve estar iniciada e disponvel aps a concluso do

Laboratrio A. No entanto, se no estiver, voc deve inici-la e fazer os exerccios
do Laboratrio A antes de continuar.
1. Faa logon em HQDC01 como Pat.Coleman com a senha Pa$$w0rd e
execute o console personalizado, C:\AdminTools\MyConsole.msc, como
administrador usando o nome de usurio Pat.Coleman_Admin e a senha
Pa$$w0rd. Como alternativa, execute o console pr-criado,
D:\AdminTools\ADConsole.msc, como administrador.
2. Na rvore de console, expanda o snap-in Usurios e Computadores do Active
Directory, o domnio contoso.com e a UO Contas de Usurio e clique na UO
Funcionrios.
3. Clique com o boto direito do mouse em Pat Coleman e clique em
Propriedades.
4. Clique na guia Membro de.
5. Clique em Adicionar.
6. Na caixa de dilogo Selecionar, digite o nome Especial.
7. Clique em OK. O nome resolvido como Projeto Especial.
8. Clique em OK novamente para fechar a caixa de dilogo Propriedades.
9. Na rvore de console, expanda a UO Grupos e clique na UO Funo.
10. No painel de detalhes, clique com o boto direito do mouse no grupo Projeto
Especial e clique em Propriedades.
11. Clique na guia Membros.
A caixa de dilogo Selecionar Usurios, Contatos, Computadores ou Grupos
ser exibida.
13. Digite linda;joan e clique no boto Verificar nomes.
A caixa de dilogo Selecionar resolve os nomes como Linda Mitchell e Joanna
Rybka e sublinha os nomes para indicar que foram resolvidos.
14. Clique em OK.
16. Digite carole e clique em OK.
A caixa de dilogo Selecionar resolve o nome como Carole Poland e fecha.
Carole Poland aparece na lista Membros.
Quando voc clica no boto OK, uma operao "Verificar nomes" executada
antes de fechar a caixa de dilogo. No necessrio clicar no boto Verificar
nomes, a menos que voc queira verificar nomes e permanecer na caixa de
dilogo Selecionar.
18. Digite tony;jeff e clique em OK.
Como existem vrios usurios que correspondem a tony", a caixa Diversos
nomes encontrados ser exibida.
19. Clique em Tony Krijnen e em OK.
Como existem vrios usurios que correspondem a jeff, a caixa Diversos
nomes encontrados ser exibida.
20. Clique em Jeff Ford e em OK. Clique em OK para fechar a caixa de dilogo
Propriedades de Projeto Especial.
Sempre que houver mais de um objeto que corresponda s informaes
inseridas, a operao de verificao de nomes dar a oportunidade de voc
escolher o objeto correto.
21. Na rvore de console, clique na UO Aplicativo, sob a UO Grupos.
22. No painel de detalhes, clique com o boto direito do mouse no
grupoEscritrio_APP e clique em Propriedades.
25. Na caixa de dilogo Selecionar, digite DESKTOP101.
26. Clique em Verificar nomes.
A caixa de dilogo Nome no encontrado ser exibida, indicando que no foi
possvel resolver o objeto especificado.
27. Clique em Cancelar para fechar a caixa de dilogo Nome no encontrado.
28. Na caixa Selecionar, clique em Tipos de objeto.
29. Marque a caixa de seleo ao lado de Computadores e clique em OK.
30. Clique em Verificar nomes.
Agora o nome ser resolvido porque a caixa Selecionar est incluindo
computadores em sua resoluo.
31. Clique em OK.
32. Clique em OK para fechar a caixa de dilogo Propriedades de
Escritrio_APP.
Tarefa 2: Controlar a exibio de objetos no snap-in Usurios e

Computadores do Active Directory
1. Na rvore de console, expanda o domnio contoso.com e a UO Contas de
Usurio e clique na UO Funcionrios.
3. Na lista Colunas disponveis, clique em Sobrenome.

5. Na lista Colunas exibidas, clique em Sobrenome e clique em Mover para
Cima duas vezes.
6. Na lista Colunas exibidas, clique em Tipo e em Remover.
7. Clique em OK.
9. No painel de detalhes, clique no cabealho da coluna Sobrenome para
classificar em ordem alfabtica por sobrenome.
11. Na lista Colunas disponveis, clique em Nome de Logon Anterior ao
Windows 2000.
13. Na lista Colunas exibidas, clique em Nome de Logon Anterior ao Windows
2000 e em Mover para Cima.
14. Clique em OK.
Tarefa 3: Usar o comando Localizar

2. Clique no boto Localizar na barra de ferramentas.
3. Na caixa Nome, digite Dan e clique em Localizar Agora.
4. Quantos itens foram encontrados? Veja a barra de status, na parte inferior da
janela Localizar Usurios, Contatos e Grupos.
5. Clique na lista suspensa Em e clique em Pasta inteira.
6. Clique em Localizar Agora.
7. Quantos itens foram encontrados? Veja a barra de status, na parte inferior da

janela Localizar Usurios, Contatos e Grupos.
8. Feche a caixa de dilogo Localizar Usurios, Contatos e Grupos.
Tarefa 4: Determinar a localizao de um objeto

1. Ative a exibio de Recursos avanados para o snap-in Usurios e
2. Use o comando Localizar para localizar usurios no domnio cujos nomes
comeam com Pat.Coleman. Voc dever ver dois resultados.
3. Use as propriedades de Pat Coleman (Admin) para determinar onde o
usurio est localizado no Active Directory.
Resultados: aps esse exerccio, voc ter aprendido que h vrias interfaces para
executar pesquisas no Active Directory e saber como controlar a exibio do snap-in
Usurios e Computadores do Active Directory.
Exerccio 2: Usar consultas salvas

Neste exerccio, voc criar consultas salvas, que poder usar para executar tarefas
administrativas com mais eficincia.
1. Criar uma consulta salva que exiba todas as contas de usurio do domnio.
2. Criar uma consulta salva que mostre todas as contas de usurio com senhas
que no perdem a validade.
3. Transferir uma consulta para outro computador.
Tarefa 1: Criar uma consulta salva que exiba todas as contas de usurio
do domnio
Crie uma consulta salva chamada Todos os Objetos de Usurio que mostre
todos os usurios do domnio.
Tarefa 2: Criar uma consulta salva que mostre todas as contas de

usurio com senhas que no perdem a validade
Crie uma consulta salva chamada Senhas que no expiram que mostre todos
os usurios do domnio cujas senhas no expiram.
Observe que, a fim de manter uma senha nica e simples para todos os
usurios deste curso, todas as contas de usurio so configuradas de maneira
que as senhas no expirem. Em um ambiente de produo, as contas de
usurio no devem ser configuradas com senhas que no perdem a validade.
Tarefa 3: Transferir uma consulta para outro computador

1. Exporte a consulta Senhas que no expiram para
C:\AdminTools\Query_NonExpPW.xml.
2. Exclua a consulta Senhas que no expiram.
3. Importe a consulta C:\AdminTools\Query_NonExpPW.xml.
4. Saia de HQDC01.
Resultados: aps esse exerccio, voc ter duas consultas salvas. A primeira, Todos os
Objetos de Usurio, demonstra que uma consulta salva pode criar uma exibio
virtualizada do domnio, permitindo que voc veja os objetos que atendem a um
conjunto de critrios, independentemente das UOs em que esses objetos esto. A
segunda consulta, Senhas que no expiram, demonstra que possvel usar consultas
salvas para monitorar a integridade do ambiente.
Exerccio 3 (Avanado opcional): Explorar consultas salvas

1. Como administrador, execute e explore o console pr-criado
D:\AdminTools\ADConsole.msc.
2. Examine as consultas usadas no n Consultas salvas do snap-in Usurios e
Os administradores que usam essa ferramenta raramente precisaro se
aprofundar na estrutura de unidade organizacional do domnio contoso.com
na rvore de console. Quase todas as tarefas administrativas de rotina podem
ser executadas com as exibies em Consultas salvas.
Observao: no desligue a mquina virtual ao concluir este laboratrio, pois as

configuraes definidas aqui sero usadas no Laboratrio C.
Pergunta: No seu trabalho, que cenrios exigem que voc pesquise no Active
Directory?
Pergunta: Que tipos de consultas salvas voc poderia criar para ajudar a executar
as tarefas administrativas com mais eficincia?
Lio 4
Uso de comandos DS para administrar o Active
Directory

Identificar o DN (nome distinto), o RDN (nome distinto relativo) e o CN
Usar os comandos DS para administrar o Active Directory da linha de
comando.
DNs, RDNs e CNs
Os DNs so um tipo de caminho para um objeto no Active Directory. Cada objeto

no Active Directory tem um DN completamente exclusivo. Nosso usurio, Jeff
Ford, tem o seguinte DN:
CN=Jeff Ford,OU=Employees,OU=User Accounts,DC=contoso,DC=com
Podemos ver o que est acontecendo: o DN um caminho que comea no objeto e
vai at o domnio de nvel superior no namespace DNS contoso.com. CN quer
dizer nome comum. Voc j aprendeu sobre essa propriedade anteriormente:
quando voc cria um usurio, a caixa Nome Completo usada para criar o CN do
objeto de usurio. Como voc sabe, UO significa unidade organizacional. E DC
significa componente do domnio.
A parte do DN antes da primeira UO ou continer chamada nome distinto
relativo, ou RDN. No caso de Jeff Ford, o RDN do objeto CN= Jeff Ford. Nem
todo RDN um CN. O DN da UO Funcionrios OU=Employees,OU=User
Accounts,DC=contoso,DC=com. Portanto, o RDN da UO Funcionrios
OU=Employees.
Como o DN de um objeto deve ser exclusivo no servio de diretrio, o RDN de um

objeto deve ser exclusivo em seu continer. Por isso, se voc contratar outro Jeff
Ford e os dois objetos de usurio precisarem estar na mesma UO, esse usurio
dever ter um CN diferente. A mesma lgica aplica-se aos arquivos de uma pasta:
no possvel ter dois arquivos com nomes idnticos em uma mesma pasta.
Voc encontrar DNs regularmente medida que for trabalhando no Active
Directory, da mesma forma que encontra caminhos de arquivos quando trabalha
com arquivos e pastas. muito importante poder ler e interpretar DNs.
Os comandos DS
Pontos principais
O Windows oferece utilitrios de linha de comando que executam funcionalidade
semelhante do snap-in Usurios e Computadores do Active Directory. Muitos
desses comandos comeam com as letras DS, por isso so chamados de comandos
DS.
Os seguintes comandos DS tm suporte no Windows Server 2008:
DSQuery. Executa uma consulta baseada em parmetros fornecidos na linha
de comando e retorna uma lista de objetos correspondentes
DSGet. Retorna atributos especificados de um objeto
DSMod. Modifica atributos especificados de um objeto
DSMove. Move um objeto para um novo continer ou UO
DSAdd. Cria um objeto no diretrio
DSRm. Remove um objeto, todos os objetos da subrvore abaixo de um objeto
de continer ou ambos
Cada comando est bem documentado. Digite o nome de um comando seguido de

/? -- por exemplo, dsquery /?-- para obter ajuda sobre ele.
Localizao de objetos com DSQuery
Pontos principais
DSQuery localiza objetos no Active Directory.
Digite dsquery.exe /? para conhecer a sintaxe e o uso.
Voc usa a maioria dos comandos DS especificando o tipo de objeto que o
comando deve localizar. Por exemplo, dsquery user usado para procurar um
usurio, enquanto dsquery computer, dsquery group e dsquery ou procuram os
respectivos tipos de objeto.
Se voc usar o comando dsquery objectType sozinho, ele retornar os nomes
distintos de todos os usurios do domnio.
Para evitar uma consulta descontrolada, DSQuery limita-se a 100 resultados. Use a
opo -limit para especificar quantos resultados devem ser retornados. Use -limit 0
para retornar todos os objetos.
Aps o especificador objectType, voc pode usar opes para indicar os critrios da
consulta. Por exemplo, cada objeto pode ser localizado pelo nome com a opo
-name. A maioria dos objetos pode ser consultada com base na descrio (desc).
possvel localizar entidades de segurana com base no nome de logon anterior ao
Windows 2000 (samid), Para saber quais propriedades podem ser consultadas,
digite dsquery objecttype /?; por exemplo, dsquery user /?.
Por exemplo, para localizar todos os usurios cujos nomes comeam com Ton,
insira este comando: dsquery user -name ton*. Aps a opo de propriedade (nesse
caso, name), voc pode inserir os critrios, que no diferenciam maisculas de
minsculas e podem incluir curingas como o asterisco, que representa zero ou
mais caracteres. Por padro, o comando DSQuery retorna os objetos
correspondentes e os respectivos DNs, como vemos abaixo:
Se os DNs no forem os resultados que voc gostaria de ver, adiciona a opo o

ao comando DSQuery. Adicione o samid, por exemplo, para retornar os
resultados com nomes de logon anteriores ao Windows 2000 ou o upn para obter
a lista de nomes de logon de usurio, conhecidos como UPNs (nomes principais
de usurio).
DSQuery pode executar pesquisas usando curingas como o asterisco (*), que
representa zero ou mais caracteres. O seguinte comando recupera todos os
usurios cujos nomes comeam com Dan:
dsquery user -name "Dan*"
Lembre-se de que os critrios de DSQuery no diferenciam maisculas de

minsculas.
Por fim, voc pode limitar o escopo da pesquisa realizada por DSQuery
adicionando o DN de uma UO ou continer aps o elemento objectType do
comando. Por exemplo, este comando procura usurios cujos nomes comeam
com Dan, mas apenas na UO Administradores:
dsquery user "ou=Admins,dc=contoso,dc=com" -name "Dan*"
Por padro, a pesquisa inclui todas as sub-UOs da base. Use o parmetro -base
para limitar ainda mais a pesquisa -- por exemplo, para somente a UO especificada
sem as respectivas sub-UOs.
Recuperao de atributos de objeto com DSGet
Pontos principais
O comando DSGet retorna atributos de um ou mais objetos. Por exemplo, o
seguinte comando retorna o endereo de email de Jeff Ford:
dsget user "cn=Jeff Ford,ou=Employees,ou=User

Accounts,dc=contoso,dc=com" -email
Este comando ilustra um tema comum para a maioria dos comandos DS. A maior
parte dos comandos DS usam dois modificadores aps o comando propriamente
dito: o tipo de objeto e o DN do objeto. No exemplo acima, o tipo de objeto, user,
vem logo aps o comando. Depois do tipo de objeto est o DN do objeto. Quando
o DN do objeto inclui um espao, coloque o DN entre aspas.
O comando DSGet pode retornar diferentes atributos de cada tipo de objeto.

Infelizmente, o nome do parmetro de um comando DS que representa um
atributo nem sempre o mesmo nome que a interface de Usurios e
Computadores do Active Directory ou o nome do atributo no Esquema. Por
exemplo, DSGet usa o parmetro -samid para retornar o nome de logon do usurio
anterior ao Windows 2000, que o atributo sAMAccountName no esquema. Para
finalizar, DSGet pode retornar apenas um subconjunto dos atributos disponveis
para qualquer tipo de objeto.
Para saber quais atributos de um tipo de objeto o comando DSGet pode recuperar,
digite:
dsget objectType /?.
Pergunta: Voc pode explicar a diferena entre os comandos DSQuery e DSGet?

Pipe de DNs para outros comandos DS
Pontos principais
No tpico anterior, voc aprendeu que este comando retorna o endereo de email
de Jeff Ford:
dsget user "cn=Jeff Ford,ou=Employees,ou=User

Accounts,dc=contoso,dc=com" -email
Voc pode imaginar que digitar o DN de um objeto na linha de comando um

trabalho demorado e suscetvel a erro. Por sorte, existe uma forma mais fcil. Voc
pode "fazer piping" de DNs de DSQuery para os outros comandos DS.
Lembre-se de que DSQuery localiza objetos com base em critrios de pesquisa e
retorna os respectivos DNs como um tipo de "sada". Outros comandos DS, como
DSGet, exigem o DN do objeto ou objetos com os quais eles trabalharam eles
usam os DNs como "entrada". possvel encadear dois comandos para que a
"sada" de DSQuery se torne a "entrada" de DSGet ou de outro comando DS. Isso
chamado de "piping" porque voc envia a sada de um comando por um "pipe"
para outro comando.
O piping obtido utilizando-se o caractere de barra vertical (|).

Examine o seguinte comando:
dsquery user -name "Jeff Ford" | dsget user -email
Voc sabe que a primeira parte do comando retornar o DN de qualquer objeto

cujo nome de atributo (CN) igual a "Jeff Ford".
Voc sabe que a segunda parte do comando retorna o atributo de endereo de
email de um usurio. No entanto, observe que o DN est faltando no comando
DSGet. Isso cria a "entrada" do pipe. A "sada" de DSQUery enviada pelo pipe em
vez de ser retornada ao console como sada de texto.
Portanto esse comando tambm retornar o endereo de email de Jeff Ford sem
que voc precise identificar e digitar corretamente o DN do objeto de usurio.
O prximo comando recupera os endereos de email de todos os usurios cujos
nomes comeam com Dan:
dsquery user -name "Dan*" | dsget user -email
Importante: DSGet pode retornar um ou mais DNs quando recupera certos atributos,
como member e memberof. Quando um comando DSGet produz DNs, voc pode fazer
piping dos resultados para outro comando DS.
Modificao de atributos de objeto com DSMod
Pontos principais
O comando DSMod modifica atributos especificados de um ou mais objetos. A
sintaxe bsica :
dsmod objectType "objectDN" -attribute "new value"
Por exemplo, este comando altera o atributo department de Jeff Ford para
Tecnologia da Informao:
dsmod user "cn=Jeff Ford,ou=Employees,ou=User

Accounts,dc=contoso,dc=com" -dept "Information Technology"
possvel especificar vrios atributos para modificao em uma nica linha de

comando. Para saber quais atributos de um tipo de objeto podem ser modificados,
digite dsmod objectType /?; por exemplo, dsmod user /?.
Os resultados de DSQuery podem ser enviados por pipe a DSMod. Voc pode
alterar o atributo department de todos os usurios da UO Administradores com
este comando:
dsquery user "ou=Admins,dc=contoso,dc=com" | dsmod user -department

"Information Technology"
Excluso de um objeto com DSRm
Pontos principais
O comando DSRm remove (exclui) um objeto do Active Directory. Como DSRm
exclui objetos sem prompts de confirmao, seja cauteloso ao inserir o comando. A
sintaxe do comando simples:
dsrm objectDN
Por exemplo, este comando exclui o computador DESKTOP234:
dsrm "cn=DESKTOP234,ou=Client Computers,dc=contoso,dc=com"
Se voc especificar o DN de um continer ou unidade organizacional, por padro

DSRm excluir o continer e todos os subcontineres ou sub-UOs.
Os resultados de DSQuery podem ser enviados por pipe a DSRm. possvel
excluir todos os computadores que no se conectam h mais de 90 dias usando
este comando:
dsquery computer -stalepwd 90 | dsrm

Movimentao de um objeto com DSMove
Pontos principais
O comando DSMove move um objeto para um novo continer ou UO. A sintaxe
muito simples:
dsmove objectDN -newparent targetOUDN
Nesta sintaxe, objectDN o DN do objeto que voc deseja mover e targetOUDN

representa o DN da UO para a qual o objeto ser movido.
DSMove tambm usado para renomear o RDN de um objeto, com o parmetro
-newname:
dsmove objectDN -newname newName

Adio de um objeto com DSAdd
Pontos principais
DSAdd cria um objeto no diretrio. A sintaxe bsica :
dsadd objectType objectDN
Nesta sintaxe, objectType a classe do objeto a ser criado: usurio, grupo,

computador ou UO, e objectDN o DN do novo objeto. O parmetro objectDN
obrigatrio, pois representa o DN da UO ou do continer em que o objeto ser
criado e o RDN do objeto em si.
Por exemplo, este comando cria uma UO de nvel superior chamada Lab:
dsadd ou "ou=Lab,dc=contoso,dc=com"
A maioria das classes de objeto tm parmetros que devem ser configurados

durante a criao de um objeto. Por exemplo, as contas de usurio requerem um
nome de logon anterior ao Windows 2000 (o atributo sAMAccountName). Outros
mdulos detalharo como usar comandos DS para criar, localizar, modificar e
excluir usurios, grupos e computadores. Neles, voc aprender a usar DSAdd com
os parmetros corretos para o tipo de objeto em questo.
Administrao sem a GUI
Pontos principais
Existem outras ferramentas que voc pode usar para administrar o AD DS sem as
ferramentas administrativas baseadas em interface grfica do usurio. Voc
experimentar muitas delas nos prximos mdulos.
Laboratrio C: Uso de comandos DS para

administrar o Active Directory
Cenrio
A Contoso est crescendo, e preciso fazer alteraes em objetos no Active
Directory. Voc administrador do AD DS e sabe que pode ser mais fcil criar,
excluir e modificar objetos usando o prompt de comando em vez de Usurios e
Exerccio 1: Usar comandos DS para administrar o Active

Directory
Neste exerccio, voc usar o comando DS para executar tarefas administrativas
bsicas. Algumas dessas tarefas seriam difceis ou impossveis de executar na
interface de usurio de Usurios e Computadores do Active Directory.
2. Localizar objetos com DSQuery.
3. Recuperar atributos de objeto com DSGet.
4. Enviar DNs por pipe de DSQuery para outros comandos DS.
5. Enviar DNs por pipe de DSGet para DSMod (avanado opcional).
Lembre-se de que sempre possvel digitar o comando seguido de /? para obter

ajuda sobre o comando. Quando um comando funciona com um determinado tipo
de objeto, digite command objectType /? para obter ainda mais ajuda.

A mquina virtual j deve estar iniciada e disponvel aps a concluso dos
Laboratrios A e B. No entanto, se no estiver, voc deve inici-la e fazer os
exerccios dos Laboratrios A e B antes de continuar.
2. Abra D:\Labfiles\Lab02c.
3. Execute Lab02c_Setup.bat usando credenciais administrativas. Use a conta
4. O script de instalao do laboratrio executado. Quando a execuo for
concluda, pressione qualquer tecla para continuar.
5. Feche a janela do Windows Explorer, Lab02c.
Tarefa 2: Localizar objetos com DSQuery

1. Abra o Prompt de Comando com credenciais administrativas. Use a conta
2. Use DSQuery para localizar todos os usurios que possuem o sobrenome
Mitchell.
Tarefa 3: Recuperar atributos de objeto com DSGet

1. No prompt de comando, obtenha o endereo de email de Tony Krijnen.
O nome distinto da conta de usurio de Tony :
cn=Tony Krijnen,ou=Employees,ou=User Accounts,dc=contoso,dc=com
2. No prompt de comando, liste os membros do grupo Gerentes Financeiros.
O nome distinto do grupo Gerentes Financeiros :
cn=Finance Managers,ou=Role,ou=Groups,dc=contoso,dc=com
Tarefa 4: Enviar DNs por pipe de DSQuery para outros comandos DS

Scott e Linda Mitchell esto ingressando na equipe Projeto Especial. Eles so os
nicos dois funcionrios com o sobrenome Mitchell que trabalham na Contoso.
Eles trabalham na filial de Vancouver.
1. Usando um nico comando, adicione os Mitchells ao grupo Projeto Especial.
Execute esta etapa sem digitar o DN das contas de usurio dos Mitchells.
O DN do grupo Projeto Especial " cn= Special
Project,ou=Role,ou=Groups,dc=contoso,dc=com "
Se voc receber o erro "O nome especificado j membro deste grupo", utilize
Usurios e Computadores do Active Directory para remover Scott Mitchell e
Linda Mitchell do grupo Projeto Especial e tente novamente.
Talvez voc receba o erro Acesso Negado. O que est causando o erro e o que
voc pode fazer para contorn-lo?
2. Usando um nico comando, recupere o endereo de email de todos os
usurios da filial de Vancouver.
Os usurios da filial de Vancouver tm a palavra Vancouver no campo
Descrio.
Se voc receber um aviso informando que DSQuery atingiu o limite, o que
poder fazer para assegurar que todos os resultados sejam retornados?
3. Utilizando um nico comando, altere o atributo office dos Mitchells para
Vancouver.
Tarefa 5 (Avanada opcional): Enviar DNs por pipe de DSGet para DSMod
A Contoso est realocando e centralizando a liderana executiva dos escritrios
regionais para a filial de Seattle.
Usando um nico comando, altere o atributo office de todos os membros do
grupo Executivos para Sede. Faa isso sem digitar o DN do grupo Executivos.
Tarefa 6 (Avanada opcional): DSQuery *

Digite dsquery /? e examine a sintaxe de dsquery.exe *. Voc pode usar essa
forma de DSQuery para exibir um conjunto arbitrrio de atributos utilizando o
nome definido pelo Esquema para o atributo.
Resultados: aps esse exerccio, os Mitchells pertencero ao grupo Projeto Especial. O

atributo office dos Mitchells est definido como Vancouver, e os membros do grupo
Executivos tm o atributo office definido como Sede. Voc aprendeu como
administrar o Active Directory na linha de comando usando comandos DS.
Observao: depois de concluir esse exerccio, desligue todas as mquinas virtuais e

descarte os discos de desfazer.
Pergunta: O que voc pode fazer para no ter que digitar DNs de usurios, grupos
ou computadores no DSGet e em outros comandos DS?
Pergunta: Qual a diferena entre as pesquisas com curinga usando DSQuery e as

pesquisas executadas com o comando Localizar em Usurios e Computadores do
Active Directory? Em outras palavras, que tipo de pesquisa voc executou neste
laboratrio que no teria sido possvel usando a interface bsica do comando
Localizar?
Gerenciamento de usurios 3-1
Mdulo 3
Gerenciamento de usurios
Sumrio:
Lio 1: Criao e administrao de contas de usurio 3-4
Laboratrio A: Criao e administrao de contas de usurio 3-29
Lio 2: Configurao de atributos do objeto de usurio 3-35
Laboratrio B: Configurao de atributos do objeto de usurio 3-51
Lio 3: Automatizao da criao de contas de usurio 3-61
Laboratrio C: Automatizao da criao de contas de usurio 3-70
Viso geral do mdulo
Neste mdulo, voc aprender a criar e dar suporte a contas de usurio. As contas
de usurio armazenadas no diretrio so o componente fundamental da
identidade. Devido sua importncia, o conhecimento de contas de usurio e das
tarefas relacionadas ao suporte essencial para o xito de um administrador em
uma empresa baseada no Windows.
Em uma rede corporativa, cada dia traz consigo desafios nicos relacionados ao
gerenciamento de usurios. Funcionrios so contratados, migrados, se casam e se
divorciam e, s vezes, saem da organizao. Como seres humanos, eles cometem
erros (por exemplo, esquecem senhas ou bloqueiam suas contas ao fazer logon
incorretamente).
Os administradores devem responder a todas essas alteraes, e a sua capacidade

de trabalhar efetivamente com contas de usurio pode fazer uma grande diferena
na sua produtividade geral. Este mdulo comea com uma discusso sobre as
opes para criar contas de usurio utilizando o snap-in Usurios e Computadores
do Active Directory e o comando DSAdd. Essas habilidades, que so efetivas para
criar uma nica conta de usurio ou algumas contas de usurio, podem se tornar
desajeitadas e ineficientes quando voc trabalha com muitas contas, por isso o
mdulo tambm apresenta vrias opes para automatizar a criao de usurios.
Certamente criar um usurio apenas a primeira etapa do ciclo de vida de um
usurio em um domnio. Depois de criar o usurio, voc deve configurar atributos
que definem as propriedades da entidade de segurana (a "conta") e propriedades
que definem e gerenciam o usurio. Tambm preciso saber como e quando
administrar a conta - executar redefinies de senha e desbloquear a conta, por
exemplo. Voc deve ser capaz de migrar o usurio entre UOs (unidades
organizacionais) e eventualmente desconfigurar a conta ao desabilit-la ou exclu-
la. Este mdulo abordar os procedimentos usados para dar suporte a um objeto
de usurio durante todo o seu ciclo de vida - procedimentos que voc pode
executar usando a interface do Windows e as ferramentas de linha de comando ou
de automao.
Objetivos
Criar e configurar as propriedades de conta de um objeto de usurio.
Excluir, migrar e renomear contas de usurio.
Modificar atributos de diversos usurios simultaneamente.
Exportar atributos de usurio com CSVDE.
Importar usurios com CSVDE.
Importar usurios com LDIFDE.
Lio 1
Criao e administrao de contas de usurio
Uma conta de usurio a base de IDA (identidade e acesso) nos Servios de

Domnio Active Directory. Desse modo, processos consistentes, eficientes e
seguros relacionados administrao de contas de usurio so a pedra
fundamental do gerenciamento da segurana corporativa.
Objetivos
Criar e configurar as propriedades de conta de um objeto de usurio.
Excluir, migrar e renomear contas de usurio.
Conta de usurio
Pontos principais
Muitas vezes, os objetos de usurio so chamados de contas de usurio. Mas quando
observamos de perto, o que voc considera uma "conta" (o nome de usurio, a
senha e talvez o identificador de segurana ou SID) simplesmente um subconjunto
de atributos de um objeto de usurio. Os objetos de usurio do Active Directory
incluem inmeros atributos que so apenas relacionados indiretamente conta
(como a propriedade de caminho do perfil) ou so atributos da pessoa que a conta
representa (como o endereo de email, o telefone e as propriedades do gerente).
As contas de usurio os atributos da conta do objeto de usurio fazem duas
coisas. Elas possibilitam a autenticao o processo de logon durante o qual a
identidade do usurio validada pela comparao do nome de logon e da senha
do usurio. Assim, uma vez que o usurio tenha feito logon, o SID da conta
comparado com as permisses sobre os recursos que o usurio tenta acessar. O
Mdulo 1 descreveu o processo de logon, a gerao do token de segurana que
inclui o SID do usurio e o mecanismo atravs do qual as permisses de uma ACL
so comparadas com os SIDs no token para determinar o nvel de acesso a um
recurso.
possvel criar e armazenar uma conta de usurio no Active Directory. Uma conta
de usurio do domnio permite fazer logon em qualquer mquina do domnio e
acessar recursos disponveis nele. Certamente os dois conjuntos de atividades
esto sujeitos a direitos, privilgios e permisses de logon atribudos conta.
Alm disso, embora as contas do Active Directory sejam o foco deste curso,
tambm possvel armazenar contas no banco de dados do SAM (gerenciador de
contas de segurana), o que possibilita o logon local e o acesso a recursos locais.
Em sua maioria, as contas de usurios locais vo alm do escopo deste curso.
Demonstrao: Criao de um objeto de usurio
Pontos principais
Um objeto de usurio, muitas vezes chamado de conta de usurio, inclui o nome de
usurio e a senha, que funcionam como as credenciais de logon de um usurio.
Um objeto de usurio tambm inclui vrios outros atributos que descrevem e
gerenciam o usurio.
Para criar um objeto de usurio:
1. Clique com o boto direito do mouse na unidade organizacional em que voc
deseja criar o usurio, aponte para Novo e clique em Usurio.
2. Na caixa Nome, digite o nome do usurio.
3. Na caixa Iniciais, digite as iniciais do segundo nome do usurio.
Na verdade, esta propriedade representa as iniciais do segundo nome de um
usurio, e no as iniciais do nome e do sobrenome dele.
4. Na caixa Sobrenome, digite o sobrenome do usurio.
5. O campo Nome completo preenchido automaticamente. Se necessrio, faa

modificaes no campo.
O campo Nome completo usado para criar diversos atributos de um objeto
de usurio, principalmente as propriedades CN (nome comum) e nome para
exibio. O CN de um usurio o Nome exibido no painel de detalhes do
snap-in. Deve ser exclusivo no continer ou na UO. Portanto, se voc estiver
criando um objeto de usurio para uma pessoa cujo nome igual ao de um
usurio j existente na mesma UO ou no mesmo continer, dever inserir um
nome exclusivo no campo Nome completo.
6. Em Nome de logon do usurio, digite o nome com o qual o usurio far
logon e, na lista suspensa, selecione o Sufixo UPN que ser acrescentado ao
nome de logon do usurio aps o smbolo @.
No Active Directory, os nomes de usurio podem conter alguns caracteres
especiais (como pontos, hfens e apstrofos), que permitem gerar nomes de
usurio mais precisos, como OHare e Smith-Bates. No entanto, certos
aplicativos podem ter outras restries, por isso recomendvel usar apenas
letras e nmeros padro at que voc tenha testado completamente os
aplicativos da sua empresa quanto compatibilidade com caracteres especiais
em nomes de logon.
A lista de sufixos UPN disponveis pode ser gerenciada utilizando-se o snap-in
Domnios e Relaes de Confiana do Active Directory. Clique com o boto
direito do mouse na raiz do snap-in, Domnios e Relaes de Confiana do
Active Directory, clique em Propriedades e use a guia Sufixo UPN para
adicionar ou remover sufixos. O nome DNS do domnio do Active Directory
sempre estar disponvel como sufixo e no pode ser removido.
7. Na caixa Nome de logon do usurio (anterior ao Windows 2000), digite o
nome de logon anterior ao Windows 2000, geralmente chamado de nome de
logon de "nvel inferior". No banco de dados do Active Directory, o nome deste
atributo sAMAccountName.
8. Clique em Prximo.
9. Insira a senha inicial do usurio nas caixas Senha e Confirmar senha.
10. Selecione O usurio deve alterar a senha no prximo logon.
recomendvel sempre selecionar esta opo para que o usurio possa criar
uma nova senha no conhecida da equipe de TI. A equipe de suporte
apropriada sempre pode redefinir a senha do usurio posteriormente caso
precise fazer logon como o usurio ou acessar recursos dele. Entretanto, no dia
a dia somente os usurios devem saber suas senhas.

12. Examine o resumo e clique em Concluir.
A interface Novo objeto Usurio permite configurar um nmero limitado de
propriedades de conta, como as configuraes de nome e senha. Todavia, um
objeto de usurio no Active Directory aceita vrias outras propriedades. Elas
podem ser configuradas aps a criao do objeto.
1. Clique com o boto direito do mouse no objeto criado e clique em
Propriedades.
2. Configure as propriedades do usurio.
3. Clique em OK.
Leitura adicional
Ajuda de Usurios e Computadores do Active Directory: Gerenciando usurios:
Criar uma nova conta de computador:
Criao de usurios com DSAdd
Pontos principais
Use o comando DSAdd para criar objetos no Active Directory. O comando DSAdd
User cria um objeto de usurio e aceita parmetros que especificam propriedades
do usurio. O seguinte comando mostra os parmetros bsicos necessrios para
criar uma conta de usurio:
dsadd user "UserDN" samid pre-Windows 2000 logon name

-pwd {Password | *} mustchpwd yes
O parmetro -pwd especifica a senha. Se for definido como um asterisco (*), voc
ser solicitado a informar uma senha de usurio. O parmetro -mustchpwd
especifica que o usurio deve alterar a senha no prximo logon.
DSAdd User aceita diversos parmetros que especificam propriedades do objeto de
usurio.
O seguinte comando cria um usurio com alguns dos campos mais importantes
preenchidos:
dsadd user "cn=Amy Strande,ou=Employees,ou=User

Accounts,dc=contoso,dc=com" samid Amy.Strande -fn Amy ln Strande
display "Strande, Amy" -pwd Pa$$w0rd -desc "Vice-presidente, TI"
A maioria dos nomes de parmetro so autoexplicativos: -email, -profile e -company,

por exemplo. Digite dsadd user /? ou pesquise no Centro de Ajuda e Suporte do
Windows Server 2008 a documentao inteira dos parmetros DSAdd User.
O token especial $username$ representa o nome de logon do usurio (anterior ao
Windows 2000) o atributo sAMAccountName no valor dos parmetros -email,
-hmdir, -profile e -webpg. Por exemplo, para configurar uma pasta base para um
usurio ao criar o usurio com o comando DSAdd User mostrado anteriormente,
adicione este parmetro:
-hmdir \\server01\users\$username$\documents
Leitura adicional
DSAdd: http://technet.microsoft.com/pt-br/library/cc755811(WS.10).aspx
Atributos de nome
Pontos principais
Existem vrios atributos relacionados ao nome de um objeto de usurio e a uma
conta. importante entender as diferenas entre eles.
O Nome de logon do usurio (anterior ao Windows 2000) de um usurio ,
na verdade, o atributo sAMAccountName. Ele tambm chamado de samid.
Deve ser exclusivo no domnio inteiro.
O Nome de logon do usurio o atributo userPrincipalName, abreviado
como UPN. O UPN consiste em um nome de logon e um sufixo UPN que, por
padro, o nome DNS do domnio no qual voc est criando o objeto. O UPN
deve ser exclusivo na floresta inteira. Endereos de email, que devem ser
exclusivos no mundo todo, certamente atendem a esse requisito. Considere
usar endereos de email como UPNs. Se o nome do domnio do Active
Directory no for igual ao nome do domnio de email, adicione o nome do
domnio de email como sufixo UPN disponvel. Para isso, abra o snap-in
Domnios e Relaes de Confiana do Active Directory, clique com o boto
direito do mouse na raiz do snap-in e clique em Propriedades.
O Nome de um usurio, que mostrado na primeira coluna do painel de

detalhes do snap-in Usurios e Computadores do Active Directory, tambm
apresentado como Nome Completo em algumas interfaces, inclusive na caixa
de dilogo Novo objeto Usurio. Ele deve ser exclusivo na UO. O campo
Nome, na verdade, o CN, armazenado como o atributo cn. O cn deve ser
exclusivo na UO porque o primeiro elemento do DN (nome distinto), o
atributo distinguishedName, que deve ser exclusivo na floresta.
O nome para exibio o atributo displayName que aparece na CAL (lista de
endereos global) do Microsoft Exchange. Pode ser mais fcil localizar
usurios na GAL se eles esto classificados por sobrenome, por isso possvel
criar uma conveno de nomenclatura para a sua organizao que especifique
que o atributo displayName use a sintaxe de LastName, FirstName. No h
exigncia de exclusividade do atributo displayName, embora certamente seja
mais fcil localizar usurios na GAL quando cada um possui um nome para
exibio exclusivo!
Pergunta: O que voc faz na sua organizao para assegurar a exclusividade dos
atributos de nome e quais convenes de nomenclatura voc usa?
Leitura adicional
Nomes de objeto:
Renomeao de uma conta de usurio
Pontos principais
Quando preciso renomear uma conta de usurio, pode haver um ou mais
atributos que voc deve alterar.
Para renomear um usurio no snap-in Usurios e Computadores do Active
Directory:
1. Clique no usurio com o boto direito do mouse e clique em Renomear.
2. Digite o novo CN do usurio e pressione ENTER.
exibida a caixa de dilogo Renomear Usurio, que pede para voc inserir
atributos de nome adicionais.
3. Digite o Nome Completo (que mapeado para os atributos cn e name)
4. Digite o Nome e o Sobrenome.
5. Digite o Nome para Exibio.
6. Digite o Nome de Logon do Usurio e o Nome de Logon do Usurio
(Anterior ao Windows 2000).
Em um prompt de comando, use o comando DSMod com a seguinte sintaxe:
dsmod user UserDN [-upn UPN][-fn FirstName][-mi Initial][-ln LastName]

[-dn DisplayName][-email EmailAddress]
onde UserDN o DN do objeto de usurio. Cada parmetro, por exemplo -dn,

precedido por um trao e seguido pelo valor para o qual o atributo correspondente
ser configurado.
No possvel alterar o atributo samAccountName usando DSMod nem alterar o
CN do objeto usando DSMod.
Use o comando DSMove com o parmetro -newname para alterar o CN do objeto.
Atributos de conta
Pontos principais
Na guia Conta da caixa de dilogo Propriedades de um usurio, voc encontra os
atributos que esto diretamente relacionados ao fato de um usurio ser uma
entidade de segurana, o que significa que se trata de uma identidade para a qual
possvel atribuir direitos e permisses.
A tabela a seguir resume os atributos de conta.
Propriedade Descrio
Horrio de Logon Clique em Horrio de Logon para configurar o

horrio durante o qual o usurio pode fazer logon
na rede.
Fazer Logon em: Clique em Fazer Logon em para limitar as estaes

de trabalho nas quais o usurio pode fazer logon.
Isso chamado de Restries do Computador em
outras partes da interface do usurio e mapeia para
o atributo userWorkstations. NetBIOS sobre TCP/IP
deve estar habilitado para que voc possa usar este
recurso, pois ele usa o nome do computador em
vez do endereo MAC (controle de acesso mdia)
da placa de rede para restringir o logon.
O Usurio Deve Alterar a Senha Marque esta caixa de seleo para que o usurio
no Prximo Logon altere a senha que voc atribuiu a ele na primeira
vez que fizer logon. No selecione esta opo se
voc tiver selecionado A Senha Nunca Expira. Do
contrrio, a opo mutuamente exclusiva O Usurio
No Pode Alterar a Senha ser desmarcada
automaticamente.
O Usurio No Pode Alterar a Marque esta caixa de seleo se houver mais de

Senha uma pessoa usando a mesma conta de usurio de
domnio (como Convidado) ou para manter
controle das senhas de contas de usurio. Esta
opo costuma ser usada para gerenciar senhas de
contas de servio. No selecione esta opo se voc
tiver selecionado O Usurio Deve Alterar a Senha
no Prximo Logon.
A Senha Nunca Expira Marque esta caixa de seleo se voc no quiser

que a senha expire nunca. Esta opo desmarca
automaticamente a configurao O Usurio Deve
Alterar a Senha no Prximo Logon, porque as duas
so mutuamente exclusivas. Esta opo costuma ser
usada para gerenciar senhas de contas de servio.
A Conta Est Desabilitada Marque esta caixa de seleo para desabilitar a

conta de usurio -- por exemplo, ao criar um
objeto para um funcionrio recm-contratado que
ainda no precisa de acesso rede.
(continuao)
Propriedade Descrio
Armazene Senha c/ Criptografia Esta opo, que armazena a senha no Active

Reversvel Directory sem utilizar o avanado algoritmo de
hash de criptografia no reversvel do Active
Directory, existe para dar suporte a aplicativos que
exigem conhecimento da senha do usurio. Se no
for absolutamente necessrio, no habilite esta
opo, pois ela enfraquece a segurana da senha
consideravelmente. As senhas armazenadas
utilizando criptografia reversa so semelhantes
quelas armazenadas como texto no
criptografado.
Carto Inteligente Necess. p/ Os cartes inteligentes so dispositivos de

Logon Interativo hardware portteis e resistentes a violao que
armazenam informaes de identificao exclusivas
de um usurio. Eles so conectados ou inseridos em
um sistema e fornecem um componente de
identificao fsico adicional para o processo de
autenticao.
A Conta Confivel para Esta opo permite que uma conta de servio
Delegao represente um usurio para acessar recursos de
rede em nome dele. Normalmente ela no
selecionada, certamente no para um objeto de
usurio que representa uma pessoa. Ela usada
com mais frequncia para contas de servio em
infraestruturas de aplicativo de trs camadas (ou
vrias camadas).
Vencimento da Conta Use os controles Vencimento da Conta para

especificar quando uma conta expira.
Leitura adicional
Propriedades do Usurio - guia Conta:
http://technet.microsoft.com/pt-br/library/dd145547.aspx
Redefinio de uma senha de usurio
Pontos principais
Se o usurio esquecer a senha e tentar fazer logon, receber uma mensagem de
logon.
Para que o usurio possa fazer logon com xito, voc ter de redefinir a senha. No
preciso saber a antiga senha do usurio para fazer isso.
Para redefinir a senha de um usurio no snap-in Usurios e Computadores do
Active Directory:
1. Clique com o boto direito do mouse no objeto de usurio e clique em
Redefinir senha.
A caixa de dilogo Redefinir senha ser exibida.
2. Insira a nova senha nas caixas Nova senha e Confirmar senha.
uma prtica recomendvel atribuir uma senha forte exclusiva temporria
para o usurio.
3. Marque a caixa de seleo O Usurio Deve Alterar a Senha no Prximo

Logon.
uma prtica recomendada forar o usurio a alterar a senha no prximo
logon para que tenha uma senha que somente ele conhece.
4. Clique em OK.
5. Comunique a senha temporria para o usurio de forma segura.
Tambm possvel usar o comando DSMod para redefinir a senha de um usurio

e, opcionalmente, for-lo a alterar a senha no prximo logon. Digite o seguinte
comando:
dsmod user UserDN pwd NewPassword -mustchpwd yes
onde UserDN o DN do objeto de usurio e NewPassword a nova senha. O

parmetro -mustchpwd yes fora o usurio a alterar a senha no prximo logon.
Dica: configure senhas altamente complexas para as contas de servio. Os servios

requerem credenciais para o acesso a recursos do sistema. Muitos servios requerem
uma conta de usurio do domnio para fazer a autenticao, e comum especificar que
a senha da conta nunca expira. Em situaes com essas, use uma senha longa complexa.
Se a conta de servio for usada por servios em um nmero limitado de sistemas, voc
poder aumentar a segurana dela configurando a propriedade Fazer Logon em com a
lista de sistemas que usam a conta.
Pergunta: Quais so as implicaes de segurana decorrentes de os

administradores terem direito de redefinir senhas de usurio?
Pergunta: Quem deve poder redefinir a senha dos usurios padro? E das contas
com privilgios administrativos? E das contas de servio?
Pergunta: Que prticas comerciais de redefinio de senha esto em uso na sua

organizao?
Leitura adicional
Redefinir uma senha de usurio:
Desbloqueio de uma conta de usurio
Pontos principais
Um domnio do Active Directory d suporte a diretivas de bloqueio de contas.
Uma diretiva de bloqueio visa impedir que um invasor tente penetrar na rede
corporativa fazendo logon repetidas vezes com vrias senhas at encontrar a senha
correta. Quando um usurio tenta fazer logon usando uma senha incorreta,
gerada uma falha de logon. Quando ocorrem muitas falhas de logon em um
determinado perodo, definido pela diretiva de bloqueio, a conta bloqueada. Na
prxima vez que o usurio tenta fazer logon, uma notificao informa claramente
sobre o bloqueio da conta. Voc aprender a configurar diretivas de bloqueio de
contas no Mdulo 9.
A diretiva de bloqueio pode definir um perodo aps o qual uma conta bloqueada
automaticamente desbloqueada. No entanto, quando o usurio tentar fazer logon e
descobrir que est bloqueado, provavelmente entrar em contato com a assistncia
tcnica para obter suporte.
Para desbloquear uma conta de usurio no snap-in Usurios e Computadores do

Active Directory:
1. Clique com o boto direito do mouse no objeto de usurio e clique em
Propriedades.
2. Clique na guia Conta.
3. Marque a caixa de seleo Desbloquear conta.
O Windows Server 2008 tambm adiciona a opo para desbloquear uma conta de
usurio quando voc escolhe o comando Redefinir Senha.
Para desbloquear uma conta de usurio ao redefinir uma senha de usurio:
Na caixa de dilogo Redefinir Senha, marque a caixa de seleo Desbloquear
a conta do usurio.
Este mtodo particularmente til quando uma conta de usurio torna-se

bloqueada porque de fato o usurio esqueceu a senha. Agora possvel atribuir
uma nova senha, especificar que o usurio deve alterar a senha no prximo logon e
desbloquear a conta do usurio em uma mesma caixa de dilogo.
Tome cuidado com unidades mapeadas com credenciais alternativas: uma das
causas comuns dos bloqueios de conta uma unidade mapeada com essas
credenciais. Se a senha das credenciais alternativas for alterada e o cliente
Windows tentar se conectar unidade vrias vezes, a conta ser bloqueada.
Pergunta: Alm de senhas esquecidas, voc j passou por outras situaes que
levaram a um bloqueio de conta?
Leitura adicional
O Mdulo 9 aborda as diretivas de bloqueio de contas detalhadamente.
Desabilitao e habilitao de contas de usurio
Pontos principais
As contas de usurio so entidades de segurana - identidades que podem receber
acesso a recursos de rede. Como cada usurio um membro de Usurios do
Domnio e da identidade especial Usurios Autenticados, cada conta de usurio
tem no mnimo acesso de leitura a uma infinidade de informaes no Active
Directory e nos seus sistemas de arquivos, a menos que voc esteja treinado e seja
muito bem-sucedido em bloquear ACLs (listas de controle de acesso).
Assim, importante no deixar contas de usurio abertas. Isso significa que voc
deve configurar diretivas de senha e auditoria (ambas so discutidas em outros
mdulos), alm de procedimentos para assegurar que as contas estejam sendo
utilizadas corretamente.
Se uma conta de usurio foi provisionada antes do necessrio, ou se um
funcionrio estar ausente por um perodo maior, desabilite a conta.
Para desabilitar uma conta no snap-in Usurios e Computadores do Active

Directory:
Clique com o boto direito do mouse em um usurio e clique em Desabilitar
Conta.
Se a conta j estiver desabilitada, o comando Habilitar Conta ser exibido quando
voc clicar no usurio com o boto direito do mouse.
No prompt de comando, use o comando DSMod, como neste exemplo:
dsmod user UserDN disabled yes
Habilitar uma conta simplesmente questo de trocar yes por no no comando

DSMod:
dsmod user UserDN disabled no
Em cada comando, UserDN o DN do objeto de usurio, e o parmetro -disabled

{yes|no} desabilita ou habilita a conta.
Pergunta: Que prticas comerciais so usadas na sua organizao para desabilitar e

habilitar contas?
Pergunta: Quais so as implicaes de segurana decorrentes de algum ter direito

de desabilitar ou habilitar contas de usurio?
Pergunta: Em que circunstncias voc desabilitaria uma conta de usurio em vez

de exclu-la?
Leitura adicional
Desabilitar ou habilitar uma conta de usurio:
Excluso de uma conta de usurio
Pontos principais
Quando uma conta no mais necessria, voc pode exclu-la do diretrio.
Para excluir uma conta de usurio em Usurios e Computadores do Active Directory:
1. Selecione o usurio e pressione Excluir ou clique no usurio com o boto
direito do mouse e clique em Excluir.
Voc solicitado a confirmar sua escolha devido s srias implicaes da
excluso de uma entidade de segurana.
2. Confirme o prompt.
possvel excluir objetos do Active Directory usando o comando DSRm, que

mais um dos comandos DS. O DSRm usa uma sintaxe simples:
dsrm UserDN
onde UserDN o DN do objeto de usurio. Observe que, ao contrrio de outros

comandos DS, o DSRm no seguido da classe do objeto de usurio.
fundamental levar em considerao que, uma vez excluda a conta, ela

totalmente eliminada do diretrio. No possvel simplesmente recriar uma nova
conta com o mesmo nome da conta excluda e esperar que ela tenha as mesmas
associaes de grupo e acesso a recursos, porque isso no acontecer. A perda do
SID do usurio e de suas associaes de grupo pode gerar problemas considerveis
se, mais tarde, voc perceber que precisa da conta.
Por esse motivo, muitas organizaes optam por encerrar uma conta de usurio em
etapas. Primeiro, a conta desabilitada. Aps um perodo, ela excluda. Na
verdade, o Active Directory mantm um subconjunto de propriedades da conta
principalmente o SID durante um perodo chamado de tempo de vida para
desativao, que por padro dura 180 dias. Aps esse tempo, o registro da conta
removido do diretrio.
Voc tambm pode considerar a opo de reciclar uma conta de usurio. Se um
usurio deixar a organizao, possvel que posteriormente voc contrate um
substituto que precisar de acesso a recursos, associaes de grupo e direitos de
usurio muito parecidos com os do usurio anterior. possvel desabilitar a conta
at encontrar um substituto e, ento, renome-la de acordo com o nome do novo
usurio. O SID, as associaes de grupo e o acesso a recursos do usurio anterior
so, portanto, transferidos para o substituto.
Pergunta: Quais so as prticas comerciais relacionadas ao encerramento de uma

conta de usurio na sua organizao?
Leitura adicional
Excluir uma conta de usurio:
Movimentao de uma conta de usurio
Pontos principais
Para mover um objeto de usurio no snap-in Usurios e Computadores do Active
Directory:
1. Clique no usurio com o boto direito do mouse e clique em Mover.
2. Clique na pasta para a qual voc deseja mover a conta de usurio. Em seguida,
clique em OK.
Se preferir, voc pode

Arrastar o objeto de usurio e solt-lo na UO de destino.
Para mover um usurio com uma ferramenta de linha de comando, use DSMove.
DSMove usa a seguinte sintaxe:
dsmove UserDN newparent TargetOUDN

O comando DSMove no especifica a classe do objeto de usurio. Em vez disso, ele

simplesmente indica o DN do usurio a ser movido e, no espao reservado
TargetOUDN, o DN da UO para a qual o usurio ser movido.
Considere que, ao mover um usurio, voc deve alterar os GPOs (Objetos de
Diretiva de Grupo) que se aplicam a ele. Os GPOs so abordados em um mdulo
posterior.
Use o comando DSMove com a opo -newname para alterar o CN do objeto.
Leitura adicional
Mover uma conta de usurio:
Laboratrio A: Criao e administrao de

contas de usurio
Cenrio
Voc o administrador da Contoso, Ltd., uma universidade online de ensino para
adultos. Foram contratados dois novos funcionrios: Chris Mayo e Amy Strande.
Voc deve criar contas para esses usurios. Com o passar do tempo, Chris Mayo sai
da organizao, e sua conta deve ser administrada conforme a poltica da empresa
sobre gerenciamento do ciclo de vida de contas de usurio.
Exerccio 1: Criar contas de usurio

Neste exerccio, voc criar contas de usurio com o snap-in Usurios e
Computadores do Active Directory e o prompt de comando.
2. Criar uma conta de usurio com Usurios e Computadores do Active
Directory.
3. Criar uma conta de usurio com o comando DSAdd.

Inicie 10222A-HQDC01-A.
Faa logon como Pat.Coleman com a senha Pa$$w0rd.
Execute D:\Labfiles\Lab03b\Lab03a_Setup.bat usando credenciais
administrativas. Use a conta Pat.Coleman_Admin com a senha Pa$$w0rd.
Tarefa 2: Criar uma conta de usurio com Usurios e Computadores do

Active Directory
Execute Usurios e Computadores do Active Directory com credenciais
Crie uma conta de usurio para Chris Mayo na UO Employees.
Nome: Chris
Sobrenome: Mayo
Nome de Logon do Usurio: Chris.Mayo
Nome de Logon do Usurio (Anterior ao Windows 2000): Chris.Mayo
Senha: Pa$$w0rd
Especifique que ele deve alterar a senha no prximo logon
Tarefa 3: Criar uma conta de usurio com o comando DSAdd

Execute o Prompt de Comando com credenciais administrativas. Use a conta
No prompt de comando, crie uma conta de usurio para Amy Strande na UO
Employees.
Nome: Amy
Sobrenome: Strande
UPN: Amy.Strande@contoso.com
Nome de Logon do Usurio (Anterior ao Windows 2000): Amy.Strande
Nome para Exibio: Strande, Amy
Descrio: Vice-presidente, TI
Em Usurios e Computadores do Active Directory, abra as propriedades da
conta de usurio que voc acabou de criar para confirmar que os atributos
foram definidos corretamente.
Resultados: aps esse exerccio, voc ter contas de usurio chamadas Chris Mayo e
Amy Strande na UO Employees.
Exerccio 2: Administrar contas de usurio

Neste exerccio, voc executar tarefas comuns que do suporte a contas de
usurio ao longo do seu ciclo de vida no Active Directory.
1. Administrar uma conta de usurio.
2. Administrar o ciclo de vida de uma conta de usurio.
Tarefa 1: Administrar uma conta de usurio

A conta de usurio de Amy Strande est desabilitada porque nenhuma senha foi
especificada usando o comando DSAdd.
1. Que parmetro voc poderia ter usado com o comando DSAdd para
especificar uma senha?
2. Em Usurios e Computadores do Active Directory, redefina a senha de Amy
Strande como Pa$$w0rd e especifique que ela deve alter-la no prximo
logon.
3. Em Usurios e Computadores do Active Directory, habilite a conta de
usurio de Amy Strande.
4. Que comando poderia ter sido usado no prompt de comando para redefinir a
senha, especificar que ela deve ser alterada no prximo logon e habilitar a
conta? Escreva o comando, incluindo todos os parmetros.
Resultados: aps esse exerccio, a conta de Amy Strande estar habilitada.
Tarefa 2: Administrar o ciclo de vida de uma conta de usurio

1. A poltica da Contoso sobre gerenciamento do ciclo de vida de contas de
usurio afirma o seguinte:
Quando um usurio deixa a organizao por qualquer que seja o motivo,
inclusive licena, sua conta deve ser desabilitada de imediato e movida
para a UO Contas Desabilitadas.
A conta de usurio deve ser excluda 60 dias aps o desligamento do
usurio.
2. Chris Mayo saiu da Contoso, Ltd. Desabilite sua conta e a mova para a UO
Contas Desabilitadas.
3. J faz 60 dias que a conta de Chris Mayo foi desabilitada, e os procedimentos

da empresa especificam que, aps 60 dias, uma conta de usurio desabilitada
deve ser excluda. Exclua a conta de usurio de Chris Mayo.
4. Saia de HQDC01.
Resultados: aps esse exerccio, a conta de Chris Mayo ter sido excluda.

Exerccio 3 (Avanado opcional): Explorar atributos de

nome da conta de usurio
1. Criar uma conta de usurio de exemplo. Na caixa Nome Completo, digite o
nome do usurio no formato Sobrenome, Nome.
2. Veja a exibio do usurio no painel de detalhes de Usurios e Computadores
do Active Directory. Voc dever ver o usurio listado como Sobrenome, Nome.
3. Nas propriedades do objeto de usurio, clique na guia Editor de Atributos e
examine o valor real do atributo cn.
4. Utilize o snap-in Esquema do Active Directory para examinar o atributo
sAMAccountName. Qual seu limite de comprimento definido pelo esquema?
5. Tente criar um usurio com um nome de 30 caracteres na caixa Nome de
logon do usurio (anterior ao Windows 2000). Experimente determinar o
comprimento mximo do atributo sAMAccountName. O Active Directory
restringe o atributo sAMAccountName de objetos de usurio a um
comprimento significativamente menor do que o definido pelo esquema.
Pergunta: Neste laboratrio, que atributo(s) pode(m) ser modificado(s) quando

voc cria uma conta de usurio com o prompt de comando que no pode(m) ser
modificado(s) durante a criao de uma conta de usurio com o snap-in Usurios e
Computadores do Active Directory?
Pergunta: O que acontece quando voc cria uma conta de usurio cuja senha no
atende aos requisitos do domnio?
Lio 2
Configurao de atributos do objeto de usurio
Pontos principais
No Active Directory, um objeto de usurio bem mais do que apenas um conjunto
de propriedades relacionadas identidade de segurana ou conta do usurio. Um
objeto de usurio inclui atributos que descrevem a pessoa e seu relacionamento
com a organizao, bem como informaes de contato e configurao da
experincia do usurio no respectivo computador. Nesta lio, voc ir explorar
muitos dos atributos de objeto de usurio mais teis e aprender a administrar os
atributos de um ou mais usurios.
Objetivos
Modificar atributos de diversos usurios simultaneamente.

Gerenciar atributos de usurio no prompt de comando.
Demonstrao: Um tour pelos atributos de usurio
Pontos principais
Quando voc cria um usurio com o Assistente Novo Objeto - Usurio do snap-in
Usurios e Computadores do Active Directory, deve inserir algumas propriedades
comuns, incluindo nomes de logon, senhas e nome e sobrenome do usurio.
Porm, no Active Directory, um objeto de usurio d suporte a vrias outras
propriedades que podem ser configuradas a qualquer momento atravs do snap-in
Usurios e Computadores do Active Directory.
Para ler e modificar os atributos de um objeto de usurio, clique no usurio com o

boto direito do mouse e clique em Propriedades.
Os atributos de um objeto de usurio se enquadram em vrias grandes categorias,

que so exibidas nas guias da caixa de dilogo.
Atributos de conta: a guia Conta. Essas propriedades incluem nomes de
logon, senhas e sinalizadores de conta. Muitas delas podem ser configuradas
durante a criao de um novo usurio com o snap-in Usurios e
Computadores do Active Directory. A seo Propriedades de conta detalha os
atributos de conta.
Informaes pessoais: as guias Geral, Endereo, Telefones e Organizao.

A guia Geral expe as propriedades de nome que so configuradas quando
voc cria um objeto de usurio, bem como a descrio bsica e informaes de
contato. As guias Endereo e Telefones fornecem informaes de contato
detalhadas. A guia Telefones tambm onde a Microsoft escolheu colocar o
campo Observaes, que mapeado para o atributo info e constitui um campo
de texto de finalidade geral bastante til, muitas vezes subutilizado pelas
empresas. A guia Organizao mostra o cargo, o departamento, a empresa e
relaes organizacionais.
Gerenciamento de configurao de usurio: a guia Perfil. Aqui voc pode
configurar o caminho do perfil do usurio, o script de logon e a pasta base.
Associao de grupo: a guia Membro de. possvel adicionar o usurio e
remov-lo de grupos, bem como alterar seu grupo primrio. As associaes de
grupo e o grupo primrio sero discutidos em outro mdulo.
Servios de terminal: as guias Servios de Terminal, Ambiente, Controle
Remoto e Sesses. Essas quatro guias permitem configurar e gerenciar a
experincia do usurio quando ele est conectado a uma sesso dos Servios
de Terminal.
Acesso remoto: a guia Discagem. Voc pode habilitar e configurar permisso
de acesso remoto para um usurio na guia Discagem.
Aplicativos: a guia COM+. Permite atribuir o usurio a um conjunto de
parties COM+ do Active Directory. Este recurso facilita o gerenciamento de
aplicativos distribudos.
Exibio de todos os atributos
Pontos principais
O Editor de Atributos permite exibir e editar todos os atributos de um objeto de
usurio. A guia Editor de Atributos s fica visvel depois que voc habilita Recursos
Avanados no menu Exibir do MMC (Console de Gerenciamento Microsoft).
O Editor de Atributos exibe todos os atributos de sistema do objeto selecionado. O
boto Filtrar permite ver ainda mais atributos, inclusive vnculos regressivos e
atributos construdos.
Vnculos regressivos so atributos que resultam de referncias ao objeto a partir de
outros objetos. A maneira mais fcil de entender os vnculos regressivos vendo
um exemplo: o atributo memberOf. Quando um usurio adicionado a um grupo,
o atributo de membro do grupo que alterado: o nome distinto do usurio
adicionado a esse atributo de vrios valores. Por isso, o atributo de membro de um
grupo chamado de atributo de vnculo progressivo. O atributo memberOf de um
usurio atualizado automaticamente pelo Active Directory quando o usurio
referenciado por um atributo de membro de um grupo. Voc nunca escreve o
atributo memberOf do usurio diretamente - ele mantido dinamicamente pelo
Active Directory.
Um atributo construdo um dos resultados de um clculo realizado pelo Active

Directory. Um exemplo o atributo tokenGroups. Esse atributo uma lista de
SIDs de todos os grupos aos quais o usurio pertence, inclusive grupos aninhados.
Para determinar o valor de tokenGroups, o Active Directory deve calcular a
associao efetiva do usurio, o que demanda alguns ciclos do processador.
Portanto, o atributo no armazenado como parte do objeto de usurio nem
mantido dinamicamente. Em vez disso, ele calculado quando necessrio. Devido
ao processamento necessrio para produzir atributos construdos, o Editor de
Atributos no os aplica por padro. Tambm no possvel us-los em consultas
do protocolo LDAP.
Pergunta: Voc est usando algum dos atributos ocultos na sua organizao?
Nesse caso, como voc interage com eles (ler e modificar os atributos)?
Modificao de atributos de vrios usurios
Pontos principais
O snap-in Usurios e Computadores do Active Directory permite modificar as
propriedades de vrios objetos de usurio simultaneamente.
Para modificar os atributos de diversos usurios no snap-in Usurios e
Computadores do Active Directory:
1. Selecione vrios objetos de usurio mantendo a tecla CTRL pressionada
medida que voc clica em cada nome de usurio ou utilize outra tcnica de
seleo mltipla.
Selecione apenas objetos de uma classe, como usurios.
2. Depois de ter selecionado os vrios objetos, clique em qualquer um deles com
o boto direito do mouse e clique em Propriedades.
Depois que voc tiver selecionado os vrios objetos de usurio, um subconjunto de

propriedades fica disponvel para modificaes.
Geral: Descrio, Escritrio, Nmero de Telefone, Fax, Pgina da Web, Email
Conta: Sufixo UPN, Horrio de Logon, Restries do Computador (estaes de
trabalho para logon), todas as Opes de Conta, Vencimento da Conta
Endereo: Rua, Caixa Postal, Cidade, Estado, CEP, Pas/Regio
Perfil: Caminho do Perfil, Script de Logon, Pasta Base
Organizao: Cargo, Departamento, Empresa, Gerente
Gerenciamento de atributos de usurio com DSMod e

DSGet
Pontos principais
Os comandos DSMod e DSGet so duas ferramentas de linha de comando do
Active Directory, que tambm so chamadas de comandos DS.
DSMod
DSMod modifica os atributos de um ou mais objetos existentes. A sintaxe bsica de
DSMod :
dsmod user UserDN [-parameter value]
O parmetro UserDN especifica o nome distinto do usurio que ser modificado.

Os demais parmetros indicam o atributo a ser alterado e o novo valor. Por
exemplo, este comando altera o atributo de escritrio de Tony Krijnen:
dsmod user "cn=Tony Krijnen,ou=Employees,OU=User

Accounts,dc=contoso,dc=com" office "Estocolmo"
Os parmetros de atributo no so mapeados diretamente para os nomes de

atributos LDAP de um objeto de usurio. Por exemplo, o atributo -dept do
comando DSMod User modifica o atributo de departamento de um objeto de
usurio. Alm disso, DSMod User s pode modificar um subconjunto de atributos
de usurio. Digite dsmod user /? para obter informaes de uso e uma lista de
parmetros com suporte.
Piping de vrios DNs para DSMod
O parmetro UserDN do comando DSMod no precisa ser inserido diretamente no
prompt de comando. H duas formas de fazer piping de DNs para ele. A primeira
inserir os DNs no console. Vamos supor que voc precise alterar o atributo de
escritrio de dois usurios, Linda Mitchell e Scott Mitchell, para refletir a
realocao para a filial de Sydney. No prompt de comando, digite o seguinte:
dsmod user office "Sydney"
O parmetro UserDN est faltando. O console (prompt de comando) espera voc

inserir os DNs dos usurios. Insira um por linha, usando aspas, e pressione
ENTER depois de inserir cada DN. Depois que voc inserir o ltimo DN e
pressionar ENTER, pressione CTRL+Z no comeo da prxima linha e, em seguida,
ENTER para indicar que concluiu a operao. O comando ser executado em cada
um dos DNs inseridos.
Uma forma mais sofisticada de enviar DNs para o comando DSMod fazer piping
dos resultados de um comando DSQuery. DSQuery procura critrios especficos
no Active Directory e retorna os DNs dos objetos correspondentes. Por exemplo,
para alterar o atributo de escritrio das contas de Linda e Scott Mitchell para
Sydney, use o seguinte comando:
dsquery user name "* Mitchell" | dsmod user office "Sydney"
O comando DSQuery User procura no Active Directory usurios cujos nomes

terminam com Mitchell. Os DNs dos objetos resultantes so enviados para DSMod
User, que altera o atributo de escritrio para Sydney.
Outro exemplo: vamos supor que voc queira atribuir para todos os usurios uma
pasta base em SERVER01. Este comando altera os atributos homeDirectory e
homeDrive dos objetos de usurio na UO User Accounts:
dsquery user "ou= User Accounts,dc=contoso,dc=com" | dsmod user

-hmdir "\\server01\users\$username$\documents" hmdrv "U:"
O token especial $username$ pode ser utilizado para representar o

sAMAccountName dos objetos de usurio quando so usados comandos DS para
configurar o valor dos atributos -email, -hmdir, -profile e -webpg.
DSGet
O comando DSGet obtm e mostra atributos selecionados de um ou mais objetos.
Assim como o DSMod, a sintaxe a seguinte:
dsget user UserDN... [-parameter]
Voc pode fornecer os DNs de um ou mais objetos de usurio especificando-os no

comando (separados por espaos), inserindo-os no console ou fazendo piping dos
resultados de um comando DSQuery User. Diferentemente de DSMod, DSGet usa
apenas um parmetro e no um valor associado. Por exemplo, DSGet usa o
parmetro -samid da mesma forma que DSMod, mas no usa um valor. Ao
contrrio, ele relata o valor atual do atributo. Por exemplo, para exibir o nome de
logon anterior ao Windows 2000 de Jeff Ford na UO Employees, use o seguinte
comando:
dsget user "cn=Jeff Ford,ou= Employees,ou=User

Accounts,dc=contoso,dc=com" samid
Para exibir os endereos de email de todos os usurios cujo atributo de descrio

indica que eles esto no escritrio de Sydney, use este comando:
dsquery user desc "*Sydney*" | dsget user email

Demonstrao: Criao de usurios com modelos
Pontos principais
Os usurios de um domnio com frequncia compartilham muitas propriedades
semelhantes. Por exemplo, todos os representantes de vendas podem pertencer
aos mesmos grupos de segurana, fazer logon na rede em horrios parecidos e ter
pastas base e perfis mveis armazenados no mesmo servidor. Quando voc cria
um novo usurio, pode simplesmente copiar uma conta j existente em vez de criar
uma conta vazia e preencher cada propriedade.
Desde o Windows NT 4.0, o Windows tem apoiado o conceito de modelos de
conta de usurio. Um modelo de conta de usurio consiste em uma conta de
usurio genrica j preenchida com propriedades comuns. Por exemplo, possvel
criar uma conta de modelo para representantes de vendas que seja pr-configurado
com associaes de grupo, horrios de logon, uma pasta base e o caminho do perfil
mvel.
Para criar um modelo de conta de usurio:

1. Crie uma conta de usurio e preencha os atributos apropriados.
Dica: use um padro de nomenclatura que facilite a localizao dos modelos. Por
exemplo, defina o nome completo para que inicie com sublinhado (_), como em _Sales
User. O sublinhado far com que todos os modelos sejam exibidos no incio da lista de
usurios em uma UO.
2. Desabilite a conta de usurio de modelo.

A conta de modelo propriamente dita no deve ser usada para fazer logon na
rede, por isso voc deve desabilit-la.
Para criar um usurio com base no modelo:

1. Clique com o boto direito do mouse na conta de usurio de modelo e clique
em Copiar.
O Assistente Copiar Objeto Usurio ser exibido.
2. Em Nome, digite o nome do usurio.
3. Em Sobrenome, digite o sobrenome do usurio.
4. Modifique o valor Nome completo se necessrio.
5. Em Nome de logon do usurio, digite o nome de logon do usurio e selecione
o sufixo UPN adequado na lista suspensa.
6. Em Nome de logon do usurio (anterior ao Windows 2000), digite o nome
de usurio do usurio anterior ao Windows 2000.
8. Em Senha e Confirmar senha, digite a senha do usurio.
9. Selecione as opes de senha apropriadas.
10. Se a conta de usurio da qual foi copiada a nova conta de usurio estiver
desabilitada, desmarque A conta est desabilitada para habilitar a nova conta.
Leitura adicional
Copiar uma conta de usurio:
Criao de usurios com modelos
Pontos principais
importante compreender que nem todos os atributos so copiados. A lista a
seguir resume os atributos que so copiados. No proveitoso configurar outros
atributos do modelo, uma vez que eles no sero copiados.
Guia Geral. Nenhuma propriedade copiada da guia Geral.
Guia Endereo. Caixa postal, cidade, estado, CEP e pas ou regio so
copiados. O endereo propriamente dito no copiado.
Guia Conta. Horrios de logon, estaes de trabalho para logon e vencimento
da conta so copiados.
Guia Perfil. Caminho do perfil, script de logon, unidade inicial e caminho da
pasta base so copiados.
Guia Organizao. Departamento, empresa e gerente so copiados.
Guia Membro de. Associaes de grupo e grupo primrio so copiados.
Observao: existem outros atributos copiados que nem mesmo ficam visveis na caixa
de dilogo Propriedades do usurio. Esses atributos incluem assistente, diviso e tipo de
funcionrio.
Pergunta: Que outros mtodos voc utiliza para criar novas contas de usurio com
atributos comuns?
Laboratrio B: Configurao de atributos do

objeto de usurio
Cenrio
adultos. Mudanas ocorridas no departamento de Vendas exigem que voc
modifique atributos de usurios de Vendas. Alm disso, voc decidiu simplificar a
criao de novas contas de vendedores e preparou um modelo de conta de usurio.
Exerccio 1: Examinar atributos do objeto de usurio

Neste exerccio, voc examinar os atributos de um objeto de usurio.
2. Explorar as propriedades de um objeto de usurio do Active Directory.
3. Explorar todos os atributos de um objeto de usurio do Active Directory.
4. Analisar a nomenclatura e a exibio dos atributos do objeto de usurio.

A mquina virtual j deve estar iniciada e disponvel aps a concluso do
Laboratrio A. No entanto, se no estiver, voc deve inici-la e fazer os exerccios
do Laboratrio A antes de continuar.
Execute D:\Labfiles\Lab03b\Lab03b_Setup.bat usando credenciais
Tarefa 2: Explorar as propriedades de um objeto de usurio do Active

Directory
Abra as propriedades de Tony Krijnen na UO Employees.
Neste domnio de exemplo contoso.com, atributos foram configurados nas
guias Geral, Endereo, Conta e Organizao. Examine cada uma dessas guias
e feche a caixa de dilogo Propriedades.
Tarefa 3: Explorar todos os atributos de um objeto de usurio do

Active Directory
Habilite a exibio Recursos Avanados do snap-in Usurios e
Examine a guia Editor de Atributos da caixa de dilogo Propriedades de
Tony Krijnen.
Tarefa 4: Analisar a nomenclatura e a exibio dos atributos do objeto

de usurio
Para cada um dos seguintes atributos exibidos na caixa de dilogo
Propriedades de Tony Krijnen, identifique o nome de atributo
correspondente na guia Editor de Atributos:
Nome do atributo como

Guia da caixa de dilogo Nome da mostrado na guia Editor de
Propriedades propriedade Atributos
Geral Nome
Geral Sobrenome
Geral Nome para exibio
Geral Descrio
Geral Escritrio
Geral Nmero de telefone
Geral Email
Endereo Rua
Endereo Cidade
Endereo CEP
Endereo Pas
Organizao Cargo
Organizao Departamento
Organizao Empresa
Perguntas:
1. Use a guia Editor de Atributos para responder as perguntas a seguir.
O atributo employeeID, mostrado na guia Editor de Atributos, exibido
em uma guia normal da caixa de dilogo Propriedades? Em caso
afirmativo, em qual guia? E o atributo carLicense?
Observando a guia Editor de Atributos, qual o DN do objeto de Tony
Krijnen?
Observando a guia Editor de Atributos, qual o UPN de Tony? Em que
outra guia o atributo aparece e como ele identificado e exibido?
2. Perguntas para reflexo: tente responder as perguntas a seguir. No entanto,
possvel que voc no encontre uma resposta. Tudo bem. Depois de pensar em
uma resposta, voc poder consultar as Respostas do laboratrio.
Por que o atributo sn deve ser nomeado como sn?
Para que serve o atributo c?
Exerccio 2: Gerenciar atributos do objeto de usurio

Neste exerccio, voc gerenciar os atributos de objetos de usurio.
1. Modificar os atributos de vrios objetos de usurio.
2. Gerenciar atributos de usurio no prompt de comando.
Tarefa 1: Modificar os atributos de vrios objetos de usurio

Uma Fora-tarefa de Marketing especial foi estabelecida por Ariane Berthier, Vice-
presidente de Marketing. Os membros da fora-tarefa esto sendo realocados para
a Sede e se reportaro diretamente a Ariane.
Selecione os seguintes usurios na UO Employees: Adam Barr, Adrian
Lannin, Ajay Manchepalli, Ajay Solanki, Allan Guinot, Anav Silverman e
Andrs Tth.
Configure as seguintes propriedades para os usurios:
Escritrio: Sede.
Descrio: Fora-tarefa de Marketing.
Gerente: Ariane Berthier.
Depois de alterar os atributos, abra as propriedades de Adam Barr e examine
os atributos que voc acabou de alterar.
Gerente um atributo vinculado. O outro lado do link o atributo
Subordinados Diretos. Abra as propriedades de Ariane Berthier e examine os
Subordinados Diretos.
Tarefa 2: Gerenciar atributos de usurio no prompt de comando

Abra o Prompt de Comando com credenciais administrativas. Use a conta
Use os comandos DS para listar os endereos de email de todos os usurios da
Fora-tarefa de Marketing.
Dica: os usurios da Fora-tarefa de Marketing compartilham uma propriedade

Descrio em comum.
Use os comandos DS para configurar a pasta base para todos os usurios da

Fora-tarefa de Marketing, de modo que cada um tenha uma unidade U: que
seja mapeada para \\FILE01\TaskForceUsers\nomedeusurio, onde
nomedeusurio o nome de logon exclusivo de cada usurio.
Em Usurios e Computadores do Active Directory, verifique se as alteraes
que voc fez foram aplicadas corretamente examinando as propriedades de
Adam Barr.
Exerccio 3: Criar usurios com base em um modelo

Neste exerccio, voc criar um modelo de conta de usurio e gerar uma nova
conta de usurio com base nele.
1. Criar um modelo de conta de usurio para Sales.
2. Criar uma nova conta de usurio com base em um modelo.
Tarefa 1: Criar um modelo de conta de usurio para Vendas

Na UO Funcionrios, crie uma conta de modelo para os novos funcionrios
de vendas com as seguintes propriedades:
Nome e Sobrenome: em branco.
Nome Completo: _Usurio de Vendas (observe o sublinhado no comeo
do nome).
Nome de Logon do Usurio: Modelo.Vendas.
Senha: Pa$$w0rd.
O usurio deve alterar a senha no prximo logon.
A conta est desabilitada.
Membro de: Vendas.
Departamento: Vendas.
Empresa: Contoso, Ltd.
Gerente: Anibal Sousa.
Vencimento da Conta: ltimo dia deste ano.
Tarefa 2: Criar uma nova conta de usurio com base em um modelo

Na UO Funcionrios, crie uma conta para um novo vendedor com base no
modelo _Usurio de Vendas. A conta deve ter as seguintes propriedades:
Nome: Rob.
Sobrenome: Young.
Nome de logon do usurio: Rob.Young.
Senha: Pa$$w0rd.
A conta est habilitada.
Resultados: aps esse exerccio, voc ter uma conta de usurio chamada Rob Young
na UO Employees. A conta ter todos os atributos que voc configurou para o modelo
_Usurio de Vendas.
Exerccio 4 (Avanado opcional): Criar usurios com um

arquivo em lotes
1. Criar um script chamado User_Provision.bat que utilize DSAdd para
provisionar um usurio na UO Funcionrios. A meta executar o script com
dois parmetros: nome e sobrenome. O arquivo em lotes deve usar esses dois
parmetros para criar uma conta de usurio com os seguintes atributos:
O nome e o sobrenome conforme definido nos parmetros da linha de
comando.
O nome no formato Nome Sobrenome.
sAMAccountName no formato Nome.Sobrenome.
userPrincipalName no formato Nome.Sobrenome@contoso.com.
O endereo de email no mesmo formato do UPN.
displayName no formato Sobrenome, Nome.
Uma senha inicial Pa$$w0rd, que o usurio deve alterar no primeiro
logon.
Dica: quando voc executa um script em lotes com parmetros, o script pode fazer
referncia ao primeiro parmetro como %1 e ao segundo parmetro como %2.
2. Execute o Prompt de Comando com credenciais administrativas e teste o

script para criar uma conta de usurio de exemplo. Verifique se o usurio foi
criado corretamente e se todos os atributos foram preenchidos de acordo com
as especificaes acima.
3. Compare os resultados com D:\Labfiles\Lab03b\User_Provision.bat.

configuraes definidas aqui sero usadas no Laboratrio C.
Pergunta: Que opes voc aprendeu para modificar atributos de usurios novos e
j existentes?
Pergunta: Quais so as vantagens e desvantagens de cada um?

Lio 3
Automatizao da criao de contas de usurio
Embora os procedimentos discutidos nas Lies 1 e 2 possam ser aplicados para

criar poucos usurios, voc precisar de tcnicas mais avanadas para automatizar
a criao de contas de usurio quando for necessrio adicionar muitos usurios ao
domnio. Nesta lio, voc conhecer vrias dessas tcnicas.
Exportar atributos de usurio com CSVDE
Importar usurios com CSVDE
Importar usurios com LDIFDE
Exportao de usurios com CSVDE
Pontos principais
CSVDE uma ferramenta de linha de comando que exporta ou importa objetos do
Active Directory para/de um arquivo de texto delimitado por vrgulas (tambm
conhecido como arquivo de texto com valores separados por vrgula ou arquivo
.csv). Esses arquivos podem ser criados, modificados e abertos com ferramentas
conhecidas, como o Bloco de Notas e o Microsoft Office Excel.
A sintaxe bsica do comando CSVDE para exportao :
csvde -f filename
No entanto, esse comando exportar todos os objetos do domnio do Active

Directory. Convm limitar o escopo da exportao, o que possvel com estes
quatro parmetros:
-d RootDN. Especifica o nome distinto do continer a partir do qual comear
a exportao. O padro o prprio domnio.
-p SearchScope. Especifica o escopo da pesquisa relativa ao continer

especificado por -d. SearchScope pode ser base (somente este objeto), onelevel
(objetos neste continer) ou subtree (este continer e todos os subcontineres).
O padro subtree.
-r Filter. Filtra os objetos retornados no escopo configurado por -d e -p. Filter
uma sintaxe de consulta LDAP. Voc trabalhar com um filtro no laboratrio
desta lio. A sintaxe de consulta LDAP vai alm do escopo deste curso. Para
obter mais informaes, consulte http://technet.microsoft.com/pt-
br/library/aa996205(EXCHG.65).aspx (em ingls).
-l ListOfAttributes. Especifica os atributos que sero exportados. Use os nomes
LDAP de cada atributo separados por vrgula, como em
-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
A sada de uma exportao com CSVDE lista os nomes de atributo LDAP na

primeira linha. Em seguida, vem cada objeto, um por linha, e eles devem conter
exatamente os atributos listados na primeira linha. Veja um arquivo de exemplo:
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c
ontoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew
s@contoso.com
Importao de usurios com CSVDE
Pontos principais
CSVDE tambm pode criar contas de usurio importando um arquivo .csv. Se voc
tiver informaes de usurio em bancos de dados existentes do Excel ou do
Microsoft Office Access, ver que CSVDE uma forma avanada de aproveitar
essas informaes para automatizar a criao de contas de usurio.
A sintaxe bsica do comando CSVDE para importao :
csvde -i -f filename -k
O parmetro -i especifica modo de importao; sem ele, o modo padro de CSVDE

de exportao. O parmetro -f identifica o nome de arquivo do qual importar ou
para o qual exportar. O parmetro -k til em operaes de importao porque
instrui CSVDE a ignorar erros, inclusive O objeto j existe
O arquivo de importao propriamente dito um arquivo de texto delimitado por

vrgula (.csv ou .txt) em que a primeira linha define os atributos importados pelos
respectivos nomes de atributo LDAP. Em seguida, vem cada objeto, um por linha, e
eles devem conter exatamente os atributos listados na primeira linha. Veja um
arquivo de exemplo:
DN,objectClass,sn,givenName,sAMAccountName,userPrincipalName
"CN=David Jones,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Jones,David,david.jones,david.jones@c
ontoso.com
"CN=Lisa Andrews,OU=Employees,OU=User
Accounts,DC=contoso,DC=com",user,Andrews,Lisa,lisa.andrews,lisa.andrew
s@contoso.com
Esse arquivo, quando importado pelo comando CSVDE, criar um objeto de

usurio para Lisa Andrews na UO Funcionrios. Os nomes de logon dos usurios,
sobrenome e nome, so configurados pelo arquivo. No possvel usar CSVDE
para importar senhas, e sem uma senha a conta de usurio ser desabilitada
inicialmente. Depois de redefinir a senha, voc poder habilitar o objeto.
Para obter mais informaes sobre CSVDE, incluindo detalhes referentes a
parmetros e uso para exportar objetos de diretrio, digite csvde /? ou pesquise no
Centro de Ajuda e Suporte do Windows Server 2008.
Importao de usurios com LDIFDE
Pontos principais
Voc tambm pode usar LDIFDE.exe para importar ou exportar objetos do Active
Directory, inclusive usurios. LDIF um esboo de padro de Internet para
formato de arquivo que pode ser utilizado para executar operaes em lotes em
diretrios que esto em conformidade com os padres LDAP. LDIF d suporte a
operaes de importao e exportao e a operaes em lotes que modificam
objetos no diretrio. O comando LDIFDE implementa essas operaes em lotes
usando arquivos LDIF.
O formato de arquivo LDIF consiste em um bloco de linhas que, juntas, compem

uma nica operao. Vrias operaes em um mesmo arquivo devem ser separadas
por uma linha em branco. Cada linha que contm uma operao formada por um
nome de atributo, seguido de dois-pontos e o valor do atributo. Por exemplo,
vamos supor que voc quisesse importar objetos de usurio relativos a dois
representantes de vendas chamados Bonnie Kearney e Bobby Moore. O contedo
do arquivo LDIF seria semelhante a este exemplo:
dn: CN=Bonnie Kearney,OU=Employees,OU=User Accounts,DC=contoso,DC=com

changetype: add
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: Bonnie Kearney
sn: Kearney
title: Operations
description: Operations (London)
givenName: Bonnie
displayName: Kearney, Bonnie
company: Contoso, Ltd.
sAMAccountName: bonnie.kearney
userPrincipalName: bonnie.kearney@contoso.com
mail: bonnie.kearney@contoso.com
dn: CN=Bobby Moore,OU=Employees,OU=User Accounts,DC=contoso,DC=com

changetype: add
objectClass: top
objectClass: person
objectClass: user
cn: Bobby Moore
sn: Moore
title: Legal
description: Legal (New York)
givenName: Bobby
displayName: Moore, Bobby
company: Contoso, Ltd.
sAMAccountName: bobby.moore
userPrincipalName: bobby.moore@contoso.com
mail: bobby.moore@contoso.com
Cada operao comea com o atributo DN do objeto que o alvo da operao. A

prxima linha, changeType, especifica o tipo de operao: adicionar, modificar ou
excluir.
Como voc pode ver, o formato de arquivo LDIF no to intuitivo ou familiar

quanto o formato de texto separado por vrgula. Entretanto, como o formato LDIF
tambm um padro, muitos bancos de dados e servios de diretrio podem
exportar arquivos LDIF.
Depois de criar ou obter um arquivo LDIF, voc poder executar as operaes
especificadas pelo arquivo usando o comando LDIFDE. Em um prompt de
comando, digite ldifde /? para obter informaes sobre uso. As duas opes mais
importantes para o comando LDIFDE so:
-i. Ativa o modo de importao. Sem este parmetro, LDIFDE exporta
informaes.
-f nomedoarquivo. O arquivo do qual importar ou para o qual exportar.
Por exemplo, o seguinte comando importar objetos do arquivo chamado

Newusers.ldf:
ldifde i f newusers.ldf
O comando aceita uma variedade de modificaes usando-se parmetros. Os

parmetros mais teis esto resumidos a seguir:
Comando Uso
Parmetros gerais
-i Modo de importao (o padro modo de exportao)
-f nomedoarquivo Importar ou exportar nome de arquivo
-s nomedoservidor O controlador de domnio ao qual vincular para a consulta
-c FromDN ToDN Converter ocorrncias de FromDN em ToDN. til para importar

objetos de outro domnio, por exemplo.
-v Ativar o modo detalhado
-j caminho Local do arquivo de log
-? Ajuda
Parmetros especficos de exportao
-d RootDN A raiz da pesquisa LDAP. O padro a raiz do domnio.
-r Filter Filtro de pesquisa LDAP. O padro (objectClass=*), o que

significa todos os objetos.
-p SearchScope O escopo, ou profundidade, da pesquisa. Pode ser subtree (o

continer e todos os contineres filho), base (somente os
objetos filho imediatos do continer) ou onelevel (o continer e
seus contineres filho imediatos).
-l list Lista de atributos separados por vrgula a serem includos na

exportao dos objetos resultantes. til para exportar um
nmero limitado de atributos.
-o list Lista de atributos (separados por vrgula) que devem ser

omitidos da exportao dos objetos resultantes. til para
exportar quase todos os atributos.
Parmetros especficos de importao
-k Ignorar erros e continuar com o processamento se forem

exibidos erros Violao de Restrio ou O objeto j existe.
Laboratrio C: Automatizao da criao de

contas de usurio
Cenrio
adultos. Voc est contratando vrios funcionrios novos. O departamento de
Recursos Humanos forneceu resumos do banco de dados nos formatos LDIF e de
texto delimitado por vrgula. Voc deseja importar esses arquivos de dados para
criar contas de usurio para os novos contratados.
Exerccio 1: Exportar e importar usurios com CSVDE

Neste exerccio, voc usar o comando CSVDE para exportar atributos de usurio e
criar novas contas a partir de um arquivo de texto delimitado por vrgula.
2. Exportar usurios com CSVDE.
3. Importar usurios com CSVDE.

A mquina virtual j deve estar iniciada e disponvel aps a concluso dos
Laboratrios A e B. No entanto, se no estiver, voc deve inici-la e fazer os
exerccios dos Laboratrios A e B antes de continuar.
Execute D:\Labfiles\Lab03c\Lab03c_Setup.bat usando credenciais
Tarefa 2: Exportar usurios com CSVDE

Abra o Prompt de Comando com credenciais administrativas. Use a conta
Digite o seguinte comando:
csvde -f D:\Labfiles\Lab03c\UsersNamedApril.csv -r "(name=April*)"

-l DN,objectClass,sAMAccountName,sn,givenName,userPrincipalName
e pressione ENTER.
Abra D:\Labfiles\Lab03c\UsersNamedApril.csv no Bloco de Notas.
Examine o arquivo e feche-o em seguida.
Tarefa 3: Importar usurios com CSVDE

Abra D:\Labfiles\Lab03c\NewUsers.csv no Bloco de Notas. Examine as
informaes sobre os usurios listados no arquivo.
csvde -i -f D:\Labfiles\Lab03c\NewUsers.csv -k
e pressione ENTER.
Os dois usurios so importados.
Verifique se os usurios foram criados com xito.
Se o snap-in Usurios e Computadores do Active Directory ficou aberto
durante o exerccio, talvez voc precise atualizar a exibio para ver as
contas recm-criadas.
Examine as contas para confirmar que o nome, o sobrenome, o UPN e o nome
de logon anterior ao Windows 2000 foram preenchidos de acordo com as
instrues contidas em NewUsers.txt.
Redefina as senhas das duas contas como Pa$$w0rd.
Habilite as duas contas.
Feche NewUsers.csv.
Exerccio 2: Importar usurios com LDIFDE

Assim como CSVDE, LDIFDE pode ser usado para importar usurios. Porm, o
formato de arquivo LDIF no um arquivo de texto delimitado tpico. Neste
exerccio, voc usar LDIFDE para importar dois usurios.
Importar usurios com LDIFDE.
Tarefa 1: Importar usurios com LDIFDE

Abra D:\Labfiles\Lab03c\NewUsers.ldf no Bloco de Notas. Examine as
informaes sobre os usurios listados no arquivo.
ldifde -i -f D:\Labfiles\Lab03c\NewUsers.ldf -k
e pressione ENTER.
Os dois usurios so importados.
Em Usurios e Computadores do Active Directory, verifique se os usurios
foram criados com xito.
Se o snap-in Usurios e Computadores do Active Directory ficou aberto
durante o exerccio, talvez voc precise atualizar a exibio para ver as
contas recm-criadas.
Examine as contas para confirmar que as propriedades de usurio foram
preenchidas segundo as instrues do arquivo NewUsers.ldf.
Redefina as senhas das duas contas como Pa$$w0rd.
Habilite as duas contas.
Feche NewUsers.ldf.
Saia de HQDC01.
Resultados: aps esse exerccio, voc ter importado contas para Lisa Andres, David
Jones, Bobby Moore e Bonnie Kearney.

Pergunta de reviso do laboratrio
Pergunta: Que cenrios servem para importar usurios com CSVDE e LDIFDE?
Gerenciamento de grupos 4-1
Mdulo 4
Gerenciamento de grupos
Sumrio:
Lio 1: Gerenciamento de uma empresa com grupos 4-4
Lio 2: Administrao de grupos 4-46
Laboratrio A: Administrao de grupos 4-67
Lio 3: Prticas recomendadas para gerenciamento de grupos 4-75
Laboratrio B: Prticas recomendadas para gerenciamento de grupos 4-91
Viso geral do mdulo
Embora usurios e computadores, e at mesmo servios, mudem ao longo do

tempo, as regras e funes corporativas tendem a permanecer mais estveis. Sua
empresa provavelmente tem uma funo financeira, que requer determinados
recursos. O(s) usurio(s) que desempenha(m) essa funo mudar(o), mas a
funo permanecer a mesma. Por esse motivo, no prtico gerenciar uma
empresa atribuindo direitos e permisses a identidades de usurio, computador ou
servio. As tarefas de gerenciamento devem ser associadas a grupos. Neste curso,
voc usar os grupos para identificar funes administrativas e de usurio, filtrar a
Diretiva de Grupo, atribuir polticas de senha exclusivas, atribuir direitos e
permisses, e muito mais. Para se preparar para essas tarefas, voc aprender neste
mdulo a criar, modificar, excluir e oferecer suporte a objetos de grupo em um
domnio do Active Directory.
Objetivos
Compreender a funo dos grupos no gerenciamento de uma empresa.
Criar grupos delegados, seguros e bem documentados.
Compreender os tipos, o escopo e o aninhamento de grupos.
Criar, excluir e gerenciar grupos com o CSVDE e o LDIFDE.
Enumerar e copiar os membros do grupo.
Lio 1
Gerenciamento de uma empresa com grupos
Voc certamente j sabe qual a finalidade dos grupos: coletar e gerenciar itens
como uma pessoa jurdica. A implementao do gerenciamento de grupos no
Active Directory no intuitiva. O Active Directory foi projetado para oferecer
suporte a ambientes grandes e distribudos. Portanto, ele contm sete tipos de
grupos diferentes: dois tipos de grupos de domnio com trs escopos cada um,
mais os grupos de segurana locais. Nesta lio, voc saber a funo que cada um
desses grupos desempenha e aprender a alinhar seus requisitos de negcios s
opes potencialmente complexas fornecidas pelo Active Directory.
Objetivos
Compreender a funo dos grupos no gerenciamento de uma empresa.
Definir convenes de nomenclatura de grupos.
Compreender os tipos de grupo.
Compreender o escopo do grupo.

Identificar as possibilidades de aninhamento e membros de grupos.
Demonstrao: Criao de um objeto de grupo
Pontos principais
Os grupos so uma classe de objeto importante, pois eles so usados para coletar
usurios, computadores e outros grupos a fim de criar um ponto nico de
gerenciamento. O uso mais direto e comum de um grupo a concesso de
permisses a uma pasta compartilhada. Se um grupo tiver recebido o acesso Ler a
uma pasta, por exemplo, qualquer membro do grupo poder ler a pasta. Voc no
precisa conceder o acesso Ler diretamente a cada membro; voc pode gerenciar o
acesso pasta simplesmente adicionando e removendo membros do grupo.
Para criar um grupo:
2. Na rvore de console, expanda o n que representa o seu domnio (por
exemplo, contoso.com) e navegue at a UO (unidade organizacional) ou
continer (por exemplo, Usurios) em que deseja criar o grupo.
3. Clique com o boto direito do mouse na UO ou no continer, aponte para

Novo e clique em Grupo.
A caixa de dilogo Novo objeto - Grupo ser exibida.
4. Digite o nome do novo grupo na caixa Nome do grupo.

A maioria das organizaes tem convenes de nomenclatura que especificam
com os nomes de grupo devem ser criados. Assegure que seguiu as diretrizes
da sua organizao.
Por padro, o nome que voc digita tambm inserido como Nome do grupo
(anterior ao Windows 2000). altamente recomendado que voc mantenha
os dois nomes idnticos.
5. No altere o nome na caixa Nome do grupo (anterior ao Windows 2000).
6. Escolha o Tipo de grupo.
Segurana um grupo que pode receber permisses para recursos. Ele
tambm pode ser configurado como uma lista de distribuio de emails.
Distribuio um grupo habilitado para emails que no pode receber
permisses para recursos e, portanto, usado somente quando um grupo
uma lista de distribuio de emails que no tem requisitos possveis de
acesso a recursos.
O tipo de grupo ser abordado em mais detalhes posteriormente neste
mdulo.
7. Selecione o Escopo do grupo.

Global geralmente usado para identificar usurios com base em critrios
como funo, local etc.
Domnio local usado para coletar usurios e grupos que compartilham
necessidades de acesso a recurso similares, como todos os usurios que
precisam modificar um relatrio de projeto.
Universal geralmente usado para coletar usurios e grupos de vrios
domnios.
O escopo do grupo ser abordado em mais detalhes posteriormente neste
mdulo.
8. Clique em OK.
Os objetos de grupo tm uma srie de propriedades que devem ser configuradas.

Elas podem ser especificadas depois que o objeto criado.
Para especificar as propriedades de um grupo:

1. Clique com o boto direito do mouse no grupo e, em seguida, clique em
Propriedades.
2. Digite as propriedades do grupo.
Assegure que seguiu as convenes de nomenclatura e outros padres da
organizao.
As guias Membros e Membro de especificam quem pertence ao grupo e a
quais grupos o grupo pertence.
O campo Descrio do grupo, porque ele est facilmente visvel no painel
de detalhes do snap-in Usurios e Computadores do Active Directory,
um excelente lugar para resumir a finalidade do grupo e as informaes de
contato de cada pessoa responsvel por decidir quem e no membro
do grupo.
O campo Observaes do grupo pode ser usado para fornecer mais
detalhes sobre o grupo.
A guia Gerenciado por pode ser usada para vincular-se ao usurio ou

grupo responsvel pelo grupo. As informaes de contato na guia
Gerenciado por so preenchidas a partir da conta especificada na caixa
Nome. A guia Gerenciado por geralmente usada para as informaes de
contato; se o usurio quiser ingressar no grupo, voc poder decidir quem
na empresa dever ser contatado para autorizar o novo membro. No
entanto, se voc selecionar a opo O gerente pode atualizar a lista de
membros, a conta especificada na caixa Nome receber permisso para
adicionar e remover membros do grupo. Esse um dos mtodos para
delegar controle administrativo sobre o grupo.
Para alterar o usurio ou grupo referenciado na guia Gerenciado por,
clique no boto Alterar abaixo da caixa Nome. Por padro, a caixa de
dilogo Selecionar Usurio, Contato ou Grupo exibida no procura
grupos, apesar de seu nome. Para procurar grupos, primeiro clique no
boto Tipos de objeto e selecione Grupos.
3. Clique em OK.
Leitura adicional
Criar um novo grupo:
Gerenciamento de acesso sem grupos
Pontos principais
Imagine que os 100 usurios do departamento de venda precisam do acesso Ler
em uma pasta compartilhada chamada Sales em um servidor. Ela no pode ser
gerenciada de modo a atribuir permisses a cada usurio individualmente. Quando
novos vendedores forem contratados, voc precisar adicionar as novas contas
ACL (lista de controle de acesso) da pasta. Quando as contas forem excludas, voc
precisar remover as permisses da ACL ou ficar sem uma entrada de conta na
ACL, conforme mostrado a seguir, o que resultar em um SID na ACL referente a
uma conta que no pode ser resolvida.
Imagine agora que os 100 usurios do departamento de vendas precisam do

acesso Ler nas trs pastas compartilhadas nos trs servidores. As dificuldades de
gerenciamento aumentaram significativamente. A quantas permisses voc
precisaria se candidatar apenas para configurar o acesso s trs pastas nos trs
servidores para os 100 usurios? 300!
Quando voc gerencia permisses adicionando e removendo identidades em uma
ACL, torna-se difcil responder pergunta Quem pode ler a pasta Sales? Para
responder a essa pergunta, voc precisar fazer engenharia reversa da ACL. Em
termos gerais, se as pastas Vendas forem distribudas entre os trs servidores, voc
ter que avaliar as trs ACLs separadamente para responder pergunta.
Os grupos proporcionam capacidade de gerenciamento
Pontos principais
O exemplo apresentado no tpico anterior pode parecer exagerado, porque voc
no tem dvida de que, embora seja possvel atribuir permisses a um recurso para
uma identidade individual usurio ou computador a prtica recomendada
atribuir uma nica permisso a um grupo e, em seguida, gerenciar o acesso ao
recurso alterando os membros do grupo.
Portanto, para continuar o exemplo, voc poder criar um grupo chamado Sales e
atribuir a ele a permisso Permitir Leitura na pasta Sales. Agora voc tem um nico
ponto de gerenciamento. O grupo Sales gerencia, com eficincia, o acesso pasta
compartilhada. possvel adicionar novos usurios de vendas ao grupo, e eles
recebero acesso pasta compartilhada. Quando voc excluir uma conta, ela ser
automaticamente excluda do grupo; portanto, voc no ter SIDs no resolvidos
na ACL.
Tambm mais fcil responder pergunta "Quem pode ler a pasta Sales?" Voc
pode simplesmente enumerar os membros do grupo Sales.
O grupo Vendas se tornou o foco das tarefas de gerenciamento de acesso.
H um benefcio extra: como a ACL permanecer estvel, com o grupo Sales

recebendo a permisso Permitir Leitura, seus backups sero mais fceis. Quando
voc alterar a ACL de uma pasta, a ACL se propagar para todos os arquivos filhos
e pastas filhas, definindo o sinalizador Arquivar e exigindo assim um backup de
todos os arquivos, mesmo que o contedo dos arquivos no tenha sido alterado.
Os grupos proporcionam escalabilidade
Pontos principais
Se os usurios de vendas precisarem do acesso Ler nas trs pastas nos trs
servidores separados, voc poder atribuir ao grupo Sales a permisso Permitir
Leitura em cada uma das trs pastas. Aps atribuir as trs permisses, o grupo
Vendas fornecer um nico ponto de gerenciamento para o acesso a recursos. O
grupo Sales gerencia, com eficincia, o acesso s trs pastas compartilhadas.
possvel adicionar novos usurios de vendas ao grupo, e eles recebero acesso s
trs pastas compartilhadas nos trs servidores. Quando voc excluir uma conta, ela
ser automaticamente excluda do grupo; portanto, voc no ter SIDs no
resolvidos nas ACLs.
Um tipo de grupo no suficiente
Pontos principais
Imagine agora que no so apenas os vendedores que precisam do acesso Ler nas
pastas. Os executivos, os funcionrios do departamento de marketing e os
consultores de vendas contratados pela sua organizao tambm precisam da
permisso Ler nas mesmas pastas.
Voc poder adicionar esses grupos ACL das pastas, concedendo a cada um deles
a permisso Permitir Leitura; mas, voc logo acabar tendo uma ACL com vrias
permisses, dessa vez atribuindo a permisso Permitir Leitura a vrios grupos, e
no a vrios usurios. Para atribuir os trs grupos e uma permisso de usurio s
trs pastas nos trs servidores, voc precisar adicionar doze permisses! O grupo
a seguir que precisar de acesso exigir mais trs alteraes para conceder
permisses s ACLs das trs pastas compartilhadas.
O que fazer se oito usurios que no so vendedores, funcionrios de marketing
ou executivos precisarem do acesso Ler nas trs pastas? Adicionar as contas de
usurio individuais s ACLs? Se fizer isso, haver mais 24 permisses para
adicionar e gerenciar!
Voc percebe que o uso de apenas um tipo de grupo, um grupo de funes que
define as funes corporativas dos usurios, rapidamente se torna uma forma
ineficaz de habilitar o gerenciamento do acesso s trs pastas. Se a regra de
gerenciamento sugerir que essas trs funes e nove usurios adicionais precisam
de acesso ao recurso, voc estar atribuindo um total de 36 permisses nas ACLs.
Torna-se muito difcil manter a conformidade e realizar uma auditoria. At mesmo
perguntas simples como "Voc pode me informar quais usurios podem ler as
pastas Sales?" tornam-se difceis de responder.
Gerenciamento baseado em funo: grupos de funes e

grupos de regras
Pontos principais
A soluo reconhecer que h dois tipos de gerenciamento que devem ser
realizados para gerenciar com eficincia este cenrio. Voc deve gerenciar os
usurios como conjuntos, com base em suas funes corporativas. E,
separadamente, voc deve gerenciar o acesso s trs pastas.
As trs pastas so tambm um conjunto de itens: elas so um recurso nico, um
conjunto de pastas Vendas, que simplesmente so distribudas entre as trs pastas
nos trs servidores. Voc est tentando gerenciar o acesso Ler a esse recurso.
necessrio ter um nico ponto de gerenciamento com o qual o acesso ao recurso
ser gerenciado.
Isso requer outro grupo, um grupo que representa o acesso Ler nas trs pastas dos
trs servidores. Imagine que voc esteja criando um grupo chamado ACL_Sales
Folders_Read. Esse grupo receber a permisso Permitir Leitura nas trs pastas. Os
grupos Sales, Marketing e Executives, juntamente com os usurios individuais,
sero todos membros do grupo ACL_Sales Folders_Read. Voc atribui somente
trs permisses: uma em cada pasta, concedendo o acesso Ler ao grupo ACL_Sales
Folders_Read.
O grupo ACL_Sales Folders_Read se torna o foco do gerenciamento de acesso.
Como os grupos ou usurios adicionais precisam de acesso s pastas, eles sero
adicionados a esse grupo. Isso tambm tornar muito mais fcil reportar quem tem
acesso s pastas. Em vez de precisar examinar as ACLs em cada uma das dez
pastas, voc simplesmente examinar os membros do grupo ACL_Sales
Folders_Read.
Para gerenciar com eficincia at mesmo uma empresa um pouco complexa, ser
necessrio ter dois "tipos" de grupos que desempenham papis distintos.
Grupos que definem funes. Estes grupos, denominados grupos de funes,
contm usurios, computadores e outros grupos de funes baseados em
caractersticas corporativas comuns, como local, tipo de funo etc.
Grupos que definem regras de gerenciamento. Estes grupos, denominados
grupos de regras, definem como um recurso corporativo est sendo gerenciado.
Esta abordagem de gerenciamento da empresa com grupos denominada

gerenciamento baseado em funes. Voc define funes de usurios com base em
caractersticas corporativas (por exemplo, afiliao de diviso ou departamento,
como vendas, marketing e executivos) e define regras de gerenciamento (por
exemplo, a regra que gerencia quais funes e indivduos podem acessar as trs
pastas).
Voc pode realizar as duas tarefas de gerenciamento usando grupos em um
diretrio. As funes so representadas por grupos que contm usurios,
computadores e outras funes. Tudo bem! As funes podem incluir outras
funes; por exemplo, uma funo Gerentes pode incluir as funes Gerentes de
Vendas, Gerentes Financeiros e Gerentes de Produo. As regras de gerenciamento,
como a regra que define e gerencia o acesso Ler nas trs pastas, so representadas
por grupos tambm. Os grupos de funes contm funes e, ocasionalmente,
usurios ou computadores individuais, como o consultor de vendas e mais oito
usurios no exemplo.
A informao-chave que h dois "tipos" de grupos: um que define a funo e
outro que define como um recurso ser gerenciado.
Leitura adicional
Para obter mais informaes sobre o gerenciamento baseado em funes,
consulte Windows Administration Resource Kit: Productivity Solutions for IT
Professionals por Dan Holme (Microsoft Press, 2008).
Definio de convenes de nomenclatura de grupos
Pontos principais
Anteriormente nesta lio, voc aprendeu a criar um grupo atravs do snap-in
Usurios e Computadores do Active Directory, clicando com o boto direito do
mouse na UO em que deseja criar um grupo, apontando para Novo e, em seguida,
clicando em Grupo. A caixa de dilogo Novo objeto - Grupo, exibida a seguir,
permite que voc especifique propriedades fundamentais do novo grupo.
As propriedades de nome a seguir podem ser configuradas aqui:

Nome do grupo. cn e nome do objeto de grupo; deve ser exclusivo apenas na
UO
Nome do grupo (anterior ao Windows 2000). sAMAccountName do grupo;
exclusivo no domnio
Prtica recomendada importante: use o mesmo nome (exclusivo no domnio) para

ambas as propriedades.
As primeiras propriedades que voc deve configurar so os nomes do grupo. Um

grupo, como um usurio ou computador, tem vrios nomes. O primeiro, exibido
na caixa Nome do Grupo acima, usado pelo Windows 2000 e sistemas
posteriores para identificar o objeto; ele se torna o cn e os atributos de nome do
objeto. O segundo, o nome anterior ao Windows 2000, o atributo
sAMAccountName, usado para identificar o grupo nos computadores que
executam o Windows NT 4.0 e em alguns dispositivos, como o NAS
(armazenamento conectado rede), que executam sistemas operacionais no-
Microsoft. O cn e os atributos de nome devem ser exclusivos somente no continer
a UO no qual o grupo existe. sAMAccountName deve ser exclusivo no
domnio inteiro. Tecnicamente, sAMAccountName poderia ser um valor diferente
do cn e do nome, mas no recomendvel, de forma alguma, fazer isso. Escolha um

nome que seja exclusivo no domnio e use-o nos dois campos de nome da caixa de dilogo
Novo objeto Grupo.
As convenes de nomenclatura a seguir so recomendadas:
Grupos de funes. Nome simples e exclusivo, como Sales ou Consultants
Grupos de gerenciamento. Por exemplo, ACL_Sales Folders_Read
Prefixo. Identifica a finalidade de gerenciamento de grupos, como a ACL
para grupos que gerenciam permisses de acesso a recursos
compartilhados.
Identificador de recurso. um identificador exclusivo do que est sendo
gerenciado.
Sufixo. No caso dos grupos de acesso a recursos, este o tipo de acesso
que o grupo gerencia.
Delimitador. Deve ser um prefixo que separa marcadores de modo
consistente, um identificador e um sufixo, como um sublinhado (_). No
use o delimitador em nenhum outro lugar no nome; use-o apenas como
delimitador.
O nome que voc escolher deve ajud-lo a gerenciar o grupo e a empresa

diariamente. recomendvel seguir uma conveno de nomenclatura que
identifique o tipo e a finalidade do grupo.
O exemplo do tpico anterior utilizou um nome de grupo, o ACL_Sales
Folders_Read.
Prefixo. Identifica a finalidade de gerenciamento do grupo. Nesse caso, um
grupo usado para gerenciar permisses de acesso em uma pasta. Ele usado
nas listas de controle de acesso; portanto, a ACL de prefixo utilizada.
Identificador de recurso. A parte principal do nome que identifica
exclusivamente o recurso que est sendo gerenciado com o grupo; neste
exemplo, Sales Folders.
Sufixo. O sufixo define ainda mais o que est sendo gerenciado pelo grupo.
No caso dos grupos de gerenciamento de acesso a recursos, o sufixo define o
nvel de acesso fornecido aos membros do grupo. No nosso exemplo, o nvel
de acesso Ler.
Delimitador. usado para separar partes do nome; neste caso, o delimitador

um sublinhado. Observe que o delimitador no usado entre as palavras
Folders e Sales. Espaos so aceitveis nos nomes de grupo; voc apenas
precisar colocar os nomes de grupo entre aspas quando mencion-los em
comandos ou scripts. possvel criar scripts que usam o delimitador para
decompor nomes de grupo, a fim de facilitar a auditoria e a gerao de
relatrios.
Tenha em mente que os grupos de funes que definem funes de usurio sero
frequentemente usados por usurios no-tcnicos. Por exemplo, voc pode
habilitar por email o grupo Vendas para que ele possa ser usado como uma lista de
distribuio de emails. Portanto, recomendvel que sua conveno de
nomenclatura para grupos de funes os mantenha simples e diretos. Em outras
palavras, sua conveno de nomenclatura para grupos de funes no usar
prefixos, sufixos ou delimitadores, mas apenas um nome descritivo amigvel.
Leitura adicional
Para obter mais informaes sobre como gerenciar grupos com eficincia,
consulte Windows Administration Resource Kit: Productivity Solutions for IT
Professionals por Dan Holme (Microsoft Press, 2008).
Tipo de grupo
Pontos principais
Existem dois tipos de grupos: segurana e distribuio. Ao criar um grupo, voc faz
a seleo do tipo de grupo na caixa de dilogo Novo objeto Grupo.
Os grupos de distribuio so usados basicamente por aplicativos de email. Esses
grupos no so habilitados para segurana, ou seja, eles no tm SIDs; portanto,
eles no podem receber permisses para recursos. O envio de uma mensagem para
um grupo de distribuio envia a mensagem para todos os membros do grupo.
Os grupos de segurana so entidades de segurana com SIDs. Esses grupos
podem, portanto, ser usados em entradas de permisso nas ACLs para controlar a
segurana para acesso a recursos. Os grupos de segurana tambm podem ser
usados como grupos de distribuio por aplicativos de email. Se um grupo for
usado para gerenciar a segurana, ele dever ser um grupo de segurana.
Como os grupos de segurana podem ser usados para acesso a recursos e

distribuio de emails, muitas organizaes usam apenas os grupos de segurana.
No entanto, recomendvel que, se um grupo for usado apenas para distribuio
de emails, voc crie o grupo como um grupo de distribuio. Do contrrio, o grupo
receber um SID, que, por sua vez, ser adicionado ao token de acesso de
segurana do usurio, podendo resultar em ocupao desnecessria do token de
segurana.
Escopo do grupo
Pontos principais
Os grupos possuem membros: usurios, computador e outros grupos; os grupos
podem ser membros de outros grupos e podem ser mencionados pelas ACLs,
pelos filtros de GPO (objeto de Diretiva de Grupo) e por outros componentes de
gerenciamento. O escopo do grupo impacta cada uma destas caractersticas de um
grupo: o que ele pode conter, a qual grupo ele pode pertencer e onde ele pode ser
usado. H quatro escopos de grupo: global, domnio local, local e universal.
As caractersticas que definem cada escopo se enquadram nas seguintes categorias:
Replicao. Onde o grupo definido e em quais sistemas o grupo replicado?
Membros. Quais tipos de entidades de segurana o grupo pode conter como

membros? O grupo pode incluir entidades de segurana de domnios
confiveis?
No Mdulo 14, voc aprender sobre as relaes de confiana ou confianas.
Uma confiana permite que um domnio se refira a outro domnio para fins de
autenticao do usurio, inclua entidades de segurana dos outros domnios
como membros de grupo e atribua permisses a entidades de segurana no
outro domnio. A terminologia utilizada pode ser confusa. Se o Domnio A
confiar no Domnio B, o Domnio A o domnio de confiana e o Domnio B
o domnio confivel. O Domnio A aceita as credenciais dos usurios no
Domnio B. Ele encaminha as solicitaes feitas pelos usurios do Domnio B
para se autenticar em um controlador de domnio no Domnio B, porque ele
confia no armazenamento de identidade e no servio de autenticao do
Domnio B. O Domnio A pode adicionar as entidades de segurana do
Domnio B aos grupos e s ACLs do Domnio A.
Disponibilidade. Onde o grupo pode ser usado? O grupo est disponvel para
ser adicionado a outro grupo? O grupo est disponvel para ser adicionado a
uma ACL?
Tenha essas caractersticas principais em mente enquanto estiver explorando os

detalhes de cada escopo de grupo.
Grupos locais
Pontos principais
Os grupos locais so definidos localmente e esto disponveis em um nico
computador. Os grupos locais so criados no banco de dados SAM (gerenciador de
contas de segurana) de um computador membro de domnio; as estaes de
trabalho e os servidores possuem grupos locais. Os grupos locais tm as seguintes
caractersticas:
Replicao. Um grupo local definido apenas no banco de dados SAM local
de um membro do domnio. O grupo e seus membros no so replicados para
nenhum outro sistema.
Membros. Um grupo local pode incluir com membros:
Qualquer entidade de segurana do domnio: usurios, computadores,
grupos globais ou grupos de domnio local
Usurios, computadores e grupos globais de qualquer domnio na floresta
Usurios, computadores e grupos globais de qualquer domnio confivel
Grupos universais definidos em qualquer domnio da floresta
Disponibilidade. Um grupo local tem apenas um escopo no nvel do

computador. Ele pode ser usado nas ACLs apenas do computador local. Um
grupo local no pode ser membro de outros grupos.
Prtica recomendada
Em um grupo de trabalho, voc usa grupos locais para gerenciar a segurana dos
recursos em um sistema. Em um domnio, no entanto, o gerenciamento dos grupos
locais dos computadores individuais se torna difcil e, na maioria das vezes,
desnecessrio. No recomendvel criar grupos locais personalizados nos
membros de domnio. H muito poucos cenrios em um ambiente de domnio que
so tratados atravs do uso de grupos locais. Na maioria dos casos, os grupos
locais Users e Admins so os nicos grupos locais com os quais voc deve se
preocupar em gerenciar em um ambiente de domnio.
Grupos de domnio local
Pontos principais
Os grupos de domnio local so usados basicamente para gerenciar permisses
para recursos. Por exemplo, o grupo ACL_Sales Folders_Read abordado
anteriormente na lio ser criado como um grupo de domnio local. Os grupos de
domnio local tm as seguintes caractersticas:
Replicao. Um grupo de domnio local definido no contexto de
nomenclatura do domnio. O objeto de grupo e seus membros (o atributo
member) so replicados para cada controlador do domnio.
Membros. Um grupo de domnio local pode incluir como membros:
Qualquer entidade de segurana do domnio: usurios, computadores,
grupos globais ou outros grupos de domnio local.
Usurios, computadores e grupos globais de qualquer domnio na floresta.
Usurios, computadores e grupos globais de qualquer domnio confivel.
Grupos universais definidos em qualquer domnio da floresta.
Disponibilidade. Um grupo de domnio local pode ser adicionado s ACLs

em qualquer recurso de qualquer membro de domnio. Alm disso, um grupo
de domnio local pode ser um membro de outros grupos de domnio local ou,
at mesmo, de grupos locais do computador.
Os recursos de membros de um grupo de domnio local (os grupos aos quais um

grupo de domnio local pertencem) so idnticos aos dos grupos locais, mas a
replicao e a disponibilidade do grupo de domnio local tornam isso til em todo
o domnio.
Prtica recomendada
Os grupos de domnio local so adequados para definir regras de gerenciamento de
negcios, como regras de acesso a recursos, pois o grupo pode ser aplicado em
qualquer lugar do domnio e incluir membros de qualquer tipo no domnio, bem
como membros de domnios confiveis.
Por exemplo, um grupo de segurana de domnio local chamado ACL_Sales
Folders_Read pode ser usado para gerenciar o acesso Ler em um conjunto de
pastas que contm informaes de vendas em um ou mais servidores.
Grupos globais
Pontos principais
Os grupos globais so usados basicamente para definir conjuntos de objetos de
domnio baseados em funes corporativas. Os grupos de funes, como Sales e
Marketing mencionados anteriormente, bem como funes de computadores,
como o grupo Sales Laptops, sero criados como grupos globais. Os grupos
globais tm as seguintes caractersticas:
Replicao. Um grupo global definido no contexto de nomenclatura do
domnio. O objeto de grupo, incluindo o atributo member, replicado para
todos os controladores do domnio.
Membros. Um grupo global pode incluir como membros somente os usurios,
computadores e outros grupos globais do mesmo domnio.
Disponibilidade. Um grupo global est disponvel para ser usado por todos
os membros do domnio, bem como por todos os outros domnios da floresta
e todos os domnios externos de confiana. Um grupo global pode ser um
membro de qualquer domnio local ou grupo universal do domnio ou da
floresta. Ele tambm pode ser um membro de qualquer grupo de domnio
local em um domnio de confiana. Por fim, um grupo global pode ser
adicionado s ACLs do domnio, da floresta ou dos domnios de confiana.
Como voc pode ver, os grupos globais tm os membros mais limitados (somente
usurios, computadores e grupos globais do mesmo domnio), mas a
disponibilidade mais ampla em todo o domnio, floresta e domnios de confiana.
Prtica recomendada
Os grupos globais so adequados para definir funes, pois as funes so geralmente
conjuntos de objetos do mesmo diretrio.
Por exemplo, os grupos de segurana globais denominados Consultants e Sales
podem ser usados para definir os usurios que so consultores e vendedores,
respectivamente.
Grupos universais
Pontos principais
Os grupos universais tm as seguintes caractersticas:
Replicao. Um grupo universal definido em um nico domnio da floresta,
mas replicado para o catlogo global. Voc aprender mais sobre o catlogo
global no Mdulo 12. Os objetos do catlogo global estaro prontamente
acessveis em toda a floresta.
Membros. Um grupo universal pode incluir como usurios membros grupos
globais e outros grupos universais de qualquer domnio da floresta.
Disponibilidade. Um grupo universal pode ser um membro de um grupo
universal ou grupo de domnio local de qualquer lugar da floresta. Alm disso,
um grupo universal pode ser usado para gerenciar recursos; por exemplo, para
atribuir permisses, em qualquer lugar da floresta.
Os grupos universais so teis em florestas com vrios domnios. Eles permitem

definir funes ou gerenciar recursos que ultrapassam mais de um domnio. A
melhor maneira de compreender os grupos universais atravs de um exemplo: a
Trey Research tem uma floresta com trs domnios, Amricas, sia e Europa. Cada
domnio tem contas de usurio e um grupo global chamado Gerentes Locais que
inclui os gerentes da regio. Lembre-se de que os grupos globais s podem conter
usurios do mesmo domnio. Um grupo universal chamado Gerentes Locais da
Trey Research criado, e os trs grupos Gerentes Locais so adicionados como
membros. O grupo Gerentes Locais da Trey Research, portanto, define uma funo
para toda a floresta. Como os usurios so adicionados a qualquer um dos grupos
Gerentes Locais, eles sero, atravs do aninhamento de grupos, membros do grupo
Gerentes Locais da Trey Research.
A Trey Research pretende lanar um novo produto que precisar da colaborao
entre suas regies. Os recursos relacionados ao projeto so armazenados nos
servidores de arquivos de cada domnio. Para definir quem pode modificar
arquivos relacionados ao novo produto, um grupo universal criado, o ACL_New
Product_Modify. Esse grupo recebe a permisso Permitir Modificar nas pastas
compartilhadas de cada um dos servidores de arquivos em cada um dos domnios.
O grupo Gerentes Locais da Trey Research torna-se um membro do grupo
ACL_New Product_Modify, a exemplo de vrios grupos globais e usurios de cada
uma das regies.
Prtica recomendada
Como pode ver neste exemplo, os grupos universais podem ajudar voc a representar e
consolidar funes que ultrapassam os domnios de uma floresta, e a definir regras que
podem ser aplicadas em toda a floresta.
Resumo de possibilidades de escopo de grupo
Pontos principais
Tanto nos exames de certificao como na administrao diria, importante que
voc esteja completamente familiarizado com as caractersticas de membro de cada
escopo de grupo.
A tabela a seguir resume os objetos que podem ser membros de cada escopo de
grupo.
Membros de outro Membros de um
Escopo do Membros do mesmo domnio da mesma domnio externo
grupo domnio floresta confivel
Local Usurios Usurios Usurios
Computadores Computadores Computadores
Grupos globais Grupos globais Grupos globais
Grupos universais Grupos universais
Grupos de domnio
local
Alm disso, os
usurios locais
definidos no mesmo
computador do
grupo local
Domnio Usurios Usurios Usurios
Local Computadores Computadores Computadores
Grupos globais Grupos globais Grupos globais
Grupos de domnio Grupos universais
local
Grupos universais
Universal Usurios Usurios N/D
Computadores Computadores
Grupos globais Grupos globais
Grupos universais Grupos universais
Global Usurios N/D N/D
grupos globais
Pergunta: Quais tipos de objetos podem ser membros de um grupo global em um

domnio?
Gerenciamento de membros de grupo
Pontos principais
Quando voc precisa adicionar ou remover membros de um grupo, tem sua
disposio vrios mtodos.
A guia Membros
Para gerenciar membros de grupo usando a guia Membros do grupo:
1. Abra a caixa de dilogo Propriedades do grupo.
3. Para remover um membro, basta selecionar o membro e clicar em Remover.
4. Para adicionar um membro, clique no boto Adicionar. A caixa de dilogo

Selecionar Usurios, Computadores ou Grupos ser exibida, conforme
mostrado a seguir:
H vrias dicas sobre esse processo que vale a pena mencionar:

Na caixa Digite os Nomes de objeto da caixa de dilogo Selecionar, voc pode
digitar vrias contas separadas por ponto-e-vrgula. Por exemplo, na captura de
tela mostrada acima, as vendas e as finanas foram inseridas. Elas so
separadas por um ponto-e-vrgula.
Voc pode digitar nomes parciais de contas; no necessrio digitar o nome
completo. O Windows pesquisa o Active Directory em busca de contas que
comeam com o nome digitado. Se houver apenas uma correspondncia, o
Windows a selecionar automaticamente. Se houver vrias contas
correspondentes, a caixa de dilogo Diversos nomes encontrados ser exibida,
permitindo que voc selecione o objeto desejado. Esse atalho, atravs da
digitao de nomes parciais, pode economizar tempo quando voc estiver
adicionando membros a grupos e pode ajudar quando voc no se lembrar do
nome exato de um membro.
Por padro, o Windows procura apenas usurios e grupos que correspondam

aos nomes digitados na caixa de dilogo Selecionar. Se voc deseja adicionar
computadores a um grupo, clique no boto Opes e selecione
Computadores.
Por padro, o Windows pesquisa apenas grupos de domnios. Se voc deseja
adicionar contas locais, clique no boto Locais na caixa de dilogo Selecionar.
Se voc no conseguir encontrar o membro desejado, clique no boto
Avanado na caixa de dilogo Selecionar. Uma janela de consulta mais
sofisticada aparecer, oferecendo mais opes de pesquisa no Active Directory.
A guia Membro de
Para gerenciar membros de grupo usando a guia Membro de do objeto membro:
1. Abra as propriedades do objeto membro e clique na guia Membro de.
2. Para remover o objeto de um grupo, selecione o grupo e clique no boto
Remover.
3. Para adicionar o objeto a um grupo, clique no boto Adicionar e selecione o
grupo.
O comando Adicionar a um grupo

Para gerenciar membros de grupo usando o comando Adicionar a um grupo:
1. Clique com o boto direito do mouse em um ou mais objetos selecionados no
painel de detalhes Usurios e Computadores do Active Directory.
2. Clique no comando Adicionar a um grupo.
3. Use a caixa de dilogo Selecionar para especificar o grupo.
Os atributos Member e MemberOf

Quando voc adiciona um membro a um grupo, altera o atributo member do
grupo. O atributo member um atributo de mltiplos valores: cada membro um
valor representado pelo DN do membro. Se o membro for movido ou renomeado,
o Active Directory atualizar automaticamente os atributos member dos grupos
que incluem o membro.
Quando voc adiciona um membro a um grupo, o atributo memberOf do membro

tambm atualizado, indiretamente. O atributo memberOf um tipo especial de
atributo chamado backlink. Ele atualizado pelo Active Directory quando um
atributo de vnculo sequencial, como member, faz referncia ao objeto. Quando
voc adiciona um membro a um grupo, sempre est alterando o atributo member.
Portanto, ao usar a guia Membro de de um objeto a ser adicionado a um grupo,
voc estar, na verdade, alterando o atributo member do grupo. O Active Directory
atualiza o atributo memberOf automaticamente.
Agilizando as alteraes de membros
Quando voc adiciona um usurio a um grupo, os membros no entram em vigor
imediatamente. Os membros de grupo so avaliados durante o logon de um
usurio (na inicializao de um computador). Portanto, um usurio ter que fazer
logoff e logon para que a alterao de membro seja efetuada no token do usurio.
Alm disso, talvez haja um atraso enquanto a alterao de membros de grupo
replicada. (A replicao ser abordada no Mdulo 12.) Isso se aplicar
principalmente se a sua empresa tiver mais de um site do Active Directory. Voc
pode acelerar o impacto que uma alterao surte em um usurio fazendo a
alterao em um controlador de domnio no site do usurio. Clique com o boto
direito do mouse no domnio, no snap-in Usurios e Computadores do Active
Directory, e clique em Alterar controlador de domnio.
Desenvolvimento de uma estratgia de gerenciamento de

grupos (IGDLA)
Pontos principais
A adio de grupo a outros grupos, um processo chamado aninhamento, pode
criar uma hierarquia de grupos que oferecem suporte a funes corporativas e
regras de gerenciamento. Agora que voc j conheceu os objetivos comerciais e as
caractersticas tcnicas dos grupos, j pode alinhar os dois aspectos em uma
estratgia de gerenciamento de grupos.
Anteriormente nesta lio, voc aprendeu quais tipos de objetos podem ser
membros de cada escopo de grupo. Agora hora de identificar quais tipos de
objetos devem ser membros de cada escopo de grupo. Isso resultar na prtica
recomendada de aninhamento de grupos, conhecida como IGDLA:
Identidades (contas de usurio e computador) so membros de.
Grupos globais que representam funes corporativas. Esses grupos de
funes (grupos globais) so membros de.
Domnio Local, grupos que representam as regras de gerenciamento,

determinando quem tem a permisso Ler em um conjunto de pastas
especfico, por exemplo. Esses grupos de regras (grupos de domnio local) so
concedidos.
Acesso a recursos. No caso de uma pasta compartilhada, o acesso concedido
atravs da adio do grupo de domnio local ACL (lista de controle de
acesso) da pasta, com uma permisso que fornece o nvel apropriado de
acesso.
Em uma floresta com vrios domnios, existem grupos universais tambm, que
esto entre os grupos globais e os grupos de domnio local. Os grupos globais de
vrios domnios so membros de um nico grupo universal. Esse grupo universal
membro dos grupos de domnio local em vrios domnios. Voc pode considerar o
aninhamento um IGUDLA.
Essa prtica recomendada para a implementao do aninhamento de grupos se
aplica bem at mesmo em cenrios de vrios domnios. Considere a figura a seguir:
Ela representa uma implementao de grupo que reflete no somente a exibio

tcnica das prticas recomendadas de gerenciamento de grupos (IGDLA), mas
tambm a exibio corporativa do gerenciamento baseado em funes e em regras.
Considere o seguinte cenrio: a fora de vendas da Contoso, Ltd. acabou de fechar

seu ano fiscal. Os arquivos de vendas do ano anterior esto em uma pasta chamada
Sales. A fora de vendas precisa do acesso Ler nas pastas Sales. Alm disso, uma
equipe de auditores do Woodgrove Bank, um investidor potencial, requer o acesso
Ler nas pastas Sales para executar a auditoria. As etapas de implementao da
segurana exigidas por este cenrio so as seguintes:
1. Atribua aos usurios com responsabilidades comuns ou outras caractersticas
de negcios grupos de funes implementados como grupos de segurana
globais. Isso feito separadamente em cada domnio. Os funcionrios de
vendas da Contoso so adicionados ao grupo de funes Sales. Os auditores
do Woodgrove Bank so adicionados ao grupo de funes Auditors.
2. Crie um grupo para gerenciar o acesso s pastas Sales com a permisso Ler.
Isso implementado no domnio que contm o recurso que est sendo
gerenciado. Nesse caso, o domnio da Contoso no qual residem as pastas
Sales. O grupo de regras de gerenciamento de acesso a recursos criado como
um grupo de domnio local, ACL_Sales Folders_Read.
3. Adicione os grupos de funes ao grupo de regras de gerenciamento de acesso
a recursos para representar a regra de gerenciamento. Esses grupos podem vir
de qualquer domnio da floresta ou de um domnio confivel, como o
Woodgrove Bank. Os grupos globais de domnios externos confiveis ou de
qualquer domnio da mesma floresta podem ser membros de um grupo de
domnio local.
4. Atribua a permisso que implementa o nvel de acesso necessrio. Nesse caso,
conceda a permisso Permitir Leitura ao grupo de domnio local.
Essa estratgia resulta em pontos nicos de gerenciamento, reduzindo a carga de

gerenciamento. Existe um ponto de gerenciamento que define quem est na pasta
Sales ou quem um Auditor. claro que essas funes provavelmente podero
acessar vrios recursos que no simplesmente as pastas Sales. H outro ponto
nico de gerenciamento para determinar quem ter o acesso Ler nas pastas Sales.
claro que as pastas Sales talvez no sejam apenas uma pasta em um servidor: pode
ser um conjunto de pastas em vrios servidores, cada um atribuindo a permisso
Permitir Leitura ao grupo de domnio local.
Gerenciamento baseado em funes e estratgia de

gerenciamento de grupos do Windows
Pontos principais
O gerenciamento baseado em funes um conceito usado em toda a tecnologia
da informao e proteo de informaes. Ele pode ser obtido com os recursos
predefinidos do Active Directory. O IGDLA a implementao do gerenciamento
baseado em funes atravs dos grupos do Active Directory.
Lio 2
Administrao de grupos

Criar grupos com o DSADD, CSVDE e LDIFDE.
Gerenciar e converter o tipo e o escopo do grupo.
Gerenciar membros de grupo com o DSMOD e LDIFDE.
Enumerar os membros de grupo com o DSGET.
Excluir um grupo com o DSRM.
Copiar membros de grupo.
Criao de grupos com o DSAdd
Pontos principais
O comando DSAdd permite que voc adicione objetos ao Active Directory.
Para adicionar um grupo, digite o comando:
dsadd group GroupDN
em que GroupDN o DN (nome distinto) do grupo; por exemplo, " CN=Finance

Managers,OU=Role,OU=Groups,DC=contoso,DC=com." No deixe de colocar o
DN entre aspas se ele contiver espaos.
Por exemplo, para criar um novo grupo de segurana global chamado Marketing, o
comando ser:
dsadd group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com"

samid Marketing secgrp yes scope g
Voc tambm pode fornecer o parmetro GroupDN de uma das seguintes

maneiras:
Especifique o parmetro redirecionando uma lista de DNs de outro comando,
como DSQuery.
Especifique-o digitando cada DN no prompt de comando, separado por
espaos.
Especifique-o deixando o parmetro DN vazio; nesse ponto, voc pode digitar
os DNs, um de cada vez, no console do teclado do prompt de comando.
Pressione ENTER aps cada DN. Pressione CTRL+Z e ENTER aps o ltimo
DN.
Qualquer uma dessas trs opes permite gerar vrios grupos de uma s vez com o
DSAdd.
O comando DSAdd tambm pode configurar atributos dos grupos criados com os
parmetros opcionais a seguir:
-secgrp { yes | no }. Este parmetro especifica o tipo de grupo: segurana (yes)
ou distribuio (no).
-scope { l | g | u }. Determina o escopo do grupo: domnio local (l), global (g)
ou universal (u).
-samid Name. Este parmetro especifica o sAMAccountName do grupo. Se ele
no for especificado, o nome do grupo de seu DN ser usado. recomendvel
que o sAMAccountName e o nome do grupo sejam idnticos, para que voc no
precise incluir este parmetro ao usar o DSAdd.
-desc Description. Configura a descrio do grupo.
-members MemberDN . Este parmetro adiciona membros ao grupo. Os
membros so especificados por seus respectivos DNs em uma lista separada
por espaos.
-memberof GroupDN . Torna o novo grupo um membro de um ou mais
grupos existentes. Os grupos so especificados por seus respectivos DNs em
uma lista separada por espaos.
Importao de grupos com o CSVDE
Pontos principais
O CSVDE importa dados de arquivos .csv (valores separados por vrgula). Ele
tambm capaz de exportar dados para um arquivo .csv. O exemplo a seguir
mostra um arquivo .csv que criar um grupo, Marketing, e preencher o grupo com
dois membros iniciais: Linda Mitchell e Scott Mitchell.
objectClass,sAMAccountName,DN,member
group,Marketing,"CN=Marketing,OU=Role,OU=Groups,
DC=contoso,DC=com","CN=Linda Mitchell,OU=Employees,
OU=User Accounts,DC=contoso,DC=com;
CN=Scott Mitchell,OU=Employees,OU=User Accounts,
DC=contoso,DC=com"
Os objetos listados no atributo membro j deve existir no servio de diretrio. Seus

DNs (nomes distintos) so separados por ponto-e-vrgula na coluna de membro.
Anote o uso das aspas no exemplo mostrado anteriormente. As aspas so

necessrias quando um atributo inclui uma vrgula; do contrrio, a vrgula seria
interpretada como um delimitador. O DN do grupo inclui vrgulas e, portanto,
deve ser delimitado com uma vrgula. No caso de um atributo de mltiplos valores,
como member, cada valor separado por um ponto-e-vrgula; h dois valores no
membro do exemplo anterior. O atributo member delimitado por aspas, e no
cada valor do atributo member.
Voc pode importar esse arquivo para o Active Directory usando o comando:
csvde -i -f "filename" [-k]
O parmetro i especifica o modo de importao. Sem ele, o CSVDE usa o modo

de exportao. O parmetro f precede o nome do arquivo e o parmetro k
assegura que o processamento continuar mesmo se forem detectados erros, como
a existncia do objeto ou a no localizao do membro.
O CSVDE pode ser usado para criar objetos, e no para modificar objetos
existentes. Voc no pode usar o CSVDE para importar membros para grupos
existentes.
Importao de grupos com o LDIFDE
Pontos principais
O LDIFDE uma ferramenta que importa e exporta arquivos no formato LDIF. Os
arquivos LDIF so arquivos de texto nos quais as operaes so especificadas por
um bloco de linhas separadas por uma linha em branco. Cada operao comea
com o atributo DN do objeto que o destino da operao. A linha a seguir,
changeType, especifica o tipo de operao: adicionar, modificar ou excluir.
O arquivo LDIF a seguir cria dois grupos, Finanas e Pesquisa:
DN: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com
changeType: add
CN: Finance
description: Finance Users
objectClass: group
sAMAccountName: Finance
DN: CN=Research,OU=Role,OU=Groups,DC=contoso,DC=com
changeType: add
CN: Research
description: Research Users
objectClass: group
sAMAccountName: Research
A conveno sugerir salvar o arquivo com a extenso .ldf; por exemplo,

groups.ldf.
Para importar os grupos para o diretrio, emita o comando ldifde.exe conforme
mostrado aqui:
ldifde i f groups.ldf
O parmetro i especifica o modo de importao. Sem ele, o LDIFDE usa o modo

de exportao. O parmetro f precede o nome do arquivo e o parmetro k
assegura que o processamento continuar mesmo se forem detectados erros, como
a existncia do objeto.
Converso do tipo e do escopo do grupo
Pontos principais
Se, aps criar um grupo, voc decidir que precisa modificar o escopo ou tipo do
grupo, poder fazer isso. Abra as propriedades de um grupo existente e, na guia
Geral, mostrada a seguir, voc ver o escopo e o tipo existentes. Pelo menos mais
um escopo e tipo estaro disponveis para ser selecionado.
Voc pode converter o tipo de grupo a qualquer momento, alterando a seleo na

seo Tipo de Grupo da guia Geral. Tenha cuidado, no entanto. Quando voc
converte um grupo de segurana em distribuio, qualquer recurso no qual o
grupo tenha permisso no poder mais ser acessado da mesma maneira. Depois
que o grupo se torna um grupo de distribuio, os usurios que fazem logon no
domnio no incluiro mais o SID do grupo em seus tokens de acesso de
segurana.
Voc pode alterar o escopo do grupo de uma das seguintes maneiras:
Global para universal
Domnio local para universal
Universal para global
Universal para domnio local
A nica alterao de escopo que voc no pode fazer diretamente de global para
domnio local ou de domnio local para global. No entanto, voc pode fazer essas
alteraes indiretamente, realizando primeiro a converso em escopo universal e,
depois, no escopo desejado. Portanto, todas as alteraes de escopo so possveis.
Lembre-se, no entanto, que o escopo de um grupo determina os tipos de objetos

que podem ser membros do grupo. Se um grupo j contiver membros ou for um
membro de outro grupo, voc ficar impedido de alterar o escopo. Por exemplo, se
um grupo global for membro de outro grupo global, voc no poder alterar o
primeiro grupo para escopo universal, pois um grupo universal no pode ser
membro de um grupo global. Uma mensagem de erro explicativa ser emitida,
conforme a exibida a seguir. Corrija os conflitos entre membros para que possa
alterar o escopo do grupo.
O comando DSMod pode ser usado para alterar o tipo e o escopo do grupo usando
a seguinte sintaxe:
dsmod group GroupDN secgrp { yes | no } scope { l | g | u }
GroupDN o nome distinto do grupo a ser modificado. Os dois parmetros a

seguir afetam o escopo e o tipo do grupo:
-secgrp { yes | no }. Especifica o tipo do grupo: segurana (yes) ou distribuio
(no)
-scope { l | g | u }. Determina o escopo do grupo: domnio local (l), global (g)
ou universal (u)
Modificao de membros de grupo com o DSMod
Pontos principais
A sintaxe bsica do comando DSMod :
dsmod group "GroupDN" [options]
Voc pode usar opes como -samid e -desc para modificar os atributos
sAMAccountName e description do grupo. O que mais til, no entanto, so as
opes que permitem modificar os membros de um grupo:
-addmbr "Member DN"
Este parmetro adiciona membros ao grupo.
-rmmbr "Member DN"
Este parmetro remove membros do grupo.

Como acontece com todos os comandos do DS, Member DN o nome distinto de

outro objeto do Active Directory, colocado entre aspas se o DN incluir espaos.
Vrias entradas Member DN podem ser includas, separadas por espaos. Por
exemplo, para adicionar Mike Danseglio ao grupo Research, o comando DSMod
ser:
dsmod group "CN=Research,OU=Role,OU=Groups,DC=contoso,DC=com"

-addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts,
DC=contoso,DC=com"
Modificao de membros de grupo com o LDIFDE
Pontos principais
O LDIFDE tambm pode ser usado para modificar objetos existentes no Active
Directory por meio de operaes LDIF com um changeType modify. Para adicionar
dois membros ao grupo Finanas, o arquivo LDIF ser:
dn: CN=Finance,OU=Role,OU=Groups,DC=contoso,DC=com
changetype: modify
add: member
member: CN=April Stewart,OU=Employees,OU=User
Accounts,dc=contoso,dc=com
member: CN=Mike Fitzmaurice,OU=Employees,OU=User
Accounts,dc=contoso,dc=com
-
changeType definido como modify e, em seguida, a operao de alterao

especificada: adicione objetos ao atributo member. Cada novo membro , ento,
listado em uma linha separada que comea com o nome do atributo, member. A
operao de alterao encerrada com uma linha contendo um trao. A alterao
da terceira linha para o contedo a seguir remover os dois membros especificados
do grupo:
delete: member
Recuperao de membros de grupo com o DSGet
Pontos principais
Os comandos DSGet e DSMod so particularmente teis para gerenciar os
membros dos grupos. Como voc j deve saber, no h nenhuma opo no snap-in
Usurios e Computadores do Active Directory que liste todos os membros de um
grupo, incluindo os membros aninhados. Voc s poder ver os membros diretos
de um grupo na guia Membros do grupo. Da mesma forma, no h nenhuma
maneira de listar todos os grupos ao qual um usurio ou computador pertence,
incluindo os grupos aninhados. Voc s poder ver os membros diretos na guia
Membro de do usurio ou computador.
O comando DSGet permite recuperar uma lista completa dos membros de um
grupo, incluindo os membros aninhados, com a seguinte sintaxe:
dsget group "GroupDN" members [-expand]
A opo -expand faz a mgica de expandir os membros dos grupos aninhados.

Da mesma forma, o comando DSGet pode ser usado para recuperar uma lista
completa dos grupos aos quais um usurio ou computador pertencem, novamente
usando a opo expand nos seguintes comandos:
dsget user "UserDN" memberof [-expand]

dsget computer "ComputerDN" memberof [-expand]
A opo memberof retorna o valor do atributo memberOf do usurio ou

computador, mostrando os grupos aos quais o objeto pertence diretamente.
Adicionando a opo expand, esses grupos so pesquisados recursivamente,
gerando uma lista exaustiva de todos os grupos aos quais o usurio de objeto
pertence no domnio.
Cpia de membros de grupo
Pontos principais
Voc pode usar o DSGet em conjunto com o DSMod para copiar membros de
grupo. No exemplo a seguir, o comando DSGet usado para obter informaes
sobre todos os membros do grupo Vendas e, em seguida, redirecionando essa lista
para o DSMod, adicionar esses usurios ao grupo Marketing:
dsget group "CN=Sales,OU=Role,OU=Groups,DC=contoso,DC=com" members |

dsmod group "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com" addmbr
Observe o uso do redirecionamento. A "sada" de DSGet (nomes distintos de

membros do primeiro grupo) redirecionada, atravs da barra vertical ("|"), para
atuar como a "entrada" dos DNs ausentes na opo -addmbr.
Da mesma forma, os comandos DSGet e DSMod podem trabalhar em conjunto
para copiar os membros de grupo de um objeto, como um usurio, para outro
objeto:
dsget user "SourceUserDN" memberof |

dsmod group addmbr "TargetUserDN"
Movimento e renomeao de grupos
Pontos principais
Voc pode mover e renomear grupos de Usurios e Computadores do Active
Directory clicando com o boto direito do mouse no grupo e, em seguida, clicando
no comando Mover ou Renomear.
O comando DSMove permite mover ou renomear um objeto em um domnio. Voc
no pode us-lo para mover objetos entre domnios. Sua sintaxe bsica :
dsmove ObjectDN [-newname NewName] [-newparent TargetOUDN]
O objeto especificado atravs de seu nome distinto no parmetro ObjectDN. Para

renomear o objeto, especifique seu novo nome comum como o valor do parmetro
-newname. Para mover um objeto para um novo local, especifique o nome distinto
do continer de destino como valor do parmetro -newparent.
Por exemplo, para alterar o nome do grupo Marketing para Relaes Pblicas,
digite:
dsmove "CN=Marketing,OU=Role,OU=Groups,DC=contoso,DC=com"
newname "Public Relations"
Para, em seguida, mover esse grupo para a UO Marketing, digite:
dsmove "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com"

newparent "OU=Marketing,DC=contoso,DC=com"
Excluso de grupos
Pontos principais
Voc pode excluir um grupo no snap-in Usurios e Computadores do Active
Directory clicando com o boto direito do mouse no grupo e escolhendo o
comando Excluir.
Alm disso, o DSRm pode ser usado para excluir um grupo ou qualquer outro
objeto do Active Directory. A sintaxe bsica do DSRm :
dsrm ObjectDN ... [-subtree [-exclude]] [-noprompt] [-c]
O objeto especificado atravs de seu nome distinto no parmetro ObjectDN. Voc

ser solicitado a confirmar a excluso de cada objeto, a menos que especifique a
opo -noprompt. A opo -c coloca o DSRm em modo de operao contnua, em
que os erros so relatados, mas o comando mantm o processamento de objetos
adicionais. Sem a opo -c , o processamento interrompido no primeiro erro.
A opo -subtree faz com que o DSRm exclua o objeto e todos os seus objetos
filhos. A opo -subtree -exclude excluir todos os objetos filhos, mas no o objeto
propriamente.
Para excluir o grupo Relaes Pblicas, digite:
dsrm "CN=Public Relations,OU=Role,OU=Groups,DC=contoso,DC=com"
Saiba o impacto antes de excluir um grupo

Ao excluir um grupo, voc estar removendo um ponto de gerenciamento na sua
organizao. No deixe de avaliar o ambiente para ter a certeza de que no h
permisses ou outros recursos essenciais ao grupo. A excluso de um grupo uma
ao sria, com consequncias potencialmente significativas. Quando voc exclui
um grupo, remove o seu SID. A recriao do grupo com o mesmo nome no
restaura as permisses, pois o SID do novo grupo diferente do SID do grupo
original.
recomendvel que, antes de excluir um grupo, voc registre seus membros e
remova todos os membros por um perodo de tempo, para saber se os membros perderam
o acesso a algum recurso. Se alguma coisa sair errado, basta adicionar os membros
novamente. Se o teste for bem-sucedido, exclua o grupo.
Laboratrio A: Administrao de grupos
Cenrio
Para melhorar a capacidade de gerenciamento de acesso a recursos na Contoso,
Ltd., voc decidiu implementar o gerenciamento baseado em funes. A primeira
aplicao do gerenciamento baseado em funes ser gerenciar quem pode acessar
as pastas que contm informaes sobre Sales. Voc deve criar grupos que
gerenciam o acesso a essas informaes confidenciais. As regras de negcios
exigem que os funcionrios de Sales e Marketing, bem como uma equipe de
Consultores, devem ser capazes de ler as pastas Sales. Alm disso, Bobby Moore
requer o acesso Ler. Por fim, voc foi solicitado a descobrir uma forma de produzir
uma lista de membros de grupo, incluindo os que esto nos grupos aninhados, e
uma lista de membros de grupo de um usurio, incluindo os membros indiretos
ou aninhados.
Exerccio 1: Implementar o gerenciamento baseado em

funes atravs de grupos
Neste exerccio, voc implementar o gerenciamento baseado em funes usando
grupos e a estratgia de aninhamento de grupos, IGDLA. Voc criar diferentes
escopos e tipos usando o snap-in Usurios e Computadores do Active Directory e
ferramentas de linha de comando.
2. Criar grupos de funes com Usurios e Computadores do Active Directory.
3. Criar grupos de funes com o DSAdd.
4. Adicionar usurios ao grupo de funes.
5. Implementar uma hierarquia de funes na qual os Sales Managers tambm
faam parte da funo Sales.
6. Criar um grupo de gerenciamento de acesso a recursos.
7. Atribuir permisses ao grupo de gerenciamento de acesso a recursos.
8. Definir quais funes e usurios tero acesso a um recurso.

2. Faa logon como Pat.Coleman com a senha Pa$$w0rd.
3. Execute D:\Labfiles\Lab04a\Lab04a_Setup.bat com credenciais
Tarefa 2: Criar grupos de funes com Usurios e Computadores do

Active Directory
1. Execute Usurios e Computadores do Active Directory com credenciais
2. Crie grupos de segurana globais denominados Sales e Consultants na UO
Groups\Role.
Tarefa 3: Criar um grupo com o DSAdd

1. Execute o prompt de comando com credenciais administrativas. Use a conta
2. Com o comando DSAdd, crie um grupo de segurana global chamado
Auditores na UO Groups\Role.
3. Em Usurios e Computadores do Active Directory, confirme que o objeto foi
criado.
Tarefa 4: Adicionar usurios ao grupo de funes

1. Adicione Tony Krijnen ao grupo Sales usando a guia Membros do grupo
Sales.
2. Adicione Linda Mitchell ao grupo Sales clicando com o boto direito do
mouse em Linda Mitchell e escolhendo Adicionar a um grupo.
Tarefa 5: Implementar uma hierarquia de funes na qual os Gerentes

de Vendas tambm faam parte da funo Vendas
Adicione o grupo Sales Managers como membro do grupo Sales usando a
guia Membro de do grupo Sales Managers.
Tarefa 6: Criar um grupo de gerenciamento de acesso a recursos

Crie um grupo de segurana de domnio local chamado ACL_Sales
Folders_Read na UO Grupos\Acesso.
Tarefa 7: Atribuir permisses ao grupo de gerenciamento de acesso a

recursos
1. Crie uma pasta em D:\Data chamada Sales.
2. Clique com o boto direito do mouse na pasta Sales, clique em Propriedades
e, em seguida, clique na guia Segurana.
3. Clique em Editar e, em seguida, clique em Adicionar.
4. Digite ACL_ e pressione ENTER.

Observe que, quando voc usa um prefixo para nomes de grupo, como o
prefixo ACL_ para grupos de acesso a recursos, consegue encontr-los
rapidamente.
5. Clique em ACL_Sales Folders_Read e, em seguida, clique em OK.
6. Confirme que o grupo recebeu a permisso Ler e Executar.
7. Clique em OK para fechar cada caixa de dilogo.
Tarefa 8: Definir quais funes e usurios tero acesso a um recurso

Adicione Sales, Consultants, Auditors e Bobby Moore ao grupo ACL_Sales
Folders_Read.
Resultados: aps esse exerccio, a implementao do gerenciamento baseado em

funes para gerenciar o acesso Ler na pasta Vendas ficar fcil.
Exerccio 2: Gerenciar membros de grupo no prompt de

comando
Neste exerccio, voc gerenciar os membros de grupo no prompt de comando
usando comandos como DSGet e DSMod.
1. Modificar membros de grupo com o DSMod
2. Recuperar membros de grupo com o DSGet
Tarefa 1: Modificar membros de grupo com o DSMod

1. V para o prompt de comando. Digite o seguinte comando em uma linha e
pressione ENTER.
dsmod group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com" -

addmbr "CN=Mike Danseglio,OU=Employees,OU=User Accounts,
DC=contoso,DC=com" "CN=Finance Managers,OU=Role,
OU=Groups,DC=contoso,DC=com"
2. Em Usurios e Computadores do Active Directory, confirme que os

membros do grupo Auditores incluem Mike Danseglio e o grupo Gerentes
Financeiros.
Tarefa 2: Recuperar membros de grupo com o DSGet

1. V para o prompt de comando.
2. Liste os membros diretos do grupo Auditores digitando o seguinte comando e
pressionando ENTER:
dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"

-members
3. Especifique a lista completa dos membros do grupo Auditores digitando o

seguinte comando e pressionando ENTER:
dsget group "CN=Auditors,OU=Role,OU=Groups,DC=contoso,DC=com"

-members expand
4. Especifique a lista completa dos membros do grupo ACL_Sales Folders_Read

digitando o seguinte comando e pressionando ENTER:
dsget group "CN=ACL_Sales Folders_Read,OU=Access,

OU=Groups,DC=contoso,DC=com" -members -expand
5. Liste os membros diretos do grupo Mike Danseglio digitando o seguinte

comando e pressionando ENTER:
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts,

DC=contoso,DC=com" memberof
6. Liste todos os membros de grupo de Mike Danseglio digitando o seguinte

comando em uma linha e pressionando ENTER:
dsget user "CN=Mike Danseglio,OU=Employees,OU=User Accounts,

DC=contoso,DC=com" memberof -expand
Resultados: aps esse exerccio, a implementao do gerenciamento baseado em

funes para gerenciar o acesso Ler na pasta Sales ficar fcil.
Exerccio 3 (opcional avanado): Explorar ferramentas de

relatrios de membros de grupo
Os exerccios opcionais avanados oferecem desafios adicionais aos alunos que so
capazes de concluir os exerccios de laboratrio rapidamente. No h respostas na
seo Resposta do laboratrio.
1. Abrir D:\AdminTools\Members_Report.hta. Digitar o nome de um grupo e
clicar em Relatrio.
2. Abrir D:\AdminTools\MemberOf_Report.hta. Digitar o nome de um usurio,
computador ou grupo e clicar em Relatrio.
Exerccio 4 (opcional avanado): Compreender as

permisses "Conta Desconhecida"
1. Na UO Role, criar um grupo de segurana global chamado Teste.
2. Atribuir ao grupo a permisso Ler e Executar na pasta D:\Data\Sales.
3. Excluir o grupo chamado Test.
4. Examinar a guia Segurana da caixa de dilogo de propriedades da pasta
Vendas. Se voc ainda estiver vendo o grupo Teste listado, talvez o Windows
Explorer esteja armazenando em cache o mapeamento do SID para o nome do
grupo. Faa logoff, faa logon e verifique novamente.

configuraes que voc definiu aqui sero usadas no Laboratrio B.
Pergunta: Descreva a finalidade dos grupos globais em termos de gerenciamento

baseado em funes.
Pergunta: Quais tipos de objetos podem ser membros dos grupos globais?
Pergunta: Descreva a finalidade dos grupos de domnio local em termos de

gerenciamento de acesso a recursos baseado em funes.
Pergunta: Quais tipos de objetos podem ser membros dos grupos de domnio local?
Pergunta: Se voc tiver implementado o gerenciamento baseado em funes e for

solicitado a reportar quem pode ler as pastas Vendas, que comando usar para
fazer isso?
Lio 3
Prticas recomendadas para gerenciamento de
grupos

Documentar a finalidade de um grupo usando os atributos do grupo.
Proteger um grupo contra excluso acidental.
Delegar o gerenciamento dos membros de grupo usando a guia Gerenciado
por.
Compreender os grupos de sombra.
Prticas recomendadas para documentao de grupos
Pontos principais
A criao de um grupo no Active Directory fcil. No fcil assegurar que o
grupo foi usado corretamente ao longo do tempo. Voc pode facilitar o
gerenciamento correto e o uso de um grupo documentando sua finalidade, a fim
de ajudar os administradores a compreender como e quando usar o grupo.
Existem vrias prticas recomendadas que, embora apresentem pouca
probabilidade de serem abordadas pelo exame de certificao, demonstraro ser
imensamente teis para a administrao empresarial de grupos.
Estabelea e adote uma conveno rgida de nomenclatura

Uma lio anterior abordou a sugesto de uma conveno de nomenclatura. No
contexto da administrao de grupos contnua, o estabelecimento e a adoo de
padres de nomenclatura de grupo aumenta a produtividade administrativa. O uso
de prefixos para indicar a finalidade de um grupo e o uso de um delimitador
consistente entre o prefixo e a parte descritiva dos nomes de grupo podem ajudar
os usurios a localizar o grupo correto para um fim especfico. Por exemplo, o
prefixo APP pode ser usado para designar grupos que so usados para gerenciar
aplicativos e o prefixo ACL pode ser usado para grupos que recebem permisses
nas ACLs (listas de controle de acesso). Com esses prefixos, torna-se mais fcil
localizar e interpretar a finalidade dos grupos chamados, por exemplo,
APP_Accounting x ACL_Accounting_Read; o primeiro usado para gerenciar a
implantao do software de contabilidade e o segundo, para fornecer o acesso Ler
na pasta de contabilidade. Os prefixos tambm facilitam o agrupamento dos
nomes de grupos na interface do usurio. A captura de tela a seguir mostra um
exemplo:
Ao tentar localizar um grupo a ser usado para atribuir permisses a uma pasta,
voc pode digitar o prefixo ACL_ na caixa de dilogo Selecionar e clicar em OK. A
caixa de dilogo Diversos nomes encontrados ser exibida, mostrando somente os
grupos ACL_ do diretrio, assegurando, portanto, que as permisses sero
atribudas a um grupo que foi projetado para gerenciar o acesso a recursos.
Resuma a finalidade de um grupo com seu atributo description

Use o atributo description de um grupo para resumir a finalidade do grupo. Como
a coluna Descrio habilitada, por padro, no painel de detalhes do snap-in
Usurios e Computadores do Active Directory, a finalidade do grupo pode ficar
altamente visvel para os administradores.
Descreva detalhadamente a finalidade de um grupo no campo Observaes
Quando voc abre a caixa de dilogo Propriedades de um grupo, o campo
Observaes fica visvel na parte inferior da guia Geral. Esse campo pode ser usado
para documentar a finalidade do grupo. Por exemplo, voc pode listar as pastas
nas quais um grupo recebeu permisso, conforme mostrado a seguir:
Proteo de grupos contra excluso acidental
Pontos principais
Proteja-se contra os resultados potencialmente devastadores da excluso de um
grupo, protegendo cada grupo criado contra excluso. O Windows Server 2008
facilita a proteo de qualquer objeto contra a excluso acidental.
Para proteger um objeto, siga estas etapas:
1. No snap-in Usurios e Computadores do Active Directory, clique no menu
Exibir e verifique se a opo Recursos avanados est selecionada.
2. Abra a caixa de dilogo Propriedades para um grupo.
3. Na guia Objeto, marque a caixa de seleo Proteger objeto contra excluso
acidental.
4. Clique em OK.
Esse um dos poucos lugares do Windows em que voc precisa clicar no boto
OK. Clicar em Aplicar no modifica a ACL baseada na sua seleo.
A opo Proteger Objeto Contra Excluso Acidental aplica uma ACE (entrada de
controle de acesso) ACL do objeto que nega explicitamente ao grupo Todos as
permisses Excluir e Excluir Subrvore. Se voc realmente no deseja excluir o
grupo, retorne guia Objeto da caixa de dilogo Propriedades e desmarque a caixa
de seleo Proteger Objeto Contra Excluso Acidental.
A excluso de um grupo exerce alto impacto sobre os administradores e,
potencialmente, sobre a segurana. recomendvel utilizar um grupo que j venha
sendo usado para gerenciar o acesso a recursos. Se o grupo for excludo, o acesso a
esse recurso ser alterado. Os usurios com capacidade para acessar o recurso so
inesperadamente impedidos de acessar, criando um cenrio de negao de servio,
ou se voc utilizou o grupo para negar o acesso a um recurso com a permisso
Negar, o acesso inapropriado ao recurso se torna possvel.
Alm disso, se voc recriar o grupo, o novo objeto de grupo ter um novo SID
(identificador de segurana), que no corresponder aos SIDs nas ACLs dos
recursos. Portanto, em vez disso, voc deve executar a recuperao do objeto para
reanimar o grupo antes que o intervalo de marcao para excluso seja atingido.
Quando um grupo for excludo para o intervalo de marcao para excluso 60
dias por padro o grupo e seu SID sero excludos definitivamente do Active
Directory. Quando voc reanimar um objeto marcado para excluso, dever recriar
a maioria de seus atributos, incluindo o atributo membro dos objetos de grupo,
que o mais importante. Isso significa que voc deve recriar os membros de grupo
aps restaurar o objeto excludo. Se desejar, voc pode executar uma restaurao
autoritativa ou, no Windows Server 2008, usar os instantneos do Active Directory
para recuperar o grupo e seus membros. A restaurao autoritativa e os
instantneos sero abordados no Mdulo 13.
Obtenha mais informaes sobre como recuperar grupos excludos e seus
membros no artigo 840001 (em ingls) da Base de Dados de Conhecimento, em
http://support.microsoft.com/kb/840001/en-us.
Em qualquer circunstncia, seguro dizer que a recuperao de um grupo
excludo uma habilidade que voc deve usar apenas em treinamentos de
incndio para recuperao de desastres, e no em um ambiente de produo.
Delegao do gerenciamento de membros com a guia

Gerenciado por
Pontos principais
Depois que um grupo for criado, talvez seja necessrio delegar o gerenciamento
dos membros do grupo a uma equipe ou pessoa que tenha responsabilidade
corporativa sobre o recurso que o grupo gerencia. Por exemplo, suponhamos que
seu gerente financeiro seja responsvel pela criao do oramento no prximo ano.
Voc cria uma pasta compartilhada para o oramento e atribui a permisso Gravar
a um grupo chamado ACL_Budget_Edit. Se algum precisar acessar a pasta de
oramentos, esse gerente contatar a assistncia tcnica para fazer uma solicitao,
a assistncia tcnica contatar o gerente financeiro para aprovao e, por fim, a
assistncia tcnica adicionar o usurio ao grupo ACL_Budget_Edit. Voc pode
melhorar a capacidade de resposta e responsabilidade do processo permitindo que
o gerente financeiro altere os membros do grupo. Em seguida, os usurios que
precisam de acesso podem solicitar o acesso diretamente ao gerente financeiro, que
pode fazer a alterao, removendo a etapa intermediria de contato assistncia
tcnica. Para delegar o gerenciamento dos membros de um grupo, voc deve
atribuir ao gerente financeiro a permisso Permitir Gravao no grupo. O atributo
membro o atributo de valores mltiplos que constitui os membros do grupo.
A maneira mais fcil de delegar o gerenciamento de membros de um nico grupo

usando a guia Gerenciado por. A guia Gerenciado por da caixa de dilogo
Propriedades de um objeto de grupo exibida aqui:
A guia Gerenciado por tem duas finalidades. Primeiro, ela fornece as informaes
de contato relacionadas ao gerente de um grupo. Voc pode usar essas
informaes para contatar o proprietrio de negcios de um grupo, a fim de obter
aprovao antes de adicionar um usurio ao grupo.
A segunda finalidade da guia Gerenciado por gerenciar a delegao do atributo
membro. Observa a caixa de seleo exibida anteriormente. Ela rotulada como O
gerente pode atualizar a lista de membros. Quando marcada, o usurio ou grupo
mostrado na caixa Nome recebe a permisso Permitir Gravao. Se voc alterar ou
desmarcar o gerente, a alterao apropriada ser feita na ACL do grupo.
Dica: voc deve realmente clicar em OK para implementar a alterao. Clicar em Aplicar
no altera a ACL no grupo.
No to fcil inserir um grupo na guia Gerenciado por de outro grupo. Quando

voc clicar no boto Alterar, a caixa de dilogo Selecionar Usurio, Contato ou
Grupo ser exibida. Se voc digitar o nome de um grupo e clicar em OK, ocorrer
um erro. Isso acontece porque essa caixa de dilogo no est configurada para
aceitar grupos como tipos de objeto vlidos, mesmo que Grupo esteja no nome
da caixa de dilogo propriamente. Para resolver essa limitao singular, clique no
boto Tipos de objeto e marque a caixa de seleo ao lado de Grupos. Clique em
OK para fechar as caixas de dilogo Tipos de objeto e Selecionar. No deixe de
marcar a caixa de seleo O gerente pode atualizar a lista de membros se quiser
atribuir a permisso Permitir gravao ao grupo. Quando um grupo usado na
guia Gerenciado por, nenhuma informao de contato fica visvel, pois os grupos
no mantm atributos relacionados a contatos.
Depois que voc tiver delegado o gerenciamento de membros de grupo, um

usurio no precisar do snap-in Usurios e Computadores do Active Directory
para modificar os membros do grupo. Um usurio pode simplesmente usar o
recurso Pesquisar o Active Directory de clientes do Windows para localizar o
grupo e, em seguida, alterar seus membros.
Para localizar um grupo:

1. Clique em Iniciar e, em seguida, clique em Rede.
2. Clique no boto Pesquisar o Active Directory na barra de ferramentas.
3. Digite o nome do grupo e clique em Localizar Agora.
Grupos padro
Pontos principais
Existem diversos grupos que so criados automaticamente em um servidor do
Windows Server 2008. Eles so chamados grupos locais padro e incluem grupos
conhecidos, como Admins, Backup Operators e Remote Desktop Users. H grupos
adicionais que so criados em um domnio, nos contineres BUILTIN e Usurios,
incluindo Administradores do Domnio, Administrao de Empresa e
Administradores de Esquemas. A lista a seguir fornece um resumo de recursos do
subconjunto de grupos padro que tm permisses significativas e direitos de
usurio relacionados ao gerenciamento do Active Directory.
Enterprise Admins (continer Usurios do domnio raiz da floresta)
Este grupo um membro do grupo Administradores de cada domnio da floresta,
conferindo a ele acesso completo configurao de todos os controladores de
domnio. Ele tambm tem a partio Configurao do diretrio e possui controle
total sobre o contexto de nomenclatura de domnio em todos os domnios da
floresta.
Scheme Admins (continer Usurios do domnio raiz da floresta)

Este grupo possui controle total sobre o esquema do Active Directory.
Admins (continer BUILTIN de cada domnio)
Este grupo tem controle total sobre todos os controladores de domnio e dados no
contexto de nomenclatura de domnio. Ele pode alterar os membros de todos os
outros grupos administrativos do domnio; o grupo Administradores do domnio
raiz da floresta pode alterar os membros de Enterprise Admins, Scheme Admins e
Domain Admins. O grupo Administradores do domnio raiz da floresta o grupo
de administrao de servio mais poderoso da floresta.
Domain Admins (continer Usurios de cada domnio)
Este grupo adicionado ao grupo Administradores do seu domnio. Portanto, ele
herda todos os recursos do grupo Administradores. Por padro, ele tambm
adicionado ao grupo Administradores local de cada computador membro do
domnio, conferindo a Administradores do Domnio a propriedade de todos os
computadores do domnio.
Server Operators (continer BUILTIN de cada domnio)
Este grupo pode executar tarefas de manuteno nos controladores de domnio.
Ele tem o direito de fazer logon localmente, iniciar e interromper servios, executar
operaes de backup e restaurao, formatar discos, criar ou excluir
compartilhamentos e desligar controladores de domnio. Por padro, este grupo
no tem membros.
Accounting Operators (continer BUILTIN de cada domnio)
Este grupo pode criar, modificar e excluir contas para usurios, grupos e
computadores localizados em qualquer unidade organizacional do domnio
(exceto na UO Controladores de Domnio), bem como no continer Usurios e
Computadores. O grupo Opers. de Contas no pode modificar contas que sejam
membros dos grupos Administradores ou Administradores do Domnio nem
modificar esses grupos. O grupo Opers. de Contas tambm pode fazer logon
localmente nos controladores de domnio. Por padro, este grupo no tem
membros.
Backup Operators (continer BUILTIN de cada domnio)
Este grupo pode executar operaes de backup e restaurao nos controladores de
domnio, bem como fazer logon localmente e desligar os controladores de
domnio. Por padro, este grupo no tem membros.
Printing Operators (continer BUILTIN de cada domnio)

Este grupo pode manter filas de impresso nos controladores de domnio. Ele
tambm pode fazer logon localmente e desligar controladores de domnio.
Os grupos padro que fornecem privilgios administrativos devem ser gerenciados
com cuidado, porque eles geralmente tm privilgios mais amplos do que os
necessrios para a maioria dos ambientes delegados e porque geralmente protegem
seus membros.
O grupo Opers. de Contas um exemplo perfeito. Se voc examinar seus recursos
na lista anterior, ver que seus direitos so, de fato, muito amplos. Ele pode at
mesmo fazer logon localmente em um controlador de domnio. Em empresas
muito pequenas, esses direitos provavelmente seriam apropriados para uma ou
duas pessoas que atuariam como administradores de domnio assim mesmo. Em
empresas maiores, os direitos e as permisses concedidos ao grupo Opers. de
Contas so geralmente muito mais amplos.
Alm disso, o grupo Opers. de Contas , a exemplo dos outros grupos
administrativos listados anteriormente, um grupo protegido.
Os grupos protegidos so definidos pelo sistema operacional e no podem ficar
desprotegidos. Os membros de um grupo protegido se tornam protegidos. O
resultado da proteo que as permisses (ACLs) dos membros so modificadas,
para que eles no herdem mais permisses da sua UO, mas recebam uma cpia de
uma ACL que seja restritiva. Por exemplo, se Jeff Ford for adicionado ao grupo
Opers. de Contas, a conta dele ficar protegida e a assistncia tcnica, que pode
redefinir todas as outras senha de usurio na UO Funcionrios, no poder
redefinir a senha de Jeff Ford.
Para obter mais informaes sobre as contas protegidas, consulte o artigo 817433
em http://support.microsoft.com/?kbid=817433 e o artigo 840001 (em ingls) em
http://support.microsoft.com/kb/840001/en-us, ambos da Base de Dados de
Conhecimento. Se voc deseja pesquisar a Internet em busca de recursos, use a
palavra-chave adminSDHolder.
Por esses motivos delegao em excesso e proteo voc deve fazer de tudo
para evitar a adio de usurios aos grupos listados anteriormente que no tm
membros por padro: Opers. de Contas, Operadores de Backup, Operadores de Servidor
e Opers. de Impresso. Em vez disso, crie grupos personalizados aos quais voc atribui
permisses e direitos de usurio que atendem a seus requisitos comerciais e
administrativos.
Por exemplo, se Scott Mitchell puder executar operaes de backup em um

controlador de domnio, mas no puder executar operaes de restaurao que
resultem na reverso ou no corrompimento do banco de dados e no puder
desligar um controlador de domnio, no inclua Scott no grupo Operadores de
Backup. Em vez disso, crie um grupo e atribua a ele somente o direito Fazer
Backup de Arquivos e Pastas. Em seguida, adicione Scott como membro.
Existe uma exaustiva referncia aos grupos padro de um domnio e aos grupos
locais padro no Microsoft TechNet. Se voc no est familiarizado com os grupos
padro e seus recursos, prepare-se para ler atentamente sobre eles. A referncia aos
grupos de domnio padro est em http://technet.microsoft.com/pt-br/library
/cc756898(WS.10).aspx e a referncia aos grupos locais padro est em
Identidades especiais
Pontos principais
O Windows e o Active Directory tambm oferece suporte a identidades especiais,
grupos cujos membros so controlados pelo sistema operacional. Voc no pode
exibir os grupos em qualquer lista (no snap-in Usurios e Computadores do Active
Directory, por exemplo), no pode exibir ou modificar os membros dessas
identidades especiais, e no pode adicion-los a outros grupos. No entanto, voc
pode usar esses grupos para atribuir direitos e permisses. As identidades especiais
mais importantes, geralmente conhecidas como grupos para fins de praticidade, so
descritas na lista a seguir:
Logon Annimo. Esta identidade representa as conexes a um computador e
seus recursos que so feitas sem fornecer um nome de usurio e uma senha.
Antes do Windows Server 2003, este grupo era membro do grupo Todos. A
partir do Windows Server 2003, este grupo no mais um membro padro do
grupo Todos.
Usurios Autenticados. Representa identidades que foram autenticadas. Este
grupo no inclui a conta Convidado, mesmo que ela tenha uma senha.
Todos. Esta identidade inclui Usurios Autenticados e a conta Convidado. Em

computadores que executam verses do Windows anteriores ao Windows
Server 2003, este grupo inclui Logon Annimo.
Interativo. Representa os usurios que acessam um recurso enquanto esto
conectados localmente ao computador que est hospedando o recurso, em
contraposio ao acesso do recurso pela rede. Quando um usurio acessa
qualquer recurso em um computador ao qual o usurio est conectado
localmente, ele automaticamente adicionado ao grupo Interativo desse
recurso. O grupo Interativo tambm inclui usurios conectados atravs de uma
conexo de rea de trabalho remota.
Rede. Representa os usurios que acessam um recurso pela rede, em
contraposio aos usurios que esto conectados localmente ao computador
que est hospedando o recurso. Quando um usurio acessa um recurso
especfico na rede, ele automaticamente adicionado ao grupo Rede desse
recurso.
A importncia dessas identidades especiais que elas permitem que voc fornea
acesso aos recursos com base no tipo de autenticao ou conexo, e no com base
na conta do usurio. Por exemplo, voc pode criar uma pasta em um sistema que
permita que os usurios exibam seu contedo quando estiverem conectados
localmente ao sistema, mas que no permita que os mesmos usurios exibam o
contedo a partir de uma unidade mapeada pela rede. Para fazer isso, atribua
permisses identidade especial Interativo.
Laboratrio B: Prticas recomendadas para

gerenciamento de grupos
Cenrio
Sua implementao do gerenciamento baseado em funes na Contoso foi um
tremendo sucesso. medida que o nmero de grupos no domnio aumentou, voc
percebeu como importante documentar todos os grupos e evitar que os
administradores excluam um grupo acidentalmente. Por fim, voc deseja permitir
que os proprietrios de negcios dos recursos gerenciem o acesso a esses recursos,
delegando a esses proprietrios o direito de modificar os membros dos grupos
apropriados.
Exerccio 1: Implementar prticas recomendadas para

gerenciamento de grupos
Neste exerccio, voc executar as seguintes tarefas para documentar, delegar e
proteger os grupos:
2. Criar um grupo bem documentado.
3. Proteger um grupo contra excluso acidental.
4. Delegar o gerenciamento de membros de grupo.
5. Validar a delegao do gerenciamento de membros de grupo.

A mquina virtual j deve ter sido iniciada e estar disponvel aps a concluso do
Laboratrio A. No entanto, se no for esse o caso, voc deve inici-la e concluir os
exerccios do Laboratrio A antes de continuar.
Tarefa 2: Criar um grupo bem documentado

2. Nas propriedades do grupo ACL_Sales Folders_Read, configure o seguinte:
Uma Descrio que resuma a regra de gerenciamento de recursos
representada pelo grupo: Sales Folders (READ)
Na caixa Observaes, digite os seguintes caminhos para representar as
pastas que tm permisses atribudas a esse grupo:
\\contoso\teams\Sales(READ)
\\file02\data\Sales(READ)
\\file03\news\Sales(READ)
Tarefa 3: Proteger um grupo contra excluso acidental

1. Habilite a exibio Recursos Avanados do snap-in Usurios e
2. Proteja o grupo ACL_Sales Folders_Read para que no seja excludo
acidentalmente.
3. Tente excluir o grupo. Confirme que a tentativa de excluso do grupo foi
negada.
Tarefa 4: Delegar o gerenciamento de membros de grupo

Configure o atributo Gerenciado por de Auditors para fazer referncia a Mike
Danseglio.
Tarefa 5: Validar a delegao do gerenciamento de membros de

grupo
1. Faa logoff de HQDC01 e, em seguida, faa logon com o nome de usurio
Mike.Danseglio e a senha Pa$$w0rd.
2. Abra a janela Rede e use Pesquisar o Active Directory para localizar o grupo
Auditores.
3. Adicione o grupo Executives ao grupo Auditors.
4. Faa logoff de HQDC01.
Observao: depois de concluir este exerccio, desligue todas as mquinas virtuais e

descarte os discos de recuperao.
Exerccio 2 (opcional avanado): Manter os membros de

grupo de sombra
1. Confirmar que um grupo de segurana global chamado Identidades
Administrativas existe na UO Groups\Role.
Ele ser um grupo de sombra que possui contas na UO Identidades de Admin.
2. Criar um script em lotes que use DSQuery, DSGet e DSMod para sincronizar
os membros do grupo com os usurios da UO Identidades de Admin.
O script ser executado em intervalos regulares para manter os membros do
grupo sincronizados com a UO Identidades de Admin. O script deve dar conta
dos novos usurios adicionados UO e dos usurios removidos da UO.
3. Testar o script executando as seguintes etapas atravs de credenciais
administrativas:
a. Execute o script.
b. Confirme que os membros do grupo Identidades Administrativas so
idnticos ao contedo da UO Administartive identities.
c. Crie uma nova conta de usurio na UO Administartive identities.
d. Execute o script.
e. Confirme que o grupo contm o usurio recm-adicionado.
f. Desabilite a nova conta de usurio e mova o usurio para a UO Disabled
Accounts.
g. Execute o script.
h. Confirme que o grupo no contm mais o usurio.
4. Se o tempo permitir, crie uma Tarefa Agendada que execute o script uma vez a
cada minuto. Repita a sequncia de teste, mas em vez de executar o script,
permita que a tarefa agendada seja executada.
Voc pode comparar o script em lotes com

D:\Labfiles\Lab04b\Shadow_Group.bat.
Observe que os comandos do DS atingem a meta de manuteno de um grupo de

sombra, mas no fazem isso com tanta eficincia. A remoo de todos os membros
e a nova adio de todos os membros geram um volume de trfego de replicao
maior que o necessrio, principalmente para um grupo de sombra grande, com
centenas ou milhares de membros. Voc pode usar a linguagem de script, como
VBScript ou Windows PowerShell, para criar um script mais eficiente que atualize
os membros de grupo, em vez de substitu-los, para dar conta das alteraes.
Consulte Windows Administration Resource Kit: Productivity Solutions for IT
Professionals por Dan Holme (Microsoft Press, 2008) para obter um script de
exemplo.
Pergunta: Cite alguns benefcios do uso dos campos Descrio e Observaes de

um grupo.
Pergunta: Quais so as vantagens e desvantagens da delegao de membros de

grupo?
Suporte a contas de computador 5-1
Mdulo 5
Suporte a contas de computador
Sumrio:
Lio 1: Criao de computadores e ingresso no domnio 5-4
Laboratrio A: Criao de computadores e ingresso no domnio 5-35
Lio 2: Administrao de contas e objetos do computador 5-43
Laboratrio B: Administrao de contas e objetos do computador 5-63
Viso geral do mdulo
Os computadores de um domnio so entidades de segurana, como os usurios.

Eles possuem uma conta com um nome de logon e uma senha que o Windows
troca automaticamente a cada 30 dias, aproximadamente. Eles so autenticados
com o domnio. Eles podem pertencer a grupos, ter acesso a recursos e ser
configurados por Diretiva de Grupo. Alm disso, como os usurios, os
computadores podem perder suas senhas, o que requer uma redefinio, ou
algumas contas podem precisar ser desabilitadas ou habilitadas.
O gerenciamento de computadores, tanto os objetos no Active Directory quanto os
dispositivos fsicos, uma das tarefas dirias da maioria dos profissionais de TI.
Novos sistemas so adicionados organizao, computadores so colocados
offline para reparos, mquinas so trocadas entre usurios ou funes e o
equipamento mais antigo removido ou atualizado, dando acesso aos sistemas de
substituio. Cada uma destas atividades requer o gerenciamento da identidade do
computador representada por seu objeto, ou conta, e o Active Directory.
Infelizmente, a maioria das empresas no investe o mesmo tipo de cuidado e

elaborao na criao e no gerenciamento de contas de computador como fazem
com as contas de usurio, mesmo que ambas sejam entidades de segurana. Neste
captulo, voc aprender como criar objetos de computador, que incluem os
atributos necessrios para que os objetos sejam contas. Voc aprender como
oferecer suporte a contas de computador durante o seu ciclo de vida, incluindo
configurao, soluo de problemas, reparo e desprovisionamento de objetos de
computador. Voc tambm conhecer melhor o processo pelo qual um
computador ingressa em um domnio, para que voc possa identificar e evitar
pontos potenciais de falha.
Objetivos
Compreender a relao entre um membro do domnio e o domnio, em termos
Identificar os requisitos para ingressar um computador no domnio.
Implementar processos de prticas recomendadas para ingressos de
computador.
Proteger o AD DS para impedir a criao de contas de computador no
gerenciadas
Gerenciar objetos de computador e seus atributos usando a interface do
Windows e ferramentas de linha de comando.
Administrar contas de computador durante seu ciclo de vida.
Lio 1
Criao de computadores e ingresso no
domnio
A configurao padro do Windows Server 2008, assim como de outras verses

de sistemas operacionais servidor e cliente Windows, que o computador pertence
a um grupo de trabalho. Antes que voc possa fazer logon em um computador com
uma conta de domnio, esse computador deve pertencer ao domnio. Para
ingressar no domnio, o computador deve ter uma conta no domnio que, como
uma conta de usurio, inclui um nome de logon (o atributo sAMAccountName ),
uma senha e um SID (identificador de segurana) que represente com
exclusividade o computador como entidade de segurana no domnio. Essas
credenciais permitem que o computador autentique no domnio e crie uma relao
de segurana que depois permita aos usurios efetuar logon no sistema com contas
de domnio. Nesta lio, voc ir aprender as etapas para preparar o domnio para
uma nova conta de computador, e explorar o processo pelo qual um computador
ingressa no domnio.
Objetivos
Compreender a relao entre um membro do domnio e o domnio, em termos
Identificar os requisitos para ingressar um computador no domnio.
Pr-testar uma conta de computador.
Ingressar um computador em um domnio.
Redirecionar o continer padro do computador.
Impedir que usurios no administrativos criem computadores e ingressem no
domnio.
Usar ferramentas de linha de comando para importar, criar e ingressar
computadores.
Grupos de trabalho, domnios e confianas
Pontos principais
Em um grupo de trabalho, cada sistema mantm um armazenamento de
identidades de contas de usurio e grupo de acordo com o qual os usurios podem
ser autenticados e o acesso tem incio. O armazenamento de identidades local em
cada computador chamado de banco de dados SAM (Gerenciador de Contas de
Segurana). Se um usurio fizer logon em um computador do grupo de trabalho, o
sistema autentica o usurio no banco de dados SAM local. Se um usurio se
conectar a outro sistema, para acessar um arquivo, por exemplo, ele ser
autenticado novamente no armazenamento de identidades do sistema remoto. De
uma perspectiva de segurana, um computador de grupo de trabalho , para todos
os fins, um sistema autnomo.
Quando um computador ingressa em um domnio, ele delega a tarefa de autenticar

usurios ao domnio. Embora o computador continue mantendo seu banco de
dados SAM para oferecer suporte a contas de grupo e usurio locais, as contas de
usurio geralmente sero criadas no diretrio do domnio central. Quando um
usurio fizer logon no computador com uma conta de domnio, ele ser
autenticado por um controlador do domnio, e no pelo SAM. Ou seja, o
computador agora confia em outra autoridade para validar a identidade de um
usurio. As relaes de confiana geralmente so discutidas no contexto de dois
domnios, como voc aprender em outro mdulo, mas h tambm uma confiana
entre cada computador membro do domnio e seu domnio, que estabelecida
quando o computador ingressa no domnio.
Requisitos para ingresso de um computador no domnio
Pontos principais
Trs coisas so necessrias para que voc ingresse um computador em um
domnio do Active Directory:
Um objeto de computador deve ser criado no servio de diretrio.
Voc deve ter permisses apropriadas para o objeto de computador. As
permisses permitem que voc ingresse um computador com o mesmo nome
que o objeto no domnio.
Voc deve ser um membro do grupo Administradores local no computador
para alterar sua participao no domnio ou no grupo de trabalho.
O restante desta lio analisa cada um destes requisitos.

As unidades organizacionais e o continer do computador
Pontos principais
Antes de criar um objeto do computador no servio de diretrio - o primeiro de
trs requisitos para ingressar um computador no domnio - voc precisa ter um
lugar para coloc-lo.
O continer padro de computadores
Quando um domnio criado, o continer Computadores criado por padro
(CN=Computadores). Este continer no uma unidade organizacional, um
objeto de continer de classe. H algumas diferenas sutis, mas importantes, entre
um continer e uma unidade organizacional: No possvel criar uma unidade
organizacional em um continer. Assim, no possvel subdividir a UO
Computers; tambm no possvel vincular um objeto Diretiva de Grupo a um
continer. Portanto, altamente recomendvel que voc crie unidades
organizacionais personalizadas para hospedar objetos de computador em vez de
usar o continer Computadores.
Unidades organizacionais para computadores

A maioria das organizaes cria pelo menos duas unidades organizacionais para
objetos de computador: uma para hospedar contas de computadores clientes
(desktops, laptops e outros sistemas de usurio), e outra para servidores. Essas
duas unidades organizacionais so criadas alm da Controladores de Domnio,
criada por padro durante a instalao do Active Directory. Em cada uma delas,
objetos de computador so criados. No h diferena tcnica entre um objeto de
computador em uma unidade organizacional de um cliente e um objeto de
computador em uma unidade organizacional de controlador de domnio ou
servidor: objetos de computador so objetos de computador. No entanto, unidades
organizacionais separadas geralmente so criadas para fornecer escopos exclusivos
de gerenciamento, para que voc possa delegar o gerenciamento de objetos de
cliente a uma equipe e o gerenciamento de objetos de servidor a outra.
O seu modelo administrativo pode necessitar dividir ainda mais as unidades
organizacionais de cliente e servidor. Muitas organizaes criam subunidades
organizacionais em uma unidade organizacional de servidor para coletar e
gerenciar tipos especficos de servidores. Por exemplo, uma unidade
organizacional para servidores de arquivo e impresso e outra para servidores de
bancos de dados. Ao fazer isso, a equipe de administradores de cada tipo de
servidor pode receber permisses para gerenciar objetos de computador na
unidade organizacional apropriada. De forma similar, organizaes distribudas
geograficamente com equipes de suporte a desktop locais dividem uma unidade
organizacional pai para clientes em subunidades para cada site. Esta abordagem
permite que a equipe de suporte de cada site crie objetos de computador no site
para computadores cliente e ingresse computadores no domnio usando esses
objetos de computador. Este apenas um exemplo: o mais importante que a
estrutura da unidade organizacional reflita o seu modelo administrativo para que
as unidades organizacionais forneam pontos nicos de gerenciamento para a
delegao de administrao.
5-11
Suporte a contas de computador
Alm disso, unidades organizacionais separadas permitem que voc crie

configuraes de linha de base diferentes usando GPOs (Objetos de Diretiva de
Grupo) diferentes vinculados s unidades organizacionais de cliente e servidor. A
Diretiva de Grupo, abordada detalhadamente em outro mdulo, permite que voc
especifique a configurao de conjuntos de computadores vinculando GPOs que
contenham instrues de configurao a unidades organizacionais. comum que
as organizaes separem clientes em unidades organizacionais de desktop e
laptop. Os GPOs que especifiquem a configurao do desktop ou laptop podero
ser, ento, vinculados s unidades organizacionais apropriadas.
Se a sua organizao tiver uma administrao descentralizada, baseada em site, e
desejar gerenciar configuraes exclusivas para desktops e laptops, voc enfrentar
um dilema de design: Voc deve dividir a unidade organizacional de clientes com
base na administrao e depois subdividir em desktops e laptops ou deve dividir a
unidade organizacional de clientes em unidades organizacionais de desktop e
laptop e depois subdividir com base na administrao? As opes so ilustradas a
seguir.
Como o ponto mais forte do design de unidades organizacionais do Active

Directory a delegao eficiente da administrao atravs de herana de ACLs
(Listas de controle de acesso) em unidades organizacionais, o design da esquerda
seria o recomendado.
Delegao de permisso para criar computadores

Por padro, os grupos Administrao de Empresa, Admins. do Domnio,
Administradores e Operadores de Conta possuem permisso para criar objetos de
computador em qualquer unidade organizacional nova. Entretanto, como
discutido no mdulo sobre grupos, recomendvel que voc restrinja a
participao nos trs primeiros grupos e que voc no adicione administradores no
grupo Operadores de Conta.
Em vez disso, voc deve delegar a permisso para criar objetos de computador
para administradores apropriados ou a equipe de suporte. A permisso necessria
para criar um objeto de computador Criar Objetos de Computador. Esta
permisso, designada a um grupo de uma unidade organizacional, permite que os
membros do grupo criem objetos de computador nessa unidade organizacional.
Por exemplo, voc pode permitir que a equipe de suporte a desktop crie objetos de
computador na unidade organizacional de clientes e permitir que os
administradores de servidor de arquivo criem objetos de computador na unidade
organizacional de servidores de arquivo.
As permisses necessrias para realizar tarefas de gerenciamento de computador
so listadas no tpico "Proteger a criao e as associaes de computador". O
mdulo 8 detalha o processo de delegao.
Pr-teste de uma conta de computador
Pontos principais
Voc pode e deve criar uma conta de computador na unidade organizacional
correta antes de ingressar o computador no domnio. Este processo de criao de
uma conta de computador antecipadamente chamado de pr-teste de um
computador.
Depois de ter recebido permisso para criar objetos de computador, voc pode
fazer isso clicando com o boto direito do mouse na unidade organizacional e
escolhendo Computador do menu Novo. A caixa de dilogo Novo Objeto -
Computador, mostrada abaixo, ser exibida:
Insira o nome do computador, seguido pela conveno de nomenclatura da sua

empresa, e selecione o usurio ou grupo que ter permisso para ingressar o
computador no domnio com esta conta. Os dois nomes de computador - Nome
do computador e Nome do computador ( pr-Windows 2000) - devem ser iguais:
Configur-los separadamente no justificvel.
Observao: as permisses aplicadas ao usurio ou grupo selecionado no assistente so

mais que necessrias para simplesmente ingressar um computador no domnio. O
usurio ou grupo selecionado tambm pode modificar o objeto do computador de
outras maneiras. Para obter orientao sobre a abordagem de privilgio mnimo para
delegar permisso para ingressar um computador no domnio, consulte Windows
Administration Resource Kit: Productivity Solutions for IT Professionals (Solues de
produtividade para profissionais de TI) de Dan Holme (Microsoft Press, 2008).
O processo de criao de uma conta de computador antes de ingressar o

computador no domnio chamado de pr-teste da conta.
O pr-teste do computador oferece duas vantagens principais:
A conta est na unidade organizacional correta e, portanto, delegada de
acordo com a poltica de segurana definida pela ACL da unidade
organizacional.
O computador est no escopo dos GPOs vinculados unidade organizacional,
antes que o computador ingresse no domnio.
Ingresso de um computador em um domnio
Pontos principais
Ao pr-testar o objeto do computador, voc cumpre os primeiros dois requisitos
para ingressar um computador em um domnio: o objeto do computador existe, e
voc especificou quem possui permisses para ingressar um computador com o
mesmo nome no domnio. Agora, um administrador local do computador pode
alterar a participao no domnio do computador e inserir as credenciais de
domnio especficas para concluir com xito o processo.
Para ingressar um computador no domnio, siga estas etapas:
1. Faa logon no computador com as credenciais que pertencem ao grupo local
Administradores.
Somente os administradores locais podem alterar a participao de um
computador no domnio ou no grupo de trabalho.
2. Abra a caixa de dilogo Propriedades do Sistema usando um dos seguintes

mtodos:
Windows XP, Windows Server 2003:
Abra a caixa de dilogo Propriedades do Sistema realizando um dos
seguintes procedimentos:
Clique com o boto direito do mouse em Meu Computador e clique
em Propriedades.
Pressione Logotipo do Windows+Pause.
Windows Vista, Windows Server 2008:
a. Abra a caixa de dilogo Propriedades do Sistema realizando um dos
seguintes procedimentos:
Clique com o boto direito do mouse em Computador e clique em
Propriedades.
Pressione Logotipo do Windows+Pause.
b. Na seo Nome do computador, domnio e configuraes de grupo de
trabalho, clique em Alterar Configuraes.
c. Se solicitado pelo Controle de Conta de Usurio, clique em Continuar
ou insira as credenciais administrativas conforme apropriado.
3. Clique na guia Nome do Computador.
4. Clique em Alterar.
5. Em Membro de, clique em Domnio.
6. Digite o nome do domnio em que deseja ingressar.
Observao: use o nome DNS completo do domnio. Alm de ser mais preciso, a
possibilidade de xito maior. No entanto, caso no d certo, deve haver algum
problema com a resoluo de nome DNS que deve ser resolvido antes do ingresso da
mquina no domnio.
7. Clique em OK.
8. O Windows solicita as credenciais para a conta de usurio no domnio.

O domnio verifica se j existe um objeto de computador com o nome do
computador. Uma destas trs coisas acontece:
Se o objeto existir e um computador com esse nome j tiver ingressado no
domnio, um erro ser retornado e voc no poder ingressar o
computador no domnio.
Se o objeto existir e j tiver sido pr-testado - um computador com o
mesmo nome no ingressou no domnio - o domnio confirma que as
credenciais de domnio inseridas possuem permisso para ingressar no
domnio usando essa conta. Estas permisses foram abordadas na seo
Pr-teste de uma conta de computador.
Se a conta de computador no for pr-testada, o Windows verifica se voc
possui permisses para criar um novo objeto de computador no continer
padro do computador. Se voc no tiver permisses para criar um novo
objeto de computador no continer padro do computador, o objeto ser
criado com o nome do computador. Este mtodo de ingresso em um
domnio possui suporte para compatibilidade com verses anteriores, mas
no recomendvel. recomendvel pr-testar a conta, como indicado
anteriormente, e conforme detalhado na prxima seo Proteger a criao
e as associaes de computador.
O computador ento ingressa no domnio assumindo a identidade de seu
objeto do Active Directory. Ele configura o SID (Identificador de segurana)
para corresponder ao SID da conta do computador do domnio e define uma
senha inicial com o domnio. O computador ento realiza outras tarefas
relacionadas ao ingresso no domnio. Ele adiciona o grupo Administradores do
Domnio ao grupo local Administradores e o grupo Usurios do Domnio ao
grupo local Usurios.
9. Voc solicitado a reiniciar o computador. Clique em OK para fechar esta
caixa de mensagem.
10. Clique em Fechar (no Windows Vista) ou OK (no Windows XP) para fechar a
caixa de dilogo Propriedades do Sistema.
11. Voc ser solicitado a reiniciar o computador. Em seguida, o sistema ser
membro do domnio e voc poder fazer logon usando credenciais do
domnio.
Proteo da criao e das associaes de computador
Pontos principais
Pr-testar objetos do computador
A prtica recomendada pr-testar uma conta de computador antes de ingressar a
mquina no domnio. Infelizmente, o Windows permite que voc ingresse um
computador em um domnio sem seguir a prtica recomendada. Voc pode fazer
logon em uma mquina de grupo de trabalho como um administrador local e
alterar a associao da mquina no domnio. O Windows cria, por demanda, um
objeto do computador no continer padro do computador, d permisso para que
voc ingresse um computador nesse objeto e prossegue para ingressar o sistema
no domnio.
Este comportamento do Windows acarreta trs problemas:
Primeiro, a conta de computador criada automaticamente pelo Windows
colocada no continer padro do computador, que no o local ao qual o objeto
de computador pertence na maioria das empresas.
Segundo, voc deve mover o computador do continer padro do computador

para a unidade organizacional correta, o que uma etapa extra, que geralmente
esquecida.
Terceiro, qualquer usurio do domnio tambm pode fazer isso; no so
necessrias permisses administrativas no nvel do domnio. Qualquer usurio
pode ingressar qualquer computador no domnio se voc no gerenciar e proteger o
processo. Como um objeto do computador uma entidade de segurana, e
como o criador de um objeto do computador proprietrio do objeto e pode
alterar seus atributos, isso expe uma vulnerabilidade de segurana potencial.
As prximas sees mostram estas desvantagens em detalhes.
Configurando o continer padro do computador

Quando voc ingressa um computador no domnio e o objeto do computador
ainda no existe no Active Directory, o Windows cria automaticamente uma conta
de computador no continer padro do computador, que chamado
Computadores (CN=Computadores,DC=domnio, por padro). O problema que
isto gera est relacionado ao design da unidade organizacional, abordado
anteriormente na lio. Se voc tiver implementado as prticas recomendadas
descritas aqui, voc delegou permisses para administrar objetos de computador
em unidades organizacionais especficas para clientes e servidores. Adicionalmente,
voc pode ter vinculado GPOs a essas unidades organizacionais para gerenciar a
configurao desses objetos de computador. Se um novo objeto de computador for
criado fora dessas unidades organizacionais, no continer padro do computador,
as permisses e a configurao que ele herda do continer pai sero diferentes das
que ele deveria ter recebido. Voc precisar ento se lembrar de mover o
computador do continer padro para a unidade organizacional correta aps
ingressar no domnio.
H duas etapas recomendadas para tentar evitar que este problema ocorra.
Primeiro, voc deve sempre se esforar para pr-testar contas de computador. Se
uma conta de computador for pr-testada na unidade organizacional correta,
quando o computador ingressar no domnio, ele usar a conta existente e estar
sujeito delegao e configurao corretas.
Segundo, para reduzir o impacto dos sistemas que ingressam no domnio sem uma
conta pr-testada, voc deve alterar o continer padro do computador para que
no seja o prprio continer Computadores, mas uma unidade organizacional
sujeita delegao e configurao apropriadas. Por exemplo, se voc tiver uma
unidade organizacional chamada Clientes, poder instruir o Windows a usar essa
unidade organizacional como o continer padro do computador, de forma que se
os computadores ingressarem no domnio sem contas pr-testadas, os objetos
sejam criados na UO Clients.
O comando redircmp.exe usado para redirecionar o continer padro do
computador com a seguinte sintaxe:
redircmp "DN da OU para novos objetos de computador"
Agora, se um computador ingressar no domnio sem uma conta de computador

pr-testada, o Windows cria o objeto do computador na unidade organizacional
especificada.
Observao: redirecionamento do continer padro do usurio. Os mesmos

conceitos se aplicam criao de contas do usurio. Por padro, se uma conta de
usurio for criada usando-se uma prtica de herana que no especifique a unidade
organizacional da conta, o objeto ser criado no continer padro de usurio
(CN=Usurios,DC=domnio, por padro). O comando redirusr.exe pode ser usado para
redirecionar o continer padro para uma unidade organizacional real que seja delegada
e configurada apropriadamente. Redirusr, como redircmp, obtm uma nica opo: o
nome distinto da unidade organizacional que se tornar o continer padro do usurio.
Restringir a capacidade dos usurios de criar computadores

Quando uma conta de computador pr-testada, as permisses na conta
determinam quem tem permisso para ingressar esse computador no domnio.
Quando uma conta no for pr-testada, o Windows ir, por padro, permitir que
qualquer usurio autenticado crie um objeto do computador no continer padro
do computador. Na verdade, o Windows permitir que qualquer usurio
autenticado crie 10 objetos de computador no continer padro do computador. O
criador de um objeto do computador, por padro, possui permisso para ingressar
esse computador no domnio. atravs deste mecanismo que qualquer usurio
autenticado pode ingressar 10 computadores no domnio sem permisses
explcitas para tal.
A cota de 10 computadores configurada pelo atributo ms-DS-

MachineAccountQuota do domnio. Ele permite que qualquer usurio autenticado
ingresse uma mquina no domnio, sem questionamentos. Isso representa um
problema do ponto de vista de segurana, pois os computadores so entidades de
segurana. E o criador de uma entidade de segurana possui permisso para
gerenciar as propriedades desse computador. De certa forma, a cota como
permitir que qualquer usurio do domnio crie 10 contas de usurio, sem
controles.
altamente recomendvel que voc feche esta escapatria, para que usurios no-
administrativos no possam ingressar mquinas no domnio. Para alterar o
atributo ms-DS-MachineAccountQuota, siga estas etapas:
1. Abra o console do ADSI Editar MMC da pasta Ferramentas Administrativas.
2. Clique com o boto direito do mouse em ADSI Editar e clique em Conectar a.
3. Na seo Ponto de Conexo, clique em Selecione um Contexto de
Nomenclatura Bem Conhecido e selecione Contexto de Nomenclatura
Padro da lista suspensa.
4. Clique em OK.
5. Na rvore de console, expanda Contexto de Nomenclatura Padro.
6. Clique com o boto direito do mouse na pasta do domnio -
dc=contoso,dc=com, por exemplo - e clique em Propriedades.
7. Clique em ms-DS-MachineAccountQuota e em Editar.
8. Digite 0.
9. Clique em OK.
O grupo Usurios Autenticados tambm recebe o direito de usurio para adicionar

estaes de trabalho ao domnio, mas voc no precisa modificar esse direito se
tiver alterado o valor padro do atributo ms-DS-MachineAccountQuota.
Depois de alterar o atributo ms-DS-MachineAccountQuota para 0, voc pode ter
certeza de que os nicos usurios que podem ingressar computadores no domnio
so aqueles que receberam permisso especificamente para ingressar objetos de
computador pr-testados ou para criar novos objetos de computador.
Depois de eliminar esta escapatria, voc deve se certificar de ter fornecido aos
administradores apropriados a permisso explcita para criar objetos de
computador nas unidades organizacionais corretas, conforme descrito na seo
"Delegar permisso para criar computadores". Do contrrio, a mensagem de erro
mostrada aqui aparecer.
Delegar gerenciamento do computador

A quarta tarefa para aprimorar a segurana de contas de computador delegar
tarefas de gerenciamento de computador no nvel da unidade organizacional. A
delegao abordada no Mdulo 8. Os seguintes comandos DSACLs podem ser
usados para delegar tarefas de gerenciamento do computador:
Criar um computador:
dsacls "DN of OU" /I:T /G "DOMAIN\group":CC;computer
Excluir um computador:
dsacls "DN of OU" /I:T /G "DOMAIN\group":DC;computer
Ingressar um computador em um domnio:
dsacls "DN of OU" /I:S /G "DOMAIN\group":

"Validated write to DNS host name";computer
"Validated write to service principal name";computer
CA;Reset Password;computer
WP;Account Restrictions;computer
Os quatro comandos listados acima devem ser inseridos no prompt de

comando sem espao aps os dois-pontos.
Movimento de um computador
Requer as permisses para excluir computadores na unidade organizacional
de origem e criar computadores na unidade organizacional de destino. Apesar
de uma movimentao na realidade no excluir/criar a conta, esta a
permisso usada pela verificao de acesso.
Pergunta: Quais so as duas coisas que determinam se voc pode ingressar uma
conta de computador no domnio?
Automatizao da criao de contas de computador
Pontos principais
As etapas que voc aprendeu para criar uma conta de computador tornam-se
trabalhosas se voc precisar criar dezenas ou at mesmo centenas de contas de
computador ao mesmo tempo. Comandos como CSVDE, LDIFDE e DSAdd podem
importar e automatizar a criao de objetos de computador. Os scripts tambm
podem permitir o provisionamento de objetos de computador. Ou seja, para
realizar lgica comercial, como a imposio de convenes de nomenclatura de
computador.
Importao de computadores com CSVDE
Pontos principais
O CSVDE uma ferramenta de linha de comando que importa ou exporta objetos
do Active Directory de um arquivo de texto delimitado por vrgula (tambm
conhecido como arquivo de texto de valores separados por vrgula ou arquivo .csv)
ou para ele. A sintaxe bsica do comando CSVDE :
csvde [-i] [-f "Filename"] [-k]
A opo -i especifica o modo de importao. Sem ela, o modo padro do CSVDE

exportao. A opo -f identifica o nome do arquivo do qual importar ou para o
qual exportar. A opo -k til durante as operaes de importao, pois instrui o
CSVDE a ignorar erros, incluindo o objeto j existe, violao de restrio e
atributo ou valor j existe.
Os arquivos delimitados por vrgula podem criados, modificados e abertos com

ferramentas como os conhecidos Blocos de Notas e Microsoft Office Excel. A
primeira linha do arquivo define os atributos pelos nomes de atributo LDAP. Cada
objeto segue, um por linha, e deve conter exatamente os atributos listados na
primeira linha. Um arquivo Excel de exemplo mostrado abaixo.
Ao importar computadores, certifique-se de incluir o atributo userAccountControl

e defini-lo como 4096. Esse atributo garante que o computador poder ingressar a
conta. Inclua tambm o nome do logon do computador anterior ao Windows
2000, o atributo sAMAccountName, que o nome do computador seguido por um
cifro ($), como mostrado acima.
Importao de computadores com LDIFDE
Pontos principais
O LDIFDE.exe importa dados de arquivos no formato LDIF. Arquivos LDIF so
arquivos de texto nos quais as operaes so especificadas por um bloco de linhas
separadas por uma linha em branco. Cada operao comea com o atributo DN do
objeto que o alvo da operao. A prxima linha, changeType, especifica o tipo de
operao: adicionar, modificar ou excluir.
A listagem abaixo um arquivo LDIF que criar uma conta de computador na UO

Servers:
dn: CN=FILE25,OU=File,OU=Servers,DC=contoso,DC=com
changetype: add
objectClass: top
objectClass: person
objectClass: user
objectClass: computer
cn: FILE25
userAccountControl: 4096
sAMAccountName: FILE25$
A sintaxe bsica do comando LDIFDE similar a do comando CSVDE:
ldifde [-i] [-f "Filename"] [-k]
Por padro, LDIFDE est no modo de exportao. A opo i especifica o modo de

importao. Voc deve especificar -f para identificar o arquivo que voc est
usando para importao ou exportao. LDIFDE parar quando encontrar erros, a
menos que voc especifique a opo -k. Nesse caso, o LDIFDE continuar
processando.
Criao de computadores com DSAdd
Pontos principais
O comando DSAdd usado para criar objetos no Active Directory. Para criar
objetos de computador, basta digitar:
dsadd computer ComputerDN
onde DN_do_computador o nome distinto (DN) do computador, como

CN=DESKTOP123,OU=NY,OU=Client Computers,DC=contoso,DC=com.
Se o DN do computador incluir um espao, coloque todo o DN entre aspas. A
opo DN_do_computador pode incluir mais de um nome distinto para novos
objetos de computador, tornando o DSAdd Computer uma forma til de gerar
vrios objetos de uma vez. A opo pode ser inserida de uma das seguintes
maneiras:
Digitando cada DN no prompt de comando, separado por espaos.
Deixando a opo DN vazia, no ponto em que possvel digitar os DNs, um

de cada vez, no console do teclado do prompt de comando. Pressione ENTER
depois de cada DN. Pressione CTRL+Z e ENTER depois do ltimo DN.
Canalizando uma lista de DNs de outro comando, como o DSQuery.
O comando DSAdd Computer pode ter as seguintes opes extras depois da opo
DN:
-samid Nome_do_computador
-desc Descrio
-loc Local
Criao e ingresso de computadores com NetDom
Pontos principais
O comando NetDom tambm pode realizar vrias tarefas de segurana e conta de
domnio do prompt de comando. Voc tambm pode usar o NetDom para criar
uma conta de computador, digitando o seguinte comando:
netdom add ComputerName /domain:DomainName [/ou:"OUDN"]

[/UserD:DomainUsername /PasswordD:DomainPassword]
Este comando cria a conta de computador para Nome_do_computador no

domnio indicado pela opo /domain, usando as credenciais especificadas por
/UserD e /PasswordD. A opo /ou faz com que o objeto seja criado na unidade
organizacional especificada pelo OUDN (nome distinto da unidade
organizacional) aps a opo. Se nenhum OUDN for fornecido, a conta do
computador ser criada no continer padro do computador. As credenciais do
usurio devem, claro, ter permisses para criar objetos de computador.
Usar o NetDom.exe
O comando NetDom.exe permite que voc ingresse um computador no domnio a
partir do prompt de comando. A sintaxe bsica do comando :
netdom join MachineName /Domain:DomainName [/OU:"OUDN"]

[/UserD:DomainUsername] [/PasswordD:{DomainPassword|*} ]
[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*} ]
[/SecurePasswordPrompt]
[/REBoot[:TimeInSeconds]]
Pode ser til ingressar uma mquina em um domnio de um prompt de comando.

Uma das utilidades disso porque a associao pode ser includa em um script
que realize outras aes. Por exemplo, voc pode criar um arquivo em lotes que
crie a conta do computador usando NetDom ou DSAdd - o ltimo deles permite
que voc especifique outros atributos, incluindo descrio - e depois ingresse a
mquina nessa conta usando NetDom. Alm disso, NetDom.exe pode ser usado
para ingressar uma mquina remotamente no domnio. NetDom.exe tambm
permite que voc especifique a unidade organizacional do objeto do computador.
As opes do comando so, em grande parte, autoexplicativas. /UserO e
/PasswordO so credencias que so membros do grupo local Administradores do
computador do grupo de trabalho. Se * for especificado como senha, o
NetDom.exe solicitar a senha no prompt de comando. /UserD e /PasswordD so
credenciais de domnio com permisso para criar um objeto de computador, se a
conta no tiver sido pr-testada, ou para ingressar um computador em uma conta
pr-testada. A opo /REBoot faz com que o sistema seja reinicializado aps o
ingresso no domnio. O tempo limite padro 30 segundos. A opo
/SecurePasswordPrompt exibe um pop-up para credenciais quando *
especificado para /PasswordO ou /PasswordD.
Observao: se voc desejar usar NetDom remotamente, a configurao do Firewall do

Windows no computador que ingressar no domnio deve permitir a Descoberta de
Rede e a Administrao Remota.
Laboratrio A: Criao de computadores e

ingresso no domnio
Cenrio
Voc um administrador da Contoso, Ltd. Durante uma auditoria de segurana,
foi identificado que no h controle sobre a criao de novas contas de
computador: os clientes e os servidores esto sendo adicionados ao domnio sem
garantia de que o processo est sendo seguido. Na verdade, vrias contas de
computador foram descobertas no continer Computadores. Estes objetos de
computador eram para contas de computador ativas, mas os computadores no
foram criados nas unidades organizacionais corretas, ou movidos para elas, dentro
das unidades organizacionais de computadores clientes ou servidores de acordo
com os procedimentos padro. Voc recebeu a tarefa de melhorar os
procedimentos.
Exerccio 1: Ingressar um computador no domnio com a

interface do Windows
Neste exerccio, voc ingressar um computador no domnio usando a interface do
Windows, e depois remover a mquina do domnio.
2. Identificar e corrigir um erro de configurao do DNS.
3. Ingressar SERVER01 no domnio.
4. Verificar a localizao da conta de SERVER01.
5. Remover SERVER01 do domnio.
6. Excluir a conta SERVER01.

1. Inicie 10222A-HQDC01-A e 10222A-SERVER01-B.
3. Abra D:\Labfiles\Lab05a.
4. Execute Lab05a_Setup.bat com credenciais administrativas. Use a conta
5. O script de configurao do laboratrio executado. Quando estiver
concludo, pressione qualquer tecla para continuar.
6. Feche a janela do Windows Explorer, Lab05a.
7. Inicie 10222A-SERVER01-B.
Tarefa 2: Identificar e corrigir um erro de configurao do DNS

1. Faa logon em SERVER01 como Administrador com a senha Pa$$w0rd.
2. Abra Propriedades do Sistema usando um dos seguintes mtodos:
Clique em Iniciar, clique com o boto direito do mouse em Computador
e, em seguida, em Propriedades.
Abra Sistema do Painel de Controle.
Pressione a tecla do LOGOTIPO DO WINDOWS e a tecla PAUSE.
3. Tente ingressar o computador no domnio contoso.com, lembrando de usar o

nome de domnio totalmente qualificado (contoso.com) em vez do nome NetBIOS
para o domnio (contoso).
Ao fazer isso, voc testa se o DNS foi configurado corretamente no cliente para
localizar o domnio.
4. Altere a configurao do servidor DNS no cliente para 10.0.0.11.
Pergunta: Por que a associao daria certo se voc tivesse usado o nome de
domnio contoso em vez de contoso.com? O que poderia dar errado aps o
ingresso com xito no domnio com DNS, mas com a configurao incorreta?
Tarefa 3: Ingressar SERVER01 no domnio

1. Ingresse SERVER01 no domnio. Quando solicitado a inserir as credenciais do
domnio, insira o nome de usurio Aaron.Painter e a senha Pa$$w0rd.
Observe que Aaron.Painter um usurio padro do domnio contoso.com. Ele
no possui direitos ou permisses especiais, mas mesmo assim pode ingressar
um computador no domnio. Ele deve ter feito logon no computador com uma
conta que faa parte do grupo Administradores do computador.
2. Espere o sistema reiniciar.
Tarefa 4: Verificar a localizao da conta de SERVER01

1. Em HQDC01, execute Usurios e Computadores do Active Directory como
administrador, com o nome de usurio Pat.Coleman_Admin e a senha
Pa$$w0rd.
2. Localize a conta SERVER01.
Pergunta: Em qual unidade organizacional ou continer a conta existe?

Tarefa 5: Remover SERVER01 do domnio

1. Faa logon em SERVER01 como Administrador com a senha Pa$$w0rd.
2. Altere a associao no domnio/grupo de trabalho de SERVER01 para um
grupo de trabalho chamado WORKGROUP.
3. Reinicie o servidor.
Tarefa 6: Excluir a conta SERVER01
Pergunta: Em HQDC01, atualize a exibio do continer Computadores e examine

a conta SERVER01. Qual o status?
Pergunta: Voc no foi solicitado a fornecer credenciais de domnio na Tarefa 5, e

mesmo assim, uma alterao foi feita no domnio: a conta do computador foi
redefinida e desabilitada. Quais credenciais foram usadas para fazer isto? Quais
credenciais foram usadas para alterar a associao no grupo de trabalho/domnio
de SERVER01?
Exclua a conta de SERVER01.
Resultados: aps esse exerccio, voc estar familiarizado com as prticas comuns de
herana usadas para ingressar computadores em um domnio.
Exerccio 2: Proteger associaes de computador

Neste exerccio, voc implementar as prticas recomendadas para proteger o
ingresso de mquinas no domnio.
1. Redirecionar o continer padro do computador.
2. Restringir associaes no gerenciadas em domnios.
3. Validar a eficincia de ms-DS-MachineAccountQuota.
Tarefa 1: Redirecionar o continer padro do computador

1. Execute um prompt de comando como administrador com o nome de usurio
Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Use o comando RedirCmp para redirecionar o continer padro de
computadores para a UO New Computers no domnio contoso.com.
Tarefa 2: Restringir associaes no gerenciadas em domnios

1. Execute o console ADSI Editar como administrador com o nome de usurio
2. Conecte-se ao domnio e, nas propriedades do domnio, altere a ms-DS-
MachineAccountQuota para zero (0).
Tarefa 3: Validar a eficincia de ms-DS-MachineAccountQuota

Faa logon em SERVER01 como Administrador e tente ingressar SERVER01
no domnio contoso.com como fez no Exerccio 1. Quando for solicitado a
inserir as credenciais do domnio, insira o nome de usurio Aaron.Painter e a
senha Pa$$w0rd.
No Exerccio 1, Aaron Painter conseguiu ingressar no domnio. Agora, ele no
consegue.
Pergunta: Qual mensagem exibida quando um usurio no pode mais criar um

objeto de computador por causa de ms-DS-MachineAccountQuota?
Resultados: aps esse exerccio, o continer para criar contas de computador ser
redirecionado para a UO New Computers, e os usurios no podero ingressar
computadores no domnio sem permisses explcitas para fazer isso.
Exerccio 3: Gerenciar a criao de contas de computador

com prticas recomendadas
Neste exerccio, voc implementar vrias prticas recomendadas para criar contas
de computador e ingressar mquinas no domnio.
1. Pr-testar uma conta de computador.
2. Ingressar um computador remotamente em uma conta pr-testada usando
NetDom.
Tarefa 1: Pr-testar uma conta de computador

1. Execute Usurios e Computadores do Active Directory como administrador
com o nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Na UO Servers\File, crie um novo objeto de computador para SERVER01 e
conceda ao grupo Servidor_AD_Implantar permisso para ingressar o
computador no domnio.
Tarefa 2: Ingressar um computador remotamente em uma conta pr-

testada usando NetDom
Nesta tarefa, voc ingressar SERVER01 no domnio remotamente, usando
credenciais que esto no grupo local Administradores de SERVER01 e credenciais
de domnio que esto no grupo Servidor_AD_Implantar.
1. Execute o prompt de comando como administrador, com o nome de usurio
Aaron.Painter_Admin e a senha Pa$$word.
Observe que Aaron.Painter_Admin, em si, no um administrador. O
comando Executar como administrador permite que voc inicie um processo
com quaisquer credenciais, contanto que elas tenham privilgio suficiente para
iniciar o processo em si.
2. Digite o comando whoami /groups para listar as associaes em grupo da
conta atual (Aaron.Painter_Admin). Observe que o usurio membro de
Servidor_AD_Implantar e no membro de qualquer outro grupo
administrativo.
3. Usando o comando NetDom, ingresse SERVER01 no domnio. Use as

credenciais da conta local de Administrador para SERVER01 e as credenciais
de domnio para Aaron.Painter_Admin, que membro de
AD_Server_Deploy e, portanto, possui permisso para ingressar o
computador no domnio. Configure o servidor para reiniciar automaticamente
em 5 segundos.
Digite o comando a seguir e pressione ENTER:
netdom join SERVER01 /domain:contoso.com

/UserO:Administrator /PasswordO:*
/UserD:CONTOSO\Aaron.Painter_Admin /PasswordD:*
/REBoot:5
Observao: SERVER01 possui portas configuradas para excees de firewall, 135, 139, e
para Descoberta de Rede (NB-Name-In). Estas excees permitem que NetDom Join seja
usado para ingressar SERVER01 remotamente no domnio.
4. O servidor reiniciado.
Resultados: aps esse exerccio, SERVER01 ter ingressado no domnio com uma
conta na UO Servers\File.
Importante: no desligue as mquinas virtuais ao concluir este laboratrio, pois as

Pergunta: O que voc aprendeu sobre os prs e contras das vrias abordagens de
criao de contas de computador em um domnio do AD DS?
Pergunta: Quais so as duas credenciais necessrias para que qualquer

computador ingresse em um domnio?
Lio 2
Administrao de contas e objetos do
computador
Uma conta de computador comea seu ciclo de vida quando criada e quando o
computador ingressa no domnio. As tarefas administrativas dirias incluem a
configurao de propriedades do computador; a movimentao do computador
entre unidades organizacionais; o gerenciamento do prprio computador; e a
renomeao, reconfigurao, desabilitao e habilitao e eventual excluso do
objeto do computador. Esta lio avalia detalhadamente as propriedades do
computador e os procedimentos envolvidos nestas tarefas e o preparar para
administrar os computadores em um domnio.
Objetivos
Configurar as propriedades da conta do computador.
Mover um computador entre as unidades organizacionais.
Reconhecer problemas da conta do computador.
Redefinir uma conta de computador.

Renomear um computador.
Desabilitar e habilitar um computador.
Configurao de atributos do computador
Pontos principais
Ao criar um objeto de computador usando Usurios e Computadores do Active
Directory, voc solicitado a configurar somente os atributos mais fundamentais,
incluindo o nome do computador e a delegao para ingressar o computador no
domnio. Os computadores possuem vrias propriedades que no esto visveis
quando voc cria o objeto do computador. Voc deve configurar essas
propriedades como parte do processo de pr-teste da conta do computador.
Abra a caixa de dilogo Propriedades do objeto do computador para definir seu
local e sua descrio; configure suas participaes em grupos e permisses de
discagem e vincule-o ao objeto do usurio a quem o computador est designado. A
guia Sistema Operacional somente leitura. As informaes ficaro em branco at
que um computador ingresse no domnio usando esta conta. Nesse momento, o
cliente publicar as informaes nesta conta.
Vrias classes de objeto no Active Directory oferecem suporte ao atributo

managedBy que mostrado na guia Gerenciado por. Este atributo vinculado cria
uma referncia cruzada a um objeto de usurio. Todas as outras propriedades - os
endereos e nmeros de telefone - so exibidas diretamente do objeto do usurio.
Elas no so armazenadas como parte do prprio objeto do computador. Algumas
organizaes usam a guia Gerenciado por para vincular o computador ao usurio
principal. Como alternativa, voc pode optar por vincular o computador a um
grupo que seja responsvel pelo suporte de um computador; uma opo que pode
ser interessante para contas de computador que representem servidores, por
exemplo.
Na guia Membro de da caixa de dilogo Propriedades de um computador, voc
pode adicionar o computador a grupos. A capacidade de gerenciar computadores
em grupos um recurso importante e geralmente subutilizado do Active Directory.
Um grupo ao qual os computadores pertenam pode ser usado para atribuir
permisses de acesso a recursos para o computador, para filtrar a aplicao de um
objeto de Diretiva de Grupo, ou como um conjunto para uma ferramenta de
gerenciamento de software, como o Microsoft System Center Configuration
Manager 2007.
Assim como com usurios e grupos, possvel selecionar mais de um objeto de
computador e, subsequentemente, gerenciar ou modificar as propriedades de
todos os computadores selecionados simultaneamente.
Configurao de atributos do computador com DSMod
O comando DSMod pode modificar os atributos de descrio e local de um objeto
de computador. Ele usa a seguinte sintaxe:
dsmod computer "ComputerDN" [-desc "Description"] [-loc "Location"]

Mover um computador
Pontos principais
Muitas organizaes possuem vrias unidades organizacionais para objetos de
computador. Alguns domnios, por exemplo, possuem unidades organizacionais
de computador baseadas em sites geogrficos, conforme mostrado anteriormente
neste mdulo. Se voc tiver mais de uma unidade organizacional para
computadores, provvel que algum dia voc precisar mover um computador
entre unidades organizacionais.
Para mover um computador usando o snap-in Usurios e Computadores do Active
Directory:
Arraste e solte ou
Clique com o boto direito do mouse no computador e clique em Mover.
O comando DSMove permite que voc mova um objeto de computador ou

qualquer outro objeto. A sintaxe de DSMove :
dsmove ObjectDN [-newname NewName] [-newparent ParentDN]

A opo -newname permite que voc renomeie um objeto. A opo -newparent

permite que voc mova um objeto. Para mover um computador denominado
DESKTOP153 do continer Computadores para a UO NY, digite o seguinte:
dsmove "CN=DESKTOP153,CN=Computers,DC=contoso,DC=com" -newparent

"OU=NYC,OU=Client Computers,DC=contoso,DC=com"
Conta de computador e canal seguro
Pontos principais
Cada computador membro de um domnio do Active Directory mantm uma conta
de computador com um nome de usurio (sAMAccountName) e senha, assim
como uma conta de usurio. O computador armazena a senha na forma de um
segredo de LSA (autoridade de segurana local) e altera a senha do domnio a cada
30 dias aproximadamente. O servio NetLogon usa as credenciais para fazer logon
no domnio, o que estabelece o canal seguro com um controlador de domnio.
As contas de computador e as relaes seguras entre computadores e seu domnio
so robustas. Entretanto, podem ocorrer cenrios nos quais um computador no
possa mais autenticar no domnio. Alguns exemplos destes cenrios so os
seguintes:
Aps a reinstalao do sistema operacional em uma estao de trabalho, a
estao de trabalho no pode ser autenticada, mesmo que o tcnico tenha
usado o mesmo nome de computador. Como a nova instalao gerou um novo
SID e o novo computador no conhece a senha da conta do computador no
domnio, ele no pertence ao domnio e no pode ser autenticado no mesmo.
Um computador completamente restaurado do backup e no pode ser

autenticado. provvel que o computador tenha alterado a senha no domnio
depois da operao de backup. Os computadores alteram suas senhas a cada
30 dias, e o Active Directory lembra a senha atual e a anterior. Se o
computador tiver sido restaurado com uma senha bastante antiga, ele no
poder ser autenticado.
O segredo de LSA de um computador fica fora de sincronia com a senha
conhecida pelo domnio. como se o computador tivesse esquecido a sua
senha. Embora isso no tenha acontecido, ele discorda do domnio sobre a
senha real. Quando isso acontece, o computador no pode ser autenticado e o
canal seguro no pode ser criado.
Reconhecimento de problemas de conta de computador
Pontos principais
Os sinais mais comuns de problemas de conta de computador so os seguintes:
As mensagens no logon indicam que um controlador de domnio no pode ser
contatado, que a conta do computador pode estar faltando, que a senha na
conta do computador est incorreta, ou que a relao de confiana (outra
maneira de dizer a relao segura) entre o computador e o domnio foi
perdida. Um exemplo mostrado aqui.
As mensagens de erro ou os eventos no log de eventos indicam problemas

similares ou sugerem que senhas, confianas, canais seguros ou relaes com o
domnio ou um controlador de domnio falharam. Um erro desse tipo
NETLOGON Identificao do evento 3210: Falha ao autenticar, que aparece
no log de eventos do computador.
Uma conta de computador est faltando no Active Directory.
Redefinio de uma conta de computador
Pontos principais
Quando houver falha no canal seguro, voc deve redefini-lo. Muitos
administradores fazem isso removendo o computador do domnio, colocando-o
em um grupo de trabalho e depois reingressando-o no domnio. Isso no um
procedimento adequado, porque existe a possibilidade de excluir a conta do
computador junto, causando a perda do SID do computador e, mais importante,
das participaes no grupo. Quando voc ingressar novamente no domnio,
mesmo que o computador tenha o mesmo nome, a conta ter um novo SID e todas
as participaes em grupo do objeto de computador anterior devero ser recriadas.
No remova um computador do domnio e o ingresse novamente
Se a confiana no domnio tiver sido perdida, no remova um computador do
domnio e o ingresse novamente. Em vez disso, redefina o canal seguro.
Para redefinir o canal seguro entre um membro do domnio e o domnio, use o
snap-in Usurios e Computadores do Active Directory, DSMod.exe, NetDom.exe
ou NLTest.exe. Se voc redefinir a conta, o SID do computador permanecer o
mesmo e ele manter suas participaes em grupo.
Para redefinir o canal seguro usando o snap-in Usurios e Computadores do Active

Directory:
1. Clique com o boto direito do mouse em um computador e clique em
Redefinir Conta.
2. Clique em Sim para confirmar sua escolha.
3. Reingresse o computador no domnio e reinicie o computador.
Pra redefinir o canal seguro usando DSMod:

1. Digite o seguinte comando:
dsmod computer "ComputerDN" reset.
2. Reingresse o computador no domnio e reinicie o computador.
Pra redefinir o canal seguro usando NetDom:

netdom reset MachineName /domain DomainName /UserO UserName

/PasswordO {Password | *}
em que as credenciais pertencem ao grupo local Administradores do

computador.
Este comando redefine o canal seguro tentando redefinir a senha no
computador e no domnio, para que no seja necessrio reingressar ou
reinicializar.
Para redefinir o canal seguro usando NLTest, no computador que perdeu sua
confiana, digite o comando:
NLTEST /SERVER:SERVERNAME /SC_RESET:DOMAIN\DOMAINCONTROLLER
Por exemplo:
nltest /server:SERVER02 /sc_reset:CONTOSO\SERVER01
Este comando, como o NetDom, tenta redefinir o canal seguro redefinindo a senha
no computador e no domnio, para que no seja necessrio reingressar ou
reinicializar.
Como o NLTest e o NetDom redefinem o canal seguro sem a necessidade de

reinicializar, voc deve tentar estes comandos primeiro. Apenas se no obtiver
xito com eles, use o comando Redefinir Conta ou o DSMod para redefinir a conta
do computador.
Renomeao de um computador
Pontos principais
Ao renomear um computador, voc deve ter cuidado para fazer isso corretamente.
Lembre-se que o computador usa o prprio nome para autenticao no domnio.
Assim, se voc renomear somente o objeto do domnio, ou somente o computador,
eles ficaro fora de sincronia. Voc deve renomear o computador de tal forma que
o computador e o objeto do domnio sejam alterados.
Voc pode renomear um computador corretamente fazendo logon no prprio
computador, localmente ou com uma sesso de rea de trabalho remota.
1. Abra Propriedades do Sistema do Painel de Controle.
2. Na seo Nome do computador, domnio e configuraes de grupo de
trabalho, clique em Alterar Configuraes.
3. Se voc receber um aviso do Controle de Conta de Usurio, clique em
Continuar.
4. Clique na guia Nome do Computador.

5. Clique no boto Alterar.
6. Digite o novo nome e clique em OK duas vezes para fechar as caixas de

dilogo.
7. Reinicie o computador para que a alterao tenha efeito.
Do prompt de comando, voc pode usar o comando NetDom, com a seguinte

sintaxe:
netdom renamecomputer MachineName /NewName:NewName

[/UserO:LocalUsername] [/PasswordO:{LocalPassword|*} ]
[/UserD:DomainUsername] [/PasswordD:{DomainPassword|*} ]
[/SecurePasswordPrompt] [/REBoot[:TimeInSeconds]]
Alm de especificar a mquina a ser renomeada (MachineName) e o novo nome

desejado (NewName), voc deve ter credenciais que faam parte do grupo local
Administradores no computador e as credenciais que possuem permisso para
renomear o objeto do computador do domnio. Por padro, NetDom usar as
credenciais com as quais o comando executado. Voc pode especificar
credenciais usando /UserO e /PasswordO para as credenciais no grupo local
Administradores do computador e /UserD e /PasswordD para as credenciais do
domnio com permisso para renomear o objeto do computador. Se * for
especificado como senha, o NetDom.exe solicitar a senha no prompt de comando.
A opo /SecurePasswordPrompt exibe um pop-up para credenciais quando *
especificado para /PasswordO ou /PasswordD. Aps renomear um computador,
voc deve reinicializ-lo. A opo /REBoot faz com que o sistema seja reinicializado
aps 30 segundos, a menos que seja especificado de outra maneira em
Tempo_em_segundos.
Ao renomear um computador, voc pode afetar de forma negativa os servios
executados no computador. Por exemplo, o AD CS depende do nome do servidor.
Antes de renomear um computador, considere o impacto que isso pode causar.
No use estes mtodos para renomear um controlador de domnio.
Desabilitao e habilitao de um computador
Pontos principais
Se um computador for colocado offline, ou no for usado por um longo perodo de
tempo, a desabilitao da conta deve ser considerada. Esta recomendao reflete o
princpio de segurana de que um armazenamento de identidades deve permitir a
autenticao somente do nmero mnimo de contas necessrias para alcanar as
metas de uma organizao. A desabilitao da conta no modifica o SID do
computador ou sua participao em grupo. Assim, quando o computador ficar
online novamente, a conta poder ser habilitada.
Para desabilitar um computador no snap-in Usurios e Computadores do Active
Directory, clique com o boto direito do mouse no computador e clique em
Desabilitar Conta.
Uma conta desabilitada aparece com um cone de seta para baixo no snap-in
Usurios e Computadores do Active Directory, como mostrado aqui:
Enquanto uma conta estiver desabilitada, o computador no poder criar um canal

seguro com o domnio. O resultado que os usurios que no tiverem feito logon
anteriormente no computador e, assim, no armazenaram em cache as credenciais
no computador, no podero fazer logon at que o canal seguro seja restabelecido
habilitando-se a conta.
Para habilitar uma conta de computador, clique com o boto direito do mouse no
computador e clique em Habilitar Conta.
Para desabilitar ou habilitar um computador do prompt de comando, use o
comando DSMod. A sintaxe usada para desabilitar ou habilitar computadores :
dsmod computer ComputerDN -disabled yes

dsmod computer ComputerDN -disabled no
Excluso e reciclagem de contas de computador
Pontos principais
Voc aprendeu que cada conta de computador, como cada conta de usurio,
mantm um SID exclusivo, que permite que um administrador conceda
permisses aos computadores. Assim como as contas de usurio, os computadores
tambm podem pertencer a grupos. Por isso, como as contas de usurio,
importante entender o efeito da excluso de uma conta de computador. Quando
uma conta de computador excluda, as participaes em grupo e o SID so
perdidos. Se a excluso for acidental, e outra conta de computador for criada com
o mesmo nome, ela ser, de qualquer forma, uma nova conta, com um novo SID.
As participaes em grupo devem ser restabelecidas e quaisquer permisses
atribudas para o computador excludo devem ser reatribudas para a nova conta.
Exclua objetos de computador somente quando tiver certeza de que no precisa
mais dos atributos relacionados segurana do objeto.
Para excluir uma conta de computador usando Usurios e Computadores do

Active Directory:
1. Clique com o boto direito do mouse no objeto do computador e clique em
Excluir.
Voc ser solicitado a confirmar a excluso e, como ela no reversvel, a
resposta padro da confirmao No.
2. Clique em Sim para excluir o objeto.
O comando DSRm permite que voc exclua um objeto de computador do prompt
de comando. Para excluir um computador com DSRm, digite:
dsrm ObjectDN
Onde DN_do_objeto o nome distinto do computador, como CN=Desktop154,

OU=NY,OU=Client Computers,DC=contoso,DC=com. Mais uma vez, voc ser
solicitado a confirmar a excluso.
Reciclar computadores
Se as participaes em grupo e o SID de uma conta de computador, e as
permisses atribudas a esse SID, so importantes para as operaes de um
domnio, voc no desejar excluir essa conta. Assim, o que fazer se um
computador for substitudo por um novo sistema, com hardware atualizado? Este
um outro cenrio no qual voc redefiniria uma conta de computador.
Quando uma conta de computador redefinida, sua senha tambm . No entanto,
as propriedades do objeto do computador so mantidas. Com uma senha
redefinida, a conta torna-se, efetivamente, disponvel para uso. Qualquer
computador pode ento ingressar no domnio usando essa conta, incluindo o
sistema atualizado. Na verdade, voc reciclou a conta do computador, atribuindo a
ela um novo hardware. Voc pode at mesmo renomear a conta. O SID e as
participaes em grupo permanecem os mesmos.
Conforme voc aprendeu anteriormente nesta lio, o comando Redefinir Conta
est disponvel no menu de contexto quando voc clica com o boto direito do
mouse em um objeto de computador. O comando DSMod tambm pode ser usado
para redefinir uma conta de computador, quando voc digita dsmod computer
"DN_do_computador" -reset.
Laboratrio B: Administrao de contas e

objetos do computador
Cenrio
Voc um administrador da Contoso, Ltd. Durante uma auditoria de segurana,
vrias contas de computador foram descobertas. Estes computadores no existem
mais no domnio. Sua tarefa melhorar o gerenciamento de contas de computador
e identificar as prticas recomendadas para administrar todo o ciclo de vida de
uma conta de computador.
Exerccio 1: Administrar objetos de computador durante

seu ciclo de vida
Neste exerccio, voc ir configurar os atributos comuns de objetos de computador,
incluindo a descrio e ManagedBy. Voc tambm ir gerenciar a participao em
grupo de computadores e mover computadores entre unidades organizacionais.
2. Configurar os atributos de objeto do computador.
3. Adicionar computadores a grupos de gerenciamento de software.
4. Mover um computador entre as unidades organizacionais.
5. Desabilitar, habilitar e excluir computadores.

As mquinas virtuais j devem ter sido iniciadas e estar disponveis aps a
concluso do Laboratrio A. Entretanto, se no estiverem, voc dever concluir as
etapas de 1 a 3 a seguir e depois realizar os exerccios de 1 a 3 no Laboratrio A
antes de prosseguir. Voc no conseguir realizar com xito o Laboratrio B a
menos que tenha concludo o Laboratrio A.
3. Inicie 10222A-SERVER01-B.
Tarefa 2: Configurar os atributos de objeto do computador

administrador com o nome de usurio Pat.Coleman_Admin e a senha
Pa$$w0rd.
2. Na UO Client Computers\SEA, use a guia Gerenciado por dos objetos de
computador para atribuir LNO8538 a Linda Mitchell e LOT9179 a Scott
Mitchell.
3. Como Scott e Linda Mitchell ocasionalmente usaro o computador um do
outro, use as selees mltiplas para alterar a descrio de LNO8538 e
LOT9179 para Scott e Linda Mitchell.
Tarefa 3: Adicionar computadores a grupos de gerenciamento de

software
O Microsoft Office Project necessrio nos computadores de Scott e Linda. A
Contoso usa grupos de segurana como conjuntos para escopo de implantao de
software. Voc ir adicionar cada um dos computadores ao grupo Projeto_APP
usando dois mtodos diferentes.
1. Na UO Client Computers\SEA, clique com o boto direito do mouse em
LOT9179 e, em seguida, em Adicionar a um grupo.
2. Digite APP_ e pressione ENTER.
A caixa de dilogo Vrios Itens Encontrados ser exibida.
3. Clique em APP_Project e em OK.
Uma mensagem ser exibida: A operao Adicionar a Grupo foi concluda
com xito.
4. Clique em OK.
5. Na rvore de console, expanda a UO Groups e clique em Aplicativo.
6. Clique com o boto direito do mouse em APP_Project e, em seguida, em
Propriedades.
9. Digite LNO8538 e pressione ENTER.
A caixa de dilogo Nome No Encontrado ser exibida.
Por padro, a interface Selecionar Usurios, Computadores ou Grupos no
procura objetos de computador.
10. Clique em Tipos de objeto.
11. Marque a caixa de seleo ao lado de Computadores e clique em OK.
12. Clique em OK para fechar a caixa de dilogo Nome No Encontrado.
Ambos os computadores agora podem ser vistos a guia Membros.
13. Clique em OK.
Tarefa 4: Mover um computador entre as unidades organizacionais

Scott e Linda esto realocando o escritrio de Vancouver. Voc mover seus
computadores para a nova unidade organizacional usando dois mtodos
diferentes.
1. Na UO Client Computers\SEA, clique em LOT9179.
2. Arraste LOT9179 para a UO VAN, visvel na rvore de console.
Uma mensagem ser exibida lembrando que voc deve ter cuidado ao mover
objetos no Active Directory.
3. Clique em Sim.
4. Clique com o boto direito do mouse em LNO8538 e clique em Mover.
A caixa de dilogo Mover ser exibida.
5. Na rvore de console, expanda Computadores Cliente e clique em VAN.
6. Clique em OK.
Tarefa 5: Desabilitar, habilitar e excluir computadores

1. Na UO Client Computers\SEA, desabilite e habilite a conta para DEP6152.
2. Exclua a conta para DEP6152.
Exerccio 2: Administrar e solucionar problemas de contas

de computador
Neste exerccio, voc ir administrar e solucionar problemas de contas de
computador e do canal seguro.
1. Redefinir uma conta de computador.
2. Experimentar um problema no canal seguro.
3. Redefinir o canal seguro.
Tarefa 1: Redefinir uma conta de computador

Recentemente o computador de Scott Mitchell precisou ser reinstalado. De acordo
com a conveno de nomenclatura da Contoso, o nome de um objeto de
computador a sua marca de recurso, determinada pela equipe de inventrio de
TI. Como Scott reinstalou o computador na mesma parte de hardware, o nome do
computador o mesmo: LOT9179. Ele agora quer ingressar a mquina no
domnio, mas j existe uma conta para LOT9179, e a conta faz parte dos grupos
que garantem que o software (incluindo o Microsoft Office Project) e a
configurao corretos sejam aplicados ao sistema. Por isso, importante que a
conta no seja excluda, para que as participaes no grupo sejam mantidas.
Na UO Client Computers\VAN, redefina a conta para LOT9179.
Voc agora pode ingressar o computador reinstalado de Scott ao domnio.
Tarefa 2: Experimentar um problema no canal seguro

1. Demonstre que voc pode fazer logon com xito em SERVER01 como
Pat.Coleman com a senha Pa$$w0rd. Depois que a rea de trabalho for
exibida, faa logoff.
2. Para "quebrar" o canal seguro, use Usurios e Computadores do Active
Directory no HQDC01 para redefinir a conta para SERVER01.
3. Tente fazer logon em SERVER01 como Pat.Coleman com a senha Pa$$w0rd.
Tarefa 3: Redefinir o canal seguro

Para solucionar uma quebra na relao de confiana entre um membro do domnio
e o domnio, voc pode redefinir a conta do computador, mover o computador
para um grupo de trabalho e depois reingressar no domnio.
Redefina a conta do computador como SERVER01.
Aps redefinir o canal seguro, voc pode mover SERVER01 para um grupo de
trabalho e reingressar no domnio. Isso ingressar a conta redefinida,
mantendo as participaes em grupo. No realize esta etapa neste momento.
Resultados: aps esse exerccio, voc ter uma conta de usurio chamada Chris Mayo
na UO Employees.

Pergunta: Que ideias voc obteve em relao aos problemas e procedimentos

relacionados s contas de computador e administrao das mesmas durante seu
ciclo de vida?
Implementao de uma infraestrutura de Diretiva de Grupo 6-1
Mdulo 6
Implementao de uma infraestrutura de
Diretiva de Grupo
Sumrio:
Lio 1: Compreenso da Diretiva de Grupo 6-4
Lio 2: Implementao de GPOs 6-22
Laboratrio A: Implementao da Diretiva de Grupo 6-39
Lio 3: Uma anlise mais detalhada das configuraes e dos GPOs 6-43
Laboratrio B: Gerenciamento de configuraes e GPOs 6-66
Lio 4: Gerenciamento do escopo da Diretiva de Grupo 6-73
Laboratrio C: Gerenciamento do escopo da Diretiva de Grupo 6-104
Lio 5:Processamento de Diretiva de Grupo 6-112
Lio 6: Soluo de problemas de aplicao de diretiva 6-122
Laboratrio D: Soluo de problemas de aplicao de diretiva 6-134
Viso geral do mdulo
No Mdulo 1, voc aprendeu que o AD DS (Servios de Domnio Active

Directory) fornece os servios fundamentais de uma soluo de identidade e
acesso para redes empresariais que executam o Windows. Alm disso, o AD DS
oferece suporte ao gerenciamento e configurao mesmo das redes de maior
porte e mais complexas. Nos Mdulos 2 a 5, voc aprendeu como administrar as
entidades de segurana do AD DS: usurios, grupos e computadores. Voc agora
comear a analisar o gerenciamento e a configurao de usurios e computadores
usando a Diretiva de Grupo. A Diretiva de Grupo fornece uma infraestrutura
dentro da qual as configuraes podem ser definidas centralmente e implantadas
para usurios e computadores na empresa.
Em um ambiente gerenciado por uma infraestrutura de Diretiva de Grupo bem

implementada, nenhuma ou quase nenhuma configurao precisa ser feita
diretamente de uma rea de trabalho. A configurao toda definida, aplicada e
atualizada atravs de configuraes em GPOs que afetam uma parte da empresa de
forma ampla como um site ou domnio inteiro, ou restrita, como uma UO ou
grupo. Neste mdulo, voc aprender o que uma Diretiva de Grupo, como ela
funciona e a melhor maneira de implementar uma Diretiva de Grupo na sua
organizao. Vrios mdulos subsequentes aplicaro a Diretiva de Grupo em
tarefas de gerenciamento especficas, como configurao de segurana,
implantao de software, diretiva de senha e auditoria.
Objetivos
Compreender os componentes e as tecnologias que compem a estrutura da
Diretiva de Grupo.
Gerenciar GPOs.
Configurar e compreender vrios tipos de configurao de diretiva.
Criar escopo de GPOs usando links, grupos de segurana, filtros WMI,
processamento de loopback e direcionamento de preferncias.
Administrar uma infraestrutura de Diretiva de Grupo.
Avaliar precedncia, herana de GPO e RSoP.
Grupo.
Lio 1
Compreenso da Diretiva de Grupo
Uma infraestrutura de Diretiva de Grupo possui muitas partes mveis.

importante que voc compreenda cada parte, como as partes funcionam juntas e
por que talvez seja necessrio mont-las em vrias configuraes. Nesta lio, voc
obter uma viso geral abrangente da Diretiva de Grupo: seus componentes, suas
funes e seu funcionamento interno.
Objetivos
Compreender os principais componentes e a terminologia da Diretiva de
Grupo.
Explicar os fundamentos do processamento da Diretiva de Grupo.
O que o gerenciamento de configurao?
Pontos principais
Se voc tiver apenas um computador no seu ambiente - em casa, por exemplo - e
quiser fazer uma alterao - modificar o plano de fundo da rea de trabalho, por
exemplo - h vrias maneiras de fazer isso. A maioria das pessoas provavelmente
abriria Personalizao do Painel de Controle e faria a alterao usando a interface
do Windows. Isso funciona bem para um usurio, mas torna-se entediante se voc
desejar fazer a alterao em vrios usurios. Digamos, por exemplo, que voc
queira o mesmo plano de fundo para voc e sua famlia. Voc ter que fazer a
alterao vrias vezes, e, se mudar de ideia e quiser alterar o plano de fundo
novamente, ter que voltar ao perfil de cada usurio e fazer a alterao. A
implementao da alterao e a manuteno de um ambiente consistente, tornam-
se ainda mais difceis em vrios computadores.
No final, o gerenciamento da configurao uma abordagem centralizada para a

aplicao de uma ou mais alteraes em um ou mais usurios ou computadores. Se voc
tiver isso em mente, todo o resto ser mais fcil de entender. Ento, vamos repetir.
Os principais elementos do gerenciamento de configurao so:
Uma definio centralizada de uma alterao, que ns tambm chamaremos
de configurao. A configurao deixa um usurio ou computador com as
definies desejadas.
A definio dos usurios ou computadores aos quais a alterao se aplica, ns
chamaremos de escopo da alterao.
O mecanismo que garante que a configurao seja aplicada aos usurios e
computadores no escopo. Esse processo ser chamado de aplicativo.
A Diretiva de Grupo uma estrutura no Windows - com componentes localizados

no Active Directory, em controladores de domnio e em cada servidor e cliente
Windows - que permite que voc gerencie a configurao em um domnio do AD
DS. medida que voltamos nossa ateno para a Diretiva de Grupo, o que pode se
tornar bastante complexo, lembre-se sempre que, no fim, tudo se resume a esses
elementos bsicos do gerenciamento de configurao.
Configuraes de diretiva (Tambm conhecidas como

diretivas)
Pontos principais
O componente mais granular da Diretiva de Grupo uma configurao de diretiva
individual, tambm conhecida simplesmente como diretiva, que define uma
alterao de configurao especfica a ser aplicada. Por exemplo, existe uma
configurao de diretiva que impede que um usurio acesse ferramentas de edio
do Registro. Se voc definir essa configurao de diretiva e aplic-la ao usurio, ele
no poder executar ferramentas como Regedit.exe. H outra configurao de
diretiva disponvel que permite que voc renomeie a conta local Administrador.
Voc pode usar essa configurao de diretiva para renomear a conta Administrador
em todos os desktops e laptops do usurio, por exemplo.
Estes dois exemplos ilustram um ponto importante: que algumas configuraes de

diretiva afetam um usurio, independentemente do computador no qual o usurio
faz logon e que outras configuraes de diretiva afetam um computador,
independentemente de qual usurio faa logon nesse computador. As
configuraes de diretiva, como a configurao que impede o acesso a ferramentas
de edio do Registro, geralmente so denominadas definies de configurao do
usurio ou configuraes do usurio. As configuraes de diretiva como a que
desabilita a conta Administrador e configuraes similares geralmente so
conhecidas como definies de configurao do computador ou configuraes do
computador. Voc tambm ver as denominaes "diretivas do usurio" e "diretivas
do computador". A terminologia usada no setor no exata.
H milhares de configuraes de diretiva que podem ser gerenciadas pela Diretiva
de Grupo e a estrutura extensvel. Assim, no final, voc pode gerenciar quase
tudo com a Diretiva de Grupo.
Para definir uma configurao de diretiva, clique duas vezes na configurao de
diretiva.
A caixa de dilogo Propriedades da configurao de diretiva ser exibida. Um
exemplo mostrado aqui:
Uma configurao de diretiva pode ter trs estados: No Configurada, Habilitada e

Desabilitada.
Em um novo GPO, cada configurao de diretiva No Configurada. Isso significa
que o GPO no modificar a configurao existente dessa definio em particular
de um usurio ou computador. Se voc habilitar ou desabilitar uma configurao
de diretiva, uma alterao ser feita na configurao dos usurios e computadores
aos quais o GPO for aplicado.
O efeito da alterao depende da prpria configurao de diretiva. Por exemplo, se
voc habilitar a configurao da diretiva Impedir acesso a ferramentas de edio do
Registro, os usurios no podero iniciar o editor do Registro Regedit.exe. Se voc
desabilitar a configurao da diretiva, garantir que os usurios possam iniciar o
editor do Registro. Observe a dupla negativa nesta configurao de diretiva: Voc
desabilita uma diretiva que impede uma ao. Assim, voc permite a ao.
Algumas configuraes de diretiva renem vrias configuraes em uma diretiva e
podem exigir parmetros adicionais. Na captura de tela acima, voc pode ver que
ao habilitar a diretiva para restringir as ferramentas de edio do Registro, voc
tambm pode definir se os arquivos do Registro podem ser mesclados no sistema
de forma silenciosa, usando regedit /s.
Observao: compreenda e teste todas as configuraes de diretiva. Muitas

configuraes de diretiva so complexas, e o efeito de sua habilitao ou desabilitao
pode no ser imediatamente claro. Alm disso, algumas configuraes de diretiva afetam
somente determinadas verses do Windows. Leia o texto explicativo da configurao da
diretiva no painel de detalhes do GPME (Editor de Gerenciamento da Diretiva de Grupo)
ou na guia Explicar da caixa de dilogo Propriedades da configurao de diretiva. Alm
disso, sempre teste os efeitos de uma configurao de diretiva, e suas interaes com
outras configuraes de diretiva, antes de implantar uma alterao no ambiente de
produo.
Voc ir explorar as configuraes de diretiva e como gerenci-las na Lio 3.

Objetos de Diretiva de Grupo
Pontos principais
As configuraes de diretiva so definidas e existem em um Objeto de Diretiva de
Grupo (GPO). Um GPO um objeto que contm uma ou mais configuraes de
diretiva, aplicando-se, assim, a uma ou mais definies de configurao de um
usurio ou computador.
Os GPOs podem ser gerenciados no Active Directory atravs do GPMC (Console

de Gerenciamento de Diretiva de Grupo), mostrado aqui:
Os GPOs so exibidos em um continer denominado Objetos de Diretiva de

Grupo.
Para criar um novo GPO em um domnio, clique com o boto direito do mouse no
continer Objetos de Diretiva de Grupo e clique em Novo.
Para modificar as definies de configurao em um GPO, clique com o boto
direito do mouse no GPO e escolha Editar.
O GPO ser aberto no snap-in GPME, anteriormente conhecido como Editor do

GPO, mostrado aqui:
O GPME exibe as milhares de configuraes de diretiva disponveis em um GPO

em uma hierarquia organizada que comea com a diviso entre configuraes de
computador e configuraes de usurio: o n Configurao do Computador e o n
Configurao do Usurio. Os prximos nveis da hierarquia so dois ns
chamados Diretivas e Preferncias. Voc aprender sobre a diferena entre esses
dois ns ao longo desta lio. Analisando a hierarquia mais detalhadamente, voc
ver que o GPME exibe pastas, tambm chamadas de ns ou grupos de
configurao de diretiva. Dentro das pastas, esto as prprias configuraes de
diretivas. Impedir acesso a ferramentas de edio do Registro est selecionada na
captura de tela mostrada aqui.
Voc aprender como implementar e gerenciar GPOs na Lio 2.
Escopo do GPO
Pontos principais
A configurao definida por configuraes de diretiva em GPOs. Entretanto, as
alteraes na configurao de um GPO no afetam computadores ou usurios na
sua empresa at que voc tenha especificado os computadores ou usurios aos
quais o GPO se aplica. Isso chamado de escopo de um GPO. O escopo de um GPO
o conjunto de usurios e computadores que aplicaro as configuraes no GPO.
Voc pode usar vrios mtodos para gerenciar o escopo dos GPOs. O primeiro o
link de GPO. Os GPOs podem ser vinculados a sites, domnios e UOs no Active
Directory. O site, domnio ou UO torna-se o escopo mximo do GPO. Todos os
computadores e usurios no site, domnio ou UO - incluindo os de UOs filho -
sero afetados pelas configuraes de diretiva no GPO. Um nico GPO pode ser
vinculado a mais de um site ou UO.
Voc pode restringir ainda mais o escopo do GPO com um de dois tipos de filtros:
filtros de segurana que especificam os grupos de segurana global aos quais o GPO
deve ou no ser aplicado e filtros WMI (Instrumentao de Gerenciamento do
Windows) que especificam um escopo usando caractersticas de um sistema como a
verso do sistema operacional ou espao livre em disco. Use filtros de segurana e
filtros WMI para restringir ou especificar o escopo dentro do escopo inicial criado
pelo link de GPO.
No Windows Server 2008, foi introduzido um novo componente de Diretiva de
Grupo: Preferncias de Diretiva de Grupo. As configuraes determinadas pelas
Preferncias de Diretiva de Grupo em um GPO podem ser filtradas, ou
direcionadas, com base em alguns critrios. As preferncias direcionadas permitem
que voc aprimore ainda mais o escopo das Preferncias em um nico GPO.
O escopo dos GPOs detalhado na Lio 4.
Cliente da Diretiva de Grupo e extenses do lado do cliente
Pontos principais
Como, exatamente, as configuraes de diretiva so aplicadas? Quando a
atualizao da Diretiva de Grupo iniciada, um servio em execuo em todos os
sistemas Windows (chamado de Cliente da Diretiva de Grupo no Windows Vista e
no Windows Server 2008) determina quais GPOs devem ser aplicados ao
computador ou usurio. Ele baixa os GPOs que ainda no estejam em cache. Em
seguida, vrios processos chamados extenses do lado do cliente (CSEs) interpretam
as configuraes em um GPO e fazem as alteraes apropriadas no computador
local ou no usurio conectado no momento. Existem CSEs para cada categoria
principal de configurao de diretiva. Por exemplo: h uma CSE de segurana que
aplica alteraes de segurana, uma CSE que executa scripts de logon e
inicializao, uma CSE que instala software e uma CSE que faz alteraes em
valores e chaves do Registro. Cada verso do Windows possui CSEs adicionais
para ampliar o alcance funcional da Diretiva de Grupo. H vrias CSEs agora no
Windows.
Um dos conceitos mais importantes a serem lembrados sobre a Diretiva de Grupo

que ela realmente baseada no cliente. O cliente da Diretiva de Grupo recebe os
GPOs do domnio, acionando as CSEs para aplicar as configuraes localmente. A
Diretiva de Grupo no uma tecnologia de envio.
Na verdade, o comportamento das CSEs pode ser configurado usando-se a Diretiva
de Grupo. A maioria das CSEs aplicar as configuraes em um GPO somente se
ele tiver sido alterado. Esse comportamento aprimora o processamento geral das
diretivas eliminando a aplicao redundante das mesmas configuraes. A maioria
das diretivas so aplicadas de tal forma que os usurios padro no podem alterar
a configurao no seu sistema. Eles sempre estaro sujeitos configurao imposta
pela Diretiva de Grupo. Entretanto, algumas configuraes podem ser alteradas
por usurios padro, e muitas podem ser alteradas se um usurio for um
administrador deste sistema. Se os usurios do seu ambiente forem
administradores de seus computadores, considere a configurao das CSEs para
reaplicar as configuraes de diretiva mesmo que o GPO no tenha sido alterado.
Dessa forma, se um usurio administrativo alterar uma configurao para que no
esteja mais compatvel com a diretiva, a configurao ser redefinida para o estado
de compatibilidade na prxima atualizao da Diretiva de Grupo.
Observao: configure as CSEs para reaplicar as configuraes de diretiva mesmo

que o GPO no tenha sido alterado. Voc pode configurar as CSEs para reaplicar as
configuraes de diretiva, mesmo que o GPO no tenha sido alterado, na atualizao em
segundo plano. Para fazer isso, configure um GPO com escopo em computadores e
defina as configuraes no n Configurao do Computador\Diretivas\Modelos
Administrativos\Sistema\Diretiva de Grupo. Para cada CSE que voc queira configurar,
abra sua configurao da diretiva de processamento da diretiva. Por exemplo,
Processamento da Diretiva do Registro para a CSE do Registro. Clique em Habilitada e
marque a caixa de seleo rotulada Processar Mesmo Que os Objetos de Diretiva de
Grupo No Tenham Mudado.
Uma exceo importante s configuraes de processamento de diretiva padro

so as configuraes gerenciadas pela CSE de segurana. As configuraes de
segurana so reaplicadas a cada 16 horas mesmo que um GPO no tenha sido
alterado.
Observao: a configurao de diretiva Sempre Esperar Pela Rede ao Iniciar e Fazer

Logon. altamente recomendvel que voc habilite a configurao de diretiva Sempre
Esperar Pela Rede ao Iniciar e Fazer Logon em todos os clientes Windows. Sem esta
configurao, por padro, os clientes Windows XP, Windows Vista e Windows 7 realizam
somente atualizaes em segundo plano, significando que um cliente pode ser iniciado e
um usurio pode fazer logon sem receber as diretivas mais recentes do domnio. A
configurao est localizada em Configurao do Computador\Diretivas\Modelos
Administrativos\Sistema\Logon. Leia o texto explicativo da configurao da diretiva. O
domnio contoso.com usado neste curso foi pr-configurado com esta configurao
adicional de Diretiva de Grupo.
A aplicao da Diretiva de Grupo abordada detalhadamente na Lio 5.

Atualizao de Diretiva de Grupo
Pontos principais
Quando as diretivas so aplicadas? As configuraes de diretiva no n
Configurao do Computador so aplicadas na inicializao do sistema e depois a
cada 90 a 120 minutos. As configuraes de diretiva em Configurao do Usurio
so aplicadas no logon e depois a cada 90 a 120 minutos. A aplicao de diretivas
chamada de atualizao da Diretiva de Grupo.
Voc tambm pode forar uma atualizao de diretiva usando o comando
GPUpdate.
Voc aprender mais sobre atualizao de Diretiva de Grupo na Lio 5.
Conjunto de Diretivas Resultante
Pontos principais
Os computadores e usurios no escopo de um GPO aplicaro as configuraes de
diretiva especificadas no GPO. Um usurio ou computador provavelmente estar
no escopo de vrios GPOs vinculados aos sites, ao domnio, ou UO na qual o
usurio ou computador existe. Isso possibilita que as configuraes de diretiva
sejam definidas de forma diferente em vrios GPOs. Voc deve ser capaz de
compreender e avaliar o RSoP (Conjunto de Diretivas Resultante), que determina as
configuraes aplicadas por um cliente quando as configuraes so definidas de
forma divergente em mais de um GPO.
O RSoP ser analisado na Lio 6.
Anlise e avaliao dos componentes da Diretiva de Grupo
Pontos principais
Analisar os principais componentes da Diretiva de Grupo.
Leitura adicional
O TechNet contm guias tcnicos e operacionais detalhados sobre a Diretiva de
Grupo, incluindo os seguintes itens:
Windows Server - Vdeos sobre a Diretiva de Grupo
http://technet.microsoft.com/pt-br/windowsserver/bb310732.aspx
Como funciona a Diretiva de Grupo principal (em ingls)
Implementao da Diretiva de Grupo utilizando o Windows Vista

Resumo das configuraes de Diretiva de Grupo novas ou expandidas
Novidades da Diretiva de Grupo no Windows Vista
Lio 2
Implementao de GPOs
Agora que conhece amplamente a Diretiva de Grupo e os seus componentes, voc

pode avaliar mais detalhadamente cada componente. Nesta seo, voc examinar
os GPOs detalhadamente.
Objetivos
Criar, editar e vincular objetos de Diretiva de Grupo.
Identificar as possibilidades de gerenciamento de configurao e alterao da
Diretiva de Grupo.
Definir as configuraes da diretiva.
GPOs locais
Pontos principais
Para gerenciar a configurao para usurios e computadores, crie GPOs que
contenham as configuraes de diretiva necessrias. Cada computador possui
vrios GPOs armazenados localmente no sistema - os GPOs locais - e podem estar
no escopo de qualquer nmero de GPOs baseados em domnio.
Cada computador que executa o Windows 2000, Windows XP e o Windows
Server 2003 possui um GPO local, que pode gerenciar a configurao nesse
sistema. O GPO local existe, mesmo que o computador no seja parte de um
domnio, um grupo de trabalho ou um ambiente em rede. Ele est armazenado em
%SystemRoot%\System32\GroupPolicy. As diretivas no GPO local afetam
somente o computador no qual o GPO est armazenado. Por padro, somente as
diretivas de Configuraes de Segurana so configuradas em um GPO local do
sistema. Todas as outras diretivas so definidas em No Configurada.
Quando um computador no pertence a um domnio do Active Directory, a

diretiva local til para configurar e aplicar a configurao nesse computador.
Entretanto, em um domnio do Active Directory, as configuraes em GPOs
vinculados ao site, domnio ou a UOs substituiro as configuraes do GPO local e
so mais fceis de gerenciar que os GPOs em computadores individuais.
O Windows Vista e o Windows Server 2008 e sistemas posteriores possuem vrios
GPOs locais. O GPO do computador local o mesmo que o GPO nas verses
anteriores do Windows. No n Configurao do Computador, defina todas as
configuraes relacionadas ao computador. No n Configurao do Usurio,
defina as configuraes que deseje aplicar a todos os usurios no computador. As
configuraes do usurio no GPO Computador Local podem ser modificadas pelas
configuraes do usurio nos dois novos GPOs locais: Administradores e No
Administradores. Esses dois GPOs aplicam configuraes do usurio a usurios
conectados de acordo com sua participao no grupo local Administradores
(usando, assim, o GPO Administradores) ou no (usando, assim, o GPO No-
Administradores). Voc pode aprimorar ainda mais as configuraes do usurio
com um GPO local que seja aplicado em uma conta de usurio especfica. GPOs
locais especficos do usurio so associados com contas de usurio locais, no de
domnio.
O RSoP fcil para configuraes de computador: o GPO Computador Local o
nico GPO local que pode aplicar configuraes de computador. As configuraes
de usurio em um GPO especfico de usurio substituiro configuraes
conflitantes nos GPOs Administradores e No Administradores, que, por sua vez,
substituem configuraes no GPO Computador Local. O conceito simples:
quanto mais especfico for o GPO local, mais elevada a precedncia de suas
configuraes.
Para criar e editar GPOs locais:
1. Clique no boto Iniciar e, na caixa Iniciar Pesquisa, digite mmc.exe e
pressione ENTER.
Um MMC (Microsoft Management Console) vazio ser aberto.
2. Clique em Arquivo e em Adicionar/Remover Snap-in.
3. Selecione o Editor de Objeto de Diretiva de Grupo e clique em Adicionar.
Uma caixa de dilogo aparecer, solicitando que voc selecione o GPO a ser
editado.
4. O GPO Computador Local selecionado por padro. Se voc deseja editar

outro GPO local, clique no boto Procurar. Na guia Usurios, voc encontrar
os GPOs No Administradores e Administradores e um GPO para cada
usurio local. Selecione o GPO e clique em OK.
5. Clique em Concluir e em OK para fechar cada uma das caixas de dilogo.
O snap-in Editor do Objeto de Diretiva de Grupo adicionado, com foco no GPO

selecionado.
Pergunta: Se membros de domnio podem ser gerenciados centralmente usando

GPOs vinculados a domnio, em quais cenrios os GPOs locais poderiam ser
usados?
Leitura adicional
Vrios objetos de Diretiva de Grupo Local
Guia passo a passo para o gerenciamento de vrios Objetos de Diretiva de
Grupo Local (em ingls)
GPOs baseados em domnio
Pontos principais
Os GPOs baseados em domnio so criados no Active Directory e armazenados em
controladores de domnio. Eles so usados para gerenciar a configurao
centralmente para usurios e computadores no domnio. O restante deste curso se
refere a GPOs baseados em domnio, no mais a GPOs locais, a menos que
especificado do contrrio.
Quando o AD DS instalado, dois GPOs padro so criados:
Diretiva de domnio padro
Este GPO vinculado ao domnio e no possui grupo de segurana ou filtros WMI.
Assim, ele afeta todos os usurios e computadores no domnio (incluindo
computadores que sejam controladores de domnio). Este GPO contm
configuraes de diretiva que especificam diretivas de senha, bloqueio de conta e
Kerberos. Como abordado no Mdulo 9, voc modificar as configuraes padro
neste GPO para alinhamento com a senha de sua empresa e as diretivas de
bloqueio de contas. Voc no deve adicionar configuraes de diretiva no
relacionadas nesse GPO. Se voc precisar definir outras configuraes para aplicar
amplamente no seu domnio, crie GPOs adicionais vinculados ao domnio.
Diretiva de Controladores de Domnio Padro

Este GPO vinculado UO Domain Controllers. Como as contas de computador
para controladores de domnio so mantidas exclusivamente na UO Domain
Controllers, e outras contas de computador devem ser mantidas em outras UOs,
esse GPO afeta somente os controladores de domnio. O GPO Controladores de
Domnio Padro deve ser modificado para implementar suas diretivas de auditoria,
conforme abordado nos Mdulos de 7 a 9. Ele tambm deve ser modificado para
atribuir direitos de usurio necessrios em controladores de domnio.
Demonstrao: Criar, vincular e editar GPOs
Pontos principais
Para criar um GPO, clique com o boto direito do mouse no continer Objetos de
Diretiva de Grupo e escolha Novo.
Voc deve ter permisso para o continer Objetos de Diretiva de Grupo para criar
um GPO. Por padro, o grupo Administradores do Domnio e o grupo
Proprietrios Criadores de Diretiva de Grupo podem criar GPOs.
Para permitir que outros grupos criem GPOs, selecione o continer Objetos de
Diretiva de Grupo na rvore de console do GPMC e clique na guia Delegao no
painel de detalhes do console.
Aps criar um GPO, voc pode criar o escopo inicial do GPO vinculando-o a um
site, domnio ou UO.
Para vincular um GPO, clique com o boto direito do mouse no site, domnio ou
UO e clique em Vincular um GPO Existente.
Voc tambm pode criar e vincular um GPO com uma nica etapa: clique com o
boto direito do mouse em um site, domnio ou UO e clique em Criar um GPO
Neste Domnio e Fornecer um Link Para Ele Aqui.
Observe que voc no ver os seus sites no n Sites do GPMC, at que voc clique
com o boto direito do mouse em Sites, escolha Mostrar Sites, e selecione os Sites
que deseja gerenciar.
Voc deve ter permisso para vincular GPOs a um site, domnio ou UO. No GPMC,
selecione o continer na rvore de console e clique na guia Delegao no painel de
detalhes do console. Da lista suspensa Permisso, selecione Vincular GPOs. Os
usurios e grupos exibidos possuem a permisso para a UO selecionada. Clique
nos botes Adicionar ou Remover para modificar a delegao.
Para editar um GPO, clique com o boto direito do mouse no GPO no continer
Objetos de Diretiva de Grupo e escolha Editar.
O GPO ser aberto no GPME. Voc deve ter, pelo menos, permisso de leitura para
abrir o GPO desta maneira.
Para fazer alteraes em um GPO, voc deve ter permisso de Gravao no GPO.
Selecione o GPO no continer Objetos de Diretiva de Grupo e clique na guia
Delegao no painel de detalhes para definir as permisses do GPO.
O GPME exibir o nome do GPO como o n raiz. O GPME tambm exibe o
domnio no qual o GPO definido e o servidor do qual o GPO foi aberto e no qual
as alteraes sero salvas. O n raiz possui o formato Nome_do_GPO
[Nome_do_servidor]. Na captura de tela do GPME em uma pgina anterior deste
mdulo, o n raiz Diretiva Padres CONTOSO [SERVER01.contoso.com]. O
nome do GPO Padres CONTOSO, e ele foi aberto de SERVER01.contoso.com, o
que significa que o GPO definido no domnio contoso.com.
Por padro, o console do GPMC e do GPME conectam-se a um controlador de
domnio especfico no seu ambiente: o controlador de domnio agindo como o
Emulador PDC. Em um mdulo posterior, voc aprender a identificar e gerenciar
qual controlador de domnio possui esta funo.
Isso feito para reduzir a possibilidade de que um nico GPO possa ser alterado
em dois controladores de domnio diferentes, pois, durante a replicao, no
haveria maneira de reconciliar as alteraes e somente uma verso de todo o GPO
"ganharia" e seria replicada. Focalizar nas ferramentas administrativas em um
controlador de domnio ajuda a garantir que as alteraes sejam feitas em um
lugar.
Entretanto, em um ambiente grande, distribudo, o Emulador PDC pode estar em

um local distante, resultando em baixo desempenho para os GPMCs. Voc pode
clicar com o boto direito do mouse no n raiz de cada console e conectar a um
controlador de domnio especfico mais perto de voc. Tenha apenas em mente o
problema de replicao: Se voc for a nica pessoa a editar um GPO,
perfeitamente aceitvel que voc faa isso em um controlador de domnio local, de
alto desempenho.
Criar um GPO
3. Execute Gerenciamento de Diretiva de Grupo com credenciais
4. Na rvore de console, expanda Floresta: contoso.com, Domnios e
contoso.com e clique no continer Objetos de Diretiva de Grupo.
5. Na rvore de console, clique com o boto direito do mouse no continer
Objetos de Diretiva de Grupo e clique em Novo.
6. Em Nome: digite Padres CONTOSO e clique em OK.
Abrir um GPO para edio

1. No painel de detalhes do GPMC, clique com o boto direito do mouse no GPO
Padres CONTOSO e clique em Editar.
O GPME ser exibido.
2. Feche o GPME.
Vincular um GPO
1. Na rvore de console do GPMC, clique com o boto direito do mouse no
domnio contoso.com e clique em Vincular um GPO Existente.
2. Selecione Padres CONTOSO e clique em OK.
Delegar o gerenciamento dos GPOs

1. Na rvore de console do GPMC, clique no domnio contoso.com.
2. No painel de detalhes, clique na guia Delegao.
3. Analise a delegao padro.

4. Na rvore de console do GPMC, expanda o continer Objetos de Diretiva de
Grupo e clique no GPO Padres CONTOSO.
5. No painel de detalhes, clique na guia Delegao.
6. Analise a delegao padro.
8. Na rvore de console, clique no continer Usurios.
9. No painel de detalhes, clique duas vezes no grupo Proprietrios Criadores de
Diretiva de Grupo e clique na guia Membros.
10. Analise a associao padro.
Excluir um GPO
1. Na rvore de console do GPMC, no continer Objetos de Diretiva de Grupo,
clique com o boto direito do mouse no GPO Padres CONTOSO e clique em
Excluir.
2. Clique em No.
Abordar a conexo padro com o Emulador PDC

1. Alterne para o GPMC.
domnio contoso.com e clique em Alterar controlador do domnio.
3. Analise as configuraes padro.
Armazenamento no GPO
Pontos principais
As configuraes de Diretiva de Grupo so apresentadas como GPOs nas
ferramentas da interface do usurio do Active Directory, mas um GPO na verdade
composto de dois componentes: um GPC (Continer de Diretiva de Grupo) e um
GPT (Modelo de Diretiva de Grupo).
O GPC um objeto do Active Directory armazenado no continer Objetos de
Diretiva de Grupo no contexto de nomeao de domnio do diretrio. Como todos
os objetos do Active Directory, cada GPC inclui um atributo GUID (identificador
global exclusivo) que identifica exclusivamente o objeto no Active Directory. O GPC
define atributos bsicos do GPO, mas ele no contm nenhuma das configuraes.
As configuraes so contidas no GPT, um conjunto de arquivos armazenados no
SYSVOL de cada controlador de domnio no caminho %SystemRoot%\
SYSVOL\Domain\Policies\GPOGUID, onde GPOGUID o GUID do GPC.
Quando voc fizer alteraes nas configuraes de um GPO, as alteraes sero
salvas no GPT do servidor do qual o GPO foi aberto.
Por padro, quando ocorre a atualizao da Diretiva de Grupo, as CSEs aplicam
configuraes em um GPO somente se o GPO tiver sido atualizado.
O Cliente da Diretiva de Grupo pode identificar um GPO atualizado por seu

nmero de verso. Cada GPO possui um nmero de verso que aumenta a cada
alterao feita. O nmero de verso armazenado como um atributo do GPC e em
um arquivo de texto, GPT.ini, na pasta do GPT. O Cliente da Diretiva de Grupo
conhece o nmero de verso de cada GPO que aplicou anteriormente. Se, durante
a atualizao da Diretiva de Grupo, ele descobrir que o nmero de verso do GPC
foi alterado, as CSEs sero informadas de que o GPO foi atualizado.
Replicao do GPO
As duas partes de um GPO so replicadas entre controladores de domnio usando
mecanismos distintos.
O GPC no Active Directory replicado pelo DRA (Agente de Replicao de
Diretrio) usando uma topologia gerada pelo KCC (Knowledge Consistency
Checker) que pode ser definida ou aprimorada manualmente. Voc aprender
mais sobre a replicao do Active Directory no Mdulo 12. O resultado que o
GPC replicado em segundos para todos os controladores de domnio em um site
e replicado entre sites com base na configurao de replicao entre sites, o que
tambm ser abordado no Mdulo 12.
O GPT no SYSVOL replicado com o uso de duas tecnologias. O FRS (Servio de
Replicao de Arquivos) usado para replicar o SYSVOL em domnios que
executam o Windows Server 2008, Windows Server 2003 e Windows 2000. Se
todos os controladores de domnio estiverem executando o Windows Server 2008,
voc poder configurar a replicao do SYSVOL usando a replicao DFS, um
mecanismo mais eficiente e robusto.
Como o GPC e o GPT so replicados separadamente, possvel que eles fiquem
fora de sincronia por um curto perodo.
Geralmente, quando isso acontece, o GPC replica em um controlador de domnio
primeiro. Os sistemas que tenham obtido sua lista ordenada de GPOs desse
controlador de domnio identificaro o novo GPC, tentaro baixar o GPT e
observaro que os nmeros de verso no so os mesmos. Um erro de
processamento de diretiva ser registrado nos logs de eventos. Se o inverso
acontecer, e o GPO for replicado em um controlador de domnio antes do GPC, os
clientes que obtenham sua lista ordenada de GPOs desse controlador de domnio
no sero notificados do novo GPO at que o GPC tenha sido replicado.
Na Central de Download da Microsoft, voc pode baixar a Ferramenta de
Verificao de Diretiva de Grupo, GPTool.exe, que faz parte do Windows Resource
Kit. Essa ferramenta relata o status dos GPOs no domnio e pode identificar
instncias nas quais, em um controlador de domnio, o GPC e o GPT no tenham a
mesma verso. Para obter mais informaes sobre GPTool.exe, digite gpotool /? na
linha de comando.
Demonstrao: Configuraes da diretiva
Pontos principais
As configuraes de Diretiva de Grupo, tambm conhecidas simplesmente como
diretivas, esto contidas em um GPO e so exibidas e modificadas com o uso do
GPME. Nesta demonstrao, voc analisar mais profundamente as categorias e
configuraes disponveis em um GPO.
Configurao do computador e configurao do usurio
H duas divises principais das configuraes de diretiva: configuraes de
computador, contidas no n Configurao do Computador, e configuraes do
usurio, contidas no n Configurao do Usurio.
O n Configurao do Computador contm as configuraes que so aplicadas a
computadores, independentemente de quem faa logon neles. As configuraes de
computador so aplicadas quando o sistema operacional iniciado e durante a
atualizao em segundo plano e, depois, a cada 90-120 minutos.
O n Configurao do Usurio contm configuraes que so aplicadas quando
um usurio faz logon no computador e durante a atualizao em segundo
plano e, depois, a cada 90120 minutos.
Nos ns Configurao do Computador e Configurao do Usurio, esto os ns

Diretivas e Preferncias. As diretivas so configuraes que so definidas e se
comportam de forma similar s configuraes de diretiva em verses anteriores do
Windows. As preferncias so introduzidas no Windows Server 2008. As sees a
seguir avaliam estes ns.
Dentro dos ns de diretivas em Configurao do Computador e Configurao do
Usurio existe uma hierarquia de pastas que contm configuraes de diretivas.
Como h milhares de configuraes, analisar cada uma individualmente est alm
do escopo do exame e deste curso. No entanto, vlido definir as amplas
categorias de configuraes nas pastas.
N Configuraes do Software
O primeiro destes ns o n Configuraes de Software, que contm somente a
extenso Instalao do Software. A extenso Instalao do Software ajuda a
especificar como os aplicativos so instalados e mantidos na organizao. Ela
tambm fornece um local para que os fornecedores independentes de software
adicionem configuraes. A implantao de software com Diretiva de Grupo
abordada no Mdulo 7.
N Configuraes do Windows
Nos ns Configurao do Computador e Configurao do Usurio, o n Diretivas
contm um n Configuraes do Windows que inclui os ns Scripts,
Configuraes de Segurana e QoS Baseado em Diretiva.
A extenso Scripts permite que voc especifique dois tipos de scripts:
inicializao/desligamento (no n Configurao do Computador) e logon/logoff
(no n Configurao do Usurio). Os scripts de inicializao/desligamento so
executados na inicializao ou no desligamento do computador. Os scripts de
logon/logoff so executados quando um usurio faz logon ou logoff no
computador. Quando voc atribui vrios scripts de logon/logoff ou
inicializao/desligamento a um usurio ou computador, a CSE de Scripts executa
os scripts de cima a baixo. Voc pode determinar a ordem de execuo de vrios
scripts na caixa de dilogo Propriedades. Quando um computador desligado, a
CSE primeiro processa os scripts de logoff, logo em seguida, os de desligamento.
Por padro, o valor de tempo limite para processamento de scripts 10 minutos.
Se os scripts de logoff e desligamento precisarem de mais de 10 minutos para
serem processados, voc deve ajustar o valor de tempo limite com uma
configurao de diretiva. Voc pode usar qualquer linguagem de scripts do
ActiveX para escrever scripts. Algumas possibilidades incluem o Microsoft Visual
Basic Scripting Edition (VBScript), Microsoft JScript, Perl, e os arquivos em lote
no estilo do Microsoft MS-DOS (.bat e .cmd). Os scripts de logon em um diretrio
de rede compartilhado em outra floresta possuem suporte para logon de rede entre
florestas.
O n Configuraes de Segurana permite que um administrador de segurana

configure a segurana usando GPOs. Isso pode ser feito depois de (ou no lugar de)
usar um modelo de segurana para definir a segurana do sistema. Para uma
anlise detalhada da segurana do sistema e do n Configuraes de Segurana,
consulte o Mdulo 7.
O n QoS Baseado em Diretiva define diretivas que gerenciam o trfego de rede.
Por exemplo, talvez seja necessrio garantir que os usurios no departamento
financeiro tenham prioridade para executar um aplicativo de rede crtico durante o
perodo de relatrio financeiro do fim do ano. O QoS Baseado em Diretiva permite
que voc faa isso.
No n Configurao do Usurio somente, a pasta Configuraes do Windows
contm os ns adicionais Servios de Instalao Remota, Redirecionamento de
Pasta e Manuteno do Internet Explorer. As diretivas do RIS (Servios de
Instalao Remota) controlam o comportamento da instalao remota de um
sistema operacional. O Redirecionamento de Pasta permite que voc redirecione
pastas de configuraes e dados do usurio (AppData, rea de Trabalho,
Documentos, Imagens, Msica e Favoritos, por exemplo) de seu local de perfil de
usurio padro para um local alternativo na rede, onde elas possam ser
gerenciadas centralmente. A Manuteno do Internet Explorer permite que voc
administre e personalize o Microsoft Internet Explorer.
N Modelos Administrativos
Nos ns Configurao do Computador e Configurao do Usurio, o n Modelos
Administrativos contm configuraes de Diretiva de Grupo baseadas no Registro.
H milhares dessas configuraes disponveis para definir o ambiente de usurio e
computador. Como um administrador, voc pode gastar um perodo de tempo
significativo manipulando essas configuraes. Para ajud-lo com as configuraes,
uma descrio de cada configurao de diretiva est disponvel em dois locais:
Na guia Explicar da caixa de dilogo Propriedades da configurao. Alm
disso, a guia Configuraes na caixa de dilogo Propriedades da configurao
lista o software ou sistema operacional necessrio para a configurao.
Na guia Estendida do GPME. A guia Estendida aparece na parte inferior do
painel de detalhes da direita e fornece uma descrio de cada configurao
selecionada em uma coluna entre a rvore de console e o painel de
configuraes. O software ou sistema operacional de cada configurao
tambm listado.
O n Modelos Administrativos abordado com detalhes posteriormente neste

mdulo.
N Preferncias
Abaixo de Configurao do Computador e Configurao do Usurio est o n
Preferncias. Novo no Windows Server 2008, esse n oferece mais de 20 CSEs
para ajud-lo a gerenciar um grande nmero de configuraes adicionais,
incluindo:
Aplicativos como o Microsoft Office 2003 e Office 2007
Unidades mapeadas
Configuraes do Registro
Opes de energia
Opes de pasta
Opes regionais
Opes do menu Iniciar
O n Preferncias tambm permite que voc implante o seguinte:

Arquivos e pastas
Atalhos
Impressoras
Tarefas agendadas
Conexes de rede
Muitas empresas tambm se beneficiaro das preferncias porque as opes

podem ser usadas para habilitar ou desabilitar dispositivos de hardware ou classes
de dispositivos. Por exemplo, voc pode usar as preferncias para impedir que
unidades de disco USB, incluindo media players pessoais, sejam conectadas a
computadores.
Voc deve usar a nova verso do GPME para configurar as preferncias. Esta nova
verso faz parte das Ferramentas de Administrao de Servidor Remoto que podem
ser instaladas no Windows Server 2008, Windows Vista e sistemas operacionais
posteriores.
Para aplicar preferncias, os sistemas requerem as CSEs de preferncias, includas
no Windows Server 2008 e Windows 7. As CSEs para Windows XP, Windows
Server 2003 e Windows Vista podem ser baixadas da Central de Download da
Microsoft.
A interface usada para configurar muitas preferncias tem aparncia idntica

interface do usurio do Windows, na qual voc faria a alterao manualmente.
A figura acima mostra um item de preferncia Opes de Pasta (Windows XP) - um

conjunto de configuraes processadas pela CSE de preferncias. Voc
reconhecer a semelhana com o aplicativo Opes de Pasta no Painel de Controle.
1. Alterne para HQDC01.
2. Clique com o boto direito do mouse no GPO Padres CONTOSO e clique
em Editar.
3. Explore as configuraes disponveis em um GPO. No faa nenhuma
alterao.
Laboratrio A: Implementao da Diretiva de

Grupo
Cenrio
Voc responsvel por gerenciar as alteraes e a configurao na Contoso, Ltd. As
diretivas de segurana de TI corporativa da Contoso especificam que os
computadores no podem ficar sem superviso e conectados por mais de 10
minutos. Por isso, voc definir as configuraes de diretiva de proteo de tela
protegida por senha e tempo limite de proteo de tela. Alm disso, voc bloquear
o acesso s ferramentas de edio do Registro.
Exerccio 1: Criar, editar e vincular objetos de Diretiva de

Grupo
Neste exerccio, voc criar um GPO que implemente uma configurao
determinada pela diretiva de segurana corporativa da Contoso, Ltd. e ampliar o
escopo da configurao a todos os usurios e computadores no domnio. Voc
conhecer ento o efeito do GPO. O tempo restante pode ser usado para explorar
configuraes disponibilizadas em um GPO.
2. Criar um GPO.
3. Editar as configuraes de um GPO.
4. Criar um escopo do GPO com um link de GPO.
5. Exibir os efeitos da aplicao da Diretiva de Grupo.
6. Explorar as configuraes do GPO.

3. Inicie 10222A-DESKTOP101-A, mas no faa logon no sistema.
Tarefa 2: Criar um GPO

1. Execute o Gerenciamento de Diretiva de Grupo como administrador, com o
nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Crie um objeto de Diretiva de Grupo denominado Padres CONTOSO no
continer de objetos Diretiva de Grupo.
Tarefa 3: Editar as configuraes de um GPO

1. Edite o GPO Padres CONTOSO.
2. Navegue at a pasta Configurao do Usurio, Diretivas, Modelos
Administrativos, Sistema.
3. Impea que os usurios executem o Editor do Registro e regedit /s.

4. Navegue at a pasta Configurao do Usurio, Diretivas, Modelos
Administrativos, Painel de Controle, Exibio.
5. Leia o texto explicativo da configurao de diretiva de tempo limite Proteo
de Tela.
6. Configure a diretiva de tempo limite Proteo de Tela para 600 segundos.
7. Habilite a configurao de diretiva Proteger com senha a proteo de tela.
Tarefa 4: Criar um escopo do GPO com um link de GPO

Vincule o GPO Padres CONTOSO ao domnio contoso.com.
Tarefa 5: Exibir os efeitos da aplicao da Diretiva de Grupo

1. Faa logon em DESKTOP101 como Pat.Coleman.
2. Tente alterar a proteo por senha e o tempo limite da Proteo de Tela. A
Diretiva de Grupo o impedir de faz-lo.
3. Tente executar o Editor do Registro. A Diretiva de Grupo o impedir de faz-lo.
Tarefa 6: Explorar as configuraes do GPO

No HQDC01, edite o GPO Padres CONTOSO e dedique um tempo para
verificar as configuraes disponveis em um GPO. No faa nenhuma
alterao.
Resultados: aps esse exerccio, voc ter um GPO chamado Padres CONTOSO que
configura restries de proteo de tela protegida por senha, tempo limite da
proteo de tela e a ferramenta de edio do Registro.

configuraes definidas aqui sero usadas nos laboratrios subsequentes.
Pergunta: Quais configuraes de diretiva j esto sendo implantadas usando-se a

Diretiva de Grupo na sua organizao?
Pergunta: Quais configuraes de diretiva voc descobriu que poderia querer

implementar na sua organizao?
Lio 3
Uma anlise mais detalhada das configuraes
e dos GPOs
Nas Lies 1 e 2, voc aprendeu os fundamentos para implementar a Diretiva de

Grupo no domnio do AD DS. Entretanto, para dominar totalmente a Diretiva de
Grupo e gerenci-la em uma empresa complexa real, voc deve conhecer
detalhadamente as configuraes, os GPOs e o gerenciamento da Diretiva de
Grupo.
Objetivos
Compreender as diferenas entre diretivas, preferncias e configuraes
gerenciadas e no gerenciadas.
Criar o armazenamento central para modelos administrativos.
Documentar as configuraes de diretiva e GPO usando comentrios.
Pesquisar configuraes especficas de diretiva em um GPO.

Criar um GPO com base em um GPO de Incio.
Fazer backup de um GPO.
Criar um GPO com configuraes de um backup de GPO.
Diretivas de Registro no n Modelos Administrativos
Pontos principais
No n Modelos Administrativos, voc encontrar milhares de configuraes que
permitem que voc controle muitos aspectos do Windows.
A seguir, voc pode ver a caixa de dilogo Propriedades da configurao de diretiva

Impedir acesso a ferramentas de edio do Registro:
Se esta configurao estiver habilitada e o usurio tentar iniciar um editor do

Registro, uma mensagem ser exibida explicando que uma configurao impede a
ao.
Observao: Para impedir que os usurios usem outras ferramentas administrativas, use
a configurao Executar Apenas Aplicativos do Windows Especificados, ou use
Diretivas de Restrio de Software, que esto alm do escopo deste curso.
As diretivas no n Modelos Administrativos fazem alteraes no Registro. As

configuraes no n Configurao do Computador modificam os valores do
Registro na chave HKEY_LOCAL_MACHINE (HKLM). As configuraes no n
Modelos Administrativos no n Configurao do Usurio modificam os valores do
Registro na chave HKEY_CURRENT_USER (HKCU).
No caso desta configurao de diretiva, o seguinte valor do Registro modificado:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\Disable
RegeditMode
Se voc optar por restringir a execuo silenciosa do Regedit, defina esse valor
como 2. Se voc optar por restringir somente a ferramenta da IU do Editor do
Registro, defina como 1.
Configuraes gerenciadas, configuraes no gerenciadas

e preferncias
Pontos principais
H uma pequena diferena nas configuraes de diretiva do Registro definidas pelo
n Modelos Administrativos que deve ser compreendida: a diferena entre
configuraes de diretiva gerenciadas e no gerenciadas.
Uma configurao de diretiva gerenciada possui as seguintes caractersticas:
A interface do usurio est bloqueada para que um usurio no possa
alterar a configurao. As configuraes de diretiva gerenciadas resultam na
desabilitao da IU apropriada. Por exemplo, se voc definir a configurao de
diretiva Tempo Limite de Proteo de Tela, um usurio no poder alterar o
atraso de tempo limite na interface do usurio.
As alteraes so feitas em uma das quatro chaves no Registro reservadas
para configuraes de diretiva gerenciadas:
HKLM\Software\Policies (configuraes do computador)
HKCU\Software\Policies (configuraes do usurio)
HKLM\Software\Microsoft\Windows\Current Version\Policies
(configuraes do computador)
HKCU\Software\Microsoft\Windows\Current Version\Policies
(configuraes do usurio)
Estas chaves so protegidas de forma que somente os administradores possam
fazer uma alterao. Junto com o bloqueio de IU, isso significa que usurios
no administrativos recebero a alterao especificada pela configurao de
diretiva e no podero modificar a configurao em seu computador.
As alteraes feitas por uma configurao de Diretiva de Grupo, e o
bloqueio de IU, so "liberados" se o usurio ou computador estiver fora do
escopo do GPO. Por exemplo, se voc excluir um GPO, as configuraes de
diretiva gerenciadas que tenham sido aplicadas a um usurio sero liberadas.
Isso significa que, geralmente, a configurao retorna ao seu estado anterior.
Alm disso, a interface do usurio da configurao habilitada.
As configuraes de diretiva do Registro que tm sido abordadas at o momento e

podem ser encontradas nas prticas deste captulo so exemplos de configuraes
de diretiva gerenciadas. Uma configurao de diretiva gerenciada afeta uma
alterao de configurao de alguma forma quando a configurao aplicada por
um GPO. Quando o usurio ou computador no est mais no escopo do GPO, a
configurao liberada automaticamente.
Por exemplo, se um GPO impedir o acesso s ferramentas de edio do Registro e
depois o GPO for excludo, desabilitado, ou tiver um escopo que no se aplique
mais aos usurios, esses usurios tero novamente acesso s ferramentas de edio
do Registro na prxima atualizao de diretiva, que o comportamento padro do
Windows, a menos que voc tenha implementado uma restrio em qualquer
outro nvel.
Em contraste, uma configurao de diretiva no gerenciada faz uma alterao
persistente no Registro. Se o GPO no se aplicar mais, a configurao permanece.
Isso geralmente chamado de "tatuagem" do Registro, ou seja, uma alterao
permanente. Para reverter o efeito da configurao de diretiva, voc deve implantar
uma alterao que reverta a configurao para o estado desejado. Alm disso, uma
configurao de diretiva no gerenciada no bloqueia a IU para essa configurao.
Por padro, o GPME oculta configuraes de diretiva no gerenciadas para que
voc pense bem antes de implementar uma configurao difcil de reverter.
Entretanto, voc pode fazer muitas alteraes teis com configuraes de diretiva
no gerenciadas, particularmente em modelos administrativos personalizados para
gerenciar a configurao de aplicativos.
Para controlar a exibio das configuraes de diretiva, clique com o boto direito
do mouse em Modelos Administrativos e clique em Opes de filtragem e faa uma
seleo da lista suspensa Gerenciadas.
Posteriormente neste mdulo, voc ir trabalhar com preferncias de Diretiva de
Grupo. Quando uma alterao feita por uma preferncia, a alterao tatua o
sistema. Entretanto, algumas preferncias incluem uma opo para remover a
preferncia quando ela no se aplicar mais ao usurio ou computador. Isso no o
mesmo que uma configurao de diretiva gerenciada, que liberada e geralmente
retornada ao seu valor original. Em vez disso, quando uma preferncia removida,
a configurao excluda totalmente.
Modelos Administrativos
Pontos principais
Por que os ns Modelos Administrativos so chamados Modelos Administrativos?
Porque as configuraes que os ns contm so derivadas de arquivos chamados
modelos administrativos.
Um modelo administrativo um arquivo de texto que especifica a alterao no

Registro a ser feita e que gera a interface do usurio para definir as configuraes
de diretiva dos Modelos Administrativos no GPME. A captura de tela aqui mostra a
caixa de dilogo de propriedades da configurao de diretiva Impedir acesso a
ferramentas de edio do Registro:
O fato de que a configurao existe, e de que ela fornece uma lista suspensa com a
qual desabilitar a execuo silenciosa de Regedit.exe, determinado em um
modelo administrativo. A configurao do Registro feita com base na forma como
voc configura a diretiva tambm definida no modelo administrativo.
Alguns fornecedores de software oferecem modelos administrativos como um
mecanismo para gerenciar a configurao do seu aplicativo centralmente. Por
exemplo, voc pode obter modelos administrativos para todas as verses recentes
do Microsoft Office da Central de Downloads da Microsoft. Voc tambm pode
criar seus prprios modelos administrativos personalizados. Um tutorial sobre a
criao de modelos administrativos personalizados est alm do escopo deste
curso.
Arquivos .ADM
Em verses do Windows anteriores ao Windows Vista, um modelo administrativo
tinha uma extenso .ADM. Os arquivos .ADM possuem vrias desvantagens.
Primeiro, toda a localizao deve ser realizada no arquivo .ADM. Ou seja, se voc
desejar criar um arquivo .ADM para ajudar a implantar a configurao em uma
organizao multilngue, voc precisar de arquivos .ADM separados para cada
idioma para fornecer uma interface de usurio para administradores que falem esse
idioma. Se, mais tarde, voc decidir fazer uma modificao relacionada s
configuraes do Registro gerenciadas pelos modelos, voc ter que fazer a
alterao em cada arquivo .ADM.
O segundo problema com os arquivos .ADM a maneira como eles so
armazenados. Um arquivo .ADM armazenado como parte do GPT no SYSVOL.
Se um arquivo .ADM for usado em vrios GPOs, ele ser armazenado vrias vezes,
contribuindo para o "inchao" do SYSVOL. Houve tambm desafios para manter o
controle de verso em arquivos .ADM.
Para adicionar modelos administrativos clssicos no GPME, clique com o boto
direito do mouse no n Modelos Administrativos e clique em Adicionar/Remover
Modelos.
Arquivos .ADMX/.ADML
No Windows Vista e no Windows Server 2008, um modelo administrativo um
par de arquivos XML, um como uma extenso .ADMX que especifica as alteraes
a serem feitas no Registro, e o outro com uma extenso .ADML que fornece uma
interface de usurio especfica do idioma no GPME. Quando for preciso fazer
alteraes nas configuraes gerenciadas pelo modelo administrativo, elas podero
ser feitas somente no arquivo .ADMX. Qualquer administrador que modifique um
GPO que use o modelo acessa o mesmo arquivo .ADMX e chama o arquivo .ADML
apropriado para preencher a interface do usurio.
Para adicionar os modelos administrativos .ADMX/.ADML ao GPME, copie o
arquivo .ADMX para a pasta %SystemRoot%\PolicyDefinitions no cliente ou no
armazenamento central. Copie o arquivo .ADML para a subpasta especfica de
idioma e da regio, como pt-br, de %SystemRoot%\PolicyDefinitions no cliente ou
no armazenamento central. O armazenamento central ser abordado no prximo
tpico.
No preciso optar por um deles
Os modelos administrativos .ADM e .ADMX/.ADML podem coexistir. As
configuraes geradas por arquivos .ADM aparecero no n Modelos
Administrativos em um n chamado ADM (Modelos Administrativos Clssicos).
Migrar .ADM para .ADMX

O ADMX Migrator permite que voc converta arquivos ADM para o formato
ADMX. Para obter mais informaes, consulte:
ADMX Migrator (em ingls)
http://www.microsoft.com/downloads/details.aspx?familyid=0F1EEC3D-
10C4-4B5F-9625-97C2F731090C&displaylang=en
Download do ADMX Migrator - Blog (em ingls)
http://blogs.technet.com/keithcombs/archive/2007/03/21/admx-migrator-
download.aspx
O Armazenamento Central
Pontos principais
Como foi mencionado anteriormente, os arquivos .ADM so armazenados como
parte do prprio GPO, no GPT. Quando voc edita um GPO que use modelos
administrativos no formato .ADM, o GPME carrega o .ADM do GPT para produzir
a interface do usurio. Quando os arquivos .ADMX/.ADML so usados como
modelos administrativos, o GPO contm somente os dados que o cliente precisa
para processar a Diretiva de Grupo e, quando voc edita o GPO, o GPME obtm os
arquivos .ADMX e .ADML da estao de trabalho local.
Isso funciona bem para organizaes pequenas, mas para ambientes complexos
que incluam modelos administrativos personalizados ou requeiram um controle
mais centralizado, o Windows Server 2008 introduz o Armazenamento Central. O
Armazenamento Central uma pasta nica no SYSVOL que possui os arquivos
.ADMX e .ADML necessrios. Depois que voc configura o Armazenamento
Central, o GPME o reconhece e carrega todos os modelos administrativos do
Armazenamento Central em vez de da mquina local.
Para criar um armazenamento central:

1. Crie uma pasta chamada PolicyDefinitions no caminho
\\FQDN\SYSVOL\FQDN\Policies.
Por exemplo, o armazenamento central para o domnio contoso.com seria:
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions
Se voc fizer logon em um controlador de domnio, localmente ou usando a

rea de Trabalho Remota, o caminho local para a pasta PolicyDefinitions :
%SystemRoot%\SYSVOL\domnio\Policies\PolicyDefinitions
2. Copie todos os arquivos .ADMX da pasta %SystemRoot%\PolicyDefinitions de

um sistema Windows Server 2008 para a nova pasta PolicyDefinitions de
SYSVOL.
3. Copie os arquivos .ADML da subpasta especfica do idioma apropriada de
%SystemRoot%\PolicyDefinitions para a subpasta especfica do idioma da
nova pasta PolicyDefinitions de SYSVOL.
Por exemplo, os arquivos .ADML de Portugus (Brasil) esto localizados em
%SystemRoot%\PolicyDefinitions\pt-br. Copie-os para
\\FQDN\SYSVOL\FQDN\Policies\PolicyDefinitions\pt-br.
4. Se forem necessrios idiomas adicionais, copie a pasta que contm os arquivos
.ADML para o Armazenamento Central.
Depois que voc copiar todos os arquivos .ADMX e .ADML, a pasta

PolicyDefinitions no controlador de domnio deve conter os arquivos .ADMX e
uma ou mais pastas contendo arquivos .ADML especficos do idioma.
Observao: voc pode usar o Armazenamento Central em um ambiente misto, com

clientes e servidores executando sistemas operacionais anteriores ao Windows Vista e ao
Windows Server 2008. Entretanto, voc deve usar um sistema operacional Windows Vista,
Windows Server 2008 ou posterior para gerenciar a Diretiva de Grupo. Ou seja, a estao
de trabalho administrativa deve estar executando uma verso do Windows que funcione
com o Armazenamento Central. Os GPOs que voc criar podem ser aplicados a verses
anteriores do Windows.
Demonstrao: Uso de configuraes e GPOs
Pontos principais
Filtrar configuraes de diretiva de modelo administrativo
Uma vulnerabilidade das ferramentas de edio da Diretiva de Grupo em verses
anteriores do Windows a incapacidade de pesquisar uma configurao de
diretiva especfica. Com milhares de diretivas dentre as quais escolher, pode ser
difcil localizar exatamente a configurao que voc deseja definir. O novo GPME
no Windows Server 2008 resolve esse problema para as configuraes do Modelo
Administrativo: voc agora pode criar filtros para localizar configuraes de
diretivas especficas.
Para criar um filtro:

1. Clique com o boto direito do mouse em Modelos Administrativos e escolha
Opes de filtragem.
2. Para localizar uma diretiva especfica, selecione Habilitar Filtros de Palavra-
Chave, insira as palavras com as quais filtrar e selecione os campos nos quais
pesquisar. A captura de tela aqui mostra um exemplo de uma pesquisa por
configuraes de diretiva relacionadas proteo de tela:
Na seo superior da caixa de dilogo Opes de filtragem mostrada acima, voc

pode filtrar a exibio para mostrar somente configuraes de diretiva que estejam
definidas. Isso pode ajud-lo a localizar e modificar as configuraes que j estejam
especificadas no GPO.
Voc tambm pode filtrar por configuraes de Diretiva de Grupo que se apliquem
a verses especficas do Windows, Internet Explorer e outros componentes do
Windows.
Infelizmente, o filtro aplica-se somente s configuraes nos ns dos Modelos
Administrativos.
Comentrios
Voc tambm pode pesquisar e filtrar com base em comentrios de configurao
de diretiva. O Windows Server 2008 permite que voc adicione comentrios a
configuraes de diretiva no n Modelos Administrativos. Para fazer isso, clique
duas vezes em uma configurao de diretiva e na guia Comentrio.
recomendvel adicionar comentrios a configuraes de diretiva definidas como
uma forma de documentar a justificativa para uma configurao e seu efeito
pretendido. Voc tambm deve adicionar comentrios ao prprio GPO. O
Windows Server 2008 permite que voc anexe comentrios em um GPO: No
GPME, clique com o boto direito do mouse no n raiz na rvore de console e
escolha Propriedades e clique na guia Comentrio.
GPOs de Incio
Outro recurso novo da Diretiva de Grupo no Windows Server 2008 so os GPOs
de incio. Um GPO de incio contm configuraes de Modelo Administrativo.
Voc pode criar um novo GPO com base em um GPO de incio. Nesse caso, o novo
GPO preenchido previamente com uma cpia das configuraes no GPO de
incio. Um GPO de incio nada mais que um modelo. Infelizmente, a Microsoft j
usa o termo modelo no contexto dos modelos administrativos, ento, foi preciso
encontrar outro nome. Ao criar um novo GPO, voc ainda pode optar por comear
com um GPO em branco ou pode selecionar um entre os GPOs de incio j
existentes ou um GPO de incio personalizado.
Depois que voc criar um GPO com base em um GPO de incio, no haver "link"
para o GPO de incio. As alteraes no GPO de incio no afetam os GPOs que
foram criados anteriormente a partir do GPO de incio.
Outras formas de copiar configuraes do GPO

Os GPOs de incio podem conter somente configuraes de diretiva de Modelos
Administrativos. H outras duas formas de copiar configuraes de um GPO para
outro GPO, novo.
Voc pode copiar e colar GPOs inteiros no continer de Objetos de Diretiva de
Grupo do GPMC para que tenha um novo GPO com todas as configuraes do
GPO de origem.
Para transferir as configuraes entre GPOs em diferentes domnios ou
florestas, clique com o boto direito do mouse em um GPO e escolha Backup.
No domnio de destino, crie um novo GPO, clique nele com o boto direito do
mouse e escolha Importar configuraes. Voc poder importar as
configuraes do GPO do qual foi feito backup.
Usar Opes de filtragem para localizar diretivas em Modelos Administrativos
2. Execute Gerenciamento de Diretiva de Grupo com credenciais
3. Na rvore de console, expanda Floresta: contoso.com, Domnios e
contoso.com e clique no continer Objetos de Diretiva de Grupo.
4. No painel de detalhes, clique com o boto direito do mouse no GPO Padres
CONTOSO e clique em Editar.
O GPME ser exibido.
5. Na rvore de console, expanda Configurao do Usurio e Diretivas e clique
em Modelos Administrativos.
6. Clique com o boto direito do mouse em Modelos Administrativos e em
Opes de filtragem.
7. Marque a caixa de seleo Habilitar Filtros de Palavra-Chave.
8. Na caixa de texto Filtro para palavra(s), digite proteo de tela.
9. Na lista suspensa ao lado da caixa de texto, selecione Exato e clique em OK.
As configuraes de diretiva de Modelos Administrativos so filtradas para
mostrar apenas as que contm o termo proteo de tela.
10. Dedique algum tempo para analisar as configuraes que voc encontrou.
11. Na rvore de console, clique com o boto direito do mouse em Modelos
Administrativos em Configurao do Usurio e clique em Opes de
filtragem.
12. Desmarque a caixa de seleo Habilitar Filtros de Palavra-Chave.
13. Na lista suspensa Configurado, selecione Sim e clique em OK.
As configuraes de diretiva de Modelo Administrativo so filtradas para
mostrar apenas as que foram configuradas (habilitadas ou desabilitadas).
14. Dedique algum tempo para analisar essas configuraes.
15. Na rvore de console, clique com o boto direito do mouse em Modelos
Administrativos em Configurao do Usurio e desmarque a opo Filtro
Ativado.
Adicionar comentrios a uma configurao de diretiva

1. Na rvore de console, expanda Configurao do Usurio, Diretivas, Modelos
Administrativos e Painel de Controle e clique em Exibio.
2. Clique duas vezes na configurao de diretiva Proteo de Tela.
3. Clique na guia Comentrio.
4. Digite Diretiva de Segurana de TI Corporativa implementada com esta
diretiva em combinao com Proteger com Senha a Proteo de Tela e
clique em OK.
5. Clique duas vezes na configurao de diretiva Proteger com senha a proteo
de tela.
7. Digite Diretiva de Segurana de TI Corporativa implementada com esta
diretiva em combinao com Tempo Limite da Proteo de Tela e clique em
OK.
Adicionar comentrios a um GPO

1. Na rvore de console do GPMC, clique com o boto direito do mouse no n
raiz, Padres CONTOSO, e clique em Propriedades.
3. Digite Diretivas corporativas padro Contoso. O escopo destas
configuraes inclui todos os usurios e computadores no domnio. Pessoa
responsvel por este GPO: seu nome.
Este comentrio aparece na guia Detalhes do GPO no GPMC.
4. Clique em OK.
Criar um novo GPO com base em um GPO de incio

1. Na rvore de console do GPMC, clique no continer GPOs de Incio.
2. No painel de detalhes, clique no boto Criar a Pasta GPOs de Incio.
3. Na rvore de console, clique com o boto direito do mouse no continer GPOs
de Incio e clique em Novo.
4. Em Nome: digite GPO de Incio CONTOSO e clique em OK.
5. No painel de detalhes, clique com o boto direito do mouse em GPO de Incio
CONTOSO e clique em Editar.
O GPME ser exibido. Analise e edite as configuraes conforme desejar.
6. Feche o GPME.
7. No painel de detalhes, clique com o boto direito do mouse em GPO de Incio
CONTOSO e clique em Novo GPO do GPO de Incio.
8. Em Nome: digite rea de Trabalho CONTOSO e clique em OK.
Criar um novo GPO copiando um GPO existente

Grupo, clique com o boto direito do mouse no GPO rea de Trabalho
CONTOSO e clique em Copiar.
2. Clique com o boto direito do mouse no continer Objetos de Diretiva de
Grupo, clique em Colar e em OK.
3. Clique em OK.
Criar um novo GPO importando configuraes que foram exportadas de outro GPO
Grupo, clique com o boto direito do mouse no GPO rea de Trabalho
CONTOSO e clique em Backup.
2. Em Local: digite D:\Labfiles\Lab06b e clique em Backup.
3. Quando o backup terminar, clique em OK.
continer Objetos de Diretiva de Grupo e clique em Novo.
5. Em Nome: digite Importao CONTOSO e clique em OK.
6. Na rvore de console do GPMC, clique com o boto direito do mouse no GPO
Importao CONTOSO e clique em Importar configuraes.
O Assistente para Importar Configuraes ser exibido.
7. Clique em Prximo trs vezes.
8. Selecione o GPO rea de Trabalho CONTOSO e clique em Prximo duas
vezes.
9. Clique em Concluir e em OK.
Gerenciamento de GPOs e suas configuraes
Pontos principais
Quando voc clica com o boto direito do mouse em um GPO no GPMC, exibido
um menu de comandos de gerenciamento teis:
Copiar. Voc pode copiar um GPO e depois clicar com o boto direito do
mouse no continer Objetos de Diretiva de Grupo e escolher Colar para criar
uma cpia do GPO. Isso til quando voc deseja criar um novo GPO no
mesmo domnio e iniciar com as mesmas configuraes de um GPO existente.
Esse processo tambm til para copiar um GPO para outro domnio, por
exemplo, entre um domnio de teste e um domnio de produo. Para copiar
um GPO entre domnios, adicione o domnio confivel de destino no GPMC.
Voc deve ter permisso para criar GPOs no domnio de destino. Ao colar um
GPO, voc tem a opo de copiar a ACL do GPO original, o que preserva a
filtragem de segurana, ou de usar a ACL padro para novos GPOs no domnio
de destino.
Backup. Assim como quaisquer dados crticos, importante fazer backup dos
GPOs. Como um GPO consiste em vrios arquivos, objetos, permisses e
links, o gerenciamento do backup e a restaurao dos GPOs pode ser bastante
difcil. Por sorte, o comando de backup coloca todas essas partes em um nico
lugar e facilita bastante o trabalho de restaurao.
Restaurar Usando Backup. Restaure um GPO inteiro, incluindo seus
arquivos, objetos, permisses e links no mesmo domnio no qual o GPO
existia originalmente.
Importar configuraes. Importe somente as configuraes de um GPO com
backup. Essa operao no importa permisses ou links, ela pode ser til para
transferir GPOs entre domnios no confiveis que no possam usar, copiar e
colar. Se um GPO incluir configuraes especficas de domnio, incluindo os
caminhos UNC ou nomes de grupos de segurana, voc ser perguntado se
deseja importar essas configuraes exatamente como foi feito seu backup, ou
usar uma tabela de migrao que mapeie a origem para os nomes de destino.
Salvar Relatrio. Use esta opo para salvar um relatrio HTML das
configuraes do GPO.
Excluir.
Renomear.
Leitura adicional
Operaes do GPO (em ingls):
Como fazer backup, restaurar, migrar e copiar GPOs (em ingls):
Laboratrio B: Gerenciamento de
configuraes e GPOs
Cenrio
Voc foi contratado recentemente como administrador de domnio da Contoso,
Ltd., para substituir o administrador anterior, que se aposentou. Voc no tem
certeza sobre quais configuraes de diretiva foram definidas. Por isso, voc decide
localizar e documentar os GPOs e as configuraes de diretiva. Voc tambm
descobre que a empresa no aproveitou a funcionalidade ou a capacidade de
gerenciamento dos modelos administrativos.
Exerccio 1: Usar a filtragem e os comentrios

Neste exerccio, voc usar os novos recursos de comentrios e filtragem da
Diretiva de Grupo para localizar e documentar as configuraes de diretiva.
2. Pesquisar e filtrar configuraes de diretiva.
3. Documentar GPOs e configuraes com comentrios.

Tarefa 2: Pesquisar e filtrar configuraes de diretiva

1. Na pasta Configurao do Usurio\Diretivas\Modelos Administrativos,
filtre a exibio para mostrar somente configuraes de diretiva que
contenham a frase proteo de tela. Dedique algum tempo para analisar essas
configuraes.
2. Filtre a exibio para mostrar somente configuraes de diretiva definidas.
Dedique algum tempo para analisar essas configuraes.
3. Desative o filtro de Modelos Administrativos.
Tarefa 3: Documentar GPOs e configuraes com comentrios

1. Edite o comentrio no GPO Padres CONTOSO e adicione o seguinte
comentrio no GPO: Diretivas corporativas padro Contoso. O escopo
destas configuraes inclui todos os usurios e computadores no domnio.
Pessoa responsvel por este GPO: seu nome.
Este comentrio aparece na guia Detalhes do GPO no GPMC.
2. Adicione o seguinte comentrio configurao de diretiva de proteo de tela:
Diretiva de Segurana de TI Corporativa implementada com esta diretiva
em combinao com Proteger com Senha a Proteo de Tela.
3. Adicione o seguinte comentrio configurao de diretiva Proteger com
Senha a Proteo de Tela: Diretiva de Segurana de TI Corporativa
implementada com esta diretiva em combinao com Tempo Limite da
Proteo de Tela.
Resultados: aps esse exerccio, voc ter adicionado comentrios nas configuraes
e no Objeto Diretiva de Grupo.
Exerccio 2: Gerenciar modelos administrativos

Os modelos administrativos fornecem as instrues com as quais o GPME cria
uma interface do usurio para definir as configuraes de diretiva de Modelos
Administrativos e especificar as alteraes do Registro que devem ser feitas com
base nessas configuraes de diretiva. Neste exerccio, voc ir analisar e gerenciar
modelos administrativos. Voc tambm criar um armazenamento central de
modelos administrativos para centralizar o gerenciamento de modelos.
1. Explorar a sintaxe de um Modelo Administrativo.
2. Gerenciar modelos administrativos clssicos (arquivos .ADM).
3. Gerenciar arquivos .ADMX e .ADML.
4. Criar o armazenamento central.
Tarefa 1: Explorar a sintaxe de um modelo administrativo

1. Em HQDC01, clique em Iniciar, em seguida, em Executar, digite
%SystemRoot%\PolicyDefinitions e pressione ENTER. A pasta
PolicyDefinitions aberta.
2. Abra a pasta pt-br ou a pasta da sua regio e idioma.
3. Clique duas vezes em ControlPanelDisplay.adml.
4. Escolha a opo Selecionar um programa em uma lista de programas
instalados e clique em OK.
5. Selecione Bloco de Notas e clique em OK.
6. Clique no menu Formatar e selecione Quebra de texto.
7. Procure o texto ScreenSaverIsSecure.
Esta uma definio de uma varivel de cadeia de caracteres chamada
ScreenSaverIsSecure.
8. Observe o texto entre as marcas <string> e </string>.
9. Observe o nome da varivel na seguinte linha, ScreenSaverIsSecure_Help, e o
texto entre as marcas <string> e </string>.
10. Feche o arquivo.
11. Navegue at a pasta PolicyDefinitions.
12. Clique duas vezes em ControlPanelDisplay.admx.

13. Escolha a opo Selecionar um programa em uma lista de programas
instalados e clique em OK.
14. Selecione Bloco de Notas e clique em OK.
15. Procure o texto ScreenSaverIsSecure.
16. Analise o cdigo no arquivo, tambm mostrado abaixo:
<policy name="ScreenSaverIsSecure" class="User"

displayName="$(string.ScreenSaverIsSecure)"
explainText="$(string.ScreenSaverIsSecure_Help)"
key="Software\Policies\Microsoft\Windows\Control Panel\Desktop"
valueName="ScreenSaverIsSecure">
<parentCategory ref="Display" />
<supportedOn ref="windows:SUPPORTED_Win2kSP1" />
<enabledValue>
<string>1</string>
</enabledValue>
<disabledValue>
<string>0</string>
</disabledValue>
</policy>
17. Identifique as partes do modelo que definem o seguinte:

O nome da configurao de diretiva que aparece no GPME
O texto explicativo da configurao de diretiva
A chave do Registro e o valor afetado pela configurao de diretiva
Os dados inseridos no Registro se a diretiva for habilitada
Os dados inseridos no Registro se a diretiva for desabilitada
18. Feche o arquivo e, em seguida, o Windows Explorer.
Tarefa 2: Gerenciar modelos administrativos clssicos (arquivos .ADM)

1. Abra o GPME e, na pasta Configurao do Usurio\Diretivas\Modelos
Administrativos, adicione o modelo office12.adm de
D:\Labfiles\Lab06b\Modelos Administrativos do Office 2007.
Modelos administrativos clssicos (arquivos .ADM) so fornecidos
principalmente para empresas que no gerenciam Diretiva de Grupo com o
Windows Vista ou o Windows Server 2008 ou sistemas operacionais
posteriores.
Voc deve usar um computador que execute a verso mais recente do
Windows para gerenciar a Diretiva de Grupo. Ao fazer isso, voc poder exibir
e modificar todas as configuraes de diretiva disponveis, incluindo as que se
aplicam a verses anteriores do Windows. Se voc tiver pelo menos um
computador executando o Windows Vista, Windows Server 2008, ou
posterior, dever usar esse computador para gerenciar a Diretiva de Grupo e
depois voc no precisar dos modelos administrativos clssicos (arquivos
.ADM) quando os arquivos .ADMX/.ADML estiverem disponveis.
Observe que o formato do modelo afeta somente o gerenciamento da Diretiva
de Grupo. As configuraes sero aplicadas s verses do Windows conforme
descrito na seo Com suporte ou Requisitos das propriedades de
configurao da diretiva.
2. Analise as configuraes expostas por este modelo administrativo.
3. Remova o modelo.
Tarefa 3: Gerenciar arquivos .ADMX e .ADML

Copie todos os arquivos .ADMX e a subpasta pt-br (ou a subpasta apropriada
do seu idioma e regio) de D:\Labfiles\Lab06b\Modelos Administrativos do
Office 2007 para %SystemRoot%\PolicyDefinitions. Ao colar os arquivos,
voc ser solicitado a fornecer as credenciais administrativas. Use o nome de
usurio Pat.Coleman_Admine a senha Pa$$w0rd.
Feche e reabra o GPME para Padres CONTOSO. Na rvore de console,
expanda Configurao do Usurio\Diretivas\Modelos Administrativos.
Observe a adio de pastas de configurao de diretiva do Microsoft Office
2007.
Tarefa 4: Criar o armazenamento central

1. No GPME, selecione o n Modelos Administrativos em Configurao do
Usurio\Diretivas, e observe o ttulo nos relatrios do painel de detalhes:
Definies de diretivas (arquivos ADMX) recuperadas pela mquina local.
2. Feche o GPME.
3. Copie todos os arquivos .ADMX de %systemroot%\PolicyDefinitions para
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions.
4. Copie todos os arquivos .ADML de %systemroot%\PolicyDefinitions\pt-br
(ou a pasta apropriada do seu idioma e regio) para
\\contoso.com\SYSVOL\contoso.com\Policies\PolicyDefinitions\pt-br
(ou a pasta apropriada do seu idioma e regio).
5. Edite o GPO Padres CONTOSO e, no GPME, selecione o n Modelos
Administrativos em Configurao do Usurio\Diretivas, e observe o ttulo
nos relatrios do painel de detalhes: Definies de diretivas (arquivos
ADMX) recuperadas do armazenamento central.
Resultados: aps esse exerccio, voc ter criado um armazenamento central de

modelos administrativos e adicionado os modelos do Microsoft Office 2007.

Pergunta: Descreva a relao entre os arquivos de modelo administrativo

(arquivos .ADMX e .ADML files) e o GPME.
Pergunta: Quando uma empresa obtm um armazenamento central? Que

benefcios ele fornece?
Pergunta: Quais so as vantagens de se gerenciar uma Diretiva de Grupo de um

cliente que execute a verso mais recente do Windows? As configuraes que voc
gerencia se aplicam a verses anteriores do Windows?
Lio 4
Gerenciamento do escopo de Diretiva de
Grupo
Um GPO , por si prprio, apenas um conjunto de instrues de configurao que

sero processadas pelas CSEs dos computadores. At que seja criado o escopo do
GPO, ele no se aplica a quaisquer usurios ou computadores. O escopo do GPO
determina quais CSEs dos computadores iro receber e processar o GPO e
somente os computadores ou usurios no escopo de um GPO aplicaro as
configuraes nesse GPO. Nesta lio, voc aprender a gerenciar o escopo de um
GPO. Vrios mecanismos so usados para criar um escopo para o GPO:
O link de GPO para um site, domnio ou UO e se esse link est habilitado
A opo Impor de um GPO
A opo Bloquear Herana de uma UO
Filtragem de grupo de segurana
Filtragem WMI
Habilitao ou desabilitao do n de diretiva

Direcionamento de preferncias
Processamento da diretiva loopback
Voc deve ser capaz de definir os usurios ou computadores nos quais a

configurao implantada e, portanto, deve dominar a arte do escopo de GPOs.
Nesta lio, voc aprender cada um dos mecanismos com os quais pode criar um
escopo de GPO e, no processo, dominar os conceitos de aplicao, herana e
precedncia de Diretiva de Grupo.
Objetivos
Gerenciar links de GPO.
Identificar a relao entre a estrutura da UO e a aplicao do GPO.
Avaliar a herana e a precedncia do GPO.
Compreender as opes de vnculo Bloquear Herana e Impor.
Aplicar filtragem de segurana para restringir o escopo de um GPO.
Aplicar um filtro WMI a um GPO.
Direcionar as preferncias da Diretiva de Grupo.
Identificar as prticas recomendadas para o escopo da Diretiva de Grupo.
Links de GPO
Pontos principais
Um GPO pode ser vinculado a um ou mais sites, domnios ou UOs do Active
Directory. Depois que uma diretiva for vinculada a um site, domnio ou UO, os
usurios ou computadores e usurios nesse continer estaro no escopo do GPO,
incluindo os computadores e usurios em UOs filho.
Como voc aprendeu na Lio 1, possvel vincular um GPO ao domnio ou a uma
UO.
Para vincular um GPO, clique com o boto direito do mouse no domnio ou na UO
na rvore de console do GPMC e clique em Vincular um GPO Existente. Se voc
ainda no tiver criado um GPO, clique em Criar um GPO Neste {Domnio | UO |
Site} e Fornecer um Link Para Ele Aqui.
Voc pode escolher os mesmos comandos para vincular um GPO a um site. No
entanto, por padro, os sites do Active Directory no esto visveis no GPMC.
Para mostrar sites no GPMC, clique com o boto direito do mouse em Sites na
rvore de console do GPMC e escolha Mostrar Sites.
Observao: GPOs vinculados a sites e posicionamento do controlador de domnio.

Um GPO vinculado a um site afeta todos os computadores do site independentemente
do domnio ao qual os computadores pertenam (contanto que todos os computadores
pertenam mesma floresta do Active Directory). Portanto, quando voc vincula um
GPO a um site, esse GPO pode ser aplicado em vrios domnios em uma floresta. Os
GPOs vinculados a sites so armazenados em controladores de domnio no domnio no
qual o GPO foi criado. Portanto, os controladores de domnio desse domnio devem ser
acessveis a GPOs vinculados a site para serem aplicados corretamente. Se voc
implementar diretivas vinculadas a sites, dever considerar a aplicao da diretiva ao
planejar a infraestrutura da rede. Coloque um controlador de domnio do domnio do
GPO no site ao qual a diretiva est vinculada ou certifique-se de que a conectividade
WAN fornece acessibilidade a um controlador no domnio do GPO.
Ao vincular um GPO a um site, domnio ou UO, voc define o escopo inicial do

GPO. Selecione um GPO e clique na guia Escopo para identificar os contineres
aos quais o GPO est vinculado. No painel detalhes do GPMC, os links de GPO so
exibidos na primeira seo da guia Escopo, como visto aqui:
Como resultado dos links de GPO, o Cliente de Diretiva de Grupo baixar o GPO
se os objetos do computador ou do usurio estiverem no escopo do link. O GPO
ser baixado somente se for novo ou atualizado. O Cliente de Diretiva de Grupo
armazena o GPO em cache para tornar mais eficiente a atualizao da diretiva.
Vincular um GPO a vrias UOs

Voc pode vincular um GPO a mais de um site ou UO. comum, por exemplo,
aplicar a configurao a computadores em vrias UOs. Voc pode definir a
configurao em um nico GPO e vincular esse GPO a cada UO. Se,
posteriormente, voc alterar as configuraes no GPO, suas alteraes sero
aplicadas a todas as UOs s quais o GPO est vinculado.
Excluir ou desabilitar um link de GPO
Depois que voc vincular um GPO, o link de GPO aparecer no GPMC abaixo do
site, domnio ou UO. O cone do link de GPO possui uma pequena seta de atalho.
Quando voc clica com o boto direito do mouse no link de GPO, um menu de
contexto exibido, como mostrado aqui:
Para excluir um link de GPO, clique com o boto direito no link na rvore de
console do GPMC e clique em Excluir.
A excluso de um link de GPO no exclui o prprio GPO, que permanece nesse
continer de GPO. A excluso do link altera o escopo do GPO para que ele no se
aplique mais aos computadores e usurios de um site, domnio ou UO ao qual ele
estava vinculado anteriormente.
Voc tambm pode modificar o link de um GPO desabilitando-o.
Para desabilitar um link de GPO, clique com o boto direito do mouse no link na
rvore de console do GPMC e desmarque a opo Link Habilitado.
Quando o link desabilitado, o escopo do GPO tambm alterado, e ele no se
aplica mais aos computadores e usurios desse continer. Entretanto, o link
permanece, podendo ser facilmente reabilitado.
Herana e precedncia do GPO
Pontos principais
Uma configurao de diretiva pode ser definida em mais de um GPO, e os GPOs
podem ficar conflitantes. Por exemplo, uma configurao de diretiva pode ser
habilitada em um GPO, desabilitada em outro, e no ser definida em um terceiro
GPO. Nesse caso, a precedncia dos GPOs determina qual configurao de diretiva
o cliente aplica. Um GPO com precedncia mais elevada prevalecer sobre um
GPO com precedncia inferior. A precedncia mostrada como um nmero no
GPMC. Quanto menor o nmero, ou seja, mais prximo de 1, maior a precedncia,
assim, um GPO com a precedncia 1 prevalecer sobre os outros. Selecione o
domnio ou a UO e clique na guia Herana da Diretiva de Grupo para exibir a
precedncia de cada GPO.
Quando uma configurao de diretiva est habilitada ou desabilitada em um GPO
com precedncia mais elevada, a configurao definida entra em vigor. Entretanto,
lembre-se de que as configuraes de diretiva esto definidas como No
Configurada por padro. Se uma configurao de diretiva no estiver definida em
um GPO com precedncia mais elevada, a configurao da diretiva (habilitada ou
desabilitada) em um GPO com precedncia inferior entrar em vigor.
Um site, domnio ou UO pode ter mais de um GPO vinculado. A ordem dos links
de GPOs determina a precedncia dos GPOs em tal cenrio. Os GPOs com ordem
de link superior tm precedncia sobre os GPOs com ordem de link inferior.
Quando voc seleciona uma UO no GPMC, a guia Objetos de Diretiva de Grupo
Vinculados mostra a ordem dos GPOs vinculados a essa UO.
O comportamento padro da Diretiva de Grupo que os GPOs vinculados a um
continer de nvel superior sejam herdados por contineres de nvel inferior.
Quando um computador iniciado ou um usurio faz logon, o Cliente de Diretiva
de Grupo examina o local do objeto de computador ou usurio no Active Directory
e avalia os GPOs com escopos que incluem o computador ou usurio. Em seguida,
as extenses do cliente aplicam configuraes de diretiva desses GPOs. As diretivas
so aplicadas em sequncia, comeando pelas diretivas vinculadas ao site, depois
pelas vinculadas ao domnio e, em seguida, pelas vinculadas a UOs: da de nvel
superior at a UO na qual o objeto de usurio ou computador est. Essa uma
aplicao em camadas de configuraes. Assim, um GPO que seja aplicado
posteriormente no processo, devido sua precedncia superior, substituir as
configuraes aplicadas anteriormente no processo. Essa ordem padro da
aplicao de GPOs ilustrada abaixo:
Esta aplicao sequencial de GPOs cria um efeito chamado herana de diretiva. As

diretivas so herdadas, assim o conjunto resultante de diretivas de grupo de um
usurio ou computador ser o efeito cumulativo de diretivas de site, domnio e UO.
Por padro, os GPOs herdados possuem uma precedncia inferior aos GPOs
vinculados diretamente ao continer. Por exemplo, voc poderia definir uma
configurao de diretiva para desabilitar o uso de ferramentas de edio do
Registro para todos os usurios no domnio definindo a configurao de diretiva
em um GPO vinculado ao domnio. Esse GPO, e sua configurao de diretiva, ser
herdado por todos os usurios no domnio. Entretanto, voc provavelmente deseja
que os administradores possam usar ferramentas de edio do Registro. Assim,
voc ir vincular um GPO UO que contm as contas de administradores e definir
a configurao de diretiva para permitir o uso de ferramentas de edio do
Registro. Como o GPO vinculado UO dos administradores tem precedncia
superior ao GPO herdado, os administradores podero usar as ferramentas de
edio do Registro. A figura abaixo mostra a Herana da Diretiva de Grupo:
Precedncia de vrios GPOs vinculados

Uma UO, domnio ou site pode ter mais de um GPO vinculado. No caso de vrios
GPOs, a ordem de link dos objetos determina sua precedncia. Na figura abaixo,
dois GPOs so vinculados UO People:
O objeto mais elevado na lista, com uma ordem de link 1, tem a precedncia mais
elevada. Portanto, as configuraes habilitadas ou desabilitadas no GPO
Configurao do Usurio Avanado tero precedncia sobre essas mesmas
configuraes no GPO Configurao do Usurio Padro.
Para alterar a precedncia de um link de GPO:
1. Selecione a UO, o site ou domnio na rvore de console do GPMC.
2. Clique na guia Objetos de Diretiva de Grupo Vinculados no painel de detalhes.
3. Selecione o GPO.
4. Use as setas Para Cima, Para Baixo, Mover para Cima e Mover para Baixo
para alterar a ordem do link de GPO selecionado.
Bloquear herana
Um domnio ou UO pode ser configurado para evitar a herana das configuraes
de diretiva.
Para bloquear a herana, clique com o boto direito do mouse no domnio ou na
UO na rvore de console do GPMC e escolha Bloquear Herana.
A opo Bloquear Herana uma propriedade de um domnio ou UO, assim, ela

bloqueia todas as configuraes de Diretiva de Grupo de GPOs vinculados a pais
na hierarquia da Diretiva de Grupo. Quando voc bloqueia a herana em uma UO,
por exemplo, a aplicao do GPO comea com quaisquer GPOs vinculados
diretamente a essa UO. GPOs vinculados a UOs de nvel superior, ao domnio ou
ao site no sero aplicados.
A opo Bloquear Herana deve ser usada com moderao, se for preciso usar. O
bloqueio de herana dificulta a avaliao da precedncia e da herana da Diretiva
de Grupo. Em um tpico posterior, voc aprender a criar escopo de um GPO para
que ele se aplique somente a um subconjunto de objetos ou para que ele no seja
aplicado a um determinado subconjunto de objetos. Com a filtragem do grupo de
segurana, voc pode criar com cautela um escopo para o GPO para que se aplique
somente aos usurios e computadores corretos em primeiro lugar, tornando
desnecessrio o uso da opo Bloquear Herana.
Impor um link de GPO

Alm disso, um link de GPO pode ser definido como Imposto.
Para impor um link de GPO, clique com o boto direito do mouse no link de GPO
na rvore de console e escolha Imposto do menu de contexto.
Quando um link de GPO definido como Imposto, o GPO assume o nvel mais
elevado de precedncia; as configuraes de diretiva nesse GPO prevalecero sobre
quaisquer configuraes de diretiva conflitantes em outros GPOs. Alm disso, um
link imposto ser aplicado aos contineres filho mesmo quando eles forem
definidos como Bloquear Herana. A opo Imposto faz com que a diretiva seja
aplicada em todos os objetos neste escopo. Essa opo far com que as diretivas
substituam quaisquer diretivas conflitantes e ser aplicada independentemente de
uma opo Bloquear Herana estar definida.
Na figura da pgina a seguir, Bloquear Herana foi aplicada na UO Business como
resultado, o GPO D, que aplicado no domnio, bloqueado e no se aplica
quando um usurio da UO Employees faz logon em um computador na UO
Clients. Entretanto, o GPO de Segurana, GPO S, vinculado ao domnio com a
opo Imposto, aplicado. Na verdade, ele aplicado por ltimo na ordem de
processamento, significando que suas configuraes substituiro as dos GPOs B, C
e E.
Quando voc configura um GPO que define a configurao determinada pelas suas
diretivas de uso e segurana da TI corporativa, voc quer se certificar de que essas
configuraes no sejam substitudas por outros GPOs. Voc pode fazer isso
impondo o link de GPO. Esta figura mostra este cenrio:
A configurao determinada por diretivas corporativas implantada no GPO

Segurana e Uso de TI Corporativa da CONTOSO, que imposto por um link com
o domnio Contoso.com. O cone do link de GPO possui um cadeado, o indicador
visual de um link imposto. Na UO People, a guia Herana da Diretiva de Grupo
mostra que o GPO tem precedncia at mesmo sobre os GPOs vinculados
prpria UO People.
Avaliar a precedncia
Para facilitar a avaliao da precedncia do GPO, voc pode simplesmente
selecionar uma UO (ou domnio) e clicar na guia Herana da Diretiva de Grupo.
Essa guia exibir a precedncia resultante de GPOs, a contabilidade do link de
GPO, a ordem do link, o bloqueio de herana e a imposio do link. Essa guia no
exibe as diretivas vinculadas a um site, nem a segurana do GPO ou a filtragem
WMI.
Dicas para o exame
Memorize a ordem padro de processamento da diretiva de domnio: site,
domnio, UO. As configuraes de diretiva de domnio tm precedncia sobre
as dos GPOs locais, pois so aplicadas depois.
Embora o uso frequente das opes Bloquear Herana e Imposto na
infraestrutura da Diretiva de Grupo no seja recomendvel, para concluir o
exame 70-640, voc deve compreender o efeito de ambas as opes.
Usar filtragem de segurana para modificar o escopo do

GPO
Pontos principais
At o momento, voc aprendeu que possvel vincular um GPO a um site, domnio
ou UO. Entretanto, talvez seja necessrio aplicar GPOs somente a determinados
grupos de usurios ou computadores, em vez de a todos os usurios ou computadores
no escopo do GPO. Embora voc no possa vincular diretamente um GPO a um
grupo de segurana, h uma maneira de aplicar GPOs a grupos de segurana
especficos. As diretivas em um GPO aplicam-se somente a usurios que possuam
as permisses Permitir Leitura e Permitir Aplicar Diretiva de Grupo no GPO.
Cada GPO possui uma ACL que define as permisses no GPO. Duas permisses,
Permitir Leitura e Permitir Aplicar Diretiva de Grupo, so necessrias para que um
GPO seja aplicado a um usurio ou computador. Se um computador estiver no
escopo de um GPO, por exemplo, atravs do seu vnculo com a UO do
computador, mas o computador no tiver as permisses Ler e Aplicar Diretiva de
Grupo, o GPO no ser baixado e aplicado. Portanto, ao definir as permisses
apropriadas para grupos de segurana, voc pode filtrar um GPO para que suas
configuraes apliquem-se somente aos computadores e usurios que voc
especificar.
Por padro, os Usurios Autenticados recebem a permisso Permitir Aplicar

Diretiva de Grupo em cada novo GPO. Isso significa que, por padro, todos os
usurios e computadores so afetados pelos GPOs definidos para seu domnio, site
ou UO, independentemente dos outros grupos dos quais faam parte. Portanto, h
duas formas de filtrar o escopo do GPO:
Remova a permisso Aplicar Diretiva de Grupo (atualmente definida como
Permitir) do grupo Usurios Autenticados, mas no defina essa permisso
como Negar. Em seguida, determine os grupos aos quais o GPO deve ser
aplicado e defina as permisses Ler e Aplicar Diretiva de Grupo desses grupos
como Permitir.
Determine os grupos aos quais o GPO no deve ser aplicado e defina a
permisso Aplicar Diretiva de Grupo desses grupos como Negar. Se voc negar
a permisso Aplicar Diretiva de Grupo a um GPO, o usurio ou computador
no aplicar as configuraes no GPO, mesmo que o usurio ou computador
seja um membro de outro grupo que tenha a permisso Aplicar Diretiva de
Grupo.
Filtrar um GPO para aplicar a grupos especficos

Para aplicar um GPO a um grupo de segurana especfico:
1. Selecione o GPO no continer Objetos de Diretiva de Grupo na rvore de
console.
2. Na seo Filtros de Segurana, selecione o grupo Usurios Autenticados e
clique em Remover.
Observao: use grupos de segurana globais para filtrar GPOs. Os GPOs s podem
ser filtrados com grupos de segurana globais, e no com grupos de segurana locais de
domnio.
3. Clique em OK para confirmar a alterao.

5. Selecione o grupo ao qual voc deseja que a diretiva se aplique e clique em
OK.
O resultado ter uma aparncia similar figura mostrada aqui: o grupo Usurios
Autenticados no listado, e o grupo especfico ao qual a diretiva deve se aplicar
listado.
Filtrar um GPO para excluir grupos especficos

Infelizmente, a guia Escopo de um GPO no permite que voc exclua grupos
especficos. Para excluir um grupo, ou seja, para negar a permisso Aplicar Diretiva
de Grupo, voc deve usar a guia Delegao.
Para negar a permisso Aplicar Diretiva de Grupo a um grupo:
1. Selecione o GPO no continer Objetos de Diretiva de Grupo na rvore de
console.
2. Clique na guia Delegao.
3. Clique no boto Avanadas.
A caixa de dilogo Configuraes de Segurana ser exibida.
5. Selecione o grupo que deseja excluir do GPO. Lembre-se, deve ser um grupo
global. O escopo do GPO no pode ser filtrado por grupos locais de domnio.
6. Clique em OK.
O grupo selecionado recebe a permisso Permitir Leitura por padro.
7. Desmarque a caixa de seleo Permisso Permitir Leitura.
8. Marque a caixa de seleo Negar Aplicar Diretiva de Grupo.
A figura aqui mostra um exemplo que nega ao grupo Suporte Tcnico a
permisso Aplicar Diretiva de Grupo e, portanto, exclui o grupo do escopo do
GPO.
9. Clique em OK.
Voc avisado que as permisses negadas substituem outras permisses.
Como as permisses negadas substituem as permisses permitidas,
recomendvel que voc use as permisses negadas com moderao. O
Microsoft Windows lembra desta prtica recomendada com uma mensagem
de aviso e atravs do processo bem mais complexo para excluir grupos com a
permisso Negar Aplicar Diretiva de Grupo do que para incluir grupos na
seo Filtros de Segurana da guia Escopo.
10. Confirme que deseja prosseguir.
Observao: Importante! As permisses negadas no so expostas na guia Escopo.

Infelizmente, quando voc exclui um grupo, a excluso no mostrada na seo Filtros
de Segurana da guia Escopo. Isso uma razo a mais para usar as permisses negadas
com moderao.
Filtros WMI
Pontos principais
A WMI (Instrumentao de Gerenciamento do Windows) uma tecnologia de
infraestrutura de gerenciamento que permite que os administradores monitorem e
controlem objetos gerenciados na rede. Uma consulta WMI capaz de filtrar
sistemas com base em caractersticas, incluindo RAM, velocidade do processador,
capacidade do disco, endereo IP, verso do sistema operacional e nvel do pacote
de servios, aplicativos instalados e propriedades da impressora. Como a WMI
expe quase todas as propriedades de cada objeto em um computador, a lista de
atributos que podem ser usados em uma consulta WMI virtualmente ilimitada.
As consultas WMI so criadas na WQL (Linguagem de Consulta WMI).
Voc pode usar uma consulta WMI para criar um filtro WMI, com o qual um GPO
pode ser filtrado. Os exemplos so uma boa forma de compreender a finalidade de
um filtro WMI, tanto para os exames de certificao, como para implementao na
vida real. A Diretiva de Grupo pode ser usada para implantar aplicativos de
software e pacotes de servios. Uma capacidade abordada no Mdulo 7. Voc pode
criar um GPO para implantar um aplicativo e usar um filtro WMI para especificar
que a diretiva deve ser aplicada somente em computadores com determinado
sistema operacional e pacote de servios; Windows XP SP3, por exemplo. A
consulta WMI para identificar tais sistemas :
Select * FROM Win32_OperatingSystem WHERE Caption="Microsoft

Windows XP Professional" AND CSDVersion="Service Pack 3"
Quando o Cliente de Diretiva de Grupo avalia os GPOs baixados para determinar

quais devem ser enviados para as CSEs para processamento, ele realiza a consulta
no sistema local. Se o sistema atender aos critrios da consulta, o resultado da
consulta ser um TRUE lgico e as CSEs processaro o GPO.
A WMI expe namespaces, dentro dos quais esto classes que podem ser
consultadas. Muitas classes teis, incluindo Win32_Operating System, so
encontradas em uma classe chamada root\CIMv2.
Para criar um filtro WMI:
1. Clique com o boto direito do mouse no n Filtros WMI na rvore de console
do GPMC e escolha Novo.
Digite um nome e uma descrio para o filtro e clique no boto Adicionar.
2. Na caixa Namespace, digite o namespace para a sua consulta.
3. Na caixa Consulta, insira a consulta.
4. Clique em OK.
Para filtrar um GPO com um filtro WMI:

1. Selecione o GPO ou o link de GPO na rvore de console.
2. Clique na guia Escopo.
3. Clique na lista suspensa WMI e selecione o filtro WMI.
Um GPO pode ser filtrado por somente um filtro WMI, mas esse filtro WMI pode
ser uma consulta complexa, com o uso de vrios critrios. Um nico filtro WMI
pode ser vinculado a um ou mais GPOs, e, portanto, usado para filtr-los. A guia
Geral de um filtro WMI, mostrada na figura aqui, exibe os GPOs que usam o filtro
WMI:
H trs dicas importantes sobre os filtros WMI. Primeiro, a sintaxe WQL das
consultas WMI pode ser difcil de entender. Voc pode frequentemente encontrar
exemplos na Internet quando pesquisar usando as palavras-chave filtro WMI e
consulta WMI junto com uma descrio da consulta que deseja criar.
Voc pode encontrar exemplos de filtros WMI em (em ingls)
Voc tambm pode fazer referncia ao SDK da WMI, localizado em (em ingls)
http://msdn2.microsoft.com/en-us/library/aa394582.aspx.
Segundo, os filtros WMI so caros em termos de desempenho de processamento

de Diretiva de Grupo. Como o Cliente de Diretiva de Grupo deve realizar a
consulta WMI em cada intervalo de processamento de diretiva, h um pequeno
impacto no desempenho do sistema a cada 90-120 minutos. Com o desempenho
dos computadores de hoje em dia, o impacto pode no ser percebido, mas voc
deve testar os efeitos de um filtro WMI antes de implant-lo amplamente no seu
ambiente de produo.
Observe que a consulta WMI s processada uma vez, mesmo se for usada para
filtrar o escopo de vrios GPOs.
Terceiro, os filtros WMI no so processados por computadores que executam o
Windows 2000. Se um GPO for filtrado com um filtro WMI, um sistema Windows
2000 ignora o filtro e processa o GPO como se os resultados do filtro fossem True.
Habilitao ou desabilitao de GPOs e ns de GPO
Pontos principais
Voc pode impedir que as configuraes nos ns Configurao do Computador ou
Configurao do Usurio sejam processadas durante a atualizao da diretiva
alterando o Status do GPO.
Para habilitar ou desabilitar os ns de um GPO, selecione o GPO ou link de GPO

na rvore de console e clique na guia Detalhes, mostrada na figura acima e escolha
uma das seguintes opes da lista suspensa Status do GPO:
Habilitadas. As configuraes do computador e do usurio sero processadas
pelas CSEs durante a atualizao da diretiva.
Todas as Configuraes Desabilitadas. As CSEs no processaro o GPO
durante a atualizao da diretiva.
Configuraes de Computador Desabilitadas. Durante a atualizao da
diretiva do computador, as configuraes do computador no GPO no sero
aplicadas.
Configuraes de Usurio Desabilitadas. Durante a atualizao da diretiva
do usurio, as configuraes do usurio no GPO no sero aplicadas.
Voc pode configurar o status do GPO para otimizar o processamento da diretiva.

Em um GPO que contenha somente configuraes do usurio, por exemplo, se a
opo Status do GPO for configurada como desabilitar as configuraes do
computador, isso impedir que o cliente da Diretiva de Grupo tente processar o
GPO durante a atualizao da diretiva do computador. Como o GPO no contm
configuraes do computador, no necessrio processar o GPO e voc pode
economizar alguns ciclos do processador.
Observao: use GPOs desabilitados para se preparar contra desastres. Voc pode
definir uma configurao que entre em vigor no caso de uma emergncia, um incidente
de segurana ou outros desastres em um GPO e vincular o GPO para incluir usurios e
computadores apropriados no seu escopo. Depois, desabilite o GPO. Caso voc precise
que a configurao seja implantada, simplesmente habilite o GPO.
Direcionar preferncias
Pontos principais
As preferncias, que so novas no Windows Server 2008, possuem um mecanismo
de escopo incorporado chamado direcionamento no nvel do item. Voc pode ter
vrios itens de preferncia em um nico GPO e cada item de preferncia pode ser
direcionado ou filtrado. Assim, por exemplo, voc pode ter um nico GPO com
uma preferncia que especifique opes de pasta para engenheiros e outro item
que especifique opes de pasta para vendedores. Voc pode direcionar os itens
usando um grupo de segurana ou UO. H vrios outros critrios que podem ser
usados, incluindo caractersticas de hardware e rede, data e hora, consultas LDAP e
mais.
Observao: as preferncias podem ser direcionadas em um GPO. A novidade das

preferncias que voc pode direcionar vrios itens de preferncias dentro de um nico
GPO em vez de requerer vrios GPOs. Com as diretivas tradicionais, voc
frequentemente precisa de vrios GPOs filtrados para grupos individuais para aplicar
variaes de configuraes.
Como os filtros WMI, o direcionamento no nvel do item de preferncias requer

que a CSE realize uma consulta para determinar se as configuraes sero
aplicadas em um item de preferncias. Voc deve estar ciente do impacto em
potencial no desempenho causado pelo direcionamento no nvel do item,
particularmente se voc usar opes como consultas LDAP, que requerem tempo
de processamento e uma resposta de um controlador de domnio para serem
processadas. medida que voc criar a infraestrutura da Diretiva de Grupo, avalie
os benefcios do gerenciamento da configurao do direcionamento no nvel do
item em relao ao impacto no desempenho descoberto durante os testes de
laboratrio.
Processamento de diretiva de loopback
Pontos principais
Por padro, as configuraes de um usurio vm dos GPOs com escopo no objeto
do usurio no Active Directory. Independentemente de qual computador o usurio
faa logon, o conjunto resultante de diretivas que determina o ambiente do usurio
ser o mesmo. Entretanto, h situaes nas quais voc talvez queira configurar um
usurio de forma diferente, independentemente do computador em uso. Por
exemplo, talvez seja necessrio bloquear e padronizar reas de trabalho quando os
usurios fizerem logon em computadores em ambientes gerenciados de perto
como salas de reunio, recepes, laboratrios, salas de aula e quiosques. Isso
tambm importante em cenrios de VDI (virtualizao de rea de trabalho),
incluindo mquinas virtuais remotas e Servios de rea de Trabalho Remota
(Servios de Terminal).
Imagine um cenrio no qual voc deseje impor uma aparncia corporativa padro
para a rea de trabalho do Windows em todos os computadores em salas de
reunio e outras reas pblicas do seu escritrio. Como voc gerenciaria essa
configurao centralmente, usando a Diretiva de Grupo? As configuraes de
diretiva que definem a aparncia da rea de trabalho esto localizadas no n
Configurao do Usurio de um GPO. Assim, por padro, as configuraes se
aplicam aos usurios, independentemente do computador em que eles fizerem
logon. O processamento de diretiva padro no uma forma de criar um escopo
para as configuraes do usurio serem aplicadas em computadores,
independentemente de qual usurio faa logon. Essa a funo do processamento
da diretiva loopback.
O processamento da diretiva loopback altera o algoritmo padro usado pelo cliente
de Diretiva de Grupo para obter a lista ordenada de GPOs que deve ser aplicada na
configurao de um usurio. Em vez da configurao do usurio ser determinada
pelo n Configurao do Usurio dos GPOs com escopo no objeto do usurio, a
configurao do usurio pode ser determinada pelas diretivas do n Configurao
do Usurio dos GPOs com escopo no objeto do computador.
O Modo de processamento de loopback de diretiva de grupo de usurios,

localizado na pasta Configurao do Computador\Diretivas\Modelos
Administrativos\Sistema\Diretiva de Grupo no GPME, pode ser, como todas as
configuraes de diretiva, definido como No Configurado, Habilitado ou
Desabilitado.
Quando habilitada, a diretiva pode especificar o modo Substituir ou Mesclar.

Substituir. Neste caso, a lista de GPOs do usurio (obtida na etapa 5 da
prxima seo Processamento da Diretiva de Grupo) totalmente
substituda pela lista de GPOs j obtida para o computador na sua inicializao
(durante a etapa 2). As configuraes nas diretivas de Configurao do
Usurio dos GPOs do computador so aplicadas no usurio. O modo de
substituio til em uma situao como uma sala de aula, onde os usurios
devem receber uma configurao padro em vez da aplicada aos usurios em
um ambiente menos gerenciado.
Mesclar. Neste caso, a lista de GPOs obtida para o computador na

inicializao (etapa 2 da seo Processamento de Diretiva de Grupo)
anexada lista de GPOs obtida para o usurio no logon (etapa 5). Como a lista
de GPOs obtida para o computador aplicada mais tarde, as configuraes em
GPOs na lista do computador tm precedncia caso entrem em conflito com as
configuraes na lista do usurio. Esse modo pode ser til na aplicao de
configuraes adicionais nas configuraes habituais dos usurios. Por
exemplo, voc pode permitir que um usurio receba sua configurao habitual
ao fazer logon em um computador em uma sala de reunio ou recepo, mas
substituir o papel de parede por um bitmap padro e desabilitar o uso de
determinados aplicativos ou dispositivos.
Observao: um fato no comprovado que quando voc combina o processamento

de loopback com a filtragem de grupo de segurana, a aplicao de configuraes do
usurio durante a atualizao de diretiva usa as credenciais do computador para
determinar quais GPOs sero aplicados como parte do processamento de loopback, mas
o usurio conectado tambm deve ter a permisso Aplicar Diretiva de Grupo para que o
GPO seja aplicado com xito.
Laboratrio C: Gerenciamento do escopo de

Diretiva de Grupo
Cenrio
Voc um administrador do domnio contoso.com. O GPO Padres CONTOSO,
vinculado ao domnio, define uma configurao de diretiva que requer um tempo
limite de proteo de tela de dez minutos. Um engenheiro relata que um aplicativo
crtico que realiza clculos longos trava quando a proteo de tela inicia, e o
engenheiro precisa impedir que a configurao seja aplicada para a equipe de
engenheiros que usa o aplicativo diariamente. Voc tambm foi solicitado a
configurar os computadores da sala de reunio para usar um tempo limite de 45
minutos, para que a proteo de tela no seja iniciada durante uma reunio.
Exerccio 1: Configurar o escopo do GPO com links

Neste exerccio, voc modificar o escopo dos GPOs usando links de GPO e
explorar herana, precedncia e os efeitos dos links Impostos e Bloquear Herana.
2. Criar um GPO com uma configurao de diretiva que tenha precedncia sobre
uma configurao conflitante.
3. Exibir o efeito de um link de GPO Imposto.
4. Aplicar Bloquear Herana.

Tarefa 2: Criar um GPO com uma configurao de diretiva que tenha

precedncia sobre uma configurao conflitante
2. Na UO User Accounts\Employees, crie uma sub-UO chamada Engineers e
escolha Usurios e Computadores do Active Directory.
3. Execute o Console de Gerenciamento de Diretiva de Grupo como
Pa$$w0rd.
4. Crie um novo GPO vinculado UO Engineers chamado Substituio de
Aplicativo de Engenharia.
5. Configure a diretiva de tempo limite da Proteo de tela como desabilitada e
feche o GPME.
6. Selecione a UO Engineers e clique na guia Herana da Diretiva de Grupo.

Observe que o GPO Substituio de Aplicativo de Engenharia tem
precedncia sobre o GPO Padres CONTOSO.
7. A diretiva de tempo limite da proteo de tela que voc acabou de configurar
no GPO Substituio de Aplicativo de Engenharia ser aplicada depois da
configurao no GPO Padres CONTOSO. Assim, a nova configurao
substituir a configurao padro e ser a "vencedora". O tempo limite da
proteo de tela ser desabilitado para usurios no escopo do GPO
Substituio de Aplicativo de Engenharia.
Tarefa 3: Exibir o efeito de um link de GPO Imposto

1. Na rvore de console do GPMC, selecione a UO Domain Controllers e clique
na guia Herana da Diretiva de Grupo.
2. Observe que o GPO chamado 10222A possui a precedncia mais elevada. As
configuraes nesse GPO substituiro as configuraes conflitantes em
qualquer um dos outros GPOs.
O GPO Controladores de Domnio Padro especifica, entre outras coisas, quais
grupos recebem o direito de fazer logon localmente em controladores de
domnio. Para aumentar a segurana dos controladores de domnio, os
usurios padro no recebem o direito de fazer logon localmente. Para
permitir que uma conta de usurio no privilegiada como Pat.Coleman faa
logon nos controladores de domnio neste curso, o GPO 10222A d aos
Usurios do Domnio o direito de fazer logon localmente em um computador.
O GPO 10222A vinculado ao domnio. Assim, suas configuraes
normalmente seriam substitudas pelas configuraes no GPO Controladores
de Domnio Padro. Por isso, o link de 10222A com o domnio configurado
como Imposto. Dessa forma, o conflito na atribuio de direitos de usurio
entre os dois GPOs "ganho" pelo GPO 10222A.
Tarefa 4: Aplicar Bloquear Herana

1. No console do GPMC, selecione a UO Engineers e examine a precedncia e a
herana dos GPOs na guia Herana da Diretiva de Grupo.
2. Bloqueie a herana dos GPOs para a UO Engineers.
Pergunta: Quais GPOs continuam sendo aplicados em usurios na UO Engineers?

Onde estes GPOs esto vinculados? Por que eles continuam sendo aplicados?
3. Desative Bloquear Herana da UO Engineers.
Resultados: aps esse exerccio, voc ter criado um GPO chamado Substituio de
Aplicativo de Engenharia e o ter vinculado UO Engineers. Voc tambm saber o
que herana, precedncia, e conhecer os efeitos de um link Imposto e de Bloquear
Herana.
Exerccio 2: Configurar o escopo do GPO com filtragem

Com o passar do tempo, voc descobre que somente alguns engenheiros precisam
da substituio de tempo limite de proteo de tela aplicada atualmente a todos os
usurios na UO Engineers. Alm disso, voc aprende que um pequeno nmero de
usurios deve ficar isento da diretiva de tempo limite de proteo de tela e outras
configuraes do GPO Padres CONTOSO. Voc decide usar a filtragem de
segurana para gerenciar o escopo dos GPOs.
Neste exerccio, voc modificar o escopo dos GPOs usando a filtragem.
1. Configurar a aplicao de diretiva com a filtragem de segurana.
2. Configurar uma iseno com filtragem de segurana.
Tarefa 1: Configurar a aplicao de diretiva com a filtragem de

segurana
2. Na UO Groups\Configuration, crie um grupo de segurana global chamado
Aplicar GPO Substituio de Aplicativo de Engenharia.
3. No console do GPMC, selecione o GPO Substituio de Aplicativo de
Engenharia. Observe que na seo Filtros de Segurana, o GPO aplicado
por padro em todos os usurios autenticados.
4. Configure o GPO para ser aplicado somente no grupo Aplicar GPO
Substituio de Aplicativo de Engenharia.
Tarefa 2: Configurar uma iseno com filtragem de segurana

2. Na UO Groups\Configuration, crie um grupo de segurana global chamado
Iseno GPO Padres CONTOSO.
3. No console do GPMC, selecione o GPO Padres CONTOSO. Observe que na
seo Filtros de Segurana, o GPO aplicado por padro em todos os
usurios autenticados.
4. Configure o GPO para negar a permisso Aplicar Diretiva de Grupo ao grupo
Iseno GPO Padres CONTOSO.
Resultados: aps esse exerccio, voc ter configurado o GPO Substituio de

Aplicativo de Engenharia para ser aplicado somente nos membros de Aplicar GPO
Substituio de Aplicativo de Engenharia. Voc tambm ter configurado um grupo
com a permisso Negar Aplicar Diretiva de Grupo, que substitui a permisso Permitir.
Se um usurio solicitar iseno das diretivas no GPO Padres CONTOSO, voc pode
simplesmente adicionar o computador ao grupo Iseno GPO Padres CONTOSO.
Exerccio 3: Configurar o processamento de loopback

Voc foi solicitado a configurar o tempo limite da proteo de tela em salas de
reunio para 45 minutos, para que uma proteo de tela no aparea no meio de
uma reunio.
Neste exerccio, voc configurar o processamento do GPO de loopback.
A principal tarefa deste exerccio :
Configurar o processamento do loopback.
Tarefa 1: Configurar o processamento do loopback

1. Crie um novo GPO chamado Diretivas de Sala de Reunio e vincule-o UO
Kiosks\Conference Rooms.
2. Confirme se o GPO Diretivas de Sala de Reunio possui escopo para
Usurios Autenticados.
3. Modifique a diretiva Tempo Limite da Proteo de Tela para iniciar a
proteo de tela depois de 45 minutos. Modifique a configurao da diretiva
modo de processamento de loopback da Diretiva de Grupo do Usurio para
usar o modo Mesclar.
Resultados: aps esse exerccio, voc ter criado um GPO Diretivas de Sala de Reunio
que aplica um tempo limite de proteo de tela de 45 minutos aos usurios quando
eles fazem logon em computadores na sala de reunio.

Pergunta: Muitas organizaes confiam plenamente na filtragem do grupo de

segurana para escopo de GPOs, em vez de vincular os GPOs a UOs especficas.
Nessas organizaes, os GPOs geralmente so vinculados em posies muito
elevadas da estrutura lgica do Active Directory: ao prprio domnio ou a uma UO
de primeiro nvel. Que vantagens so obtidas com o uso da filtragem de grupo de
segurana em vez de links de GPO para gerenciar o escopo do GPO?
Pergunta: Por que pode ser til criar um grupo de iseno (um grupo para o qual
a permisso Aplicar Diretiva de Grupo negada) para cada GPO criado?
Pergunta: Voc usa o processamento da diretiva loopback na sua organizao? Em

quais cenrios e para quais configuraes de diretiva o processamento da diretiva
loopback pode ser interessante?
Lio 5
Processamento de Diretiva de Grupo
Agora que aprendeu mais sobre os conceitos, componentes e o escopo da Diretiva

de Grupo, voc est pronto para analisar o processamento da Diretiva de Grupo
com mais detalhes.
Objetivos
Compreender, aprimorar e disparar manualmente a atualizao da diretiva.
Implementar o processamento da diretiva loopback.
Uma anlise detalhada do processamento da Diretiva de

Grupo
Pontos principais
Este tpico analisa detalhadamente o processamento da Diretiva de Grupo.
medida que voc for lendo, tenha em mente que a Diretiva de Grupo consiste na
aplicao das configuraes definidas pelos GPOs, que os GPOs so aplicados em
uma ordem (site, domnio e UO) e que os GPOs aplicados posteriormente
possuem precedncia mais elevada; suas configuraes, quando aplicadas,
substituem as configuraes aplicadas anteriormente. A sequncia a seguir detalha
o processo atravs do qual as configuraes em um GPO baseado em domnio so
aplicadas para afetar um computador ou usurio:
1. O computador e a rede so iniciados. O RPCSS (Servio de Sistema de
Chamadas de Procedimento Remoto) e o MUP (Provedor Mltiplo de
Conveno de Nomenclatura Universal) so iniciados. O Cliente de Diretiva
de Grupo iniciado.
2. O Cliente de Diretiva de Grupo obtm uma lista ordenada de GPOs com

escopo no computador.
A ordem da lista determina a ordem do processamento do GPO que , por
padro, local, site, domnio e UO:
GPOs locais. Cada computador que execute o Windows Server 2003,
Windows XP e o Windows 2000 possui exatamente um GPO armazenado
localmente. O Windows Vista e o Windows Server 2008 possuem vrios
GPOs locais. A precedncia dos GPOs locais abordada na seo GPOs
locais na Lio 2.
GPOs do site. Quaisquer GPOs que tenham sido vinculados ao site so
adicionados lista ordenada em seguida. Quando vrios GPOs so
vinculados a um site (ou domnio ou UO), a ordem do link, configurada
na guia Escopo, determina a ordem na qual eles so adicionados lista. O
GPO mais elevado na lista, com o nmero mais prximo a 1, possui a
precedncia mais elevada, e adicionado lista por ltimo. Ele ser,
portanto, aplicado por ltimo, e suas configuraes substituiro as dos
GPOs aplicados anteriormente.
GPOs de domnio. Vrios GPOs vinculados a domnio so adicionados
como especificado pela ordem do link.
Observao: as diretivas vinculadas a domnio no so herdadas por domnios filho. As

diretivas de um domnio pai no so herdadas por um domnio filho. Cada domnio
mantm vnculos de diretiva diferentes. Entretanto, computadores em vrios domnios
podem estar no escopo de um GPO vinculado a um site.
GPOs de UO. Os GPOs vinculados UO mais elevada na hierarquia do

Active Directory so adicionados lista ordenada, seguidos pelos GPOs
vinculados UO filho, e assim por diante. Finalmente, os GPOs
vinculados UO que contm o computador so adicionados. Se vrias
diretivas de grupo forem vinculadas a uma UO, elas sero adicionadas na
ordem especificada pela ordem do vnculo.
Os GPOs impostos so adicionados no final da lista ordenada, para que
suas configuraes sejam aplicadas no final do processo e substituam,
assim, as configuraes dos GPOs em posio anterior na lista e no
processo. Por garantia, os GPOs impostos so adicionados na lista na
ordem inversa: UO, domnio e site. Isso relevante quando so aplicadas
diretivas de segurana corporativa em um GPO imposto vinculado a
domnio. Esse GPO estar no final da lista ordenada e ser aplicado por
ltimo. Assim, suas configuraes tero precedncia.
3. Os GPOs so processados de forma sncrona na ordem especificada na lista

ordenada. Isso significa que as configuraes nos GPOs locais so processadas
primeiro, seguidas por GPOs vinculados ao site, domnio e as UOs contendo o
usurio ou computador. Os GPOs vinculados UO da qual o computador ou
usurio um membro direto so processados por ltimo, seguidos pelos
GPOs impostos.
medida que cada GPO processado, o sistema determina se suas
configuraes devem ser aplicadas com base no status do GPO do n do
computador (habilitado ou desabilitado) e se o computador possui a
permisso Permitir Diretiva de Grupo. Se um filtro WMI for aplicado ao GPO e
se o computador estiver executando o Windows XP ou posterior, ele realiza a
consulta WQL especificada no filtro.
4. Se o GPO precisar ser aplicado ao sistema, as CSEs so acionadas para
processar as configuraes do GPO. As configuraes de diretiva nos GPOs
substituiro as diretivas de GPOs aplicados anteriormente das seguintes
maneiras:
Se uma configurao de diretiva for definida (como Habilitada ou
Desabilitada) em um GPO vinculado a um continer pai (UO, domnio ou
site) e a mesma configurao de diretiva for No Configurada nos GPOs
vinculados ao continer filho, o conjunto resultante de diretivas para
usurios e computadores no continer filho incluir a configurao da
diretiva pai. Se o continer filho for configurado com a opo Bloquear
Herana, a configurao pai no ser herdada a menos que o link de GPO
seja configurado com a opo Imposto.
Se uma configurao de diretiva for definida (como Habilitada ou
Desabilitada) em um continer pai, e a mesma configurao for definida
para um filho, a configurao do continer filho substitui a configurao
herdada do pai. Se o link de GPO pai for configurado com a opo
Imposto, a configurao pai ter precedncia.
Se uma configurao de diretiva de GPOs vinculados a contineres pai for
No Configurada e a configurao da UO filho tambm for No
Configurada, a configurao de diretiva resultante ser a configurao que
resulta do processamento dos GPOs locais. Se a configurao resultante
dos GPOs locais tambm for No Configurada, a configurao resultante
ser a configurao padro do Windows.
5. Quando o usurio faz logon, o processo repetido nas configuraes do

usurio. O cliente obtm uma lista ordenada de GPOs com escopo no usurio,
examina cada GPO de forma sncrona e envia os GPOs que devem ser
aplicados s CSEs apropriadas para processamento. Esta etapa modificada se
o Processamento de Diretiva de Grupo de Loopback do Usurio estiver
habilitado. O processamento da diretiva loopback abordado no prximo
tpico.
Observao: algumas configuraes de diretiva esto nos ns Configurao do

Computador e Configurao do Usurio. A maioria das configuraes de diretiva so
especficas do n Configurao do Usurio ou Configurao do Computador. Algumas
configuraes aparecem em ambos os ns. Na maioria das situaes, a configurao no
n Configurao do Computador substituir a configurao no n Configurao do
Usurio. No entanto, importante ler o texto explicativo que acompanha a configurao
da diretiva para compreender o efeito da configurao e sua aplicao.
6. A cada 90 - 120 minutos depois da inicializao do computador, ocorre a

atualizao da diretiva do computador, e o processo repetido nas
configuraes do computador.
7. A cada 90 - 120 minutos depois do logon do usurio, ocorre a atualizao da
diretiva do usurio, e o processo repetido nas configuraes do usurio.
Vnculos lentos e sistemas desconectados
Pontos principais
Uma das tarefas que podem ser automatizadas e gerenciadas com a Diretiva de
Grupo a instalao de software. No Mdulo 7, voc aprender sobre a GPSI
(Diretiva de Grupo de Instalao de Software), que fornecida pela CSE de
instalao de software. Voc pode configurar um GPO para instalar um ou mais
pacotes de software.
Imagine, entretanto, se um usurio precisar se conectar sua rede atravs de uma
conexo lenta. Voc no gostaria que pacotes de software grandes fossem
transferidos atravs de uma conexo lenta porque o desempenho seria
problemtico.
O Cliente de Diretiva de Grupo resolve este problema detectando a velocidade da
conexo com o domnio e determinando se a conexo deve ser considerada lenta.
Essa determinao ento usada por cada CSE para decidir se as configuraes
devem ser aplicadas. A extenso de software, por exemplo, configurada para
renunciar o processamento da diretiva para que o software no seja instalado se
uma conexo lenta for detectada. Por padro, uma conexo considerada lenta se
for de menos de 500 kilobits por segundo (kbps).
Se um usurio estiver trabalhando desconectado da rede, as configuraes

previamente aplicadas pela Diretiva de Grupo continuaro em vigor, assim, a
experincia do usurio idntica, estando ele na rede ou fora dela. H excees a
essa regra, especialmente que os scripts de inicializao, logon, logoff e
desligamento no sero executados se o usurio estiver desconectado.
Se um usurio remoto se conectar rede, o Cliente de Diretiva de Grupo
acionado e determina se uma janela de atualizao da Diretiva de Grupo est
ausente. Assim, ele realiza uma atualizao da Diretiva de Grupo para obter os
GPOs mais recentes do domnio. Mais uma vez, as CSEs determinam, com base em
suas configuraes de processamento de diretiva, se as configuraes nesses GPOs
so aplicadas. Isso no se aplica aos sistemas Windows XP ou Windows Server
2003, somente aos sistemas operacionais Windows Vista, Windows Server 2008 e
posteriores.
Leitura adicional
Como funciona a Diretiva de Grupo principal (em ingls):
Compreenso sobre quando as configuraes entram em

vigor
Pontos principais
Compreender as seguintes configuraes de GPO:
A replicao de GPO deve acontecer
Antes que um GPO possa entrar em vigor, o GPC (continer da Diretiva de Grupo)
no Active Directory deve ser replicado no controlador de domnio do qual o
Cliente de Diretiva de Grupo obtm a lista ordenada de GPOs. Alm disso, o GPT
(Modelo de Diretiva de Grupo) no SYSVOL deve replicar no mesmo controlador
de domnio.
As alteraes de grupo devem ser incorporadas
Finalmente, se voc tiver adicionado um novo grupo, ou alterado a participao de
um grupo usado para filtrar o GPO, essa alterao tambm deve ter sido replicada
e ela deve estar no token de segurana do computador e do usurio, o que requer
uma reinicializao (para que o computador atualize sua participao no grupo) ou
um logoff e logon (para que o usurio atualize sua participao no grupo).
A atualizao da Diretiva de Grupo do usurio ou computador deve ocorrer

Como voc sabe, a atualizao ocorre na inicializao (para configuraes do
computador) e no logon (para configuraes do usurio) e a cada 90 - 120
minutos seguintes, por padro.
Observao: uma mdia de 45-60 minutos. Tenha em mente que o impacto prtico
do intervalo de atualizao da Diretiva de Grupo que quando voc faz uma alterao
no seu ambiente, demora em mdia meia hora, ou 45 a 60 minutos antes que a alterao
comece a entrar em vigor.
Por padro, os clientes do Windows XP, Windows Vista e Windows 7 realizam

somente atualizaes em segundo plano na inicializao e no logon, significando
que um cliente deve ser inicializado e um usurio deve fazer logon sem receber as
diretivas mais recentes do domnio. altamente recomendvel que voc altere esse
comportamento padro para que as alteraes de diretiva sejam implementadas de
uma forma gerenciada, previsvel. Habilite a configurao de diretiva Sempre
Esperar Pela Rede ao Iniciar e Fazer Logon para todos os clientes do Windows. A
configurao est localizada em Configurao do Computador\Diretivas\Modelos
Administrativos\Sistema\Logon. Leia o texto explicativo da configurao da
diretiva. Observe que isso no afeta a inicializao ou o tempo de logon para os
computadores que no estejam conectados a uma rede. Se o computador detectar
que est desconectado, ele simplesmente segue adiante e no "espera" literalmente
por uma rede. O domnio contoso.com usado neste curso foi pr-configurado com
esta configurao adicional de Diretiva de Grupo.
As configuraes podem no entrar em vigor imediatamente
Embora a maioria das configuraes sejam aplicadas durante uma atualizao de
diretiva em segundo plano, algumas CSEs no aplicam a configurao at o
prximo evento de inicializao ou logon. Diretivas de script de inicializao e
logon recm adicionadas, por exemplo, no sero executadas antes do prximo
logon ou inicializao do computador. A instalao do software, abordada no
Mdulo 7, ocorrer na prxima inicializao se o software for designado nas
configuraes do computador. As alteraes nas diretivas de redirecionamento de
pasta no entraro em vigor at o prximo logon.
Atualizar manualmente a Diretiva de Grupo com GPUpdate

Quando voc estiver testando a Diretiva de Grupo ou tentando solucionar
problemas do processamento da Diretiva de Grupo, talvez voc tenha que iniciar
uma atualizao de Diretiva de Grupo manualmente para que no tenha que
aguardar a prxima atualizao em segundo plano. O comando GPUpdate pode
ser usado para iniciar uma atualizao de Diretiva de Grupo. Usado sozinho, o
GPUpdate inicia um processamento idntico a uma atualizao de Diretiva de
Grupo em segundo plano. As diretivas do computador e do usurio so
atualizadas. Use o parmetro /target:computer ou /target:user para limitar a
atualizao a configuraes do computador ou usurio, respectivamente. Durante a
atualizao em segundo plano, por padro, as configuraes so aplicadas somente
se o GPO tiver sido atualizado. A opo /force faz com que o sistema reaplique
todas as configuraes em todos os GPOs com escopo no usurio ou computador.
Algumas configuraes de diretiva requerem um logoff ou reinicializao antes de
entrar em vigor. As opes /logoff e /boot do comando GPUpdate causam um
logoff ou uma reinicializao, respectivamente, se forem aplicadas configuraes
que requeiram um desses processos.
Assim, o comando que causar uma atualizao total, a aplicao e (se necessrio)
reinicializao e o logon para aplicar as configuraes de diretiva atualizadas :
gpupdate /force /logoff /boot
No Windows 2000, o comando Secedit.exe era usado para atualizar a diretiva,

assim, voc pode encontrar uma meno ao comando Secedit.exe no exame.
A maioria das CSEs no reaplicam configuraes se o GPO no tiver sido
alterado
Lembre-se de que a maioria das CSEs aplicam configuraes em um GPO somente
se a verso do GPO tiver sido alterada. Isso significa que se um usurio puder
alterar uma configurao que tenha sido especificada originalmente pela Diretiva
de Grupo, a configurao no estar em conformidade com as configuraes
especificadas pelo GPO at que ele seja alterado. Por sorte, a maioria das
configuraes de diretiva no podem ser alteradas por um usurio no
privilegiado. Entretanto, se um usurio for administrador no seu computador, ou
se a configurao da diretiva afetar uma parte do Registro ou do sistema que o
usurio tenha permisses para alterar, isso pode ser um problema real.
Voc tem a opo de instruir cada CSE para reaplicar as configuraes dos GPOs
mesmo que eles no tenham sido alterados. O comportamento do processamento
de cada CSE pode ser definido nas configuraes de diretiva encontradas em
Configurao do Computador\Modelos Administrativos\Sistema\Diretiva de
Grupo.
Lio 6
Soluo de problemas de aplicao de diretiva
A aplicao da Diretiva de Grupo pode ser complexa de analisar e compreender,

com a interao de vrias configuraes em vrios GPOs com escopo criado atravs
de vrios mtodos. Voc deve estar equipado para avaliar de forma eficaz e
solucionar a implementao da Diretiva de Grupo, para identificar problemas em
potencial antes que eles surjam e para solucionar desafios no previstos. O
Microsoft Windows fornece duas ferramentas que so indispensveis para o
suporte Diretiva de Grupo: RSOP (Conjunto de diretivas resultante) e Logs
Operacionais da Diretiva de Grupo. Nesta lio, voc explorar o uso dessas
ferramentas em cenrios de suporte e solues de problemas proativas e reativas.
Objetivos
Analisar o conjunto de GPOs e configuraes de diretiva que foram aplicados
em um usurio ou computador.
Antever o impacto de alteraes da Diretiva de Grupo ou do Active Directory
na RSOP.
Grupo.
Conjunto de Diretivas Resultante
Pontos principais
Na Lio 4, voc aprendeu que um usurio ou computador pode estar no escopo
de vrios GPOs. Filtros, excees e herana de Diretiva de Grupo so complexos e
geralmente difcil determinar quais configuraes de diretiva sero aplicadas.
A RSoP o efeito lquido dos GPOs aplicados a um usurio ou computador,
levando em considerao os links de GPO, as excees como Imposto e Bloquear
Herana e a aplicao de filtros de segurana e WMI.
A RSoP tambm um conjunto de ferramentas que ajudam a avaliar, modelar e
solucionar problemas de aplicao de configuraes de Diretiva de Grupo. A RSoP
pode consultar um computador local ou remoto e reportar as configuraes exatas
que foram aplicadas no computador e em qualquer usurio que tenha feito logon
no computador. A RSoP tambm pode modelar as configuraes de diretiva
previstas para serem aplicadas a um usurio ou computador em uma srie de
cenrios, inclusive movendo o objeto entre UOs ou sites ou alterando a
participao em grupo do objeto. Com esses recursos, a RSoP pode ajud-lo a
gerenciar e solucionar problemas de diretivas conflitantes.
O Windows Server 2008 fornece as seguintes ferramentas para realizar uma anlise
de RSoP:
O Assistente de Resultados de Diretiva de Grupo
O Assistente para Modelagem de Diretiva de Grupo
GPResult.exe
Gerar relatrios de RSoP
Pontos principais
Para ajud-lo a analisar o efeito cumulativo dos GPOs e das configuraes de
diretiva em um usurio ou computador na sua organizao, o GPMC inclui o
Assistente de Resultados de Diretiva de Grupo. Se voc quiser entender exatamente
quais configuraes de diretiva foram aplicadas a um usurio ou computador, e
por que, o Assistente de Resultados de Diretiva de Grupo a ferramenta a ser
usada.
O Assistente de Resultados de Diretiva de Grupo capaz de alcanar o provedor
WMI em um computador local ou remoto que execute o Windows Vista, Windows
XP, Windows Server 2003 ou Windows Server 2008. O provedor WMI pode
reportar tudo que necessrio saber sobre a maneira como a Diretiva de Grupo foi
aplicada no sistema. Ele sabe quando o processamento ocorreu, quais GPOs foram
aplicados, quais no foram e por que, os erros que foram encontrados e as
configuraes de diretiva exatas que tiveram precedncia e o GPO de origem.
H vrios requisitos para executar o Assistente de Resultados de Diretiva de Grupo:

Voc deve ter credenciais administrativas no computador de destino.
O computador de destino deve estar executando o Windows XP ou posterior.
O Assistente de Resultados de Diretiva de Grupo no pode acessar os sistemas
Windows 2000.
Voc deve ser capaz de acessar o WMI no computador de destino. Isso
significa que ele deve estar ligado, conectado rede e possa ser acessado
atravs das portas 135 e 445.
Observao: habilitar a administrao remota de computadores cliente. Realizar

uma anlise de RSoP usando o Assistente de Resultados de Diretiva de Grupo apenas
um exemplo da administrao remota. Para realizar a administrao remota, talvez voc
tenha que configurar regras de entrada para o firewall usado pelos clientes e servidores.
O servio WMI deve ser iniciado no computador de destino.

Se voc desejar analisar a RSoP para um usurio, ele deve ter feito logon no
computador pelo menos uma vez. No necessrio que ele esteja conectado
atualmente.
Depois de ter se certificado de que os requisitos foram alcanados, voc est

pronto para executar uma anlise de RSoP.
Para executar um relatrio de RSoP, clique com o boto direito do mouse em
Resultados da Diretiva de Grupo na rvore de console do GPMC e clique no
Assistente de Resultados de Diretiva de Grupo.
O assistente solicita que voc selecione um computador. Ele ento conectado ao
provedor WMI nesse computador e fornece uma lista dos usurios que fizeram
logon no mesmo. Voc pode ento selecionar um dos usurios ou optar por
ignorar a anlise de RSoP para diretivas de configurao do usurio.
O assistente produz um relatrio de RSoP detalhado em um formato HTML
dinmico. Se a Configurao de Segurana Reforada do Internet Explorer estiver
definida, voc ser solicitado a permitir que o console exiba o contedo dinmico.
Voc pode expandir ou recolher cada seo do relatrio clicando no link Mostrar
ou Ocultar ou clicando duas vezes no ttulo da seo.
O relatrio exibido em trs guias:

Resumo. A guia Resumo exibe o status do processamento da Diretiva de
Grupo na ltima atualizao. Voc pode identificar as informaes que foram
coletadas sobre o sistema, os GPOs que foram aplicados e negados, a
participao em grupo que pode ter afetado os GPOs filtrados com grupos de
segurana, os filtros WMI que foram analisados e o status das CSEs.
Configuraes. A guia Configuraes exibe o conjunto resultante das
configuraes de diretiva aplicadas no computador ou usurio. Essa guia
mostra exatamente o que aconteceu com o usurio atravs dos efeitos da
implementao da Diretiva de Grupo. Vrias informaes podem ser obtidas
da guia Configuraes, mas alguns dados no so reportados, como
configuraes de IPSec, rede sem fio e diretiva de cota de disco.
Eventos de Diretiva. A guia Eventos de Diretiva exibe eventos de Diretiva de
Grupo dos logs de eventos do computador de destino.
Aps ter gerado um relatrio de RSoP com o Assistente de Resultados de Diretiva

de Grupo, voc pode clicar com o boto direito do mouse no relatrio para
executar a consulta novamente, imprimir o relatrio ou salvar o relatrio como um
arquivo XML ou um arquivo HTML que mantm as sees dinmicas expandidas
e recolhidas. Os dois tipos de arquivo podem ser abertos com o Internet Explorer,
assim, o relatrio de RSoP pode ser usado fora do GPMC.
Se voc clicar com o boto direito do mouse no n do prprio relatrio, na pasta
Resultados da Diretiva de Grupo na rvore de console, poder alternar para o
Modo de Exibio Avanado. No Modo de Exibio Avanado, o RSoP exibido
com o snap-in RSoP, que expe todas as configuraes aplicadas, incluindo IPSec,
rede sem fio e diretivas de cota de disco.
Gerao de relatrios de RSoP com GPResult.exe
O comando GPResult.exe a verso de linha de comando do Assistente de
Resultados de Diretiva de Grupo. O GPResult utiliza o mesmo provedor WMI que
o assistente, produz as mesmas informaes e, na verdade, permite que voc crie
os mesmos relatrios grficos. O GPResult executado no Windows Vista,
Windows XP, Windows Server 2003 e Windows Server 2008. O Windows 2000
inclui um comando GPResult.exe, que produz um relatrio limitado do
processamento da Diretiva de Grupo, mas que no to sofisticado quanto o
comando includo em verses posteriores do Windows.
Ao executar o comando GPResult, provvel que voc use as seguintes opes:
/s nome_do_computador
Esta opo especifica o nome ou endereo IP de um sistema remoto. Se voc

usar um ponto (.) como nome do computador, ou no incluir a opo /s, a
anlise RSoP ser realizada no computador local.
/scope [usurio | computador]
Isto exibe a anlise RSoP para configuraes de usurio ou computador. Se

voc omitir a opo /scope, a anlise RSoP incluir configuraes de usurio e
computador.
/user nome_do_usurio
Isto especifica o nome do usurio para o qual os dados RSoP sero exibidos.
/r
Esta opo exibe um resumo dos dados RSoP.
/v
Esta opo exibe dados RSoP detalhados, apresentando informaes mais

significativas.
/z
Esta opo exibe dados super detalhados, incluindo as informaes de todas

as configuraes de diretivas aplicadas no sistema. Geralmente, isso mais
informao do que o necessrio para solues de problemas tpicas da Diretiva
de Grupo.
/u domnio\usurio /p senha
Isto fornece credenciais que esto no grupo Administradores de um sistema

remoto. Sem essas credenciais, o GPResult executado usando as credenciais
com as quais voc est conectado.
[/x | /h] nome_do_arquivo
Esta opo salva os relatrios no formato XML ou HTML, respectivamente.

Essas opes esto disponveis no Windows Vista SP1 e posterior e no
Windows Server 2008 e posterior.
Solucionar problemas de Diretiva de Grupo com o Assistente de Resultados de

Diretiva de Grupo e o GPResult.exe
Como administrador, provvel que voc encontre cenrios que requeiram
solues de problemas de Diretiva de Grupo. Talvez voc tenha que diagnosticar e
resolver problemas, incluindo os seguintes itens:
Os GPOs no esto sendo aplicados.
O conjunto resultante de diretivas de um computador ou usurio no o
esperado.
O Assistente de Resultados de Diretiva de Grupo e o GPResult.exe geralmente do

uma boa ideia dos problemas de aplicao e processamento de Diretiva de Grupo.
Lembre-se de que essas ferramentas analisam o provedor WMI de RSoP para
reportar exatamente o que aconteceu em um sistema. A anlise do relatrio de
RSoP ir apontar os GPOs com escopo incorreto ou os erros de processamento de
diretiva que impediram a aplicao de configuraes do GPO.
Realizao de anlises what-if com o Assistente para

Modelagem de Diretiva de Grupo
Pontos principais
Se voc mover um computador ou usurio entre sites, domnios ou UOs, ou alterar
sua participao no grupo de segurana, os GPOs com escopo nesse usurio ou
computador sero alterados e, portanto, a RSoP do computador ou usurio ser
diferente. A RSoP tambm ser alterada se um processamento de loopback ou
conexo lenta ocorrer ou se houver uma alterao em uma caracterstica do
sistema que seja direcionada por um filtro WMI.
Antes de voc fazer qualquer uma destas alteraes, deve avaliar o impacto em
potencial na RSoP do usurio ou computador. O Assistente de Resultados de
Diretiva de Grupo pode realizar anlise RSoP somente no que realmente
aconteceu. Para prever o futuro e realizar anlises what-if, voc pode usar o
Assistente para Modelagem de Diretiva de Grupo.
Para realizar a Modelagem da Diretiva de Grupo, clique com o boto direito do
mouse no n Modelagem da Diretiva de Grupo na rvore de console do GPMC,
clique em Assistente de Modelagem da Diretiva de Grupo e siga as etapas no
assistente.
A modelagem realizada atravs de uma simulao em um controlador de

domnio. Assim, voc primeiro solicitado a escolher um controlador de domnio
que esteja executando o Windows Server 2003 ou posterior. Voc no precisa ter
feito logon localmente no controlador de domnio, mas a solicitao de modelagem
ser realizada no controlador de domnio. Voc ser solicitado, em seguida, a
especificar as configuraes da simulao:
Selecione um objeto de usurio ou computador para avaliar, ou especifique a
UO, o site ou domnio a ser avaliado.
Escolha se o processamento de conexo lenta deve ser simulado.
Especifique a simulao do processamento de loopback e, nesse caso, escolha
o modo Substituir ou Mesclar.
Selecione um site para ser simulado.
Selecione os grupos de segurana para o usurio e para o computador.
Escolha quais filtros WMI sero aplicados na simulao do processamento de
diretiva de usurio e computador.
Quando voc tiver especificado as configuraes da simulao, ser produzido um

relatrio muito similar ao relatrio Resultados da Diretiva de Grupo abordado
anteriormente. A guia Resumo mostra uma viso geral de quais GPOs sero
processados e a guia Configuraes detalha as configuraes de diretiva que sero
aplicadas no usurio ou computador. Este relatrio, tambm, pode ser salvo
clicando-se nele com o boto direito do mouse e escolhendo-se Salvar Relatrio.
Anlise de logs de evento de diretiva
Pontos principais
O Windows Vista e o Windows Server 2008 ampliam a sua capacidade de
solucionar problemas de Diretiva de Grupo, no somente com ferramentas RSoP,
mas tambm com o registro aprimorado de eventos de Diretiva de Grupo.
No log Sistema, voc encontrar informaes de nvel superior sobre a Diretiva
de Grupo, incluindo os erros criados pelo cliente da Diretiva de Grupo quando
no for possvel conectar a um controlador de domnio ou localizar GPOs.
O log do Aplicativo captura os eventos registrados por CSEs.
Um novo log, chamado de Log Operacional da Diretiva de Grupo, fornece
informaes detalhadas sobre o processamento da Diretiva de Grupo.
Para encontrar os logs de Diretiva de Grupo, abra o console ou snap-in Visualizar

Eventos. Os logs do Sistema e do Aplicativo esto no n Logs do Windows. O Log
Operacional da Diretiva de Grupo encontra-se em Logs de Aplicativos e
Servios\Microsoft\Windows\Diretiva de Grupo\Operacional.
Laboratrio D: Soluo de problemas de

aplicao de diretiva
Cenrio
Voc responsvel por administrar e solucionar problemas de infraestrutura de
Diretiva de Grupo na Contoso, Ltd. Voc deseja avaliar o conjunto de diretivas
resultante para usurios no seu ambiente para garantir que essa infraestrutura est
ntegra e que todas as diretivas so aplicadas como o esperado.
Exerccio 1: Realizar anlise RSoP

Neste exerccio, voc avaliar o conjunto resultante de diretivas usando o
Assistente de Resultados da Diretiva de Grupo e o comando GPResults.
2. Atualizar a Diretiva de Grupo.
3. Criar um relatrio de RSoP de resultados de Diretiva de Grupo.
4. Analisar RSoP com GPResults.

As mquinas virtuais j devem ter sido iniciadas e estar disponveis aps a
concluso dos Laboratrios A, B e C. Entretanto, caso no estejam, voc deve
completar as etapas abaixo e percorrer os exerccios nos Laboratrios A, B e C
antes de prosseguir.
3. Inicie 10222A-DESKTOP101-A.
4. Faa logon em DESKTOP101 como Pat.Coleman com a senha Pa$$w0rd.
Tarefa 2: Atualizar a Diretiva de Grupo

1. Execute o prompt de comando como administrador com o nome de usurio
2. Execute o comando gpupdate /force. Depois que o comando for concludo,
anote o horrio do sistema atual, que ser necessrio para uma tarefa posterior
neste laboratrio.
3. Reinicie DESKTOP101 e aguarde que seja reiniciada antes de prosseguir com a
prxima tarefa.
Tarefa 3: Criar um relatrio de RSoP de resultados de Diretiva de

Grupo
1. Em HQDC01, execute o Gerenciamento de Diretiva de Grupo como
Pa$$w0rd.
2. Use o Assistente de Resultados de Diretiva de Grupo para executar um
relatrio de RSoP para Pat.Coleman em DESKTOP101.
3. Analise os resultados do Resumo da Diretiva de Grupo. Para a configurao
do usurio e do computador, identifique a hora da ltima atualizao de
diretiva e a lista de GPOs permitidos e negados. Identifique os componentes
que foram usados para processar as configuraes de diretiva.
4. Clique na guia Configuraes. Analise as configuraes que foram usadas
durante a aplicao da diretiva de usurio e computador e identifique o GPO
do qual as configuraes foram obtidas.
5. Clique na guia Eventos da Diretiva e localize o evento que registra a
atualizao de diretiva acionada com o comando GPUpdate na Tarefa 1.
6. Clique na guia Resumo, clique com o boto direito do mouse na pgina e
escolha Salvar Relatrio. Salve o relatrio como um arquivo HTML na
unidade D com um nome de sua escolha. Depois, abra o relatrio de RSoP da
unidade D.
Tarefa 4: Analisar RSoP com GPResults

1. Faa logon em DESKTOP101 como Pat.Coleman_Admin com a senha
Pa$$w0rd.
2. Execute o prompt de comando com credenciais administrativas.
3. Digite gpresult /r e pressione ENTER.
Os resultados de resumo de RSoP so exibidos. As informaes so muito
similares guia Resumo do relatrio de RSoP produzido pelo Assistente de
Resultados de Diretiva de Grupo.
4. Digite gpresult /v e pressione ENTER.
Um relatrio de RSoP mais detalhado produzido. Observe que muitas das
configuraes de Diretiva de Grupo aplicadas pelo cliente so listadas nesse
relatrio.
5. Digite gpresult /z e pressione ENTER.

O relatrio de RSoP mais detalhado produzido.
6. Digite gpresult /h:"%userprofile%\Desktop\RSOP.html" e pressione
ENTER.
Um relatrio de RSoP salvo como um arquivo HTML na sua rea de
trabalho.
7. Abra o relatrio de RSoP salvo da sua rea de trabalho.
8. Compare o relatrio, suas informaes e sua formatao com o relatrio de
RSoP salvo na tarefa anterior.
Resultados: aps esse exerccio, voc ter aprendido como fazer um conjunto de
diretivas resultante de duas maneiras: usando um assistente e a partir da linha de
comando.
Exerccio 2: Usar o Assistente para Modelagem de Diretiva

de Grupo
Antes de repassar o GPO Diretivas de Sala de Reunio para uso em produo, voc
deseja avaliar o efeito que ele ter nos usurios que fizerem logon em
computadores da sala de reunio. Neste exerccio, voc usar o Assistente para
Modelagem de Diretiva de Grupo para modelar o conjunto resultante de diretivas
aplicado a um usurio, Mike Danseglio, caso ele faa logon em um computador da
sala de reunio, DESKTOP101.
Realizar a modelagem de resultados da Diretiva de Grupo.
Tarefa 1: Realizar a modelagem de resultados da Diretiva de Grupo

2. Na rvore de console do Gerenciamento de Diretiva de Grupo, expanda
Floresta:Contoso.com e clique em Modelagem da Diretiva de Grupo.
3. Clique com o boto direito do mouse em Modelagem da Diretiva de Grupo e
clique em Assistente para Modelagem de Diretiva de Grupo.
O Assistente para Modelagem de Diretiva de Grupo ser exibido.
5. Na pgina Seleo de Controlador de Domnio, clique em Prximo.
6. Na pgina Seleo de Usurio e Computador, na seo Informaes do
Usurio, clique no boto de opo Usurio e clique em Procurar.
A caixa de dilogo Selecionar Usurio ser exibida.
7. Digite Mike.Danseglio e pressione ENTER.
8. Na seo Informaes do Computador, clique no boto de opo
Computador e clique em Procurar.
A caixa de dilogo Selecionar Computador ser exibida.
9. Digite DESKTOP101 e pressione ENTER.
11. Na pgina Opes de simulao avanadas, marque a caixa de seleo

Processamento de Loopback e clique em Mesclar.
Embora o GPO Diretivas de Sala de Reunio especifique o processamento de
loopback, voc deve instruir o Assistente para Modelagem de Diretiva de
Grupo para considerar o processamento de loopback na simulao.
13. Na pgina Caminhos alternativos do Active Directory, clique no boto
Procurar ao lado de Local do computador.
A caixa de dilogo Escolha o Continer de Computador ser exibida.
14. Expanda contoso.com e Quiosques e clique em Salas de Reunio.
Voc est simulando o efeito de DESKTOP101 como um computador de sala
de reunio.
15. Clique em OK.
17. Na pgina Grupos de Segurana de Usurio, clique em Prximo.
18. Na pgina Grupos de Segurana do Computador, clique em Prximo.
19. Na pgina Filtros WMI para usurios, clique em Prximo.
20. Na pgina Filtros WMI para computadores, clique em Prximo.
21. Analise as suas configuraes na pgina Resumo das selees e clique em
Prximo.
23. Na guia Resumo, role para Configurao do Usurio, Objetos de Diretiva de
Grupo e GPOs Aplicados e expanda-os, se necessrio.
24. O GPO Diretivas de Sala de Reunio ser aplicado a Mike Danseglio como
uma diretiva de usurio quando ele fizer logon em DESKTOP101 se
DESKTOP101 estiver na UO Conference Rooms?
Caso no, verifique o escopo do GPO Diretivas de Sala de Reunio. Ele deve
estar vinculado UO Conference Rooms com filtragem de grupo de segurana
que aplique o GPO na identidade especial Usurios Autenticados. Voc pode
clicar com o boto direito do mouse na consulta de modelagem para execut-la
novamente. Se o GPO ainda no for aplicado, tente excluir e recriar o relatrio
Modelagem da Diretiva de Grupo e tenha muito cuidado para seguir cada
etapa de forma precisa.
25. Clique na guia Configuraes.

26. Role para Configurao do Usurio, Diretivas, Modelos Administrativos e
Painel de Controle/Vdeo e expanda-os, se necessrio.
27. Confirme se o tempo limite da proteo de tela 2700 segundos (45 minutos),
a configurao definida pelo GPO Diretivas de Sala de Reunio que substitui
o padro de 10 minutos configurado pelo GPO Padres CONTOSO.
Resultados: aps esse exerccio, voc ter usado o Assistente para Modelagem de
Diretiva de Grupo para confirmar se o GPO Diretivas de Sala de Reunio realmente
aplicar suas configuraes aos usurios que faam logon em computadores de sala
de reunio.
Exerccio 3: Exibir eventos de diretiva

Quando um cliente realiza uma atualizao de diretiva, os componentes da
Diretiva de Grupo registram as entradas nos logs de eventos do Windows. Neste
exerccio, voc ir localizar e analisar eventos relacionados Diretiva de Grupo.
Exibir os eventos da diretiva.
Tarefa 1: Exibir os eventos da diretiva

1. Em DESKTOP101, no qual voc fez logon como Pat.Coleman_Admin,
execute o Visualizar Eventos como administrador.
2. Localize e analise os eventos de Diretiva de Grupo no log Sistema.
3. Localize e analise os eventos de Diretiva de Grupo no log do Aplicativo.
4. No log Operacional da Diretiva de Grupo, localize o primeiro evento relatado
na atualizao da Diretiva de Grupo iniciada no Exerccio 1, com o comando
GPUpdate. Analise esse evento e os eventos subsequentes.
Resultados: aps esse exerccio, voc ter identificado os eventos de Diretiva de

Grupo nos logs de eventos.

Pergunta: Em quais situaes voc usou relatrios de RSoP para solucionar

problemas de aplicao de Diretiva de Grupo na sua organizao?
Pergunta: Em quais situaes voc usou ou pensou em usar a modelagem de

Diretiva de Grupo?
Pergunta: Voc j diagnosticou um problema de aplicao de Diretiva de Grupo

com base nos eventos de um dos logs de eventos?
Gerenciamento da segurana e da configurao da empresa com as configuraes da Diretiva de Grupo 7-1
Mdulo 7
Gerenciamento da segurana e da configurao
da empresa com as configuraes da Diretiva de
Grupo
Sumrio:
Lio 1: Delegao do suporte de computadores 7-4
Laboratrio A: Delegao do suporte de computadores 7-16
Lio 2: Gerenciamento de configuraes de segurana 7-20
Laboratrio B: Gerenciamento de configuraes de segurana 7-49
Lio 3: Gerenciamento de software com GPSI 7-62
Laboratrio C: Gerenciamento de software com GPSI 7-81
Lio 4: Auditoria 7-87
Laboratrio D: Auditoria do acesso ao sistema de arquivos 7-101
Viso geral do mdulo
A Diretiva de Grupo pode ser usada para gerenciar a configuraes de uma enorme
variedade de componentes e recursos do Windows. No mdulo anterior, voc
aprendeu a configurar a infraestrutura de uma Diretiva de Grupo. Neste mdulo,
voc aprender a aplicar essa infraestrutura para gerenciar vrios tipos de
configurao relacionadas segurana e instalao do software. Voc tambm
conhecer ferramentas, como o Assistente de Configurao de Segurana, que
facilita a identificao de quais configuraes devem ser definidas com base nas
funes de um servidor. Por fim, voc aprender a configurar a auditoria de
arquivos e pastas.
Objetivos
Delegar o suporte dos computadores.
dos grupos.
grupos.
Definir as configuraes de segurana usando a diretiva de Segurana Local.
Implantar o software usando o GPSI.
Lio 1
Delegao do suporte de computadores
Muitas empresas tm um ou mais membros entre seus funcionrios dedicados ao

suporte aos usurios finais, funo normalmente conhecida como assistncia
tcnica, suporte tcnico ou, simplesmente, suporte. O pessoal da assistncia
tcnica geralmente solicitado para solucionar problemas, definir configuraes
ou realizar outras tarefas de suporte nos computadores cliente, e essas tarefas
frequentemente requerem privilgios administrativos. Portanto, as credenciais
usadas pelo pessoal do suporte tcnico deve estar no nvel de um membro do
grupo Administradores local nos computadores cliente, mas o pessoal do suporte
tcnico no precisa ter o alto nvel de privilgio atribudo ao grupo Admins. do
Domnio. Portanto, no recomendvel coloc-los nesse grupo. Em vez disso,
configure os sistemas cliente para que um grupo que represente o pessoal do
suporte seja adicionado ao grupo Administradores local. As diretivas de grupos
restritos permitem que voc faa apenas isso e, nesta lio, voc aprender a usar
as diretivas de grupos restritos para adicionar o pessoal do suporte tcnico ao
grupo Administradores local dos clientes e, assim, delegar o suporte desses
computadores ao suporte tcnico. A mesma abordagem pode ser usada para
delegar a administrao de qualquer escopo dos computadores equipe
responsvel por esses sistemas.
Objetivos
Delegar a administrao dos computadores.
dos grupos.
grupos.
Compreenso das diretivas de Grupos Restritos
Pontos principais
Ao editar o GPO (Objeto de Diretiva de Grupo) e expandir os ns Configurao do
Computador, Diretivas, Configuraes do Windows e Configuraes de Segurana,
voc encontrar o n da diretiva de Grupos Restritos, mostrado na captura de tela
a seguir.
As configuraes da diretiva de Grupos Restritos permite que voc gerencie os

membros dos grupos. Existem dois tipos de configuraes: Este grupo um
membro de (configurao Membro de) e Membros deste grupo (configurao
Membros).
muito importante compreender a diferena entre essas duas configuraes. A

configurao Membro de especifica se o grupo especificado pela diretiva membro
de outro grupo. No lado esquerdo da captura de tela anterior, voc pode ver um
exemplo tpico: o grupo CONTOSO\Suporte Tcnico membro do grupo
Administradores. Quando um computador aplica essa configurao de diretiva, ele
garante que o grupo Suporte Tcnico do domnio se tornar um membro de seu
grupo Administradores local. Se houver mais de um GPO com diretivas de grupos
restritos, cada diretiva de Membro de ser aplicada. Por exemplo, se um GPO
vinculado UO (unidade organizacional) Computadores Cliente especificar
CONTOSO\Suporte Tcnico como membro do grupo Administradores e um
segundo GPO vinculado UO SEA (uma sub-UO da UO Client Computers)
especificar CONTOSO\Suporte SEA tambm como membro do grupo
Administradores, um computador da UO SEA adicionar os grupos Suporte
Tcnico e Suporte SEA ao grupo Administradores, alm de quaisquer membros
existentes do grupo, como Administradores do Domnio. Esse exemplo ilustrado
na captura de tela a seguir.
Como voc pode ver, as diretivas de grupos restritos que usam a configurao
Membro de so cumulativas. O segundo tipo de configurao de diretiva de grupos
restritos a configurao Membros, que especifica todos os membros do grupo
especificado pela diretiva. A caixa de dilogo direita das caixas de dilogo lado a
lado mostradas anteriormente um exemplo tpico: a lista Membros do grupo
Administradores especificada como CONTOSO\Suporte Tcnico. Quando um
computador aplica essa configurao de diretiva, ele assegura que os membros do
grupo Administradores local consiste apenas em CONTOSO\Suporte Tcnico.
Quaisquer membros no especificados na diretiva sero removidos, incluindo
Administradores do Domnio. A configurao Membros a diretiva autoritativa; ela
define a lista final de membros. Se houver mais de um GPO com diretivas de grupo
restrito, o GPO com a prioridade mais alta prevalecer. Por exemplo, se o GPO
vinculado UO Client Computers especificar os membros do grupo
Administradores como CONTOSO\Suporte Tcnico e outro GPO vinculado UO
SEA especificar os membros do grupo Administradores como CONTOSO\Suporte
SEA, os computadores da UO SEA tero apenas o grupo Suporte SEA em seu
grupo Administradores. Esse exemplo ilustrado na captura de tela a seguir.
Se voc usar as diretivas de grupos restritos Membros e Membro de, a configurao

de diretiva Membros precedente definir os membros de linha de base
autoritativos para o grupo, e os membros cumulativos das diretivas Membro de
aumentaro essa linha de base.
Na sua empresa, tenha cuidado ao criar e testar diretivas de grupos restritos para
garantir que elas forneam o resultado desejado.
Demonstrao: Delegao da administrao usando

diretivas de Grupos Restritos
Pontos principais
Voc pode usar diretivas de grupos restritos com a configurao Membro de para
gerenciar a delegao de privilgios administrativos para computadores
executando as seguintes etapas:
1. Inicie 10222A-HQDC01-A e faa logon como Pat.Coleman com a senha
Pa$$w0rd.
2. Em HQDC01, clique em Iniciar >Ferramentas Administrativas e execute
Gerenciamento de Diretiva de Grupo com credenciais administrativas. Use a
conta Pat.Coleman_Admin com a senha Pa$$w0rd.
3. Na rvore de console, expanda Forest:contoso.com, Domnios e
contoso.com e, em seguida, clique no continer Objetos de Diretiva de
Grupo.
4. Clique com o boto direito do mouse no continer Objetos de Diretiva de

Grupo e, em seguida, clique em Novo.
5. Na caixa Nome, digite Suporte Tcnico Corporativo e clique em OK.
6. No painel de detalhes, clique com o boto direito do mouse em Suporte
Tcnico Corporativo e, em seguida, clique em Editar.
O GPME ser exibido.
7. No Editor de Gerenciamento da Diretiva de Grupo, navegue at
Configurao do Computador\Diretivas\Configuraes do
Windows\Configuraes de Segurana\Grupos Restritos.
8. Clique com o boto direito do mouse em Grupos Restritos e escolha
Adicionar Grupo.
9. Clique no boto Procurar e, na caixa de dilogo Selecione Grupos, digite o
nome do grupo que voc deseja adicionar ao grupo Administradores por
exemplo, CONTOSO\Suporte Tcnico e clique em OK.
10. Clique em OK para fechar a caixa de dilogo Adicionar Grupo.
A caixa de dilogo Propriedades ser exibida.
11. Clique no boto Adicionar ao lado da seo Este Grupo Um Membro de.
12. Digite Administradores e clique em OK.
A configurao de diretiva de grupo Propriedades deve ser semelhante caixa
de dilogo esquerda das caixas de dilogo lado a lado exibidas
anteriormente.
A delegao dos membros do grupo Administradores local dessa maneira adiciona

o grupo especificado na etapa 9 a esse grupo. Ela no remove nenhum membro
existente do grupo Administradores. A configurao de Diretiva de Grupo
simplesmente solicita que o cliente verifique se este grupo membro do grupo
Administradores local. Isso possibilita que os sistemas individuais tenham outros
usurios ou grupos no grupo Administradores local. Essa configurao de diretiva
de grupo tambm cumulativa. Se vrios GPOs configurarem diferentes entidades
de segurana como membros do grupo Administradores local, todos sero
adicionados ao grupo.
Para assumir o controle completo sobre o grupo Administradores local, siga estas
etapas:
1. No Editor de Gerenciamento da Diretiva de Grupo, navegue at
Configurao do Computador\Configuraes do Windows\Configuraes
de Segurana\Grupos Restritos.
2. Clique com o boto direito do mouse em Grupos Restritos e escolha
Adicionar Grupo.
3. Digite Administradores e clique em OK.
A caixa de dilogo Propriedades ser exibida.
4. Clique no boto Adicionar ao lado da seo Membros deste Grupo.
5. Clique no boto Procurar, digite o nome do grupo que voc deseja tornar o
nico membro do grupo Administradores, por exemplo, CONTOSO\Suporte
Tcnico, e clique em OK.
6. Clique em OK novamente para fechar a caixa de dilogo Adicionar membro.
As propriedades da configurao de diretiva de grupo devem ser semelhantes
caixa de dilogo esquerda das caixas de dilogo lado a lado exibidas
anteriormente.
Quando voc usa a configurao Membros de uma diretiva de grupos restritos, a

lista Membros define os membros finais do grupo especificado. As etapas recm-
listadas resultam em um GPO que gerencia de modo autoritativo o grupo
Administradores. Quando um computador aplicar esse GPO, ele adicionar todos
os membros especificados pelo GPO e remover todos os membros no
especificados pelo GPO, incluindo Administradores do Domnio. Somente a conta
de Administrador local no ser removida do grupo Administradores, pois o
Administrador um membro permanente e no removvel do grupo
Administradores.
Definio de membros de grupo com as Preferncias da

Diretiva de Grupo
Pontos principais
As Preferncias da Diretiva de Grupo tambm podem ser usadas para definir
membros de grupos.
As preferncias do Grupo Local esto disponveis em Configurao do

Computador e Configurao do Usurio. As configuraes de uma preferncia de
Grupo Local so exibidas a seguir.
As trs opes relacionadas ao "usurio atual" esto disponveis somente na

preferncia de Grupo Local em Configurao do Usurio.
Voc capaz de criar, excluir, substituir ou modificar (atualizar) um grupo local.
Como pode ver na captura de tela anterior, possvel renomear o grupo, alterar
sua descrio ou fazer modificaes nos membros do grupo.
As preferncias do Grupo Local no podero remover membros de um grupo se
eles foram adicionados a um grupo por meio de uma configurao de diretiva de
grupos restritos. Alm disso, se uma configurao de diretiva de grupos restritos
usar o mtodo Membros para definir os membros autoritativos de um grupo, as
preferncias no podero adicionar nem remover membros.
As interaes entre as configuraes de diretiva de grupos restritos Membros e

Membro de, as preferncias de Grupo Local com escopo de configuraes de
computador e as preferncias de Grupo Local com escopo de configuraes de
usurio podem ser difceis de entender. Verifique se testou completamente os
resultados se optar por implementar vrios mtodos de gerenciamento de
membros de grupo com a Diretiva de Grupo.
Perguntas da discusso
1. Em quais cenrios ou por que motivos voc talvez queira excluir todos os
usurios ou grupos membros?
2. Por que voc provavelmente adicionar o usurio atualmente conectado?
3. Em que cenrio voc provavelmente modificar os membros do grupo

Administradores local de um computador usando uma preferncia de Grupo
Local no n Configurao do Usurio de um GPO que tem como escopo a
preferncia que no especfica dos computadores, mas especfica dos
usurios?
Leitura adicional
Ajuda do Console de Gerenciamento de Diretiva de Grupo, "Extenso de
Usurios Locais e Grupos"
Laboratrio A: Delegao do suporte de

computadores
Cenrio
Voc foi solicitado pela equipe de segurana corporativa a bloquear os membros
do grupo Administradores nos computadores cliente. No entanto, necessrio
capacitar o suporte tcnico centralizado a executar tarefas de suporte para os
usurios de toda a organizao. Alm disso, voc deve capacitar a equipe de
suporte tcnico do site local a executar tarefas administrativas para computadores
cliente nesse site.
Exerccio 1: Configurar os membros do grupo

Administradores usando diretivas de Grupos Restritos
Neste exerccio, voc usar a Diretiva de Grupo para delegar os membros do grupo
Administradores. Primeiro, voc criar um GPO com uma configurao de diretiva
de grupos restritos que garante que o grupo Suporte Tcnico seja membro do
grupo Administradores em todos os sistemas cliente. Em seguida, voc criar um
GPO que adiciona o grupo Suporte SEA ao grupo Administradores nos clientes da
UO SEA. Por fim, voc confirmar que, na UO SEA, os grupos Suporte Tcnico e
Suporte SEA so administradores.
2. Delegar a administrao de todos os clientes do domnio.
3. Criar um grupo Suporte Seattle.
4. Delegar a administrao de um subconjunto de clientes no domnio.
5. Confirmar a aplicao cumulativa das diretivas Membro de.

Tarefa 2: Delegar a administrao de todos os clientes do domnio

1. Execute Gerenciamento de Diretiva de Grupo como administrador, com o
2. Crie um GPO chamado Suporte Tcnico Corporativo, cujo escopo seja todos
os computadores da UO Client Computers.
3. Defina uma configurao de diretiva Grupos Restritos que garanta que o
grupo Suporte Tcnico seja um membro do grupo Administradores em todos
os sistemas cliente.
Tarefa 3: Criar um grupo Suporte Seattle

1. Execute Usurios e Computadores do Active Directory como administrador,
2. Na UO Groups\Role, crie um grupo de segurana global chamado Suporte
SEA.
Tarefa 4: Delegar a administrao de um subconjunto de clientes no

domnio
1. Em Gerenciamento de Diretiva de Grupo, crie um GPO chamado Suporte
Seattle, cujo escopo seja todos os computadores da UO Client
Computers\SEA.
2. Defina uma configurao de diretiva Grupos Restritos que garanta que o
grupo Suporte SEA seja um membro do grupo Administradores em todos os
sistemas cliente da UO SEA.
Tarefa 5: Confirmar a aplicao cumulativa das diretivas Membro de

Use Modelagem da Diretiva de Grupo para confirmar que um computador
da UO SEA incluir os grupos Assistncia Tcnica e Suporte SEA contidos em
seu grupo Administradores.
Resultados: aps esse exerccio, voc ter criado um GPO Suporte Tcnico
Corporativo que assegurar que o grupo Suporte Tcnico seja membro do grupo
Administradores local em todos os computadores da UO Client Computers. Alm
disso, voc ter criado um GPO Suporte Seattle que adiciona o grupo Suporte Seattle
ao grupo Administradores local em todos os computadores cliente da UO SEA.

Pergunta: Se voc quisesse assegurar que apenas os membros do grupo

Administradores local de um computador cliente fosse o Suporte Tcnico do grupo
Suporte especfico do local e quisesse remover quaisquer outros membros do
grupo Administradores local, como conseguiria fazer isso usando apenas diretivas
de grupos restritos?
Lio 2
Gerenciamento das configuraes de
segurana
A segurana a principal preocupao de todos os administradores do Windows.

O Windows Server 2008 possui diversas configuraes que afetam os servios em
execuo, as portas abertas, os pacotes de rede com permisso para entrar ou sair
do sistema, os direitos e as permisses dos usurios, e as atividades submetidas a
auditoria. Existe uma quantidade enorme de configuraes que podem ser
gerenciadas e, infelizmente, no h uma frmula mgica que aplique a
configurao de segurana perfeita a um servidor. A configurao de segurana
apropriada para um servidor depende das funes desempenhadas por ele, da
combinao de sistemas operacionais existentes no ambiente e das diretivas de
segurana da organizao, que, por sua vez, dependem dos regulamentos de
conformidade impostos fora da organizao.
Portanto, voc deve trabalhar para determinar e definir as configuraes de

segurana necessrias aos servidores da sua organizao. Alm disso, voc deve
estar preparado para gerenciar essas configuraes de uma forma que centralize e
otimize a configurao da segurana. O Windows Server 2008 oferece vrios
mecanismos por meio dos quais possvel definir as configuraes de segurana
em um ou mais sistemas. Nesta lio, voc descobrir esses mecanismos e suas
interaes.
Objetivos
Definir as configuraes de segurana em um computador usando a diretiva
de Segurana Local.
O que gerenciamento de diretivas de segurana?
Pontos principais
O gerenciamento de diretivas de segurana envolve a criao, a implantao, o
gerenciamento, a anlise e a reviso das configuraes de segurana de uma ou
mais configuraes dos sistemas Windows. Provavelmente, h vrias configuraes
em uma empresa normal: desktops e laptops, servidores e controladores de
domnio. A maioria das empresas acaba definindo at mais configuraes; por
exemplo, delineando vrios tipos ou funes de servidores.
As primeiras palavras so chave: diretiva de segurana. Antes mesmo de entrar em
contato com a tecnologia, voc precisa compreender o que a diretiva de segurana
da sua empresa exige e, caso ainda no tenha uma diretiva de segurana escrita,
comece a criar uma. Depois que souber qual rumo tomar, estar ponto para
comear a jornada.
Sua diretiva de segurana e os requisitos que ela contm provavelmente exigiro
vrias personalizaes para a configurao de segurana padro predefinida do
cliente do Windows e dos sistemas operacionais de servidor.
Para gerenciar a configurao de segurana, voc precisar:

Criar uma diretiva de segurana para uma nova funo de aplicativo ou
servidor no includa no Gerenciador de Servidores.
Usar as ferramentas de gerenciamento de diretivas de segurana para aplicar
configuraes de diretiva de segurana exclusivas ao seu ambiente.
Analisar as configuraes de segurana de servidor para garantir que a diretiva
de segurana seja aplicada a um servidor apropriado para a funo de servidor.
Atualizar uma diretiva de segurana de servidor quando a configurao do
servidor for modificada.
Esta lio abordar as ferramentas, os conceitos e os processos necessrios para

executar essas tarefas. Estas so as ferramentas citadas nesta lio:
Diretiva de Grupo Local
Assistente de Configurao de Segurana
Snap-in Modelos de Segurana
Snap-in Configurao e Anlise de Segurana
Diretiva de Grupo do Domnio
Configurao da Diretiva de Segurana Local
Pontos principais
Cada servidor com o Windows Server 2008 mantm um conjunto de
configuraes de segurana que pode ser gerenciado por meio do GPO local. Voc
pode configurar o GPO local usando o snap-in Editor de Objeto de Diretiva de
Grupo ou o console da Diretiva de Segurana Local. As categorias de configurao
de diretiva disponveis so mostradas na prxima pgina.
Esta lio enfoca os mecanismos que sero usados para configurar e gerenciar as
configuraes de segurana, e no os detalhes das configuraes propriamente
ditas. Vrias configuraes, incluindo diretivas de conta, diretiva de auditoria e
atribuio de direitos de usurio, sero abordadas em outros momentos neste
curso.
Como os DCs (controladores de domnio) no tm contas de usurio locais, mas
somente contas de domnio, as diretivas do continer Diretivas de Conta do GPO
local nos DCs no podem ser configuradas. Em vez disso, as diretivas de conta do
domnio devem ser configuradas como parte de um GPO vinculado ao domnio,
como o GPO de Diretiva de Domnio Padro. As diretivas de conta sero abordadas
no Mdulo 8.
As configuraes encontradas nas diretivas locais de Configuraes de Segurana

so um subconjunto das diretivas que podem ser configuradas por meio da
Diretiva de Grupo baseada em domnio, mostrada a seguir:
Como voc aprendeu no Mdulo 6, uma prtica recomendada gerenciar a

configurao usando a Diretiva de Grupo baseada em domnio, em vez de fazer
isso em cada mquina usando a Diretiva de Grupo local. Isso se aplica
especialmente aos controladores de domnio. O GPO de Diretiva de Controladores
de Domnio Padro criado quando o primeiro controlador de domnio
solicitado a fornecer um novo domnio. Ele vinculado UO Domain Controllers
e deve ser usado para gerenciar configuraes de segurana de linha de base para
todos os controladores de domnio do domnio, a fim de que os controladores de
domnio sejam configurados de modo consistente.
Leitura adicional
Configuraes de Diretiva de Segurana do Servidor (em ingls):
Gerenciamento da configurao de segurana com

modelos de segurana
Pontos principais
O segundo mecanismo de gerenciamento de configuraes de segurana o
modelo de segurana. Um modelo de segurana um conjunto de configuraes
armazenadas como um arquivo de texto com a extenso .inf. Como voc pode ver
na captura de tela da pgina seguinte, um modelo de segurana contm
configuraes que so um subconjunto das configuraes disponveis em um GPO
baseado em domnio, mas um subconjunto um pouco diferente daqueles
gerenciados pelo GPO local.
As ferramentas usadas para gerenciar modelos de segurana apresentam

configuraes em uma interface que permite a voc salvar as configuraes de
segurana como arquivos e implant-las quando e onde forem necessrias. Voc
tambm pode usar um modelo de segurana para analisar a conformidade da
configurao atual de um computador com base na configurao desejada.
Existem diversas vantagens em armazenar a configurao de segurana em
modelos de segurana. Como os modelos so arquivos de texto sem formatao,
voc pode trabalhar com eles manualmente como faz com qualquer arquivo de
texto, recortando e colando sees quando necessrio. Alm disso, os modelos
facilitam o armazenamento das configuraes de segurana de vrios tipos, a fim
de que voc possa aplicar facilmente diferentes nveis de segurana aos
computadores que executam diferentes funes.
Os modelos de segurana permitem que voc configure qualquer um dos seguintes
tipos de diretivas e configuraes:
Diretivas de Conta: permite que voc especifique restries de senha, diretivas
de bloqueio de contas e diretivas Kerberos.
Diretivas Locais: permite que voc configure diretivas de auditoria, atribuies
de direitos de usurio e diretivas de opes de segurana.
Diretivas de Log de Eventos: permite que voc configure tamanhos mximos
de log de eventos e diretivas de sobreposio.
Grupos Restritos: permite que voc especifique os usurios que tm permisso
para serem membros de grupos especficos.
Servios do Sistema: permite que voc especifique os tipos de inicializao e

permisses para os servios do sistema.
Permisses de Registro: permite que voc defina permisses de controle de
acesso para chaves de Registro especficas.
Permisses de Sistema de Arquivos: permite que voc especifique permisses
de controle de acesso para pastas e arquivos NTFS.
Voc pode implantar modelos de segurana de vrias maneiras, usando os Objetos

de Diretiva de Grupo do Active Directory, o snap-in Configurao e Anlise de
Segurana ou o Secedit.exe. Quando voc associa um modelo de segurana a um
objeto de Diretiva de Grupo do Active Directory, as configuraes do modelo se
tornam parte do GPO. Tambm possvel aplicar um modelo de segurana
diretamente a um computador; nesse caso, as configuraes do modelo se tornam
parte das diretivas locais do computador. Voc conhecer cada uma dessas opes
nesta lio.
Demonstrao: Criao e implantao de modelos de

segurana
Pontos principais
Usando o snap-in Modelos de Segurana
Para trabalhar com modelos de segurana, use o snap-in Modelos de Segurana. O
Windows Server 2008 no inclui um console com o snap-in Modelos de Segurana;
portanto, voc precisa criar um usando o comando Adicionar/Remover Snap-in do
MMC. O snap-in cria uma pasta chamada Security e uma subpasta chamada
Templates na pasta Documents, e a pasta Documents\Security\Templates se torna o
caminho de pesquisa de modelo, no qual voc poder armazenar um ou mais
modelos de segurana.
Para criar um novo modelo de segurana:
Clique com o boto direito do mouse no n que representa o caminho de
pesquisa de modelo, por exemplo, C:\Users\Documents\Administrator
\Security\Templates, e escolha Novo Modelo.
Voc tambm pode criar um modelo que reflita a configurao atual de um
servidor; voc aprender a fazer isso posteriormente nesta lio.
As configuraes so definidas no modelo da mesma maneira que so definidas em

um GPO. O snap-in Modelos de Segurana usado para definir configuraes em
um modelo de segurana. Ele apenas um editor, no desempenha nenhuma
funo na aplicao dessas configuraes a um sistema. Defina as configuraes de
segurana em um modelo usando o snap-in Modelos de Segurana. Embora o
prprio modelo seja um arquivo de texto, a sintaxe pode ser confusa. O uso do
snap-in garante que as configuraes sejam alteradas por meio da sintaxe
apropriada.
A exceo a essa regra a adio das configuraes do Registro que ainda no
esto listadas na parte Local Policies\Security Option do modelo. Quando as novas
configuraes de segurana se tornarem conhecidas, se elas puderem ser
configuradas por meio de uma chave do Registro, voc poder adicion-las a um
modelo de segurana. Para fazer isso, adicione-as seo Valores do Registro do
modelo.
Observao: salve suas configuraes. No deixe de salvar as alteraes feitas em um

modelo de segurana clicando com o boto direito do mouse no modelo e escolhendo
Salvar.
Quando voc instalar um servidor ou promov-lo a um controlador de domnio,

um modelo de segurana padro ser aplicado pelo Windows. Voc pode localizar
esse modelo na pasta %SystemRoot%\Security\Templates. Em um controlador de
domnio, o modelo denominado DC security.inf. Voc no deve modificar esse
modelo diretamente, mas pode copi-lo para o caminho de pesquisa de modelo e
modificar a cpia.
Observao: modelos de segurana do Windows Server 2008 e das verses

anteriores do Windows. Nas verses anteriores do Windows, diversos modelos de
segurana foram disponibilizados para serem modificados e aplicados a um computador.
A nova configurao baseada em funes do Windows Server 2008 e o Gerenciador de
Configurao de Segurana aprimorado tornaram esses modelos desnecessrios.
Implantando modelos de segurana usando Objetos de Diretiva de Grupo

A criao e a modificao dos modelos de segurana s melhoraro a segurana
quando voc aplicar esses modelos. Para configurar diversos computadores em
uma nica operao, voc pode importar um modelo de segurana para o Objeto
de Diretiva de Grupo de um objeto de domnio, de site ou de unidade
organizacional no Active Directory.
Para importar um modelo de segurana para um GPO:

Clique com o boto direito do mouse no n Configuraes de Segurana e
escolha Importar Diretiva.
Na caixa de dilogo Importar Diretiva de, se voc marcar a caixa de seleo Limpar
Banco de Dados Antes de Importar, todas as configuraes de segurana do GPO
sero apagadas antes da importao das configuraes de modelo. Portanto, as
configuraes de segurana do GPO correspondero s configuraes do modelo.
Se voc deixar a caixa de seleo Limpar Banco de Dados Antes de Importar
apagada, as configuraes de diretiva de segurana do GPO permanecero e as
configuraes do modelo sero importadas. Quaisquer configuraes definidas no
GPO que tambm so definidas no modelo sero substitudas pela configurao do
modelo.
3. Clique em Iniciar e, na caixa de pesquisa, digite mmc.exe e pressione ENTER,
quando solicitado a fornecer credenciais administrativas. Use a conta
4. Clique em Arquivo e em Adicionar/Remover Snap-in.
5. Na lista Snap-ins disponveis, selecione Modelos de Segurana e clique em
Adicionar.
6. Clique em OK.
7. Clique em Arquivo e, em seguida, clique em Salvar.
A caixa de dilogo Salvar como ser exibida.
8. Digite D:\Security Management e pressione ENTER.
9. Na rvore de console, expanda Modelos de segurana.
10. Clique com o boto direito do mouse em C:\Users\Pat.Coleman_Admin
\Documents\Security\Templates, e, em seguida, clique em Novo Modelo.
11. Digite rea de Trabalho Remota do DC e clique em OK.
12. Clique em Iniciar>Ferramentas Administrativas e execute Gerenciamento
de Diretiva de Grupo com credenciais administrativas. Use a conta
13. Na rvore de console, expanda Forest:contoso.com, Domnios e

contoso.com e, em seguida, clique no continer Objetos de Diretiva de
Grupo.
14. No painel de detalhes, clique com o boto direito do mouse em Suporte
Tcnico Corporativo e, em seguida, clique em Editar.
O GPME ser exibido.
15. Na rvore de console, expanda Configurao do Computador, Diretivas,
Configuraes do Windows e clique em Configuraes de Segurana.
16. Clique com o boto direito do mouse em Configuraes de Segurana e, em
seguida, clique em Importar Diretiva.
17. Selecione o modelo rea de Trabalho Remota do DC e clique em Abrir.
Uso da Configurao e da Anlise de Segurana
Pontos principais
Configurao e Anlise de Segurana
Voc pode usar o snap-in Configurao e Anlise de Segurana para aplicar um
modelo de segurana a um computador de modo interativo. O snap-in tambm
permite analisar a configurao atual de segurana do sistema e compar-la a uma
linha de base salva como um modelo de segurana. Isso permitir a voc descobrir
rapidamente se algum alterou as configuraes de segurana de um computador e
se o sistema est de acordo com as diretivas de segurana da sua organizao.
Como acontece com o snap-in Modelos de Segurana, o Windows Server 2008 no
inclui um console com o snap-in Configurao e Anlise de Segurana; portanto,
voc deve adicionar o snap-in a um console por sua prpria conta.
Criando um banco de dados
Para usar o snap-in Configurao e Anlise de Segurana, primeiro crie um banco
de dados que conter um conjunto de configuraes de segurana. O banco de
dados a interface entre as configuraes de segurana reais no computador e as
configuraes armazenadas nos modelos de segurana.
Para criar um banco de dados (ou abrir um j existente)

Clique com o boto direito do mouse no n Configurao e Anlise de
Segurana na rvore de console.
Em seguida, importe um ou mais modelos de segurana. Se voc importar mais de

um modelo, dever decidir se apagar o banco de dados. Se o banco de dados for
apagado, somente as configuraes do novo modelo faro parte do banco de
dados. Se o banco de dados no for apagado, outras configuraes de modelos
definidas substituiro as configuraes dos modelos importados anteriormente. Se
as configuraes nos modelos recm-importados no forem definidas, as
configuraes do banco de dados contidas nos modelos importados anteriormente
permanecero.
Em suma, o snap-in Configurao e Anlise de Segurana cria um banco de dados
de configuraes de segurana composto pelas configuraes do modelo de
segurana importado. As configuraes do banco de dados podem ser aplicadas ao
computador ou usadas para analisar a conformidade e as discrepncias do
computador com o estado desejado. Lembre-se de que as configuraes de um
banco de dados s modificam as configuraes do computador ou de um modelo
depois que esse banco de dados usado para configurar o computador ou
exportado para um modelo.
Aplicando configuraes de banco de dados a um computador
Depois que voc tiver importado um ou mais modelos para criar o banco de dados,
poder aplicar as configuraes de banco de dados ao computador.
Para aplicar um banco de dados
Clique com o boto direito do mouse em Configurao e Anlise de
Segurana e escolha Configurar Computador Agora.
Voc ser solicitado a fornecer um caminho para um log de erros que ser gerado
durante a aplicao das configuraes. Aps aplicar as configuraes, examine o
log de erros para saber se h algum problema.
Analisando a configurao de segurana de um computador
Antes de aplicar as configuraes do banco de dados a um computador, talvez seja
necessrio analisar a configurao atual do computador para identificar as
discrepncias.
Para analisar a configurao de segurana de um computador
Segurana e escolha Analisar Computador Agora.
O sistema solicita o local do primeiro arquivo de log de erros e compara as

configuraes atuais do computador com as configuraes do banco de dados.
Depois que a anlise for concluda, o console gerar um relatrio como o mostrado
na captura de tela a seguir:
Diferente da exibio das configuraes de diretiva no Editor de Gerenciamento da

Diretiva de Grupo, no Editor de Objeto de Diretiva de Grupo, na Diretiva de
Segurana Local ou nos snap-ins Modelos de Segurana, o relatrio exibido para
cada diretiva que a configurao definiu no banco de dados (derivada dos modelos
que voc importou) e para a configurao atual do computador. As duas
configuraes so comparadas e o resultado exibido como um sinalizador no
nome da diretiva. Por exemplo, a configurao de diretiva Permitir Logon Local
est mostrando uma discrepncia entre a configurao do banco de dados e a
configurao do computador. Os significados dos sinalizadores so os seguintes:
X em um crculo vermelho. Indica que a diretiva foi definida no banco de
dados e no computador, mas que os valores configurados no so
correspondentes.
Marca de seleo verde em um crculo branco. Indica que a diretiva foi
definida no banco de dados e no computador, e que os valores configurados
so correspondentes.
Ponto de interrogao em um crculo branco. Indica que a diretiva no est

definida no banco de dados e, portanto, no foi analisada ou que o usurio
que est executando a anlise no teve as permisses necessrias para acessar
a diretiva no computador.
Ponto de exclamao em um crculo branco. Indica que a diretiva est
definida no banco de dados, mas no existe no computador.
Sem sinalizador. Indica que a diretiva no est definida no banco de dados
nem no computador.
Corrigindo as discrepncias da configurao de segurana

Ao examinar os elementos do banco de dados e comparar suas configuraes com
as do computador, voc talvez encontre discrepncias e queira fazer alteraes na
configurao do computador ou no banco de dados para alinhar as duas
configuraes. Clique duas vezes em qualquer configurao de diretiva para exibir
sua caixa de dilogo Propriedades e modificar seu valor no banco de dados. Aps
efetuar as alteraes no banco de dados, voc pode aplicar as configuraes do
banco de dados ao computador executando as etapas descritas anteriormente, na
seo Gerenciar a configurao de segurana com modelos de segurana.
Aplicando ou exportando alteraes de banco de dados
A modificao de um valor de diretiva no snap-in Configurao e Anlise de
Segurana altera apenas o valor do banco de dados, e no a configurao real do
computador. Para que as alteraes feitas por voc sejam efetuadas no
computador, aplique as configuraes do banco de dados ao computador usando
o comando Configurar Computador Agora ou exporte o banco de dados para um
novo modelo e aplique-o ao computador, usando um GPO ou o comando
Secedit.exe (assunto a ser abordado na seo Secedit.exe posteriormente nesta
lio.)
Se desejar, voc pode modificar as configuraes de segurana do computador
diretamente usando o console da Diretiva de Segurana Local, modificando o
Objeto de Diretiva de Grupo apropriado ou manipulando manualmente as
permisses do sistema de arquivos ou do Registro. Aps fazer essas alteraes,
retorne ao snap-in Configurao e Anlise de Segurana e escolha o comando
Analisar Computador Agora para atualizar a anlise das configuraes do
computador comparadas ao banco de dados.
Criando um modelo de segurana

Voc pode criar um novo modelo de segurana no banco de dados.
Para criar um modelo de segurana no banco de dados:
Segurana e selecione Exportar Modelo.
O modelo conter as configuraes do banco de dados, que foram importadas de

um ou mais modelos de segurana e que voc modificou para refletir as
configuraes atuais do computador analisado. O recurso Exportar Modelo cria
um novo modelo a partir das configuraes de banco de dados atuais no momento
em que voc executa o comando, e no a partir das configuraes atuais do
computador.
Secedit.exe
O Secedit.exe um utilitrio de linha de comando que pode desempenhar as
mesmas funes que o snap-in Configurao e Anlise de Segurana. A vantagem
do Secedit.exe que voc pode cham-lo dos scripts e arquivos em lote, o que
permite a automatizao das implantaes do modelo de segurana. Outra grande
vantagem do Secedit.exe que voc pode us-lo para aplicar apenas parte de um
modelo de segurana a um computador, algo que voc no pode fazer como snap-
in Configurao e Anlise de Segurana ou com os Objetos de Diretiva de Grupo.
Por exemplo, se voc quiser aplicar as permisses do sistema de arquivos a partir
de um modelo, deixe todas as outras configuraes de lado; o Secedit.exe a nica
forma de fazer isso.
Para usar o Secedit.exe, execute o programa no prompt de comando com um dos
seis parmetros principais a seguir, alm dos parmetros adicionais de cada
funo:
Configure. Aplica um banco de dados de segurana, total ou parcialmente, ao
computador local. Voc tambm pode configurar o programa para importar
um modelo de segurana para o banco de dados especificado antes de aplicar
as configuraes do banco de dados ao computador.
Analyze. Compara as configuraes de segurana atuais do computador com
as de um banco de dados de segurana. Voc pode configurar o programa para
importar um modelo de segurana para o banco de dados antes de executar a
anlise. O programa armazena os resultados da anlise no prprio banco de
dados, que voc poder exibir posteriormente usando o snap-in Configurao
e Anlise de Segurana.
Import. Importa um modelo de segurana, total ou parcialmente, para um

banco de dados de segurana especfico.
Export. Exporta as configuraes, total ou parcialmente, de um banco de
dados de segurana para um novo modelo de segurana.
Validate. Verifica se um modelo de segurana est usando a sintaxe interna
correta.
Generaterollback. Cria um modelo de segurana que voc pode usar para
restaurar um sistema sua configurao original aps aplicar outro modelo.
Por exemplo, para configurar o computador usando um modelo chamado

BaselineSecurity, use o seguinte comando:
secedit /configure /db BaselineSecurity.sdb

/cfg BaselineSecurity.inf /log BaselineSecurity.log
Para criar um modelo de reverso para o modelo BaselineSecurity, use o seguinte

comando:
secedit /generaterollback /cfg BaselineSecurity.inf

/rbk BaselineSecurityRollback.inf
/log BaselineSecurityRollback.log
Leitura adicional
Para obter detalhes completos sobre o Secedit.exe e suas opes, consulte
Pergunta da discusso
Pergunta: Que procedimento usado para aplicar um modelo de segurana a um

computador.
O Assistente de Configurao de Segurana
Pontos principais
O Assistente de Configurao de Segurana pode ser usado para aprimorar a
segurana de um servidor fechando portas e desabilitando os servios no
necessrios s funes do servidor.
O Assistente de Configurao de Segurana pode ser iniciado na seo de
informaes sobre segurana da home page do Gerenciador de Servidores ou na
pasta Ferramentas Administrativas.
Existe tambm uma verso de linha de comando da ferramenta, o scwcmd.exe.
Digite scwcmd.exe /? no prompt de comando para obter ajuda sobre o comando
ou consulte http://technet.microsoft.com/pt-br/library/cc731515(WS.10).aspx.
O Assistente de Configurao de Segurana uma ferramenta de gerenciamento de

segurana de ltima gerao, mais avanada do que o snap-in Configurao e
Anlise de Segurana. O Assistente de Configurao de Segurana baseado em
funes, de acordo com a nova configurao baseada em funes do Windows
Server 2008. Ele cria uma diretiva de segurana, um arquivo .xml, que configura:
Servios
Segurana da rede, incluindo regras de firewall
Valores do Registro
Diretiva de auditoria
Outras configuraes baseadas nas funes de um servidor
Essa diretiva de segurana pode ser modificada, aplicada a outro servidor ou

transformada em um GPO para implantao em vrios sistemas.
Criando uma diretiva de segurana
Para criar uma diretiva de segurana
1. Inicie o Assistente de Configurao de Segurana na pasta Ferramentas
Administrativas ou na seo Informaes sobre Segurana da home page do
Gerenciador de Servidores.
Voc pode abrir o arquivo de Ajuda do Assistente de Configurao de
Segurana clicando no link do Assistente de Configurao de Segurana na
primeira pgina do assistente.
3. Na pgina Ao de Configurao, escolha Criar Nova Diretiva de Segurana
e clique em Avanar.
4. Digite o nome do servidor a ser verificado e analisado, e clique em Avanar.
A diretiva de segurana se basear nas funes que estiverem sendo
executadas pelo servidor especificado. Voc deve ser um administrador no
servidor para que a anlise de suas funes sejam feitas. Antes de executar o
Assistente de Configurao de Segurana, verifique tambm se todos os
aplicativos que usam portas IP de entrada esto em execuo.
O Assistente de Configurao de Segurana inicia a anlise das funes do servidor

selecionado. Ele usa um banco de dados de configurao de segurana que define
os servios e as portas necessrios para cada funo de servidor qual oferece
suporte. O banco de dados de configurao de segurana um conjunto de
arquivos .xml instalados em %SystemRoot%\Security\Msscw\Kbs.
Observao: centralizando o banco de dados de configurao de segurana. Em um

ambiente corporativo, centralize o banco de dados de configurao de segurana de
modo que os administradores usem o mesmo banco de dados quando estiverem
executando o Assistente de Configurao de Segurana. Copie os arquivos da pasta
%SystemRoot%\Security\Msscw\Kbs para uma pasta de rede. Em seguida, inicie o
Assistente de Configurao de Segurana com o comando Scw.exe, usando a sintaxe
scw.exe /kb DatabaseLocation. Por exemplo, o comando scw.exe /kb \\server01\scwkb
inicia o Assistente de Configurao de Segurana usando o banco de dados de
configurao de segurana na pasta compartilhada scwkb de SERVER01.
O Assistente de Configurao de Segurana usa o banco de dados de configurao

de segurana para verificar o servidor selecionado e identifica o seguinte:
As funes instaladas no servidor
As funes que provavelmente esto sendo executadas pelo servidor
Os servios instalados no servidor, mas no definidos no banco de dados de
configurao de segurana
Endereos IP e sub-redes configurados para o servidor
As informaes descobertas sobre o servidor so salvas em um arquivo chamado

Main.xml. Esse arquivo especfico de servidor o banco de dados de configurao;
no confunda com o banco de dados de configurao de segurana usado pelo
Assistente de Configurao de Segurana para executar a anlise.
Para exibir o banco de dados de configurao:
Clique no boto Exibir Banco de Dados de Configurao na pgina
Processando o Banco de Dados de Configurao de Segurana.
As configuraes iniciais do banco de dados de configurao so as configuraes

de linha de base. Depois que o servidor for verificado e o banco de dados de
configurao for criado, voc ter a oportunidade de modificar o banco de dados,
que ser usado para gerar a diretiva de segurana a fim de configurar servios,
regras de firewall, configuraes do Registro e diretivas de auditoria. A diretiva de
segurana poder, ento, ser aplicada ao servidor ou a outros servidores que
desempenham funes similares. O Assistente de Configurao de Segurana
apresenta cada uma dessas quatro categorias da diretiva de segurana em um
seo, uma srie de pginas de assistente:
Configurao de servio baseada em funes
Segurana da rede
Configuraes do Registro
Diretiva de auditoria
A diretiva de segurana
Voc pode ignorar qualquer uma das trs ltimas sees que no queira incluir na
diretiva de segurana.
Quando todas as sees de configurao forem concludas ou ignoradas, o

Assistente de Configurao de Segurana apresentar a seo Diretiva de
Segurana. A pgina Nome do Arquivo da Diretiva de Segurana, mostrada na
captura de tela anterior, permite que voc especifique um caminho, um nome e
uma descrio para a diretiva de segurana.
Para examinar as configuraes da diretiva de segurana
Clique no boto Exibir Diretiva de Segurana.
As configuraes so muito bem documentadas pelo Assistente de Configurao de

Segurana.
Voc tambm pode importar um modelo de segurana para a diretiva de
segurana.
Clique no boto Incluir Modelos de Segurana.
Os modelos de segurana, abordados anteriormente nesta lio, contm as

configuraes que no so fornecidas na seo Gerenciar a configurao de
segurana com modelos de segurana, incluindo grupos restritos, diretivas de log
de eventos, e diretivas de segurana do sistema de arquivos e do Registro.
Incluindo um modelo de segurana, voc pode incorporar um conjunto mais vasto
de configuraes na diretiva de segurana. Se qualquer configurao no modelo de
segurana estiver em conflito com o Assistente de Configurao de Segurana, as
configuraes do assistente tero precedncia. Quando voc clicar no boto
Avanar, ter a opo de aplicar o modelo de segurana ao servidor imediatamente
ou de aplicar a diretiva posteriormente.
Editando uma diretiva de segurana
Para editar uma diretiva de segurana salva:
1. Abra o Assistente de Configurao de Segurana.
2. Na pgina Ao de Configurao, escolha Editar Diretiva de Segurana
Existente.
3. Clique no boto Procurar para localizar o arquivo .xml de diretiva. Quando
solicitado a selecionar um servidor, selecione o servidor que foi usado para
criar a diretiva de segurana.
Aplicando uma diretiva de segurana

Para aplicar uma diretiva de segurana a um servidor:
2. Na pgina Ao de Configurao, escolha Aplicar Diretiva de Segurana
Existente.
3. Clique no boto Procurar para localizar o arquivo .xml de diretiva.
4. Na pgina Selecionar Servidor, selecione um servidor ao qual ser aplicada a
diretiva.
Muitas das alteraes especificadas em uma diretiva de segurana, como a adio

de regras de firewall para aplicativos j em execuo e a desabilitao de servios,
exigem a reinicializao do servidor. Portanto, como prtica recomendada,
aconselhvel reiniciar um servidor sempre que aplicar uma diretiva de segurana.
Revertendo uma diretiva de segurana aplicada
Se uma diretiva de segurana for aplicada e ocasionar resultados indesejados, voc
poder reverter as alteraes. Para reverter uma diretiva de segurana aplicada:
2. Na pgina Ao de Configurao, escolha Reverter ltima Diretiva de
Segurana Aplicada.
Quando uma diretiva de segurana for aplicada pelo Assistente de Configurao de
Segurana, um arquivo de reverso ser gerado, armazenando as configuraes
originais do sistema. O processo de reverso aplica o arquivo de reverso.
Modificando as configuraes de uma diretiva de segurana aplicada
Alternativamente, se um modelo de segurana aplicado no produzir uma
configurao ideal, voc poder alterar manualmente as configuraes usando o
console da Diretiva de Segurana Local abordado no incio desta lio, na seo
Configurar a Diretiva de Segurana Local. Desse modo, voc poder ver o
panorama geral da configurao da segurana, comeando pelas configuraes
manuais para a gerao de modelos de segurana, passando para a criao de
diretivas de segurana com o Assistente de Configurao de Segurana, que pode
incorporar modelos de segurana, a aplicao de diretivas de segurana, e
retornando definio manual das configuraes.
Implantando uma Diretiva de Segurana usando a Diretiva de Grupo

Voc pode aplicar uma diretiva de segurana criada pelo Assistente de
Configurao de Segurana a um servidor usando o prprio Assistente de
Configurao de Segurana, usando o comando Scwcmd.exe ou transformando a
diretiva de segurana em um GPO.
Para transformar uma diretiva de segurana em GPO:
Faa logon como administrador do domnio e execute Scwcmd.exe com o
comando transform.
Por exemplo:
scwcmd transform /p:"Segurana do DC da Contoso.xml /g:"GPO

Segurana do DC da Contoso
Esse comando criar um GPO chamado GPO Segurana do DC da Contoso

com configuraes importadas do arquivo de diretiva de segurana Segurana
do DC da Contoso.xml. O GPO resultante poder, ento, ser vinculado a um
escopo apropriado site, domnio ou UO por meio do console do
Gerenciamento de Diretiva de Grupo. Verifique se digitou scwcmd.exe
transform /? para obter ajuda e orientao sobre esse processo.
Leitura adicional
Assistente de Configurao de Segurana:
Configuraes, modelos, diretivas e GPOs
Pontos principais
Conforme sugerido na introduo lio, h diversos mecanismos que ajudam a
gerenciar as configuraes de segurana. Voc pode usar ferramentas como o
console da Diretiva de Segurana Local para modificar configuraes em um
sistema. possvel usar os modelos de segurana, que existem desde o Windows
2000, para gerenciar configuraes em um ou mais sistemas e comparar o estado
atual da configurao de um sistema com base na configurao desejada definida
pelo modelo. As diretivas de segurana geradas pelo Assistente de Configurao de
Segurana so a incluso mais recente feita no conjunto de ferramentas de
gerenciamento de configuraes de segurana. Elas so arquivos .xml baseados em
funo que definem modos de inicializao de servio, regras de firewall, diretivas
de auditoria e algumas configuraes do Registro. As diretivas de segurana podem
incorporar os modelos de segurana. Os modelos de segurana e as diretivas de
segurana podem ser implantados por meio da Diretiva de Grupo.
A superabundncia de ferramentas disponveis pode dificultar a identificao da

prtica recomendada para gerenciamento da segurana em um ou mais sistemas.
Planeje o uso da Diretiva de Grupo sempre que possvel para implantar a
configurao da segurana. Voc pode gerar um GPO a partir de uma diretiva de
segurana baseada em funes produzida pelo Assistente de Configurao de
Segurana, que incorpora configuraes adicionais a partir de um modelo de
segurana. Depois que o GPO for gerado, voc poder fazer alteraes adicionais
nele usando o snap-in Editor de Gerenciamento da Diretiva de Grupo. As
configuraes no gerenciadas pela Diretiva de Grupo podem ser configuradas em
cada servidor, por meio das configuraes de segurana do GPO local
Laboratrio B: Gerenciamento das

configuraes de segurana
Cenrio
Voc um administrador do domnio contoso.com. Como parte da sua iniciativa
em proteger o servio de diretrio, voc deseja estabelecer uma configurao de
segurana a ser aplicada aos controladores de domnio que, entre outras coisas,
especifica quem pode fazer logon nos controladores de domnio usando a rea de
Trabalho Remota para executar tarefas administrativas.
Exerccio 1: Gerenciar configuraes de segurana local

Neste exerccio, voc criar um grupo que permite gerenciar quem tem permisso
para fazer logon em HQDC01, um controlador de domnio, usando a rea de
Trabalho Remota. Voc far isso definindo configuraes de segurana diretamente
em HQDC01.
2. Habilitar a rea de Trabalho Remota em HQDC01.
3. Criar um grupo de segurana global denominado SYS_rea de Trabalho
Remota do DC.
4. Adicionar SYS_rea de Trabalho Remota do DC ao grupo Usurios da rea de
Trabalho Remota.
5. Configurar a Diretiva de Segurana Local para permitir conexes de rea de
trabalho remota pelo grupo SYS_rea de Trabalho Remota do DC.
6. Reverter a diretiva de segurana local para sua configurao padro.

Tarefa 2: Habilitar a rea de Trabalho Remota em HQDC01

1. Execute Gerenciador de Servidores como administrador, com o nome de
usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Na seo Resumo do Servidor, clique em Configurar rea de Trabalho
Remota e, em seguida, clique em Permitir conexes somente de
computadores que estejam executando a rea de Trabalho Remota com
Autenticao em Nvel de Rede (mais seguro).
3. Feche o Gerenciador de Servidores.
Tarefa 3: Criar um grupo de segurana global denominado SYS_rea

de Trabalho Remota do DC
2. Na UO Admins\Admin Grousp\Server Delegation, crie um grupo de
segurana global denominado SYS_rea de Trabalho Remota do DC.
Tarefa 4: Adicionar SYS_rea de Trabalho Remota do DC ao grupo

Usurios da rea de Trabalho Remota
Para conectar-se usando a rea de Trabalho Remota, um usurio deve ter o direito
de logon de usurio para fazer logon pelos Servios de Terminal, que voc
conceder ao grupo SYS_rea de Trabalho Remota do DC na tarefa seguinte.
Alm disso, o usurio deve ter permisso para se conectar ao RDP-Tcp. Por padro,
os grupos Usurios da rea de Trabalho Remota e Administradores tm permisso
para conectar-se ao RDP-Tcp. Portanto, voc deve adicionar o usurio (ou o grupo
SYS_rea de Trabalho Remota do DC neste caso) ao grupo Usurios da rea de
Trabalho Remota.
1. Adicione o grupo SYS_rea de Trabalho Remota do DC ao grupo Usurios
da rea de Trabalho Remota, encontrado no continer Builtin.
Observao: em vez de adicionar o grupo aos Usurios da rea de Trabalho Remota,

voc pode adicionar o grupo SYS_rea de Trabalho Remota do DC ACL (lista de
controle de acesso) da conexo RDP-Tcp, usando o console da Configurao dos
Servios de Terminal. Clique com o boto direito do mouse em RDP-Tcp e escolha
Propriedades; em seguida, clique na guia Segurana e digite SYS_rea de Trabalho
Remota do DC. Clique em OK duas vezes para fechar as caixas de dilogo.
Tarefa 5: Configurar a Diretiva de Segurana Local para permitir as

conexes de rea de Trabalho Remota pelo SYS_rea de Trabalho
Remota do DC
Em um membro do domnio (estao de trabalho ou servidor), o grupo Usurios
da rea de Trabalho Remota tem permisso para conectar-se ao RDP-Tcp e tem o
direito de usurio para fazer logon pelos Servios de Terminal. Portanto, em um
servidor ou em uma estao de trabalho membro do domnio, a maneira mais fcil
de gerenciar o direito de usurio e a permisso na conexo do RDP-Tcp
adicionando um usurio ou grupo diretamente ao grupo Usurios da rea de
Trabalho Remota.
Como HQDC01 um controlador de domnio, somente os Administradores tm
direito de fazer logon com os Servios de Terminal. Portanto, voc deve conceder
explicitamente ao grupo SYS_rea de Trabalho Remota do DC o direito de logon
de usurio para fazer logon pelos Servios de Terminal.
Execute Diretiva de Segurana Local como administrador, com o nome de
Modifique a configurao de diretiva dos direitos de usurio, Permitir logon
pelos Servios de Terminal, e adicione SYS_rea de Trabalho Remota do DC.
Tarefa 6: Reverter a diretiva de segurana local para sua configurao

padro
Agora, voc reverter a diretiva para seu valor padro em preparao aos exerccios
a seguir.
1. Modifique a configurao de diretiva dos direitos de usurio, Permitir logon
pelos Servios de Terminal, e remova SYS_rea de Trabalho Remota do DC.
2. Feche Diretiva de Segurana Local.
Resultados: aps esse exerccio, voc dever ter definido cada uma das configuraes
locais necessrias para permitir que SYS_rea de Trabalho Remota do DC faa logon
em HQDC01 usando a rea de trabalho remota.
Exerccio 2: Criar um modelo de segurana

Neste exerccio, voc criar um modelo de segurana que concede ao grupo
SYS_rea de Trabalho Remota do DC o direito de fazer logon usando a rea de
Trabalho Remota.
1. Criar um console personalizado do MMC com o snap-in Modelos de
Segurana.
2. Criar um modelo de segurana.
Tarefa 1: Criar um console personalizado do MMC com o snap-in

Modelos de Segurana
1. Execute mmc.exe como administrador, com o nome de usurio
2. Adicione o snap-in Modelos de Segurana.
3. Salve o console como D:\Security Management.msc.
Tarefa 2: Criar um modelo de segurana

1. No snap-in Modelos de Segurana, crie um novo modelo de segurana
chamado rea de Trabalho Remota do DC.
2. Modifique a configurao de diretiva dos direitos de usurio, Permitir logon
pelos Servios de Terminal, e adicione SYS_rea de Trabalho Remota do DC.
3. Usando a configurao Grupos Restritos, configure o modelo para atribuir
SYS_rea de Trabalho Remota do DC ao grupo Usurios da rea de
Trabalho Remota.
4. Salve as alteraes feitas no modelo.
Resultados: aps esse exerccio, voc ter configurado um modelo de segurana

chamado rea de Trabalho Remota do DC, que adiciona o grupo SYS_rea de
Trabalho Remota do DC ao grupo Usurios da rea de Trabalho Remota e concede ao
grupo SYS_rea de Trabalho Remota do DC o direito de logon de usurio para fazer
logon pelos Servios de Terminal.
Exerccio 3: Usar Configurao e Anlise de Segurana

Neste exerccio, voc analisar a configurao de HQDC01, usando o modelo de
segurana rea de Trabalho Remota do DC para identificar discrepncias entre a
configurao atual do servidor e a configurao desejada definida no modelo. Em
seguida, voc criar um novo modelo de segurana.
1. Adicionar o snap-in Configurao e Anlise de Segurana a um console
personalizado.
2. Criar um banco de dados de segurana e importar um modelo de segurana.
3. Analisar a configurao de um computador usando o banco de dados de
segurana.
4. Definir configuraes de segurana usando um banco de dados de segurana.
Tarefa 1: Adicionar o snap-in Configurao e Anlise de Segurana a

um console personalizado
Adicione o snap-in Configurao e Anlise de Segurana a um console
personalizado e salve a alterao no console.
Tarefa 2: Criar um banco de dados de segurana e importar um

modelo de segurana
Criar um novo banco de dados de segurana chamado HQDC01Test.
Importar o modelo de segurana rea de Trabalho Remota do DC.
Tarefa 3: Analisar a configurao de um computador usando o banco

de dados de segurana
1. Na rvore de console, clique com o boto direito do mouse em Configurao
e Anlise de Segurana e, em seguida, clique em Analisar Computador
Agora.
2. Clique em OK para confirmar o caminho padro do log de erros.
O snap-in executa a anlise.
3. Na rvore de console, expanda Configurao e Anlise de Segurana e

Diretivas Locais, e clique em Atribuio de Direitos de Usurio.
Observe que a diretiva Permitir logon pelos Servios de Terminal est
sinalizada com um crculo vermelho e um X. Isso indica uma discrepncia
entre a configurao do banco de dados e a configurao do computador.
4. Clique duas vezes em Permitir logon pelos Servios de Terminal.
Observe as discrepncias. O computador no configurado para permitir que
o grupo Usurios do SYS_rea de Trabalho Remota do DC faa logon pelos
Servios de Terminal.
Observe tambm que a configurao do computador permite atualmente que
os Administradores faam logon pelos Servios de Terminal. Essa uma
configurao importante que deve ser incorporada no banco de dados.
5. Confirme se a caixa de seleo Definir a diretiva no banco de dados est
marcada.
6. Marque a caixa de seleo Administradores, em Config. Banco de Dados.
Isso conferir aos administradores o direito de fazer logon no banco de dados
pelos Servios de Terminal. Esse procedimento no altera o modelo e no afeta
a configurao atual do computador.
7. Clique em OK.
8. Na rvore de console, selecione Grupos Restritos.
9. No painel de detalhes, clique duas vezes em CONTOSO\SYS_rea de
Trabalho Remota do DC.
10. Clique na guia Membro de.
Observe que o banco de dados especifica que o grupo SYS_rea de Trabalho
Remota do DC deve ser um membro de Usurios da rea de Trabalho Remota,
mas o computador no est em conformidade com essa configurao no
momento.
11. Confirme se a caixa de seleo Definir este grupo no banco de dados est
marcada.
12. Clique em OK.
13. Clique com o boto direito do mouse em Configurao e Anlise de

Segurana e, em seguida, clique em Salvar.
Esse procedimento salva o banco de dados de segurana, que inclui as
configuraes importadas do modelo e a alterao que voc fez para permitir
que os Administradores faam logon pelos Servios de Terminal.
A dica exibida na barra de status quando voc passa o cursor sobre o comando
Salvar sugere que o modelo est sendo salvo. A informao est incorreta. Voc
est salvando o banco de dados.
Segurana e, em seguida, clique em Exportar Modelo.
A caixa de dilogo Exportar Modelo ser exibida.
15. Selecione rea de Trabalho Remota do DC e clique em Salvar.
Agora voc substituiu o modelo criado no Exerccio 2 pelas configuraes
definidas no banco de dados do snap-in Configurao e Anlise de Segurana.
Tarefa 4: Definir configuraes de segurana usando um banco de

dados de segurana
1. Feche o console do Gerenciamento de Segurana. Se voc for solicitado a
salvar as configuraes, clique em Sim.
O fechamento e a reabertura do console so necessrios para atualizar as
configuraes mostradas no snap-in Modelos de Segurana.
2. Execute D:\Security Management.msc com credenciais administrativas. Use a
3. Na rvore de console, expanda Modelos de Segurana,
C:\Users\Pat.Coleman_Admin\Documents\Security\Templates, rea de
Trabalho Remota do DC, Diretivas Locais e clique em Atribuio de
Direitos de Usurio.
4. No painel de detalhes, clique duas vezes em Permitir logon pelos Servios de
Terminal.
Observe que os grupos Administradores e SYS_rea de Trabalho Remota do
DC tm permisso para fazer logon no modelo de segurana pelos Servios de
Terminal.
5. Clique em OK.

Segurana e, em seguida, clique em Configurar Computador Agora.
7. Clique em OK para confirmar o caminho do log de erros. As configuraes do
banco de dados so aplicadas ao servidor. Agora, voc confirmar que a
alterao feita no direito de usurio foi aplicada.
8. Execute Diretiva de Segurana Local com credenciais administrativas. Use a
9. Na rvore de console, expanda Diretivas Locais e clique em Atribuio de
Direitos de Usurio.
10. Clique duas vezes em Permitir logon pelos Servios de Terminal.
A caixa de dilogo Propriedades de Permitir logon pelos Servios de Terminal
aberta.
11. Confirme que Administradores e SYS_rea de Trabalho Remota do DC
esto listados.
O console da Diretiva de Segurana Local exibe as configuraes atuais reais
do servidor.
12. Feche o console da Diretiva de Segurana Local.
13. Feche o console personalizado do Gerenciamento de Segurana.
Resultados: aps esse exerccio, voc ter criado e aplicado um modelo de segurana,
que concede ao SYS_rea de Trabalho Remota do DC o direito de fazer logon pelos
Servios de Terminal e adiciona o grupo como membro do grupo Usurios da rea de
Trabalho Remota.
Exerccio 4: Usar o Assistente de Configurao de

Segurana
Neste exerccio, voc usar o Assistente de Configurao de Segurana para criar
uma diretiva de segurana para os controladores do domnio contoso.com com
base na configurao de HQDC01. Em seguida, voc converter a diretiva de
segurana em GPO, que, ento, poder ser implantado em todos os controladores
de domnio por meio da Diretiva de Grupo.
1. Criar uma diretiva de segurana.
2. Transformar uma diretiva de segurana em objeto de Diretiva de Grupo.
Tarefa 1: Criar uma diretiva de segurana

1. Na pasta Ferramentas Administrativas, execute o Assistente de Configurao
de Segurana com credenciais administrativas. Use a conta
2. Na pgina Bem-vindo ao Assistente de Configurao de Segurana, clique
em Avanar.
3. Na pgina Ao de Configurao, selecione Criar nova diretiva de segurana
e clique em Avanar.
4. Na pgina Selecionar Servidor, aceite o nome de servidor padro, HQDC01, e
clique em Avanar.
5. Se desejar, na pgina Processando o Banco de Dados de Configurao de
Segurana, voc pode clicar em Exibir Banco de Dados de Configurao e
explorar a configurao descoberta em HQDC01.
7. Na pgina de introduo da seo Configurao de Servios com Base em
Funes, clique em Avanar.
8. Se desejar, na pgina Selecionar Funes do Servidor, voc pode explorar as
configuraes descobertas em HQDC01, mas no altere nenhuma
configurao. Clique em Avanar.
9. Se desejar, na pgina Selecionar Recursos de Cliente, voc pode explorar as
10. Se desejar, na pgina Selecionar Administrao e Outras Opes, voc pode

explorar as configuraes descobertas em HQDC01, mas no altere nenhuma
11. Se desejar, na pgina Selecionar Servios Adicionais, voc pode explorar as
12. Na pgina Tratando Servios No Especificados, no altere a configurao
padro No alterar o modo de inicializao do servio. Clique em Avanar.
13. Na pgina Confirmar Alteraes no Servio, na lista Exibir, escolha Todos os
Servios.
14. Examine as configuraes da coluna Modo de Incio Atual, que reflete os
modos de inicializao de servio em HQDC01, e as compare com as
configuraes da coluna Modo do Incio da Diretiva.
15. Na lista Exibir, selecione Servios Alterados.
17. Na pgina de introduo da seo Segurana de Rede, clique em Avanar.
18. Se desejar, na pgina Regras de Segurana de Rede, voc pode examinar as
regras de firewall derivadas da configurao de HQDC01. No altere nenhuma
19. Na pgina de introduo da seo Configuraes do Registro, clique em
Avanar.
20. Em cada pgina da seo Configuraes do Registro, examine as
configuraes, mas no altere nenhuma delas, e clique em Avanar. Quando a
pgina Resumo das Configuraes no Registro for exibida, examine as
configuraes e clique em Avanar.
21. Na pgina de introduo da seo Diretiva de Auditoria, clique em Avanar.
22. Na pgina Diretiva de Auditoria do Sistema, examine as configuraes, mas
no as altere. Clique em Avanar.
23. Na pgina Resumo da Diretiva de Auditoria, examine as configuraes nas
colunas Configurao Atual e Configurao de Diretiva. Clique em Avanar.
24. Na pgina de introduo da seo Salvar Diretiva de Segurana, clique em
Avanar.
25. Na caixa de texto Nome do Arquivo da Diretiva de Segurana, clique no final
do caminho do arquivo e digite Diretiva de Segurana do DC.
26. Clique no boto Incluir Modelos de Segurana.

28. Navegue at o modelo rea de Trabalho Remota do DC criado no Exerccio 3,
localizado na pasta Documents\Security\Templates. Depois que tiver
localizado e selecionado o modelo, clique em Abrir.
Tome cuidado para adicionar o arquivo Documents\Security\Templates\rea
de Trabalho Remota do DC.inf, e no o modelo de segurana padro DC
Security.inf.
29. Clique em OK para fechar a caixa de dilogo Incluir Modelos de Segurana.
30. Clique no boto Exibir Diretiva de Segurana.
Voc ser solicitado a confirmar o uso do controle ActiveX.
31. Clique em Sim.
32. Examine a diretiva de segurana. Observe que o modelo rea de Trabalho
Remota do DC est listado na seo Modelos.
33. Feche a janela aps ter examinado a diretiva.
34. No Assistente de Configurao de Segurana, clique em Avanar.
35. Na pgina Aplicar Diretiva de Segurana, aceite a configurao padro
Aplicar Mais Tarde e clique em Avanar.
Tarefa 2: Transformar uma diretiva de segurana em objeto de

Diretiva de Grupo
1. Execute o Prompt de Comando como administrador, com o nome de usurio
2. Digite cd c:\windows\security\msscw\policies e pressione ENTER.
3. Digite scwcmd transform /? e pressione ENTER.
4. Use o comando scwcmd.exe para transformar a diretiva de segurana
"Diretiva de Segurana do DC.xml" e o GPO "Diretiva de Segurana do DC".

6. Examine as configuraes do GPO Diretiva de Segurana do DC. Confirme
que os grupos BUILTIN\Administradores e CONTOSO\SYS_rea de
Trabalho Remota do DC receberam o direito de usurio Permitir logon pelos
Servios de Terminal. Confirme tambm que o grupo CONTOSO\SYS_rea
de Trabalho Remota do DC membro de BUILTIN\Usurios da rea de
Trabalho Remota.
Resultados: aps esse exerccio, voc ter usado o Assistente de Configurao de

Segurana para criar uma diretiva de segurana chamada Diretiva de Segurana do DC
e transformado essa diretiva em um objeto de Diretiva de Grupo chamado Diretiva de
Segurana do DC.

configuraes definidas aqui sero usadas nos laboratrios subsequentes
Pergunta: Descreva a relao entre as configuraes de segurana em um servidor,

a Diretiva de Grupo Local, os modelos de segurana, o banco de dados usado em
Configurao e Anlise de Segurana, a diretiva de segurana criada pelo Assistente
de Configurao de Segurana e a Diretiva de Grupo baseada em domnio.
Lio 3
Gerenciamento do software com o GPSI
Voc talvez esteja ciente das diversas ferramentas que podem ser usadas para
implantar software em uma organizao, incluindo o Microsoft SCCM (System
Center Configuration Manager ou, simplesmente, Gerenciador de Configuraes) e
seu predecessor Microsoft SMS (Systems Management Server). Embora essas
ferramentas ofeream excelentes benefcios, inclusive recursos para avaliar o uso
do software e os sistemas de inventrio, voc pode implantar a maioria dos
software sem essas ferramentas, usando apenas o GPSI (Instalao de Software de
Diretiva de Grupo).
Objetivos
Implantar o software usando o GPSI.
Compreenso do GPSI (Instalao de Software de Diretiva

de Grupo)
Pontos principais
O GPSI (Instalao de Software de Diretiva de Grupo) usado para criar um
ambiente de software gerenciado com as seguintes caractersticas:
Usurios com acesso aos aplicativos de que precisam para realizar suas tarefas,
independentemente do computador em que fazem logon.
Computadores que tm os aplicativos necessrios, sem a interveno de um
representante do suporte tcnico.
Aplicativos que possam ser atualizados, mantidos ou removidos para atender
s necessidades da organizao.
A extenso da instalao do software uma das vrias CSEs (extenses do lado do

cliente) que oferecem suporte ao gerenciamento de alteraes e configuraes por
meio da Diretiva de Grupo. As CSEs foram abordadas no Mdulo 6. A extenso
permite que voc gerencie de modo centralizado a implantao inicial, as
atualizaes e a remoo do software. Todas as configuraes da implantao do
software so gerenciadas em um GPO, por meio de procedimentos que sero
apresentados detalhadamente mais adiante nesta lio.
Pacotes do Windows Installer
O GPSI usa o servio Windows Installer para instalar, manter e remover software.
O Windows Installer gerencia software usando as informaes contidas no pacote
do Windows Installer do aplicativo. Esse pacote um arquivo .msi que descreve a
o estado de instalao do aplicativo. O pacote contm instrues explcitas
referentes instalao e remoo de um aplicativo. Voc pode personalizar os
pacotes do Windows Installer usando um dos seguintes tipos de arquivos:
Arquivos de transformao (.mst). Estes arquivos oferecem um meio de
personalizar a instalao de um aplicativo. Alguns aplicativos oferecem
assistentes ou modelos que permitem que o usurio crie transformaes. Por
exemplo, a Adobe fornece uma ferramenta de implantao corporativa para
Adobe Acrobat Reader que gera uma transformao. Vrias empresas usam a
transformao para configurar a aceitao do contrato de licena de usurio
final e desabilitar determinados recursos do aplicativo, como atualizaes
automticas que envolvem acesso Internet.
Arquivo de patch (.msp). Estes arquivos so usados para atualizar um
arquivo .msi existente de atualizaes de segurana, correes de bug e service
packs. O arquivo .msp fornece instrues sobre como aplicar os arquivos
atualizados e as chaves do Registro ao patch do software, ao service pack ou
atualizao do software. Por exemplo, as atualizaes feitas para Microsoft
Office 2003 e verses posteriores so fornecidas como arquivos .msp.
Observao: instalao de arquivos .msp e .mst. Voc no pode implantar arquivos

.mst ou .msp sozinhos. Eles devem ser aplicados a um pacote existente do Windows
Installer.
O GPSI pode usar os arquivos de aplicativo no MSI (arquivo .zap) de forma

limitada. Esses arquivos tambm so conhecidos como pacotes de aplicativo de
nvel inferior, que especificam o local do SDP (ponto de distribuio de software) e
o comando de instalao. Consulte o artigo 231747 da Base de Dados de
Conhecimento em http://support.microsoft.com/?kbid=231747 para obter
informaes detalhadas. No entanto, a maioria das organizaes no usa arquivos
.zap, pois a instalao do aplicativo requer que o usurio tenha privilgios
administrativos no sistema. Quando o GPSI instala um aplicativo usando um
pacote do Windows Installer, o usurio no precisa de privilgios administrativos,
o que proporciona uma iniciativa mais segura.
Observao: GPSI e pacotes do Windows Installer. O GPSI poder gerenciar

completamente os aplicativos apenas se estes forem implantados por meio dos pacotes
do Windows Installer. Outras ferramentas, como o Gerenciador de Configuraes e o
SMS, podem gerenciar aplicativos que usam outros mecanismos de implantao.
O arquivo .msi, as transformaes e outros arquivos necessrios instalao de um

aplicativo so armazenados em um SDP (ponto de distribuio de software)
compartilhado.
Opes de implantao de software
Voc pode implantar o software atribuindo aplicativos a usurios ou computadores

ou publicando aplicativos para usurios. Voc atribui softwares necessrios ou
obrigatrios a usurios ou computadores. Voc publica softwares que talvez os
usurios achem teis para a execuo de suas tarefas.
Atribuindo aplicativos
Quando voc atribui um aplicativo a um usurio, as configuraes do Registro
locais do aplicativo, incluindo as extenses de nome de arquivo, so atualizadas e
seus atalhos so criados no menu Iniciar ou na rea de trabalho, anunciando,
assim, a disponibilidade do aplicativo. O anncio do aplicativo acompanha o
usurio, independentemente do computador fsico em que ele faa logon. Esse
aplicativo instalado na primeira vez que o usurio ativa o aplicativo no
computador, selecionando o aplicativo no menu Iniciar ou abrindo um documento
associado ao aplicativo. Quando voc atribui um aplicativo ao computador, o
aplicativo instalado durante o processo de inicializao do computador.
Publicando aplicativos
Quando voc publica um aplicativo para os usurios, o aplicativo no aparece
como se estivesse instalado nos computadores dos usurios. Nenhum atalho fica
visvel na rea de trabalho ou no menu Iniciar. Em vez disso, o aplicativo aparece
como disponvel para o usurio instalar por meio do comando Adicionar ou
Remover Programas no Painel de Controle do Windows XP ou por meio de
Programas e Recursos em um sistema Windows Server 2008, Windows Vista ou
Windows 7. Alm disso, o aplicativo pode ser instalado quando um usurio abre
um tipo de arquivo associado ao aplicativo. Por exemplo, se o Acrobat Reader for
anunciado para os usurios, ele ser instalado se um usurio abrir um arquivo .pdf.
Depois que for determinado se os aplicativos podem ser atribudos ou publicados
e direcionados aos usurios ou computadores, ser possvel estabelecer uma
combinao vivel que atenda s suas metas de gerenciamento de software. A
tabela a seguir especifica detalhadamente as diferentes opes de implantao de
software.
Opes de implantao de software
Publicar (somente
usurio) Atribuir (usurio) Atribuir (computador)
Aps a Na prxima vez Na prxima vez que Na prxima vez que o

implantao do que um usurio um usurio fizer computador for
GPO, o software fizer logon. logon. iniciado.
estar disponvel
para instalao:
Geralmente, o Adicionar ou Menu Iniciar ou O software instalado

usurio instala o Remover atalho da rea de automaticamente
software em: Programas no trabalho. Um quando o
Painel de Controle aplicativo tambm computador
(Windows XP) ou pode ser iniciado.
Programas e configurado para ser
Recursos instalado
(Windows Server automaticamente
2008, Windows durante o logon.
Vista, Windows 7).
(continuao)
Publicar (somente
usurio) Atribuir (usurio) Atribuir (computador)
Se o software Sim (se a Sim. No se aplica; o

no estiver instalao software j est
instalado e o automtica estiver instalado.
usurio abrir um habilitada).
arquivo
associado ao
software, o
software ser
instalado?
O usurio pode Sim. Alm disso, o Sim. Alm disso, o No. Somente um
remover o usurio pode optar software estar administrador local
software usando por instal-lo disponvel para pode remover o
o Painel de novamente pelo instalao software; um usurio
Controle? Painel de Controle. novamente nos pode executar um
atalhos do menu reparo no software.
Iniciar ou nas
associaes de
arquivo.
Arquivos de Pacotes do Pacotes do Windows Pacotes do Windows

instalao com Windows Installer Installer (arquivos Installer (arquivos
suporte: (arquivos .msi), .msi). .msi).
arquivos .zap.
Leitura adicional
Viso geral sobre a Instalao do Software de Diretiva de Grupo:
Demonstrao: Criao de um ponto de distribuio de

software
Pontos principais
Agora que voc j conhece um pouco do GPSI, est pronto para preparar o SDP. O
SDP simplesmente uma pasta compartilhada na qual os usurios e computadores
podem instalar aplicativos. Crie uma pasta compartilhada e crie uma pasta
separada para cada aplicativo. Em seguida, copie o pacote de software, as
modificaes e todos os outros arquivos necessrios para as pastas de aplicativo.
Defina as permisses apropriadas nas pastas de modo a conceder aos usurios e
computadores a permisso Ler e Executar, a permisso mnima necessria para
instalar um aplicativo no SDP. Os administradores do SDP devem ser capazes de
alterar e excluir arquivos para manter o SDP ao longo do tempo.
Pa$$w0rd.
2. Inicie 10222A-SERVER01-A, mas no faa logon.

5. Na rvore de console, expanda o domnio contoso.com e a UO Groups e, em
seguida, clique na UO Application.
6. Clique com o boto direito do mouse na UO Application, aponte para Novo e
clique em Grupo.
7. Digite APP_Bloco de Notas XML e pressione ENTER.
8. Na rvore de console, expanda o domnio contoso.com e a UO Servers, e
clique na UO File.
9. No painel de detalhes, clique com o boto direito do mouse em SERVER01 e,
em seguida, clique em Gerenciar.
O console Gerenciamento do Computador aberto, com foco no SERVER01.
10. Na rvore de console, expanda Ferramentas do Sistema e Pastas
compartilhadas. Em seguida, clique em Compartilhamentos.
11. Clique com o boto direito do mouse em Compartilhamentos e, em seguida,
clique em Novo compartilhamento. O Assistente para Criar Pasta
Compartilhada ser exibido.
13. Na caixa Caminho da Pasta, digite C:\Software e clique em Avanar.
Ser exibida uma mensagem perguntando se voc deseja criar a pasta.
14. Clique em Sim.
15. Aceite o nome de compartilhamento padro, Software, e clique em Avanar.
16. Clique em Personalizar permisses e, em seguida, clique no boto
Personalizar.
18. Clique em Avanadas.
A caixa de dilogo Configuraes de Segurana Avanadas ser exibida.
19. Clique em Editar.
20. Desmarque a opo Incluir permisses herdveis provenientes do pai deste
objeto.
Ser exibida uma caixa de dilogo perguntando se voc deseja copiar ou
remover permisses herdadas.
21. Clique em Copiar.

22. Selecione a primeira permisso atribuda ao grupo Usurios e clique em
Remover.
23. Selecione a permisso restante atribuda ao grupo Usurios e clique em
Remover.
24. Selecione a permisso atribuda ao Proprietrio Criador e clique em
Remover.
25. Clique em OK duas vezes para fechar as caixas de dilogo Configuraes de
Segurana Avanadas.
26. Na caixa de dilogo Personalizar permisses, clique na guia Permisses de
Compartilhamento.
27. Marque a caixa de seleo ao lado de Controle Total e, abaixo, marque
Permitir.
A prtica recomendada para gerenciamento de segurana configurar
permisses de privilgios mnimos na ACL do recurso, que tambm se aplicar
aos usurios, independentemente de como eles se conectam ao recurso; nesse
ponto, voc poder usar a permisso Controle Total na pasta compartilhada
SMB. O nvel de acesso resultante ser as permisses mais restritivas definidas
na ACL da pasta.
28. Clique em OK.
30. Clique em Concluir para fechar o assistente.
31. Clique em Iniciar, clique em Executar, digite \\SERVER01\c$ e pressione
ENTER.
A caixa de dilogo Conectar ao SERVER01 ser exibida.
32. Na caixa Nome de usurio, digite CONTOSO\Pat.Coleman_Admin.
A janela do Windows Explorer aberta, com foco na raiz da unidade C no
SERVER01.
34. Abra a pasta Software.
35. No menu Arquivo, aponte para Novo e clique em Pasta.
Uma nova pasta ser criada e estar no "modo de renomeao".
36. Digite Bloco de Notas XML e pressione ENTER.

37. Clique com o boto direito do mouse na pasta Bloco de Notas XML e clique
em Propriedades.
39. Clique em Editar.
40. Clique em Adicionar. A caixa de dilogo Selecionar Usurios, Computadores
ou Grupos ser exibida.
41. Digite APP_Bloco de Notas XML e pressione ENTER.
O grupo recebe a permisso padro Ler e Executar.
42. Clique em OK duas vezes para fechar todas as caixas de dilogo abertas.
43. Abra a pasta Bloco de Notas XML.
44. Abra a pasta D:\Labfiles\Lab07b em uma nova janela.
45. Clique com o boto direito do mouse em XMLNotepad.msi e clique em
Copiar.
46. Alterne para a janela do Windows Explorer exibindo
\\server01\c$\Software\Bloco de Notas XML.
47. Clique com o boto direito do mouse no painel de detalhes vazio e clique em
Colar.
O Bloco de Notas XML copiado para a pasta em SERVER01.
48. Feche todas as janelas abertas do Windows Explorer.
49. Feche o console Gerenciamento do Computador.
Criao de um GPO de implantao de software e projeto

de seu escopo
Pontos principais
Para criar um GPO de implantao de software:
1. Use o console de Gerenciamento de Diretiva de Grupo para criar um novo
GPO ou selecionar um GPO existente.
2. Edite o GPO usando Editor de Gerenciamento da Diretiva de Grupo.
3. Expanda os ns de console Configurao do Computador\Diretivas
\Configuraes de Software\Instalao de Software. Se desejar, selecione o
n Instalao de Software na ramificao Configurao do Usurio.
4. Clique com o boto direito do mouse em Instalao de Software, escolha
Novo e selecione Pacote.
5. Localize o arquivo .msi do aplicativo. Clique em Abrir.

A caixa de dilogo Implantar Software ser exibida, conforme mostrado na
captura de tela a seguir:
6. Selecione Publicado, Atribudo ou Avanado.

No possvel publicar um aplicativo em computadores. Portanto, a opo
no estar disponvel se voc estiver criando o pacote no n Instalao de
Software em Configurao do Computador.
A opo Avanado permite que voc especifique se o aplicativo publicado ou
atribudo e d a voc a oportunidade de configurar propriedades avanadas do
pacote de software. Portanto, recomendvel que voc escolha Avanado. A caixa
de dilogo de propriedades de pacote ser exibida. Entre as propriedades mais
importantes que voc pode configurar, esto as seguintes opes:
Tipo de Implantao: na guia Implantao, configure Publicado ou
Atribudo.
Opes de Implantao: com base no tipo de implantao selecionado,
diferentes opes aparecero na seo Opes de Implantao. Essas
opes, juntamente com outras configuraes da guia Implantao,
gerenciam o comportamento da instalao do aplicativo.
Desinstalar Este Aplicativo Quando Ele Ficar Fora do Escopo de
Gerenciamento: se esta opo for selecionada, o aplicativo ser removido
automaticamente quando o GPO no se aplicar mais ao usurio ou
computador.
Atualizaes: na guia Atualizaes, voc poder especificar o software que

este pacote atualizar. As atualizaes sero abordadas na seo Manter o
software implantado com o GPSI posteriormente nesta lio.
Categorias: a guia Categorias permite que voc associe o pacote a uma ou
mais categorias. As categorias so usadas quando um aplicativo
publicado para um usurio. Quando o usurio entra no Painel de Controle
para instalar um programa, os aplicativos publicados que usam o GPSI so
apresentados em grupos com base nessas categorias.
Para criar categorias que estejam disponveis para serem associadas aos
pacotes, clique o boto direito do mouse em Instalao de Software e
escolha Propriedades. Em seguida, clique na guia Categorias.
Modificaes: se voc tiver uma transformao (arquivo .mst) que
personalize o pacote, clique no boto Adicionar para associar a
transformao ao pacote. A maioria das guias da caixa de dilogo
Propriedades estaro disponveis para voc alterar configuraes a
qualquer momento. No entanto, a guia Modificaes s estar disponvel
quando voc criar o novo pacote e escolher a opo Avanado.
Gerenciando o escopo de um GPO de implantao de software

Aps criar um GPO de implantao de software, voc poder criar o escopo do
GPO para distribuir o software aos computadores ou usurios apropriados. Em
vrios cenrios de gerenciamento de software, os aplicativos devem ser atribudos
ao computadores, e no aos usurios. Isso acontece porque a maioria das licenas
de software permite que um aplicativo seja instalado em um computador e, se o
aplicativo for atribudo a um usurio, o aplicativo ser instalado em cada
computador no qual o usurio faa logon.
Como voc aprendeu no Mdulo 6, possvel criar o escopo de um GPO
vinculando o GPO a uma UO ou filtrando o GPO de modo que ele se aplique
apenas a um grupo de segurana global selecionado. Vrias organizaes
descobriram que mais fcil gerenciar o software vinculando o GPO de um
aplicativo ao domnio e filtrando o GPO com um grupo de segurana global que
contenha os usurios e computadores nos quais o aplicativo deve ser implantado.
Por exemplo, um GPO que implanta a ferramenta Bloco de Notas XML (disponvel
no site de download da Microsoft em http://www.microsoft.com/downloads/en
/default.aspx) seria vinculado ao domnio e filtrado com um grupo que contenha
os desenvolvedores que precisam da ferramenta. O grupo teria um nome descritivo
que indicaria seu objetivo de gerenciar a implantao do Bloco de Notas XML; por
exemplo, APP_Bloco de Notas XML.
Manuteno do software implantado com o GPSI
Pontos principais
Depois que um computador instalar um aplicativo usando o pacote do Windows
Installer especificado por um GPO, o computador no tentar reinstalar o
aplicativo a cada atualizao da Diretiva de Grupo. Talvez haja cenrios em que
voc precise forar os sistemas a reinstalar o aplicativo. Por exemplo, pequenas
alteraes possivelmente foram feitas no pacote original do Windows Installer.
Para reimplantar um aplicativo implantado com a Diretiva de Grupo:
Clique com o boto direito do mouse no pacote no GPO, clique em Todas as
Tarefas e selecione Reimplantar aplicativo.
Voc tambm pode atualizar um aplicativo que tenha sido implantado com o GPSI.
1. Crie um pacote para a nova verso do aplicativo no n Instalao de Software
do GPO.
O pacote pode estar no mesmo GPO que o pacote da verso anterior ou em
qualquer outro GPO.
2. Clique com o boto direito do mouse no pacote e escolha Propriedades.
3. Clique na guia Atualizaes e, em seguida, clique no boto Adicionar.
A caixa de dilogo Adicionar Pacote de Atualizao ser exibida.
4. Especifique se o pacote da verso anterior do aplicativo est no GPO atual ou

em outro GPO. Se o pacote anterior estiver em outro GPO, clique no boto
Procurar para selecionar esse GPO.
5. Em seguida, selecione o pacote na lista Pacote a ser atualizado.
6. Tomando como base o comportamento de atualizao do aplicativo, escolha
uma das opes de atualizao mostradas na parte inferior da caixa de dilogo.
Desinstalar o pacote existente e instalar o pacote de atualizao
Atualizar o pacote sobre o existente
7. Clique em OK.
Voc tambm pode remover um aplicativo que tenha sido implantado com o GPSI.
1. Clique com o boto direito do mouse no pacote, clique em Todas as Tarefas e
selecione Remover.
2. Na caixa de dilogo Remover Software, escolha uma das opes a seguir:
Desinstalar imediatamente o software dos usurios e computadores.
Esta opo, conhecida como remoo forada, faz com que os
computadores removam o aplicativo. A extenso de instalao do software
remover um aplicativo quando o computador for reiniciado caso o
aplicativo tenha sido implantado com um pacote na parte Configurao
do Computador do GPO. Se o pacote estiver na parte Configurao do
Usurio, o aplicativo ser desinstalado na prxima vez que o usurio fizer
logon.
Permitir Que Os Usurios Continuem a Usar o Software, Mas Impedir
Novas Instalaes Esta configurao, conhecida como remoo opcional,
faz com que a extenso de instalao do software evite adicionar o pacote
aos sistemas que ainda no tm o pacote instalado. Os computadores que
j tinham instalado o aplicativo no foram a desinstalao do mesmo;
portanto, os usurios podem continuar a utiliz-lo.
Se voc usar uma dessas duas opes para remover o software por meio do GPSI,
importante permitir que as configuraes no GPO sejam propagadas para todos os
computadores dentro do escopo do GPO antes de excluir, desabilitar ou
desvincular o GPO. Os clientes precisam receber essa configurao, que especifica
a remoo forada ou opcional. Se o GPO for excludo ou no for mais aplicado at
que todos os clientes tenham recebido essa configurao, o software no ser
removido de acordo com as suas instrues. Isso particularmente importante nos
ambientes com usurios mveis em laptops que no podem se conectar rede
regularmente.
Se, ao criar o pacote de software, voc escolher a opo Desinstalar Este Aplicativo
Quando Ele Ficar Fora do Escopo de Gerenciamento, poder simplesmente
excluir, desabilitar ou desvincular o GPO e o aplicativo ser removido
forosamente por todos os clientes que instalaram o pacote com essa configurao.
GPSI e links lentos
Pontos principais
Quando um cliente executar uma atualizao de Diretiva de Grupo, ele testar o
desempenho da rede para determinar se ela est conectada por meio de um link
lento definido, por padro, como 500 quilobits por segundo (kbps). Cada
extenso do lado do cliente configurado para processar a Diretiva de Grupo ou
ignorar a aplicao das configuraes em um link lento. Por padro, o GPSI no
processa as configuraes de Diretiva de Grupo em um link lento porque a
instalao do software em um link lento pode ocasionar atrasos significativos.
Voc pode alterar o comportamento do processamento da diretiva em link lento de
cada extenso do lado do cliente, usando as configuraes de diretiva localizadas
em Configurao do Computador\Diretivas\Modelos Administrativos\Sistema
\Diretiva de Grupo. Por exemplo, voc poderia modificar o comportamento da
extenso de instalao do software de modo que ele processe diretivas em um link
lento.
Voc tambm pode alterar o limite de velocidade da conexo que constitui um link
lento. Configurando um limite baixo para a velocidade da conexo, possvel
convencer a extenso do lado do cliente de que uma conexo no um link lento,
mesmo que ela realmente seja. Existem configuraes de diretiva separadas para
deteco de link lento de Diretiva de Grupo para o processamento de diretivas de
computador e de diretivas de usurio. As diretivas esto nas pastas Modelos
Administrativos\Sistema\Diretiva de Grupo em Configurao do Computador e
Configurao do Usurio.
Laboratrio C: Gerenciamento do software com

o GPSI
Cenrio
Voc administrador na Contoso, Ltd. Seus desenvolvedores precisam do Bloco
de Notas XML para editar arquivos XML e voc quer automatizar a implantao e o
gerenciamento do ciclo de vida do aplicativo. Voc decide usar a Diretiva de Grupo
de Instalao de Software. A maioria dos aplicativos so licenciados por
computador; portanto, voc implantar o Bloco de Notas XML nos computadores
dos desenvolvedores, em vez de associar o aplicativo s contas de usurio.
Exerccio 1: Implantar software com o GPSI

Neste exerccio, voc usar o GPSI para implantar o Bloco de Notas XML nos
computadores, incluindo o DESKTOP101.
2. Criar uma pasta de distribuio de software.
3. Criar um GPO de implantao de software.
4. Implantar software em computadores.
5. Confirmar a implantao bem-sucedida do software.

Pa$$w0rd.
3. Aguarde at que SERVER01 conclua a inicializao antes de passar para a
prxima tarefa.
Tarefa 2: Criar uma pasta de distribuio de software

Pa$$w0rd.
2. Na UO Groups\Application, crie um novo grupo de segurana global
denominado APP_Bloco de Notas XML.
3. Na UO Servers\File, clique com o boto direito do mouse em SERVER01 e,
em seguida, clique em Gerenciar.
4. Use o snap-in Pastas compartilhadas para criar uma nova pasta
compartilhada, C:\Software, com o nome de compartilhamento Software.
Configure as permisses NTFS conforme descrito a seguir:
Sistema::Permitir::Controle Total
Administradores::Permitir::Controle Total
E configure a permisso Compartilhar de modo que o grupo Todos tenha a

permisso Controle Total.
A prtica recomendada para gerenciamento de segurana configurar
permisses de privilgios mnimos na ACL do recurso, que tambm se aplicar
aos usurios, independentemente de como eles se conectam ao recurso; nesse
ponto, voc poder usar a permisso Controle Total na pasta compartilhada
SMB. O nvel de acesso resultante ser as permisses mais restritivas definidas
na ACL da pasta.
5. Abra o compartilhamento administrativo da unidade C no SERVER01
(\\SERVER01\c$) como Pat.Coleman_Admin com a senha Pa$$w0rd.
6. Na pasta Software em SERVER01, crie uma pasta chamada Bloco de Notas
XML.
7. Adicione a permisso pasta Bloco de Notas XML para que o grupo
APP_Bloco de Notas XML receba a permisso Ler e Executar.
8. Copie XML Notepad.msi de D:\Labfiles\Lab07b para
\\SERVER01\c$\Software\Bloco de Notas XML.
9. Feche todas as janelas abertas do Windows Explorer.
10. Feche o console Gerenciamento do Computador.
Tarefa 3: Criar um GPO de implantao de software

2. No continer Objetos de Diretiva de Grupo, crie um novo GPO chamado
Bloco de Notas XML. Edite esse GPO.
3. Expanda Configurao do Computador, Diretivas, Configuraes de
Software e clique em Instalao de Software.
4. Clique com o boto direito do mouse em Instalao de Software, aponte para
Novo e clique em Pacote.
5. Na caixa de texto Nome do arquivo, digite o caminho de rede para a pasta de
distribuio de software, \\server01\software\Bloco de Notas XML, e
pressione ENTER.
6. Selecione o pacote do Windows Installer, XmlNotepad.msi e clique em Abrir.
Aps alguns momentos, a caixa de dilogo Implantar Software ser exibida.
7. Clique em Avanado e, em seguida, clique em OK.

8. Na guia Geral, observe que o nome do pacote inclui a verso, XML Notepad
2007.
9. Clique na guia Implantao.
Observe que, ao implantar software nos computadores, Atribudo a nica
opo. Examine as opes que estariam disponveis se voc estivesse
atribuindo ou publicando o aplicativo para os usurios.
10. Selecione Desinstalar Este Aplicativo Quando Ele Ficar Fora do Escopo de
Gerenciamento.
11. Clique em OK.
12. Feche o GPME.
13. Crie o escopo do GPO para aplicar somente ao membros de APP_Bloco de
Notas XML, e no aos Usurios Autenticados.
14. Vincule o GPO UO Client Computers.
Tarefa 4: Implantar software em computadores

1. Adicione DESKTOP101 ao grupo APP_Bloco de Notas XML.
2. Inicie 10222A-DESKTOP101-A, mas no faa logon.
Tarefa 5: Confirmar a implantao bem-sucedida do software

1. Faa logon em DESKTOP101 como Pat.Coleman com a senha Pa$$w0rd.
2. Confirme se Bloco de Notas XML foi instalado com xito.
Observao: ao verificar a implantao do bloco de notas xml, talvez sejam necessrias

duas inicializaes para que a implantao tenha xito, ou seja, se voc no vir o Bloco
de Notas instalado, reinicie a mquina virtual. Talvez seja necessrio fazer isso algumas
vezes.
Resultados: aps esse exerccio, voc ter implantado o Bloco de Notas XML em
DESKTOP101.
Exerccio 2: Atualizar aplicativos com o GPSI

Neste exerccio, voc simular a implantao de uma verso atualizada do Bloco de
Notas XML.
Criar um pacote de atualizao usando o GPSI.
Tarefa 1: Criar um pacote de atualizao usando o GPSI

2. Na rvore de console de Gerenciamento de Diretiva de Grupo, clique com o
boto direito do mouse no GPO Bloco de Notas XML no continer Objetos
de Diretiva de Grupo e clique em Editar.
O GPME ser aberto.
3. Na rvore de console, expanda Configurao do Computador, Diretivas,
Configuraes de Software e clique em Instalao de Software.
4. Clique com o boto direito do mouse em Instalao de Software, aponte para
Novo e clique em Pacote.
5. Na caixa de texto Nome do arquivo, digite o caminho de rede para a pasta de
distribuio de software, \\server01\software\Bloco de Notas XML, e
pressione ENTER.
Este exerccio usar o arquivo XmlNotepad.msi existente como se ele fosse
uma verso atualizada do Bloco de Notas XML.
6. Selecione o pacote do Windows Installer, XmlNotepad.msi, e clique em Abrir.
A caixa de dilogo Implantar Software ser exibida.
7. Clique em Avanado e, em seguida, clique em OK.
8. Na guia Geral, altere o nome do pacote de modo a sugerir que ele a prxima
verso do aplicativo. Digite Bloco de Notas XML 2010.
9. Clique na guia Implantao. Como voc est implantando os aplicativos em
computadores, Atribudo a nica opo de tipo de implantao.
10. Clique na guia Atualizaes.
12. Clique na opo Objeto de Diretiva de Grupo Atual.
13. Na lista Pacote a ser atualizado, selecione o pacote da verso anterior

simulada, Bloco de Notas XML 2007.
14. Clique na opo Desinstalar o pacote existente e instalar o pacote de
atualizao.
15. Clique em OK.
16. Clique em OK.
Se essa fosse uma atualizao real, o novo pacote atualizaria a verso anterior
do aplicativo quando os clientes aplicassem o GPO Bloco de Notas XML.
Como se trata apenas de uma simulao, voc pode remover o pacote da
atualizao simulada.
17. Clique com o boto direito do mouse em Bloco de Notas XML 2010, que voc
acabou de criar para simular uma atualizao, aponte para Todas as Tarefas e
selecione Remover.
18. Na caixa de dilogo Remover Software, clique em Desinstalar imediatamente
o software dos usurios e computadores e, em seguida, clique em OK.
Resultados: aps esse exerccio, voc ter simulado a atualizao do Bloco de Notas
XML usando o GPSI.

Pergunta: Considere as permisses NTFS que voc aplicou s pastas Software e

Bloco de Notas XML em SERVER01. Explique por que essas permisses de
privilgios mnimos so preferenciais em relao s permisses padro.
Pergunta: Considere os mtodos usados para criar o escopo da implantao do

Bloco de Notas XML: atribuio do aplicativo aos computadores, filtragem do GPO
de modo a aplic-lo ao grupo APP_Bloco de Notas XML que contm apenas
computadores e vinculao do GPO UO Client Computers. Por que essa
abordagem vantajosa na implantao da maioria dos softwares? Qual seria a
desvantagem em criar o escopo da implantao do software para os usurios, e no
para os computadores?
Lio 4
Auditoria
A auditoria uma componente importante da segurana. A auditoria registra as

atividades especificadas na sua empresa no log Segurana do Windows, que voc
pode monitorar para compreender essas atividades e identificar os problemas que
asseguram uma investigao mais detalhada. A auditoria pode registrar as
atividades bem-sucedidas para fornecer a documentao das alteraes. Ela
tambm pode registrar tentativas malsucedidas e potencialmente mal-
intencionadas de acesso aos recursos corporativos. A auditoria envolve at trs
ferramentas de gerenciamento: diretiva de auditoria, configuraes de auditoria em
objetos e o log Segurana. Nesta lio, voc aprender a configurar a auditoria para
lidar com vrios cenrios comuns.
Objetivos
Configurar a diretiva de auditoria.
Definir as configuraes de auditoria nos objetos do sistema de arquivos.
Exibir o log Segurana usando o snap-in Visualizar Eventos.
Viso geral das diretivas de auditoria
Pontos principais
A Diretiva de Auditoria configura um sistema para fazer a auditoria das categorias
de atividades. Se a Diretiva de Auditoria no estiver habilitada, um servidor no
far a auditoria dessas atividades. A captura de tela da pgina seguinte mostra o n
Diretiva de Auditoria de um GPO expandido:
Para configurar a auditoria, voc deve definir a configurao de diretiva. Clique

duas vezes em qualquer configurao de diretiva e selecione a caixa de seleo
Definir Estas Configuraes de Diretivas. Em seguida, especifique se habilitar a
auditoria de eventos com xito, eventos com falha ou ambos.
A tabela a seguir define cada diretiva de auditoria e suas configuraes padro em
um controlador de domnio do Windows Server 2008.
Diretivas de auditoria
Configurao padro para

Configurao da controladores de domnio
diretiva de auditoria Explicao do Windows Server 2008
Eventos de Logon de Cria um evento em que um Os logons de conta
Conta de Auditoria usurio ou computador tenta bem-sucedidos passam
realizar a autenticao usando a por auditoria.
conta do Active Directory. Por
exemplo, quando um usurio faz
logon em qualquer computador
do domnio, um evento de logon
de conta gerado.
(continuao)
Configurao padro
para controladores de
Configurao da domnio do Windows
diretiva de auditoria Explicao Server 2008
Eventos de Logon de Cria um evento quando um Os logons bem-sucedidos

Auditoria usurio faz logon de modo passam por auditoria.
interativo (localmente) em um
computador ou na rede
(remotamente). Por exemplo, se
uma estao de trabalho e um
servidor forem configurados para
fazer a auditoria dos eventos de
logon, a estao de trabalho
realizar a auditoria de um
usurio fazendo logon
diretamente nessa estao de
trabalho. Quando o usurio se
conecta a uma pasta
compartilhada no servidor, este
registra esse logon remoto.
Quando um usurio faz logon, o
controlador de domnio registra
um evento de logon porque as
diretivas e os scripts de logon so
recuperados no DC.
Gerenciamento de Eventos de auditoria, incluindo a As atividades de

Conta de Auditoria criao, a excluso ou a gerenciamento de conta
modificao de contas de bem-sucedidas passam
usurio, grupo ou computador, e por auditoria.
a redefinio de senhas de
usurio.
(continuao)
Configurao padro
Auditoria de Acesso Faz a auditoria dos eventos que Os eventos bem-

ao Servio de so especificados na SACL (ACL sucedidos de acesso ao
Diretrio do sistema), que exibida na servio de diretrio
caixa de dilogo Configuraes passam por auditoria,
de Segurana Avanadas das mas as SACLs de poucos
Propriedades do objeto do Active objetos especificam
Directory. Alm de definir a configuraes de
diretiva de auditoria com essa auditoria.
configurao, voc tambm deve
configurar a auditoria para um
ou mais objetos usando a SACL
desses objetos. Essa diretiva
similar diretiva Auditoria de
Acesso a Objetos usada para
fazer a auditoria de arquivos e
pastas, mas ela se aplica a
objetos do Active Directory.
Auditoria de Alterao Faz a auditoria das alteraes As alteraes de diretiva

de Diretivas efetuadas nas diretivas de bem-sucedidas passam
atribuio de direitos de usurio, por auditoria.
diretivas de auditoria ou diretivas
de confiana.
Auditoria de Uso de Faz a auditoria do uso de um Por padro, nenhuma

Privilgios privilgio ou direito de usurio. auditoria executada.
Consulte o texto explicativo
dessa diretiva no GPME (Editor
de Gerenciamento da Diretiva de
Grupo).
Auditoria de Eventos Faz a auditoria da reinicializao Os eventos de sistema

de Sistema do sistema, do desligamento ou bem-sucedidos passam
das alteraes que afetam o log por auditoria.
de segurana ou do sistema.
(continuao)
Configurao padro
Auditoria de Controle Faz a auditoria de eventos como Nenhum evento passa

de Processos a ativao de programas e a por auditoria.
sada de processos. Consulte o
texto explicativo desta diretiva no
GPME.
Auditoria de Acesso a Faz a auditoria do acesso a Nenhum evento passa

Objetos objetos como arquivos, pastas, por auditoria.
chaves do Registro e impressoras
que tm suas prprias SACLs.
Alm de habilitar essa diretiva de
auditoria, voc deve configurar
as entradas de auditoria nas
SACLs dos objetos.
Como voc pode ver, a maioria dos eventos do Active Directory j foi auditorada
pelos controladores de domnio, assumindo que os eventos obtiveram xito.
Portanto, a criao de um usurio, a redefinio da senha de um usurio, o logon
no domnio e a recuperao dos scripts de logon de um usurio so todos
registrados.
No entanto, por padro, nem todos os eventos com falha passam por auditoria.
Talvez seja necessrio implementar uma auditoria de falha adicional com base nos
requisitos e nas diretivas de segurana de TI da organizao. A auditoria dos
eventos de logon de conta com falha, por exemplo, exporo as tentativas mal-
intencionadas de acesso ao domnio tentando fazer logon vrias vezes em uma
conta de usurio do domnio sem saber a senha da conta. A auditoria dos eventos
de gerenciamento de conta com falha podem revelar a algum a tentativa de
manipular os membros de um grupo sensvel segurana.
Uma das tarefas mais importantes que voc deve executar balancear e alinhar a
diretiva de auditoria com suas diretivas corporativas e a realidade. A diretiva
corporativa pode declarar que todos os logons com falha e alteraes bem-
sucedidas feitas nos usurios e grupos do Active Directory devem passar por
auditoria. fcil fazer isso no Active Directory. Mas como exatamente voc usar
essas informaes? Os logs de auditoria detalhados no sero teis se voc no
souber como gerenciar esses logs ou no tiver as ferramentas para faz-lo. Para
implementar a auditoria, voc deve estar a par dos requisitos comerciais para
realizar a auditoria, alm de ter uma diretiva de auditoria corretamente configurada
e as ferramentas com as quais gerenciar os eventos que passaram por auditoria.
Especificao de configuraes de auditoria em um arquivo

ou em uma pasta
Pontos principais
A maioria das organizaes prefere fazer a auditoria do acesso ao sistema de
arquivos para obter informaes sobre o uso dos recursos e os problemas de
segurana potenciais. O Windows Server 2008 oferece suporte auditoria granular
com base em contas de usurio ou grupo e s aes executadas por essas contas.
Para configurar a auditoria, voc deve concluir trs etapas: especificar
configuraes de auditoria, habilitar a diretiva de auditoria e avaliar eventos no log
de segurana.
Voc pode fazer a auditoria do acesso a um arquivo ou a uma pasta adicionando
entradas de auditoria SACL (lista de controle de acesso do sistema).
1. Abra a caixa de dilogo de propriedades do arquivou ou da pasta e, em
seguida, clique na guia Segurana.
3. Clique na guia Auditoria.

A caixa de dilogo Configuraes de Segurana Avanadas de uma pasta
chamada Dados Confidenciais, conforme ilustrado na captura de tela a seguir:
4. Para adicionar uma entrada, clique no boto Editar para abrir a guia Auditoria
no modo Editar.
5. Clique no boto Adicionar para selecionar o usurio, grupo ou computador
que passar pela auditoria.
6. Na caixa de dilogo Entrada de auditoria mostrada na captura de tela a

seguir, indique o tipo de acesso que ser submetido a auditoria:
Voc pode fazer a auditoria de eventos com xito, de eventos com falha ou de
ambos quando o usurio, grupo ou computador tenta acessar o recurso usando
um ou mais nveis de acesso granular.
Voc pode fazer a auditoria dos eventos com xito:
Para registrar em log o acesso a recursos para fins de gerao de relatrios e
cobrana
Para monitorar o acesso que sugere que os usurios estejam executando aes
maiores do que voc havia planejado, indicando permisses muito amplas
Para identificar o acesso que est fora do escopo de uma conta especfica, o
que pode ser indcio de que uma conta de usurio foi violada por um hacker
A auditoria dos eventos com falha permite a voc:

Monitorar as tentativas mal-intencionadas de acesso a um recurso para o qual
o acesso foi negado.
Identificar tentativas com falha de acesso a um arquivo ou a uma pasta que o
usurio precisa acessar. Isso indicaria que as permisses no so suficientes
para atender a um requisito comercial.
A auditoria das entradas instrui o Windows a fazer a auditoria das atividades com
xito e com falha de uma entidade de segurana (usurio, grupo ou computador)
para usar uma permisso especfica. O exemplo na captura de tela da caixa de
dilogo Entrada de auditoria exibida anteriormente faz a auditoria das tentativas
malsucedidas dos usurios do grupo Consultores de acessar os dados da pasta
Dados Confidenciais em qualquer nvel. Isso feito por meio da configurao de
uma entrada de auditoria para o acesso de Controle Total. O Controle Total inclui
todos os nveis de acesso; portanto, essa entrada abrange qualquer tipo de acesso.
Se um membro do grupo Consultores tentar um acesso de qualquer tipo e no
obtiver xito, a atividade ser registrada.
Geralmente, as entradas de auditoria refletem as entradas de permisso do objeto.
Em outras palavras, voc configurar a pasta Dados Confidenciais com permisses
que impedem os Consultores de acessar seu contedo. Em seguida, voc usar a
auditoria para monitorar os Consultores que, entretanto, tentam acessar a pasta.
Tenha em mente, claro, que um membro do grupo Consultores tambm pode
pertencer a outro grupo que no tenha permisso para acessar a pasta. Como esse
acesso ser bem-sucedido, a atividade no ser registrada. Portanto, se voc
realmente est preocupado em manter os usurios fora de uma pasta e em
assegurar que eles no tenham acesso a ela de modo algum, monitore as tentativas
de acesso com falha. No entanto, faa a auditoria tambm do acesso bem-sucedido
para identificar situaes em que um usurio esteja acessando a pasta por meio de
outros membros de grupo que so potencialmente incorretos.
Importante: no faa auditorias em excesso. Os logs de auditoria tm a tendncia de

crescer rapidamente; portanto, a regra de ouro para a auditoria configurar o mnimo
necessrio para realizar a tarefa corporativa. A auditoria de eventos com xito e com
falha em uma pasta de dados ativa para o grupo Todos usando Controle Total (todas as
permisses) gerar logs de auditoria enormes que podem afetar o desempenho do
servidor e tornar a localizao de um evento auditorado totalmente impossvel.
Habilitao da diretiva de auditoria
Pontos principais
A configurao de entradas de auditoria no descritor de segurana de um arquivo
ou de uma pasta habilita a auditoria. A auditoria deve ser habilitada por meio da
configurao Auditoria de Acesso a Objetos mostrada na pgina a seguir:
Depois que a auditoria for habilitada, o subsistema de segurana comear a

prestar ateno nas configuraes de auditoria e a registrar o acesso conforme
instrudo por essas configuraes.
A configurao de diretiva deve ser aplicada ao servidor que contm o objeto que
est passando por auditoria Voc pode definir a configurao de diretiva no GPO
local do servidor ou usar um GPO com escopo no servidor.
Voc pode definir a diretiva e, em seguida, fazer a auditoria dos eventos com xito,
dos eventos com falha ou de ambos. A configurao de diretiva (mostrada acima)
deve especificar a auditoria das tentativas com xito e com falha que correspondem
ao tipo de entrada de auditoria na SACL do objeto (mostrada no tpico anterior).
Por exemplo, para registrar uma tentativa malsucedida dos Consultores de acessar
a pasta Dados Confidenciais, configure a diretiva Auditoria de Acesso a Objetos e a
SACL da pasta Dados Confidenciais para fazer a auditoria das falhas. Se a diretiva
de auditoria fizer auditoria apenas das tentativas bem-sucedidas, as entradas com
falha na SACL da pasta no dispararo o registro.
Observao: assegurando que a diretiva de auditoria corresponde s entradas de

auditoria. Lembre-se de que o acesso auditorado e registrado a combinao das
entradas de auditoria em arquivos e pastas especficas e das configuraes na Diretiva de
Auditoria. Se voc tiver configurado entradas de auditoria para registrar falhas, mas a
diretiva habilitar apenas o registro das tentativas bem-sucedidas, os logs de auditoria
permanecero vazios.
Avaliao de eventos no log Segurana
Pontos principais
Depois que voc tiver habilitado a configurao da diretiva Auditoria de Acesso a
Objetos e especificado o acesso que passar por auditoria, usando as SACLs do
objeto, o sistema comear a registrar o acesso de acordo com as entradas de
auditoria. Voc pode exibir os eventos resultantes no log Segurana do servidor.
Abra o console do Visualizar Eventos no menu Ferramentas Administrativas.
Expanda Logs do Windows\Segurana.
Laboratrio D: Auditoria do acesso ao sistema

de arquivos
Cenrio
Neste laboratrio, voc definir as configuraes de auditoria, habilitar as
diretivas de auditoria para acesso a objetos e filtrar eventos especficos no log de
segurana. O objetivo corporativo monitorar uma pasta com dados confidenciais
que no deve ser acessada pelos usurios do grupo Consultores.
Exerccio 1: Configurar permisses e configuraes de

auditoria
Neste exerccio, voc configurar permisses na pasta Dados Confidenciais para
negar o acesso aos consultores. Em seguida, voc habilitar a auditoria das
tentativas dos consultores de acessar a pasta.
2. Criar e proteger uma pasta compartilhada.
3. Definir configuraes de auditoria em uma pasta.

Pa$$w0rd.
3. Inicie 10222A-DESKTOP101-A, mas no faa logon
4. Aguarde todas as mquinas virtuais conclurem a inicializao antes de passar
para a prxima tarefa.
Tarefa 2: Criar e proteger uma pasta compartilhada

3. Na UO Groups\Role, crie um novo grupo de segurana global denominado
Consultores.
4. Adicione Mike.Danseglio ao grupo Consultores.
5. Crie uma nova pasta em \\server01\c$\data chamada Dados Confidenciais.
6. Configure permisses NTFS que neguem ao grupo Consultores qualquer
acesso pasta.
Tarefa 3: Definir configuraes de auditoria em uma pasta

Defina configuraes de auditoria na pasta Dados Confidenciais para fazer a
auditoria de qualquer acesso com falha do grupo Consultores.
Exerccio 2: Configurar diretiva de auditoria

Neste exerccio, voc habilitar a auditoria do acesso ao sistema de arquivos em
servidores de arquivos usando a Diretiva de Grupo.
Habilitar a auditoria do acesso ao sistema de arquivos usando a Diretiva de
Grupo.
Tarefa 1: Habilitar a auditoria do acesso ao sistema de arquivos usando

a Diretiva de Grupo
2. Crie um novo GPO chamado Auditoria do Servidor de Arquivos.
3. Configure o GPO para fazer auditoria do acesso com falha a objetos.
4. Vincule o GPO UO Servers\File.
Resultados: aps esse exerccio, voc ter configurado a auditoria do acesso com
falha a objetos do sistema de arquivos em servidores da UO Servers\File.
Exerccio 3: Examinar eventos de auditoria

Neste exerccio, voc gerar a auditoria de eventos com falha e examinar as
mensagens resultantes do log de eventos de segurana.
1. Gerar eventos de auditoria.
2. Examinar mensagens de log de eventos de auditoria.
Tarefa 1: Gerar eventos de auditoria

1. Faa logon em SERVER01 como Pat.Coleman com a senha Pa$$w0rd.
2. Execute o Prompt de Comando como administrador, com o nome de usurio
3. Atualize a Diretiva de Grupo para aplicar as novas configuraes de auditoria
executando o comando gpupdate.exe /force.
4. Faa logoff de SERVER01.
5. Faa logon em DESKTOP101 como Mike.Danseglio com a senha Pa$$w0rd.
6. Tente abrir \\server01\data\Dados Confidenciais. Voc receber a
mensagem Acesso Negado.
Tarefa 2: Examinar mensagens de log de eventos de auditoria

1. Alterne para SERVER01.
2. Execute Visualizar Eventos como administrador, com o nome de usurio
3. Localize os eventos de falha de auditoria relacionados ao acesso de Mike
Danseglio pasta Dados Confidenciais.
Pergunta: Qual a categoria de tarefa do evento? Qual a ID do evento? Que tipo

de acesso foi realizado?
Resultados: aps esse exerccio, voc ter validado a auditoria do acesso com falha
pasta Dados Confidenciais pelos membros do grupo Consultores.

Pergunta: Quais so as trs principais etapas necessrias para configurar a

auditoria do sistema de arquivos e outro acesso a objeto?
Pergunta: Quais sistemas devem ter a auditoria configurada? Existe algum motivo
para no realizar a auditoria de todos os sistemas da empresa? Quais tipos de
acesso devem passar por auditoria e por quem eles devem ser auditorados? Existe
algum motivo para no realizar a auditoria de todos os acessos realizados por
todos os usurios?
Administrao segura 8-1
Mdulo 8
Administrao segura
Sumrio:
Lio 1: Delegao de permisses administrativas 8-4
Laboratrio A: Delegao de administrao 8-26
Lio 2: Auditoria de alteraes no Active Directory 8-34
Laboratrio B: Auditoria de alteraes do Active Directory 8-40
Viso geral do mdulo
"A segurana a tarefa nmero 1" na maioria das empresas hoje, e, da mesma
forma que as organizaes esto trabalhando para remover privilgios
administrativos desnecessrios que, no passado, eram atribudos a usurios em
suas estaes de trabalho, elas tambm esto se esforando para bloquear e
gerenciar os privilgios dados aos prprios administradores. Para gerenciar a
segurana de administrao do Active Directory, voc deve entender como delegar
tarefas administrativas especficas e como auditar as alteraes que so feitas no
diretrio.
Objetivos
Atribuir permisses a objetos do Active Directory usando as interfaces do
usurio do editor de segurana e o Assistente para delegao de controle.
Exibir e relatar permisses sobre objetos do Active Directory usando
ferramentas de linha de comando e interface do usurio.
Redefinir como padro as permisses sobre um objeto.

Descrever a relao entre delegao e criao de UO (unidade organizacional).
Configurar a auditoria de Alteraes no servio de diretrio.
diretrio e pela auditoria de Alteraes no servio de diretrio.
Lio 1
Delegao de permisses administrativas
Em mdulos anteriores, voc aprendeu a criar usurios, grupos, computadores e

unidades organizacionais, e acessar as propriedades desses objetos. Sua capacidade
de realizar essas aes dependia da sua associao ao grupo Administradores do
domnio. Voc no deseja que todos os usurios da equipe de suporte tcnico
sejam membros do grupo Administradores do domnio apenas para redefinir
senhas e desbloquear contas de usurios. Pelo contrrio, voc deve capacitar o
suporte tcnico, e cada funo da organizao, para realizar as tarefas que so
obrigatrias funo, nada alm disso. Nesta lio, voc aprender a delegar
tarefas administrativas especficas no Active Directory. Isso feito alterando-se as
ACLs (listas de controle de acesso) em objetos do Active Directory.
Objetivos
Atribuir permisses a objetos do Active Directory usando as interfaces de
usurio do editor de segurana e o Assistente para delegao de controle.
Exibir e relatar permisses sobre objetos do Active Directory usando

ferramentas de linha de comando e de interface do usurio.
Redefinir como padro as permisses sobre um objeto.
Descrever a relao entre delegao e criao de unidades organizacionais.
Compreenso da delegao
Pontos principais
Na maioria das organizaes, existe mais de um administrador, e, medida que
elas crescem, muitas vezes as tarefas administrativas so distribudas para vrios
administradores ou organizaes de suporte. Por exemplo, em muitas
organizaes, o suporte tcnico pode redefinir senhas de usurio e desbloquear as
contas de usurios que esto bloqueados. Essa capacidade do suporte tcnico
uma tarefa administrativa delegada.
O suporte tcnico normalmente no pode criar novas contas de usurio, mas pode
fazer alteraes especficas em contas j existentes. A capacidade delegada
especfica ou granular.
Continuando com o exemplo, na maioria das organizaes, a capacidade do
suporte tcnico de redefinir senhas se aplicaria a contas de usurio normais, mas
no a contas usadas para administrao nem a contas de servio. Por isso, dizemos
que a delegao restrita a contas de usurio padro.
Todos os objetos do Active Directory, como usurios, computadores e grupos que

voc criou no mdulo anterior, podem ser protegidos por meio do uso de uma
lista de permisses. Assim, voc pode dar permisso ao suporte tcnico para
redefinir senhas em objetos de usurio. As permisses sobre um objeto so
chamadas de ACEs (entradas de controle de acesso) e so atribudas a usurios,
grupos ou computadores (chamados de entidades de segurana). As ACEs so salvas
na DACL (lista de controle de acesso discricionrio) do objeto. A DACL uma
parte da ACL do objeto, que tambm contm a SACL (lista de controle de acesso
do sistema) que inclui configuraes de auditoria. Isso poder parecer familiar para
voc caso tenha estudado as permisses sobre arquivos e pastas: os termos e
conceitos so idnticos.
A delegao de controle administrativo, tambm chamada de delegao de controle
ou apenas delegao, simplesmente significa atribuir permisses que gerenciem o
acesso a objetos e propriedades no Active Directory. Da mesma forma que
possvel dar a um grupo a capacidade de alterar os arquivos em uma pasta, voc
tambm pode dar a um grupo a capacidade de redefinir senhas em objetos de
usurio.
Exibio da ACL de um objeto do Active Directory
Pontos principais
Para exibir a ACL em um objeto:
2. Clique no menu Exibir e selecione Recursos Avanados.
3. Clique com o boto direito do mouse no objeto e escolha Propriedades.
Se os Recursos Avanados no estiverem habilitados, voc no ver a guia
Segurana na caixa de dilogo Propriedades de um objeto.
A guia Segurana mostra uma viso geral de nvel muito superior das
entidades de segurana que receberam permisses sobre o objeto; contudo, no
caso de ACLs do Active Directory, a guia Segurana raramente detalhada o
suficiente para fornecer as informaes de que voc precisa para interpretar ou
gerenciar a ACL. Sempre clique em Avanadas para abrir a caixa de dilogo
Configuraes de segurana avanadas.
A caixa de dilogo Configuraes de segurana avanadas ser exibida abaixo.
A pgina Permisses da caixa de dilogo Configuraes de segurana

avanadas mostra a DACL do objeto. Na captura de tela, podemos ver que as
ACEs so resumidas em uma linha da lista de entradas Permisses. Nesta caixa
de dilogo, no vemos as ACEs granulares da DACL. Por exemplo, a entrada
de permisso realada acima, na verdade, formada por duas ACEs.
6. Para ver as ACEs granulares de uma entrada de permisso, selecione a entrada

e clique em Editar.
Ser exibida a caixa de dilogo Entrada de Permisso, que detalha as ACEs
especficas que compem a entrada.
Permisses de propriedade, conjuntos de propriedades,

direitos de acesso de controle e permisses de objeto
Pontos principais
A DACL de um objeto permite atribuir permisses a propriedades especficas de
um objeto. Por exemplo, voc pode conceder (ou negar) permisso para alterar
opes de telefone e email. Na verdade, no se trata de apenas uma propriedade,
mas de um conjunto de propriedades que inclui vrias propriedades especficas.
Os conjuntos de propriedades facilitam o gerenciamento de permisses a colees
de propriedades comumente usadas. Mas possvel detalhar ainda mais e permitir
ou negar permisso para alterar somente o nmero do telefone celular ou apenas o
endereo residencial.
Tambm possvel atribuir permisses para gerenciar direitos de acesso de
controle, que so aes como alterar ou redefinir uma senha. importante
entender a diferena entre esses dois direitos de acesso de controle. Se voc possui
o direito de alterar uma senha, deve saber e inserir a senha atual antes de fazer a
alterao. Se voc possui o direito de redefinir uma senha, no precisa saber a
senha anterior.
Para finalizar, possvel atribuir permisses a objetos. Por exemplo, a capacidade

de alterar permisses sobre um objeto controlada pela ACE Permitir modificar
permisses. As permisses sobre objetos tambm controlam se voc pode criar
objetos filho. Por exemplo, voc pode conceder equipe de suporte de
computadores desktop permisses para criar objetos de computador na UO Client
Computers. A ACE Permitir criar objetos de computador seria atribuda equipe
de suporte de computadores desktop na unidade organizacional.
O tipo e o escopo de permisses so gerenciados nas guias Objeto e Propriedades
e nas listas suspensas Aplicar a, de cada guia.
Demonstrao: Atribuio de uma permisso usando a

caixa de dilogo Configuraes de segurana avanadas
Pontos principais
Imagine um cenrio em que voc deseja permitir que o suporte tcnico altere a
senha da conta de usurio de Jeff Ford e somente da conta de Jeff Ford. Nesta seo,
voc aprender a fazer isso primeiro da forma mais complicada: atribuindo a ACE
na DACL do objeto de usurio. Depois, voc aprender a executar a delegao
usando o Assistente para delegao de controle em toda a unidade organizacional
de usurios e ver por que essa ltima prtica recomendada.
1. Inicie 10222A-HQDC01-A e faa logon como Pat.Coleman usando a senha
Pa$$w0rd.
2. Clique em Iniciar>Ferramentas Administrativas e execute Usurios e
Computadores do Active Directory com credenciais administrativas. Use a
3. Clique no menu Exibir e selecione Recursos avanados.
4. Clique com o boto direito do mouse no objeto e escolha Propriedades.

Se o Controle de Conta de Usurio estiver habilitado, talvez voc precise clicar
em Editar e inserir credenciais administrativas para que o boto Adicionar seja
exibido.
8. Na caixa de dilogo Selecionar, selecione a entidade de segurana qual sero
atribudas permisses.
Uma prtica recomendada importante atribuir permisses a grupos e no a
usurios individuais.
Neste exemplo, voc selecionaria o grupo Suporte Tcnico e pressionaria
ENTER. A caixa de dilogo Entrada de Permisso ser exibida.
9. Configure as permisses que voc deseja atribuir.
Para o nosso exemplo, na guia Objeto, role a lista de Permisses e selecione
Permitir: Redefinir senha.
10. Clique em OK para fechar cada caixa de dilogo.
Compreenso e gerenciamento de permisses com herana
Pontos principais
Voc pode imaginar que atribuir permisses para o suporte tcnico redefinir
senhas de cada objeto de usurio individual seria um pesadelo. Por sorte, voc no
precisa fazer isso; na verdade, atribuir permisses a objetos individuais no Active
Directory uma prtica terrvel. Em vez disso, voc atribuir permisses a
unidades organizacionais. As permisses atribudas a uma unidade organizacional
sero herdadas por todos os objetos da unidade organizacional. Portanto, se voc
conceder ao suporte tcnico permisso para redefinir senhas de objetos de usurio
e anexar essa permisso unidade organizacional que contm os usurios
desejados, todos os objetos de usurio da unidade organizacional herdaro essa
permisso. Com uma nica etapa, voc ter delegado essa tarefa administrativa.
Herana um conceito fcil de entender. Os objetos filho herdam as permisses do
continer ou unidade organizacional pai. Por sua vez, tal continer ou unidade
organizacional herda as permisses do continer ou unidade organizacional pai ou,
no caso de um continer ou unidade organizacional de primeiro nvel, do prprio
domnio. O motivo pelo qual os objetos filho herdam permisses de seus pais
que, por padro, cada novo objeto criado com a opo Incluir permisses
herdveis provenientes do pai deste objeto habilitada.
No entanto, observe que, como indicado pela opo, somente as permisses

herdveis sero herdadas pelo objeto filho. Nem toda permisso herdvel. Por
exemplo, a permisso para redefinir senhas, quando atribuda a uma unidade
organizacional, no seria herdada pelos objetos de grupo porque eles no possuem
um atributo de senha. Assim, a herana pode ser restrita a classes de objeto
especficas: senhas so aplicveis a objetos de usurio e no a grupos. Alm disso,
voc pode usar a caixa Aplicar a, da caixa de dilogo Entrada de Permisso para
delimitar a herana de uma permisso. A conversa pode comear a ficar muito
complicada. O que voc deve saber que, por padro, os novos objetos herdam
permisses herdveis do objeto pai: geralmente uma unidade organizacional ou
um continer.
E se a permisso que est sendo herdada no for apropriada? Voc pode pode
realizar trs tarefas para modificar as permisses herdadas por um objeto filho:
Primeiro, voc pode desabilitar a herana desmarcando a opo Incluir
permisses herdveis provenientes do pai deste objeto na caixa de dilogo
Configuraes de segurana avanadas. Quando voc faz isso, o objeto no
herdar mais nenhuma permisso de seu pai: todas as permisses sero
explicitamente definidas para o objeto filho. Geralmente esta prtica no boa,
pois cria uma exceo regra que est sendo criada por permisses de
contineres pai.
A segunda opo permitir a herana, mas substituir a permisso herdada por
uma atribuda especificamente ao objeto filho: uma permisso explcita. As
permisses explcitas sempre substituem as permisses herdadas de objetos
pai. Esta uma implicao importante: uma permisso explcita que fornece
acesso, na verdade, substituir uma permisso herdada que nega o mesmo
acesso. Se para voc isso parece incoerente, no : a regra (Negar) est sendo
definida por um pai, mas o objeto filho foi configurado para ser uma exceo
(Permitir).
Em terceiro lugar, voc pode alterar o escopo de herana na prpria permisso
do pai alterando a opo na lista suspensa Aplicar a da caixa de dilogo
Entrada de Permisso. Na maioria dos casos, esta a prtica recomendada. Na
prtica, o que voc est fazendo definir a diretiva de segurana na forma de
uma ACL com mais preciso em sua origem, em vez de tentar substitu-la na
rvore inteira.
Demonstrao: Delegao de Tarefas Administrativas com

o Assistente para delegao de controle
Pontos principais
Voc viu a complexidade da DACL e provavelmente j percebeu que gerenciar
permisses usando a caixa de dilogo Entrada de Permisso no uma tarefa
simples. Felizmente, a prtica recomendada no gerenciar permisses usando as
interfaces de segurana, mas sim o Assistente para delegao de controle. O
procedimento a seguir detalha o uso do assistente.
1. Em HQDC01, clique em Iniciar > Ferramentas Administrativas e execute
Usurios e Computadores do Active Directory com credenciais
2. Clique com o boto direito do mouse no n (domnio ou unidade
organizacional) para o qual voc deseja delegar tarefas ou controle
administrativo e escolha Delegar Controle.
Em nosso exemplo, voc selecionaria a unidade organizacional que contm os
seus usurios.
Ser exibido o Assistente para delegao de controle, que o orientar nas
etapas necessrias.
Primeiro voc selecionar o grupo administrativo para o qual conceder
privilgios.
4. Na pgina Usurios ou Grupos, clique no boto Adicionar.
5. Use a caixa de dilogo Selecionar para selecionar o grupo e clique em OK.
Em seguida, voc especificar a tarefa que deseja atribuir a esse grupo.
7. Na pgina Tarefas a delegar, selecione a tarefa.
Em nosso exemplo, voc selecionaria Redefinir senhas de usurio e Forar
Alterao no Prximo Logon.
9. Examine o resumo das aes executadas e clique em Concluir.
O Assistente para delegao de controle aplica as ACEs que so necessrias
para o grupo selecionado executar a tarefa especificada.
Relatrio e exibio de permisses
Pontos principais
Existem vrias outras maneiras de exibir e relatar permisses quando voc precisa
saber quem pode fazer o qu. Voc j aprendeu que pode exibir permisses na
DACL usando as caixas de dilogo Configuraes de segurana avanadas e
Entrada de Permisso.
O DSACLs (dsacls.exe) tambm est disponvel como ferramenta de linha de
comando que fornece informaes sobre objetos de servio de diretrio. Se voc
digitar o comando seguido pelo nome distinto de um objeto, ver um relatrio das
permisses do objeto. Por exemplo, este comando produzir um relatrio das
permisses associadas UO User Accounts:
dsacls.exe "ou=User Accounts,dc=contoso,dc=com"
Tambm possvel usar o DSACLs para definir permisses (delegar). Digite

dsacls.exe /? para obter ajuda sobre a sintaxe e a utilizao do DSACLs.
Remoo ou redefinio de permisses sobre um objeto
Pontos principais
Como voc remove ou redefine permisses que foram delegadas? Infelizmente, no
existe um comando undelegate. necessrio executar um dos seguintes
procedimentos:
Abra as caixas de dilogo Configuraes de segurana avanadas e Entrada de
Permisso para remover permisses.
Para restaurar o padro das permisses sobre o objeto, abra a caixa de dilogo
Configuraes de segurana avanadas e clique em Restaurar padres. As
permisses padro so definidas pelo esquema do Active Directory referente
classe do objeto. Depois de restaurar os padres, voc poder reconfigurar as
permisses explcitas que deseja adicionar DACL.
O DSACLs tambm oferece a opo /s para redefinir permisses de acordo

com os padres definidos pelo esquema e a opo /t, para fazer a alterao na
"rvore" inteira: o objeto e todos os seus objetos filho. Por exemplo, para
redefinir permisses sobre a UO People e todos os respectivos objetos e
unidades organizacionais filho, insira o seguinte:
dsacls "ou=User Accounts,dc=contoso,dc=com" /s /t

Compreenso das permisses efetivas
Pontos principais
Permisses efetivas so as permisses resultantes de uma entidade de segurana,
como um usurio ou grupo, com base no efeito cumulativo de cada ACE herdada e
explcita. Sua capacidade de redefinir a senha de um usurio, por exemplo, pode
ser devido associao em um grupo que concedeu a permisso Redefinir senha
em uma unidade organizacional vrios nveis acima do objeto de usurio. A
permisso herdada atribuda a um grupo ao qual voc pertence resultou em uma
permisso efetiva de Permitir: Redefinir senha. Suas permisses efetivas podem ser
complicadas quando voc considera permisses Permitir e Negar, ACEs explcitas
e herdadas e o fato de que voc pode pertencer a vrios grupos, cada um com
permisses diferentes.
As permisses, sejam elas atribudas sua conta de usurio ou a um grupo ao qual
voc pertence, so equivalentes. No final, uma ACE aplica-se a voc, o usurio. A
prtica recomendada gerenciar permisses atribuindo-as a grupos, mas tambm
possvel atribuir ACEs a usurios ou computadores individuais. Uma permisso
que foi atribuda diretamente a voc, o usurio, no nem mais nem menos
importante do que uma permisso atribuda a um grupo ao qual voc pertence.
As permisses que autorizam acesso (permisses Permitir) so cumulativas. Quando

voc pertence a vrios grupos, e esses grupos receberam permisses que
possibilitam executar diversas tarefas, pode executar todas as tarefas atribudas a
todos esses grupos, bem como tarefas atribudas diretamente sua conta de usurio.
As permisses que negam acesso (permisses Negar) substituem as permisses
Permitir equivalentes. Se voc pertencer a um grupo que recebeu permisso para
redefinir senhas e a um outro grupo que teve essa mesma permisso negada, a
permisso Negar impedir que voc redefina senhas.
Observao: geralmente desnecessrio atribuir permisses Negar: se voc

simplesmente no atribuir uma permisso Permitir, os usurios no podero executar a
tarefa. Antes de atribuir uma permisso Negar, verifique se voc consegue atingir seu
objetivo removendo uma permisso Permitir. Use as permisses Negar raras vezes e
cautelosamente.
Cada permisso granular. Somente porque voc teve a capacidade de redefinir

senhas negada, talvez voc ainda tenha a capacidade de, por meio de outras
permisses Permitir, alterar o nome de logon ou o endereo de email do usurio.
Para finalizar, voc aprendeu anteriormente nesta lio que, por padro, os objetos
filho herdam as permisses herdveis de objetos pai e que as permisses explcitas
podem substituir permisses herdveis. Isso significa que uma permisso Permitir
explcita na verdade substituir uma permisso Negar herdada.
Infelizmente, a complexa interao de permisses de usurio, de grupo, explcitas,
herdadas, Permitir e Negar pode tornar a avaliao de permisses efetivas um
pouco trabalhosa. H uma guia Permisses efetivas nas Configuraes de
segurana avanadas de um objeto do Active Directory, mas ela praticamente
desnecessria: ela no expe permisses suficientes para fornecer o tipo de
informao detalhada de que voc precisa. Use as permisses relatadas pelo
comando DSACLs ou na guia Permisses da caixa de dilogo Configuraes de
segurana avanadas, para comear a avaliar as permisses efetivas, mas esta ser
uma tarefa manual.
Leitura adicional
A melhor maneira de gerenciar a delegao no Active Directory por meio do
controle de acesso baseado em funo. Embora esta abordagem no esteja
includa no exame de certificao, vale a pena conhec-la para fins de
implementao real de delegao. Consulte Windows Administration Resource
Kit: Productivity Solutions for IT Professionals, de Dan Holme (Microsoft Press,
2008), para obter mais informaes.
Criao de uma estrutura de unidade organizacional para

suporte delegao
Pontos principais
Como voc j sabe, as unidades organizacionais so contineres administrativos.
Elas contm objetos que compartilham requisitos semelhantes de administrao,
configurao e visibilidade. Agora voc conhece o primeiro desses requisitos:
administrao. Os objetos que sero administrados da mesma forma, pelos
mesmos administradores, devem estar contidos em uma nica unidade
organizacional. Ao colocar seus usurios em uma mesma unidade organizacional,
talvez chamada Contas de Usurio, voc poderia delegar ao suporte tcnico a
permisso de alterar as senhas de todos os usurios atribuindo uma permisso
para uma unidade organizacional. Quaisquer outras permisses que afetam o que
um administrador pode fazer em um objeto de usurio seriam atribudas UO
User Accounts. Por exemplo, voc pode permitir que os gerentes de Recursos
Humanos desabilitem contas de usurio quando um funcionrio se desligar da
empresa. Novamente, voc delegaria essa permisso para a UO User Accounts.
Lembre-se de que os administradores devem se conectar a seus sistemas com

credenciais de usurio e iniciar ferramentas administrativas com as credenciais de
uma conta secundria que tenha as permisses apropriadas para executar tarefas
administrativas. Essas contas secundrias so as contas administrativas da
empresa. No apropriado que o suporte tcnico da linha de frente possa redefinir
senhas nessas contas privilegiadas, e provavelmente voc no gostaria que os
gerentes de Recursos Humanos desabilitassem contas administrativas. Portanto, as
contas administrativas devem ser gerenciadas de forma diferente das contas de
usurio normais. por isso que voc teria uma unidade organizacional parte,
como Administradores, para objetos de usurio administrativo. Essa unidade
organizacional seria delegada de maneira diferente da UO User Accounts.
De modo semelhante, possvel delegar equipe de suporte de computadores
desktop a capacidade de adicionar objetos de computador a uma unidade
organizacional chamada Client Computers, que contm seus desktops e laptops,
mas no UO Servers, onde apenas o grupo Administrao de Servidor tem
permisses para criar e gerenciar objetos de computador.
A principal funo de uma unidade organizacional definir o escopo de delegao com
eficincia: aplicar permisses a objetos e sub-UOs. Quando voc cria um ambiente
do Active Directory, sempre comece criando uma estrutura de unidade organizacional
que tornar a delegao eficiente: uma estrutura que reflita o modelo administrativo
da sua organizao. No Active Directory so raras as vezes em que a administrao
de objetos se parece com o seu organograma. Normalmente, todas as contas de
usurio comuns so suportadas da mesma forma pela mesma equipe, por isso
muitas vezes os usurios esto localizados em uma nica unidade organizacional
ou em uma nica ramificao da unidade organizacional. bastante frequente que
uma organizao que tenha uma funo de suporte tcnico centralizada para dar
suporte aos usurios tenha tambm uma funo de suporte de computadores
desktop centralizada; nesse caso, todos os objetos de computador cliente estariam
em uma mesma unidade organizacional ou ramificao de UO. No entanto,
quando o suporte de computadores desktop descentralizado, provavelmente a
UO Client Computers dividida em sub-UOs que representam localidades
geogrficas, e, para cada localidade, a equipe de suporte local recebeu permisso
para adicionar objetos de computador ao domnio do local em questo.
Crie unidade organizacionais primeiro para permitir a delegao eficiente de
objetos no diretrio. Uma vez feito isso, voc poder refinar o design para facilitar
a configurao de computadores e usurios por meio da Diretiva de Grupo.
Leitura adicional
Consulte Windows Administration Resource Kit: Productivity Solutions for IT
Professionals, de Dan Holme (Microsoft Press, 2008), para obter mais detalhes
sobre o design de unidade organizacionais.
Laboratrio A: Delegao de administrao
Cenrio
A equipe de segurana corporativa da Contoso pediu para voc bloquear as
permisses administrativas delegadas para a equipe de suporte.
Exerccio 1: Delegar permisso para criar e dar suporte a

contas de usurio
Neste exerccio, voc delegar para o suporte tcnico permisso para desbloquear
contas de usurio, redefinir senhas e solicitar que os usurios alterem a senha no
prximo logon. Esta permisso se limitar apenas a contas de usurio padro e no
permitir que o suporte tcnico altere senhas de contas administrativas. Voc
tambm delegar permisso para o grupo Administradores de Conta de Usurio
criar e excluir contas de usurio, alm de controle total das contas de usurio.
2. Criar grupos de segurana para gerenciamento baseado em funo.
3. Delegar controle de suporte ao usurio com o Assistente para delegao de
controle.
4. Delegar permisso para criar e excluir usurios com a interface do Editor de
listas de controle de acesso.
5. Validar a implementao de delegao.
Tarefa 1: Preparar-se para o laboratrio 1. Iniciar 10222A-HQDC01-A

2. Execute D:\Labfiles\Lab08a\Lab08a_Setup.bat usando credenciais
Tarefa 2: Criar grupos de segurana para gerenciamento baseado em

funo
2. Na UO Groups\Role, crie os seguintes grupos de funo:
Suporte Tcnico (grupo de segurana global)
Administradores de Conta de Usurio (grupo de segurana global)
3. Adicione as contas administrativas dos usurios a seguir ao grupo Suporte

Tcnico. Tome cuidado para no adicionar a conta padro e sem privilgios
dos usurios.
Aaron Painter
Elly Nkya
Julian Price
Holly Dickson
4. Adicione as contas administrativas dos usurios a seguir ao grupo
Administradores de Conta de Usurio. Tome cuidado para no adicionar a
conta padro e sem privilgios dos usurios.
Pat Coleman
April Meyer
Max Stevens
5. Na UO Admins\Admin Groups\AD Delegations, crie os seguintes grupos de
gerenciamento de acesso administrativo:
AD_Contas de Usurio_Suporte (grupo de segurana local do domnio).
AD_Contas de Usurio_Controle Total (grupo de segurana local do
domnio).
6. Adicione Suporte Tcnico como membro de AD_Contas de
Usurio_Suporte.
7. Adicione Administradores de Conta de Usurio como membro de
AD_Contas de Usurio_Controle Total.
Tarefa 3: Delegar controle de suporte ao usurio com o Assistente

para delegao de controle
Clique com o boto direito do mouse na UO User Accounts e clique em
Delegar Controle. Delegue ao grupo AD_Contas de Usurio_Suporte o
direito de redefinir senhas de usurio e forar os usurios a alterar suas senhas
no prximo logon.
Tarefa 4: Delegar permisso para criar e excluir usurios com a

interface do Editor de listas de controle de acesso
1. Ative a exibio Recursos Avanados do snap-in Usurios e Computadores
do Active Directory.
2. Clique com o boto direito do mouse na UO User Accounts e clique em
Propriedades. Clique na guia Segurana e em Avanada.
3. Adicione permisses que deem a AD_Contas de Usurio_Controle Total a
capacidade de criar e excluir usurios e tambm d ao grupo controle total
sobre os objetos de usurio. Seja cauteloso e limite a permisso Controle Total
apenas a objetos de usurio.
Tarefa 5: Validar a implementao de delegao

com o nome de usurio Aaron.Painter_Admin e a senha Pa$$w0rd.
3. Confirme que voc pode redefinir a senha de Jeff Ford, na UO Employees, e
que pode for-lo a alterar sua senha no prximo logon.
4. Confirme que voc no pode desabilitar a conta de Jeff Ford.
5. Confirme que voc no pode redefinir a senha de Pat Coleman (Admin) na
UO Admin Identities.
com o nome de usurio April.Meyer_Admin e a senha Pa$$w0rd.
8. Confirme que voc pode criar uma conta de usurio na UO Employees
criando uma conta com seu nome e sobrenome, o nome de usurio
Nome.Sobrenome e a senha Pa$$w0rd.
Resultados: aps esse exerccio, voc ter delegado ao suporte tcnico permisso
para desbloquear contas de usurio, redefinir senhas e forar usurios a alterar a senha
no prximo logon por meio da associao do suporte tcnico no grupo AD_Contas de
Usurio_Suporte. Voc tambm delegou controle total dos objetos de usurio a
Administradores de Conta de Usurio por meio da associao no grupo AD_Contas de
Usurio_Controle Total e testou as duas delegaes para validar a funcionalidade.
Exerccio 2: Exibir permisses delegadas

Neste exerccio, voc exibir, relatar e avaliar as permisses que foram atribudas
a objetos do Active Directory.
1. Exibir permisses nas interfaces do Editor de listas de controle de acesso.
2. Relatar permisses usando o DSACLs.
3. Avaliar permisses efetivas.
Tarefa 1: Exibir permisses nas interfaces do Editor de listas de

controle de acesso
3. Classifique de maneira que as permisses sejam exibidas de acordo com o
grupo ao qual elas foram atribudas.
Pergunta: Quantas entradas de permisso o Assistente para delegao de controle

criou para o grupo AD_User Accounts_Suporte? fcil enumerar quais permisses
foram atribudas na lista Entradas de Permisso? Liste as permisses atribudas a
AD_User Accounts_Suporte.
Tarefa 2: Relatar permisses usando o DSACLs

No prompt de comando, use o DSACLs para relatar as permisses atribudas
UO User Accounts. Digite o comando:
dsacls "ou=User Accounts,dc=contoso,dc=com"
e pressione ENTER.
Pergunta: Que permisses so relatadas para AD_User Accounts_Suporte pelo

comando DSACLs?
Tarefa 3: Avaliar permisses efetivas

2. Usando a caixa de dilogo Configuraes de segurana avanadas, avalie as
Permisses efetivas de April.Meyer_Admin. Localize as permisses para que
ela crie e exclua usurios.
Pergunta: Voc v Redefinir senha nesta lista?
3. Na UO Employees, clique com o boto direito do mouse na conta de Aaron

Lee e clique em Propriedades. Clique na guia Segurana e em Avanada.
4. Usando a caixa de dilogo Configuraes de segurana avanadas, avalie as
Permisses efetivas de Aaron.Painter_Admin. Localize as permisses para
que ele redefina a senha de Aaron Lee.
Resultados: aps esse exerccio, voc ter confirmado que as permisses atribudas no
exerccio anterior foram aplicadas com xito.
Exerccio 3: Remover e redefinir permisses

Neste exerccio, voc remover permisses delegadas e redefinir uma unidade
organizacional para a ACL padro definida pelo respectivo esquema.
1. Remover as permisses atribudas a AD_User Accounts_Suporte.
2. Restaurar as permisses padro da UO User Accounts.
Tarefa 1: Remover as permisses atribudas a AD_User

Accounts_Suporte
2. Classifique de maneira que as permisses sejam exibidas de acordo com o
grupo ao qual elas foram atribudas.
3. Remova as permisses atribudas a AD_User Accounts_Suporte.
Tarefa 2: Restaurar as permisses padro da UO User Accounts

2. Clique em Restaurar padres e em Aplicar.
Pergunta: O que acontece quando voc clica em Redefinir como padro? Que
permisses so mantidas?
Resultados: aps esse exerccio, voc ter restaurado as permisses na UO User

Accounts de acordo com os padres definidos pelo esquema.
Observao: no desligue a mquina virtual quando terminar de fazer este laboratrio

porque as configuraes definidas aqui sero usadas no prximo laboratrio.
Pergunta: Como o snap-in Usurios e Computadores do Active Directory indica

que voc no possui permisses para executar uma determinada tarefa
administrativa?
Pergunta: Quando voc avaliou as permisses efetivas de April Meyer na UO User

Accounts, por que no viu permisses como Redefinir senha nessa lista? Por que a
permisso apareceu quando voc avaliou as permisses efetivas de Aaron Painter
na conta de usurio de Aaron Lee?
Pergunta: O Windows ajuda a responder as perguntas "Quem pode redefinir

senhas de usurio?" e "O que XXX pode fazer como administrador?"
Pergunta: Qual a vantagem de uma estrutura de grupo de gerenciamento

baseado em funo de duas camadas quando se atribui permisses no Active
Directory?
Observao: o gerenciamento baseado em funo um tpico grande, e existem outros

aspectos dele, como disciplina e auditoria, que so necessrios para assegurar que os
membros de um grupo como AD_User Accounts_Suporte possuam as permisses que
devem possuir, e mais nenhuma outra, e que nenhum outro usurio ou grupo tenha
recebido as mesmas permisses.
Pergunta: Qual o perigo de se restaurar os padres da ACL de uma unidade

organizacional definidos pelo esquema?
Lio 2
Auditoria de administrao do Active Directory
Da mesma forma que a auditoria do acesso a arquivos e pastas permite registrar em

log as tentativas de acesso a esses tipos de objetos, a diretiva Auditoria de acesso ao
Servio de Diretrio permite registrar em log as tentativas de acesso a objetos do
Active Directory. O Windows Server 2008 introduz outra classe de auditoria para
Active Directory: Alteraes no servio de diretrio.
Objetivos
Configurar a diretiva de auditoria para habilitar a auditoria Alteraes no
servio de diretrio.
diretrio e pela auditoria de Alteraes no servio de diretrio.
Habilitao da diretiva de auditoria
Pontos principais
Assim como a diretiva Auditoria de acesso a objetos permite registrar em log as
tentativas de acesso a objetos como arquivos e pastas, a diretiva Auditoria de
acesso ao servio de diretrio permite registrar em log as tentativas de acesso a
objetos do Active Directory. So aplicveis os mesmos princpios bsicos. Voc
configura a diretiva para auditar xito ou Falha. Em seguida, voc configura a
SACL do objeto do Active Directory para especificar os tipos de acesso que deseja
auditar.
Por exemplo, se voc deseja monitorar as alteraes feitas na associao de um
grupo de segurana sigiloso, como Administradores do domnio, pode habilitar a
diretiva Auditoria de acesso ao servio de diretrio para auditar eventos de xito.
Em seguida, abra a SACL do grupo Administradores do domnio e configure uma
entrada de auditoria para modificaes bem-sucedidas do atributo Membros do
grupo. Na verdade, no Windows Server 2008, a configurao padro auditar
eventos de xito de Acesso ao servio de diretrio e todas as alteraes feitas no
grupo Administradores de Domnio.
No Windows Server 2003 e no Windows 2000 Server, voc podia auditar o acesso
ao servio de diretrio e era notificado de que um objeto ou sua propriedade
haviam sido alterados, mas no era possvel identificar os valores anteriores e
novos do atributo que foi alterado. Por exemplo, era possvel registrar em log um
evento que indicava que um determinado usurio alterou um atributo do
Administradores do domnio, mas voc no conseguia identificar facilmente qual
atributo foi alterado e no havia como determinar exatamente, com base no log de
auditoria, que alterao foi feita no atributo.
O Windows Server 2008 adiciona uma categoria de auditoria chamada Alteraes
no servio de diretrio. A diferena importante entre Alteraes no servio de
diretrio e Acesso ao servio de diretrio que, com a primeira, voc identifica os
valores anteriores e atuais de um atributo alterado.
Alteraes no servio de diretrio no fica habilitada por padro no Windows
Server 2008. Em vez disso, Acesso ao servio de diretrio fica habilitada para
copiar a funcionalidade de auditoria de verses anteriores do Windows. Para
habilitar a auditoria Alteraes no servio de diretrio bem-sucedidas, abra um
prompt de comando em um controlador de domnio e insira este comando:
auditpol /set /subcategory:"directory service changes" /success:enable
Embora voc possa usar o comando anterior para habilitar a auditoria Alteraes
no servio de diretrio em um laboratrio e explorar os eventos gerados, no
implemente isso em um domnio antes de ler a documentao do TechNet,
comeando com o guia passo a passo disponvel em:
Especificao de configuraes de auditoria para Alteraes

no servio de diretrio
Pontos principais
Voc deve ainda modificar a SACL de objetos para especificar quais atributos
devem ser auditados.
Para acessar a SACL e suas entradas de auditoria:
1. Abra a caixa de dilogo Propriedades do objeto que voc deseja auditar.
4. Clique na guia Auditoria.
Para adicionar uma entrada de auditoria:

2. Selecione o usurio, grupo ou computador a ser auditado. Geralmente, o
grupo Todos.
3. Na caixa de dilogo Entrada de auditoria, indique o tipo de acesso que voc
deseja auditar.
possvel auditar xitos, falhas ou ambos, conforme o usurio, grupo ou
computador especificado tentar acessar o recurso usando um ou mais dos
nveis de acesso granular.
Voc pode auditar xitos para:

Registrar em log o acesso a recursos para fins de gerao de relatrios e
cobrana
Monitorar o acesso que sugere que os usurios estejam executando aes
maiores do que voc havia planejado, indicando permisses muito amplas
Identificar acesso atpico de uma determinada conta, o que pode indicar que
uma conta de usurio foi violada por um hacker
A auditoria de eventos com falha permite:

Monitorar tentativas mal-intencionadas de acessar recursos aos quais o acesso
foi negado.
Identificar tentativas com falha de acesso a um arquivo ou a uma pasta que o
usurio precisa acessar. Isso indicaria que as permisses no so suficientes
para atender a um requisito comercial.
Observao: no exagere nas auditorias. Os logs de auditoria tm a tendncia de

aumentar rapidamente, por isso uma regra importante de auditoria configurar o
mnimo necessrio para realizar uma tarefa comercial. Especificar a necessidade de
auditar xitos e falhas em uma pasta de dados ativa para o grupo Todos usando
Controle total (todas as permisses) geraria logs de auditoria imensos que poderiam
afetar o desempenho do servidor e impossibilitar a localizao de um evento auditado
especfico.
Exibio de eventos auditados no log de segurana
Pontos principais
Depois de voc ter habilitado a configurao de diretiva de auditoria desejada e
especificado o acesso para auditoria usando SACLs de objeto, o sistema comea a
registrar o acesso em log de acordo com as entradas de auditoria. possvel exibir
os eventos resultantes no Log de segurana do servidor. Abra o console do
Visualizador de Eventos no menu Ferramentas administrativas. Expanda logs do
Windows e selecione Log de segurana.
Quando a auditoria Alteraes no servio de diretrio est habilitada e entradas de
auditoria esto configuradas na SACL de objetos do servio de diretrio, so
registrados eventos no Log de segurana que indicam claramente o atributo que foi
alterado e a alterao feita. Na maioria dos casos, as entradas do log de eventos
mostraro o valor anterior e o atual do atributo modificado.
Laboratrio B: Auditoria Alteraes no Active

Directory
Cenrio
A equipe de segurana corporativa da Contoso pediu para voc fornecer relatrios
detalhados sobre alteraes feitas na associao de grupos de segurana sigilosos,
inclusive Administradores do domnio. Os relatrios devem mostrar a alterao
que foi feita, quem a fez e quando.
Exerccio 1: Auditar alteraes feitas no Active Directory

usando a diretiva de auditoria padro
Neste exerccio, voc ver a auditoria Acesso ao servio de diretrio que fica
habilitada por padro no Windows Server 2008 e no Windows Server 2003.
2. Confirmar que o grupo Administradores do domnio est configurado para
auditar alteraes feitas em sua associao.
3. Fazer uma alterao na associao do Administradores do domnio.
4. Examinar os eventos que foram gerados.

Tarefa 2: Confirmar que o grupo Administradores do domnio est

configurado para auditar alteraes feitas em sua associao
Execute Usurios e Computadores do Active Directory como administrador,
Abra as propriedades de Configuraes de Auditoria do grupo
Administradores de Domnio.
Localize a entrada que especifica a auditoria de tentativas bem-sucedidas de
modificar propriedades do grupo, como associao.
Pergunta: Qual a Entrada de auditoria que atinge este objetivo?

Tarefa 3: Fazer uma alterao na associao do Administradores do

domnio
Adicione Stuart Munson (nome de logon do usurio Stuart.Munson) ao
grupo Administradores do domnio. No se esquea de aplicar a alterao.
Remova Stuart Munson do grupo Administradores do domnio.
Tome nota do horrio em que voc fez as alteraes. Isso facilitar localizar as
entradas de auditoria nos logs de eventos.
Tarefa 4: Examinar os eventos que foram gerados

Execute o Visualizador de eventos como administrador, com o nome de
Abra o Log de segurana e localize os eventos que foram gerados quando
voc adicionou e removeu Stuart Munson.
Pergunta: Qual a ID de Evento do evento registrado em log quando voc fez as

alteraes? Qual a Categoria da Tarefa?
Pergunta: Examine as informaes fornecidas na guia Geral. Voc consegue

identificar os itens a seguir na entrada do log de eventos?
Quem fez a alterao?

Quando a alterao foi feita?
Que objeto foi alterado?
Que tipo de acesso foi realizado?
Que atributo foi alterado? Qual a identificao do atributo alterado?
Que alterao foi feita nesse atributo?
Resultados: aps esse exerccio, voc ter gerado e examinado entradas da auditoria
Acesso ao servio de diretrio.
Exerccio 2: Auditar alteraes feitas no Active Directory

usando a auditoria Alteraes no servio de diretrio
Neste exerccio, voc implementar a nova auditoria Alteraes nos Servios de
diretrio do Windows Server 2008 para revelar os detalhes sobre alteraes feitas
no grupo Administradores de Domnio.
1. Habilitar a auditoria Alteraes nos Servios de Diretrio.
2. Fazer uma alterao na associao do Administradores do domnio.
3. Examinar os eventos que foram gerados.
Tarefa 1: Habilitar a auditoria Alteraes nos Servios do diretrio

Execute o prompt de comando como administrador, com o nome de usurio
Digite o comando a seguir e pressione ENTER:
auditpol /set /subcategory:"directory service changes"

/success:enable
Tarefa 2: Fazer uma alterao na associao do Administradores do

domnio
Adicione Stuart Munson (nome de logon do usurio Stuart.Munson) ao
grupo Administradores do domnio. No se esquea de aplicar a alterao.
Remova Stuart Munson do grupo Administradores do domnio.
Tome nota do horrio em que voc fez as alteraes. Isso facilitar localizar as
entradas de auditoria nos logs de eventos.
Tarefa 3: Examinar os eventos que foram gerados

Execute o Visualizador de Eventos como administrador, com o nome de
Abra o Log de segurana e localize os novos tipos de eventos que foram
gerados quando voc adicionou e removeu Stuart Munson.
Pergunta: Quais so as IDs de Evento do evento registrado no log quando voc fez
as alteraes? Qual a Categoria da Tarefa?
Pergunta: Examine as informaes fornecidas na guia Geral. Voc consegue

identificar os itens a seguir na entrada do log de eventos?
Que tipo de alterao foi feita?

Quem fez a alterao?
Qual membro foi adicionado ou removido?
Que grupo foi afetado?
Quando a alterao foi feita?
Resultados: aps esse exerccio, voc ter gerado entradas de auditoria Alteraes nos
Servios de diretrio.

Pergunta: Que detalhes so capturados pela auditoria Alteraes nos Servios de

Diretrio que no so detectados pela auditoria Acesso ao Servio de Diretrio?
Pergunta: Que tipos de atividades administrativas voc gostaria de auditar usando

a auditoria Alteraes nos Servios de diretrio?
Aperfeioamento da segurana da autenticao em um domnio do AD DS (Servios de Domnio Active Directory) 9-1
Mdulo 9
Aperfeioamento da segurana da autenticao
em um domnio do AD DS (Servios de Domnio
Active Directory)
Sumrio:
Lio 1: Configurao de diretivas de senha e de bloqueio 9-4
Laboratrio A: Configurao de diretivas de bloqueio de contas e senhas 9-25
Lio 2:Auditoria de autenticao 9-31
Laboratrio B:Auditoria de autenticao 9-41
Lio 3: Configurao de controladores de domnio somente leitura 9-45
Laboratrio C: Configurao de controladores de domnio somente
leitura 9-66
Viso geral do mdulo
Quando um usurio faz logon em um domnio do Active Directory, ele insere seu
nome de usurio e senha, e o cliente usa essas credenciais para autenticar o usurio
e assim validar a identidade do usurio em relao conta do Active Directory. No
Mdulo 3, voc aprendeu a criar e gerenciar contas de usurio e suas propriedades,
incluindo as senhas. Neste mdulo, voc explorar os componentes de domnio da
autenticao, incluindo as diretivas que especificam os requisitos de senha e a
auditoria de atividades relacionadas autenticao. Voc tambm descobrir dois
recursos apresentados pelo Windows Server 2008 que podem aprimorar
significativamente a segurana de autenticao em um domnio do AD DS: objetos
de configurao de senha (mais conhecidos como diretiva refinada de senha) e
controladores de domnio somente leitura.
Objetivos
Configurar e atribuir diretivas de senha refinada.
Identificar os requisitos de negcios para RODCs.
Instalar um RODC.
Lio 1
Configurao de diretivas de senha e de
bloqueio
Em um domnio do Windows Server 2008, os usurios devem alterar sua senha a

cada 42 dias. Uma senha deve ter pelo menos sete caracteres e satisfazer requisitos
de complexidade, que incluem o uso de trs dos quatro tipos de caracteres:
maisculas, minsculas, nmeros e caracteres no alfanumricos. Essas trs
diretivas de senha (tempo de vida mximo, comprimento e complexidade) esto
entre as primeiras diretivas encontradas igualmente por administradores e usurios
em um domnio do Active Directory. Essas configuraes padro raramente se
alinham com preciso aos requisitos de segurana de senha de uma organizao.
Sua organizao pode exigir que senhas sejam alteradas com maior ou menor
frequncia ou que sejam maiores. Nessa lio, voc aprender a implementar as
diretivas de senha e de bloqueio de sua empresa modificando o GPO (Objeto de
Diretiva de Grupo) de Diretiva de domnio padro.
Como voc sabe, toda regra tem exceo e, provavelmente, suas diretivas de senha
tambm tm. Para aumentar a segurana do seu domnio, possvel inserir
requisitos de senha mais restritivos para contas atribudas a administradores,
contas usadas por servios como o Microsoft SQL Server ou para um utilitrio
de backup. Nas verses anteriores do Windows, isso no era possvel: uma nica
diretiva de senha era aplicada a todas as contas no domnio. Nessa lio, voc
aprender a configurar diretivas de senha refinada, um novo recurso do Windows
Server 2008 que permite atribuir diferentes diretivas de senha a usurios e grupos
em seu domnio.
Objetivos
Configurar e atribuir diretivas de senha refinada.
Compreenso de diretivas de senha
Pontos principais
A diretiva de senha do domnio configurada por um GPO com escopo no
domnio. No GPO, em Configurao do Computador > Diretivas > Configuraes
do Windows > Configuraes de Segurana > Diretivas de conta > n Diretiva de
senha, possvel definir as configuraes de diretiva que determinam os requisitos
de senha. O n Diretiva de senha mostrado na captura de tela a seguir.
possvel compreender os efeitos das diretivas examinando o ciclo de vida de uma

senha de usurio. O usurio dever alterar sua senha dentro do nmero de dias
especificado pela configurao da diretiva Tempo de vida mximo da senha.
Quando o usurio insere uma nova senha, o comprimento da nova senha
comparado ao nmero de caracteres na diretiva Comprimento mnimo da senha.
Se for habilitada a diretiva A senha deve satisfazer a requisitos de complexidade, a
senha dever conter pelo menos trs dos quatro tipos de caracteres:
Maisculas por exemplo, A a Z
Minsculas por exemplo, a a z
Nmeros 0 a 9
Caracteres no alfanumricos smbolos como !, #, %, ou &
Se a nova senha atender aos requisitos, o Active Directory usar um algoritmo

matemtico para produzir uma representao da senha denominada cdigo hash. O
cdigo hash exclusivo duas senhas no podem criar o mesmo cdigo hash. O
algoritmo usado para criar o cdigo hash denominado funo unidirecional. No
possvel usar uma funo reversa para derivar a senha oculta em um cdigo hash.
O fato de o cdigo hash ser armazenado no Active Directory, e no a senha em si,
ajuda a aumentar a segurana da conta do usurio.
Ocasionalmente, h aplicativos que exigem a capacidade de leitura da senha de um

usurio. Isso no possvel porque, por padro, somente o cdigo hash
armazenado no Active Directory. Para oferecer suporte a tais aplicativos, possvel
habilitar a diretiva Armazenar senhas usando criptografia reversvel. Essa diretiva
no habilitada por padro, mas se voc habilit-la, as senhas de usurios sero
armazenadas em um formato criptografado que pode ser descriptografado pelo
aplicativo. A criptografia reversvel reduz consideravelmente a segurana do seu
domnio, por isso desabilitada por padro, e voc deve tentar eliminar aplicativos
que exijam acesso direto a senhas.
Alm disso, o Active Directory pode verificar um cache dos cdigos hash anteriores
do usurio para garantir que sua nova senha no seja igual s senhas anteriores. O
nmero de senhas anteriores em relao ao qual a nova senha avaliada
determinado pela diretiva Impor histrico de senhas. Por padro, o Windows
mantm os 24 cdigos hash anteriores.
Se um usurio estiver determinado a reutilizar a senha quando ela expirar, bastar
alter-la 25 vezes para anular a imposio do histrico de senhas. Para evitar que
isso acontea, a diretiva Tempo de vida mnimo da senha especifica um intervalo
de tempo que deve se passar entre alteraes de senha. Por padro, esse intervalo
de um dia. Assim, o usurio teria que alterar a senha uma vez por dia durante 25
dias para reutiliz-la. Esse tipo de soluo costuma desencorajar tal
comportamento de forma bem-sucedida.
Essas configuraes de diretiva histrico, durao mnima, durao mxima
afetam o usurio que altera sua prpria senha. No entanto, elas no afetam o
administrador que usa o comando Redefinir Senha para alterar a senha de outro
usurio.
Compreenso de diretivas de bloqueio de conta
Pontos principais
Um intruso pode obter acesso aos recursos do seu domnio determinando um
nome de usurio e senha vlidos. Os nomes de usurio costumam ser fceis de
identificar, visto que a maioria das organizaes cria nomes de usurio a partir de
endereos de email, iniciais, combinaes de nome e sobrenome ou IDs de um
funcionrio. Aps conhecer o nome de usurio, o intruso precisa determinar a
senha correta. Isso pode ser feito por adivinhao ou por repetidas tentativas de
logon com combinaes de caracteres ou palavras at se obter xito.
Esse tipo de ataque, denominado fora bruta, pode ser impedido limitando-se o
nmero de logons incorretos permitidos. exatamente isso o que a diretiva de
bloqueio de conta assegura. As diretivas de bloqueio de conta esto localizadas no
n do GPO, diretamente abaixo da Diretiva de senha. O n Diretiva de bloqueio de
conta mostrado na captura de tela a seguir.
H trs configuraes relacionadas ao bloqueio de conta. A primeira, Limite de

bloqueio de conta, determina o nmero de tentativas de logon invlidas permitidas
em um intervalo de tempo especificado pela diretiva Durao do bloqueio de
conta. Se um ataque resultar em mais logons malsucedidos nesse perodo, a conta
do usurio ser bloqueada. Quando uma conta bloqueada, o Active Directory
nega o logon a essa conta, mesmo que a senha correta seja especificada.
O administrador pode desbloquear uma conta de usurio bloqueada. Tambm
possvel configurar o Active Directory para desbloquear automaticamente a conta
aps um atraso especificado pela configurao da diretiva Zerar contador de
bloqueios de conta aps.
Configurao de diretivas de senha e de bloqueio do

domnio
Pontos principais
O Active Directory oferece suporte a um conjunto de diretivas de senha e de
bloqueio de um domnio. Essas diretivas so configuradas em um GPO com
escopo no domnio. Um novo domnio contm um GPO denominado Diretiva de
domnio padro, que vinculado ao domnio e inclui as configuraes de diretiva
padro para diretivas de senha, de bloqueio de senha e do Kerberos. possvel
alterar as configuraes editando a Diretiva de domnio padro.
A prtica recomendada editar o GPO de Diretiva de domnio padro para
especificar as configuraes de diretiva de senha da sua organizao. Voc tambm
deve usar o GPO de Diretiva de domnio padro para especificar diretivas de
bloqueio de conta e diretivas do Kerberos. No use o GPO de Diretiva de domnio
padro para implantar qualquer outra configurao de diretiva personalizada. Em
outras palavras, o GPO de Diretiva de domnio padro define as diretivas de senha,
de bloqueio de conta e do Kerberos para o domnio e nada mais. Alm disso, no
defina diretivas de senha, de bloqueio de conta ou do Kerberos para o domnio em
qualquer outro GPO.
As configuraes de senha definidas na Diretiva de domnio padro afetam todas

as contas de usurio no domnio. As configuraes podem ser substitudas, no
entanto, por propriedades relacionadas a senhas de contas de usurio individuais.
Na caixa de dilogo Propriedades de um usurio, na guia Conta, possvel
especificar configuraes como A senha nunca expira ou Armazenar senhas
usando criptografia reversvel. Por exemplo, se cinco usurios tiverem um
aplicativo que exija acesso direto a suas senhas, ser possvel configurar as contas
para que esses usurios armazenem suas senhas usando criptografia reversvel.
Leitura adicional
Guia de Segurana do Windows Server 2003 Captulo 3: A diretiva de
domnio: http://technet.microsoft.com/pt-br/library/cc163113.aspx
Demonstrao: Configurao de diretivas de conta de

domnio
Cenrio
Configure as diretivas de conta de domnio para atender aos seguintes requisitos
de senha:
Mnimo de 8 caracteres.
Atender aos requisitos de complexidade padro do Windows.
Os usurios devem alterar suas senhas a cada 90 dias.
Os usurios no podem alterar as prprias senhas mais de uma vez por
semana.
Um usurio no pode reutilizar uma senha no perodo de um ano.
1. No console Gerenciamento de Diretiva de Grupo, executado com as
credenciais administrativas, na rvore de console, expanda
Forest:contoso.com, Domnios e contoso.com.
2. Clique com o boto direito do mouse na Diretiva de domnio padro, abaixo
do domnio contoso.com, e clique em Editar.
3. Na rvore de console Editor de Gerenciamento da Diretiva de Grupo, expanda
Configurao do Computador, Diretivas, Configuraes do Windows,
Configuraes de Segurana, Diretivas de conta e clique em Diretiva de
senha.
4. Clique duas vezes nas seguintes configuraes de diretiva, no painel de
detalhes do console, e defina as configuraes como indicado:
Aplicar histrico de senhas: 53 senhas memorizadas
Tempo de vida mximo da senha: 90 dias
Tempo de vida mnimo da senha: 7 dias
Comprimento mnimo da senha: 8 caracteres
A senha deve satisfazer a requisitos de complexidade: Habilitado
5. Feche a janela Editor de Gerenciamento da Diretiva de Grupo.
6. Feche a janela Gerenciamento de Diretiva de Grupo.
Diretiva de senha e de bloqueio refinada
Pontos principais
possvel substituir as diretivas de senha e bloqueio de domnio usando um novo
recurso do Windows Server 2008 denominado diretivas de senha e de bloqueio
refinadas, muitas vezes abreviada simplesmente como diretiva refinada de senha. A
diretiva refinada de senha permite que voc configure uma diretiva que se aplique
a um ou mais grupos ou usurios em seu domnio.
A diretiva refinada de senha uma adio ao Active Directory h muito tempo
esperada. H vrios cenrios em que a diretiva refinada de senha pode ser usada
para aumentar a segurana do seu domnio. As contas usadas por administradores
so privilgios delegados para modificar objetos no Active Directory; portanto, se
um intruso comprometer uma conta de administrador, mais danos podero
ocorrer no domnio do que ocorreriam se uma conta de um usurio padro fosse
comprometida. Por esse motivo, voc deve pensar em implementar requisitos de
senha mais restritos para contas administrativas. Por exemplo, voc pode exigir um
comprimento de senha maior e alteraes de senha mais frequentes.
Outro tipo de conta que exige tratamento especial em um domnio so as contas

usadas por servios com o SQL Server. Um servio realiza suas tarefas com
credenciais que devem ser autenticadas com um nome de usurio e senha,
exatamente como as de um usurio humano. No entanto, a maioria dos servios
no capaz de alterar suas prprias senhas, de modo que os administradores
configuram contas de servio com a opo A senha nunca expira habilitada. Se
uma senha de conta no for ser alterada, garanta que ela seja difcil de ser
comprometida. possvel usar diretivas de senha refinadas para especificar um
comprimento mnimo da senha extremamente longo.
Leitura adicional
AD DS: Diretivas de senha refinadas:
Compreenso do PSO (Objeto Configurao de Senha)
Pontos principais
As configuraes gerenciadas pela diretiva refinada de senha so idnticas quelas
dos ns Diretiva de senha e Diretiva de contas de um GPO. No entanto, as diretivas
de senha refinadas no so implementadas como parte da Diretiva de Grupo nem
so aplicadas como parte do GPO. Em vez disso, h uma classe de objeto separada
no Active Directory que mantm as configuraes para diretivas refinadas de
senha: o PSO.
A maioria dos objetos do Active Directory pode ser gerenciada com ferramentas de
GUI (Interface Grfica do Usurio) amigveis, como o snap-in de Usurios e
Computadores do Active Directory. No entanto, possvel gerenciar PSOs com
ferramentas de nvel inferior, incluindo o ADSIEdit (Editor de Interface de Servio
do Active Directory).
possvel criar um ou mais PSOs em seu domnio. Cada PSO contm um conjunto
completo de configuraes de diretivas de senha e de bloqueio. Um PSO aplicado
vinculando-se o PSO a um ou mais usurios ou grupos de segurana global. Por
exemplo, para configurar uma diretiva de senha restrita para contas
administrativas, crie um grupo de segurana global, adicione as contas de usurio
de servio como membros e vincule um PSO ao grupo. Aplicar diretivas de senha
refinadas a um grupo dessa maneira mais gerencivel do que aplicar as diretivas a
cada conta de usurio individual. Se voc criar uma nova conta de servio, basta
adicion-la ao grupo e a conta passar a ser gerenciada pelo PSO.
Para usar uma diretiva refinada de senha, seu domnio deve estar no nvel
funcional do domnio do Windows Server 2008, o que significa que todos os seus
controladores de domnio executam o Windows Server 2008 no domnio e o nvel
funcional do domnio foi elevado ao do Windows Server 2008.
Para confirmar e modificar o nvel funcional do domnio:
1. Abra Domnios e relaes de confiana do Active Directory.
2. Na rvore de console, expanda Domnios e relaes de confiana do Active
Directory e expanda a rvore at que voc possa ver o domnio.
3. Clique com o boto direito do mouse no domnio e, em seguida, clique em
Aumentar nvel funcional do domnio.
Demonstrao: Configurao de diretivas de senha

refinadas
administrativas e verifique se o Nvel funcional do domnio atual Windows
Server 2008.
2. Execute o ADSI Editar, com credenciais administrativas, nome de usurio
Pat.Coleman_Admin e senha Pa$$w0rd.
3. Clique com o boto direito do mouse em ADSI Editar e clique em Conectar a.
4. Aceite todos os padres. Clique em OK.
5. Na rvore de console, clique em Contexto de Nomenclatura Padro.
6. Na rvore de console, expanda Contexto de Nomenclatura Padro e clique
em DC=contoso,DC=com e CN=Sistema.
7. Na rvore de console, expanda CN=Sistema e clique em CN=Continer de

Configurao de Senha.
Todos os PSOs so criados e armazenados no PSC (Continer de Configurao
de Senha).
8. Clique com o boto direito do mouse em PSC, aponte para Novo e clique em
Objeto.
A caixa de dilogo Criar Objeto ser exibida. Ela solicita que voc selecione o
tipo de objeto a ser criado. H somente uma opo: msDS-PasswordSettings, o
nome tcnico da classe de objeto referida como um PSO.
Em seguida, ser solicitado que voc fornea o valor para cada atributo de um
PSO. Os atributos so similares aos encontrados nas diretivas de conta de
domnio.
10. Configure cada atributo conforme indicado abaixo. Clique em Avanar aps
cada atributo.
cn: PSO Meu admin do domnio. Este o nome comum de um PSO.
msDS-PasswordSettingsPrecedence: 1. Esse PSO tem a maior precedncia
possvel.
msDS-PasswordReversibleEncryptionEnabled: Falso. A senha no
armazenada usando criptografia reversvel.
msDS-PasswordHistoryLength: 30. O usurio no pode reutilizar qualquer
uma das ltimas 30 senhas.
msDS-PasswordComplexityEnabled: Verdadeiro. As regras de complexidade
de senha so impostas.
msDS-MinimumPasswordLength: 15. As senhas devem ter 15 caracteres, no
mnimo.
msDS-MinimumPasswordAge: 1:00:00:00. O usurio s pode alterar sua
senha um dia aps uma alterao anterior. O formato d:hh:mm:ss (dias,
horas, minutos, segundos).
msDS-MaximumPasswordAge: 45:00:00:00. A senha deve ser alterada a
cada 45 dias.
msDS-LockoutThreshold: 5. Cinco logons invlidos no intervalo de tempo
especificado por XXX (o prximo atributo) resultar no bloqueio de conta.
msDS-LockoutObservationWindow: 0:01:00:00. Cinco logons invlidos

(especificados pelo atributo anterior) em uma hora resultar no bloqueio
de conta.
msDS-LockoutDuration: 1:00:00:00. Uma conta, se bloqueada,
permanecer bloqueada por um dia ou at que seja desbloqueada
manualmente. Um valor igual a zero resultar na permanncia do
bloqueio da conta at que um administrador a desbloqueie.
11. Clique em Concluir e feche o ADSI Editar.
12. Execute Usurios e Computadores do Active Directory como antes e, na
rvore de console, expanda o continer Sistema.
Se voc no vir o continer Sistema , clique no menu Exibir do console MMC e
verifique se os Recursos Avanados esto selecionados.
13. Na rvore de console, clique em Continer de Configurao de Senha.
14. Clique com o boto direito do mouse em PSO Meu admin do domnio, clique
em Propriedades e na guia Editor de Atributos.
15. Na lista Atributos, selecione msDS-PSOAppliesTo e clique em Editar.
A caixa de dilogo Nome Diferenciado com Valores Mltiplos com Editor de
Entidades de Segurana ser exibida.
16. Clique em Adicionar Conta do Windows.
A caixa de dilogo Selecionar usurios, computadores ou grupos ser exibida.
17. Digite Administradores do domnio e pressione ENTER.
18. Clique em OK duas vezes e feche as caixas de dilogo abertas.
19. Na rvore de console, expanda o domnio contoso.com e a UO (Unidade
Organizacional) Administradores e clique na UO Admin Identities.
20. Clique com o boto direito do mouse em Pat Coleman (Administrador) e
clique em Propriedades.
22. Clique no boto Filtro e na opo Criado, para que ele seja selecionado.
23. Abra o valor do atributo msDS-ResultantPSO.
Leitura adicional
Guia passo a passo para configurao da diretiva de senha e de bloqueio de conta
refinada: http://technet.microsoft.com/pt-br/library/cc770842(WS.10).aspx
Precedncia de PSO e PSO resultante
Pontos principais
Um PSO pode ser vinculado a mais de um grupo ou usurio, um grupo ou usurio
individual pode ter mais de um PSO vinculado a ele e um usurio pode pertencer a
vrios grupos. Assim, quais configuraes de diretiva de senha e de bloqueio
refinada se aplicam a um usurio? Somente um PSO determina as configuraes de
senha e de bloqueio para um usurio esse PSO denominado PSO resultante.
Cada PSO tem um atributo que determina a precedncia de PSOs. O valor da
precedncia qualquer nmero maior do que 0, em que o nmero 1 indica a maior
precedncia. Se vrios PSOs so aplicveis a um usurio, o PSO com maior
precedncia entrar em vigor. As regras que determinam a precedncia so as
seguintes:
Se vrios PSOs forem aplicveis a grupos aos quais o usurio pertence, o PSO
com maior precedncia vence.
Se um ou mais PSOs estiverem vinculados diretamente a um usurio, os PSOs
vinculados a grupos sero ignorados, seja qual for sua precedncia. O PSO
vinculado ao usurio com maior precedncia vence.
Se um ou mais PSOs tiverem o mesmo valor de precedncia, o Active Directory

dever fazer uma escolha. Ele escolher o PSO com o menor GUID
(Identificador Global Exclusivo). Os GUIDs so como nmeros de srie para
os objetos do Active Directory no h dois objetos com o mesmo GUID. Os
GUIDs no tm um significado em particular, so apenas identificadores; por
isso, escolher o PSO com o menor GUID , de fato, uma deciso arbitrria.
Voc deve configurar os PSOs com valores de precedncia especficos e
exclusivos para que possa evitar esse cenrio.
Essas regras determinam o PSO resultante. O Active Directory expe o PSO

resultante em um atributo de objeto de usurio, msDS-ResultantPSO, para que voc
possa identificar de imediato o PSO que afetar o usurio. Os PSOs contm todas
as configuraes de senha e de bloqueio, assim, no h heranas ou mesclas de
configuraes. O PSO resultante o PSO autoritativo.
Para exibir o atributo msDS-ResultantPSO de um usurio:
1. Verifique se os Recursos Avanados esto habilitados no menu Exibir.
2. Abra as propriedades da conta do usurio.
4. Clique no boto Filtro e verifique se a opo Criado est selecionada.
5. Localize o atributo msDS-ResultantPSO.
PSOs, unidades organizacionais e grupos de sombra

Os PSOs podem ser vinculados a usurios ou grupos de segurana global. Os PSOs
no podem ser vinculados a unidades organizacionais. Se voc deseja aplicar
diretivas de senha e de bloqueio a usurios em uma unidade organizacional, deve
criar um grupo de segurana global que inclua todos os usurios na unidade
organizacional. Esse tipo de grupo denominado grupo de sombra sua
associao age como uma sombra ou imita a associao de uma unidade
organizacional.
Laboratrio A: Configurao de diretivas de

senha e de bloqueio de conta
Cenrio
A equipe de segurana da Contoso solicitou que voc aumentasse a segurana e
monitoria das autenticaes relacionadas ao domnio do AD DS da empresa.
Especificamente, voc deve impor uma diretiva de senha especificada para todas as
contas de usurio e uma diretiva de senha mais rigorosa para contas
administrativas de segurana sigilosas.
Exerccio 1: Configurar diretivas de senha e de bloqueio do

domnio
Nesse exerccio, voc modificar o GPO Diretiva de Domnio Padro para
implementar uma diretiva de senha e de bloqueio para usurios no domnio
contoso.com.
2. Configurar as diretivas de conta de domnio.
Tarefa 1: Iniciar as mquinas virtuais e fazer logon

1. Inicie o 10222A-HQDC01-A.
Tarefa 2: Configurar as diretivas de conta de domnio

2. Edite o GPO Diretiva de Domnio Padro.
3. Defina as configuraes de diretiva de senha a seguir. Deixe as outras
configuraes com seus valores padro.
Tempo de vida mximo da senha: 90 dias
Comprimento mnimo da senha: 10 caracteres
4. Defina as configuraes de diretiva de bloqueio de conta a seguir. Deixe as
outras configuraes com seus valores padro.
Limite de bloqueio de conta: 5 tentativas de logon invlidas.
5. Feche o Editor de Gerenciamento da Diretiva de Grupo e o Gerenciamento de
Diretiva de Grupo.
Resultados: aps esse exerccio, voc ter definido novas configuraes para as
diretivas de conta de domnio.
Exerccio 2: Configurar diretivas refinadas de senha

Nesse exerccio, voc criar um PSO que aplica uma diretiva refinada de senha e
restritiva a contas de usurio no grupo Administradores de Domnio. Voc
identificar o PSO que controla as diretivas de senha e de bloqueio para um
usurio individual. Por fim, voc excluir o PSO criado.
1. Criar um PSO.
2. Vincular um PSO a um grupo.
3. Identificar o PSO resultante para um usurio.
4. Excluir um PSO.
Tarefa 1: Criar um PSO

1. Clique em Iniciar, aponte para Ferramentas Administrativas, clique com o
boto direito do mouse em ADSI Editar e escolha Executar como administrador.
3. Na caixa Nome de usurio, digite Pat.Coleman_Admin.
4. Na caixa Senha, digite Pa$$w0rd e pressione ENTER. O ADSI Editar aberto.
5. Clique com o boto direito do mouse em ADSI Editar e escolha Conectar.
6. Aceite todos os padres. Clique em OK.
7. Na rvore de console, clique em Contexto de Nomenclatura Padro.
8. Expanda Contexto de Nomenclatura Padro e selecione
DC=contoso,DC=com.
9. Expanda DC=contoso,DC=com e selecione CN=Sistema.
10. Expanda CN=Sistema e selecione CN= Continer de Configurao de Senha.
Todos os PSOs so criados e armazenados no PSC (Continer de Configurao
de Senha).
11. Clique com o boto direito do mouse em PSC e escolha Novo, Objeto. A caixa
de dilogo Criar Objeto ser exibida.
Ela solicita que voc selecione o tipo de objeto a ser criado. H somente uma
opo: msDS-PasswordSettings, o nome tcnico da classe de objeto referida
como um PSO.
12. Clique em Avanar. Em seguida, ser solicitado que voc fornea o valor para
cada atributo de um PSO. Os atributos so similares aos encontrados nas
diretivas de conta de domnio.
13. Configure cada atributo conforme indicado abaixo. Clique em Avanar aps
cada atributo.
Common-Name: PSO Meu admin do domnio. Este o nome amigvel do
PSO.
msDS-PasswordSettingsPrecedence: 1. Esse PSO tem a maior precedncia
possvel.
msDS-PasswordReversibleEncryptionEnabled: Falso. A senha no
armazenada usando criptografia reversvel.
msDS-PasswordHistoryLength: 30. O usurio no pode reutilizar qualquer
uma das ltimas 30 senhas.
msDS-PasswordComplexityEnabled: Verdadeiro. As regras de complexidade
de senha so impostas.
msDS-MinimumPasswordLength: 15. As senhas devem ter 15 caracteres, no
mnimo.
msDS-MinimumPasswordAge: 1:00:00:00. O usurio s pode alterar sua
senha um dia aps uma alterao anterior. O formato d:hh:mm:ss (dias,
horas, minutos, segundos).
msDS-MaximumPasswordAge: 45:00:00:00. A senha deve ser alterada a
cada 45 dias.
msDS-LockoutThreshold: 5. Cinco logons invlidos no intervalo de tempo
especificado por XXX (o prximo atributo) resultar no bloqueio de conta.
msDS-LockoutObservationWindow: 0:01:00:00. Cinco logons invlidos
(especificados pelo atributo anterior) em uma hora resultar no bloqueio
de conta.
msDS-LockoutDuration: 1:00:00:00. Uma conta, se bloqueada,
permanecer bloqueada por um dia ou at que seja desbloqueada
manualmente. Um valor igual a zero resultar na permanncia do
bloqueio da conta at que um administrador a desbloqueie.
15. Feche o ADSI Editar.
Tarefa 2: Vincular um PSO a um grupo

2. Na rvore de console, expanda o continer Sistema.
Se voc no vir o continer Sistema , clique no menu Exibir do console MMC e
verifique se os Recursos Avanados esto selecionados.
3. Na rvore de console, clique em Continer de Configurao de Senha.
4. Clique com o boto direito do mouse em PSO Meu admin do domnio e
clique na guia Editor de Atributos.
5. Na lista Atributos, selecione msDS-PSOAppliesTo e clique em Editar.
A caixa de dilogo Nome Diferenciado com Valores Mltiplos com Editor de
Entidades de Segurana ser exibida.
6. Clique em Adicionar Conta do Windows.
A caixa de dilogo Selecionar usurios, computadores ou grupos ser exibida.
7. Digite Administradores do domnio e pressione ENTER.
8. Clique em OK duas vezes e feche as caixas de dilogo abertas.
Tarefa 3: Identificar o PSO resultante para um usurio

2. Abra o Editor de Atributos na caixa de dilogo Propriedades para a conta
Pat.Coleman_Admin.
3. Clique no boto Filtro e verifique se a opo Criado est selecionada.
O atributo que voc localizar na prxima etapa um atributo construdo, o
que significa que o PSO resultante no um atributo embutido em cdigo de
um usurio; em vez disso, ele calculado examinando-se os PSOs vinculados a
um usurio em tempo real.
Pergunta: O que o PSO resultante para Pat Coleman (Administrador)?

Tarefa 4: Excluir um PSO

1. Com os Recursos Avanados habilitados no menu Exibir de Usurios e
Computadores do Active Directory, abra o continer Sistema e o Continer
de Configurao de Senha.
2. Exclua o PSO criado, PSO Meu admin do domnio.
Resultados: aps esse exerccio, voc deve ter criado um PSO, aplicado o PSO ao
Administrador do domnio, confirmado sua aplicao e excludo o PSO.
Observao: quando terminar, no desligue a mquina virtual porque as configuraes

definidas aqui sero usadas nos laboratrios subsequentes neste mdulo.
Pergunta: Onde voc deve definir as diretivas de bloqueio de contas e senhas

padro para contas de usurio no domnio?
Pergunta: Quais so as prticas recomendadas para gerenciar PSOs em um

domnio?
Pergunta: Como voc pode definir uma diretiva de senha exclusiva para todas as
contas de servio na UO Service Accounts?
Lio 2
Auditoria de autenticao
O Windows Server 2008 tambm permite que voc faa auditoria na atividade de
logon dos usurios em um domnio. Ao fazer a auditoria de logons bem-sucedidos,
voc pode procurar pelas instncias em que uma conta est sendo usada em
momentos incomuns ou locais inesperados, o que pode indicar que um intruso
est fazendo logon na conta. As auditorias de logons sem xito podem revelar
tentativas de intrusos de comprometer uma conta. Nessa lio, voc aprender a
configurar a auditoria de autenticao de logon.
Objetivos
Logon de conta e eventos de logon
Pontos principais
Essa lio examina duas configuraes de diretiva especficas: Auditoria de eventos
de logon de conta e Auditoria de eventos de logon. importante que voc
compreenda a diferena entre essas duas configuraes de diretiva de nomes
semelhantes.
Quando um usurio faz logon em qualquer computador no domnio usando uma
conta de usurio de domnio, um controlador de domnio autentica a tentativa de
logon na conta do domnio. Isso gera um evento de logon de conta no controlador
de domnio.
O computador no qual o usurio fez logon por exemplo, o laptop do usurio
gera um evento de logon. O computador no autentica o usurio em relao a sua
conta ele passa a conta para um controlador de domnio para validao. O
computador, no entanto, permite que o usurio faa logon interativamente no
computador. Assim, o evento um evento de logon.
Quando o usurio se conecta a uma pasta em um servidor no domnio, esse

servidor autoriza o usurio a fazer um tipo de logon denominado logon de rede.
Novamente, o servidor no autentica o usurio ele se baseia no tquete dado ao
usurio pelo domnio. Mas a conexo feita pelo usurio gera um evento de logon
no servidor.
Configurao de diretivas de auditoria relacionadas a

autenticao
Pontos principais
O logon de conta e os eventos de logon podem ser auditados pelo Windows Server
2008. Essas configuraes que gerenciam a auditoria esto localizadas em um GPO
em Configurao do computador > Diretivas > Configuraes do Windows >
Configuraes de segurana > Diretivas Locais > n Diretiva de auditoria. O n
Diretiva de auditoria e as duas configuraes so mostrados na captura de tela a
seguir.
Para configurar uma diretiva de auditoria, clique duas vezes na diretiva e sua caixa
de dilogo de propriedades ser exibida. A caixa de dilogo Propriedades de
auditoria de eventos de logon de conta mostrada na captura de tela a seguir.
A configurao de diretiva pode ser definida como um dos quatro estados a seguir:
No Definida: Se a caixa de seleo Definir estas configuraes de diretiva
estiver desmarcada, as configuraes de diretiva no sero definidas. Nesse
caso, o servidor auditar o evento com base nas configuraes padro ou nas
configuraes especificadas em outro GPO.
Definidas como sem auditoria: Se a caixa de seleo Definir estas
configuraes de diretiva estiver marcada, mas as caixas de seleo xito e
Falha estiverem desmarcadas, o servidor no auditar o evento.
Auditoria de eventos bem-sucedidos: Se a caixa de seleo Definir estas
configuraes de diretiva e xito estiverem marcadas, o servidor registrar
eventos bem-sucedidos em seu log de segurana.
Auditoria de eventos malsucedidos: Se as caixas de seleo Definir estas
configuraes de diretiva e Falha estiverem marcadas, o servidor registrar
eventos malsucedidos em seu log de segurana.
O comportamento de auditoria do servidor determinado por uma dessas quatro

configuraes que so aplicadas como o conjunto de diretivas resultante.
No Windows Server 2008, a configurao padro para auditar eventos de logon
de conta bem-sucedidos e eventos de logon bem-sucedidos. Assim, os dois tipos de
eventos, se bem-sucedidos, so inseridos no log de segurana do servidor. Se
desejar auditar falhas ou desativar a auditoria, ser necessrio definir a
configurao apropriada na diretiva de auditoria.
Escopo de diretivas de auditoria
Pontos principais
Como acontece com todas as configuraes de auditoria, preciso ser cuidadoso
com o escopo das configuraes para que elas afetem os sistemas corretos. Por
exemplo, se voc deseja auditar as tentativas de conexo dos usurios com
servidores de rea de trabalho remota em sua empresa, possvel configurar
auditorias de evento de logon em um GPO vinculado UO que contenha seus
servidores de rea de trabalho remota. Por outro lado, se voc deseja auditar os
logons de usurios s reas de trabalho em seu departamento de recursos
humanos, possvel configurar auditorias de evento de logon em um GPO
vinculado UO contendo objetos de computador do departamento de recursos
humanos. Lembre-se de que os logons de usurio do domnio em um computador
cliente ou a conexo com um servidor gerar um evento de logon no um evento
de logon de conta nesse sistema.
Somente controladores de domnio geram eventos de logon de conta para usurios

do domnio. Lembre-se que um evento de logon de conta ocorre no controlador de
domnio que autentica um usurio do domnio, independentemente de onde esse
usurio faz logon. Se voc deseja auditar logons em contas de domnio, deve
inserir no escopo as auditorias de evento de logon para que afetem somente
controladores de domnio. Na verdade, o GPO Controladores de domnio padro
que criado quando voc instala seu primeiro controlador de domnio um GPO
ideal no qual configurar diretivas de auditoria de logon de conta.
Exibio de eventos de logon
Pontos principais
Eventos de logon de conta e eventos de logon, se auditados, aparecem no log de
segurana do sistema que gerou o evento. Um exemplo mostrado na captura de
tela a seguir.
Assim, se voc estiver auditando logons em computadores no departamento de

recursos humanos, os eventos sero inseridos no log de segurana de cada
computador. Da mesma forma, se voc estiver auditando logons de conta
malsucedidos para identificar possveis tentativas de invaso, os eventos sero
inseridos no log de segurana de cada controlador de domnio. Isso significa que,
por padro, ser preciso examinar os logs de segurana de todos os controladores de
domnio para se ter uma viso completa dos eventos de logon de conta no domnio.
Como voc deve saber, em um ambiente complexo com vrios controladores de

domnio e muitos usurios, auditar logons de conta ou logons pode gerar um
nmero enorme de eventos. Se houver muitos eventos, pode ser difcil identificar
eventos problemticos dignos de uma investigao mais detalhada. Voc deve
atingir um equilibrio entre a quantidade de registros em logs realizados e os
requisitos de segurana de sua empresa e os recursos disponveis para analisar
eventos registrados.
Laboratrio B: Auditoria de autenticao
Cenrio
Especificamente, voc deve criar uma trilha de auditoria de logons.
Exerccio 1: Fazer a auditoria de autenticao

Nesse exerccio, voc usar a Diretiva de Grupo para habilitar a auditoria da
atividade de logons bem-sucedidos e malsucedidos de usurios no domnio
contoso.com. Em seguida, voc gerar eventos de logon e exibir as entradas
resultantes nos logs de evento.
2. Configurar a auditoria dos eventos de logon de conta.
3. Configurar a auditoria dos eventos de logon.
4. Impor uma Diretiva de Grupo atualizada.
5. Gerar eventos de logon de conta.
6. Examinar eventos de logon de conta.
7. Examinar eventos de logon.

3. Abra D:\Labfiles\Lab09b.
4. Execute Lab09b_Setup.bat com credenciais administrativas. Use a conta
Tarefa 2: Configurar a auditoria dos eventos de logon de conta

2. Modifique o GPO Diretiva padro de controladores de domnio para
habilitar a auditoria de eventos para eventos de logon de conta bem-sucedidos
e malsucedidos.
3. Feche o Editor de Gerenciamento da Diretiva de Grupo.
Tarefa 3: Configurar a auditoria dos eventos de logon

1. Crie um GPO vinculado UO Servidores\Projeto importante. Nomeie o
GPO Diretiva de bloqueio de servidor.
2. Modifique a Diretiva de bloqueio de servidor para habilitar a auditoria de
eventos para eventos de logon de conta bem-sucedidos e malsucedidos.
3. Feche o Editor de Gerenciamento da Diretiva de Grupo e o Gerenciamento de
Diretiva de Grupo.
Tarefa 4: Impor uma Diretiva de Grupo atualizada

1. Inicie SERVER01-A. Quando o computador for iniciado, as alteraes feitas
Diretiva de Grupo sero aplicadas.
2. Em HQDC01, execute o Prompt de Comando como administrador, com o
nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd, e execute o
comando gpupdate.exe /force. Feche o Prompt de Comando.
Tarefa 5: Gerar eventos de logon de conta

1. Faa logon em SERVER01 como Pat.Coleman, mas insira uma senha incorreta.
2. Aps o logon ser negado, faa logon novamente com a senha correta Pa$$w0rd.
Tarefa 6: Examinar eventos de logon de conta

1. Execute o Visualizador de Eventos como administrador, com o nome de
usurioPat.Coleman_Admin e a senha Pa$$w0rd.
2. Identifique os eventos bem-sucedidos e malsucedidos no log de segurana.
Pergunta: Qual ID de evento est associada aos eventos de logon de conta

malsucedidos? (Dica: procure os primeiros de uma srie de eventos malsucedidos
no momento que voc fizer logon incorretamente no SERVER01.)
Pergunta: Qual ID de evento est associada ao logon de conta bem-sucedido?

(Dica: procure os primeiros de uma srie de eventos no momento que voc fizer
logon incorretamente no SERVER01.)
Tarefa 7: Examinar eventos de logon

1. Em SERVER01, execute o Visualizador de Eventos como administrador, com
o nome de usurio Pat.Coleman_Admin e a senha Pa$$w0rd.
2. Identifique os eventos bem-sucedidos e malsucedidos no Log de segurana.
Pergunta: Qual ID de evento est associada aos eventos de logon malsucedidos?

(Dica: procure os primeiros de uma srie de eventos malsucedidos no momento
que voc fizer logon incorretamente no SERVER01.)
Pergunta: Qual ID de evento est associada ao logon bem-sucedido? (Dica:

procure os primeiros de uma srie de eventos no momento que voc fizer logon
incorretamente no SERVER01.)
Resultados: aps esse exerccio, voc ter estabelecido e revisto a auditoria para
logons bem-sucedidos e malsucedidos no domnio e em servidores na UO Important
Project.
Observao: quando terminar, no desligue a mquina virtual porque as configuraes

definidas aqui sero usadas nos laboratrios subsequentes neste mdulo.
Pergunta: Qual seria a desvantagem de auditar todos os logons bem-sucedidos e

malsucedidos em todas as mquinas em seu domnio?
Pergunta: Voc foi solicitado a auditar as tentativas de logon em desktops e

laptops na diviso de Finanas usando as contas locais como Administrador. Que
tipo de diretiva de auditoria voc define e em que GPO(s)?
Lio 3
Configurao de controladores de domnio
somente leitura
As filiais apresentam um desafio singular equipe de TI (tecnologia da

informao) de uma empresa. Se uma filial for separada do site do hub por um link
de WAN (rede de longa distncia), necessrio inserir um DC (controlador de
domnio) na filial? Nas verses anteriores do Windows, a resposta para essa
pergunta no era nada simples. O Windows Server 2008, no entanto, apresenta
um novo tipo de controlador de domnio, o RODC (Controlador de Domnio
Somente Leitura), que torna a pergunta mais fcil de responder. Nessa lio, voc
explorar os problemas relacionados autenticao e ao posicionamento de um
controlador de domnio de uma filial e aprender como implementar e oferecer
suporte a um RODC de uma filial.
Objetivos
Identificar os requisitos de negcios para RODCs.
Instalar um RODC.
Autenticao e posicionamento de controlador de domnio

em uma filial
Pontos principais
Considere um cenrio em que uma empresa caracterizada por um site do hub e
vrias filiais. As filiais se conectam ao site do hub atravs de links de WAN que
podem ser congestionados, caros, lentos ou no confiveis. Os usurios da filial
devem ser autenticados pelo Active Directory para acessarem recursos no domnio.
Um controlador de domnio deve ser inserido na filial?
Em filiais, muitos servios de TI so centralizados no site do hub, que
cuidadosamente mantido pela equipe de TI. Em organizaes maiores, o site do
hub pode incluir um datacenter robusto. No entanto, as filiais muitas vezes so
locais menores em que no existem um datacenter. Na verdade, muitas filiais no
tm qualquer presena de TI significativa, alm de um punhado de servidores.
Pode no haver uma instalao fisicamente segura para abrigar servidores de filiais.
Pode haver uma pequena equipe de TI local, se houver, para oferecer suporte aos
servidores.
Se um controlador de domnio no estiver inserido na filial, as atividades de

autenticao e tquete de servio sero direcionadas ao site do hub atravs do link
de WAN. A autenticao ocorre quando um usurio faz logon pela primeira vez em
seu computador pela manh. Os tquetes de servio so um componente do
mecanismo de autenticao do Kerberos usados pelos domnios do Windows
Server 2008. possvel pensar em um tquete de servio como uma chave emitida
pelo controlador de domnio para um usurio. A chave permite ao usurio se
conectar a um servio, como o servio Arquivo e Impresso em um servidor de
arquivos. Quando um usurio tenta acessar pela primeira vez um servio
especfico, o cliente do usurio solicita o que denominado um tquete de servio do
controlador de domnio. Como os usurios em geral se conectam a vrios servios
durante um dia de trabalho, a atividade do tquete de servio acontece
regularmente. A atividade de autenticao e tquete de servio atravs do link WAN
entre uma filial e um site do hub pode resultar em um desempenho lento ou no
confivel.
Se um controlador de domnio for inserido na filial, a autenticao ser muito mais
eficiente, mas haver a possibilidade de vrios riscos significativos. Um controlador
de domnio mantm uma cpia de todos os atributos de todos os objetos em seu
domnio, incluindo informaes secretas, como as relacionadas s senhas de
usurio. Se um controlador de domnio for acessado ou roubado, um especialista
determinado poder identificar nomes de usurio e senhas vlidos quando todo o
domnio estiver comprometido. No mnimo, ser preciso redefinir as senhas de
cada conta de usurio no domnio. Porque a segurana dos servidores nas filiais
muitas vezes est abaixo do ideal, um controlador de domnio de filial apresenta
um risco de segurana considervel.
Um outro motivo de preocupao que as alteraes no banco de dados do Active
Directory em um controlador de domnio de filial sejam replicadas para o site do
hub e para todos os outros controladores de domnio no ambiente. Assim, os
danos ao controlador de domnio de filial apresentam um risco integridade do
servio de diretrio da empresa. Por exemplo, se um administrador de filial realizar
uma restaurao do controlador de domnio de um backup desatualizado, poder
haver repercusses significativas para todo o domnio.
Uma terceira questo est relacionada administrao. Um controlador de
domnio de filial pode exigir manuteno como, por exemplo, um novo driver de
dispositivo. Para realizar a manuteno em um controlador de domnio padro,
preciso fazer logon como membro do grupo Administradores no controlador de
domnio, o que significa que voc efetivamente um administrador do domnio.
Pode no ser adequado conceder esse nvel de recurso a uma equipe de suporte
em uma filial.
Controladores de domnio somente leitura
Pontos principais
Estas questes segurana, integridade de servio de diretrio e administrao
deixavam muitas empresas com uma escolha difcil a ser feita, sem uma prtica
recomendada como resposta. O Windows Server 2008 apresenta o RODC, que foi
desenvolvido especificamente para atender ao cenrio das filiais. O RODC um
controlador de domnio, geralmente inserido na filial, que mantm uma cpia de
todos os objetos no domnio e de todos os atributos, com exceo de informaes
secretas como propriedades relacionadas senha. Quando um usurio faz logon
na filial, o RODC recebe a solicitao e a encaminha para um controlador de
domnio no site do hub para autenticao.
Voc pode especificar uma PRP (Diretiva de replicao de senha) para o RODC
que especifica as contas de usurio que o RODC pode armazenar em cache. Se o
logon do usurio estiver includo na PRP, o RODC armazenar em cache essas
credenciais de usurio para que, na prxima vez em que a autenticao for
solicitada, o RODC possa realizar a tarefa no local. Como usurios que esto
includos no logon da PRP, o RODC cria o cache de suas credenciais para que
possa realizar a autenticao no local para estes usurios.
Como o RODC mantm somente um subconjunto de credenciais de usurio, se o

RODC for comprometido ou roubado, o efeito da exposio da segurana ser
limitado: somente as contas de usurio que foram armazenadas em cache no
RODC devero ter suas senhas alteradas. O RODC replica as alteraes para o
Active Directory dos controladores de domnio no site do hub. A replicao
unidirecional. Nenhuma alterao do RODC replicada para qualquer outro
controlador de domnio. Isso elimina a exposio do servio de diretrio aos danos
resultantes de alteraes feitas em um controlador de domnio de filial
comprometido. Por fim, os RODCs so equivalentes a um grupo Administradores
local. possvel dar a uma ou mais equipes de suporte locais a capacidade de
manuteno completa de um RODC sem lhes conceder a equivalncia de
Administradores do domnio.
Implantao de um RODC
Pontos principais
As etapas de nvel superior para implantar um RODC so:
1. Garantir que o nvel funcional da floresta seja o do Windows Server 2003 ou
superior.
2. Se a floresta tiver qualquer controlador de domnio executando o Windows
Server 2003, executar adprep /rodcprep.
3. Garantir que haja pelo menos um controlador de domnio gravvel
executando o Windows Server 2008.
4. Instalar o RODC.
Cada uma dessa etapas so detalhadas nas sees a seguir.

Verificar e configurar o nvel funcional da floresta do Windows Server 2003 ou

superior
Os nveis funcionais habilitam recursos exclusivos para verses especficas do
Windows e so, portanto, dependentes das verses do Windows executadas nos
controladores de domnio. Se todos os controladores de domnio forem Windows
Server 2003 ou superior, o nvel funcional de domnio poder ser definido para o
Windows Server 2003. Se todos os domnios estiverem no nvel funcional de
domnio do Windows Server 2003, o nvel funcional de floresta poder ser
definido para o Windows Server 2003. Os nveis funcionais de domnio e floresta
so abordados detalhadamente em outro mdulo.
Os RODCs exigem que o nvel funcional da floresta seja o do Windows Server
2003 ou superior. Isso significa que todos os controladores de domnio em toda a
floresta executam o Windows Server 2003 ou superior.
Para determinar o nvel funcional da floresta:
1. Abra Domnios e relaes de confiana do Active Directory.
2. Clique com o boto direito do mouse no nome da floresta e clique em
Propriedades.
3. Verifique o nvel funcional da floresta, como mostrado abaixo. Qualquer
usurio pode verificar o nvel funcional da floresta dessa maneira. Nenhuma
credencial administrativa especial exigida para exibi-lo.
Se o nvel funcional da floresta no for pelo menos o do Windows Server 2003,

examine as propriedades de cada domnio para identificar quaisquer domnios em
que o nvel funcional de domnio no seja, no mnimo, o do Windows Server 2003.
Se voc encontrar tal domnio, dever garantir que todos os controladores de
domnio no domnio executem o Windows Server 2003. Em seguida, nos
Domnios e relaes de confiana do Active Directory, clique com o boto direito
do mouse no domnio e escolha Aumentar nvel funcional do domnio. Aps voc
aumentar cada nvel funcional de domnio para, pelo menos, o do Windows Server
2003, clique com o boto direito no n raiz do snap-in Domnios e relaes de
confiana do Active Directory e escolha Aumentar nvel funcional do domnio. Na
lista suspensa Selecionar um nvel funcional de floresta disponvel, escolha
Windows Server 2003 e clique em Aumentar. Voc deve ser um administrador de
domnio para aumentar o nvel funcional do domnio. Para aumentar o nvel
funcional da floresta, voc deve ser um membro do grupo Administradores de
Domnio no domnio raiz da floresta ou um membro do grupo Administradores de
Empresa.
Executar o ADPrep /RODCPrep
Se voc estiver atualizando uma floresta existente para incluir controladores de
domnio executando o Windows Server 2008, preciso executar o adprep
/rodcprep. Esse comando configura permisses para que os RODCs possam
replicar parties de diretrio de aplicativos do DNS. As parties de diretrio de
aplicativos do DNS so abordadas em outro mdulo. Se voc estiver criando uma
nova floresta do Active Directory que ter somente controladores de domnio
executando o Windows Server 2008, no ser necessrio executar o adprep
/rodcprep.
O comando encontrado na pasta \sources\adprep do DVD de instalao do
Windows Server 2008. Copie a pasta para o controlador de domnio atuando
como o mestre de esquema. A funo do mestre de esquema abordada em outro
mdulo. Faa logon no mestre de esquema como um membro do grupo
Administradores de empresa, abra um prompt de comando, altere os diretrios na
pasta adprep e digite adprep /rodcprep.
Antes de executar o adprep /rodcpep, preciso executar o adprep /forestprep e o
adprep /domainprep. Consulte o Mdulo 14 para obter mais informaes sobre a
preparao do domnio e da floresta do Windows Server 2003 para o primeiro
controlador de domnio do Windows Server 2008.
Inserir um controlador de domnio gravvel do Windows Server 2008

Um RODC deve replicar atualizaes de domnio de um controlador de domnio
gravvel executando o Windows Server 2008. fundamental que um RODC possa
estabelecer uma conexo de replicao com um controlador de domnio gravvel
do Windows Server 2008. O ideal seria que o controlador de domnio gravvel do
Windows Server 2008 estivesse no site mais prximo: o site do hub. Se voc deseja
que o RODC funcione como um servidor DNS, o controlador de domnio gravvel
do Windows Server 2008 tambm deve hospedar a zona de domnio DNS.
Instalar um RODC
Aps concluir as etapas preparatrias, voc pode instalar um RODC. Um RODC
pode ter uma instalao completa ou Server Core do Windows Server 2008. Com
uma instalao completa do Windows Server 2008, possvel usar o Assistente de
Instalao dos Servios de Domnio Active Directory para criar um RODC. Basta
selecionar o RODC na pgina Opes Adicionais de Controlador de Domnio do
assistente, como mostrado abaixo.
Como alternativa, possvel usar o comando dcpromo.exe com a opo /unattend

para criar o RODC. Em uma instalao Server Core do Windows Server 2008, voc
deve usar o comando dcpromo.exe /unattend.
Tambm possvel delegar a instalao do RODC, o que permite a um usurio que

no seja administrador de domnio criar o RODC adicionando um novo servidor
na filial e executando o dcpromo.exe. Para delegar a instalao de um RODC, crie
previamente a conta do computador para o RODC na UO Domain Controllers e
especifique as credenciais que sero usadas para adicionar o RODC ao domnio.
Esse usurio pode anexar um servidor executando o Windows Server 2008 conta
RODC. O servidor deve ser membro de um grupo de trabalho no de um
domnio ao criar um RODC usando uma instalao delegada.
Leitura adicional
Para obter mais detalhes sobre outras opes para instalao de um RODC,
incluindo instalao delegada, consulte http://technet.microsoft.com/pt-br
/library/cc772234(WS.10).aspx
Demonstrao: Diretiva de replicao de senha
Pontos principais
Abra as propriedades de BRANCHDC01-A na UO Domain Controllers. Clique na
guia Diretiva de replicao de senha.
A PRP (Diretiva de Replicao de Senha) determina qual credencial de usurio
pode ser armazenada em cache em um RODC especfico. Se uma PRP permitir que
um RODC armazene em cache uma credencial de usurio, as atividades de
autenticao e tquete de servio desse usurio podero ser processadas pelo
RODC. Se uma credencial de usurio no puder ser armazenada em cache no
RODC, as atividades de autenticao e tquete de servio sero indicadas pelo
RODC a um controlador de domnio gravvel.
Uma PRP do RODC determinada por dois atributos de mltiplos valores da
conta do computador do RODC. Esses atributos so normalmente conhecidos
como Lista permitida e Lista negada. Se uma conta do usurio estiver na Lista
permitida, as credenciais do usurio sero armazenadas em cache. possvel
incluir grupos na Lista permitida, em que todos os usurio pertencentes ao grupo
podem ter suas credenciais armazenadas em cache no RODC. Se o usurio estiver
na Lista permitida e na Lista negada, as credenciais do usurio no sero
armazenadas em cache a Lista negada tem prioridade.
Configurar diretiva de replicao de senha em todo o domnio

Para facilitar o gerenciamento da PRP, o Windows Server 2008 criou dois grupos
de segurana local de domnio no continer de usurios do Active Directory. O
primeiro, denominado Grupo de replicao de senha de RODC permitida,
adicionado Lista permitida de cada novo RODC. Por padro, o grupo no tem
membros. Assim, por padro, um novo RODC no armazenar em cache
credencial alguma do usurio. Se houver usurios cujas credenciais voc deseja que
sejam armazenadas em cache por todos os RODCs do domnio, adicione esses
usurios ao Grupo de replicao de senha de RODC permitida.
O segundo grupo denominado Grupo de replicao de senha de RODC negada.
Ele adicionado Lista negada de cada novo RODC. Se houver usurios cujas
credenciais voc deseja garantir que nunca sero armazenadas em cache pelos
RODCs do domnio, adicione esses usurios ao Grupo de replicao de senha de
RODC negada. Por padro, esse grupo contm contas de segurana sigilosas que
so membros de grupos que incluem Administradores do Domnio,
Administradores de Empresa e Proprietrios criadores de diretiva de grupo.
Observao: computadores tambm so pessoas! Lembre-se de que no so somente

os usurios que geram atividade de tquete de servio e autenticao. Os computadores
em uma filial tambm exigem tal atividade. Para aprimorar o desempenho de sistemas
em uma filial, permita que o RODC da filial tambm armazene em cache as credenciais
de computadores.
Configurar diretiva de replicao de senha especfica de RODC

Os dois grupos descritos na seo anterior fornecem um mtodo para gerenciar a
PRP em todos os RODCs. No entanto, para melhor oferecer suporte a um cenrio
de filiais, voc deve permitir que o RODC em cada filial armazene em cache as
credenciais de usurios naquele local especfico. Assim, preciso configurar a Lista
permitida e a Lista negada de cada RODC.
Para configurar qualquer PRP do RODC, abra as propriedades da conta do

computador do RODC na UO Controladores de Domnio. Na guia Diretiva de
replicao de senha, mostrada na captura de tela a seguir, possvel exibir as
configuraes da PRP atuais e adicionar ou remover usurios ou grupos da PRP.
2. Na UO Domain Controllers, abra as propriedades de BRANCHDC01.
3. Clique na guia Diretiva de replicao de senha e exiba a diretiva padro.
4. Feche as propriedades de BRANCHDC01.
5. Na rvore de console Usurios e Computadores do Active Directory, clique
no continer Usurios.
6. Clique duas vezes no Grupo de replicao de senha de RODC permitida. V
para a guia Membros e examine a associao padro do Grupo de replicao
de senha de RODC permitida.
7. Clique em OK.
8. Clique duas vezes no Grupo de replicao de senha de RODC negada e v
para a guia Membros.
9. Clique em Cancelar para fechar as propriedades do Grupo de replicao de
senha de RODC negada.
Demonstrao: Administrao de cache de credenciais do

RODC
Pontos principais
Para essa demonstrao, use a mquina virtual BRANCHDC01 e abra Uso da
Diretiva.
Ao clicar no boto Avanado na guia Diretiva de replicao de senha de um RODC,

a caixa de dilogo Diretiva de replicao de senha avanada ser exibida. Um
exemplo mostrado na captura de tela a seguir.
A lista suspensa na parte superior da guia Uso da Diretiva permite que voc
selecione um dos dois relatrios para o RODC:
Contas com senhas armazenadas neste controlador de domnio somente
leitura: exibe a lista de credenciais de usurio e computador que esto
armazenadas em cache no momento no RODC. Use essa lista para determinar
se h credenciais sendo armazenadas em cache que voc no deseja armazenar
em cache no RODC e modifique a PRP de acordo.
Contas que foram autenticadas para esse controlador de domnio somente
leitura: exibe a lista de credenciais de usurio e computador que foram
indicadas por um controlador de domnio gravvel para processamento de
autenticao ou tquete de servio. Use essa lista para identificar usurios ou
computadores que esto tentando autenticao com o RODC. Se nenhuma
dessas contas estiver sendo armazenada em cache, considere adicion-las
PRP.
Na mesma caixa de dilogo, a guia Diretiva resultante permite que voc avalie a
diretiva de cache efetiva para um usurio ou computador individual. Clique no
boto Adicionar para selecionar uma conta de usurio ou computador para
avaliao.
Tambm possvel usar a caixa de dilogo Diretiva de replicao de senha

avanada para pr-popular as credenciais no cache do RODC. Se um usurio ou
computador estiver na Lista de permisses de um RODC, as credenciais da conta
podero ser armazenadas em cache no RODC, mas no sero armazenadas em
cache at que os eventos de autenticao ou tquete de servio faam o RODC
replicar as credenciais de um controlador de domnio somente leitura. Ao pr-
popular as credenciais no cache do RODC para usurios e computadores na filial,
por exemplo, voc pode ter certeza de que a atividade de autenticao e tquete de
servio ser processada localmente pelo RODC, mesmo quando o usurio ou o
computador estiverem sendo autenticados pela primeira vez. Para pr-popular
credenciais, clique no boto Pr-popular Senhas e selecione os usurios e
computadores apropriados.
1. Em HQDC01, na rvore de console Usurios e Computadores do Active
Directory, clique na UO Domain Controllers e abra as propriedades de
BRANCHDC01.
2. Clique na guia Diretiva de replicao de senha.
A caixa de dilogo Diretiva de replicao de senha avanada para
BRANCHDC01 ser exibida.
A guia Uso da Diretiva exibe contas com senhas armazenadas nesse RODC.
4. Da lista suspensa, selecione Contas com senhas armazenadas neste
controlador de domnio somente leitura.
5. Da lista suspensa, selecione Contas que foram autenticadas para esse
controlador de domnio somente leitura.
6. Clique na guia Diretiva resultante e no boto Adicionar.
A caixa de dilogo Selecionar usurios ou computadores ser exibida.
7. Digite Chris.Gallagher e pressione ENTER.
8. Clique na guia Uso da Diretiva.
9. Clique no boto Pr-popular Senhas.
A caixa de dilogo Selecionar usurios ou computadores ser exibida.
10. Digite o nome da conta que deseja pr-popular e clique em OK.

11. Clique em Sim para confirmar que deseja enviar as credenciais para o RODC.
Uma mensagem ser exibida: As senhas para todas as contas foram pr-populadas
com xito.
Separao de funo administrativa
Pontos principais
Os RODCs nas filiais podem exigir manuteno, como um driver de dispositivo
atualizado. Alm disso, pequenas filiais podem combinar o RODC acumulado com
a funo de servidor de arquivos em um nico sistema; nesse caso, seria
importante possibilitar o backup do sistema. Os RODCs oferecem suporte para
administrao local por meio de um recurso denominado separao de funo
administrativa. Cada RODC mantm um banco de dados de grupos local para fins
administrativos especficos. possvel adicionar uma conta de usurio de domnio
a essas funes locais para permitir suporte para um RODC especfico.
Voc pode configurar a separao de funo administrativa usando o comando
dsmgmt.exe. Para adicionar um usurio funo Administradores em um RODC,
siga essas etapas:
1. Abra um prompt de comando no RODC.
2. Digite dsmgmt e pressione ENTER.
3. Digite funes locais e pressione ENTER.

No prompt de funes locais, digite ? e pressione ENTER para obter uma lista
de comandos. Voc tambm pode digitar funes de listagem e pressionar
ENTER para obter uma lista de funes locais.
4. Digite adicionar nome de usurio administradores, em que nome de usurio o
nome de logon anterior ao Windows 2000 de um usurio do domnio, e
pressione ENTER.
possvel repetir esse processo para adicionar outros usurios s funes locais
variadas no RODC.
Leitura adicional
Os RODCs so novos e valiosos recursos para aprimorar a autenticao e a
segurana nas filiais. Leia a documentao detalhada no site da Microsoft em:
Laboratrio C: Configurao de controladores

de domnio somente leitura
Cenrio
Especificamente, voc deve aprimorar a segurana dos controladores de domnio
nas filiais.
Exerccio 1: Instalar um RODC

Nesse exerccio, voc configurar o servidor BRANCHDC01 como um RODC em
uma filial distante. Para evitar custos de viagem, voc resolveu fazer a converso
remotamente, com a ajuda de Aaron Painter, o tcnico de suporte da rea de
trabalho e nico membro da equipe de TI na filial. Aaron Painter j instalou um
computador com o Windows Server 2008 denominado BRANCHDC01 como
servidor em um grupo de trabalho. Voc preparar uma instalao delegada de um
RODC para que Aaron Painter possa concluir a instalao.
2. Preparar uma instalao delegada de um RODC.
3. Executar o Assistente de Instalao dos Servios de Domnio Active Directory
em um servidor de grupo de trabalho.

3. Abra D:\Labfiles\Lab09c.
4. Execute Lab09c_Setup.bat com credenciais administrativas. Use a conta
5. O script de configurao do laboratrio executado. Quando estiver
concludo, pressione qualquer tecla para continuar.
6. Feche a janela do Windows Explorer, Lab09c.
Tarefa 2: Preparar uma instalao delegada de um RODC

2. Clique com o boto direito do mouse na UO Domain Controllers e clique na
conta Pr-criar Controladores de Domnio Somente Leitura.
3. Percorra o Assistente de Instalao dos Servios de Domnio Active Directory,

aceitando todos os padres. Use o nome do computador BRANCHDC01 e, na
pgina Instalao e Administrao de Delegao de RODC, delegue a
instalao para Aaron.Painter_Admin.
Observe que quando o assistente estiver concludo, o servidor ser exibido na
UO Domain Controllers com a coluna Tipo de Controlador de Domnio
mostrando Conta de controlador de domnio Desocupada (GC, Somente
leitura).
Tarefa 3: Executar o Assistente de Instalao dos Servios de Domnio

Active Directory em um servidor de grupo de trabalho
1. Inicie 10222A-BRANCHDC01-A.
2. Faa logon em BRANCHDC01 como Administrador com a senha Pa$$w0rd.
3. Clique em Iniciar e, em seguida, clique em Executar.
4. Digite dcpromo e pressione ENTER.
Uma janela ser exibida informando que os binrios do Servios de Domnio
Active Directory esto sendo instalados. Quando a instalao for concluda, o
Assistente de Instalao dos Servios de Domnio Active Directory ser
exibido.
6. Na pgina Compatibilidade de sistema operacional, clique em Avanar.
7. Na pgina Escolher uma Configurao de Implantao, clique na opo
Floresta existente e em Adicionar um controlador de domnio a um
domnio existente, e clique em Avanar.
8. Na pgina Credenciais de rede, digite contoso.com.
9. Clique no boto Definir.
Uma caixa de dilogo Segurana do Windows ser exibida.
10. Na caixa Nome de usurio, digite Aaron.Painter_Admin.
13. Na pgina Selecionar um domnio, selecione contoso.com e clique em

Avanar.
Uma mensagem ser exibida para inform-lo de que suas credenciais no
pertencem ao grupo Administradores de Domnio ou Administradores de
Empresa. Por ter pr-testado e delegado a administrao do RODC, voc est
habilitado a continuar com as credenciais delegadas.
14. Clique em Sim.
Uma mensagem ser exibida para inform-lo de que a conta para
BRANCHDC01 foi pr-testada no Active Directory como um RODC.
15. Clique em OK.
Uma mensagem de aviso ser exibida, indicando que o computador tem um
endereo IP atribudo dinamicamente. BRANCHDC01 tem um endereo IPv6
atribudo dinamicamente. No entanto, o servidor no tem um endereo IPv4
fixo. Os endereos IPv6 no esto sendo usados nesse curso, por isso voc
pode ignorar essa mensagem.
16. Clique em Sim, o computador usar um endereo IP atribudo
dinamicamente (no recomendvel).
17. Na pgina Local de Banco de Dados, Arquivos de Log e SYSVOL, clique em
Avanar.
18. Na pgina Senha do administrador do modo de restaurao dos servios de
diretrio, digite Pa$$w0rd12345 nas caixas Senha e Confirmar senha e
clique em Avanar.
Em um ambiente de produo, voc deve atribuir uma senha complexa e
segura conta Administrador do modo de restaurao dos servios de
diretrio.
Observe tambm que modificamos o comprimento mnimo da senha no
Laboratrio A e, como tal, necessrio atender aos requisitos de comprimento
mnimo da senha.
19. Na pgina Resumo, clique em Avanar.
20. Na janela de progresso, marque a caixa de seleo Reinicializar ao concluir.
Os Servios de Domnio Active Directory so instalados no BRANCHDC01 e o
servidor reinicializa.
Resultados: aps esse exerccio, voc ter um novo RODC denominado BRANCHDC01
no domnio contoso.com.
Exerccio 2: Configurar diretiva de replicao de senha

Nesse exerccio, voc configurar a diretiva de replicao de senha em todo o
domnio e a diretiva de replicao de senha especfica para o BRANCHDC01.
1. Configurar a diretiva de replicao de senha em todo o domnio.
2. Criar um grupo para gerenciar a replicao de senha no RODC da filial.
3. Configurar a diretiva de replicao de senha para o RODC da filial.
4. Avaliar a diretiva de replicao de senha resultante.
Tarefa 1: Configurar diretiva de replicao de senha em todo o

domnio
Quem so os membros padro do Grupo de replicao de senha de RODC
permitida?
Quem so os membros padro do Grupo de replicao de senha de RODC
negada?
Adicione o grupo DNSAdmins como um membro do Grupo de replicao de
senha de RODC negada.
Examine a propriedade de replicao de senha para BRANCHDC01.
Qual a diretiva de replicao de senha para o Grupo de replicao de senha
de RODC permitida? Para o Grupo de replicao de senha de RODC negada?
Tarefa 2: Criar um grupo para gerenciar a replicao de senha no

RODC da filial
1. Na UO Groups\Role, crie um novo grupo de segurana global denominado
Usurios de filial.
2. Adicione os seguintes usurios ao grupo Usurios de filial:
Anav.Silverman
Chris.Gallagher
Christa.Geller
Daniel.Roth
Tarefa 3: Configurar a diretiva de replicao de senha para o RODC da

filial
Configure BRANCHDC01 para que armazene em cache as senhas para
usurios no grupo Usurios de filial.
Tarefa 4: Avaliar a diretiva de replicao de senha resultante

Abra a Diretiva resultante para a diretiva de replicao de senha do
BRANCHDC01.
Pergunta: Qual a diretiva resultante para Chris.Gallagher?
Resultados: aps esse exerccio, voc ter configurado a diretiva de replicao de

senha em todo o domnio para evitar a replicao de senhas de membros do grupo
DNSAdmins para os RODCs. Voc tambm ter configurado a diretiva de replicao de
senha para BRANCHDC01, para permitir a replicao de senhas de membros do grupo
Usurios da filial.
Exerccio 3: Gerenciar cache de credenciais

Nesse exerccio, voc monitorar cache de credenciais.
1. Monitorar cache de credenciais.
2. Pr-popular cache de credenciais.
Tarefa 1: Monitorar cache de credenciais

1. Faa logon em BRANCHDC01 como Chris.Gallagher com a senha
Pa$$w0rd, e em seguida faa logoff.
2. Faa logon em BRANCHDC01 como Mike.Danseglio com a senha Pa$$w0rd
e em seguida faa logoff.
O domnio contoso.com usado nesse curso inclui um objeto de Diretiva de
domnio (denominado 10222A) que permite aos usurios fazerem logon para
controladores de domnio. Em um ambiente de produo, no recomendado
conceder aos usurios o direito de fazer logon para controladores de domnio.
3. Em HQDC01, em Usurios e Computadores do Active Directory, examine a
diretiva de replicao de senha para BRANCHDC01.
Pergunta: Qual senha de usurio est armazenada em cache no momento em

BRANCHDC01?
Pergunta: Quais usurios foram autenticados pelo BRANCHDC01?

Tarefa 2: Pr-popular cache de credenciais

Na diretiva de replicao de senha para BRANCHDC01, pr-popule a senha
para Christa Geller.
Resultados: aps esse exerccio, voc identificar as contas que foram armazenadas
em cache no BRANCHDC01 ou que foram encaminhadas para outro controlador de
domnio para autenticao. Voc tambm ter pr-populado as credenciais em cache
para Christa Geller.
Pergunta: Por que voc deve garantir que a PRP para um RODC de filial tenha, em
sua Lista de permisses, as contas para computadores na filial, bem como para
usurios?
Pergunta: Qual seria a forma mais gerencivel de garantir que os computadores de

uma filial estejam na Lista de permisses da PRP do RODC?
Pergunta: Quais so os prs e os contras de pr-popular credenciais para todos os

usurios e computadores em uma filial para o RODC dessa filial?
Notas
Notas
Notas
Notas
Notas
Notas
Notas
Notas

Moc 10222a-Ptb Parte01 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Moc 10222a-Ptb Parte01 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

P R ODU T O S M IC RO S OFT O F FIC I A L L E A RN IN G

Lembre-se de acessar o contedo de aprendizado ampliado no CD

2010 Microsoft Corporation. Todos os direitos reservados.

Nmero do produto: 10222A

Pea nmero: X16-99405

Se cumprir estes termos de licena, voc ter os direitos a seguir.

Dan Holme Especialista no assunto

Claudia Woods Revisora tcnica

Ryan Boswell Revisor tcnico

Mdulo 2: Administrao segura e eficiente do Active Directory

Mdulo 3: Gerenciamento de usurios

Mdulo 4: Gerenciamento de grupos

Mdulo 5: Suporte a contas de computador

Mdulo 6: Implementao de uma infraestrutura de diretiva de grupo

Mdulo 7: Gerenciamento da segurana e da configurao da empresa com

Mdulo 8: Administrao segura

Mdulo 9: Aperfeioamento da segurana da autenticao em um domnio

Sobre este curso

Alguma experincia com a criao de objetos no Active Directory.

Identificar a finalidade e os requisitos dos atributos de conta de usurio.

Administrar contas de computador atravs de seu ciclo de vida.

Exibir e reportar permisses sobre os objetos do Active Directory usando a

Compreender os servidores DNS somente leitura.

Monitorar o desempenho registrado e em tempo real com o Monitor de

Mdulo 13: descreve as tecnologias e ferramentas que esto disponveis para

Observao: para acessar o contedo completo do curso, coloque o CD complementar

Avaliao do curso. Ao final do curso, voc ter a oportunidade de fazer uma

Para fornecer comentrios adicionais sobre o curso, envie um email para

Ambiente de mquina virtual

Configurao da mquina virtual

Importante: ao final de cada laboratrio, voc deve fechar a mquina virtual e no

Mquina virtual Funo

Controlador de domnio do Windows Server 2008 no

10222A-HQDC01-D Membro de grupo de trabalho do Windows Server 2008

10222A-HQDC02-A Membro de grupo de trabalho do Windows Server 2008

Controlador de domnio do Windows Server 2008 no

10222A-HQDC03-A Windows Server 2008 Server Core no grupo de trabalho

10222A-HQDC03-B Windows Server 2008 Server Core no domnio Contoso

10222A-DESKTOP101-A Cliente do Windows Vista no domnio Contoso

10222A-BRANCHDC01-A Membro de grupo de trabalho do Windows Server 2008

Controlador de domnio do Windows Server 2008 Server

Controlador de domnio do Windows Server 2008 no

10222A-SERVER01-B Membro de grupo de trabalho do Windows Server 2008

Controlador de domnio do Windows Server 2008 no

Configurao da sala de aula

Nvel de hardware do curso

Viso geral do mdulo

O AD DS (Servios de Domnio Active Directory) oferece a funcionalidade de uma

Resumo da proteo das informaes

AAA: autenticao, autorizao e estatsticas. Os usurios fornecem credenciais,

IDA (identidade e acesso)

Quando um usurio se conecta a um servidor para acessar um arquivo

Descritores de segurana, ACLs e ACEs

Autenticao autnoma (grupo de trabalho)

Se o usurio deseja acessar uma pasta compartilhada de um servidor, h um

Domnios do Active Directory: armazenamento de

Active Directory, identidade e acesso

Armazenar informaes sobre usurios, grupos, computadores e outras

Controlar o acesso. A infraestrutura de IDA responsvel por proteger

O AD DS o componente de maior destaque de uma infraestrutura de IDA, mas

Cada um desses servios desempenha um papel importante na extenso de IDA

Os Mdulos 2 a 14 deste curso detalham os processos de instalao, configurao,

Active Directory como banco de dados