Patrícia Matos, Maicon Pinto, Thiago Lemos

O projeto foi desenvolvido para aplicar os conhecimentos adquiridos durante treinamento

sobre as ferramentas do Windows Server 2003. Utilizamos todas ferramentas que
encontramos necessidade em nosso projeto, que teve como princípio a projeção de uma
empresa fictícia.

Este projeto, necessário como projeto de conclusão do programa S2B (Students To

Bussiness), foi desenvolvido em um ambiente virtual. Neste ambiente, dispomos de apenas
uma máquina cliente e uma máquina servidor, para nelas realizarmos configurações do
aprendizado prático de conteúdo que foi ensinado durante o treinamento.

Como parte obrigatória e fundamental deste projeto, foi criado o domínio Adna.mpt. A
origem do nome adna é fictícia, porém o nome mpt vem dos integrantes participantes do
projeto: Maicon, Patrícia e Thiago. É com toda base neste domínio que iremos configurar
toda nossa estrutura para que seja capaz de rodar os serviços que serão descritos nos tópicos a
seguir.

O projeto é baseado na seguinte topologia: Possui um servidor onde está ligado dois
switches. Neles estão conectados todos os computadores, onde há uma divisão estrutural
lógica, separando a administração (membros do Grupo Responsáveis) da sala dos
funcionários (membros do Grupo Func).

Utilizamos também como topologia de rede, a topologia em estrela. O servidor, possui

conexões com a entrada de facilidades do prédio, onde supostamente vem a conexão WAN, e
possui conexões a rede interna, oferecendo serviços. Utilizamos de switches não-gerenciáveis
(por não haver necessidade). Cada máquina cliente, possui uma única placa de rede com o
computador já configurado para acesso somente ao domínio Adna.mpt.
 Para o serviço do Active Directory, foram criados 2 Grupos e 4 Unidades Organizacionais
e 6 usuários. Os usuários criados são os seguintes, em suas respectivas Unidades
Organizacionais:

Além destes usuários, foram criados mais 2 usuários para uso de Template com algumas
configurações já pré-definidas. Estes usuários estão com algumas configurações como
Grupos já configurados, também estão desativados para evitar que se façam uso deles no
logon da rede. Estes usuários são:

Para todos estes usuários, foram criados 4 Unidades Organizacionais. Com estas unidades
Organizacionais, foram criadas GPOs (Group Policy Objects, tendo como tradução "Objetos
de Diretiva de Grupo") para aplicação de permissões de usuários, que serão explicadas no
próximo tópico.
 As Unidades Organizacionais tem os seguintes objetivos e foram criadas para conter
membros específicos de cada setor da empresa. Eles estão descritos abaixo conforme a
Unidade Organizacional respectiva.

• Dono: Unidade Organizacional que possui como membros, os donos da empresa de

uma forma geral.

• Gerente: Têm como membros, usuários de alto nível da empresa que devem possuir
um controle administrativo tão similar como os Donos da Empresa.

• Funcionários: Possui todos os funcionários da empresa de um modo geral.

• Estagiários: Uma Unidade Organizacional específica um setor da empresa

específico de Estagiários. Contendo em suas GPOs permissões mais restritas, sendo
filha da Unidade Organizacional Funcionários.

Os grupos criados contém como membros, seus respectivos usuários para controle de
permissão em pastas e acesso remoto a rede via VPN. Os grupos são:

Estes grupos agrupam de forma geral os usuários de acordo com seus níveis de permissões.
Os usuários membros de cada grupo, estão descritos abaixo, de acordo com seu respectivo
grupo.

• Func: Possui como membros todos os usuários das Unidades Organizacionais

Funcionários e Estagiário. É o grupo definido como padrão para os funcionários da
rede. Todos com as mesmas permissões que são aplicadas sobre o grupo.

• Responsáveis: Este grupo tem como membros todos os usuários administrativos da

empresa e suas respectivas permissões aplicadas sobre o grupo. Os usuários deste
grupo pertencem as Unidades Organizacionais Dono e Gerente .
 Para a organização das Unidades Organizacionais foram criadas 4 GPOs. As GPOs são
aplicadas para diferentes Unidades Organizacionais, respeitando a hierarquia da empresa.
Abaixo apresentamos as configurações de GPOs de forma geral.

• WSUS: Esta diretiva é aplicada a todos os membros do domínio. Em suas

configurações, foram aplicadas as seguintes diretivas:

1. Configuração do endereço IP padrão do servidor: Permite que todos os

computadores ligados a rede recebam as atualizações do Windows através do
endereço IP do servidor mencionado.

• Restrição do gerente: Aplicada somente a Unidade Organizacional Gerente. Para

membros desta Unidade Organizacional, foram aplicadas as seguintes medidas:

1. Bloqueada o rastreamento do usuário, para que haja maior privacidade dos

usuários.
2. Bloqueada a opção Propriedades dos Meus Documentos, evitando qualquer
tipo de erro relacionado a esta pasta.
3. Instalação automática do sistema de cópias de sombra, por ser a única
Unidade Organizacional a utilizar o sistema, será a única que terá controle de
versão.

• Restrição funcionários: Aplicada somente a Unidade Organizacional Funcionários e

seus filhos. As diretivas adotadas são:

1. Restringidos as opções de personalização da aba Internet Explorer,

havendo assim uma padronização entre todos os computadores;
2. A execução do Windows Messeger foi bloqueada, assim o usuário mantem o
foco no serviço.
3. Acesso ao Painel de Controle foi definido com o parâmetro restrito, para
evitar que o funcionário desinstale ou instale programas no computador e/ou
mude as configurações do mesmo.

• Restrição estagiários: Aplicada à Unidade Organizacional Estagiários.

1. Restringindo as opções de personalizar pesquisa e autocompletar senha
no Internet Explorer, para maior segurança dos usuários.
2. Bloqueando as configurações que permitem personalizar da Área de
Trabalho, para manter o padrão e evitar possíveis erros.
3. Impossibilitando a exclusão de impressoras.

A Unidade Organizacional Dono não possui restrições, pois mantêm a hierarquia da

empresa, onde ocupa o topo, logo, não há restrições.
 Foram definidas configurações de backup. Os backups foram definidos
nos compartilhamentos do volume E. Três tipos de backups foram utilizados e distribuidos
em dias alternados. Os backups foram organizados da seguinte forma para conseguir obter
um melhor desempenho no servidor:

Domingo Segunda Terça Quarta Quinta Sexta Sábado

07:00 Incremental Incremental Normal Incremental Incremental
15:00 Diferencial Incremental Incremental Diferencial Incremental

Os tipos de backups utilizados são os seguintes:

• Diferenciais: Estas são copiadas com todas as modificações a partir do último

backup normal. Para melhor distribuição e garantir uma rápida restauração. É salvo
num arquivo chamado backup-diferencial.bkf no volume E.
• Incrementais: São cumulativas em relação ao backup Normal. Também foram
ajustadas para facilitar a restauração de backups. É salvo num arquivo chamado
backup-incremental.bkf no volume E.

• Normais: São os backups completos. Utilizamos somente uma vez por semana, para
não ficar com uma carga muito pesada. É salvo num arquivo chamado backup-
normal.bkf no volume E.
 Para trabalhar em conjunto com o WSUS, foi criado a GPO WSUS que atribuída a todo o
domínio, permite que todos os computadores tenham as atualizações baixadas diretamente do
servidor local, sem gastar tráfego WAN.
 A diretiva de segurança foi definida em todo o domínio em conjunto com a diretiva padrão
do domínio.
 DFS baseia-se na agregação de compartilhamentos em uma única pasta. Para este projeto,
instalamos e configuramos o serviço de DFS. Como não dispomos de dois servidores para
nosso projeto, utilizamos de dois compartilhamentos criados no próprio servidor. Ambos
compartilhamentos estão localizados na Raiz da unidade padrão do sistema operacional.

A configuração do DFS se deu através da criação de uma pasta nomeada DFS na unidade
Raiz. Ela está compartilhada na rede com o nome de Geral. E possui em seu interior,
agregação dos outros dois compartilhamentos que o servidor faz, estes chamados de Gerente
e Peao, e nomeados em uma pasta com os nomes, respectivamente, Gerente e Peão.

Os compartilhamentos tem as permissões de seus compartilhamentos definidas da seguinte

maneira:

• \\adna.mpt\pública: Este compartilhamento é o compartilhamento pertencente ao

serviço de DFS que realiza a distribuição das pastas compartilhadas agregadas. Para
esta pasta, todas as permissões estão padrão, tanto as permissões baseadas no próprio
compartilhamento, como as de segurança do NTFS. Como as configurações do
compartilhamento em si não foram alteradas, somente é possível a permissão de
Leitura destas pastas, assim sendo, conseguimos evitar que usuários criem pastas
alheias no compartilhamento principal, forçando-os a criarem estas pastas somente
em seus respectivos compartilhamento de acesso.
• \\adna.mpt\peão: Está definido de maneira básica, permitindo somente que usuários
do grupo Func consigam obter acesso ao compartilhamento. Como o acesso público
a estas pastas será feita somente pela rede, não há porque alterar as permissões de
segurança do NTFS da pasta, somente as permissões do compartilhamento já
atendem nossas exigências.
• \\adna.mpt\gerente: Partindo do mesmo princípio do item anterior, definimos
somente acesso aos usuários do grupo Responsáveis. As configurações de segurança
do NTFS continuam as mesmas para o compartilhamento.
 A opção de acessar arquivos off-line estando fora da rede, é um meio de acessibilidade
muito bom tratando-se de pessoas que fiquem viajando e necessitam acessar seus dados sem
estar no local. Pensando nesta possibilidade, a opção de permitir arquivos off-lines foi ativada
no compartilhamento da pasta Gerente. Como nesta pasta somente terão acessos os usuários
do grupo Responsáveis, o mais alto nível da hierarquia da empresa, então foi automatizado o
processo para que eles tenham sempre acesso a seus conteúdos off-line sem nenhuma
preocupação.
 Foi executado a configuração do serviço de DNS através das ferramentas administrativas.
Por já haver o endereço ip estático no servidor, foi seguido a configuração padrão:

• Criar uma zona de pesquisa direta: Escolhemos esta opção por que não temos uma
grande empresa e nem somos usuários avançados ainda para configurar as dicas de
raiz.
• Este servidor mantém a zona para o local do servidor primário.
• Nome da zona: Nomeamos esta zona como Adna.mpt de origem fictícia.
• Arquivo de zona: Utilizado nome padrão para o arquivo.
• Atualizações dinâmicas: Preferimos em caso de atualização fazermos isto
manualmente, impedindo que seja feito atualizações de origens não confiáveis,
marcando então a opção "Não permitir atualizações dinâmicas".

A configuração do serviço de DHCP se dá através das principais configurações. O serviço

foi instalado e foi configurado com as seguintes configurações abaixo, note que o endereço IP
do servidor é fixo e se dá por 192.168.1.1.

• Escopo dos endereços: Foi utilizado como escopo para nossa pequena empresa, a
faixa de endereços IPs de 192.168.1.1 até 192.168.1.254. Com esta faixa,
 conseguimos atender a necessidade de 254 máquinas dentro de nosso domínio,
considerando que nossa empresa, é uma empresa de pequeno porte.
• Endereços reservados para não-uso: Restringimos ao serviço DHCP de distribuir o
endereço 192.168.1.1, pois este endereço IP é o endereço do servidor. Mesmo
sabendo que o IP do servidor é definido estaticamente, abrangimos ele dentro do
escopo para que fosse possível a demonstração da ferramenta.
• Máscara da rede: Foi utilizado uma máscara de Classe C, configurada como
255.255.255.0. Usamos justamente esta máscara de rede, por ser a mais apropriada
para empresas de pequeno porte e redes onde não haverá muitos computadores.
• Gateway padrão: O gateway padrão definido foi o próprio servidor, pois nele há o
serviço de roteamento ativado que será explicado num tópico mais a frente. Definido
como 192.168.1.1.
• Servidor de DNS: Utilizamos somente de um servidor de DNS, que é o próprio
servidor. Definido como 192.168.1.1.
• Servidor WINS: Não foi configurado pois não há necessidade de sua utilização na
rede.

Nas configurações de diretivas de segurança do controlador de domínio foram deixadas as

configurações padrões, já que este não exige maior segurança. armazenamento.

• Configuração de Segurança do Controlador de domínio

Já nas configurações de segurança do domínio foram alteradas: aplicação de

armazenamento de senhas usando criptografia reversível, comprimento mínimo de senha
modificado para 8 e o tempo máximo de vida para 12 dias.

• Configuração de Segurança do Domínio

 Instalado e configurado o MBSA para corrigir possíveis erros de segurança, aplicativos e
atualizações críticas dos sistemas utilizados na empresa. Em configuração avançada, foi
alterado o arquivo NoExpireOk.txt (localizado na pasta do MBSA) para que os usuários
Administrador, tfl e mal não sejam detectados ao ser feita a análise devido à configuração de
suas senhas não expirarem.

Cópias de sombra são usadas para recuperar arquivos, rever versões anteriores. Isso
permite que versões anteriores de arquivos sejam recuperadas. A cada horário pré-
determinado ele cria a cópia das versões anteriores dos arquivos para que sejam feitas as
restaurações caos necessárias. Foi instalado o serviço de controles de versão de arquivos para
obter cópias de sombra do volume E. Configurado para todos os dias úteis, às 7:00 e às
12:00.
 Para permitir acesso dos computadores clientes à internet, o servidor foi configurado
como um roteador e gateway padrão da rede local. Foi ativado o serviço de roteamento entre
a porta de conexão local e a porta com conexão externa (WAN).
 Com esta configuração o servidor age como se fosse o roteador da rede, servindo como
escape para pacotes que não sejam voltados a sua rede. Isso permite que clientes conectem a
locais fora de sua rede. Também nestas mesmas configurações, foi permitido a configuração
de conexões VPN a rede. Membros do grupo Responsáveis podem conectar remotamente a
rede via VPN através do servidor, utilizando um link WAN.
 Problemas na execução na área de proteção contra falhas. Raid, não pode ser executado
devido a ausência de um segundo disco.