Adm Redes Apostila PDF

Alfamdia Redes:
Solues Microsoft
Workgroup e AD
Solues Microsoft Workgroup e AD
Todos os direitos reservados para Alfamdia Prow
AVISO DE RESPONSABILIDADE
As informaes contidas neste material de treinamento so distribudas NO ESTADO EM
QUE SE ENCONTRAM, sem qualquer garantia, expressa ou implcita. Embora todas as
precaues tenham sido tomadas na preparao deste material, a Alfamdia Prow no tm
qualquer responsabilidade sobre qualquer pessoa ou entidade com respeito responsabilidade,
perda ou danos causados, ou alegadamente causados, direta ou indiretamente, pelas instrues
contidas neste material ou pelo software de computador e produtos de hardware aqui descritos.
01/2012
Alfamdia Prow
http://www.alfamidia.com.br
2
Unidade 1 Workgroup ....................................................................................... 5
Unidade 2 Instalao e Configurao Inicial de Windows 7 e Server 2008 .. 7
2.1 Instalao do Windows 7 ........................................................................................... 7
Configurao de rede no Windows 7................................................................... 19
2.2 Instalao do Windows Server 2008 ...................................................................... 24
Viso Geral do Windows Server 2008 ................................................................. 33
Roles e Features (Funes e Recursos) .............................................................. 35
Criao de usurios e grupos locais .................................................................... 41
Grupos locais:....................................................................................................... 49
Configurao de compartilhamento local (pastas e impressoras) ..................... 55
Acessando recursos atravs da rede: ................................................................... 58
Unidade 3 Conceitos de Active Directory ....................................................... 77
3.1 O que Active Directory? ....................................................................................... 77
3.2 Roles do AD no Windows Server 2008 ................................................................... 77
3.3 O que Domain Services? ....................................................................................... 78
3.4 Estrutura lgica e fsica do ADDS .......................................................................... 79
Unidade 4 Nomenclatura LDAP ..................................................................... 80
4.1 Conhecimento adicional: como formar um nome LDAP ................................. 80
Unidade 5 Criao de um Domnio de Active Directory ................................ 81
5.1 Configurao dos pr-requisitos da Role Active Directory Domain Services .... 81
5.2 Configurao do Windows Server como Controlador de Domnio (Domain
Controller) ............................................................................................................................. 85
Unidade 6 Configurao e Administrao dos Objetos do ADDS ............... 107
6.1 O que uma OU? ................................................................................................... 108
6.2 Planejamento e criao de OU .............................................................................. 108
Unidade 7 Configurao de usurios e grupos ............................................ 111
7.1 Criao de usurios ............................................................................................... 111
7.2 Administrao das contas de usurio ................................................................... 114
7.3 Configurao de propriedades ............................................................................. 119
7.4 Configurao do perfil ambulante ....................................................................... 129
Unidade 8 Criao de grupos ........................................................................ 133
8.1 Tipos e escopos de grupos ..................................................................................... 134
8.2 Adicionando membros ........................................................................................... 137
8.3 Configurao de outras propriedades.................................................................. 139
Unidade 9 Segurana dos Recursos de Disco: Configurao de
compartilhamento .............................................................................................. 145
3
9.1 Compartilhamento de recursos ............................................................................ 145
Unidade 10 Segurana dos Recursos de Disco: Configurao das permisses
de segurana NTFS............................................................................................ 149
10.1 Configurando Segurana NTFS ........................................................................... 149
10.2 Dicas para facilitar a administrao dos recursos .............................................. 153
Unidade 11 Configurao de Group Policies (diretivas de grupo)................ 155
Unidade 12 Tpicos Adicionais....................................................................... 171
12.1 Mestres de operao .............................................................................................. 171
12.2 Global Catalog........................................................................................................ 177
12.3 Adio de mais controladores de domnio e Criao de mais domnios ........... 179
12.4 Remoo de um controlador de domnio ............................................................. 180
12.5 Delegar tarefas administrativas no AD ................................................................ 182
12.6 Servidor DHCP ...................................................................................................... 185
Unidade 13 Diretiva local e de grupo ............................................................ 197
13.1 Configurao de diretivas locais ........................................................................... 197
13.2 Configurao de Group Policies (diretivas de grupo) ........................................ 204
Unidade 14 ANEXOS ...................................................................................... 225
14.1 Configurao de rede e criao de rede domstica ......................................... 225
14.2 Anexo 2 - Uso do MMC e dos Snap-ins ................................................................ 233
14.3 Anexo 3 - Backup e Restore do Active Directory ................................................ 235
14.4 Anexo 4 - Como criar uma mquina virtual usando o Hyper-V Manager: ..... 256
4
Unidade 1
Workgroup
1.1 O que uma rede Workgroup?
A Microsoft, hoje em dia, oferece duas solues de rede de
computadores: Workgroup e Domnio
Nesta parte inicial, nosso foco o workgroup.
Uma rede workgroup tambm pode ser chamada de grupo de trabalho,
grupo domstico, rede domstica, entre outros nomes.
Neste tipo de rede, no temos um servidor responsvel pela segurana
da rede. Nesta soluo, todos os computadores fazem a funo de cliente
e servidor ao mesmo tempo. Cada computador responsvel pela
segurana de seus recursos compartilhados na rede.
Isto significa que cada usurio que precise acessar um recurso em um
computador, precisar ter um usurio vlido neste computador. Isto
resulta que cada pessoa precisar lembrar vrios nomes de usurios e
senhas diferentes, para acessar cada recurso necessrio para seu
trabalho.
Uma rede workgroup pode ser formada apenas por sistemas operacionais
de cliente (Windows XP, Vista e 7) ou pode ter a presena de um ou mais
Windows Server tambm.
Os sistemas operacionais de cliente podem ter apenas 10 conexes
simultneas em seus recursos compartilhados, o que impede (uma das
principais razes!) que seja usada este tipo de rede em empresas
maiores, ou quando tiver uma grande quantidade de computadores.
Para implementar uma rede workgroup, precisamos ter pelo menos 2
computadores, com algum tipo de conectividade de rede entre eles.
Podemos compartilhar uma impressora, uma conexo de internet, um
recurso de disco.
Normalmente usamos este tipo de rede em casa (rede domstica), em
pequenos escritrios e pequenas empresas, onde precisamos
compartilhar recursos, mas a segurana no um dos principais pr-
requisitos ou onde temos poucos recursos e/ou um grau de conhecimento
menor.
Alm disto, se precisamos compartilhar recursos, e no temos a presena
de um Windows Server, a rede workgroup a nica soluo.
Como conhecimento adicional, quando um usurio efetua seu logon em
um computador membro de um grupo de trabalho, sua autenticao
feita na base de dados de segurana local SAM. Isto faz com que este
usurio tenha acesso aos recursos aos quais ele tenha permisso, que
5
ele possa executar as tarefas s quais ele tenha direito, mas SOMENTE
no computador no qual ele fez logon.
Caso este usurio solicite acesso a um recurso de outro computador, ser
solicitado a ele uma nova credencial (nome de usurio e senha) vlido no
computador onde se encontra o recurso solicitado.
6
Unidade 2 Instalao e Configurao

Inicial de Windows 7 e Server 2008
2.1 Instalao do Windows 7
A instalao do Windows 7, hoje, um procedimento extremamente
simples!
Quase todas as configuraes so feitas APS a instalao ter sido
finalizada com sucesso.
Existem vrias formas de instalar um Windows: Instalao manual local
ou por um compartilhamento de rede, instalao atravs de imagens, ...
O procedimento que iremos ver neste treinamento o da instalao
manual local, atravs da inicializao de um computador pelo DVD local.
Pr-requisitos:
CPU: 1Ghz ou maior
Memria RAM: 1Gb para sistemas em 32 bits, 2Gb para sistemas em 64
bits
Vdeo: Compatvel com Aero
Disco: 16Gb para sistemas em 32 bits, 20Gb para sistemas em 64 bits
desejvel a presena de uma unidade de DVD
Atualizao:
O Windows 7 s pode ser atualizado a partir de um Windows Vista SP1
ou posterior, da mesma linha.
Todos os outros Windows requerem que seja instalada uma nova verso
de Windows. Com isto no so mantidos softwares instalados nem dados
e configuraes dos usurios. Para manter, necessrio migrar o perfil
ou fazer backup e restaurar aps, alm de ter que reinstalar todos os
softwares do usurio.
O processo de instalao:
Durante o procedimento de instalao, poucas perguntas so feitas... O
restante configurado depois do Windows instalado.
Para uma instalao local, manual (formato que ser visto neste
treinamento), devemos colocar o DVD no drive e iniciar o computador. Se
no houver nenhum sistema operacional instalado no computador, o
processo de instalao inicia automaticamente. Se houver algum sistema
operacional instalado, o computador apresentar uma mensagem,
solicitando que seja pressionada uma tecla para iniciar pelo DVD. Deve
7
ser feito isto, para que seja possvel fazer uma nova instalao (para
atualizao, o processo pode ser iniciado de dentro do prprio Windows,
como a instalao de qualquer outro software).
Quando solicitado, escolha a opo de idioma e teclado, conforme tela
abaixo:
Na tela seguinte, para iniciar a instalao, deve-se clicar em Instalar

agora
8
OBS: Nesta tela acima tambm apresentada a opo Reparar o

computador. Esta opo oferece ferramentas para recuperar uma
instalao do Windows.
O processo de instalao continua.
Na tela seguinte, marque a caixa para aceitar os termos da licena e
depois clique em Avanar
9
Nesta tela oferecida a escolha de que tipo de instalao fazer: Atualizar
ou instalar nova verso (Atualizao ou Personalizada). Neste
treinamento, veremos a opo Personalizada. Esta opo instala um novo
Windows.
Escolha a unidade de disco (disco fsico e partio) onde deseja instalar o

Windows 7. Clique em Avanar para continuar.
10
OBS: Nesta parte da instalao possvel criar, excluir ou modificar as

parties de disco, clicando na opo Opes de unidade da janela
acima
O procedimento de instalao continua.
11
Aguarde at que esteja finalizado.

O processo pode demora vrios minutos, dependendo do equipamento.
Logo aps finalizar, o computador ser iniciado e a primeira tarefa a ser
executada a configurao do nome do usurio que ser o administrador
(usurio principal) desta estao e o nome do computador.
12
A prxima tela pede a configurao da senha do usurio inicial. Temos

que digitaruma senha, digitar novamente na caixa de confirmao e, na
caixa da Dica de senha, podemos digitar uma frase ou lembrete que
ajude a recuperar a senha, em caso de esquecimento.
13
Clique em Avanar.
Na tela sobre atualizaes automticas do Windows, oferecida a opo
de configurar para receber atualizaes automticas ou no.
14
Na prxima tela, so oferecidos para ajuste as informaes sobre fuso

horrio e data/hora. Se necessrio, aqui que fazemos estes ajustes.
Clique em Avanar.
15
Prxima configurao a ser feita, se refere rede. Se for detectada a

presena de uma placa de rede, oferecido para escolher o local da
rede, na verdade o tipo de rede, que pode ser domstica, trabalho ou
pblica. Clique no tipo de rede desejado para que seja configurado neste
momento.
16
Aguarde at que a instalao tenha sido finalizada

O Windows finaliza o processo de instalao e inicia a rea de trabalho do
Windows.
OBS: No esquea que, depois de instalado o Windows, necessrio
ativa-lo.
Veja a tela abaixo, bem na parte inferior, onde trata da ativao:
17
possvel ativar o Windows de forma online ou pelo telefone, e trocar a

chave de instalao, caso isto seja necessrio, diretamente nesta janela.
Tambm por esta janela que temos acesso janela das propriedades
avanadas do sistema, onde podemos, por exemplo, trocar o nome do
computador, ou definir seu grupo de trabalho ou domnio.
18
Para acessar esta janela, podemos clicar com o boto direito do mouse
diretamente na opo Computador do menu Iniciar e escolher
Propriedades no menu que se abre, ou acessar o cone Sistema, pelo
Painel de Controle.
Configurao de rede no Windows 7
Logo depois de instalar o Windows 7, se foi detectada uma placa de rede,

esta foi configurada para receber configuraes dinmicas.
Nem sempre teremos um servidor de DHCP disponvel na rede (veremos
mais sobre este assunto no decorrer deste treinamento) ou poderemos
19
usar as configuraes APIPA (veremos mais sobre APIPA no decorrer
deste treinamento).
Ento, pode ser necessrio configurar a placa de rede com uma
configurao esttica de TCP-IP, pelo menos seu endereo e mscara de
subrede.
Veja abaixo como fazer esta configurao:
A maneira mais rpida de acessar as configuraes da rede clicando
com o boto direito do mouse no cone de rede na rea de notificao:
Clique na opo para abrir a Central de Redes e Compartilhamento
Clique em Alterar as configuraes do adaptador e depois, clique na placa

de rede a ser configurada, com o boto direito do mouse, e escolha a
opo Propriedades:
20
Na caixa de dilogo das configuraes da placa de rede, role a lista e

clique em Protocolo TCP/IP verso 4 (TCP/IPv4) e clique no boto
Propriedades:
Inicialmente, estar configurado para obter endereo automaticamente:
21
Mas, na falta de um servidor DHCP, e na impossibilidade de usar o

APIPA, deveremos configurar manualmente:
22
OBS: Para usar nas redes locais, internas, no visveis na Internet,

devemos escolher 1 entre os vrios endereos IP no propagveis (no
vlidos na Internet, ento de uso pblico) com os seguintes padres:
10.x.x.x
172.16.x.x
192.168.x.x
Qualquer um deles serve!
Ainda nas configuraes de rede, mas agora no em relao placa,
precisamos configurar que o computador possa encontrar outros
computadores na rede, e que ele possa compartilhar seus recursos com a
rede.
Na janela da Central de Rede e Compartilhamento vista acima, clique na
opo Alterar as configuraes de compartilhamento avanadas:
23
Marque as opes que deseja ativar. E clique em Salvar alteraes.

OBS:
Compartilhamento da Pasta Pblica:
Todo o computador com Windows 7 possui uma pasta pblica. Se no for
marcada a opo para compartilhamento desta pasta, esta ser uma rea
de troca de informaes entre usurios locais do computador.
2.2 Instalao do Windows Server 2008
A instalao do Windows Server 2008, hoje, um procedimento muito

simples!
Quase todas as configuraes so feitas APS a instalao ter sido
finalizada com sucesso.
Existem vrias formas de instalar um Windows: Instalao manual local
ou por um compartilhamento de rede, instalao atravs de imagens, ...
O procedimento que iremos ver neste treinamento o da instalao
manual local, atravs da inicializao de um computador pelo DVD local.
Pr-requisitos:
24
Requisitos de Sistema para instalao do Windows Server 2008 R2
Processador: Mnimo: 1.4 GHz (processador x64)
Observao: necessrio um processador Intel Itanium 2 para o

Windows Server 2008 R2 for Itanium-based Systems
Memria (Mnimo): 512 MB RAM
Memria Mxima: 8 GB (Foundation) ou 32 GB (Standard) ou 2 TB (Enterprise,
Datacenter e Itanium-Based Systems)
Espao em Disco Mnimo: 32 GB ou mais
Observao: Computadores com mais de 16 GB de RAM precisam de

mais espao em disco para paginao, hibernao e armazenamento de
arquivos
Monitor Super VGA (800600) ou monitor de maior resoluo
Outros: Unidade de DVD, Teclado e Mouse (ou dispositivo apontador compatvel),
acesso Internet.
* Os requisitos reais variam com base na configurao de seu sistema e

nas aplicaes e recursos que voc decidir instalar. Espao em disco
disponvel adicional pode ser necessrio se voc estiver instalando por
uma rede e dependendo das funes a serem implementadas.
O processo de instalao:
Durante o procedimento de instalao, poucas perguntas so feitas... O
restante configurado depois do Windows instalado.
Veja a seguir, o procedimento e o que precisa ser configurado durante o
procedimento de instalao:
Coloque o DVD na unidade. Inicie o computador... O processo de
instalao inicia automaticamente.
Quando solicitado, escolha a opo de idioma e teclado, conforme tela
abaixo
25
Na tela seguinte, clique em Instalar agora
O processo de instalao inicia
26
Na prxima tela, devemos escolher na lista a verso de Windows que
desejamos instalar. Isto vai depender do que foi adquirido.
OBS:
Verses de Windows Server 2008:
O Windows Server possui diversas verses, alm de poder ser instalado
em modo Core, ou seja, sem interface grfica.
As verses so: Standard, Enterprise e Datacenter.
O que difere estas verses so o suporte ao hardware e a possibilidade
de trabalhar em cluster (a verso Standard no tem esta possibilidade).
Datacenter uma verso especial ele no vem em caixinha,
proprietrio de hardware, preparado especialmente por cada fornecedor
de hardware, para seus modelos de equipamentos de servidores.
Marque a caixa para Aceitar os termos da licena e depois clique em
Avanar
27
Escolha que tipo de instalao deseja: Atualizar ou instalar nova verso

(Atualizao ou Personalizada), clicando sobre a opo desejada. Na
verso personalizada instalado um novo Windows, no guardando
nada do que foi usado (software, configuraes) da verso atual, caso ela
exista.
28
Escolha a unidade de disco (disco fsico e partio) onde deseja instalar o
Windows 2008. Se o disco j estiver particionado, escolha a partio
desejada.
OBS: Se caso o disco do servidor no for reconhecido pelo Windows, ou

se ele tiver um driver especial, neste momento que inserimos o driver do
hd (da controladora, normalmente). Tambm nesta tela que podemos
criar, modificar ou excluir parties de disco. Vimos estas mesmas opes
na instalao do Windows 7
Logo depois, o procedimento de instalao continua.
29
Aguarde at que esteja finalizado.

O processo demora vrios minutos, dependendo do equipamento.
Logo aps finalizar, o computador ser iniciado e a primeira tarefa a ser
executada a configurao da senha do usurio Administrador.
necessrio utilizar uma senha difcil, como Pa$$w0rd como senha, pois
o Windows deve seguir sua poltica de senhas difceis.
OBS:
A poltica de senhas difceis da MS requer que a senha utilize:
Letras maisculas e minsculas
Caracteres especiais
Nmeros
Esta poltica (policy) pode ser desativada posteriormente.
30
Assim que confirmada a alterao da senha do Administrador, o

Windows finaliza o processo de instalao e inicia a rea de trabalho do
Windows.
Logo que iniciar o trabalho com o Windows 2008, ser aberta a janela
(automaticamente) das Tarefas de Configurao Iniciais.
Nesta tela temos atalhos para todas as configuraes iniciais desejadas.

por ela que podemos trocar o nome do computador (o Windows gera
um nome aleatrio durante a instalao e normalmente iremos troca-lo
para um nome que defina melhor a funo do computador), definir se ele
far parte de um workgroup ou de um domnio, configurar o endereo IP,
atualizaes automticas, entre outras aes. Todas estas aes podem
ser executadas por outras ferramentas, mas por esta janela, temos
acesso mais rpido.
31
OBS: Clicando na opo mostrada acima, abre-se a caixa de dilogo das
propriedades do sistema, onde podemos trocar o nome do computador.
Veja tela abaixo:
Esta tela ir continuar aparecendo, at que marquemos a caixa de

seleo, solicitando que no mais seja mostrada na inicializao do
computador.
Sempre que fecharmos esta janela, e depois quando iniciarmos o servidor

sem a janela das Tarefas de Configurao Iniciais, a janela que se abre
o Gerenciador de Servidores, ferramenta mais usada para administrar o
servidor.
32
Viso Geral do Windows Server 2008
O Windows Server 2008 (atualmente na verso R2) a soluo Microsoft

para servidor de rede.
Ele oferece soluo para praticamente todas as necessidades de uma
rede corporativa, sendo soluo para redes de qualquer tamanho.
No final da instalao, que vimos na lio anterior, o Windows Server
ainda no possui nenhuma funcionalidade e no est acessvel atravs
da rede.
Ele vem com o firewall do Windows ativado, sem excees.
A medida que vamos dando funes ou adicionando recursos, o firewall
vai criando excees para permitir o uso destas funes e recursos
atravs da rede.
Abaixo, temos a tela de configurao de excees do firewall, caso voc
precise efetuar alguma configurao manualmente.
possvel criar exceo para aplicativos, funes, portas.
33
Para criar uma exceo, ou verificar as atuais (para modificar, se for o

caso), clique na opo Permitir um programa ou recurso pelo Firewall do
Windows, no lado direito superior da janela acima.
34
Veremos mais sobre o Windows Server 2008 nas lies seguintes.

Roles e Features (Funes e Recursos)
Hoje em dia, logo depois de instalar o Windows, ele no possui nenhuma

funcionalidade prpria. Para isto, devemos adicionar atravs de Funes
e Recursos (Roles e Features) o que desejamos que este servidor
oferea rede.
Para isto, usamos o Gerenciador de Servidores:
35
Para adicionar uma Funo, clique na opo Funes no menu da

esquerda. Inicialmente, no haver nenhuma funo instalada.
Para adicionar funo, clique na opo Adicionar funes que aparece na

tela acima. Ser iniciado um assistente, onde podemos escolher a funo
desejada.
36
Dentro das roles mais usadas, aqui veremos duas:

File Services
Marcando a opo Servios de Arquivo, estamos possibilitando ao nosso
servidor que compartilhe pastas com a rede, alm de outros servios que
podem ser adicionados com esta funo, como o DFS. Veja nas telas
abaixo:
37
Depois de adicionada esta funo, podemos usar o Gerenciador de

Servidores como ponto de partida para uma srie de aes referentes
esta funo:
38
Veremos mais sobre a funo Servidor de Arquivos durante este
treinamento.
Print Services
Marcando a opo Servios de Impresso e Documentos, estamos
possibilitando ao nosso servidor que compartilhe impressoras com a rede,
alm de outros servios que podem ser adicionados com esta funo.
Veja nas telas abaixo:
Depois de adicionada esta funo, podemos usar o Gerenciador de

Servidores como ponto de partida para algumas das tarefas desta funo.
Veja:
39
Features ou Recursos:
Alm das roles (funes), temos tambm os recursos (features), que so
funcionalidades tambm que podemos adicionar ao servidor, mas que
no so consideradas principais.
Logo que terminamos a instalao do Windows, tambm no temos
features configuradas. Elas sero adicionadas como pr requisitos de
funes, ou manualmente, pelo assistente de adicionar recursos.
Na tela abaixo, a opo Recursos do Gerenciador de Servidores:
Clicando em Adicionar recursos, iniciado um assistente. Veja na tela

abaixo algumas destas features que podemos adicionar com o assistente:
40
Criao de usurios e grupos locais

Usurios Locais:
Para que possamos controlar quem pode ou no executar alguma ao
ou quem pode ou no acessar algum recurso, precisamos que cada
usurio do computador (seja ele local, que vai usar a prpria mquina, ou
remoto, que vai acessar um recurso atravs da rede) tenha uma
credencial. esta credencial, damos o nome de conta de usurio.
O procedimento para criar uma conta de usurio bastante simples:
A ferramenta que usaremos inicialmente para criar usurios e grupos o
Gerenciamento do Computador. Veja tela abaixo:
41
Para criar usurios ou grupos, expanda a opo Usurios e Grupos

Locais.
Clique em Usurios com o boto direito do mouse e escolha a opo
Novo usurio (a primeira do Windows 7, a segunda do Server 2008):
Na janela que se abre, digite nome e senha para o usurio a ser criado e
clique em Criar:
42
Se desejar, possvel digitar nome completo, descrio, alm de

configurar que o usurio deva ou no trocar a senha no prximo logon,
que a conta seja criada desativada, que a senha nunca expira ou que o
usurio no pode trocar a prpria senha.
Depois de criada a conta, possvel efetuar alteraes nesta conta,
atravs da opo Propriedades do menu que se abre quando clicamos
com o boto direito do mouse no usurio a ser administrado. Veja abaixo
algumas das guias das propriedades da conta do usurio, no Windows 7:
43
Abaixo, a tela com as propriedades de uma conta de usurio local no

Server 2008:
44
Outra forma de criar e gerenciar usurios no Windows 7 pelo Painel de

Controle. Abra o Painel de Controle pelo menu Iniciar.
Normalmente, ele inicia com a apresentao em categorias:
45
Clique em Contas de Usurio e Segurana Familiar para ter acesso aos

itens de configurao de usurio.
Clique em adicionar ou remover contas de usurio
Para alterar uma conta, clique sobre ela.

Para criar uma nova conta, clique na opo Criar uma nova conta:
46
Configure a conta dando a ela um nome e definindo se ela ser uma

conta de usurio Administrador ou Usurio Padro. Clique em Criar
Conta.
As opes de gerenciamento que temos, so as que seguem:
Podemos tambm alterar o tipo de conta:
47
Ou ainda definir caractersticas do UAC para conta do usurio logado

atualmente:
OBS: Saiba mais... O que UAC?

UAC significa UserAccountControl, e so estas mensagens que solicitam
aprovao ou credencial do usurio cada vez que necessrio que eles
48
seja administrador do computador. A Microsoft criou esta caracterstica
como forma de aumentar a segurana do sistema operacional, j que
sabido pelo mercado que a maioria dos usurios Administrador do seu
computador, o que torna mais suscetvel a um ataque de vrus, por
exemplo.
Grupos locais:
Para facilitar a tarefa de dar permisso ou direito aos usurios, criamos
grupos. Uma conta de usurio pode ser membro de diversos grupos.
Pela mesma ferramenta,Gerenciamento do Computador, podemos criar e
gerenciar grupos.
Quando o Windows instalado, so criados diversos grupos internos, que
vem com um conjunto de direitos pr- configurados. Podemos usar estes
grupos para dar direitos aos usurios, ou criar novos. Iremos ver mais
sobre os grupos internos um pouco mais adiante neste treinamento.
Abaixo, os grupos internos do Windows 7:
E estes abaixo so os grupos internos do Windows Server 2008:
Estes grupos so administrados como outro qualquer, podendo inserir e

remover membros conforme desejado.
49
Para criar novos grupos, clique com o boto direito do mouse em Grupos
e escolha a opo Novo grupo.
Digite o nome do grupo e, se desejar, j insira novos membros ao grupo:
50
51
Posteriormente, podemos administrar estes grupos, clicando com o boto

direito do mouse e escolhendo a opo que se aplica:
52
Podemos adicionar ou remover membros atravs da opo Propriedades:
53
Para mais conhecimento...
54
Os grupos internos possuem uma srie de direitos pr definidos, como no
caso dos Administradores, Operadores de cpia, etc.
Estes direitos so configurados por policies (diretivas), na parte de
segurana do computador local. Veremos mais sobre isto na lio sobre
Diretivas (Policies) no andamento do treinamento.
Configurao de compartilhamento local (pastas e
impressoras)
Compartilhamento de Pastas:
Para que um recurso se torne disponvel para acesso via rede, ele dever
ser compartilhado.
Para compartilhar uma pasta (tambm podemos compartilhar uma
unidade inteira, mas no podemos compartilhar um nico arquivo),
existem duas formas no Windows 7: Compartilhamento simples ou
Compartilhamento avanado
Veja a seguir como fazer este compartilhamento:
Atravs do Windows Explorer, ou pelo item Computador do menu Iniciar,
localize a pasta a ser compartilhada.
Se quiser fazer o compartilhamento simples, clique com o boto direito do
mouse na pasta e, no menu que se abre, escolha a opo
Compartilhamento, escolha com quem quer compartilhar e est pronto!
Nesta opo, no podemos definir o nome do compartilhamento. O nome
ser o mesmo nome da pasta.
55
Clicando em Pessoas especficas, voc pode definir exatamente com

quem quer compartilhar e o nvel de permisso de compartilhamento
desejado:
56
Para um maior controle do compartilhamento, principalmente se quiser
definir um nome diferente de compartilhamento, tem que usar o
Compartilhamento Avanado.
Para isto, utilizamos a opo Propriedades do menu que se abre quando
clicamos com o boto direito do mouse na pasta e, na guia
Compartilhamento, escolhemos Compartilhamento Avanado
Na caixa de dilogo de Compartilhamento Avanado, marque a caixa de

compartilhamento, defina um nome e escolha com quem quer
compartilhar:
57
As permisses de compartilhamento possveis so: Controle total,

Alterao e Leitura.
No compartilhamento simples, a permisso padro "Controle total
somente para o usurio que est configurando o compartilhamento".
No compartilhamento Avanado, a permisso padro "Todos, somente
Leitura".
Podemos modificar este comportamento padro pelas caixas de dilogo
vistas acima.
Um usurio pode fazer parte de diversos grupos, por consequncia pode
receber diferentes nveis de permisso. Entre estes nveis de permisso,
inclusive uma "negao"
O que chamamos de permisso efetiva (a que fica valendo) a soma das
permisses permitidas, filtradas as permisses negadas.
Acessando recursos atravs da rede:
Para acessar recursos, podemos usar a digitao do caminho desejado

no menu Iniciar, ou navegar pela rede, usando o Windows Explorer ou
abrindo Computador no menu Iniciar.
Se formos digitar o caminho, ele deve seguir a regra de caminho UNC:
\\servidor\nome-do-compartilhamento
Ser solicitado que seja digitada um nome de usurio e senha vlidos no
computador remoto (s no ser solicitado, se o compartilhamento e a
segurana do recurso estiverem configurados para acesso para Todos ou
Annimo)
58
Se voc no souber o nome do compartilhamento, pode digitar somente o
\\servidor, que o Windows trar uma lista de recursos compartilhados
naquele servidor aos quais voc possa acessar.
Permisses de Segurana as permisses NTFS:

Clicando com o boto direito do mouse no nome de um arquivo ou pasta,
e escolhendo a opo Propriedades, temos acesso s propriedades do
arquivo/pasta em questo.
Uma das guias da caixa das propriedades a guia Segurana.
Pela guia Segurana, podemos ver e modificar quem tem algum tipo de
privilgio (permisso) sobre este item.
As permisses de segurana (tambm chamadas permisses NTFS)
podem ser configuradas de forma "padro" ou personalizada.
Nas configuraes de permisso "padro", temos conjuntos de
permisses definidas por aes que podem ser executadas por um
usurio: Controle total, Modificar, Ler & executar, Listar contedo da
pasta, Leitura, Gravar.
Para modificar uma permisso padro, clique no boto Editar. Na caixa de

dilogo seguinte, clique no boto Adicionar para selecionar usurios e/ou
grupos para dar uma permisso; selecione na lista de nomes e clique em
59
Remover para retirar um usurio ou grupo da lista de permisses; ou
modifique as permisses, clicando no usurio ou grupo na lista e
marcando/desmarcando uma caixa de seleo de permisso/negao ao
lado do nome da permisso desejada. Clique em Ok quando pronto.
OBS: Caso no seja possvel modificar ou remover uma permisso,

provavelmente ela uma permisso "herdada". Veremos logo em seguida
o que uma permisso herdada (ela vai aparecer em cinza - esmaecido -
caso seja herdada)
Nas configuraes personalizadas (Avanadas) podemos definir
exatamente o que desejamos que o usurio execute no recurso, bem
como que item (s) se refere a permisso.
Para modificar uma permisso de forma "Avanada", clique no boto

Avanadas da guia Segurana. Na prxima caixa de dilogo, clique em
Alterar Permisses.
60
Logo em seguida, clique em Adicionar para escolher usurio e/ou grupo

para dar uma permisso de "acesso especial".
Quando clicar em Ok, ser aberta uma nova caixa para escolher as
permisses desejadas e onde queremos aplica-las.
Para modificar uma permisso de acesso especial, clique no nome do

usurio ou grupo a ser alterado, clique no boto Editar e modifique
conforme o desejado.
61
Em relao s permisses do NTFS, temos diversos conceitos

importantes para entender, de forma a trabalhar com elas de forma
correta e segura.
Herana de permisses:
Por padro, uma permisso de segurana configurada em uma pasta
"herdada" por todos os arquivos e sub pastas contidos nesta pasta.
possvel "remover a herana", caso seja preciso configurar de forma
diferente algum objeto abaixo (as permisses herdadas no podem ser
modificadas, somente removidas ou copiadas, e depois alteradas).
Para remover a herana, clique com o boto direito do mouse na pasta
em questo ( qual precisa receber alterao em uma permisso
herdada) e escolha a opo Propriedades.
Clique na guia Segurana, e no boto Avanadas. Na prxima caixa de
dilogo, clique no boto Alterar Permisses. Desmarque a caixa de
seleo Incluir permisses herdveis provenientes do objeto pai deste
objeto. Na caixa que se abre, escolha a opo que melhor se aplica:
Adicionar ou Remover.
V clicando em ok at fechar todas as caixas de dilogo.

Clique Cancelar, se desejar desistir das alteraes.
Depois de removida a herana, as permisses podero ser modificadas
como j visto.
Permisso "Explcita" e "Implcita":
62
Uma permisso considerada explcita quando configurada diretamente
no objeto (o contrrio de permisso "herdada").
Um permisso implcita , na verdade, uma regra:
"O que no estiver explicitamente permitido, estar implicitamente
negado!"
Permisses Efetivas:
Um usurio pode fazer parte de diversos grupos, e assim, receber
diferentes nveis de permisso NTFS.
A permisso efetiva do usurio ser a "soma" das permisses permitidas
recebidas, menos as permisses negadas. Uma permisso "negada"
sobrescreve uma permisso "permitida" (existe uma exceo: quando a
permisso permitida for "explcita" e a permisso negada for "herdada",
neste caso a permisso "permitida" fica efetiva).
A "negao" muito "forte", por isto deve ser usada e tratada como
exceo!
O Windows oferece uma maneira rpida de verificar a permisso efetiva
de segurana de um usurio ou grupo.
Clique com o boto direito do mouse no arquivo ou pasta desejado.
Escolha a opo Propriedades. Clique na guia Segurana, depois no
boto Avanadas e na guia Permisses Efetivas.
Clique no boto Selecionar para escolher qual usurio ou grupo a ser

verificado e clique em Ok.
63
Pronto! Aparecer a permisso efetiva na caixa, para ser consultada.
REGRA: O que acontece com as permisses NTFS quando uma

arquivo/pasta copiado ou movido?
A regra "herda a permisso do local de destino". Mas como toda regra
tem exceo, quando um arquivo/pasta movido DENTRO DA MESMA
UNIDADE, ele MANTM sua permisso original!
Permisso de Compartilhamento x Permisso de Segurana NTFS
Bem, aprendemos que um usurio pode fazer parte de diversos grupos e
por este motivo, receber diversos nveis de permisses diferentes.
Aprendemos tambm, que a permisso efetiva a soma destas
permisses, filtradas as negaes.
Mas este "clculo" feito "por tipo de permisso". Ou seja, calculamos a
permisso efetiva de compartilhamento e a permisso efetiva de
segurana.
Mas e se elas forem DIFERENTES, qual ficaria valendo?
Bem... a resposta : A MAIS RESTRITIVA!
DICA: Como fica valendo a mais restritiva e a permisso de
compartilhamento s efetiva quando acessamos um recurso atravs da
rede (diferente da permisso NTFS, que vlida tanto em acessos locais,
quanto atravs de um compartilhamento), devemos "abrir" no
compartilhamento e "fechar" na segurana. No necessrio configurar
em ambos os locais.
Podemos compartilhar com o grupo TODOS ou USURIOS
AUTENTICADOS e atravs da segurana, definir exatamente quem pode
ou no (e o que pode) acessar no recurso.
Lembre-se: O que no explicitamente permitido, implicitamente
negado!
Compartilhamento de pastas Ferramenta Gerenciamento
de Compartilhamento e Armazenamento:
Toda a informao vista acima, nesta lio, vlida tanto para Windows 7
quanto para Windows Server 2008.
64
Agora veremos outra forma de compartilhamento, exclusiva do Windows
Server 2008: a ferramenta Gerenciamento de Compartilhamento e
Armazenamento.
Para criar um novo compartilhamento, clique com o boto direito do

mouse e escolha a opo Compartilhamento de Proviso
Siga o assistente:
Na primeira tela, digite ou localize a pasta a ser compartilhada
65
Clique em Avanar. Na prxima tela, defina se precisa efetuar alteraes

nas propriedades NTFS da pasta.
OBS: NTFS so as configuraes de segurana de arquivos do sistema
de arquivos NTFS, padro do Windows, j tratadas anteriormente.
66
Clique em Avanar. Escolha o protocolo a ser usado para o acesso. SMB

o padro e normalmente o que ser usado.
67
Clique em Avanar. Verifique as opes configuradas.
68
Clique em Criar. Espere at o retorno da janela, de modo a garantir que

esteja ok.
Pela mesma ferramenta, possvel efetuar configuraes posteriormente,
pela opo Propriedades como na tela abaixo:
Para finalizar um compartilhamento por esta ferramenta, basta clicar com

o boto direito do mouse e escolher a opo Interromper
compartilhamento.
69
Tudo que for referente a sistema de arquivos, compartilhamento, etc, faz

parte da funo Servios de Arquivos (File Services). Esta funo (role)
tem mais recursos, que veremos mais adiante neste treinamento.
Para saber mais...
possvel criar um "compartilhamento oculto", colocando o sinal de $ no final do
nome do compartilhamento.
Quando instalamos o Windows, ele cria alguns compartilhamentos "administrativos",
entre eles:
C$, D$, etc: compartilha de forma "oculta" o raiz de cada unidade

formatada com o sistema de arquivos NTFS, somente para os
administradores
Admin$: Compartilhamento da pasta Windows, usado para permitir a
administrao remota
Print$: Compartilhamento usado para instalar impressoras compartilhadas
automaticamente, quando um usurio se conecta a ela a primeira vez
(desde que o driver esteja disponvel!)
Compartilhamento de impressoras:
Para poder compartilhar uma impressora, logicamente que ela precisa
estar instalada!
Siga o procedimento de instalao de uma impressora, j efetuando o
compartilhamento dela diretamente:
Em primeiro lugar, abra a ferramenta Dispositivos e Impressoras.
70
Clique em Adicionar uma impressora, e siga o assistente:
71
OBS: Se a impressora estiver ligada no computador na hora da instalao

e for plug-and-play, ela ser detectada automaticamente. Se o Windows
tiver o driver para ela, instala de forma automtica.
72
73
Depois de instalada com sucesso, podemos efetuar manuteno e

gerenciamento desta impressora tanto pela ferramenta Dispositivos e
Impressoras , quanto pela ferramenta Gerenciamento de Impresso.
Na tela abaixo, vemos opes de gerenciamento pela ferramenta
Dispositivos e Impressoras:
Abaixo, as opes das propriedades da impressora:
74
J na prxima tela, vemos opes gerenciamento pela ferramenta

Gerenciamento de Impresso. Nesta ferramenta, tem uma das grandes
novidades do sistema de gerenciamento de impressoras no Windows
Server 2008 a possibilidade de instalar impressoras por policies. Por
aqui, possvel, inclusive, de criar a policy automaticamente por esta
ferramenta.
Final da primeira parte:
75
At aqui, tratamos de instalao, configurao inicial e uso de rede
workgroup. Tudo o que foi visto at aqui seria o suficiente para configurar
uma rede simples. Apenas o que poderia ainda ser usado seriam as
diretivas locais (que ainda no foram vistas, mas que sero item da parte
relativa a diretivas de grupo).
A partir de agora, veremos o outro tipo de rede MS - o Domnio de Active
Directory.
Os conceitos abordados at aqui continuam valendo para o domnio,
como o caso das permisses de compartilhamento e segurana.
76
Unidade 3
Conceitos de Active Directory
3.1 O que Active Directory?

A Microsoft, hoje em dia, oferece duas solues de rede de
computadores: Workgroup e Domnio
Neste treinamento, nosso foco o Domnio.
A soluo de domnio da Microsoft chama-se "Servio de Domnio Active
Directory"
O Active Directory um repositrio centralizado, onde so mantidas as
informaes da rede. No AD so mantidas as contas de usurio, grupo,
computador, entre outros objetos.
A base de dados do AD formada por vrias parties. Nestas parties
so mantidas as informaes relativas rede, e estas parties so
sincronizadas entre os controladores de domnio atravs da replicao.
As parties so: Domnio, Configurao, Esquema e Aplicativo
Entre as vantagens do uso do Active Directory esto:
Gerenciamento centralizado da segurana da rede
Aplicao de Diretivas de Grupo
Delegao de tarefas administrativas
Uma floresta uma "instncia" do Active Directory. Os domnios de uma
mesma floresta compartilham o mesmo Catlogo Global, o mesmo
Esquema e possuem relaes de confiana entre eles.
Por "Catlogo Global" entende-se a lista de TODOS os objetos de uma
floresta de Active Directory, com uma parte de seus atributos.
Por "Esquema" entende-se a definio de todos os tipos de objetos e
todas as propriedades destes objetos.
"Relao de Confiana" a ligao entre os domnios, para possibilitar,
por exemplo, que usurios de um domnio acessem recursos de outro
domnio.
3.2 Roles do AD no Windows Server 2008

Em verses anteriores, o Windows se referia aos servios de domnio
como Active Directory simplesmente. Eram quase como se fossem
sinnimos.
77
Na verso 2008, Active Directory se tornou um conceito mais amplo. O
Active Directory agora est dividido em 5 funes:
Active Directory Domain Services - Servios de Diretrio, segurana da
rede
Active Directory Certificate Services - Criao e gerenciamento da soluo
de certificados digitais
Active Directory Rights Management Services - Controle de propriedade
intelectual, controle de aes sobre dados da empresa, controle sobre
aes como Imprimir, copiar, que trabalham junto s permisses do NTFS
e outros controles de acesso
Active Directory LDS - Possibilidade de criar e administrar bases de dados
LDAP (por exemplo, para autenticao de usurios de aplicativos)
Active Directory Federation Services - Suporte a aplicativos baseados na
WEB, para interligar florestas diferentes e at mesmo outras plataformas
de sistemas operacionais
Neste treinamento, nosso foco em Active Directory Domain Services.
OBS: Quer saber mais sobre as outras funes do Active Directory?
Consulte os links abaixo:
ADCS: http://technet.microsoft.com/pt-br/dd448615.aspx
ADFS: http://technet.microsoft.com/pt-br/dd448613.aspx
ADLDS: http://technet.microsoft.com/pt-br/dd448612.aspx
ADRMS: http://technet.microsoft.com/pt-br/dd448611.aspx
3.3 O que Domain Services?

O que sempre costumamos chamar de Active Directory, agora
chamamos de Active Directory Domain Services (Servios de Domnio
Active Directory).
O Servio de Diretrio do Active Directory fornece um diretrio (base de
dados) centralizado para gerenciamento e autenticao de usurios e
computadores em uma rede baseada em Windows Server
O que chamamos de Domnio do Active Directory , na verdade, um
agrupamento lgico de objetos, que compartilham a mesma base de
dados de segurana. Em Active Directory, um domnio considerado a
"unidade de administrao" e a "unidade de replicao"
Como conhecimento adicional, quando um usurio efetua seu logon em
um computador membro de um domnio, escolhendo a credencial do
domnio, sua autenticao feita na base de dados de segurana do
domnio SAM. Isto faz com que este usurio tenha acesso aos recursos
aos quais ele tenha permisso, que ele possa executar as tarefas s
78
quais ele tenha direito, em todos os computadores do domnio no qual ele
fez logon.
3.4 Estrutura lgica e fsica do ADDS

A estrutura lgica do ADDS formada pelos domnios, seus
relacionamentos e suas relaes de confiana.
Quando "criamos" um domnio, definimos o seu posicionamento dentro da
floresta do Active Directory pela sua nomenclatura. Ser criado um
relacionamento "pai-filho" com o domnio que tiver nomenclatura
"contgua". Automaticamente, so criadas as relaes de confiana entre
"pai e filho" para que eles possam acessar recursos, trocar informaes,
etc.
A estrutura fsica do ADDS formada pelos sites e pelo posicionamento
dos controladores de domnio
Criamos sites baseados nas conexes (lentas, de longa distncia,
normalmente) e nas "sub-redes de IP". Cada sub-rede de IP s pode estar
ligada a um site. Mas um site pode ter mais de uma sub-rede de IP.
Para fins de Active Directory, s til a criao de sites se tivermos pelo
menos um controlador de domnio em cada sub-rede. O site s afeta o
logon do usurio (tenta localizar controladores de domnio no mesmo
"site" do usurio), a consulta ao AD (mesmo caso, ou seja, tenta localizar
um Servidor de Catlogo Global no mesmo site do usurio) e o trfego de
replicao entre os controladores de domnio
IMPORTANTE: A estrutura fsica e lgica do ADDS so totalmente
independentes. Ou seja, podemos ter um domnio dividido em mltiplos
sites, um site que tenha a presena de mais de um "domnio" (na verdade,
tendo a presena de controladores de domnio de mais de um domnio da
mesma floresta de Active Directory) ou qualquer combinao destes.
79
Unidade 4 Nomenclatura LDAP
4.1 Conhecimento adicional: como formar um nome

LDAP
Toda a base do Active Directory padro LDAP. Qualquer ferramenta
que utilize este padro poderia ser usada acessar, consultar, administrar
a base do AD.
Todo o script ou linha de comando que se use para executar alguma ao
na base do AD, direciona o seu objeto pelo caminho LDAP.
Um caminho LDAP formado hierarquicamente, da direita para a
esquerda, com os seguintes componentes:
DC: Partes do nome completo do domnio do Active Directory
OU: Unidades organizacionais, posicionadas do primeiro nvel em diante.
Por OU, entende-se objetos que podem ter sub (filhos) e nos quais
podemos aplicar policies
CN: Objetos filho, nos quais no se pode criar sub, nem aplicar policy.
Usurios, grupos, computadores so objetos CN
Sempre a informao mais esquerda do nome chamamos de nome
distinto relativo, e onde estaremos efetuando a ao da linha de
comando em questo.
Exemplos:
OU=testeOU,DC=treinamento,DC=local
CN=usuarioA,OU=depto1,OU=Deptos,DC=treinamento,DC=local
Exceo:
Todos os domnios de Active Directory possuem Users e Computers
criadas automaticamente... Mas Users e Computers no so OUs! A eles,
no podemos ligar policies, no podemos criar sub... Ento, so
contineres, portanto seu caminho LDAP o seguinte:
CN=Users,DC=treinamento,DC=local
CN=Computers,DC=treinamento,DC=local
80
Unidade 5
Criao de um Domnio de Active
Directory
Para criar uma floresta ou um domnio de Active Directory, na verdade

criamos Controladores de Domnio! atravs da presena e
relacionamento entre os controladores de domnio que temos os domnio
e a floresta.
Quando criamos o primeiro controlador de domnio do primeiro domnio
de uma floresta de AD, estamos neste momento criando o domnio raiz da
Floresta e a floresta em si.
A partir da criao do segundo controlador de domnio, definimos se
estamos criando um controlador adicional de um domnio j existente, um
controlador de domnio de uma floresta j existente mas de um novo
domnio, e assim por diante.
Depois da criao do primeiro domnio, o que define o relacionamento
entre estes domnio (pai-filho) a nomenclatura contgua. Se caso
definirmos pela criao de um novo domnio, numa floresta existente, mas
definirmos a nomenclatura em padro diferente, estaremos criando uma
nova rvore em uma floresta existente. Esta nova rvore ainda ser
membro da floresta, ainda estar abaixo do domnio raiz (primeiro
domnio da floresta), mas seu nome seguir padres diferenciados.
A criao de um controlador de domnio um procedimento bastante
simples! Por conseqncia, a criao dos domnios e da floresta tambm!
Veremos, a seguir, este processo.
5.1 Configurao dos pr-requisitos da Role Active

Directory Domain Services
Normalmente, um controlador de domnio usa IP esttico. Para a funo
Controlador de Domnio, isto no obrigatrio. Mas como muitas vezes
o controlador de domnio tambm um servidor DNS, a configurao do
IP esttico se torna obrigatria.
Para verificar as configuraes do adaptador de rede e, se necessrio,
modificar, siga o procedimento abaixo:
Pela Central de Rede e Compartilhamento, clique em Alterar as
configuraes do adaptador
81
Clique com o boto direito do mouse no Adaptador
Clique em Propriedades
82
Clique em Protocolo TCP/IP Verso 4 (TCP/IPv4) e em Propriedades
83
Configure conforme for necessrio, com IP esttico e o endereo do

servidor de DNS desejado.
O servidor de DNS o qual est configurado no adaptador de rede do
controlador de domnio que est sendo criado que ser usado para criar
a zona equivalente ao domnio do Active Directory criado junto com o
controlador de domnio.
OBS: Se o controlador de domnio que est sendo criado um adicional
a um domnio j existente, o endereo do servidor de DNS que estiver na
configurao da placa de rede dever possuir a zona equivalente ao
domnio ao qual ele estiver sendo anexado.
A funo DNS Server pr-requisito obrigatrio. Sem DNS, um
controlador de domnio no inicia sua funo, os usurios no fazem
logon, no pesquisam no AD. Podemos adicionar a funo DNS antes da
funo Active Directory Domain Services (Servios de Domnio do Active
Directory), ou durante a criao do controlador de domnio, atravs do
assistente DCPromo. Aqui, veremos a instalao do DNS durante a
execuo do DCPromo.
Quando adicionamos a funo Servios de Domnio do Active Directory, o
assistente de instalao verifica a presena do .NET Framework, pr-
requisito, e se encarrega de instal-lo, bastando aceitar quando ele
oferece para instalar o pr-requisito.
84
Veja a sequncia a seguir, com o passo-a-passo da instalao da funo
Active Directory Domain Services
5.2 Configurao do Windows Server como

Controlador de Domnio (Domain Controller)
O processo de criao de um Controlador de Domnio efetuado em 2
partes: a adio da funo Servios de Domnio Active Directory e a
execuo do aplicativo DCPromo
2.1.1 Adio da Role ADDS
O primeiro processo a adio da role ADDS. Para isto, utilizamos o
Server Manager (Gerenciador de Servidores). Na tela inicial do
Gerenciador de Servidores, clique na opo Funes.
No painel da direita, ou clicando com o boto direito do mouse em

Funes, escolha a opo Adicionar Funes
85
Clique em Prximo
86
Escolha a opo Servios de Domnio Active Directory clicando na caixa
de seleo ao lado desta funo e clique em Prximo
OBS: O assistente testa a presena dos pr-requisitos e, se necessrio,

solicita alguma instalao. Normalmente, ele solicita a adio do recurso
.NET Framework 3.5.1, conforme tela acima. Se isto ocorrer, clique no
boto Adicionar Recursos Necessrios a fim de que o pr-requisito seja
devidamente instalado.
87
Clique em Prximo
88
Clique novamente em Prximo para iniciar efetivamente a instalao da
funo
Clique em Instalar
89
Aguarde at finalizar o processo
Quando pronto, verifique se finalizou com sucesso e clique em Fechar
90
Logo depois de finalizada a adio da funo, sua tela ficar como na

figura acima.
2.1.2 Execuo do DCPromo
Para finalizar a criao do controlador de domnio (e neste caso, a criao
da nossa floresta do Active Directory e seu primeiro domnio domnio
raiz da floresta), iremos executar DCPromo
No menu iniciar, digite DCPromo
91
Clique em DCpromo, ou ainda, se voc tiver digitado atravs da opo

Executar do menu Iniciar, clique em OK
Ir iniciar o assistente de criao de controlador de domnio do Active
Directory
Clique em Avanar
92
Leia a mensagem de compatibilidade e clique novamente em Avanar
93
Na tela acima, voc tem 2 opes: Conectar em uma floresta existente,
ou Criar um novo domnio em uma nova floresta. Como este o primeiro
controlador de domnio de uma nova floresta de Active Directory, clique
na opo Criar um novo domnio em uma nova floresta e clique em
Avanar
Digite o nome completo do domnio que deseja criar e clique em Avanar

OBS: Lembre-se... quando criamos o primeiro controlador de domnio de
um novo domnio quando CRIAMOS efetivamente o domnio. Se for o
domnio raiz de uma nova floresta, neste momento que estaremos
criando toda a floresta do Active Directory
94
Escolha o nvel funcional da floresta (lembre-se que o nvel funcional s

atinge os controladores de domnio! Mas o nvel funcional da floresta
atinge todos os domnios daquela floresta, que devero ser no mnimo no
mesmo modo funcional da floresta ou posteriores) e clique em Avanar
OBS: O nvel funcional s pode ser AUMENTADO, nunca poder ser
retrocedido. Ento, na dvida escolha o mais antigo que voc acha que
pode ser a verso de Windows de um controlador de domnio.
Posteriormente, se necessrio, o nvel funcional poder ser elevado
facilmente
95
Escolha o nvel funcional do domnio (lembre-se que o nvel funcional do

domnio no afeta diretamente o nvel funcional da floresta. Ele se refere
somente s verses de controladores de domnio suportadas por este
domnio. S no poder ser anterior ao nvel funcional da floresta)
96
Selecione a opo desejada. Neste caso, o servidor j vem com a opo

Catlogo Global selecionado pois ele ser o primeiro controlador de
domnio da floresta. A partir do segundo, esta opo poder ou no ser
selecionada.
O mesmo acontece com a opo Servidor DNS. Se a funo DNS existe
em outro servidor da rede, esta opo poder ser desmarcada. Se no
existe, ou se quisermos que este servidor execute TAMBM a funo
Servidor DNS, marque esta caixa de seleo.
Por ser o primeiro controlador de domnio do domnio que est sendo
criado, ele no pode ser Read Only, ento esta opo est indisponvel
para seleo.
OBS: Neste momento, verificado se a funo DNS est instalada neste
computador. Se estiver, o assistente criar a zona equivalente ao nome
do domnio. Se no estiver instalado, o assistente dar mensagem de erro
e perguntar o que deve fazer:
97
Clique em Sim
Selecione onde deseja armazenar os arquivos do AD, e clique em

Avanar
OBS: Normalmente, aceitamos o que o assistente oferece
98
Digite e confirme a senha do Administrador para o modo de recuperao

do Active Directory (lembre-se desta senha, pois o processo de troca e
reset dela bem trabalhoso e somente por linha de comando!). Esta
senha ser usada em caso de ser necessrio iniciar o servidor em Modo
de Recuperao do Active Directory, onde a base do AD no estar
montada e este ser o nico usurio que estar disponvel para logon (
semelhante a um administrador local).
99
Clique em Avanar
Aguarde at que o assistente finalize a instalao
100
Depois de pronto, clique em Concluir
Se for possvel, clique em Reiniciar agora. Se no, reinicie assim que

possvel o servidor. Enquanto ele no for reiniciado, a funo Servios de
Domnio Active Directory no estar disponvel.
Depois de reiniciar, abra a opo Funes do Gerenciador de Servidores
e verifique se as duas funes esto adicionadas, conforme tela abaixo:
101
Depois de adicionada a funo Servios de Domnio Active Directory, so

adicionadas as ferramentas de administrao do AD nas ferramentas
administrativas. Veja abaixo:
102
Depois de instalado o Controlador de domnio, neste procedimento que

vimos acima, foi criada a zona do DNS que equivale ao domnio do AD.
Veja na figura abaixo, uma tela com o DNS e a zona (domnio) criada:
103
Conhecimento adicional:
Modo funcional do Domnio e da Floresta:
Durante esta lio, falamos sobre escolher o modo funcional da Floresta
e escolher o modo funcional do Domnio.
MODO FUNCIONAL define quais so as verses de Windows Server que
podem ser CONTROLADORES DE DOMNIO nos domnios de uma
floresta de Active Directory.
Para que possamos adicionar um controlador de domnio da verso 2008
ou 2008 R2, o modo funcional da floresta tem que ser no mnimo
Windows 2000 (significa que todos os controladores do domnio e
domnios da Floresta tem que ser no mnimo Windows Server 2000) e o
modo funcional do domnio tem que ser no mnimo Windows Server
2003 (significa que todos os controladores de domnio tero que ter
verso Windows Server 2003 ou posterior).
O modo funcional s pode ser elevado, nunca retrocedido. Em caso de
dvida, sempre escolha o nvel mais antigo, pois podemos elevar depois
sem muito trabalho ou risco.
Para verificar o nvel funcional de um domnio ou de uma floresta, usamos
a ferramenta Domnios e Relaes de Confiana do Active Directory
Para verificar o nvel funcional de um domnio, e elev-lo, se for o caso,
clicamos com o boto direito do mouse no nome do domnio e
escolhemos a opo Aumentar nvel funcional do domnio
104
Na janela de configurao, consulte ou altere, conforme a necessidade:
Para verificar o nvel funcional de uma floresta, e elev-lo, se for o caso,

clicamos com o boto direito do mouse em Domnios e Relaes de
Confiana do Active Directory e escolhemos a opo Aumentar nvel
funcional da floresta
105
Na janela de configurao, consulte ou altere, conforme a necessidade:
106
Unidade 6
Configurao e Administrao dos
Objetos do ADDS
Logo aps a criao do domnio (e por consequncia, do controlador de
domnio), precisamos criar os objetos principais de segurana do domnio:
Usurios, Grupos e Computadores.
A ferramenta principal que usamos para esta tarefa a console Usurios
e Computadores do Active Directory.
Mas antes de efetivamente criarmos os objetos, precisamos definir como

iremos organiz-los no domnio.
Por padro, quando criamos um domnio de Active Directory, uma
estrutura de containers e OUs criada. Veja a figura abaixo:
107
Por padro, todos os novos computadores so criados no container

Computers, todos os novos usurios seriam criados em Users e todos os
Domain Controllers na OU Domain Controllers.
Seria possvel criarmos todos os objetos em um mesmo local dentro do
AD, usando a estrutura bsica do AD e mantendo o padro descrito
acima, mas isto faria com que muito cedo ficasse bastante complicado e
trabalhoso administrar estes objetos.
Para facilitar, ento, a administrao e manuteno destes objetos de
segurana, criamos OUs personalizadas.
6.1 O que uma OU?

Para entender o que uma Unidade Organizacional (OU), podemos fazer
uma analogia bem simples: Se imaginarmos o AD como sendo um disco
rgido (HD), as OUs seriam as pastas.
Usamos as OUs para melhor organizar os objetos do AD, de forma a
facilitar a administrao, aplicar policies, delegar tarefas administrativas.
necessrio, muitas vezes, desenvolver um projeto para a criao das
OUs... Da boa poltica de criao das OUs poderemos ter um domnio
fcil ou complicado para ser gerenciado.
No existe uma forma certa ou errada para a criao das OUs, desde que
sejam criadas com propsitos definidos e mantido o propsito
posteriormente.
6.2 Planejamento e criao de OU

O procedimento de criao de OUs extremamente simples!
Depois de definida a regra para criao das OUs, seus propsitos e
nomenclatura, execute o procedimento abaixo:
Abra a ferramenta administrativa Usurios e Computadores do Active
Directory. Na posio onde deseja criar a OU, clique com o boto direito
do mouse. Aponte para Novo e clique em Unidade Organizacional,
conforme figura abaixo:
108
Na tela acima, est sendo criada uma OU logo abaixo do nome do

domnio (OU de primeiro nvel). Ir abrir uma janela:
Digite o nome desejado para a OU e clique em OK.

OBS: Nesta tela temos uma opo a ser marcada/desmarcada: Proteger
continer contra excluso acidental. Esta uma opo de segurana,
109
pois se excluirmos uma OU, todos os objetos existentes dentro dela so
excludos tambm.
OBS2: Tambm possvel criar OUs por linha de comando, mas este
procedimento est alm do escopo deste treinamento.
110
Unidade 7
Configurao de usurios e grupos
7.1 Criao de usurios

O procedimento de criao de um usurio bastante simples. Mas antes
precisamos definir alguns padres.
O primeiro em relao nomenclatura. Precisamos definir um padro.
Por exemplo, nome.sobrenome um padro muito usado
O segundo em relao senha. Cada empresa cria suas prprias
regras para senhas, e precisamos desta regra definida e conhecida na
criao da conta. Normalmente, criamos uma senha padro (Pa$$w0rd,
por exemplo) e solicitamos que o usurio troque no primeiro logon.
Mas podemos ter empresas onde o usurio no deve alterar a senha,
um administrador que faz esta troca. Ou ainda podemos ter usurios em
que a senha nunca expira (normalmente contas de usurios criados
para logon de servios tem esta caracterstica) e isto normalmente deve
ser definido j na criao do usurio.
Crie e defina suas regras o mais cedo possvel na administrao do AD, e
na regra de nomenclatura defina tambm o que fazer em caso de Nomes
duplicados. Siga a regra definida!
Se caso desejarmos criar a conta e digitar a senha depois, muito
importante criar a conta DESABILITADA para evitar falhas de segurana!
Veja o assistente de criao de conta de usurio a seguir:
Clique com o boto direito do mouse na OU onde deseja criar a conta de
usurio
111
Escolha a opo Novo e aponte para Usurio
Digite os nomes conforme definido na regra e clique em Avanar
112
Digite e confirme a senha e marque as opes de senha/conta conforme

desejado e clique em Avanar
Clique em Concluir para finalizar a criao da conta do usurio.
113
7.2 Administrao das contas de usurio

Depois de criadas as contas de usurio, existem diversas tarefas que
podem ser necessrias no dia-a-dia da administrao do AD.
Para as tarefas de manuteno de conta de usurio, clicamos com o
boto direito do mouse na conta a ser administrada.
No menu de contexto que se abre, temos acesso a estas tarefas. As que

no estiverem disponveis diretamente no menu, use a opo
Propriedades e mude conforme o necessrio.
Para alterar o nome da conta, use a opo Renomear.
Digite o nome novo de exibio e tecle Enter
114
Na caixa que se abre, configure o restante da alterao dos nomes da

conta do usurio. Clique Ok quando pronto.
Para resetar a senha, clique na opo Redefinir senha...
Se desejar, clique na caixa de seleo para o usurio alterar a senha no

prximo logon do usurio e, se necessrio, nesta mesma caixa possvel
Desbloquear a conta do usurio
Para adicionar a conta do usurio a um grupo, clique na opo Adicionar
a um grupo.
115
Digite o nome do grupo e clique em Verificar nomes.
Se houver mais de um grupo que seja equivalente a informao digitada,

escolha o grupo desejado e clique em Ok.
116
Clique em Ok para finalizar a Adio ao grupo.
A tela acima confirma a ao executada.

Para habilitar uma conta de usurio desabilitada, clique na opo Habilitar
conta (se caso a conta estiver habilitada, esta opo ser Desabilitar
conta)
117
Uma conta de usurio quando desabilitada aparece como na tela abaixo:
Para mover uma conta de usurio entre OUs, clique na opo Mover
118
E escolha a OU de destino. Clique em Ok.

Para excluir uma conta de usurio, clique em Excluir
Confirme a excluso clicando em Sim.

O que no pudermos fazer diretamente pelo menu, configuramos pelo
item Propriedades. Veremos as guias e opes das Propriedades
abaixo.
7.3 Configurao de propriedades

Depois de criada a conta do usurio, ela est praticamente pronta para
ser usada.
Mas temos diversas opes de propriedades de conta que podemos
gerenciar.
Para obter acesso s propriedades de conta de usurio, clique com o
boto direito do mouse sobre a conta do usurio em questo e clique na
opo Propriedades. Temos as propriedades divididas em guias:
119
Veja nas telas a seguir, algumas das guias mais usadas:

Na guia Geral configuramos algumas caractersticas de nomenclatura do
usurio, telefone principal, endereo de email, entre outras informaes
Na guia Endereo configuramos as informaes sobre o endereo do

usurio
120
Na guia Conta executamos configuraes referentes ao nome de logon,

desbloqueio de conta, vencimento da conta, e opes (principalmente
referentes opes de senha, como se o usurio pode ou no alterar sua
prpria senha, senha que nunca expira, entre outras)
121
Ainda na Guia Conta, temos os botes Horrio de logon... (onde podemos

restringir horrios no qual o usurio pode fazer seu logon no domnio)
122
E Fazer logon em... (onde podemos restringir estaes nas quais o

usurio pode fazer logon)
Na guia Perfil configuramos perfil ambulante (mvel), script de logon e

caminho para a pasta base (pessoal) do usurio
123
Na guia Telefone so configurados, como sugerido pelo nome, os

nmeros de telefone do usurio.
124
A guia Organizao usada para configurar informaes referentes ao

usurio na empresa: Cargo, Departamento, Empresa e Gerente (este
gerente somente informao, o usurio aqui configurado como gerente
no recebe nenhum direito especial sobre a conta do usurio em questo)
Na caixa Supervisiona so listados usurios aos quais este usurio
consta como gerente.
125
A guia Membro de usada para ver e modificar a lista de grupos aos

quais o usurio faz parte.
126
Para adicionar a um grupo, clique no boto Adicionar...
Digite o nome do grupo e clique em Verificar nomes.
127
Selecione, se necessrio o grupo (caso tenha mais que um que encaixe
no padro digitado, abrir uma janela de seleo. Marque o desejado e
clique em Ok).
Se necessrio, repita o procedimento para quantos grupos quiser inserir o

usurio. Clique em Ok quando pronto.
Alm das guias vistas nas figuras acima, temos as abaixo:
Discagem Usada para configurar permisses de acesso Dial-up ou

VPN
Ambiente Usada para configurar a inicializao dos Servios de rea
de Trabalho Remota (se quiser iniciar um programa automaticamente, por
exemplo)
Sesses Usada para configurar limites de sesso de Servios de rea
de Trabalho Remota (tempo para encerrar sesso desconectada, por
exemplo)
Controle Remoto Usada para configurar se permite ou no, e demais
configuraes, Controle Remoto de sesso de Servios de rea de
Trabalho Remota
rea de Trabalho Remota Pessoal Virtual Usada para configurar se
deseja atribuir mquina virtual especfica para ser usada como rea de
trabalho virtual pessoal
128
COM+ - Usada para definir se o usurio membro de algum conjunto de
parties COM+
Perfil dos Servios de rea de Trabalho Remota Usada para
configurar perfil de usurio desejado, para quando este usurio estiver
usando Servios de rea de Trabalho Remota
7.4 Configurao do perfil ambulante

Toda vez que um usurio faz logon em um computador com Windows,
criado para ele um perfil local, onde ficam todas as informaes relativas
ao usurio, suas preferncias, seus documentos. A partir do segundo
logon no mesmo computador, todas as suas preferncias que esto
mantidas no seu perfil local, so carregadas e ele mantm a mesma
cara.
Mas se o usurio trocar de computador, novo perfil criado. Mas as
preferncias dele, da estao anterior, no so mantidos.
Atravs da criao do perfil ambulante, podemos ter o mesmo perfil de
usurio independente da estao ao qual o usurio fizer seu logon.
Primeiro, crie uma pasta compartilhada em um servidor, e compartilhe
para o grupo TODOS, com a permisso CONTROLE TOTAL.
Agora, precisamos configurar a conta do usurio para o perfil ambulante...
Para isto, configuramos a opo perfil mvel nas propriedades da conta
do usurio, na guia e opo abaixo:
129
Na caixa Caminho do perfil, digite o caminho para o compartilhamento

criado para armazenar os perfis mveis dos usurios, seguido da varivel
%USERNAME%. (ex: \\servidor\compart\%USERNAME%). O Windows
automaticamente substitui a varivel pelo nome de logon do usurio e cria
a pasta onde ser armazenado o perfil do usurio.
Na prxima vez que o usurio fizer seu logon, o perfil dele, da mquina
local, ser copiado para o servidor, no caminho digitado na caixa
Caminho do perfil. E, a partir deste momento, independente da mquina
que o usurio utilizar para fazer seu logon, o perfil ser sempre o mesmo.
Criao e configurao de Script de Logon
Quando o usurio faz seu logon, uma srie de configuraes so
necessrias. Hoje em dia, a maioria das configuraes podem e devem
ser feitas por diretivas de grupo. Mas algumas destas configuraes
podemos no conseguir fazer por policy. Entre elas, temos o mapeamento
de pastas como um dos itens mais configurados para usurios, durante
seu logon, atravs de um script chamado script de logon.
Este script executado a cada vez que o usurio faz logon.
130
Ele deve ser armazenado no compartilhamento NETLOGON de um
domain controller (ele ser automaticamente replicado a todos os outros
controladores de domnio, uma vez estando neste compartilhamento) e
direcionado nas propriedades do usurio, na guia Perfil:
Na caixa Script de logon, digite o nome do script para o usurio em

questo.
O script pode ser em qualquer linguagem de script reconhecida pelo
Windows, ou em arquivos .BAT ou .CMD.
Como falado acima, o mapeamento de unidades de rede um dos
procedimentos mais configurados por scripts de logon.
Em arquivos .BAT ou .CMD, para mapear unidades de rede, usamos a
linha abaixo:
NET USE L: \\SERVIDOR\COMPARTILHAMENTO
Por L devemos substituir pela letra desejada para o mapeamento da
unidade.
131
Para desfazer um mapeamento, digitamos a linha abaixo:
NET USE L: /DELETE
Onde L a letra da unidade que desejamos desconectar.
132
Unidade 8 Criao de grupos
Para criar grupos, usamos o mesmo aplicativo Usurios e Computadores

do Active Directory.
O procedimento bastante semelhante ao que vimos para a criao de
usurios.
Abra a ferramenta acima, localize a OU desejada (onde quer criar o
grupo) e clique com o boto direito do mouse. Aponte para Novo e clique
em Grupo
Digite o nome do grupo e o nome para sistemas pr Windows 2000.
133
Escolha o escopo e o tipo de grupo desejado e clique em Ok.

Abaixo, uma explicao sobre Escopo e Tipo de Grupo.
8.1 Tipos e escopos de grupos

Por tipo de grupo, temos 2 possibilidades:
Segurana
Distribuio
Grupos de segurana so os grupos usados para dar permisses e

direitos aos seus membros
Grupos de distribuio so os grupos usados como lista de
distribuio de email
Por escopo de grupo, temos 3 possibilidades:
Global
Domnio Local
Universal
Veja abaixo caractersticas dos 3 escopos:

Grupo Global: s pode ter como membros usurios e outros grupos
globais do mesmo domnio onde ele foi criado. Ele pode vir a ser membro
134
de qualquer grupo Domnio Local ou Universal, de qualquer domnio da
Floresta. visvel em qualquer domnio da Floresta
Grupo Domnio Local: pode ter como membro usurios e grupos globais
de qualquer domnio da Floresta. ele, s pode ser dada permisso em
recursos do domnio onde ele reside (domnio onde ele foi criado)
Grupo Universal: grupo diferenciado, pois ele reside somente em
controladores de domnio que tenham a funo Global Catalog Server
(servidor de catlogo global). Ele pode ter como membros usurios e
grupos globais de qualquer domnio de uma floresta. Ele pode ser
membro de qualquer grupo Domnio Local (ou at mesmo de outros
grupos Universais) de qualquer domnio da Floresta.
Polticas MS para grupos e dicas de uso
A Microsoft indica que devemos usar grupos como forma de facilitar a

administrao da rede.
Segundo as polticas MS, devemos usar grupos do escopo Global para
organizar usurios de mesma caracterstica. Devemos usar grupos
Domnio Local para dar permisses e direitos aos membros deste grupo.
E grupos do escopo Universal para organizar grupos Globais de mesma
caracterstica, em redes de mltiplos domnios, onde temos recursos
centralizados.
Dentro das polticas acima, seguimos a seguinte regra:
Colocamos usurios semelhantes em grupos globais;
Criamos grupos Domnio Local de acordo com os recursos e suas
necessidades de acesso;
Colocamos grupos globais dentro de grupos domnio local, de forma que
os usurios recebam as permisses (veremos como dar permisses de
acesso um pouco mais adiante neste treinamento)
Ainda sobre grupos... Se caso a rede da empresa usar Exchange, as
Listas de distribuio de email so criadas sob forma de GRUPOS
UNIVERSAIS.
Aes administrativas e manuteno de grupos
Para modificar e manter grupos, clicando com o boto direito do mouse
no grupo em questo, temos um menu de contexto com as opes de
gerenciamento disponveis:
135
Para mover um grupo para outra OU, clique na opo Mover e escolha a
OU de destino
136
8.2 Adicionando membros

Um usurio pode ser membro de diversos grupos. E um grupo pode ser
inserido em outros grupos ( isto, chamamos de aninhamento de grupo).
Para inserirmos um usurio a um grupo, podemos fazer pelas
propriedades do usurio, como j vimos, mas tambm pelas propriedades
de um grupo, na guia Membros.
Clique com o boto direito do mouse no grupo desejado e clique em
Propriedades. Clique na guia Membros.
Clique no boto Adicionar... para adicionar membros a este grupo:
137
Para colocarmos um grupo dentro de um grupo, podemos usar a guia

Membro de, para colocar este grupo como membro de outro grupo. Esta
guia tambm acessamos pelas Propriedades do grupo. Ou tambm a
opo do menu de contexto Adicionar a um grupo como fizemos com as
contas de usurio.
Clique em Adicionar para selecionar o grupo do qual queremos que este

grupo se torne membro.
138
8.3 Configurao de outras propriedades

Alm dos membros de grupo, tambm temos outras propriedades que
podemos gerenciar em relao a grupos.
Veja abaixo as outras guias que acessamos pelas propriedades do grupo:
Nesta guia podemos trocar o nome do grupo, colocar descrio e

observaes, endereo de email, alterar o escopo e o tipo de grupo.
139
Nesta guia podemos definir um gerente para o grupo. O gerente pode ser
usado apenas como informao, ou podemos definir que o gerente
pode atualizar a lista de membros marcando a caixa de seleo com esta
opo.
Para selecionar o gerente, clique em Alterar...
Digite e verifique o nome do usurio desejado. Clique em Ok.

Para que este gerente possa modificar o Membership do grupo, marque
a caixa equivalente, mostrada na janela abaixo:
140
Lio 5 Colocando uma estao ou servidor no domnio

necessrio configurar os computadores para que eles se tornem
membros do domnio e passem a ser administrados como tal.
Fazendo com que um computador se torne membro de um domnio,
fazemos com que os usurios do domnio se tornem usurios do
computador local, fazemos com que os administradores do domnio
passem a administrar o computador local.
Atravs da conexo de um computador ao domnio, podemos aplicar
diretivas de grupo a este computador, podemos configurara auditoria,
distribuir software, entre outras aes.
Um usurio comum, em domnios de Active Directory atuais, podem
conectar at 10 computadores ao domnio. Isto uma definio de
segurana, e pode ser modificada (pode ser tirado este direito, mas o
limite de 10 contas no poder ser excedido).
Aps exceder o limite de 10 contas de computador, ento somente os
administradores (ou usurio que foram definidos especificamente com
este direito ou funo) podero conectar computadores ao domnio.
Para conectar um computador ao domnio, devemos em primeiro lugar,
configurar o endereo de DNS na placa de rede dele (nas configuraes
do TCP-IPv4) para apontar ao servidor de DNS do domnio (vimos como
fazer isto em um Windows Server em lio anterior, no Windows 7
semelhante o procedimento).
141
Logo aps, pelo menu Iniciar, clicamos com o boto direito do mouse em
Computador e escolhemos a opo Propriedades.
Na janela das propriedades do computador, no lado esquerdo da janela,
clicamos na opo Configuraes Avanadas do Sistema
Na guia Nome, clique no boto Alterar
142
Na janela de configurao do nome do computador, clique em Domnio e

digite o nome do domnio ao qual deseja que este computador faa parte
Depois de digitar o nome do domnio, clique em Ok. O Windows pedir as

credenciais (nome e senha) de um usurio, membro do domnio em
questo, que possa conectar este computador ao domnio.
143
Logo aps a confirmao de conexo ao domnio (ser exibida uma
mensagem de Bem Vindo), ser solicitado que o computador seja
reiniciado.
No seu retorno, o computador j ser membro do domnio.
OBS: As telas desta lio so de Windows 7. Em Windows Server, o
procedimento praticamente o mesmo
144
Unidade 9
Segurana dos Recursos de Disco:
Configurao de compartilhamento
9.1 Compartilhamento de recursos

Para que um recurso se torne acessvel atravs da rede, precisamos
compartilhar este recurso.
S podemos compartilhar pastas e unidades, no possvel compartilhar
arquivos individualmente.
Segundo as melhores prticas MS, devemos sempre compartilhar pastas
para grupos, no para usurios.
A permisso padro do compartilhamento avanado para o grupo
Todos, com a permisso somente leitura.
A permisso padro do compartilhamento simples somente para o
usurio que est configurando o compartilhamento, com a permisso
proprietrio (que equivale a Controle Total).
Aqui, neste mdulo, veremos o compartilhamento avanado, que o
que normalmente ser usado em uma rede de domnio.
Para compartilhar uma pasta, clique com o boto direito do mouse no
nome da pasta e escolha a opo propriedades. Clique na guia
Compartilhamento
145
Clique em Compartilhamento Avanado
146
Marque a caixa de seleo Compartilhar a pasta, digite o nome do
compartilhamento que deseja criar e clique em Permisses para ajustar
as permisses de acesso pasta compartilhada
Clique em Adicionar, para adicionar outros grupos. Clique no nome do

grupo e no boto Remover, se desejar tirar um grupo da lista de
permisses.
Digite o nome do grupo e Verifique o nome. Faa isto para tantos grupos
(ou usurios) desejar configurar para permisso neste compartilhamento.
Depois, clique em Ok.
147
Para definir o nvel de acesso de cada grupo, clique no nome dele e, na
parte inferior da janela, marque a caixa de seleo referente permisso
ou negao que deseja configurar para o grupo selecionado. Na figura
abaixo, o grupo Todos tem a permisso Permitida de Leitura.
Quando estiver pronto, clique em Ok duas vezes para fechar a janela de

configurao de compartilhamento.
148
Unidade 10
Segurana dos Recursos de Disco:
Configurao das permisses de
segurana NTFS
10.1 Configurando Segurana NTFS
Toda unidade de disco formatada com sistema de arquivos NTFS possui
configuraes de segurana, onde podemos definir quem pode e o que pode
ser feito em suas pastas e arquivos.
Estas permisses de segurana so vlidas tanto para controle de acesso

localmente, quanto para quando acessamos atravs de um compartilhamento
de rede, mas configurar a segurana no disponibiliza o recurso para acesso
via rede.
Podemos configurar permisso tanto para unidades, pastas e at arquivos

individualmente.
Por padro, um arquivo herda a configurao de segurana da pasta onde ele

est, assim como subpastas tambm herdam. possvel remover esta
herana, quando precisarmos que determinado arquivo ou subpasta tenha
configuraes de segurana diferentes da pasta de nvel superior. Sempre que
uma permisso estiver cinza e no puder ser alterada, significa que ela
herdada. Para modificar, precisamos remover a herana.
Veja como configurar as permisses de segurana NTFS.
Para configurar as permisses, comece clicando com o boto direito do mouse

na unidade, pasta ou arquivo que desejar configurar. Clique na opo
Propriedades. Clique na guia Segurana
149
Para adicionar grupos ou usurios e usar permisses padro, clique no boto

Editar
150
Clique no boto Adicionar para escolher usurios e grupos para configurar

permisso. Clique no nome de um grupo ou usurio na lista e no boto
Remover, se quiser tirar da lista de permisses.
Para configurar o nvel de permisso desejado, clique no nome do grupo ou

usurio e marque a caixa de seleo com o nvel de permisso ou negao
desejado.
OBS: Lembre-se... se caso no conseguir remover um usurio/grupo, ou

modificar uma permisso, significa que ela herdada
IMPORTANTE: S se usa negao em casos muito especiais, j que ela no

ser sobrescrita em caso de conflito de permisses. E, diferente da permisso
permitida, a permisso negada deve ser dada apenas a usurios individuais e
no a grupos. A permisso se no estiver explicitamente configurada, j ser
automaticamente negada. Ento, em vez de negar, melhor no configurar.
Mas muitas vezes estas permisses de acesso padro no do o tipo de

permisso desejado. Ou o comportamento padro de configurao (da
permisso ser para esta pasta e para tudo que existir abaixo dela) no d o tipo
de permisso de acesso desejada. Ou ainda precisamos remover a herana!
Ento, na janela da configurao das permisses de segurana, clique no

boto Avanadas
151
Clique no boto Alterar Permisses e, ento, nesta nova janela, utilize o boto
Adicionar para adicionar e configurar novas permisses para usurios ou
grupos, o boto Editar para modificar uma permisso de acesso atual
(selecionando na lista, clicando sobre o nome do grupo ou usurio a ser
alterado e, depois clicando no boto Editar) ou ainda, para remover uma
permisso, clique no nome do usurio ou grupo e depois em Remover.
Caso queira remover a herana, para poder modificar uma permisso

herdada, desmarque a caixa de seleo Incluir permisses herdveis
provenientes do pai deste objeto.
Abaixo, uma tela com as opes de configurao para adicionar novas

permisses a usurio ou grupo, pelo boto Adicionar
152
Digite o nome do usurio ou grupo a ser adicionado e selecione onde aplicar,

a que objetos aplicar e o nvel de permisso permitida ou negada desejada.
Clique em Ok at fechar as propriedades do arquivo ou pasta.
10.2 Dicas para facilitar a administrao dos recursos

Segundo as melhores prticas MS, sempre devemos configurar permisses
para grupos e no para usurios.
Um usurio pode ser membro de diversos grupos. E por este motivo, receber
diferentes nveis de permisso. Estas permisses sero somadas (se
permisses permitidas) e filtradas (se permisses negadas, j que a
negao sobrescreve uma permisso) e teremos o que chamamos de
permisso efetiva.
Este clculo de permisso efetiva ocorre tanto para segurana quanto para
compartilhamento.
Mas se estas permisses efetivas forem diferentes, neste caso ficar
realmente efetiva a permisso mais restritiva entre as duas (compartilhamento
e segurana).
153
Assim sendo, tem-se como prtica comum abrir no compartilhamento e
fechar na segurana NTFS, j que esta fica vlida tanto para um acesso via
rede, quanto em um acesso local. Ento, uma das boas prticas,
compartilhar para todos ou usurios autenticados com a permisso controle
total, e depois na segurana colocar permisso SOMENTE para os grupos que
efetivamente precisam de acesso, e com o nvel desejado
154
Unidade 11
Configurao de Group Policies
(diretivas de grupo)
Um dos principais pontos de venda, um dos principais diferenciais da
soluo de rede MS a possibilidade de aplicar diretivas.
Atravs de Diretiva podemos configurar praticamente todo o ambiente de
trabalho do usurio.
Temos diretivas (policies) locais, em cada computador com Windows.
Mas nosso foco aqui so as policies (diretivas) de grupo, de domnio.
O Windows Server possui uma ferramenta (console) que a preferencial
para este trabalho com diretivas de grupo: O GPMC (Group Policy
Management Console)
Atravs do GPMC podemos criar, configurar, testar, gerar relatrios, de
toda a estrutura de diretivas do domnio.
Quando iniciamos a console do GPMC, para iniciar o trabalho com as
diretivas, expandimos o n da Floresta, o n do domnio e clicamos no
container Objetos de Diretiva de Grupo.
Em um novo domnio, existiro 2 diretivas: Default Domain Policy e
Default Domain Controller Policy.
A diretiva Default Domain Policy vlida para todos os computadores e
usurios do domnio e est ligada ao domnio
A diretiva Default Domain Controller Policy vlida para todos os
controladores de domnio do domnio em questo.
155
Clicando na pasta Objetos de Diretiva de Grupo com o boto direito do

mouse, temos as opes de gerenciamento de policies:
Clicando na opo Novo, criamos uma nova diretiva de grupo
156
Digite o nome a ser dado para a diretiva e clique em Ok. Mas isto apenas
criou a diretiva, temos que agora definir o que ser configurado atravs
desta diretiva. Clique com o boto direito do mouse e escolha a opo
Editar
Na tela de edio da diretiva onde vamos definir o que esta policy vai
configurar ou controlar.
Uma diretiva dividida em duas reas principais: Usurio e Computador
Dentro de cada uma destas duas partes, temos ainda uma diviso entre
Diretivas e Preferncias. Diretivas existe em qualquer verso de policies
de Windows. A parte "Preferncias" que novo no Windows Server
2008. Para que esta parte possa ser implementada em computadores
com Windows XP e Windows Server 2003, precisa ser instalado um "KB"
chamado "Client Side Preferences" (pode ser baixado gratuitamente no
site da Microsoft na Internet).
157
Para modificar um item (editar), localize o item expandindo os ns e d

duplo clique sobre ele no painel da direita (painel de detalhes).
Configure conforme sua necessidade.
Temos 3 possibilidades:
No configurado: Vai ficar valendo a configurao atual, vinda de outra
diretiva ou configurada localmente
Habilitado: Executa esta diretiva
Desabilitado: No executa esta diretiva
Marque a opo e clique em Ok.
OBS: Em cada janela de configurao de uma diretiva sempre tem uma
breve explicao sobre ela, no painel Ajuda. E possvel navegar entre
as diversas diretivas clicando nos botes Configurao Anterior e Prxima
Configurao
158
ATENO: Em nenhum momento solicitado que uma diretiva seja

"salva". No momento que clicamos em Ok, est sendo salva esta
configurao. Para modificar ou desfazer, necessrio voltar edio da
diretiva e mudar o que for necessrio.
Para configurar uma "Preferncia", tambm necessrio localiz-la para
editar.
Abaixo, as "preferncias para computador" e as "preferncias para
usurio":
159
Como exemplo, veremos a configurao de um atalho:

Clique com o boto direito do mouse em Atalho, aponte para a opo
Novo e clique em Atalho
160
Escolha a ao:
Configure as opes desejadas:
161
Nas "Preferncias" possvel direcionar a configurao, de acordo com

"testes" ou opes. Para isto, clique na guia Comum, marque a caixa de
seleo Direcionamento de nvel de item e clique em Direcionamento.
Configure os testes conforme necessrio, clicando em Novo Item
162
Abaixo, as opes de testes de direcionamento:
Configure conforme for sua necessidade e clique em Ok. Na figura

abaixo, um exemplo de direcionamento por grupo de segurana:
163
Depois de finalizada a edio da diretiva, ainda temos mais algumas

configuraes a serem feitas.
A primeira delas definir a quem se aplica esta diretiva. O padro ela
ser aplicada a Usurios Autenticados.
Para modificar este comportamento, clique sobre o nome da diretiva na
pasta Objetos de Diretivas de Grupo. No painel da direita ser mostrada
as caractersticas desta diretiva selecionada.
Na guia Escopo temos as informaes de a qual OU(s) est ligada esta

diretiva e a quem ela se aplica (Filtros de Segurana).
164
Na guia Opes temos um resumo de todas as configuraes da diretiva

( possvel imprimir o contedo desta guia, como forma de "relatrio"
clicando em qualquer lugar do painel de detalhes com o boto direito do
mouse e escolhendo Salvar Como)
165
Na guia Delegao vemos todos que tem algum tipo de permisso ou
direito sobre esta diretiva. Para modificar a quem se aplica esta diretiva,
ou ainda qualquer outra permisso desejada, clique no boto Avanado.
Configure como desejar e clique em Ok quando pronto. As permisses

necessrias para quem queremos que esta diretiva seja aplicada
"Leitura" e "Aplicar diretiva de grupo"
Ainda temos que definir a qual local queremos ligar esta policy, pois
mesmo depois de configuradas as opes, definido a quem se aplica a
diretiva, ela s estar efetivamente em funcionamento depois que
"ligarmos" ao domnio ou alguma OU.
Para ligar a uma OU, clique com o boto direito do mouse sobre o nome
da OU desejada.
166
Clique em Vincular com GPO Existente
Escolha a GPO (diretiva) desejada e clique em Ok.

Uma OU (ou mesmo o prprio domnio) pode ter diversas diretivas ligadas
a ela. E ainda existe a "herana" de diretivas.
Por "Herana de diretivas" entende-se as diretivas ligadas nveis acima
e que "descem" na hierarquia.
Se por algum motivo no quisermos que diretivas sejam herdadas por
alguma OU, devemos Bloquear Herana, clicando nesta opo no menu
167
de contexto da OU em questo (veja na tela acima, onde apresenta o
menu de opes de uma OU)
Clicando no nome da OU, vemos as diretivas vinculadas diretamente
ela clicando na guia Objetos de Diretiva de Grupo Vinculadas...
... E clicando na guia Herana de Diretivas de Grupo, vemos as diretivas

herdadas por esta OU
Ainda temos opes de configuraes no "link" da diretiva (aparece logo

abaixo do nome da OU os links de todas as diretivas ligadas a ela), que
temos acesso clicando com o boto direito do mouse no link em questo:
168
Atravs deste menu podemos, por exemplo, ativar e desativar um vnculo

ou mesmo excluir o vnculo (excluir o vnculo NO exclui a diretiva).
Conhecimento Adicional:
Quando o Windows vai executar uma diretiva, ele l TODA a diretiva,
mesmo que somente uma parte, ou poucos itens, estejam efetivamente
configurados.
Para minimizar este tempo de "leitura", podemos desativar parte da
diretiva que no tenha configuraes.
J vimos que uma policy dividida em 2 grandes "reas": Usurio e
Computador.
Se uma destas reas no tiver configurao, desabilite esta parte.
Para tal, clique com o boto direito do mouse na diretiva em questo, na
pasta Objetos de Diretiva de Grupo. Aponte para Status do GPO e
escolha a opo que se aplica, clicando sobre ela:
169
170
Unidade 12
Tpicos Adicionais
12.1 Mestres de operao
Domnios com Active Directory, a funo controlador de domnio

multimaster, ou seja, todos podem receber alteraes e replicam estas
alteraes com seus parceiros.
Mas tem algumas funes que so consideradas crticas, e portanto,
nomeamos apenas 1 controlador de domnio para executar estas funes.
So o que chamamos de Mestres de Operao.
Temos 5 mestres de operao, sendo que 2 deles so exclusivos em toda
a floresta:
Mestre do Esquema (Schema Master) responsvel pela manuteno do
esquema, como o nome j diz
Mestre de Nomeao de Domnio (Domain Naming Master) responsvel
por garantir a exclusividade do nome do domnio, por manter o
relacionamento pai-filho dentro da floresta, pelo posicionamento dos
controladores de domnio, pelas relaes de confiana...
E 3 so exclusivos em cada domnio
Emulador de PDC (PDC Emulator) responsvel por sincronizar a hora
dos computadores, por receber alteraes de senha, por receber
alteraes de diretivas...
Mestre de Infraestrutura (Infrastructure Master) responsvel por manter
histrico de SIDs, membros de grupos...
Mestre de RID (RID Master) responsvel por distribuir os SIDs para os
controladores de domnio, para a criao de novos objetos
Por padro, o primeiro controlador de domnio da floresta possui o
mestre das 5 funes
A partir da, o primeiro controlador de domnio de cada domnio filho ters
as 3 funes exclusivas por domnio.
possvel alterar o mestre.
Para isto, cada uma das funes pode ser migrada entre controladores de
domnio individualmente.
Para alterar as funes Emulador de PDC (PDC Emulator), Mestre de
Infraestrutura (Infrastructure Master) e Mestre de RID (RID Master)
usamos a ferramenta Usurios e Computadores do Active Directory
171
Em primeiro lugar, conecte-se ao controlador de domnio que deseja que
seja o novo mestre. Para isto, clique no nome do domnio na ferramenta
Usurios e computadores do Active Directory, clique com o boto direito
do mouse e escolha a opo Alterar o Controlador de Domnio
Selecione o nome do controlador de domnio que deseja
172
Depois de clicar em Ok,clique novamente no nome do domnio com o
boto direito do mouse e, agora, escolha a opo Mestres de Operao
Clique na guia do mestre que deseja mover para o novo controlador de

domnio e clique em Alterar
173
Clique em Fechar.
Para alterar o Mestre de Nomeao de Domnio, a ferramenta que
usamos o Domnios e Relaes de Confiana do Active Directory
O procedimento o mesmo descrito acima. Somente o que muda o
mestre em questo:
174
Para alterar o Mestre de Esquema, precisamos registrar a DLL da console

de administrao do esquema, que no vem criada e registrada
automaticamente.
Para isto, siga o procedimento abaixo:
Pelo Executar do menu Iniciar, digite o comando abaixo
175
Vir uma mensagem de sucesso do registro
Depois disto, abra uma console de MMC vazia, digitando MMC no

Executar
Clique no menu Arquivo e escolha a opo Adicionar/Remover Snap-in.
Selecione o snap-in Esquema do Active Directory, clique em Adicionar e
clique em Ok
176
Ento, o processo agora igual ao descrito anteriormente... Escolha o
controlador de domnio para o qual deseja transferir a funo e depois
escolha a opo Mestre de operaes
E transfira a operao.
12.2 Global Catalog

Quando rodamos o assistente DCPromo para a criao do controlador de
domnio, uma das opes que podemos configurar, como j visto
anteriormente, se este controlador de domnio ser um Servidor de
Catlogo Global.
O Servidor de Catlogo Global executa algumas funes bem especficas:
ele quem responde por solicitaes de consulta ao Active Directory
ele quem mantm os grupos Universais
ele quem responde por tentativas de logon quando usamos o UPN do
usurio (UPN o nome completo do usurio, que formado pelo nome
de logon do usurio, o sinal de @ e o sufixo do domnio onde a conta
deste usurio reside. Muitas vezes, pode ser o mesmo endereo de email,
mas no obrigatoriamente. Este UPN definido na criao do usurio e
pode ser alterado pelas propriedades da conta do usurio, selecionando o
sufixo na caixa relativa)
177
O Global Catalog Server possui a base de dados de segurana do
domnio ao qual ele controlador de domnio, e uma cpia de parte da
base de dados de todos os outros domnios da floresta (ele possui todos
os objetos e uma parte dos atributos destes objetos) de forma a facilitar a
consulta.
Como melhores prticas, se tivermos um nico domnio, todos os
controladores devero ser configurados como Servidores de Catlogo
Global.
Se tivermos mais de um domnio, todos os controladores de domnio
devero ser configurados, exceto aquele que for mestre de operao de
infraestrutura (Infrastructure Master).
Para verificar se um controlador de domnio um Global Catalog Server,
ou para configurar esta opo, usamos a ferramenta Sites e Servios do
Active Directory.
Clique para expandir o site, clique para expandir Servers, clique no
servidor em questo e clique com o boto direito em NTDS Settings. Na
guia Geral, verifique se est marcado Catlogo Global. Se esta caixa de
seleo estiver marcada, este controlador de domnio um Servidor de
Catlogo Global. Marque ou desmarque conforme for a necessidade.
178
12.3 Adio de mais controladores de domnio e

Criao de mais domnios
Pela mesma ferramenta DCPromo, pela mesma forma j descrita
anteriormente para a criao do controlador de domnio, podemos criar
mais controladores de domnio para domnios j existentes, e at novos
domnios.
S o que modifica so as opes que escolhemos no assistente de
criao dos controladores de domnio.
Em primeiro lugar, devemos adicionar a funo Servios de Domnio do
Active Directory, como visto anteriormente, no incio deste treinamento
(Parte 2).
Aps, executar DCPromo, como tambm j descrito na Parte 2.
Quando solicitado, escolha a opo que se aplica: Controlador de domnio
adicional em um domnio j existente, ou Controlador de domnio para um
novo domnio filho.
Marque a opo desejada e clique em Avanar
179
Digite o nome do domnio existente (para controlador de domnio

adicional, digite o nome do domnio desejado, para novo domnio, digite o
nome do domnio "pai"), clique em Avanar e siga o assistente.
12.4 Remoo de um controlador de domnio

Para remover um controlador de domnio, usamos o mesmo utilitrio
DCPromo que usamos para adicionar um novo controlador de domnio.
Quando executamos DCPromo e ele detecta que o servidor um
controlador de domnio atualmente, ele j oferece diretamente para
remover a funo Controlador de domnio do servidor.
Clique em Avanar. Se o Controlador de domnio for um Servidor de
Catlogo Global, ele avisa para verificar se existe outro controlador de
domnio executando esta funo pois, sem um Global Catalog Server os
usurios no podero fazer logon no domnio.
180
Se este for o ltimo controlador de domnio do domnio, marque a opo

informando isto. Se no for o ltimo, o assistente ir remover as
informaes do controlador atual do domnio ainda existente em outro(s)
controlador de domnio e far a transferncia de funes master se caso
o controlador atual for um Mestre de Operao para outro controlador de
domnio do domnio atual.
181
Se este for o ltimo controlador de domnio, o domnio cessar de existir

quando o DCPromo finalizar.
OBS: Se caso o DCPromo no conseguir remover corretamente o
controlador de domnio, podemos forar a remoo com a linha de
comando DCPROMO /FORCEREMOVAL. Mas isto poder acarretar em
sujeira na base de dados, caso o domnio continue existindo em outros
controladores de domnio.
12.5 Delegar tarefas administrativas no AD
O usurio Administrador , por padro, o usurio que possui todas as

permisses administrativas e direitos de usurio dentro de um domnio do
Active Directory. Bem como podemos dizer o mesmo do grupo Admins do
Domnio e Administradores (do Active Directory).
Como vimos no tpico de grupos, tambm os grupos internos possuem
direitos de usurio, atravs dos quais podem executar algumas das
182
tarefas administrativas. Ou seja, usurios que sejam inseridos como
membros destes grupos internos recebero os direitos administrativos
inerentes ao grupo.
Veremos mais adiante, no tpico sobre diretivas, mais sobre estes direitos
de usurio, conforme j comentamos.
Como exemplo de grupos internos que possuem direito de executar uma
ou mais tarefas administrativas no Active Directory, temos os Operadores
de Conta.
Mas existem algumas tarefas, em relao ao Active Directory Domain
Services que podemos querer que usurios possam executar, mesmo que
no sejam administradores, nem membros de grupos internos.
Exemplos destas tarefas podemos ter com empresas que quisessem que
os membros do departamento de Recursos Humanos pudessem criar
contas de usurio no domnio, em uma OU chamada Novos Funcionrios.
Mas... Por que no colocar estes usurios diretamente nos grupos j
descritos (que tem poderes administrativos no AD e que poderiam
executar esta tarefa)? Pelo princpio do menor privilgio que a Microsoft
preza muito, em relao segurana. Se colocarmos um usurio do RH
em dos grupos de que j falamos, este usurio poderia executar mais
tarefas administrativas do que desejamos.
Ento, para resolver questes como esta, temos a possibilidade de
delegar tarefas administrativas especficas usurios e/ou grupos, dentro
do AD, de forma a que estes usurios s possam executar aquilo que
efetivamente desejamos ou necessitamos.
Para delegar tarefas administrativas, usamos a console Usurios e
Computadores do Active Direcory.
Normalmente, a guia Segurana no aparece nos objetos do Active
Directory.
Para mostrar esta guia, clique no menu
Temos uma forma simples e uma forma mais trabalhosa para delegar a
tarefa administrativa.
Mas s temos uma forma (a trabalhosa) para ver, remover e modificar as
permisses administrativas delegadas aos objetos do Active Directory.
A forma simples atravs do assistente Delegar Controle
A forma trabalhosa atravs da guia Segurana, que descrevemos
acima como exibi-la.
Para delegar a permisso desejada, usando o Assistente:
Clique com o boto direito do mouse no item desejado (normalmente uma
OU)
183
No menu que se abre, clique em Delegar Controle
Siga os passos do Assistente

Para delegar controle usando a guia Segurana:
Clique com o boto direito do mouse no objeto desejado
No menu que se abre, clique na opo Propriedades
Clique na guia Segurana
184
Modifique as permisses da mesma forma que vimos em relao s

permisses do NTFS
OBS: Tudo que vimos relativo s permisses do NTFS vale da mesma
forma aqui: permisso efetiva, herana de permisses, etc.
12.6 Servidor DHCP

Uma das funes principais mais usadas no Windows Server a funo
DHCP Server.
Atravs desta funo podemos configurar nossos computadores para
usar endereamento automtico em vez de utilizar configurao de TCP-
IP manual nos adaptadores de rede
A configurao manual nos permite maior controle de que dispositivo usa
qual endereo, mas muito mais trabalhosa e mais suscetvel a uma
configurao incorreta (o que pode acarretar em recursos indisponveis).
Entre as possibilidades mais concretas, est a configurao de endereos
conflitantes (dois ou mais dispositivos com o mesmo endereo) ou mesmo
configurao de mscara de rede ou gateway incorretos (o que pode
gerar a no localizao de recursos na rede local ou externa)
Atravs do DHCP podemos centralizar as configuraes e aumentar a
garantia de que os endereamentos estaro corretos.
Para adicionar a funo DHCP, o pr-requisito necessrio que este
servidor esteja com o endereo IP configurado manualmente.
185
Configure a placa de rede do servidor conforme j visto, de forma

esttica.
Abra a console do Gerenciador de Servidores
Clique na opo Funes na lista esquerda da janela
Com o boto direito do mouse, clique em Funes novamente
No menu que se abre, clique em Adicionar Funes
Se solicitado, clique em Prximo para iniciar o assistente
Marque a caixa de seleo ao lado da opo Servidor DHCP

Clique em Prximo 2 vezes
186
Preencha as opes iniciais de configurao do DHCP (estas opes

sero usadas pelo servidor de DHCP para as configuraes a serem
passadas aos seus clientes) nome do domnio de DNS e endereos dos
servidores DNS preferencial e alternativo
Se voc no quiser configurar o DHCP agora, basta seguir o assistente
sem preencher os campos de configurao. Estas podero ser feitas ou
alteradas posteriormente, atravs da console de administrao do DHCP
187
Clique se deseja ou no configurar o endereo de um servidor WINS

caso este seja usado junto com o DNS para o processo de resoluo de
nomes da empresa. Clique em Prximo
188
Se desejar, configure o escopo de endereos a serem ofertados pelo

DHCP veremos a criao do escopo mais adiante. Clique em Prximo
189
Marque a opo se deseja ou no que o servidor atribua endereos em
IPv6, tambm. Clique em Prximo (Se voc marcar a opo para habititar,
ser solicitado configurar o escopo como no caso do IPv4, o que pode
ser feito neste momento, ou posteriormente)
Clique em Instalar.
Quando pronto, revise a mensagem e clique em Fechar.
Para administrar o DHCP, utilizamos a console DHCP, que encontramos
nas Ferramentas Administrativas.
Para abrir esta console, clique no menu Iniciar, aponte para Ferramentas
Administrativas e clique em DHCP.
A primeira ao a ser executada em um servidor de DHCP autoriza-lo
no AD. Por motivos de segurana, para que o servio DHCP possa ser
efetivamente iniciado, ele deve ser autorizado pelo AD. Enquanto um
servidor de DHCP no for autorizado, ele no poder fazer ofertas de IP
mesmo que possua escopo e as demais cofiguraes
Somente um administrador da organizao pode autorizar um DHCP.
Para autorizar um servidor de DHCP, clique com o boto direito do mouse
em DHCP na lista esquerda da console do DHCP e, no menu que se
abre, clique na opo Gerenciar servidores autorizados.
190
Na caixa que se abre, clique em Autorizar, digite o nome ou o IP do

servidor a ser autorizado e clique em OK. Se necessrio, clique em OK
novamente para confirmar o servidor a ser autorizado.
Este procedimento pode ser repetido caso haja mais de um servidor de
DHCP a ser autorizado.
Quando estiver satisfeito, clique em OK.
Clique no sinal de + ao lado do nome do servidor, na lista da esquerda da

janela, para expandir as informaes referentes ao DHCP deste servidor
Clique no sinal de + ao lado de IPv4 (o mesmo procedimento vlido
para IPv6, mas aqui ser descrito apenas para IPv4) para exibir as
opes do IPv4
Se vocs criou um escopo, ele ser exibido aqui.
Como no procedimento acima no criamos um escopo, o faremos agora.
Escopo uma lista de endereos que podem ser ofertados aos clientes
deste servidor de DHCP. Um servidor de DHCP pode ter um ou mais
escopos.
Nas configuraes do escopo, definimos endereo inicial e final da lista,
mscara de subrede, validade do leasing (emprstimo) do endereo,
informaes de endereos que devam ser excludos da listagem,
endereos da listagem que devam ser reservados e opes (endereo do
servidor DNS, do gateway, de servidor WINS, etc). Estas opes tambm
podem ser configuradas ao nvel de servidor DHCP (so vlidas para
191
todos os escopos deste servidor) e para reservas (sero vlidas somente
para aquele endereo reservado)
Para criar um escopo, siga o procedimento abaixo:
Clique com o boto direito do mouse em IPv4.
No menu que se abre, clique na opo Novo escopo.
No assistente que inicia, clique em Avanar.
Digite um nome para o escopo, uma descrio e clique em Avanar.
Digite o endereo inicial e o final da lista de endereos do escopo.

Se necessrio, modifique e ajuste a mscara de sub-rede. Clique em
Avanar.
192
Digite, se necessrio, o endereo inicial e final de uma lista de excluso

(endereos da listagem geral do escopo e que voc no deseja que sejam
distribudos aos clientes pelo servidor DHCP). Clique em Adicionar. Se
necessrio, podem ser adicionados mais de um intervalo de excluso.
Quando estiver satisfeito, clique em Avanar.
Defina a durao do leasing durao da concesso e clique em

Avanar.
193
Se desejar configurar as opes do escopo durante sua criao, marque

a opo Sim. Se desejar configurar as opes depois do escopo criado,
marque a opo. Neste procedimento, veremos a configurao das
opes DEPOIS de criado o escopo. Clique em No, em Avanar e em
Concluir.
Depois de pronta a criao do escopo, precisamos definir as opes e
ativar o escopo.
Para configurar as opes, clique sobre o escopo na listagem da

esquerda da console do DHCP. Expanda as configuraes do escopo
clicando no + ao lado esquerdo do escopo. Clique com o boto direito do
mouse no em Opes de escopo e clique na opo Configurar opes.
194
Na janela que se abre, localize a opo desejada a ser configurada. Na

janela acima, est marcada a opo Roteador (default gateway). Neste
exemplo, digite o endereo do gateway depois de marcar a caixa relativa
ao roteador e clique em Adicionar.
Repita este procedimento tantas vezes quantas forem necessrias para
configurar todas as opes para o escopo.
Quando estiver satisfeito, clique em OK. Se quiser, pode ser clicado em
Aplicar para j configurar as opes mesmo antes de fechar a janela.
Lembre-se que para o Active Directory necessrio a configurao de
pelo menos 1 servidor de DNS para ser possvel efetuar o logon. Ento
esta opo necessria de ser configurada em TODOS os escopos de
um servidor, caso estes clientes utilizem o AD. Para a Internet isto
tambm necessrio.
Se houver a necessidade de que um determinado cliente receba sempre
o mesmo IP do escopo, podemos configurar uma reserva.
Para isto, clique com o boto direito do mouse no item Reserva abaixo do
escopo na lista da esquerda e clique na opo Nova reserva.
195
Digite o nome que descreva a reserva normalmente descrevemos ou

nomeamos o computador que ir receber este endereo. Digite o
endereo a ser reservado e o MAC da placa de rede que ir receber este
endereo
Quando pronto, clique em Adicionar.
Repita este processo para todas as reservas necessrias.
O ltimo passo para configurar um escopo ativa-lo.
Depois de tudo ok, para que o escopo possa comear a oferecer seus
endereos, ele precisa estar ativo.
Para isto, clique com o boto direito do mouse no escopo em questo e

no menu que se abre, clique na opo Ativar.
196
Unidade 13 Diretiva
local e de grupo
13.1 Configurao de diretivas locais
Uma das funcionalidades mais importantes de um Windows, em relao

administrao e segurana, so as diretivas de locais e de grupo
Atravs de policies, podemos configurar praticamente 100% do ambiente
de trabalho de um usurio.
Hoje, nas verses atuais de Windows, podemos configurar diversos nveis
de policies, mesmo trabalhando em grupo de trabalho.
Comearemos vendo as diretivas locais, atravs da configurao das
diretivas de um Windows 7.
Podemos ter uma policy local padro (diretiva do computador local), uma
policy diferente para usurios administradores e no administradores,
e at para usurios individuais, desde que sejam usurios locais.
Para configurar uma policy para o computador local, precisamos abrir uma
console de MMC vazio. Para isto, digite MMC no menu Iniciar, e clique em
MMC no item que aparece:
197
Se necessrio, permita a execuo da console, clicando em ok na
mensagem do UAC:
OBS: MMC significa Microsoft Management Console, e a interface para

todas as ferramentas administrativas do Windows.
Na tela do MMC, no menu Arquivo, escolha opo Adicionar/remover
Snap-in
198
Na janela da lista dos snap-ins, selecione Editor de Objeto de Diretivas...
e clique em Adicionar
Na caixa que se abre, escolha a que se aplica as diretivas a serem

criadas.
Se forem para o computador local valem para todos os usurios do
computador local simplesmente clique em Concluir
199
Se quiser criar uma diretiva para administradores ou no

administradores ou ainda para um nico usurio, clique em Procurar... e
depois selecione a quem se aplica.
200
Clique em ok para fechar a janela e inserir o snap-in com a configurao
desejada.
Para configurar uma policy, primeiro necessrio saber exatamente o

que fazer.
Policy muito poderoso e MUITO PERIGOSO. Em nenhum momento
solicitado confirmao de alterao, nem tem como desistir de uma
alterao, somente desfazendo manualmente o que foi feito.
Abaixo, temos uma tela com a Diretiva do Computador Local:
201
Para efetuar uma alterao, temos que localizar o item a ser configurado:
Dando duplo clique no item, configure conforme desejado:
202
CUIDADO! Quando clicar em ok, estar sendo salva a alterao. No tem

como desfazer automaticamente. S voltando ao item e configurando
como No configurado.
Policy to importante e to perigoso, que alguns fazem projeto antes
de efetuar alteraes nas policies.
No esquea de documentar todas as alteraes! Localmente, em grupo
de trabalho, no temos uma forma simples de gerar relatrios das policies
aplicadas. Anote sempre o que for alterar!
OBS: Quando adicionamos o snap-in somente para determinado usurio
ou para administradores ou no administradores, somente a parte da
policy referente ao usurio aparece para ser configurada. Veja tela
abaixo:
203
13.2 Configurao de Group Policies (diretivas de

grupo)
Um dos principais pontos de venda, um dos principais diferenciais da
soluo de rede MS a possibilidade de aplicar diretivas, principalmente
a possibilidade de aplicar diretivas a partir de um local centralizado - o
domnio.
Atravs de Diretiva podemos configurar praticamente todo o ambiente de
trabalho do usurio.
Temos diretivas (policies) locais, em cada computador com Windows,
como vimos acima.
Mas agora nosso foco sero as policies (diretivas) de grupo, de domnio.
O Windows Server possui uma ferramenta (console) que a preferencial
para este trabalho com diretivas de grupo: O GPMC (Group Policy
Management Console)
Atravs do GPMC podemos criar, configurar, testar, gerar relatrios, de
toda a estrutura de diretivas do domnio.
Quando iniciamos a console do GPMC, para iniciar o trabalho com as
diretivas, expandimos o n da Floresta, o n do domnio e clicamos no
container Objetos de Diretiva de Grupo.
Em um novo domnio, existiro 2 diretivas: Default Domain Policy e
Default Domain Controller Policy.
204
A diretiva Default Domain Policy vlida para todos os computadores e
usurios do domnio e est ligada ao domnio
A diretiva Default Domain Controller Policy vlida para todos os
controladores de domnio do domnio em questo.
Clicando na pasta Objetos de Diretiva de Grupo com o boto direito do

mouse, temos as opes de gerenciamento de policies:
205
Clicando na opo Novo, criamos uma nova diretiva de grupo
Digite o nome a ser dado para a diretiva e clique em Ok. Mas isto apenas
criou a diretiva, temos que agora definir o que ser configurado atravs
desta diretiva. Clique com o boto direito do mouse e escolha a opo
Editar
206
Na tela de edio da diretiva onde vamos definir o que esta policy vai
configurar ou controlar.
Uma diretiva dividida em duas reas principais: Usurio e Computador
Dentro de cada uma destas duas partes, temos ainda uma diviso entre
Diretivas e Preferncias. Diretivas existe em qualquer verso de policies
de Windows. A parte "Preferncias" que novo no Windows Server
2008. Para que esta parte possa ser implementada em computadores
com Windows XP e Windows Server 2003, precisa ser instalado um "KB"
chamado "Client Side Preferences" (pode ser baixado gratuitamente no
site da Microsoft na Internet).
207
Para modificar um item (editar), localize o item expandindo os ns e d

duplo clique sobre ele no painel da direita (painel de detalhes).
Configure conforme sua necessidade.
Temos 3 possibilidades:
No configurado: Vai ficar valendo a configurao atual, vinda de outra diretiva ou
configurada localmente
Habilitado: Executa esta diretiva
Desabilitado: No executa esta diretiva
Marque a opo e clique em Ok.

OBS: Em cada janela de configurao de uma diretiva sempre tem uma
breve explicao sobre ela, no painel Ajuda. E possvel navegar entre
as diversas diretivas clicando nos botes Configurao Anterior e Prxima
Configurao
208
ATENO: Em nenhum momento solicitado que uma diretiva seja

"salva". No momento que clicamos em Ok, est sendo salva esta
configurao. Para modificar ou desfazer, necessrio voltar edio da
diretiva e mudar o que for necessrio.
Para configurar uma "Preferncia", tambm necessrio localiza-la para
editar.
Abaixo, as "preferncias para computador" e as "preferncias para
usurio":
209
Como exemplo, veremos a configurao de um atalho:

Clique com o boto direito do mouse em Atalho, aponte para a opo
Novo e clique em Atalho
210
Escolha a ao:
Configure as opes desejadas:
211
Nas "Preferncias" possvel direcionar a configurao, de acordo com

"testes" ou opes. Para isto, clique na guia Comum, marque a caixa de
seleo Direcionamento de nvel de item e clique em Direcionamento.
Configure os testes conforme necessrio, clicando em Novo Item
212
Abaixo, as opes de testes de direcionamento:
Configure conforme for sua necessidade e clique em Ok. Na figura

abaixo, um exemplo de direcionamento por grupo de segurana:
213
Depois de finalizada a edio da diretiva, ainda temos mais algumas

configuraes a serem feitas.
A primeira delas definir a quem se aplica esta diretiva. O padro ela
ser aplicada a Usurios Autenticados.
Para modificar este comportamento, clique sobre o nome da diretiva na
pasta Objetos de Diretivas de Grupo. No painel da direita ser mostrada
as caractersticas desta diretiva selecionada.
Na guia Escopo temos as informaes de a qual OU(s) est ligada esta

diretiva e a quem ela se aplica (Filtros de Segurana).
214
Na guia Opes temos um resumo de todas as configuraes da diretiva

( possvel imprimir o contedo desta guia, como forma de "relatrio"
clicando em qualquer lugar do painel de detalhes com o boto direito do
mouse e escolhendo Salvar Como)
215
Na guia Delegao vemos todos que tem algum tipo de permisso ou
direito sobre esta diretiva. Para modificar a quem se aplica esta diretiva,
ou ainda qualquer outra permisso desejada, clique no boto Avanado.
Configure como desejar e clique em Ok quando pronto. As permisses

necessrias para quem queremos que esta diretiva seja aplicada
"Leitura" e "Aplicar diretiva de grupo"
Ainda temos que definir a qual local queremos ligar esta policy, pois
mesmo depois de configuradas as opes, definido a quem se aplica a
diretiva, ela s estar efetivamente em funcionamento depois que
"ligarmos" ao domnio ou alguma OU.
Para ligar a uma OU, clique com o boto direito do mouse sobre o nome
da OU desejada.
216
Clique em Vincular com GPO Existente
Escolha a GPO (diretiva) desejada e clique em Ok.

Uma OU (ou mesmo o prprio domnio) pode ter diversas diretivas ligadas
a ela. E ainda existe a "herana" de diretivas.
Por "Herana de diretivas" entende-se as diretivas ligadas nveis acima
e que "descem" na hierarquia.
Se por algum motivo no quisermos que diretivas sejam herdadas por
alguma OU, devemos Bloquear Herana, clicando nesta opo no menu
217
de contexto da OU em questo (veja na tela acima, onde apresenta o
menu de opes de uma OU)
Clicando no nome da OU, vemos as diretivas vinculadas diretamente
ela clicando na guia Objetos de Diretiva de Grupo Vinculadas...
... E clicando na guia Herana de Diretivas de Grupo, vemos as diretivas

herdadas por esta OU
Ainda temos opes de configuraes no "link" da diretiva (aparece logo

abaixo do nome da OU os links de todas as diretivas ligadas a ela), que
temos acesso clicando com o boto direito do mouse no link em questo:
218
Atravs deste menu podemos, por exemplo, ativar e desativar um vnculo

ou mesmo excluir o vnculo (excluir o vnculo NO exclui a diretiva).
Uma das possibilidades de configurao de um vnculo marca-lo como
Imposto. Um link Imposto define que aquela policy, daquele ponto em
diante, no poder ser sobrescrita nem bloqueada (atravs do bloqueio
de herana).
O que "policy sobrescrita"?
Um computador ou usurio pode receber diversas policies... seja atravs
da mquina local, do domnio ou OU onde est sua conta.
Caso houverem configuraes divergente e que "conflitem" entre si, de
acordo com a ordem da aplicao da diretiva que ela ser "sobrescrita"
(resolvido o conflito).
As policies se aplicam na seguinte ordem:
Diretiva Local
Diretiva de Site
Diretiva de Domnio
Diretiva de OU
Diretiva de sub OU e assim por diante!
Alm de serem primeiro executadas as policies de computador e depois

as policies de usurio.
Na ordem de execuo que definido a ordem da resoluo de conflito.
Mas se um link de uma diretiva estiver marcado com IMPOSTO, esta
SEMPRE ser vlida, ganhando sempre em caso de conflitos.
Se quisermos que um determinado computador fique com suas diretivas
vlidas, independente das diretivas de usurio, devemos configurar
"processamento em loopback" - que tambm um item de policy.
219
Saiba mais sobre policies...

Quando o Windows vai executar uma diretiva, ele l TODA a diretiva,
mesmo que somente uma parte, ou poucos itens, estejam efetivamente
configurados.
Para minimizar este tempo de "leitura", podemos desativar parte da
diretiva que no tenha configuraes.
J vimos que uma policy dividida em 2 grandes "reas": Usurio e
Computador.
Se uma destas reas no tiver configurao, desabilite esta parte.
Para tal, clique com o boto direito do mouse na diretiva em questo, na
pasta Objetos de Diretiva de Grupo. Aponte para Status do GPO e
escolha a opo que se aplica, clicando sobre ela:
220
Configuraes de Segurana de uma diretiva:

Em todas as policies, sejam locais ou de AD, temos um tpico bastante
importante: as configuraes de segurana do Windows.
Fica abaixo das Configuraes do Computador, Diretivas (se for no AD),
Configuraes do Windows e finalmente, Configuraes de Segurana
221
Nesta parte da policy que definimos caractersticas de senha e bloqueio
de conta (estes itens so configurados por padro na diretiva "Default
Domain Policy"), definimos padro para os logs de eventos, Restrio de
Software, Firewall do Windows com segurana avanada, etc.
O que veremos a seguir com mais detalhes a configurao dos "direitos
de usurio".
Em alguns pontos deste treinamento, falamos muito nos grupos internos
locais e de domnio. E uma das caractersticas destes grupos eles
possuirem "um conjunto de direitos pr definidos" e que podemos colocar
usurios nestes grupos para que eles adquiram estes direitos.
Mas que direitos so estes e onde podemos consultar/configurar?
No item Diretivas Locais, em Atribuies de direitos de usurio, na policy
de segurana:
Os direitos de usurio dos grupos internos locais esto configurados, por

padro, na Diretiva de Segurana do Computador Local
Os direitos de usurio dos grupos internos do AD esto configurados, por
padro, na "Default Domain Controllers Policy".
Para adicionar ou remover um direito, d duplo clique no direito desejado,
clique em Adicionar usurio ou grupo e escolha o usurio ou grupo ao
qual quer dar o direito.
222
Para tirar um direito, d duplo clique no direito desejado, clique sobre o

nome do usurio ou grupo que deseja tirar o direito e clique no boto
Remover.
Saiba ainda mais sobre diretivas...

Podemos gerar relatrios de policies aplicadas a uma estao, servidor
ou usurio localmente, digitando GPRESULT em um prompt de comando
Podemos gerar relatrios de policies aplicadas a uma estao, servidor
e/ou usurio atravs da console GPMC (Gerenciamento de Diretiva de
223
Grupo), no item "Resultados da Diretiva de Grupo". Este um assistente,
bastante simples, que gera o relatrio das policies aplicadas, com todos
os itens configurados e de qual policy veio cada item configurado. muito
til para resolver problemas, principalmente localizar conflitos de policies
e configuraes incorretas.
Abaixo, um exemplo de um relatrio gerado pelo GPMC:
OBS: O item do GPMC - "Modelagem da Diretiva de Grupo" trata da

possibilidade de fazermos um teste "E Se" de diretivas. Podemos, atravs
deste item, respondendo a um assistente, ver como ficaria o resultado de
diretivas aplicadas a um usurio e/ou computador se juntssemos as
diretivas de uma OU com as de outra OU.
224
Unidade 14 ANEXOS
14.1 Configurao de rede e criao de rede
domstica
Logo depois de instalar o Windows 7 ou Server 2008, se foi detectada

uma placa de rede, esta foi configurada para receber configuraes
dinmicas.
Como j dissemos no andamento do treinamento, nem sempre teremos
um servidor de DHCP disponvel na rede ou poderemos usar as
configuraes APIPA.
Como tambm j vimos, pode ser necessrio configurar a placa de rede
com uma configurao esttica de TCP-IP, pelo menos seu endereo e
mscara de subrede.
Lembre abaixo como fazer esta configurao:
A maneira mais rpida de acessar as configuraes da rede clicando
com o boto direito do mouse no cone de rede na rea de notificao.
Clique na opo para abrir a Central de Redes e Compartilhamento
225
Clique em Alterar as configuraes do adaptador e depois, clique na placa
de rede a ser configurada, com o boto direito do mouse, e escolha a
opo Propriedades.
Na caixa de dilogo das configuraes da placa de rede, role a lista e
clique em Protocolo TCP/IP verso 4 (TCP/IPv4) e clique no boto
Propriedades:
Inicialmente, estar configurado para obter endereo automaticamente:
226
Mas, na falta de um servidor DHCP, e na impossibilidade de usar o

APIPA, temos que configurar manualmente:
227
J vimos mais informaes sobre estas configuraes. E tudo se aplica

aqui da mesma forma!
Com domnio de Active Directory, poderamos ter um servidor de DHCP
em um Server 2008, mas como estamos tratando de workgroup, com
Windows esta soluo no possvel. Mas podemos ter disponveis
roteadores ou outra soluo que executem esta funo.
Se for o caso, podemos configurar nossos computadores para Obter
endereamento dinmico ou automtico e eles receberem suas
configuraes destes roteadores.
228
Lembrando... Caso voc configure o seu computador como cliente de

DHCP, e no tiver nenhum servidor de DHCP disponvel na rede, o
Windows ir gerar um endereo automtico, chamado APIPA (Automatic
Private IP Address), com as configuraes de rede IP 169.254.x.x e
mscara de subrede255.255.0.0
Se todos os computadores da rede local tiverem este mesmo
comportamento, todos iro se comunicar localmente no grupo de trabalho
local, mas no tero acesso Internet.
Abaixo, uma tela com o retorno do comando IPCONFIG, em um
computador configurado com endereamento automtico, em uma rede
sem servidor de DHCP:
229
Configurao das opes avanadas de compartilhamento e descoberta

de rede:
Se for necessrio, podemos ativar a descoberta de rede e definir
informaes sobre compartilhamento de pastas, impressoras e pasta
pblica pela opo Alterar as configuraes de compartilhamento
avanadas:
Configurao da rede domstica
230
No Windows 7 podemos criar uma rede do tipo workgroup chamada rede
domstica, com um grau de segurana um pouco maior que uma simples
rede padro grupo de trabalho.
Para isto, siga o procedimento abaixo:
Pelo Painel de Controle, solicite a criao de uma rede domstica.
Clique no boto Criar um grupo domstico.
Clique em Avanar.
231
Ser gerada uma senha para que outros computadores possam ingressar
na mesma rede domstica. Tome nota!
Mesmo depois de criado, podemos modificar a rede domstica nas

opes abaixo:
232
14.2 Anexo 2 - Uso do MMC e dos Snap-ins

Ferramentas administrativas da Microsoft
Hoje em dia todas as ferramentas administrativas Microsoft rodam dentro

de uma console chamada MMC - Microsoft Management Console.
Junto com o Windows, quando efetuamos a instalao do sistema
operacional, e aps, quando efetuamos a instalao de outros produtos
que contenham consoles de administrao, uma srie de consoles de
MMC so criadas automaticamente.
As que so referentes ao Windows, so colocadas dentro de uma pasta
chamada "Ferramentas Administrativas", que podemos localizar no menu
Iniciar, ou no Painel de Controle.
As que so referentes a outras aplicaes podem estar tanto na pasta
Ferramentas Administrativas, quanto em algum item (ou pasta) individual
da aplicao (MS Exchange, MS SQL Server so exemplos de aplicativos
que tem consoles de MMC para adminstrao)
Estas consoles que vem pr configuradas so formadas de uma console
de MMC, com um ou mais Snap-Ins adicionados.
Podemos criar nossas prprias consoles, seja para personalizar nossas
consoles de trabalho, seja para criar consoles para tarefas administrativas
que no constem das pr configuradas por padro (a ferramenta para
criar Modelos de Segurana, por exemplo)
Para criar uma console personalizada, digite MMC no menu Iniciar ou no
item "Executar".
Na tela que se abre, clique em Arquivo e na opo Adicionar/remover
snap-In
233
Selecione na lista os snap-ins desejados (podemos adicionar quando
quisermos, e podemos criar quantas consoles desejarmos).
A lista de snap-ins pode variar de um computador a outro, pois dependem

do que temos instalado localmente.
Salve a console e armazene onde desejar.
Importante: Podemos salvar uma console de MMC na rede, mas para
podermos utiliza-las precisamos que o snap-in exista na mquina onde
ela ser usada.
234
14.3 Anexo 3 - Backup e Restore do Active Directory

Ferramentas de Backup do Windows
Instalao e uso
No Windows Server 2008 R2, a ferramenta de Backup no instalada
automaticamente. Ela uma "feature" a ser adicionada caso quisermos.
Ela vem com duas interfaces: grfica e linha de comando (Wbadmin.exe).
Podemos instalar uma ou as duas, da forma como quisermos.
Para instalar este recurso, usamos o Gerenciador de Servidores.
Clique em "Recursos" na lista da esquerda.
Clique na opo Adicionar recursos
Na janela que se abre, clique em Recursos de Backup do Windows

Server e selecione qual das ferramentas deseja (interface grfica,
clicando em Backup do Windows Server; linha de comando, clicando em
Ferramentas da Linha de Comando) clicando na caixa de seleo ao lado
do item desejado.
235
Clique em Prximo. Leia as informaes e clique em Instalar.

Depois de finalizado, leia as informaes se a instalao foi bem sucedida
ou no, e clique em Fechar.
A Ferrramenta de Backup do Windows Server 2008 era bastante limitada.

Permitia fazer backup somente do computador todo ou de um volume
236
completo. Na verso R2 do Windows Server 2008, esta ferramenta foi
bastante modificada, permitindo fazer backup de arquivos e pastas
desejados, fazer backup do "estado do sistema", inclusive de forma
"incremental" (somente as diferenas desde o ltimo backup do item),
backup de compartilhamentos, alm de recuperao "bare metal".
Para iniciar a ferramenta Backup do Windows Server, clique nela dentro
das "Ferramentas Administrativas"
Para iniciar a configurao de um trabalho de backup, podemos usar dois

assistentes:
Assistente de Agendamento de Backup
Assistente de Backup nico
O Assistente de Agendamento de Backup permite que ns criemos uma
tarefa recursiva de backup, que executar com uma periodicidade
determinada (por exemplo, todos os dias teis, s 23:30h)
O Assistente de Backup nico usado quando desejamos fazer um
backup especial, uma nica vez, ou forar a execuo de um backup
agendado, em horrio diferente ("agora") do que foi configurado no
Agendamento.
Abaixo, siga o exemplo para a criao de uma tarefa de backup:
237
No Painel da direita da console da ferramenta grfica Backup do Windows
Server, clique em Agendamento de Backup
No Assistente, na primera janela, clique em Avanar.

Na janela seguinte, escolha entre duas opes: Servidor completo ou
Personalizar
Aqui, selecionaremos Personalizar para poder escolher algumas pastas
para fazer nosso backup e clique em Avanar
238
Clique em Adicionar Itens e escolha do que deseja fazer backup. Aqui,

selecionaremos uma pasta e o "Estado do Sistema"
OBS: Fazer backup do Estado do Sistema (System State) faz backup de
todas as configuraes do servidor entre elas: o registro (e se ele for
Controlador de Domnio, o registro contm a base de dados de segurana
do domnio), a base do Certificate Services, configuraes da metabase
do IIS, os arquivos sob "proteo do windows". Devemos fazer backup do
"Estado do Sistema" de pelo menos 1 controlador de domnio, afim de
fazer backup do AD.
239
Clique em Ok quando tiver terminado de selecionar as pastas e itens

desejados.
Quando pronto, clique em Avanar.
Na prxima janela, selecione a frequncia desta tarefa de backup
240
Clique em Avanar quando estiver satisfeito com a configurao. Na

prxima janela, escolha onde deseja fazer armazenar o backup
241
Clique em Avanar. De acordo com o item selecionado, escolha o volume,

disco ou compartilhamento e continue. Aqui, escolhemos um "volume",
ento clicando em Adicionar, escolha o volume desejado e clique em Ok e
depois em Avanar.
242
Clique em Concluir para finaliza a criao deste "job" de backup.

Quando pronto, clique em Fechar.
Para a restaurao, depende da forma como o backup foi feito e do que
desejamos recuperar, para definir o procedimento.
Para recuperar um arquivo ou pasta, clique em Recuperar no lado direito
da console da ferramenta de Backup do Windows Server
243
No Assistente que inicia, marque o local de onde est recuperando o
backup
Clique em Avanar.
Na prxima tela, marque a data do backup a ser restaurado clicando no
dia desejado
244
Clique em Avanar. Selecione o que deseja recuperar - escolheremos
Arquivos e pastas neste momento
Clique em Avanar. Selecione o que deseja recuperar
Clique em Avanar. Defina para onde deseja recuperar o item

selecionado, o que fazer em caso do item existir no local de recuperao
e se deseja restaurar permisses originais
245
Clique em Avanar quando pronto. Confirme, clicando em Recuperar
Aguarde a concluso da recuperao
246
Clique em Fechar quando estiver concludo.

Atravs da Restaurao, possvel recuperar todo um servidor (desde
que tenha sido feito o backup, lgico) usando o "Windows Recovery" -
WinRE, aplicativos e suas configuraes, volumes completos, o sistema
operacional (usando o WinRE, tambm), o "estado do sistema" (trazendo
o computador a um status anterior - o do momento do backup), alm de
arquivos e pastas.
Atravs da recuperao do "estado do sistema" (System State) possvel
recuperar um controlador de domnio, um domnio inteiro, um item
excludo, alm de ser possvel criar um novo controlador de domnio a
partir de um backup do system state de um controlador de domnio
existente (a criao deste controlador de domnio se d pela linha de
comando DCPROMO, padro, mas com o parmentro /ADV).
Recuperao de Active Directory
Como j visto, podemos recuperar um controlador de domnio, um
domnio inteiro, um item excludo do AD atravs da Restaurao do
Backup do Windows Server.
Basicamente, temos 2 mtodos possveis para a recuperao do AD:
Autoritativo
No autoritativo
Para compreender melhor a diferena, um pouco da teoria do Active
Directory:
Quando criamos ou exclumos um item no AD, ou quando h qualquer
tipo de alterao na base de dados de segurana do domnio, iniciado o
processo de replicao do AD.
247
Neste processo, atravs do "time stamp" do objeto, definimos qual deles
o mais novo e aquele que deve ser replicado para os outros controladores
de domnio.
Quando exclumos um objeto, na verdade ele no efetivamente excludo
na hora - ele marcado para excluso, a fim de que todos os outros
controladores de domnio saibam desta excluso e possam tambm
deletar de suas bases.
Quando um controlador de domnio inicia, ele consulta outro controlador
existente do domnio dele a fim de atualizar sua base em relao quele
que estava no ar (ele pode ter recebido alteraes enquanto o outro
estava "fora"). Ele s sobe efetivamente a funo "Controlador de
domnio" depois que estiver sincronizado e atualizado sua base local.
Entendido este processo, fica mais simples explicar a diferena nos dois
tipos de restauraes possveis para os itens do AD.
Quando recuperamos um item do AD, necessrio que a funo
"Controlador de Domnio" no esteja ativa.
Ento, depois de restaurado o item desejado do AD, precisamos reiniciar
esta funo.
No retorno, o que acontecer? Ele ir sincronizar com o controlador de
domnio existente e receber as atualizaes desde o backup.
Se caso estivermos recuperando um item excludo, a informao mais
nova em relao este item seria a sua "excluso", o que faria com que o
item fosse excludo novamente.
Em uma restaurao "no autoritativa" (sem autoridade), o item seria
novamente excludo.
Em uma restaurao "autoritativa" (com autoridade), o item no seria
novamente excludo, pelo contrrio, o item seria sincronizado e recriado
nos controladores de domnio restantes.
Usamos a restaurao no autoritativa, normalmente, para recuperar uma
base completa, em um controlador de domnio que tenha danificado sua
base
Usamos a restaurao autoritativa, normalmente, em uma de duas
situaes: para recuperar um item excludo, ou para recuperar uma base
completa de um controlador de domnio nico em um domnio de AD, ou
ainda quando a base danificada foi "sincronizada" para os outros
controladores e queremos recupera-la para TODOS os controladores de
domnio do domnio em questo.
Para restaurar um item ou a base toda, o procedimento o seguinte:
Reinicie o Controlador de domnio em questo.
Pressione F8 para obter o menu de opes de inicializao.
Selecione a opo Modo de Restaurao de Servios de Diretrio e
pressione Enter
248
Use a conta Administrador local (controlador_de_domnio\administrador) e
a senha que foi configurada na criao deste controlador de domnio
(durante a execuo do DCPROMO)
Inicie a ferramenta de Backup do Windows Server.
Inicie o processo de recuperao (restaurao) descrito acima, apenas
escolha a opo "Estado do Sistema" na tela abaixo:
Clique em Avanar. Marque a opo Local original.
249
OBS: Se marcarmos a opo Executar uma restaurao autorizada do

Active Directory faremos uma "restaurao autoritativa" do Active
Directory, da base toda, como explicado acima. Aqui, faremos uma
restaurao no autoritativa.
Clique em Ok na mensagem que aparece:
Para que possamos recuperar um item excludo, no podemos marcar a

caixa de seleo Reinicializar automaticamente o servidor para concluir o
processo de recuperao. Se marcarmos esta caixa de seleo, o
Windows reiniciar automaticamente, no permitindo que possamos
informar qual item a ser marcado como "autoritativo".
Neste procedimento, vamos recuperar um item excludo, ento no
devemos marcar a caixa de seleo. Apenas devemos clicar em
Recuperar
250
Clique Sim na caixa de mensagem:
Espere at finalizar o processo
251
OBS: Se caso vocs esqueceu (ou mudou de idia depois do processo

iniciado), ainda possvel marcar a caixa de seleo para "Reiniciar
automaticamente.." durante a recuperao, como mostra na tela acima
Clique em Reiniciar quando pronto
Confirme, pressionando Enter, que a restaurao ocorreu com xito

Inicie o Prompt de Comando em modo "elevado" (Executar como
Administrador)
Digite net stop ntds
OBS: Confirme que deseja parar o servio, digitando S na mensagem que
aparece
Digite NTDSUTIL
Digite activate instance NTDS
252
Digite authoritative restore
Digite restore object CN=objeto,OU=ou_original,DC=dominio,DC=local
OBS: Se estiver restaurando uma OU, a sintaxe "restore subtree"
Confirme a restaurao, clicando em Sim
Digite Quit at sair da console do NTDSUTIL

Reinicie o controlador de domnio
Saiba mais...
Se o domnio e a floresta estiverem no nvel funcional Windows Server
2008 R2 possvel recuperar objetos excludos atravs da Lixeira do
Active Directory (Active Directory Recicle Bin).
Os objetos excludos (marcados para excluso) ficam ainda na base do
AD durante 180 dias. Neste perodo, podem ser recuperados atravs da
lixeira, caso ela tinha sido previamente ativada.
Um item recuperado da lixeira trs de volta todas as configuraes do
objeto, igual ao que ele se encontrava configurado no momento da
excluso.
A Lixeira do AD no possui interface grfica, s pode ser usada via
"PowerShell"
Para ativar a lixeira, inicie o PowerShell com o mdulo do Active Directory
(Active Directory Module for Windows PowerShell)
Digite o seguinte cmdlet:
Enable-ADOptionalFeature Identity CN=Recycle Bin Feature,
CN=Optional Features,
CN=Directory Service,CN=Windows NT, CN=Services, CN=Configuration,
DC=dominio,DC=local
Scope ForestOrConfigurationSet Target dominio.local
Para recuperar um usurio, por exemplo, digite o cmdlet abaixo:
Get-ADObject -Filter {displayName -eq "Nome do usurio"} -
IncludeDeletedObjects | Restore-ADObject
Saiba ainda mais...
Tambm possvel recuperar obetos excludos usando a ferramenta
LDP.EXE.
253
Inicie esta ferramenta, configure para que ela recupere objetos excluidos,
clicando no menu Options e na opo Controles. Na caixa Carregar
Predefinidos, selecione Return deleted objects na lista e clique em Ok
Conecte-se ao domnio desejado (Menu Conexo, item Conectar).

Associe a conta do usurio logado (Menu Conexo, item Associar). Exiba
a rvore do domnio (Menu Exibir, item rvore).
Localize o container Deleted Objects. D duplo clique para abrir o
container.
Restaure o objeto que desejar clicando com o boto direito sobre ele e
clicando em Modificar. Na caixa Editar Entrada, em Atributo digite
isDeleted.
Na seo Operao (Operation) clique em Excluir (Delete) e clique Digitar
(Enter)
254
Na caixa Atributom digite distinguishedname

Na caixa Valores digite o DN completo (nome do usurio mais o local para
onde ele ser recuperado - ex:
cn=usuario,ou=teste=dc=treinamento,dc=local)
Na seo Operao (Operation) clique em Substituir (Replace) e clique
Digitar (Enter)
Clique em Executar (Run)
255
Verifique o sucesso da operao e veja que o objeto foi recuperado!
Clique em Fechar para retornar console do LDP.

O objeto ter retornado para o caminho solicitado.
14.4 Anexo 4 - Como criar uma mquina virtual usando o

Hyper-V Manager:
Como criar uma VM usando o Hyper-V Manager
Neste treinamento usamos mquinas virtuais para as prticas e
exerccios.
E a soluo escolhida a soluo da Microsoft, com Hyper-V.
Abaixo, o procedimento passo-a-passo para a criao de uma VM com o
Hyper-V Manager
OBS: Para o treinamento, usaremos o Windows em portugus, mas nas
mquinas fsicas temos o Windows em verso "Ingls". Por isto, as telas
abaixo, da criao da VM, esto em ingls
256
Abra a console do Hyper-V Manager, que se encontra no Menu Iniciar,
nas Ferramentas Administrativas (Administrative Tools)
Na console que se abre, clique sobre o nome do seu servidor "fsico" e no
painel mais a direita da tela, clique na opo New e em seguida, clique
em Virtual Machine no menu que se abre;
No assistente que inicia, clique em Next

Logo na prxima tela, digite o nome da mquina virtual que deseja criar
na caixa Name, marque a opo "Store the virtual machine in a different
location" se desejar escolher onde armazenar a VM e pelo boto Browse
(ou digitando diretamente na caixa Location) escolha onde ir salvar
(armazenar) a VM.
Quando pronto, clique em Next
257
Na prxima tela, digite a quantidade de memria RAM que deseja utilizar

para esta VM e clique em Next
Na prxima tela, selecione a conexo de rede que ir usar para esta VM

(ser mostrado mais abaixo como criar as conexes de rede. Isto deve
258
ser feito preferencialmente ANTES de criar as VMs, mas pode ser
modificado depois, atravs das propriedades - Settings - da VM em
questo). Clique em Next quando ok
Escolha opo desejada parao VHD (Virtual Hard Disk - Disco virtual).
Pode ser criado um novo VHD, usado um j existente ou marcado para
configurar depois. Neste assistente, marcamos a opo para criar um.
Digite o nome do arquivo do VHD na caixa Name e onde ele ser salvo
(criado) na caixa Location - pode ser digitado ou usar o boto "Browse".
Clique em Next quando Ok.
259
Se voc estiver criando uma nova mquina virtual, pode ser necessrio
instalar um sistema operacional. Neste caso, na prxima tela, defina se
voc j deseja instalar o sistema operacional e de onde e como ser feita
a instalao deste SO. Marque o boto com a opo escolhida.
Se deseja instalar a partir de um DVD, CD ou ISO, marque a opo
equivalente e aponte onde esto os arquivos de instalao. Clique em
Next
OBS: Esta opo pode ser modificada depois, atravs das configuraes
da VM, clicando com o boto direito do mouse sobre ela e escolhendo a
opo Settings
260
Clique em Finish para criar a VM.

A VM recm criada aparecer na tela do Hyper-V Manager
Clique com o boto direito do mouse sobre ela e tenha acesso s aes
mais comumente utilizadas: Iniciar, conectar, alterar configuraes, salvar
snapshot, etc.
Pela opo de Configuraes (Settings) possvel alterar o que foi
definido na criao, como a quantidade de memria RAM, o VHD, o local
dos arquivos de instalao, a conexo de rede...
261
Na tela do exemplo acima, esto as configuraes referentes ao VHD

Saiba mais...
As conexes de rede do Hyper-V
possvel ter trs tipos de conexo de rede em mquinas virtuais criadas
com Hyper-V Manager.
As mais usadas so a External e a Private.
A External aponta para a placa de rede real (fsica) do servidor onde
estamos rodando o Hyper-V. As mquinas virtuais que usarem este tipo
de conexo sero "visveis" na rede real e estaro acessveis como se
fossem "mquinas fsicas". Cada mquina virtual que usar uma conexo
External ter seu prprio nome e seu prprio IP, vlidos na rede fsica,
podendo inclusive acessar a Internet, por exemplo, de acordo com a
poltica de acesso da empresa.
A Private cria uma rede "virtual privativa" entre as mquinas virtuais deste
servidor. Estas mquinas iro conectar-se umas s outras, mas no sero
visveis na rede fsica (rede real da empresa).
Para criar uma conexo de rede, utiliza-se a opo Virtual Network
Manager, que est no painel mais a direita da tela do Hyper-V Manager.
262
Clique em Virtual Machine Manager e na tela que se abre, marque o tipo

de conexo que deseja criar e clique em Add:
Para External, configure como abaixo e clique em Ok ou Apply:
263
Para Private, configure como abaixo e clique em Ok ou Apply:
264
265

Adm Redes Apostila PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Adm Redes Apostila PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Alfamdia Redes:

Unidade 2 Instalao e Configurao

Na tela seguinte, para iniciar a instalao, deve-se clicar em Instalar

OBS: Nesta tela acima tambm apresentada a opo Reparar o

Escolha a unidade de disco (disco fsico e partio) onde deseja instalar o

OBS: Nesta parte da instalao possvel criar, excluir ou modificar as

O procedimento de instalao continua.

Aguarde at que esteja finalizado.

A prxima tela pede a configurao da senha do usurio inicial. Temos

Na prxima tela, so oferecidos para ajuste as informaes sobre fuso

Prxima configurao a ser feita, se refere rede. Se for detectada a

Aguarde at que a instalao tenha sido finalizada

possvel ativar o Windows de forma online ou pelo telefone, e trocar a

Configurao de rede no Windows 7

Logo depois de instalar o Windows 7, se foi detectada uma placa de rede,

Clique na opo para abrir a Central de Redes e Compartilhamento

Clique em Alterar as configuraes do adaptador e depois, clique na placa

Na caixa de dilogo das configuraes da placa de rede, role a lista e

Inicialmente, estar configurado para obter endereo automaticamente:

Mas, na falta de um servidor DHCP, e na impossibilidade de usar o

OBS: Para usar nas redes locais, internas, no visveis na Internet,

Marque as opes que deseja ativar. E clique em Salvar alteraes.

2.2 Instalao do Windows Server 2008

A instalao do Windows Server 2008, hoje, um procedimento muito

Observao: necessrio um processador Intel Itanium 2 para o

Observao: Computadores com mais de 16 GB de RAM precisam de

* Os requisitos reais variam com base na configurao de seu sistema e

Na tela seguinte, clique em Instalar agora

O processo de instalao inicia

Escolha que tipo de instalao deseja: Atualizar ou instalar nova verso

OBS: Se caso o disco do servidor no for reconhecido pelo Windows, ou

Aguarde at que esteja finalizado.

Assim que confirmada a alterao da senha do Administrador, o

Nesta tela temos atalhos para todas as configuraes iniciais desejadas.

Esta tela ir continuar aparecendo, at que marquemos a caixa de

Sempre que fecharmos esta janela, e depois quando iniciarmos o servidor

Viso Geral do Windows Server 2008

O Windows Server 2008 (atualmente na verso R2) a soluo Microsoft

Para criar uma exceo, ou verificar as atuais (para modificar, se for o

Veremos mais sobre o Windows Server 2008 nas lies seguintes.

Hoje em dia, logo depois de instalar o Windows, ele no possui nenhuma

Para adicionar uma Funo, clique na opo Funes no menu da

Para adicionar funo, clique na opo Adicionar funes que aparece na

Dentro das roles mais usadas, aqui veremos duas:

Depois de adicionada esta funo, podemos usar o Gerenciador de

Depois de adicionada esta funo, podemos usar o Gerenciador de

Clicando em Adicionar recursos, iniciado um assistente. Veja na tela

Criao de usurios e grupos locais

Para criar usurios ou grupos, expanda a opo Usurios e Grupos

Se desejar, possvel digitar nome completo, descrio, alm de

Abaixo, a tela com as propriedades de uma conta de usurio local no

Outra forma de criar e gerenciar usurios no Windows 7 pelo Painel de

Clique em Contas de Usurio e Segurana Familiar para ter acesso aos

Clique em adicionar ou remover contas de usurio

Para alterar uma conta, clique sobre ela.

Configure a conta dando a ela um nome e definindo se ela ser uma

Podemos tambm alterar o tipo de conta:

Ou ainda definir caractersticas do UAC para conta do usurio logado

OBS: Saiba mais... O que UAC?

E estes abaixo so os grupos internos do Windows Server 2008:

Estes grupos so administrados como outro qualquer, podendo inserir e

Digite o nome do grupo e, se desejar, j insira novos membros ao grupo:

Posteriormente, podemos administrar estes grupos, clicando com o boto