Windows Server 2008

Serviços adicionais de Rede

UFCD 0800
Tiago Santos Mota
Problema, solução e problema?
Problema: Instalar 50 máquinas recém compradas na empresa de forma rápida, segura
e 100% automatizada

Solução: Instalar sistema gerenciador que instala e configura o ambiente baseado em

serviços de imagens únicas

Problema: Qual ferramenta utilizar?

2
Ambiente de TI
Na visão sobre o problema devemos sempre levar em consideração
algumas variáveis:
O que será utilizado? Ferramenta,
Servidor, meio físico e lógico?
- Tecnologia implementada
Meu ambiente suporta a solução? É
preparado para isso? Não irá
- Ambiente disponível impactar em outro processo/serviço?

- Profissional graduado Meu profissional está pronto para

utilizar essa ferramenta? Ele conhece
o ambiente?
- Tempo
Quanto tempo ele levará para
entregar a solução?
- Comunicação
Mostrar para a empresa o que está
sendo feito, agregar valor ao trabalho
da TI
3
Conhecimento
ambiente/depto/profissional
•Ambiente: Toda a estrutura necessária para se
fornecer acesso a informações corporativas utilizando-
se segurança, disponibilidade, integridade e
confidencialidade para o usuário final.

•Departamento de TI: Conjunto de profissionais

que gerencia a informação que é criada/trafegada
pela empresa assim como o suporte a ela.

•Profissional: O RESPONSÁVEL por arquitetar, estudar,

escutar, descrever, criar, implementar, testar, desenvolver e
oferecer suporte a toda tecnologia criada ou oferecida.

4
Fundamentos

•Por que existem servidores?

•Para gerenciar a comunicação
entre diversos computadores e
serviços disponíveis
• Para disponibilizar recursos e
serviços para pequenos
computadores.

5
Fundamentos
•¬ Para que eles servem?
•Para gerenciar serviços e aplicativos
onde vários usuários/serviços
precisam ter acesso a partir de um
ponto único.
•Para publicar alguns serviços como
páginas web, serviços de correio,
banco de dados e gerenciamento
ERP
•.

6
 Fundamentos
•¬ Qual a diferença entre sistemas
autonomos e sistemas de rede?
•Sistemas autonomos são isolados, por
exemplo, softwares de gerência de serviços
que
• não fazem troca de acesso ou trafegam
informações para outros.
• Sistemas de rede são agregados, unidos
e fazem a troca de informações para
gerenciar serviços mais complexos e
disponibilizam tais dados para clientes
ou outros servidores.

7
Fundamentos
•¬ O que é um domínio?
• Um domínio é uma denominação onde se aplica um nome para uma família de recursos
• Quando um novo equipamento é adicionado a um domínio ele recebe um nome FQDN que significa NOME DA
MÁQUINA + NOME DO DOMÍNIO
•¬ O que é Active Directory?
• É o serviço que controla a criação / modificação / remoção de usuários, grupos, computadores, servidores,
contatos e entre outros recursos do domínio.
•¬ O que é DNS?
• É um serviço que descobre e traduz um IP em um nome de máquina, ele é necessário pra cada árvore de domínio
•¬ O que é DHCP?
• É um serviço que disponibiliza um IP único por placa de rede de equipamento, e com isso o equipamento
consegue se comunicar na rede interna.
8
Fundamentos
O primeiro servidor do Uma árvore de domínio é
domínio se chama Domain quando se tem mais de um
Controller servidor por domínio

Os servidores que entram Quando se adiciona mais de

logo após no domínio um domínio interligado
são servidores Membros temos uma nova floresta
CONTOSO.CORP

SP.CONTOSO.CORP RJ.CONTOSO.CORP
Ambiente
Foi convidado a trabalhar em uma empresa de 15 funcionários do
ramo contábilidade. Nessa empresa existe a seguinte estrutura:
Ambiente
Na sua análise do ambiente foi encontrado o seguinte:

11
Ambiente – Problemas Diretos
•Nossos problemas diretos nos são apresentados pelos sócios da empresa, portanto uma visão do problemas
diretos.
•Vamos rever os problemas?

•As máquinas comunicam umas com as outras e transferem muitos documentos importantes, além de músicas e
apresentações sem conteúdo corporativo.

•As pastas de documentos importantes do financeiro são acessíveis por qualquer funcionário assim como sua cópia
e modificação dos mesmos

• Durante uma crise da empresa vários funcionários sabiam da decisão de corte de

•ativos antes mesmo dos sócios divulgarem os resultados.

•Não existem modelos de diretivas nas máquinas, todos fazem o que querem, e instalam várias ferramentas sem
permissão para tal.

12
Ambiente – Problemas
Indiretos
Sua visão analítica indica problemas indiretos e que podem acontecer a qualquer momento.
Quais são eles?

1As máquinas comunicam umas com as outras e transferem muitos documentos importantes, além de
músicas e apresentações sem conteúdo corporativo.
Existe a possibilidade de transferência de vírus? Acessos indevidos a arquivos, apagamento ou
modificação intencional ou não?

2 As pastas de documentos importantes do financeiro são acessíveis por qualquer funcionário

assim
como sua cópia e modificação dos mesmos.
Quem deve acessar os arquivos? existe hierarquia da empresa e no departamento?

3Durante uma crise da empresa vários funcionários sabiam da decisão de corte de ativos antes mesmo
dos sócios divulgarem os resultados.
Existe possibilidade de vazamento de informação? É possível que alguém tenha modificado os arquivos
para benefício próprio? Existe acesso às informações dos clientes?

4Não existem modelos de diretivas nas máquinas, todos fazem o que querem, e instalam várias
ferramentas sem permissão para tal.
É possível bloquear essa ação? Controlar quem pode fazer o que?

13
Ambiente
•Para resolver os nossos problemas precisamos conhecer as
possibilidades, vamos dividir o problema?

• 1- Desenhar um novo ambiente

• 2- Instalar um ou dois servidores
• 3- Denominar usuários de acesso para cada um
• 4- Criar grupos de controle de acesso
• 5- Criar um servidor de arquivos para controle de acesso 6-
Aplicar regras de controle de acesso
• 7- Bloquear a ação de funcionários mal intencionados

14
Ambiente – Novo desenho
1- Desenhar um novo ambiente
1 Adicionado um servidor
de autenticação de domínio

2 Adicionado um servidor
de arquivos

15
Ambiente – Novo desenho
1 Qual versão do Windows vamos usar?
1 -A versão do Windows que devemos utilizar precisa contemplar um serviço
estável, que possa gerenciar mais de 15 funcionários, suportar acessos
simultâneos, disponibilidade, confidencialidade, integridade e crescimento
esperado para os próximos anos.

2 - Deve suportar a adição de novas máquinas, usuários e suporte a

ferramentas de gerenciamento de políticas de máquinas, gerenciamento de
usuários e gerenciamento de arquivos

conhece as versões do Windows Server?

Ambiente – Servidor
instalado
Quando precisamos controlar um novo ambiente, é recomendado que
seja feita a instalação de novas ações de controle.
No Windows Server 2008, as ações são divididas em duas partes:

REGRAS: As regras (Roles) são as modificações mais pesadas do servidor, por

causa dela o servidor pode ser muito bem diferenciado dos demais suportando
aplicações específicas como website, correio, banco de dados ou ERP’s.

RECURSOS: Os recursos (Features) são as menores modificações do ambiente

que servem para habilitar ou desabilitar opções específicas das regras
disponíveis.

17
Regras
disponíveis
•ADUC – Active Directory Users and Computers
•Regra de controle de criação / modificação /
remoção de usuários, grupos, computadores,
servidores, contatos e entre outros recursos do
domínio.

•ADSS – Active Directory Sites and Services

•Regra de comunicação entre servidores de
domínio e entre árvores de domínio.

•ADRMS – Active Directory Right Management

Services
•Regra de segurança de ações definidas
internamente, serve para controle das
informações geradas.

18
Regras disponíveis

•ADCS – Active Directory Certificate Services

•Serviço de gerência de certificados de segurança
aplicados internamente no domínio

•ADFS – Active Directory Federation Services

•Serviço de controle de usuários que não precisam
ser autenticados na
•rede interna.

•DCRO – Domain Controller Read Only

•Controlador de domínio que não faz a modificação
de recursos
•internos, é responsável apenas para autenticação
dos mesmos.

•DNS – Domain Name Services

•Serviço de tradução de nomes de computador em IP
e vice-vesa.

19
Regras
disponíveis
•DHCP – Dynamic Hosts Control Protocol
•Serviço de publicação de IPs disponíveis no
domínio para equipamentos

•IIS – Internet Information Services

•Serviço de publicação de páginas Web para
publicação interna ou
•externa

•WDS – Windows Deployment Services

•Serviço de publicação de Sistemas operacionais
disponibilizados
•automaticamente pelo domínio

•DFSR – Domain File Services Replication

•Serviço de controle de serviços de servidores de
arquivos

20
 •RDP – Remote Desktop Protocol (antigo TSWeb)
Regras Serviço de acesso remoto para publicação de
desktops

disponíveis •WSUS – Windows Server Update Services

•Serviço de atualizações de segurança para o domínio

21
Ambiente – Definição
Ambiente: Baseado nos seus conhecimentos a versão selecionada foi o Windows Server
2008 Standard pois é recomendado para pequenas e médias empresas para suportar os
principais serviços de regras disponíveis. Ela oferece a estabilidade dos sistemas que .
precisa mas com limitação de alguns recursos.

Regras: As regras implementadas serão Active Directory para controle dos usuários, DNS
para resolver nomes de máquinas, DHCP para distribuir IPs e File server para gerenciar os
recursos de arquivos.
Ambiente – Prática 1
Na primeira prática podemos escolher:

- Instalar um novo servidor (30 Minutos)

- Utilizar um servidor já instalado ( 15 Minuto)

23
Ambiente – Novo servidor
Ambiente – Aperfeiçoamentos
•É possível liberar o mesmo tamanho da memória de um servidor Windows Server 2008
com uma simples linha de comando, já que servidores não precisam ter a hibernação
ativada (e a mesma é ativada por padrão) o comando é o seguinte:

• powercfg -h off

•Reinicie o servidor e o espaço estará disponível.

25
Ambiente – Prática 2
Faremos a instalação da regra de Active Directory e seus recursos,
assim como a promoção do primeiro servidor de domínio, chamado
Domain Controller

Cada servidor deve ser denominado assim:

Nome do servidor: DCBRBH01

Nome do domínio: MINHAEMPRESA.corp
Usuário: Administrator
Senha: Az12345

Caracteres inválidos:
Acentuação: á é í ó ú ã õ â ê ô û à
Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % ¨ & *
Espaço: “ ”

26
Ambiente –
Solução O que já foi desenvolvido na solução dos nossos problemas?

1- Desenhar um novo ambiente

2- Instalar um ou dois servidores
3- Denominar usuários de acesso para cada um
4- Criar grupos de controle de acesso
5- Criar um servidor de arquivos para controle de acesso
6- Aplicar regras de controle de acesso
7- Bloquear a ação de funcionários mal intencionados

27
Ambiente – Prática 2
•Faremos a instalação das regras de:

• Active Directory (ADDS, Group Policies)

• DNS
• DHCP

•Com isso poderemos começar a comunicar no novo domínio e controlar o acesso dos
usuários e máquinas.

28
Fundamentos
•O Active Directory surgiu da necessidade de se ter um único diretório, ou seja, ao invés do usuário ter uma senha para acessar o
sistema principal da empresa, uma senha para ler seus e-mails, uma senha para se logar no computador, e várias outras senhas,
com a utilização do AD, os usuários poderão ter apenas uma senha para acessar todos os recursos disponíveis na rede. Podemos
definir um diretório como sendo um banco de dados que armazena as informações dos usuários.

•O AD surgiu juntamente com o Windows 2000 Server. Objetos como usuários, grupos, membros dos grupos, senhas, contas de
computadores, relações de confiança, informações sobre o domínio, unidades organizacionais, entre outros, ficam armazenados no
banco de dados do AD.

•Além de armazenar vários objetos em seu banco de dados, o AD disponibiliza vários serviços, como: autenticação dos usuários,
replicação do seu banco de dados, pesquisa dos objetos disponíveis na rede, administração centralizada da segurança utilizando
GPO, entre outros serviços. Esses recursos tornam a administração do AD bem mais fácil, sendo possível administrar todos os
recursos disponíveis na rede centralizadamente.

•Para que os usuários possam acessar os recursos disponíveis na rede, estes deverão efetuar o logon. Quando o usuário efetua
logon, o AD verifica se as informações fornecidas pelos usuários são válidas e faz a autenticação, caso essas informações sejam
válidas.

29
Fundamentos
•O AD é organizado de uma forma hierárquica, com o uso de domínios. Caso uma rede utilize o AD, poderá conter vários domínios.
Um domínio é nada mais do que um limite administrativo e de segurança, ou seja, o administrador do domínio possui permissões
somente no domínio, e não em outros domínios. As políticas de segurança também se aplicam somente ao domínio, e não a outros
domínios. Resumindo: diferentes domínios podem ter diferentes administradores e diferentes políticas de segurança.

•Ao utilizar os domínios baseados no AD, temos os seguintes recursos:

•Logon único : com esse recurso, o usuário necessita fazer apenas um logon para acessar os recursos em diversos servidores da
rede, inclusive e-mail e banco de dados.

•Conta de usuário única : os usuários possuem apenas um nome de usuário para acessar os recursos da
•rede. As contas de usuários ficam armazenadas no banco de dados do AD.

•Gerenciamento centralizado : com os domínios baseados no AD, temos uma administração centralizada. Todas as informações sobre
contas de usuários, grupos e recursos da rede, podem ser administradas a partir de um único local no domínio.

•Escalonabilidade : os domínios podem crescer a qualquer momento, sem limite de tamanho. A forma de
•administração é a mesma para uma rede pequena ou grande.

30
Fundament
os
Nos domínios baseados no AD, podemos ter dois tipos de servidores:

Controlador de Domínio (DC – Domain Controller) : é o computador que possui o AD instalado, ou seja,
é um servidor que possui uma cópia da base de dados do AD. Em um mesmo domínio podemos ter mais
de um Controlador de Domínio. As alterações efetuadas em um DC são replicadas para todos os outros
DC’s. São os DC’s quem fazem a autenticação dos usuários de um domínio.

Servidor Membro (Member Server) : é um servidor que não possui uma cópia do AD, porém tem acesso
aos objetos do AD. Não fazem a autenticação dos usuários.
Os domínios do Windows 2000 podem estar nos seguintes modos:

Native (Nativo) : utilizado em domínios que possuem somente Controladores de Domínio (DC) Windows
2000.

Mixed (Misto) : utilizado em domínios que possuem Controladores de Domínio (DC) Windows 2000 e
Windows NT.
Para a instalação do AD é necessário que o serviço DNS esteja disponível, ou seja, é um pré-requisito
para a instalação do AD. O AD utiliza o DNS para a nomeação de servidores e recursos, e também para
resolução de nomes. Caso o serviço DNS não esteja disponível na rede durante a instalação do AD,
poderemos instalá-lo durante a instalação do AD.

31
Fundamentos
Com a utilização de domínios, podemos fazer com que nossa rede reflita a estrutura de uma empresa.
Quando utilizamos vários domínios temos o conceito de relação de confiança. A relação de confiança
permite que os usuários de ambos os domínios acessem os recursos localizados nesses domínios. No
Windows 2008, as relações de confianças são bidirecionais e transitivas, ou seja, se o domínio X confia no
domínio Y, e Y confia no domínio W, o domínio X também confia no domínio W.

Algumas características próprias de cada domínio:

Um domínio armazena informações somente dos objetos do próprio domínio.

Um domínio possui suas próprias diretivas de segurança.

32
Ambiente
– Instalar
Active
Directory

44
Fundamentos
DNS é a abreviatura de Domain Name System. O DNS é um serviço de resolução de nomes. Toda comunicação entre os
computadores e demais equipamentos de uma rede baseada no protocolo TCP/IP (e qual rede não é baseada no
protocolo TCP/IP?) é feita através do número IP. Número IP do computador de origem e número IP do computador de
destino. Porém não seria nada produtivo se os usuários tivessem que decorar, ou mais realisticamente, consultar uma
tabela de números IP toda vez que tivessem que acessar um recurso da rede. Por exemplo, .ê digita
http://www.microsoft.com para acessar o site da Microsoft no Brasil, sem ter que se preocupar e nem saber qual o
número IP do servidor onde está hospedado o site da Microsoft Brasil. Mas alguém tem que fazer este serviço, pois
quando digita http://www.microsoft.com o protocolo TCP/IP precisa “descobrir” (o termo técnico é resolver o nome)
qual o número IP está associado com o endereço digitado. Se não for possível “descobrir” o número IP associado ao
nome, não será possível acessar o recurso desejado.

O papel do DNS é exatamente este, “descobrir”, ou usando o termo técnico, “resolver” um determinado nome, como
por exemplo http://www.microsoft.com Resolver um nome significa, descobrir e retornar o número IP associado com o
nome. Em palavras mais simples, o DNS é um serviço de resolução de nomes, ou seja, quando o usuário tenta acessar um
determinado recurso da rede usando o nome de um determinado servidor, é o DNS o responsável por localizar e retornar
o número IP associado com o nome utilizado. O DNS é, na verdade, um grande banco de dados distribuído em milhares
de servidores DNS no mundo inteiro.

O DNS passou a ser o serviço de resolução de nomes padrão a partir do Windows 2000 Server. Anteriormente, com o NT
Server 4.0 e versões anteriores do Windows, o serviço padrão para resolução de nomes era o WINS – Windows Internet
Name Service . Versões mais antigas dos clientes Windows, tais como Windows 95, Windows 98 e Windows Me ainda
são dependentes do WINS, para a realização de determinadas tarefas. O fato de existir dois serviços de resolução de
nomes, pode deixar o administrador da rede e os usuários confusos.

34
Fundamentos
Ao tentar acessar um determinado recurso, usando o nome de um servidor, é como se o programa que . está
utilizando perguntasse ao DNS:

“DNS, . sabe qual o endereço IP

associado com o nome tal?”

O DNS pesquisa na sua base de dados ou envia a pesquisa para outros servidores DNS (dependendo de como foram
feitas as configurações do servidor DNS, conforme descreverei mais adiante). Uma vez encontrado o número IP, o DNS
retorna o número IP para o cliente:

“Este é o número IP associado com o

nome tal.”

35
Ambiente – Promover o servidor / DNS

47
Fundamentos
O DHCP é composto de diversos elementos. O servidor DHCP e os clientes DHCP. No servidor DHCP são criados Dominios
e definidas as configurações que os clientes DHCP irão receber. A seguir apresento uma série de termos relacionados ao
DHCP. Estes termos serão explicados em detalhes até o final desta lição.

Servidor DHCP: É um servidor com o Windows 2000 Server ou com o Windows Server 2003, onde foi instalado e
configurado o serviço DHCP. Após a instalação de um servidor DHCP ele tem que ser autorizado no Active Directory,
antes que ele possa, efetivamente, atender a requisições de clientes. O procedimento de autorização no Active
Directory é uma medida de segurança, para evitar que servidores DHCP sejam introduzidos na rede sem o
conhecimento do administrador. O servidor DHCP não pode ser instalado em um computador com o Windows 2000
Professional, Windows XP Professional ou Windows Vista.

Cliente DHCP: É qualquer dispositivo de rede capaz de obter as configurações do TCP/IP a partir de um servidor DHCP.
Por exemplo, uma estação de trabalho com o Windows 95/98/Me, Windows NT Workstation 4.0, Windows 2000
Professional, Windows XP, Windows Vista, uma impressora com placa de rede habilitada ao DHCP e assim por diante.

Desígnio: Um Dominio é o intervalo consecutivo completo des endereços IP possíveis para uma rede (por exemplo, a
faixa de 10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0). Em geral, os Dominios definem uma única
sub-rede física, na rede na qual serão oferecidos serviços DHCP. Os Dominios também fornecem o método principal
para que o servidor gerencie a distribuição e atribuição de endereços IP e outros parâmetros de configuração para
clientes na rede, tais como o Default Gateway, Servidor DNS e assim por diante.

37
Fundamentos
SuperDominio: Um superDominio é um agrupamento administrativo de Dominios que pode ser usado para oferecer
suporte a várias subredes IP lógicas na mesma subrede física. Os superDominios contêm somente uma lista de
Dominios associados ou Dominios filho que podem ser ativados em conjunto. Os superDominios não são usados para
configurar outros detalhes sobre o uso de Dominio. Para configurar a maioria das propriedades usadas em um
superDominio, precisa configurar propriedades de cada Dominio associado, individualmente. Por exemplo, se todos os
computadores devem receber o mesmo número IP de Default Gateway, este número tem que ser configurado em
cada Dominio, individualmente. Não tem como fazer esta configuração no SuperDominio e todos os Dominios (que
compõem o SuperDominio), herdarem estas configurações.

Intervalo de exclusão: Um intervalo de exclusão é uma sequência limitada de endereços IP dentro de um Dominio,
excluído dos endereços que são fornecidos pelo DHCP. Os intervalos de exclusão asseguram que quaisquer endereços
nesses intervalos não são oferecidos pelo servidor para clientes DHCP na sua rede. Por exemplo, dentro da faixa
10.10.10.100 a 10.10.10.150, na rede 10.10.10.0/255.255.255.0 de um determinado Dominio, . pode criar uma faixa
de exclusão de 10.10.10.120 a 10.10.10.130. Os endereços da faixa de exclusão não serão utilizados pelo servidor
DHCP para configurar os clientes DHCP.

Pool de endereços: Após definir um Dominio DHCP e aplicar intervalos de exclusão, os endereços remanescentes
formam o pool de endereços disponíveis dentro do Dominio. Endereços em pool são qualificados para atribuição
dinâmica pelo servidor para clientes DHCP na sua rede. No nosso exemplo, onde temos o Dominio com a faixa
10.10.10.100 a 10.10.10.150, com uma faixa de exclusão de 10.10.10.120 a 10.10.10.130, o nosso pool de endereços é
formado pelos endereços de 10.10.10.100 a 10.10.10.119, mais os endereços de 10.10.10.131 a 10.10.10.150.

38
Fundamentos
Concessão: Uma concessão é um período de tempo especificado por um servidor DHCP durante o qual um
computador cliente pode usar um endereço IP que ele recebeu do servidor DHCP (diz-se atribuído pelo servidor
DHCP). Uma concessão está ativa quando ela está sendo utilizada pelo cliente. Geralmente, o cliente precisa renovar
sua atribuição de concessão de endereço com o servidor antes que ela expire. Uma concessão torna-se inativa quando
ela expira ou é excluída no servidor. A duração de uma concessão determina quando ela irá expirar e com que
frequência o cliente precisa renová-la no servidor.

Reserva: . usa uma reserva para criar uma concessão de endereço permanente pelo servidor DHCP. As reservas
asseguram que um dispositivo de hardware especificado na subrede sempre pode usar o mesmo endereço IP. A
reserva é criada associada ao endereço de Hardware da placa de rede, conhecido como MAC Address. No servidor
DHCP . cria uma reserva, associando um endereço IP com um endereço MAC. Quando o computador (com o
endereço MAC para o qual existe uma reserva) é inicializado, ele entre em contato com o servidor DHCP. O servidor
DHCP verifica que existe uma reserva para aquele MAC Address e configura o computador com o endereço IP
associado ao MAC Address. Caso haja algum problema na placa de rede do computador e a placa tenha que ser
substituída, mudará o MAC Address e a reserva anterior terá que ser excluída e uma nova reserva terá que ser criada,
utilizando, agora, o novo Mac-Address.

Tipos de opção: Tipos de opção são outros parâmetros de configuração do cliente que um servidor DHCP pode atribuir
aos clientes. Por exemplo, algumas opções usadas com frequência incluem endereços IP para gateways padrão
(roteadores), servidores WINS (Windows Internet Name System) e servidores DNS (Domain Name System).
Geralmente, esses tipos de opção são ativados e configurados para cada Dominio. O console de Administração do
serviço DHCP também permite a . configurar tipos de opção padrão que são usados por todos os Dominios
adicionados e configurados no servidor. A maioria das opção é predefinida através da RFC 2132, mas . pode usar o
console DHCP para definir e adicionar tipos de opção personalizados, se necessário.
39
Ambiente – Promover o servidor / DNS
51
Ambiente – Instalar DHCP
Ambiente –
Solução
O que já foi desenvolvido na solução dos nossos problemas?

1- Desenhar um novo ambiente

2- Instalar um ou dois servidores
3- Denominar usuários de acesso para cada um
4- Criar grupos de controle de acesso
5- Criar um servidor de arquivos para controle de acesso
6- Aplicar regras de controle de acesso
7- Bloquear a ação de funcionários mal intencionados

42
Active Directory - Segmentação
Para organização do ambiente é preciso criar novas pastas de gerência
e aplicação de regras, para isso, as Organizational Units (OU) ou
unidades organizacionais são criadas. Para o nosso ambiente faremos
a seguinte criação de estrutura organizacional:

Quando iniciarmos a criação de políticas de

controle das máquinas, temos que ter OU’s
separadas e organizadas.

43
Ambiente – Criar
Organizational
Units

56
Ambiente – Criação de usuários e grupos
Para começar a gerenciar a nossa rede, faremos a criação de usuários
e grupos do nosso domínio, para isso, crie as seguinte entidades:
Nome do usuário Senha Nome do grupo Membros
SOCIO1 Nice123 S-SOCIOS-RW SOCIO1, SOCIO2
SOCIO2 Nice123 S-SOCIOS-RO SOCIO3
SOCIO3 Nice123 S-FINAN-RW FINAN1, FINAN2
FINAN1 Nice123 S-FINAN-RO FINAN3
FINAN2 Nice123 S-USERS-RW USER1, USER2
FINAN3 Nice123 S-USERS-RO USER3
USER1 Nice123 S-TODOS-RW Seu usuário
USER2 Nice123
USER3 Nice123
Seu nome Nice123

45
Ambiente – Criar
usuários e grupos

58
Ambiente – Prática 3
Inserir computador no domínio:
Para inserir um computador no domínio, faça logon no cliente (XP)
com a conta administrativa abaixo e siga as instruções para inseri-lo.

Usuário: administrador
Senha: Az12345
Nome: PC01
Domínio: MINHAEMPRESA.CORP

Caracteres inválidos:
Acentuação: á é í ó ú ã õ â ê ô û à
Caracteres: ,: / ? ~ [ { ( = + ! @ # $ % ¨ & *
Espaço: “ ”

47
 Ambiente –
Inserir clientes no
domínio

60
 Ambiente –
Inserir clientes no
domínio

61
Ambiente – Aperfeiçoamentos

•Por padrão um domínio Windows 2000/2003/2008 colocam todos os usuários criados e computadores que se juntam ao domínio nos
containers Users e Computers, respectivamente.
•Se . quiser implantar políticas de grupo, isto é um problema, já que Conteiners não suportam a aplicação de políticas de grupo. Políticas de grupo
só podem ser aplicadas à Unidades Organizacionais. Como vimos no artigo sobre políticas de grupo, não é saudável aplicar politicas de grupo para
o domínio inteiro. Sendo assim, ou . move, manualmente ou via script, os usuário e computadores para a OU em que a política está aplicada ou
usa os comandos:

• redircmp para mudar o conteiner padrão onde novos computadores são criados.
• Sintaxe: redircmp ou=nome_da_ou,dc=dominio,dc=meu

• redirusr para mudar o conteirner padrão onde novos usuários são criados.
• Sintaxe: redirusr ou=nome_da_ou,dc=dominio,dc=meu

•Observações:
• Este comando só para a partir do Windows Server 2003.
• O Active Directory deve estar com o Domain Functional Level como Windows Server 2003

50
Ambiente –
Aperfeiçoamentos

63
Ambiente – Definição
O que já foi desenvolvido na solução dos nossos problemas?

1- Desenhar um novo ambiente

2- Instalar um ou dois servidores
3- Denominar usuários de acesso para cada um
4- Criar grupos de controle de acesso
5- Criar um servidor de arquivos para controle de acesso
6- Aplicar regras de controle de acesso
7- Bloquear a ação de funcionários mal intencionados

52
Prática 4 – Instalação File Server
File Services

•Os servidores de arquivos baseiam-se em duas gerências:

•Gerência de compartilhamento
•Quando compartilhamos uma pasta, estamos permitindo que o seu conteúdo seja acessado através da rede. Quando uma pasta
é compartilhada, os usuários podem acessá-la através da rede, bem como o todo o conteúdo da pasta que foi compartilhada.
Por exemplo, poderíamos criar uma pasta compartilhada onde seriam colocados documentos, orientações e manuais, de tal
forma que estes possam ser acessados por qualquer estação conectada a rede.

•Gerência de segurança
•Uma das principais vantagens de se utilizar segurança é que ele permite que sejam definidas permissões de acesso para
arquivos e pastas, isto é, posse ter arquivos em uma mesma pasta, com permissões diferentes para usuários diferentes. Além
disso, as permissões NTFS têm efeito localmente, isto é, mesmo que o usuário faça o logon no computador onde um
determinado arquivo existe, se o usuário não tiver as permissões NTFS necessárias, ele não poderá acessar o arquivo. Isso
confere um alto grau de segurança, desde que as permissões NTFS sejam configuradas corretamente.

54
File Services – Compartilhamento
IMPORTANTE: As permissões definem o que
Grupo: Permissão o usuário pode fazer com o conteúdo de
Socios: Acesso total uma pasta compartilhada, desde somente
Financeiro: Somente Leitura leitura, até um controle total sobre o
conteúdo da pasta compartilhada.

Acima está uma pasta compartilhada através da figura de uma "mãozinha" , segurando a pasta.

Importante: Permissões de compartilhamento, não impedem o acesso ao conteúdo da pasta localmente, isto é, se um
usuário fizer o logon no computador onde está a pasta compartilhada, este usuário terá acesso a todo o conteúdo da
pasta, a menos que as "Permissões NTFS" estejam configurados de acordo. Permissões NTFS é assunto para daqui a
pouco. Vamos falar de um jeito diferente: Permissões de compartilhamento somente tem efeito quando o usuário está
acessando a pasta através da rede, para acesso local, no próprio computador onde está a pasta, as permissões de
compartilhamento não tem nenhum efeito, é como se não existissem.

Ao criarmos um compartilhamento em uma pasta, por padrão o Windows 2008 Server atribui a permissão "Controle
total" para o grupo "Todos", que conforme o nome sugere, significa qualquer usuário com acesso ao computador, seja
localmente, seja pela rede. Por isso ao criar um compartilhamento, já devemos configurar as permissões necessárias, a
menos que estejamos compartilhando uma pasta de domínio público, onde todos os usuários possam ter Controle total
sobre os arquivos e subpastas da pasta compartilhada.

55
File Services – Compartilhamento
Existem três níveis de permissões de compartilhamento, conforme descrito a seguir:
Leitura: Permite ao usuário exibir a listagem de pastas e arquivos, ler o conteúdo de arquivos e executar programas. O
usuário também pode verificar os atributos dos arquivos e navegar através das pastas e subpastas. O usuário não pode
alterar nem eliminar arquivos ou pastas. Também não é permitido criar novos arquivos ou pastas.

OBS.: Pastas e arquivos possuem atributos, que o Windows 2008 Server utiliza para gerenciamento. Por exemplo,
existe um atributo "Leitura", que uma vez marcado torna o arquivo somente leitura, isto é, não podem ser feitas
alterações no arquivo. Para ver os atributos de um arquivo ou pasta, basta dar um clique com o botão direito do mouse
sobre o arquivo ou pasta, e no menu que surge dê um clique na opção "Propriedades", e o Windows 2000 Server exibe
uma janela onde é possível verificar e modificar os atributos do arquivo ou pasta, desde que o usuário tenha as
devidas permissões.

Alteração: Permite ao usuário criar pastas, criar novos arquivos, alterar arquivos, alterar os atributos dos arquivos,
eliminar arquivos e pastas, mais todas as ações para a permissão de Leitura. Não permite que sejam alteradas
permissões dos arquivos nem alterações no usuário "dono" dos arquivos e pastas.

OBS.: No Windows 2000 Server, objetos como pastas e arquivos possuem um "dono", o qual normalmente é o usuário
que cria a pasta ou arquivo. Falaremos mais sobre o dono do arquivo mais adiante.

Controle total: Permite ao usuário alterar as permissões dos arquivos e tornar-se dono de pastas e arquivos criados por
outros usuários, além de todas as ações para a permissão Alteração.

56
File Services –
Compartilhamento
Grupo: Permissão
Socios: Alteração
Financeiro: Somente Leitura
Qual o direito do usuário Socio1?
usuário: Socio1
Grupo: S-Socios-RW Alteração
Grupo: S-Socios-RO

O que acontece quando um usuário pertence a mais de um grupo??

Quando um usuário pertence, por exemplo, a dois grupos e os dois grupos recebem permissão para acessar um
compartilhamento, sendo que os dois grupos possuem permissões diferentes, por exemplo, um tem permissão de
Leitura e o outro de Alteração, como é que ficam as permissões do usuário que pertence aos dois grupos?

Para responder a esta questão, considere o seguinte: "Quando um usuário pertence a mais de um grupo, cada qual com
diferentes níveis de permissões para uma pasta compartilhada, o nível de permissão para o usuário que pertence a mais
de um grupo, é a combinação das permissões atribuídas aos diferentes grupos".

No nosso exemplo, o usuário pertence a dois grupos, um com permissão de somente leitura e outro com permissão de
alterações. A nível de permissão do usuário é de alterações, pois é a soma das permissões dos dois grupos

57
File Services –
Compartilhamento
Grupo: Permissão
Socios: Alteração
Financeiro: Somente Leitura
Especial: Negar leitura Qual o direito do usuário Socio1?
Socio1
Bloqueio a leitura
usuário: S-Socios-RW
Grupo: S-Socios-RO
Grupo:

Negar têm precedência sobre quaisquer outras permissões: Vamos considerar o

exemplo do usuário que pertence a três grupos. Se em um dos grupos ele tiver
permissão de leitura e em outro grupo permissão de alteração. Mas se para o
terceiro grupo, for "negado" o acesso à pasta compartilhada, o usuário terá o acesso
negado, uma vez que "Negar" tem precedência sobre quaisquer outras permissões,
conforme indicado

58
File Services – Segurança

•Um sistema de arquivos determina a maneira como o Windows 2008 Server organiza e recupera as informações no Disco rígido ou em outros tipos
de mídia. O Windows 2008 Server reconhece os seguintes sistemas de arquivos: FAT / FAT32 / NTFS / NTFS 5

•O sistema FAT vem desde a época do bom e velho MS-DOS e tem sido mantido por questões de compatibilidade. Além disso se . tiver instalado
mais de um Sistema Operacional no seu computador, alguns sistemas mais antigos (DOS, Windows 3.x e as primeiras versões do Windows 95)
somente reconhecem o sistema FAT. Com o sistema de arquivos FAT, a única maneira de restringir o acesso ao conteúdo de uma pasta
compartilhada, é através das permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário
estiver logado localmente, na máquina onde a pasta foi criada. Com a utilização do sistema FAT, alguns recursos avançados, tais como compressão,
criptografia, auditoria e definição de cotas não estarão disponíveis.

•O sistema FAT32 apresenta algumas melhorias em relação ao sistema FAT. Existe um melhor aproveitamento do espaço no disco, com
consequentemente menor desperdício. Um grande inconveniente do sistema FAT32 é que ele não é reconhecido pelo Windows NT 4.0 – Server ou
Workstation. Com o sistema de arquivos FAT32, a única maneira de restringir o acesso ao conteúdo de uma pasta compartilhada, é através das
permissões de compartilhamento, as quais, conforme descrito anteriormente, não terão nenhum efeito se o usuário estiver logado localmente, na
máquina onde a pasta foi criada. Com a utilização do sistema FAT32, alguns recursos avançados, tais como compressão, criptografia, auditoria e
definição de cotas não estarão disponíveis.

59
File Services – Segurança

•O sistema de arquivos NTFS foi utilizado no Windows NT Server 4.0 e foi mantido no Windows 2000 Server por questões de compatibilidade. Desde
então os as versões 2003 e 2008 mantêm ac compatibilidade e aumentam o controle. É um sistema bem mais eficiente do que FAT e FAT32, além de
permitir uma série de recursos avançados, tais como:

• Permissões de acesso para arquivos e pastas

• Compressão

• Auditoria de acesso

• Partições bem maiores do que as permitidas com FAT e FAT32

• Desempenho bem superior do que com FAT e FAT32

•Uma das principais vantagens do NTFS é que ele permite que sejam definidas permissões de acesso para arquivos e pastas, isto é, posse ter arquivos
em uma mesma pasta, com permissões diferentes para usuários diferentes. Além disso, as permissões NTFS têm efeito localmente, isto é, mesmo que
o usuário faça o logon no computador onde um determinado arquivo existe, se o usuário não tiver as permissões NTFS necessárias, ele não poderá
acessar o arquivo. Isso confere um alto grau de segurança, desde que as permissões NTFS sejam configuradas corretamente.

60
File Services – Segurança
Permissão Nível de Acesso
Permite ao usuário listar as pastas e arquivos dentro da pasta, permite que
Leitura sejam exibidas as permissões, donos e atributos.

Permite ao usuário criar novos arquivos e subpastas dentro da pasta, alterar

Gravar os atributos da pasta e visualizar o dono e as permissões da pasta.

Listar Conteúdo de pastas Permite ao usuário ver o nome dos arquivos e subpastas
Permite ao usuário navegar através das subpastas para chegar a outras pastas
e arquivos, mesmo que o usuário não tenha permissão de acesso às pastas
Ler e executar pelas quais está navegando, além disso possui os mesmos direitos que as
permissões Leitura e Listar Conteúdo de pastas.

Permite ao usuário eliminar a pasta, mais todas as ações permitidas pela

Modificar permissão Gravar e pela permissão Ler e executar.
Permite que sejam alteradas as permissões, permite ao usuário tornar-se
Controle total dono da pasta, eliminar subpastas e arquivos, mais todas as ações permitidas
por todas as outras permissões NTFS.

61
File Services –
Segurança
Permissão Nível de Acesso
Permite ao usuário ler o arquivo, permite que sejam exibidas as permissões,
Leitura dono e atributos.

Permite ao usuário gravar um arquivo com o mesmo nome sobre o arquivo,

Gravar alterar os atributos da pasta e visualizar o dono e as permissões da pasta.
Permite ao usuário executar aplicativos (normalmente programas .exe, .bat ou
Ler e executar .com), mais todas os direitos da permissão Leitura.
Permite ao usuário modificar e eliminar o arquivo, mais todas as ações
Modificar permitidas pela permissão Gravar e pela permissão Ler e executar.
Permite que sejam alteradas as permissões, permite ao usuário tornar-se
Controle total dono do arquivo, mais todas as ações permitidas por todas as outras
permissões NTFS.

62
File Services – Segurança

•Todo arquivo ou pasta em uma unidade formatada com NTFS, possui uma "Lista de controle de acesso (Access control list) – ACL. Nessa ACL
ficam uma lista de todas as contas de usuários e grupos para os quais foi garantido acesso para pasta/arquivo, bem como o nível de acesso de
cada um deles.

•Existem alguns detalhes que devemos observar sobre permissões NTFS: Permissões NTFS são cumulativas, isto é , se um usuário
pertence a mais de um grupo, o qual tem diferentes níveis de permissão para um recurso, a permissão efetiva do usuário é a soma das
permissões.

•Permissões NTFS para um arquivo têm prioridade sobre permissões NTFS para pastas: Por exemplo se um usuário têm permissão NTFS de escrita em
uma pasta, mas somente permissão NTFS de leitura para um arquivo dentro desta pasta, a sua permissão efetiva será somente a de leitura, pois a
permissão para o arquivo tem prioridade sobre a permissão para a pasta.

•Negar uma permissão NTFS tem prioridade sobre permitir: Por exemplo, se um usuário pertence a dois grupos diferentes. Para um dos grupos foi
dado permissão de leitura para um arquivo e para o outro grupo foi Negada a permissão de leitura, o usuário não terá o direito de leitura, pois
Negar tem prioridade sobre Permitir. Agora que já vimos a teoria necessária, vamos praticar um pouco. Nos próximos tópicos iremos aprender a
compartilhar pastas, atribuir permissões de compartilhamento.
•Iremos aprender a acessar pastas compartilhadas através da rede. Depois vamos trabalhar um pouco com as permissões NTFS.

63
Prática 5 – Compartilhar pastas
Aplicação de Quotas

•Para gerenciar o crescimento vegetativo de um

servidor de arquivos é preciso controlar o quanto
pode-se crescer e quais os tamanhos disponíveis para
os departamentos, usuários e serviços.

•Para isso, é possível criar regras para gerenciar os

espaços utilizados por cada entidade.

65
 Prática –
Aplicação de
Quotas

81
Fundamentos
Temos um componente muito importante no Windows 2008 quando falamos em segurança.
São as diretivas de segurança, as quais utilizamos para proteger a rede em um ambiente
corporativo. Com as diretivas de segurança podemos definir o que um usuário poderá fazer
em seu computador e na rede.

As diretivas de segurança de domínio são aplicadas a usuários, computadores, Member

Servers (Servidores Membros) e Domain Controller (Controladores de Domínio). Um detalhe
importante é que a GPO só pode ser aplicada em computadores que utilizam o Windows
2000, Windows XP, Windows 2003, Vista, Windows 2008 ou 7 (Seven). As versões mais antigas
do Windows (95, 98, ME e NT) não podem utilizar este recurso.

No Windows NT foi introduzido o recurso Police Editor, com o qual era possível definir várias
configurações das estações de trabalho centralizadamente. Porém esse recurso era bem
limitado. Com a chegada das GPO’s no Windows 2000, a administração do domínio se tornou
bem mais fácil.
Observe que em um domínio no qual os clientes são Windows 9x e
Windows 2000, deveremos utilizar ambos os recursos: Police Editor
para configurar os clientes anteriores ao Windows 2000 e a GPO
para configurarmos os clientes Windows 2000.

67
Fundamentos

•As GPO’s possuem configurações que podem ser aplicadas tanto em nível de
usuário como em nível de computador:

•Usuário: as GPO’s aplicadas aos usuários serão carregadas em todos os

computadores em que o usuário efetuar logon. Essas políticas são aplicadas no
momento em que o usuário efetuar logon.

•Computador: as GPO’s aplicadas aos computadores serão aplicadas no

computador, independente do usuário que efetuar logon. Essas políticas são
aplicadas no momento em que o computador for inicializado.

68
Group Policies
Cada uma das políticas é subdividida na inicialização da seguinte
forma:

Diretivas de computadores: é reconhecida durante a inicialização do computador, é

aplicada antes do logon do usuário ou após o log off do mesmo.

Diretiva de usuários: é reconhecida durante o processo de log on do usuário, após o

logon a máquina comunica com o servidor requisitando as alterações necessárias.

69
Prática 5 – Aplicação de GPO
Ambiente – Entrega
O que já foi desenvolvido na solução dos nossos problemas?

1- Desenhar um novo ambiente

2- Instalar um ou dois servidores
3- Denominar usuários de acesso para cada um
4- Criar grupos de controle de acesso
5- Criar um servidor de arquivos para controle de acesso
6- Aplicar regras de controle de acesso
7- Bloquear a ação de funcionários mal intencionados

71
Ambiente –
Entrega
O que já foi desenvolvido na solução dos nossos problemas?

1- Desenhar um novo ambiente

2- Instalar um ou dois servidores
3- Denominar usuários de acesso para cada um
4- Criar grupos de controle de acesso
5- Criar um servidor de arquivos para controle de acesso
6- Aplicar regras de controle de acesso
7- Bloquear a ação de funcionários mal intencionados

72
Ambiente - Entrega

Agora devemos publicar as novidades para a empresa a fim de mostrar

as qualidades de projetos desenvolvidos com competência, qualidade,
escalabilidade e controle.
Obrigado!

74