1455_Sistemas Operacionais

8/7/2019 1455_Sistemas Operacionais

1/103

1

SISTEMA

OPERACIONALDE REDES I

WINDOWS 2000

Eduardo da Silva

Marcos Laureano


2/103

2

SUMRIO

1. Viso Geral do Windows 2000 ......................................................................................71.1. Histrico do Sistema Operacional Windows .......................................................71.2. Caractersticas Gerais do Windows 2000............................................................71.3. Diferentes Edies do Windows 2000..................................................................8

1.3.1. Windows 2000 Professional ...........................................................................81.3.2. Windows 2000 Standard Server....................................................................81.3.3. Windows 2000 Advanced Server..................................................................91.3.4. Windows 2000 Datacenter Server................................................................9

2. Conceitos Fundamentais ..............................................................................................112.1. Domnio ...................................................................................................................11

2.1.1. Grupos de Trabalho Windows 2000 ...........................................................112.1.2. Domnios Windows 2000 ..............................................................................12

2.2. Servio de Diretrio ...............................................................................................133. Active Directory ..............................................................................................................14

3.1. Caractersticas do Active Directory .....................................................................14

3.1.1. Escalabilidade ................................................................................................143.1.2. Suporte a Padres Abertos ..........................................................................143.1.3. DNS..................................................................................................................15

3.2. Estrutura do Active Directory ...............................................................................153.2.1. Estrutura Lgica .............................................................................................153.2.2. Objetos e Atributos ........................................................................................15

4. Instalando o Active Directory .......................................................................................185. Administrando Contas de Usurios ............................................................................26

5.1. Planejando Novas Contas de Usurios .............................................................265.1.1. Convenes para Nomes de Contas de Usurio .....................................265.1.2. Diretrizes para as Senhas ............................................................................275.1.3. Opes de Conta ...........................................................................................27

5.2. Contas de Usurio Local ......................................................................................295.3. Contas de Usurio do Domnio ...........................................................................30

5.3.1. Propriedades para Contas de Usurios do Domnio ...............................345.3.2. Cpia de Contas de Usurio do Domnio ..................................................35

6. Gerenciamento de Grupos ...........................................................................................376.1. Grupos em um Domnio........................................................................................37

6.1.1. Tipos de Grupos.............................................................................................376.1.2. Escopos de Grupos .......................................................................................376.1.3. Estratgias de Grupos ..................................................................................38

6.1.4.

Criao de Grupos de Domnio...................................................................38

7. Segurana do Sistema de Arquivos ...........................................................................417.1. Pastas Compartilhadas.........................................................................................41

7.1.1. Permisses de Pastas Compartilhadas .....................................................417.1.2. Conexo de Usurios Remotos a Pastas Compartilhadas.....................44

8. Conexo de Clientes ao Windows 2000 ....................................................................468.1. Configurando Clientes Windows 9x ....................................................................468.2. Configurando Clientes Windows 2000 Professional ........................................48

9. Viso Geral sobre TCP/IP no Windows 2000 ...........................................................519.1. Endereo IP Dinmico: DHCP .............................................................................529.2. Endereo IP Esttico .............................................................................................53

9.2.1. Configurao de Endereos IP Estticos ..................................................539.3. Verificao da Configurao TCP/IP ..................................................................54

9.3.1. Depurando Problemas com o Protocolo TCP/IP ......................................55


3/103

3

10. DHCP Service ............................................................................................................5610.1. Instalao e Configurao do DHCP Service ...............................................56

10.1.1. Instalao do DHCP Service .......................................................................5610.1.2. Configurao do Servidor DHCP ................................................................5710.1.3. Autorizao do Servidor DHCP ...................................................................59

11. WINS............................................................................................................................60

11.1. Implementao de WINS..................................................................................6111.1.1. Consideraes sobre Servidores WINS.....................................................6111.1.2. Instalao do WINS .......................................................................................6211.1.3. Configurao do Servidor WINS .................................................................6311.1.4. Configurao de Replicao WINS ............................................................6511.1.5. Backup do Banco de Dados WINS .............................................................66

12. Segurana NTFS .......................................................................................................6712.1. Permisses NTFS de Pasta.............................................................................6712.2. Permisses NTFS de Arquivo .........................................................................6712.3. Mltiplas Permisses NTFS .............................................................................6812.4. Concesso de Permisses NTFS ...................................................................68

12.5. Herana de Permisses ...................................................................................6912.6. Mover e Copiar Pastas e Arquivos .................................................................70

12.6.1. Copiar Pastas e Arquivos .............................................................................7012.6.2. Mover Pastas e Arquivos..............................................................................70

12.7. Recomendaes para Concesso de Permisses NTFS...........................7113. Gerenciamento de Impresso .................................................................................72

13.1. Requisitos para Impresso em Rede .............................................................7213.2. Diretrizes para um Ambiente de Impresso em Rede .................................7313.3. Instalao de uma Impressora ........................................................................7313.4. Configurao de Computadores Clientes ......................................................74

13.4.1. Clientes Windows 9x ou Windows NT 4.0 .................................................7413.5. Compartilhamento de uma Impressora ..........................................................7413.6. Prioridades de Impressoras .............................................................................7513.7. Permisses para as Impressoras....................................................................76

14. Gerenciamento de Discos ........................................................................................7714.1. Discos Bsicos ...................................................................................................7714.2. Discos Dinmicos ..............................................................................................7714.3. Criando Parties em Discos Bsicos ...........................................................7814.4. Atualizando um Disco Bsico para Disco Dinmico ....................................80

14.4.1. Reverter para um Disco Bsico ...................................................................8114.4.2. Criando Volumes Simples ............................................................................81

14.4.3. Estendendo Volumes Simples .....................................................................8114.5. Tarefas Comuns do Disk Management..........................................................8214.5.1. Status do Disco ..............................................................................................8214.5.2. Reparando Parties e Volumes.................................................................8214.5.3. Excluindo Parties e Volumes ...................................................................82

14.6. Adicionando Discos ...........................................................................................8214.6.1. Adicionando Discos de Outros Computadores.........................................8314.6.2. Importando Volumes Completos .................................................................83

14.7. Desfragmentando Parties.............................................................................8314.8. Prticas Recomendadas...................................................................................84

15. Proteo contra Perda de Dados ............................................................................85

15.1. Tolerncia a Falhas e Recuperao de Desastres ......................................8515.2. Sistema de Alimentao Ininterrupta..............................................................85

15.2.1. Configuraes do Servio UPS ...................................................................85


4/103

4

15.3. Tipos de Implementaes de RAID ................................................................8715.3.1. Implementao de RAID de Software ........................................................8715.3.2. Implementao de RAID de Hardware.......................................................8815.3.3. Implementao de RAID 1 no Windows 2000: Volumes Espelhados...88

16. Ferramentas para Recuperao de Desastres .....................................................9216.1. Opes Avanadas de Inicializao ...............................................................92

16.2. Recuperando um Computador com o Recovery Console... Erro! Indicadorno definido.

16.2.1. Instalando o Recovery Console...................................................................9316.2.2. Comandos do Recovery Console ...............................................................93

16.3. Recuperando um Computador com o Processo de Reparao deEmergncia.........................................................................................................................94

16.3.1. Usando o Processo de Reparao de Emergncia .................................94


5/103

5

LISTA DE FIGURAS

Figura 1 Grupo de trabalho Windows 2000 ...................................................................12Figura 2 Domnio Windows 2000 .....................................................................................12Figura 3 Estrutura de diretrios em uma partio de disco rgido..............................13

Figura 4 rvore de Domnios Windows 2000 ................................................................16Figura 5 Execuo do Dcpromo.......................................................................................18Figura 6 Assistente para instalao do Active Directory..............................................18Figura 7 Criao de um controlador de domnio para um novo domnio ..................19Figura 8 Criao de uma nova rvore.............................................................................19Figura 9 Criao de uma nova floresta...........................................................................20Figura 10 Definio do nome do domnio.......................................................................20Figura 11 Nome NetBIOS do novo domnio...................................................................21Figura 12 Localizao do banco de dados e do log de transaes...........................21Figura 13 Localizao fsica da pasta Netlogon............................................................22Figura 14 Mensagem de no localizao de um servidor DNS com atualizao

automtica.......................................................................................................................22Figura 15 Opo para instalao e configurao de um servidor DNS ....................22Figura 16 Escolha de permisses compatveis com servidores anteriores ao W2K

..........................................................................................................................................23

Figura 17 Definio da senha para o reparo do servio de diretrio .........................23Figura 18 Resumo das informaes para criao do Active Directory......................24Figura 19 Tela de incio do processo de configurao do Active Directory ..............24Figura 20 Concluso da instalao do Active Directory...............................................25Figura 21 Reinicializao do computador......................................................................25Figura 22 Definio dos horrios nos quais o usurio pode logar-se........................28Figura 23 Definio de Computadores para Logon......................................................28Figura 24 Data para expirao da conta ........................................................................29Figura 25 Propriedades do usurio local ........................................................................29Figura 26 Novo usurio local ............................................................................................30Figura 27 Snap-in Local Users and Groups no disponvel em um controlador de

domnio ............................................................................................................................30Figura 28 Wizard para instalao das Ferramentas Administrativas.........................31Figura 29 Opes de instalao das Ferramentas Administrativas...........................31Figura 30 Instalao dos componentes..........................................................................31Figura 31 Finalizao da instalao................................................................................32Figura 32 Snap-in Active Directory Users and Computers ..........................................32

Figura 33 Caixa para criao de uma nova conta de usurio do domnio...............33

Figura 34 Informaes complementares para uma nova conta .................................33Figura 35 Finalizao da criao de uma nova conta ..................................................34Figura 36 Caixa de propriedades da conta de usurio ................................................35Figura 37 Criao de um novo grupo..............................................................................39Figura 38 Incluso de participantes em um grupo global ............................................39Figura 39 Seleo de objetos para o grupo global .......................................................40Figura 40 Propriedades do usurio .................................................................................40Figura 41 Pasta compartilhada ........................................................................................41Figura 42 Propriedades do compartilhamento de pasta ..............................................43Figura 43 Permisses padro para pasta compartilhada ............................................43

Figura 44 My Network Places...........................................................................................44Figura 45 Mapeamento de unidade de rede ..................................................................44Figura 46 Comando Run ...................................................................................................45


6/103

6

Figura 47 Propriedades de rede do Windows 9x ..........................................................46Figura 48 Seleo do tipo de componente de rede ......................................................46Figura 49 Seleo do cliente de rede da Microsoft.......................................................47Figura 50 Definio da validao de logon no domnio ...............................................47Figura 51 Definio do grupo de trabalho ......................................................................48Figura 52 Definio do controle de acesso ....................................................................48

Figura 53 Propriedades de Meu Computador do Windows 2000...............................49Figura 54 Identificao de rede das Propriedades do Meu Computador..................49Figura 55 Alterao da Identificao na Rede (Clientes Windows 2000) .................49Figura 56 cone My Network Places................................................................................51Figura 57 Janela Network and Dial-up Connections ....................................................51Figura 58 Caixa de dilogo das propriedades da conexo local ................................51Figura 59 Caixa de dilogo para escolha do tipo de componente de rede ..............52Figura 60 Propriedades do protocolo TCP/IP ................................................................52Figura 61 Caixa de dilogo para configurao de endereo IP esttico...................54Figura 62 Caixa de dilogo Windows Components Wizard ........................................57Figura 63 Caixa de dilogo Networking Services .........................................................57

Figura 64 Snap-in DHCP...................................................................................................57Figura 65 Auxiliar para criao de escopo .....................................................................58Figura 66 Caixa de dilogo Windows Components Wizard ........................................63Figura 67 Caixa de dilogo Networking Services .........................................................63Figura 68 Criao de um mapeamento esttico ...........................................................64Figura 69 Caixa de dilogo New Static Mapping ..........................................................64Figura 70 Rede WAN.........................................................................................................65Figura 71 - Configurao de novos parceiros de replicao WINS...............................66Figura 72 Propriedades de segurana de uma pasta ..................................................68Figura 73 Propriedades de segurana de uma pasta ..................................................69Figura 74 Caixa de dilogo para cpia ou excluso de permisses da pasta pai...70Figura 75 Drivers adicionais .............................................................................................74Figura 76 Compartilhamento de uma impressora .........................................................75Figura 77 Propriedades avanadas da impressora ......................................................75Figura 78 Permisses da impressora .............................................................................76Figura 79 Incio da configurao do UPS.......................................................................86Figura 80 Seleo do Fabricante.....................................................................................86Figura 81 Configurao do UPS ......................................................................................86


7/103

7

1. Viso Geral do Windows 2000

1.1. Histrico do Sistema Operacional Windows

A histria do Windows inicia em 1985 com o lanamento do Windows 1.0. Tratava-se de uma

extenso grfica do MS-DOS e que permitia aos usurios visualizar mltiplas aplicaes ao mesmo

tempo. Alm disso, as aplicaes podiam utilizar-se de uma rea de armazenamento em comum para

compartilhar dados.

Windows 2.0 foi anunciado em 1987 e oferecia suporte para os novos processadores Intel

80286 e para hardware com memria expandida.

Windows 3.0 foi disponibilizado em 1990, suportando processadores Intel 80386 e provendo

uma interface grfica mais fcil de utilizar.

Windows 3.1, disponibilizado em 1992, incluiu muitas melhorias em relao verso 3.0.

Windows for Workgroups 3.11 levou o Windows para o ambiente de redes com a incluso de

protocolos e drivers de placas de rede. Ele tambm permitia a configurao de redes ponto-a-ponto,sem a utilizao de servidor.

Em agosto de 1995 a Microsoft disponibilizou o Windows 95 que substitua a estrutura de

ambiente 16-bits do Windows 3.x por um ambiente 32-bits. O Windows 95 inclua uma nova interface

grfica, suporte a Plug-and-Play e muitos recursos para conectividade com redes. Em 1998 foi

lanado o Windows 98 e no ano 2000 o Windows Millenium.

Enquanto estes sistemas operacionais foram planejados principalmente para usurios

domsticos, o Windows NT foi planejado para atender necessidades das empresas, como

confiabilidade e segurana.

No incio, havia o LAN Manager, que fornecia uma alternativa amigvel ao usurio para UNIXe para Novell Netware que atendia a redes de pequeno a mdio tamanho. Entretanto, o LAN Manager

e seu sucessor, o Windows NT 3.1, no dominaram rapidamente o mercado.

Os Windows NT Server 3.5 e 3.51 continuaram a evoluo e se tornaram bastantes comuns

em redes de todos os tamanhos. Prximo do fim do ciclo de vida do produto, a Microsoft lanou um

suplemento gratuito chamado Internet Information Server 1.0. Esse software introduziu o Windows NT

no territrio do UNIX: a Internet.

O Windows NT Server 4.0 era um sistema operacional aprimorado, especialmente em suas

capacidades de Internet. No lanamento do produto foi disponibilizado o Internet Information Server

2.0. A aplicao do Service Pack 3 atualizava o IIS para a verso 3.0 e finalmente a instalao do

pacote Option Packproduzia o upgrade do IIS para a verso 4.0.

O prximo passo nesta evoluo o objeto de nosso estudo: o Windows 2000.

1.2. Caractersticas Gerais do Windows 2000

Windows 2000 um sistema operacional multi-propsito com suporte integrado para redes

cliente/servidor e ponto-a-ponto. A famlia de produtos Windows 2000 foi planejada para aumentar a

segurana, possibilitar altos nveis de disponibilidade do sistema, e provido para escalabilidade desde

pequenas redes at grandes redes corporativas. O Windows 2000 incorpora tecnologias que reduzem

o TCO permitindo s organizaes incrementar o valor dos seus investimentos existentes enquanto

diminuem os custos gerais com computao. Em adio, W2K incorpora suporte Internet e


8/103

8

aplicaes, baseado no sucesso do Windows NT 4.0 como um sistema operacional servidor para

aplicaes e para a Internet.

A famlia Windows 2000 consiste de quatro verses ou edies de sistemas operacionais:

Windows 2000 Professional.

Windows 2000 Standard Server.

Windows 2000 Advanced Server. Windows 2000 Datacenter Server.

1.3. Diferentes Edies do Windows 2000

1.3.1. Windows 2000 Professional

O sistema operacional confivel para desktops e notebooks corporativos. Projetado para

usurios da Internet e usurios mveis, o Windows 2000 Professional ajuda a manter os usurios de

empresas em constante atividade.

Windows 2000 Professional o principal sistema operacional desktop para empresas de

todos os tamanhos. Ele tem uma alta performance, um sistema operacional desktop corporativo queatua como cliente de redes. Alm disso, une as melhores caractersticas comerciais do Windows 98 e

a estabilidade do Windows NT Workstation.

Windows 2000 Professional inclui uma interface de usurio simplificada, capacidades plug

and play, gerenciamento de fora aprimorado e suporte para uma grande quantidade de dispositivos

de hardware. Em adio, Windows 2000 Professional estende significativamente a gerenciabilidade,

confiana e segurana do Windows NT em funo do seu novo sistema de criptografia de arquivo e

ferramentas de gerenciamento de aplicaes.

Para utilizar o Microsoft Windows 2000 Professional, necessrio:

133 MHz ou superior compatvel com processador Pentium. O Windows 2000

Professional suporta at 2 processadores simtricos.

64 megabytes (MB) de RAM recomendado (32MB RAM mnimo suportado; 4GB RAM

mximo).

2 GB Hard Diskcom o mnimo de 650 MB disponvel.

Unidade de CD-ROM ou DVD.

Placa de vdeo VGA ou superior.

Teclado.

Microsoft Mouse ou compatvel (opcional).1.3.2. Windows 2000 Standard Server

Sistema operacional de rede multi-propsito, ideal para ambientes de grupos de trabalho e

pequenas empresas, o Windows 2000 Server permite que as organizaes lancem seus negcios na

Internet com segurana e de maneira rentvel.

O Windows 2000 Standard Server um servidor de arquivos, impresso e aplicao, como

tambm um servidor de plataforma Web. Contm todas as caractersticas do Windows 2000

Professional e mais as funes especficas de servidor. O centro do Windows 2000 um conjunto

completo de servios de infra-estrutura baseados nos servios do Active Directory.

Os servios do AD centralizam o gerenciamento de usurio, grupos, servios de segurana e

recursos de rede. Windows 2000 Server suporta desde sistemas com um nico processador at


9/103

9

sistemas de multiprocessamento simtrico (SMP) com quatro processadores com at 4 GB de

memria fsica. Ele inclui as capacidades multifuncionais requeridas para atuar como servidor de

arquivos, de impresso, de aplicaes, de comunicao ou Web, tanto para pequenas redes como

para grandes corporaes com unidades ligadas remotamente. Windows 2000 Server o ideal para

aplicaes em corporaes pequenas a mdias.

Para utilizar o Windows 2000 Server, voc precisa: 133 MHz ou superior compatvel com processador Pentium. O Windows 2000 Standard

Server suporta at 4 processadores simtricos.


mximo).

1GB disponvel no Hard Disk.

Unidade de CD-ROM ou DVD.


Teclado.

Microsoft Mouse ou compatvel (opcional).

1.3.3. Windows 2000 Advanced Server

A edio separada do Windows 2000 Advanced Server foi projetada para aplicativos de e-

commerce e linha de negcios. Inclui tudo o que est no Windows 2000 Standard Server, mais os

recursos de disponibilidade e escalabilidade que suportam volumes maiores de usurios e aplicativos

mais complexos.

O Windows 2000 Advanced Server o mais poderoso sistema operacional servidor para

aplicaes ou redes departamentais. Ele inclui o conjunto completo de caractersticas do Windows

2000 Standard Server e adiciona a alta disponibilidade e escalabilidade requeridas para soluescorporativas. Windows 2000 Advanced Server suporta oito processadores (SMP) e integra a alta

disponibilidade provida por clusters, e o ideal para trabalhos intensivos em bancos de dados. O

hardware que projetado para suportar Intel Physical Address Extensions (PAEs) permite ao

Windows 2000 Advanced Server tomar proveito de mais memria fsica.

Para utilizar o Windows 2000 Advanced Server, necessrio:

133 MHz ou superior compatvel com processador Pentium. O Windows 2000 Advanced

Server suporta at 8 processadores simtricos.


mximo).


Unidade CD-ROM ou DVD.


Teclado.


1.3.4. Windows 2000 Datacenter Server

Alm de todos os recursos do Advanced Server, o Datacenter Server incluir maior

capacidade de processamento e de memria para atender s necessidades de processamentointensivo de transaes on-line (OLTP), aos grandes armazenamentos de dados e aos grandes

provedores de servios de Internet e aplicativos (ISPs e ASPs).


10/103

10

O Windows 2000 Datacenter Server a verso mais avanada da famlia Windows 2000,

projetado para solues corporativas de larga escala. O Windows 2000 Datacenter Server

otimizado para grandes datawarehouses, simulaes de grande escala em cincia ou engenharia,

processamento de transaes on-line (OLTP) e consolidao de projetos. Ele tambm ideal para

Provedores de Servios Internet (ISP) e hospedeiros de Web sites. O Windows 2000 Datacenter inclui

todas as caractersticas do Windows 2000 Advanced Server, e prov ainda servios debalanceamento de carga e melhorias nos servios de clusteringatravs do suporte de 4 clusters. Ele

suporta at 16 processadores (SMP) na caixa e at 32 processadores (SMP) atravs de verses

OEM.

Para utilizar o Windows 2000 Datacenter Server, necessrio:

Pentium III Xeon ou superior. O Windows 2000 Datacenter Server suporta at 32

processadores simtricos.

256 megabytes (MB) de RAM.


Unidade CD-ROM ou DVD.


Teclado.



11/103

11

2. Conceitos Fundamentais

Existem alguns conceitos bastante referenciados em qualquer abordagem do Windows 2000,

at porque so peas fundamentais para a construo de ambientes baseados neste sistema

operacional. Vamos conhecer agora dois destes conceitos: Domnio e Servio de Diretrio.

2.1. Domnio

Em uma rede baseada na arquitetura ponto-a-ponto (ou peer-to-peer) j sabemos que no

existe um banco de dados central com as informaes de todos os usurios da rede. Por esse motivo

neste tipo de arquitetura no existe um nico computador responsvel por administrar os recursos da

rede e efetuar a autenticao de usurios. Cada computador gerencia seus prprios recursos e

autentica seus usurios localmente.

J em uma rede cliente/servidor uma lista de informaes relacionadas com os usurios (os

nomes, senhas e outras informaes a respeito de pessoas autorizadas a utilizar o sistema)

mantida de forma centralizada.A Microsoft adota uma terminologia prpria para referenciar-se a redes Windows 2000

baseadas nestas duas arquiteturas: grupos de trabalho e domnios.

2.1.1. Grupos de Trabalho Windows 2000

Um grupo de trabalho (ou workgroup) um agrupamento lgico de computadores em rede

que compartilham recursos, como arquivos e impressoras, sem existir um servidor dedicado,

responsvel pelo gerenciamento e funcionamento da rede. Cada computador Windows 2000 Server1

ou Professional participantes de um grupo de trabalho mantm um banco de dados de segurana

local, o qual contm uma lista de contas de usurios e informaes de segurana de recurso para

aquele computador.

Pelo fato de cada computador em um grupo de trabalho manter um banco de dados de

segurana local, a administrao de contas de usurios e recursos descentralizada. Um usurio

precisar ter uma conta em cada computador que necessitar ter acesso. Qualquer mudana na conta

do usurio (como a troca de senha, por exemplo) precisa ser executada em cada um dos

computadores do grupo de trabalho que ele utilizar.

Os grupos de trabalho baseados em Windows 2000 tm as seguintes vantagens:

No requer um computador rodando Windows 2000 Server para manter as informaes

de segurana centralmente. simples para planejar e implementar; ele no requer o extensivo planejamento e

administrao que um domnio exige.

conveniente para um limitado nmero de computadores localizados proximamente,

portanto um grupo de trabalho torna-se impraticvel em ambiente com mais de 10

computadores.

apropriado para um pequeno grupo de usurios com boa desenvoltura tcnica para

dispensar o trabalho de um administrador para a rede.

1 Em um grupo de trabalho, um computador executando Windows 2000 Server chamado de stand-alone Server.


12/103

12

BD desegurana

localWindows 2000Professional

Windows 2000Server

Windows 2000Server

BD desegurana

local

Windows 2000Professional

Grupo de Trabalho

Windows 2000

BD desegurana

local

BD desegurana

local

Figura 1 Grupo de trabalho Windows 2000

2.1.2. Domnios Windows 2000

Um domnio Windows 2000 um agrupamento lgico de computadores em rede quecompartilham um banco de dados de segurana centralizado, responsvel dentre outras coisas por

armazenar as informaes dos usurios da rede e informaes de segurana para o domnio. Este

banco de dados conhecido como diretrio e parte do Active Directory, que o servio de diretrio

do Windows 2000.

Em um domnio, o diretrio reside em computadores configurados como controladores de

domnio2 (domains controllers). Um controlador de domnio (domain controller) um servidor que

gerencia todas as informaes de segurana relacionadas a usurios, interao entre domnios e

administrao centralizada.

Figura 2 Domnio Windows 2000

Um domnio no refere-se a uma nica localizao ou a um tipo especfico de configurao

de rede. Os computadores em um domnio podem estar fisicamente prximos em uma pequena rede

local (LAN) ou podem estar localizados em diferentes cantos do Mundo, comunicando-se sobre vrios

tipos de conexes (WAN). Os domnios Windows 2000 provm as seguintes vantagens:

2 No Windows NT, controladores de domnio eram configurados como controladores de reserva (Backup Domain Controller,BDC) ou como controladores primrios (Primary Domain Controller, PDC). No Windows 2000, existe apenas um tipo decontrolador de domnio e todos os controladores so pares, ou seja, exercem esta funo de forma igualitria.

Replicao

ComputadorCliente

Controlador deDomnio

Controlador deDomnio

ComputadorCliente

DomnioWindows

2000

Servios doActive

Directory


13/103

13

Prov administrao centralizada porque todas as informaes de usurios esto

armazenadas centralmente.

Prov um processo nico de logon para usurio obterem acesso aos recursos da rede,

como arquivos, impressoras ou aplicaes para as quais ele tenha permisso. Um

usurio pode autenticar-se em um computador (controlador de domnio) e acessar

recursos em qualquer outro computador do domnio, desde que tenha as permissesapropriadas para tal.

Prov escalabilidade para atender desde pequenas redes locais at redes de extenso

mundial.

2.2. Servio de Diretrio

Uma definio sobre diretrios que remonta aos primrdios dos PCs de que so uma

estrutura organizacional (geralmente hierrquica) para armazenamento de informaes.

Figura 3 Estrutura de diretrios em uma partio de disco rgido

Um conceito mais abrangente sobre diretrios define que um banco de dados hierrquico

de informaes de recursos e servios. Estes recursos e servios so organizados sob a forma de

objetos com propriedades e valores. Os diretrios sempre foram usados para organizar as

informaes a fim de facilitar sua localizao quando necessrio. No universo das redes esta

finalidade tambm a principal.

Monitorar tudo em uma rede uma tarefa demorada. Mesmo em redes pequenas, os

usurios tendem a ter dificuldades em localizar compartilhamentos de arquivo e impressoras de rede.

Sem algum tipo de diretrio de rede, impossvel gerenciar redes grandes e mdias e os usurios

freqentemente tero dificuldades em localizar recursos na rede.

Vamos tentar imaginar a dificuldade de administrao que existiria em uma rede sem servio

de diretrio em uma empresa mdia que utilize recursos como: um gerenciador de correio eletrnico,

uma aplicao cliente/servidor que acesse um gerenciador de banco de dados, um servidor proxycom autenticao para acesso Internet. Um usurio deveria possuir uma conta para cada um destes

recursos alm da prpria conta para acesso rede.

A admisso ou demisso de um funcionrio exigiria do administrador da rede a repetio da

ao de incluso ou excluso de usurio em cada uma das aplicaes alm do prprio sistema

operacional de rede. A simples alterao de senha de um usurio geraria um trabalho significativo.

Em uma rede com um servio de diretrio cada conta de usurio seria criada uma nica vez.

Os dados de cada usurio ficariam armazenados em um banco dados do servio de diretrio e seriam

utilizados pelo gerenciador de correio eletrnico, pelo gerenciador de banco de dados, pelo servidor

proxy, etc. O usurio seria autenticado pelo sistema operacional da rede uma nica vez e seria

identificado automaticamente por todas estas aplicaes.


14/103

14

3. Active Directory

Uma das novidades mais comentadas do Windows 2000 foi o Active Directory, o servio de

diretrio da Microsoft. Na verdade, o AD oriundo de um acrscimo de uma srie de melhorias e

modificaes no servio de diretrio j existente no Windows NT 4.0 (NT Directory Service, NTDS).

O conceito de domnio, por exemplo, j existia no Windows NT. Mas os domnios do WindowsNT trabalhavam melhor em ambientes de tamanho pequeno e mdio. Os administradores de

ambientes grandes eram forados a particionar sua rede em mltiplos domnios interconectados

atravs de um recurso chamado relao de confiana. O Active Directory continuar a fazer o

trabalho dos domnios do Windows NT, porm de uma maneira muito mais eficiente.

Os servios do Active Diretory provm um ponto nico para gerenciamento da rede,

permitindo aos administradores adicionar, remover e realocar usurios e recursos facilmente.

O AD a parte mais importante do Windows 2000 e, infelizmente, tambm a mais complexa.

Uma de suas complexidades sua alta difuso, j que virtualmente qualquer recurso importante do

Windows 2000 requer o AD.

3.1. Caractersticas do Active Directory

Os servios do AD organizam recursos hierarquicamente em domnios. Como j visto

anteriormente, um domnio um agrupamento lgico de servidores e outros recursos da rede sob um

nome de domnio simples. O domnio a unidade bsica de replicao e segurana em uma rede

Windows 2000.

Cada domnio inclui um ou mais controladores de domnio. Um controlador de domnio um

computador com Windows 2000 Server que armazena uma rplica completa do diretrio do domnio.

Para simplificar a administrao, todos os controladores de domnio no AD so pares, ento

possvel efetuar mudanas em qualquer controlador de domnio e as atualizaes sero replicadas

para todos os outros controladores no domnio.

3.1.1. Escalabilidade

No AD, o diretrio armazena informaes utilizando parties, as quais so divises lgicas

que organizam o diretrio em sees e permitem armazenar um grande nmero de objetos. Portanto,

o diretrio pode expandir-se para acompanhar o crescimento de uma organizao, possibilitando a

existncia desde de uma instalao pequena com pouco mais de uma centena de objetos a grandes

instalaes com milhes de objetos.

3.1.2. Suporte a Padres Abertos

Os servios do AD integram o conceito Internet de espao de nomes com os servios de

diretrio do Windows NT. Esta integrao permite unificar e gerenciar os mltiplos espaos de nome

que existem hoje em ambientes heterogneos de software e hardware de redes corporativas. O AD

usa Domain Name System (DNS) para seu sistema de nomes e pode trocar informaes com

qualquer aplicao ou diretrio que usa Lightweight Directory Access Protocol (LDAP). Os servios do

AD tambm compartilham informaes com outros servios de diretrio que suportam LDAP verses

2 e 3, como o Novell Directory Services (NDS).


15/103

15

3.1.3. DNS

Em funo do AD usar DNS como sua forma de denominao de domnios e localizao de

servios, os nomes de domnio do Windows 2000 so tambm nomes DNS. Windows 2000 Server

utiliza DNS dinmico, o qual habilita computadores clientes com associao de endereos

dinamicamente registrados no servidor DNS e com atualizao da tabela tambm de forma dinmica.

O DNS dinmico pode eliminar a necessidade de outros servios de nome Internet, como o WindowsInternet Naming Service (WINS).

3.2. Estrutura do Active Directory

O Active Directory prov um mtodo para planejamento de uma estrutura de diretrio que

atenda s necessidades das empresas. Portanto, preciso examinar a estrutura de negcios e de

operao da organizao antes de instalar os servios do AD.

O Active Directory separa a rede em duas estruturas: lgica e fsica.

3.2.1. Estrutura Lgica

Nos servios do AD voc organiza recursos em uma estrutura lgica. O agrupamento lgicode recursos possibilita localizar um recurso pelo seu nome ao invs de sua localizao fsica.

3.2.2. Objetos e Atributos

Tudo o que o AD rastreia considerado como um objeto. Um objeto qualquer usurio,

sistema, recurso ou servio rastreado dentro do AD. O termo genrico objeto utilizado porque o AD

capaz de monitorar uma variedade de itens e muitos objetos podem compartilhar atributos comuns.

Os atributos descrevem objetos no Active Directory. Por exemplo, todos os objetos User

compartilham atributos para armazenar o nome de um usurio na rede, seu nome completo e uma

descrio. Os computadores tambm so objetos, mas tm um conjunto separado de atributos que

inclui um nome de host, um endereo IP e uma localizao.

Um continer um tipo de objeto especial utilizado para organizar o AD. Ele no representa

nada fsico, como um usurio. Em vez disso, utilizado para agrupar outros objetos. Os objetos

contineres podem ser aninhados dentro de outros contineres.

Nos servios do AD possvel ainda organizar objetos em classes, os quais so

agrupamentos de objetos. Exemplos de classes de objetos so usurios, grupos, computadores,

domnios ou unidades organizacionais.

a. Unidades Organizacionais

Uma unidade organizacional um objeto continer usado para organizar objetos como contas

de usurios, grupos, computadores, impressoras, aplicaes, compartilhamento de arquivos e outros.

b. Domnios

A principal unidade da estrutura lgica nos servios do AD o domnio. Grupamentos de

objetos em um ou mais domnios permite refletir a organizao da empresa no ambiente de rede.

Todos objetos da rede existem dentro de um domnio, e cada domnio armazena informaes

somente dos objetos que ele contm. Teoricamente, um domnio pode conter at 10 milhes de

objetos, mas 1 milho de objetos por domnio o limite testado.

O acesso aos objetos do domnio controlado pelas listas de controle de acesso (ACLs,

Access Control Lists), as quais so formadas com entradas de controle de acesso (ACEs, Access


16/103

16

Control Entries). Todas as polticas de segurana e configuraes, como os direitos administrativos,

polticas de segurana e as ACLs no atravessam de um domnio para outro. O administrador do

domnio tem poderes absolutos para definir polticas somente dentro do seu domnio.

Um domnio geralmente possui os seguintes tipos de computadores:

Controladores de domnio rodando Windows 2000 Server: cada controlador de

domnio armazena e mantm uma cpia do diretrio. Servidores membros rodando Windows 2000 Server: um servidor membro no

armazena informaes do diretrio e no pode autenticar usurios. Servidores membros

so geralmente usados para prover recursos compartilhados, como arquivos,

impressoras e aplicativos.

Computadores clientes rodando Windows 2000 Professional: computadores clientes usados

para fornecer ao usurio o acesso aos recursos no domnio.

c. rvores, Esquema e Catlogo Global

Uma rvore um agrupamento ou arranjo hierrquico de um ou mais domnios Windows2000 que permite o compartilhamento global de recursos. Uma rvore pode tambm consistir de um

nico domnio Windows 2000. Contudo possvel criar grandes estruturas atravs da unio de

mltiplos domnios em uma estrutura hierrquica.

A figura abaixo apresenta uma rvore formada por um domnio pai (Silva Corporation) e dois

domnios filhos (Silva do Brasil e Silva das Ilhas Virgens).

Figura 4 rvore de Domnios Windows 2000

Todos os domnios em uma rvore compartilham informaes e recursos para funcionarem

como uma nica unidade. Existe somente um diretrio em uma rvore, mas cada domnio mantmuma parcela do diretrio que contm as informaes de contas dos seus usurios. Em uma rvore,

um usurio que autentica-se em um domnio pode usar recursos em outro domnio desde que tenha

permisses apropriadas para tal.

O Windows 2000 combina as informaes de diretrio de todos os domnios em um nico

diretrio, o qual torna as informaes de cada domnio globalmente acessveis. Em adio, cada

domnio automaticamente prov um subconjunto de suas informaes nos servios do AD como um

ndice, que reside nos controladores de domnio. Usurios utilizam este ndice para localizar outros

usurios, computadores, recursos e aplicaes atravs da rvore do domnio.

Todos os domnios dentro de uma rvore compartilham um esquema, que uma definio

formal de todos os tipos de objetos que podem ser armazenados em uma implementao do AD.

Silva Corporation

Silva do Brasil Silva das IlhasVirgens


17/103

17

Alm disso, todos os domnios dentro de uma rvore simples compartilham um catlogo global, que

um repositrio de informaes sobre objetos na rvore ou floresta.

Todos os domnios em uma rvore simples tambm compartilham um espao de nomes

comum e uma estrutura de nomes hierrquica. Um espao de nomes um conjunto de regras de

nomes que prov a estrutura hierrquica, ou caminho, da rvore. Seguindo os padres DNS, o nome

de domnio do domnio filho (em uma rvore) o nome relativo deste domnio anexado ao nome dodomnio pai.

d. Florestas

Uma floresta um agrupamento de uma ou mais rvores. Florestas permitem que

organizaes agrupem divises (ou que duas organizaes combinem suas redes) que no usam o

mesmo esquema de nomes, operem independentemente, mas precisem comunicar com a

organizao inteira.


18/103

18

4. Instalando o Active Directory

Uma das caractersticas interessantes no Windows 2000 o fato da Microsoft ter separado o

seu processo de instalao do processo de criao de um controlador de domnio. Desta forma

possvel efetuar a instalao completa do Windows 2000 Server em um computador e posteriormente

transform-lo em um controlador de domnio.Para converter um servidor do Windows 2000 Server em um controlador de domnio, executa-

se o programa Dcpromo a partir do comando Run no menu Start.

Figura 5 Execuo do Dcpromo

Um assistente ser iniciado que guiar todo processo de instalao do Active Directory. Esse

assistente poder ser usado tambm para rebaixar um controlador de domnio para um servidor

membro. O assistente far uma srie de perguntas e ento, baseado nas respostas, criar uma nova

rvore, floresta ou domnio ou criar uma rplica de controlador de domnio em um domnio j

existente.

Figura 6 Assistente para instalao do Active Directory

A forma para criar um novo domnio simples: basta definir uma mquina como o primeiro

controlador de domnio. A construo do primeiro controlador de domnio de um domnio e a criao

de um novo domnio so exatamente a mesma coisa.


19/103

19

Figura 7 Criao de um controlador de domnio para um novo domnioSeguindo a opo mostrada na figura anterior, este ser o primeiro domnio em uma rvore

nova, por isso esta dever ser a opo na prxima caixa de dilogo.

Figura 8 Criao de uma nova rvore

Como o Windows 2000 permite a construo de domnios organizados em rvores e rvores

organizadas em florestas, de forma que, logicamente, o assistente precisar saber onde colocar a

nova rvore em uma floresta inteira nova ou em uma floresta j existente.


20/103

20

Figura 9 Criao de uma nova florestaNa tela seguinte ser preciso definir o nome do novo domnio.

Figura 10 Definio do nome do domnio

A menos que a rede seja 100% baseada no Windows 2000, tanto nos servidores como nas

estaes de trabalho, ento a rede contm mquinas rodando softwares de rede escritos para as

verses anteriores (Windows NT) quando os nomes de domnios no podiam ter mais de 15

caracteres e no podiam ter qualquer tipo de hierarquia. Por este motivo na caixa de dilogo seguinte

ser definido o nome Net BIOS para este novo domnio, de forma a ser compatvel com estes outros

sistemas operacionais.


21/103

21

Figura 11 Nome NetBIOS do novo domnioO Windows 2000 armazena o banco de dados do Active Directory em duas partes, como

geralmente ocorre com bancos de dados o banco de dados propriamente dito e um registro de

transaes. Dois detalhes importantes com relao a esta informao so o fato de que o arquivo de

banco de dados real do Active Directory deve estar em um volume NTFS para melhor desempenho e

que uma boa idia colocar o registro de transaes em um disco rgido diferente do que contm o

banco de dados do Active Directory.

A localizao dos arquivos que contm o banco de dados do Active Directory e do registro de

transaes definido na tela mostrada a seguir.

Figura 12 Localizao do banco de dados e do log de transaes

Assim como no Windows NT 4.0, o Windows 2000 tambm ter uma pasta compartilhada

com o nome de Netlogon, onde sero armazenadas informaes como os arquivos de poltica do

sistema, perfis padro e scripts de login.

A localizao fsica desta pasta definida na tela mostrada a seguir.


22/103

22

Figura 13 Localizao fsica da pasta Netlogon

No prximo passo, o programa Dcpromo tentar localizar e contatar um servidor DNS para onome de domnio escolhido (como support.com.br, por exemplo) e determinar ainda se um servidor

DNS encontrado suporta atualizao dinmica, caracterstica presente no DNS do Windows 2000

Server.

O Dcpromo pode no encontrar um servidor DNS para o domnio escolhido ou ainda pode

encontrar um servidor DNS que no suporta atualizao dinmica. Em qualquer um dos dois casos a

seguinte mensagem ser exibida.

Figura 14 Mensagem de no localizao de um servidor DNS com atualizao automtica

O programa oferece a oportunidade de instalar e configurar um servidor DNS.

Figura 15 Opo para instalao e configurao de um servidor DNS


23/103

23

Alguns programas, como o Windows NT Remote Access Service (para acesso remoto de

usurios a servidores Windows NT) precisam acessar e obter informaes do controlador de domnio.

Se algum programa com esta caracterstica ser utilizado na rede deve-se optar pelas Permisses

compatveis com servidores pr-Windows 2000. Caso contrrio, importante selecionar a outra

opo que aumentar o nvel de segurana da rede.

Figura 16 Escolha de permisses compatveis com servidores anteriores ao W2K

Uma das opes que aparecem no momento da inicializao do Windows 2000 a

reconstruo de um banco de dados do Active Directory danificado para restaur-lo para uma verso

anterior consistente internamente, mas que provavelmente no contm as alteraes mais recentes.

Para esta restaurao exigida uma senha, que definida na seguinte tela.

Figura 17 Definio da senha para o reparo do servio de diretrio

A tela seguinte uma confirmao das informaes escolhidas ao longo de todo o processo e

uma oportunidade de revisar todas as decises tomadas para evitar qualquer tipo de engano.


24/103

24

Figura 18 Resumo das informaes para criao do Active Directory

Uma vez conferidas todas as informaes e tendo-se avanado na tela anterior, a seguintetela ser exibida por um longo perodo, que poder ser de mais de 20 minutos dependendo da

capacidade do computador.

Se neste momento for constatado que algum erro tenha sido cometido ser necessrio:

Aguardar o trmino deste processo;

Reinicializar o computador;

Executar novamente o Dcpromo para remover o Active Directory;

Reinicializar o computador;

Iniciar novamente o Dcpromo para efetuar uma nova instalao.

Figura 19 Tela de incio do processo de configurao do Active Directory

Quando o diretrio estiver pronto ser exibida uma tela avisando sobre o trmino do processo

de criao e, em seguida, o computador dever ser reiniciado.


25/103

25

Figura 20 Concluso da instalao do Active Directory

Figura 21 Reinicializao do computador

Aps a reinicializao, o servidor j ser um controlador de domnio.


26/103

26

5. Administrando Contas de Usurios

Contas de usurios precisam ser criadas para dar a estes a capacidade de logar-se em um

domnio para acessar recursos da rede ou logar-se em um computador para acessar recursos locais.

Uma conta de usurio contm as credenciais exclusivas e um registro que define este usurio para

o Windows 2000. Deve incluir o nome e a senha (se requerida), os grupos do qual o usurio membro e os direitos e permisses que o usurio possui para uso do computador e da rede e para

acesso recursos. Cada pessoa que utiliza regularmente a rede deve ter uma conta de usurio.

O Windows 2000 suporta dois tipos de contas de usurios: do domnio e local. Com uma

conta de usurio do domnio, um usurio pode logar-se em um domnio para ganhar acesso

recursos da rede. Com uma conta de usurio local, um usurio pode logar-se em um computador

especfico para ganhar acesso aos recursos daquele computador.

Alm destes dois tipos, o Windows 2000 tambm prov contas de usurio internas ( buit-in

user accounts), que so usadas para desempenhar tarefas administrativas ou ganhar acesso

recursos da rede. As contas de usurio internas so criadas automaticamente durante a instalao do

Windows 2000 e a instalao do Active Directory.

5.1. Planejando Novas Contas de Usurios

Para tornar mais eficiente o processo de gerenciamento das contas de usurios importante

adotar e seguir determinadas convenes e diretrizes atravs do planejamento das seguintes reas:

Convenes de nomes para as contas de usurio;

Diretrizes para as senhas;

Opes de conta.

5.1.1. Convenes para Nomes de Contas de Usurio

A conveno de nomes estabelece como as contas de usurio so identificadas no domnio

(ou no computador local). Uma conveno de nomes consistente facilita lembrar nomes de logon de

usurios e localiz-los em listas. Os seguintes aspectos devem ser considerados na determinao de

uma conveno de nomes para uma organizao:

Os nomes de logon para contas de usurio devem ser exclusivos no Active Directory. Os

nomes completos de contas de usurio de domnio devem ser exclusivos na OU onde a

conta de usurio foi criada. Os nomes de contas de usurio local devem ser exclusivos no

computador em que foram criadas. Os nomes de logon de usurio podem conter at 20 caracteres maisculos ou minsculos

(no existe diferenciao, mas o Windows 2000 preservar a forma como for digitado).

Apesar do campo aceitar mais de vinte caracteres, o Windows 2000 s reconhecer os

primeiros vinte. Os caracteres no permitidos so: / \ [ ] : ; | = , + * ? < >

Se existir um grande nmero de usurios, a conveno de nomes deve considerar os

funcionrios com nome igual, utilizando tratamentos como:

Usar concatenaes de nome e sobrenome de forma diferenciada. Por exemplo, se

existirem dois Pedro Silva, utilizar PedroSil e PedroSilva.

Usar nmeros aps o nome, como por exemplo Pedro1 e Pedro2.


27/103

27

Em algumas organizaes pode ser til identificar determinados tipos de usurios pela

sua conta. Para usurios temporrios, por exemplo, pode-se acrescentar a letra T e um

hfen no incio do nome da conta de usurio: T-Pedro.

5.1.2. Diretrizes para as Senhas

Para proteger o acesso ao domnio ou a um computador, todas as contas de usurio devem

ter uma senha associada. Estas so as recomendaes para o uso de senhas:

Atribuir sempre uma senha para a conta Administrator para impedir o acesso no

autorizado conta. Na verdade, recomendvel a alterao do nome da conta

Administrator. Uma vez que para obter acesso ao domnio necessrio um nome de

conta e uma senha, um invasor j ter metade do que precisa se a conta Administrator

permanecer com seu nome padro.

Determinar se o administrador da rede ou os usurios controlaro as senhas. possvel

atribuir senhas exclusivas para as contas de usurio e impedir que os usurios as

alterem, ou ento pode-se permitir que os prprios usurios definam suas senhas no

primeiro logon.

Orientar os usurios para o uso de senhas complexas bem como manter o sigilo sobre

sua senha. Algumas recomendaes:

Evitar senhas com associao bvia, como o prprio nome, sobrenome ou nome de

algum da famlia.

Usar senhas longas. As senhas no Windows 2000 podem ter at 128 caracteres, mas

recomenda-se o tamanho mnimo de 8 caracteres.

Usar combinaes de letras maisculas e minsculas e caracteres no-alfanumricos

permitidos. Os mesmos caracteres no permitidos para nomes de conta tambm noso permitidos nas senhas.

5.1.3. Opes de Conta

As opes de conta de usurio controlam a maneira como um usurio acessa o domnio ou

um computador. possvel, por exemplo, limitar as horas durante as quais um usurio pode efetuar

logon no domnio e os computadores nos quais ele pode efetuar logon. Tambm pode-se especificar

a data de expirao de uma conta de usurio.

e. Horas de Logon

possvel definir as horas de logon para os usurios que s precisam de acesso em horriosespecficos. Esta configurao est disponvel nas propriedades de cada usurio, atravs do boto

Logon Hours na guia Account.


28/103

28

Figura 22 Definio dos horrios nos quais o usurio pode logar-se

f. Computadores Permitidos para Logon3

Por padro, os usurios podem efetuar logon em qualquer computador do domnio, mas

possvel especificar os computadores nos quais os usurios podem efetuar logon. Isso ajuda a

restringir o acesso a informaes armazenadas localmente nos computadores do domnio. Esta

configurao tambm est disponvel nas propriedades de cada usurio, atravs do boto Log On

To na guia Accounts.

Figura 23 Definio de Computadores para Logon

g. Expirao de ContaA definio de uma data para expirao de uma conta um recurso bastante til,

principalmente para utilizao em contas de usurios temporrios. Com esta configurao, uma data

de expirao para a conta definida e, a partir desta data, o usurio no obtm mais acesso rede.

Este recurso est acessvel na guia Account das propriedades de cada usurio.

3 Para o funcionamento deste recurso necessrio que o NetBIOS over TCP/IP esteja disponvel, caso contrrio o Windows2000 no conseguir determinar de qual computador o usurio est tentando efetuar logon.


29/103

29

Figura 24 Data para expirao da conta

5.2. Contas de Usurio Local

Uma conta de usurio local uma conta que s existe em um determinado computador

(Windows 2000 Professional ou Windows 2000 Server Stand Alone ou Member). Este tipo de conta

s deve ser usada em ambientes de redes menores, como grupos de trabalho ou em computadores

autnomos que no esto conectados em uma rede. No recomendvel a criao de contas locais

em computadores que faam parte de um domnio, pois o domnio no as reconhece e, como

resultado, elas s conseguiriam obter acesso aos recursos do computador no qual foram criadas.

As contas de usurio local residem no banco de dados SAM, que o banco de contas desegurana local. Elas no so armazenadas no Active Directory do domnio. Alm disso, as contas de

usurio local possuem um menor nmero de propriedades que as contas de domnio.

Figura 25 Propriedades do usurio local

Para criao de contas locais deve ser utilizado no Computer Management, o snap-in Local

Users and Groups. Com o boto direito na pasta Users, clica-se em New User e a seguinte tela ser

exibida.


30/103

30

Figura 26 Novo usurio local

Importante destacar que em um servidor Windows 2000 que seja controlador de domnio,

este snap-in no estar disponvel. Neste caso, devem ser criadas contas do domnio usando a

ferramenta Active Directory Users and Computers, conforme ser descrito posteriormente.

Figura 27 Snap-in Local Users and Groups no disponvel em um controlador de domnio

5.3. Contas de Usurio do Domnio

Para criar contas de usurios do domnio preciso utilizar o snap-in Active Directory Users

and Computers. Este snap-in sempre estar disponvel em um controlador de domnio. J um servidormembro no ter este snap-in, a menos que sejam instaladas as Ferramentas Administrativas do

Windows 2000.

Para instalar estas ferramentas, basta executar o pacote de instalao Adminpak.msi

encontrado na pasta I386 do CD de instalao do Windows 2000 Server. Ao executar este pacote, a

seguinte tela exibida:


31/103

31

Figura 28 Wizard para instalao das Ferramentas Administrativas

Prosseguindo com a instalao, pode-se optar pela instalao ou desinstalao das

Ferramentas Administrativas.

Figura 29 Opes de instalao das Ferramentas Administrativas

O programa passa ento a instalar os componentes das Ferramentas Administrativas.

Figura 30 Instalao dos componentes


32/103

32

Uma vez concluda a instalao estaro disponveis em um servidor membro (no controlador

de domnio) as Ferramentas Administrativas do Windows 2000 e um usurio com uma conta que faa

parte do grupo Domain Administrators poder executar atividades administrativas (como a criao de

usurios do domnio) neste servidor membro.

Figura 31 Finalizao da instalao

O snap-in Active Directory Users and Computers permite a criao de contas de usurios do

domnio4.

Figura 32 Snap-in Active Directory Users and Computers

Basta selecionar a Unidade Organizacional na qual deseja-se criar um novo usurio ou

mesmo usar a Unidade Organizacional padro Users, e no menu Action selecionar New e escolher

User. A seguinte caixa de dilogo ser exibida:

4 Em uma rede com vrios controladores de domnio, quando uma conta de usurio do domnio criada, ela sempre sercriada no primeiro controlador disponvel contatado para depois ser replicada para todos os demais controladores.


33/103

33

Figura 33 Caixa para criao de uma nova conta de usurio do domnio

A tabela a seguir descreve as informaes que devero ser preenchidas nesta caixa de

dilogo.

Opo DescrioFirst name O primeiro nome do usurio. Este ou o ltimo nome so requeridosLast name O ltimo nome do usurio. Este ou o primeiro nome so requeridos

Full nameO nome completo do usurio e preenchido automaticamente deacordo com as informaes digitadas nas caixas anteriores

User logon nameO nome exclusivo de logon do usurio, baseado na conveno denomes adotada. Esta informao requerida e precisa ser nica nodomnio

User logon name(pre-Windows 2000)

O nome exclusivo de logon do usurio para clientes com sistemasoperacionais anteriores ao Windows 2000, como Windows NT 4.0 ou3.51. Esta informao requerida e precisa ser nica no domnio

Na tela seguinte dever ser informada uma senha e devero ser feitas algumas opes.

Figura 34 Informaes complementares para uma nova conta

Opo Descrio

Password A senha que ser usada pelo usurioConfirm password

Confirmao da senha definida na caixa anterior, para assegurar queno ocorreram erros de digitao

User must change Selecionar esta caixa obrigar ao usurio efetuar a troca da senha


34/103

34

password at nextlogon

definida na caixa Password na primeira vez que efetuar logon. Estaopo assegura a privacidade da senha do usurio, de tal forma quenem o administrator a conhecer

User cannot changepassword

Selecionar esta senha impedir que o usurio proceda a troca de suasenha. Esta opo til quando mais de uma pessoa estiver usando amesma conta

Password neverexpires

Selecionar esta caixa far com que a senha do usurio nunca expire,

mesmo que estejam definidas diretivas que definam expiraes desenhas em determinados perodos. Esta opo til em contas dedeterminados programas ou servios

Account is disabledSelecionar esta opo far com que a conta no esteja disponvel parauso. Esta opo til quando um usurio ir afastar-se por um perodoou quando um novo funcionrio ainda no iniciou suas atividades

Figura 35 Finalizao da criao de uma nova conta

5.3.1. Propriedades para Contas de Usurios do Domnio

Um conjunto de propriedades padro est associado a cada conta de usurio criada no

domnio. Estas propriedades podem ser usadas para localizar usurios no Active Directory e, por esta

razo, estas informaes devem ser preenchidas para cada conta de usurio.

As propriedades da conta de usurio so acessadas no snap-in Active Directory Users and

Computers, clicando com o boto direito no usurio desejado e escolhendo o comando Properties.


35/103

35

Figura 36 Caixa de propriedades da conta de usurioA tabela a seguir descreve as guias da caixa de dilogo Properties referente ao usurio.

Guia Finalidade

GeneralDocumenta o nome, a descrio, o local do escritrio, o nmero detelefone, o alias de e-mail e as informaes sobre a pgina inicialreferentes ao usurio

AddressDocumenta o endereo do usurio, caixa postal, cidade, estado oumunicpio, CEP e pas

AccountAtribui o nome de logon do usurio, define opes de conta e especificaa expirao de contas

Profile Atribui o caminho do perfil e a pasta base do usurio

Telephones

Documenta o endereo, pager, celular, fax e nmeros de telefone IP e

permite digitar observaes que contm informaes descritivas sobre ousurio

OrganizationDocumenta o cargo, o departamento, o gerente da empresa e osrelatrios diretos do usurio

Member of Especifica os grupos aos quais o usurio pertence

Dial-inDefine as permisses de acesso, as opes de retorno de chamada eas rotas e endereos IP estticos

EnvironmentEspecifica um ou mais aplicativos a serem iniciados e os dispositivosaos quais conectar durante o logon do usurio

Sessions Especifica configuraes do Terminal ServicesRemote control Especifica configuraes de controle remoto do Terminal ServicesTerminal ServicesProfile

Define o perfil do usurio no Terminal Services

5.3.2. Cpia de Contas de Usurio do Domnio5

Para simplificar o processo de criao de novas contas de usurio de domnio possvel

efetuar uma cpia de uma conta j existente. Com a cpia, uma srie de propriedades da conta so

copiadas para o novo usurio, evitando a necessidade de digitao de dados repetidos.

As propriedades de usurio copiadas da conta de usurio de domnio existente para a nova

conta so descritas a seguir:

5 No possvel copiar contas de usurio em um computador com Windows 2000 Professional ou em um servidor membro doWindows 2000. A cpia s possvel em controladores de domnio.


36/103

36

Guia Propriedades copiadasGeneral NenhumaAddress NenhumaAccount Todas, exceto Logon Name

ProfileTodas, exceto as entradas Profile Path e Home Folder, que soalteradas para refletir o nome de logon do novo usurio

Telephones Nenhuma

Organization Todas, exceto TitleMember of TodasDial-in Nenhuma, as configuraes padro aplicam-se nova contaEnvironment Nenhuma, as configuraes padro aplicam-se nova contaSessions Nenhuma, as configuraes padro aplicam-se nova contaRemote control Nenhuma, as configuraes padro aplicam-se nova contaTerminal ServicesProfile

Nenhuma, as configuraes padro aplicam-se nova conta

O recurso de cpia de contas permite o uso de modelo de conta de usurio, que nada mais

do que uma conta de usurio padro criada para conter as propriedades que aplicam-se aos usurios

com necessidades em comum.Algumas recomendaes importantes para o uso de modelos de conta so:

Criar um modelo para cada categoria de funcionrio ou para cada setor da empresa;

Utilizar nomes nos modelos de conta que iniciem com caractere no-alfabtico, como o

caractere de sublinhado ( _ ), j que desta forma os modelos sempre aparecero juntos

na parte superior da lista do painel de detalhes da janela do Active Directory Users and

Computers;

Marcar nos modelos de conta a caixa de seleo Account is disabled na guia Account

para evitar que os modelos sejam utilizados para obter acesso rede da empresa,

lembrando sempre de desmarcar esta opo nas cpias geradas.


37/103

37

6. Gerenciamento de Grupos

Um grupo uma coleo de contas de usurios usada para gerenciar o acesso de usurios a

recursos como pastas, arquivos e impressoras compartilhados na rede. Grupos simplificam a

administrao permitindo associar permisses e direitos a grupos de usurios em vez de associar a

cada usurio individualmente. Usurios podem ainda participar de vrios grupos simultaneamente.6.1. Grupos em um Domnio

As caractersticas dos grupos em um domnio so:

So criados somente em controladores de domnio;

Residem no servio de diretrio do Active Directory;

So usados para conceder permisses a recursos e direitos para tarefas do sistema em

qualquer computador do domnio;

Os grupos em um domnio podem diferir quanto ao tipo a ao escopo.

Esta ltima caracterstica merece um melhor detalhamento, uma vez que importanteconhecer as diferenas entre os tipos de grupos e os escopos de grupos.

6.1.1. Tipos de Grupos

H dois tipos de grupo no Active Directory:

Grupos de segurana: usados para fins relacionados segurana, como a concesso

de permisses para acesso a recursos.

Grupos de distribuio6: usados pro aplicativos como listas para funes no

relacionadas segurana, como o envio de mensagens de e-mail para grupos de

usurios. No possvel conceder permisses a grupos de distribuio.

6.1.2. Escopos de GruposO escopo de um grupo determina onde usar esse grupo no domnio, ou seja, qual a sua

abrangncia. So trs os escopos de grupos do Windows 2000: Globais, Locais e Universais.

h. Grupos Globais

Usados para organizar os usurios que compartilham requisitos semelhantes de acesso

rede. possvel utilizar um grupo global para conceder permisses de acesso a recursos localizados

em qualquer domnio.

Tm participao limitada. Pode-se adicionar contas de usurio e grupos globais somente

provenientes do domnio em que o grupo global foi criado.

Podem ser aninhados em outros grupos. Essa funo permite adicionar um grupo global

a outro no mesmo domnio ou a grupos de domnio local e universal de outros domnios.

i. Grupos Locais

Usados para conceder permisses a recursos de domnio localizados no mesmo domnio em

que o grupo de domnio local foi criado. Os recursos no precisam residir em um controlador de

domnio.

Tm participao aberta. Pode-se adicionar contas de usurio, grupos universais e

globais de qualquer domnio.

6 Somente programas que foram desenvolvidos para trabalhar com os servios do Active Directory podem usar grupos dedistribuio.


38/103

38

No podem ser aninhados em outros grupos, significando que no possvel adicionar

um grupo de domnio local a nenhum grupo, nem aos localizados no mesmo domnio.

j. Grupos Universais7

Concedem permisses a recursos relacionados em vrios domnios. Devem ser usados para

conceder permisses de acesso a recursos localizados em qualquer domnio.

Tm participao aberta. Todas as contas de usurio e grupos de domnio podem ser

participantes.

Podem ser aninhados em outros grupos de domnio. Essa capacidade permite adicionar

um grupo universal a grupos de domnio local ou universal em qualquer domnio.

6.1.3. Estratgias de Grupos

Uma estratgia bastante recomendada pela Microsoft para uso de grupos em um domnio

nico conhecida como A G L P. Consiste em colocar as contas de usurio (A, de Account) em

grupos globais (G), colocar os grupos globais em grupos de domnio local (L) e conceder permisses

(P) ao grupo de domnio local. Um exemplo desta estratgia seria o seguinte: Em uma empresa seria recomendvel identificar os usurios com responsabilidades

comuns e adicionar suas contas de usurio a um grupo global. Por exemplo, poderiam

ser criados grupos globais para um departamento de vendas (Grupo Vendas), para os

diretores (Grupo Diretoria) e para o departamento de marketing (Grupo Marketing).

Nesta mesma empresa existir uma impressora laser colorida que poder ser usada

pelos diretores e pelos funcionrios do marketing. Poderia ento ser criado um grupo de

domnio local chamado Usuarios Laser Colorida.

Os grupos globais Diretoria e Marketing seriam ento includos no grupo de domnio local

Usuarios Laser Colorida.

Por fim a impressora seria compartilhada e seriam concedidas as permisses adequadas

para o grupo de domnio local Usuarios Laser Colorida.

Antes da criao de um novo grupo de domnio local recomendvel verificar se j no existe

um grupo de domnio local interno que atenda as necessidades. Por exemplo, se o administrador

precisa de um grupo para incluir as contas de usurios que executaro o backup dirio, no ser

necessrio criar um novo grupo. Basta utilizar o grupo de domnio local interno Backup Operators.

6.1.4. Criao de Grupos de Domnio

Para criar-se grupos em um domnio utiliza-se o snap-in Active Directory Users AndComputers. Os grupos podem ser criados na Unidade Organizacional Users ou em alguma outra

Unidade Organizacional criada pelo administrador. Com o boto direito do mouse sobre a Unidade

Organizacional desejada escolhe-se a opo New e o comando Group, surgindo ento a seguinte

caixa de dilogo.

7 S estaro disponveis quando o domnio estiver no modo nativo. O modo nativo ser ativado quando todos os controladoresde domnio estiverem executando o Windows 2000.


39/103

39

Figura 37 Criao de um novo grupo

Opo Descrio

Group nameNome do novo grupo, que deve ser exclusivo no domnio em que ogrupo for criado

Group name(pre-Windows 2000) Nome usado para dar suporte a clientes e servidores de versesanteriores do Windows

Group scopeEscopo do grupo. Lembrando que a opo Universal s estardisponvel em redes formadas por mais de um domnio e que estejamfuncionando em modo nativo

Group type Tipo de grupo

k. Incluso de Participantes

Para incluir participantes em um grupo tambm utiliza-se o snap-in Active Directory Users and

Computers clicando nas propriedades do grupo desejado (boto direito do mouse).

Figura 38 Incluso de participantes em um grupo global

Nesta caixa de dilogo, obtm-se acesso lista de objetos que podem ser includos no grupo

(neste exemplo um grupo global) clicando-se em Add.


40/103

40

Figura 39 Seleo de objetos para o grupo global

Tambm possvel definir-se os grupos dos quais um usurio far parte nas propriedades da

conta de usurio.

Figura 40 Propriedades do usurio


41/103

41

7. Segurana do Sistema de Arquivos

O compartilhamento de pastas a nica forma de tornar pastas e seus contedos disponveis

atravs da rede. As pastas compartilhadas provm um caminho seguro para recursos de arquivos e

podem ser usadas em parties FAT16 ou FAT32, como tambm em parties NTFS (os volumes

NTFS oferecem ainda uma segurana adicional que ser apresentada mais adiante).

7.1. Pastas Compartilhadas

Quando uma pasta compartilhada, usurios podem conectar-se a ela atravs da rede e

obter acesso aos arquivos que ela contm. Contudo, para obter acesso aos arquivos os usurios

devem ter as permisses apropriadas sobre o compartilhamento.

As pastas compartilhadas podem conter aplicativos, dados ou os dados pessoais de um

usurio. O uso de pastas de aplicativo compartilhadas centraliza a administrao, permitindo instalar

e manter os aplicativos em um servidor, em vez de em computadores cliente. O uso de pastas de

dados compartilhadas fornece um local central para que os usurios obtenham acesso a arquivos emcomum e facilita o backup dos dados contidos nesses arquivos.

7.1.1. Permisses de Pastas Compartilhadas

Conforme j comentado, uma pasta compartilhada pode conter aplicativos, dados ou dados

pessoais de usurios (pastas base ou home folders). Cada tipo de dado pode exigir diferentes

permisses de compartilhamento. As permisses de pastas compartilhadas apresentam as seguintes

caractersticas em comum:

As permisses so aplicadas pastas, no a arquivos individuais. Uma vez que uma

pasta tenha sido compartilhada todos os usurios com permisso para tal tero acesso a

todo o contedo da pasta. Uma segurana adicional poder ser obtida atravs das

permisses NTFS apresentadas mais adiante.

As permisses de pastas compartilhadas no restringem o acesso de usurios que esto

utilizando localmente o computador onde as pastas esto armazenadas. As permisses

aplicam-se somente a usurios que conectam-se pasta atravs da rede.

Permisses de compartilhamento de pastas so o nico caminho para obter segurana

em volumes FAT.

A permisso padro em pastas compartilhadas Full Control para o grupo Everyone. Se

algum nvel de segurana desejado esta permisso deve ser excluda e as permisses

apropriadas devem ser atribudas.

Uma pasta compartilhada exibida com uma mo sob seu cone, conforme mostrado abaixo:

Figura 41 Pasta compartilhada

A tabela a seguir descreve as permisses e o que cada usurio pode fazer uma vez que

tenha recebido a permisso:

Permisso Permite que o usurioRead Exiba nomes de pastas, nomes de arquivos, dados de arquivos e


42/103

42

atributos, execute arquivos de aplicativo e altere as pastas contidas na

pasta compartilhada

Change Crie pastas; adicione arquivos a pastas; altere dados em arquivos;

acrescente dados a arquivos; altere atributos de arquivo; exclua pastas

e arquivos e execute as aes autorizadas pela permisso Read

Full Control Altere permisses de arquivo, aproprie-se de arquivos e execute todasas tarefas permitidas pelas permisses Change e Read

l. Mltiplas Permisses

Um usurio pode ser membro de vrios grupos, cada um com diferentes permisses em uma

determinada pasta compartilhada. As permisses efetivas de um usurio para um recurso so a

combinao das permisses concedidas ao prprio usurio e a todos os grupos dos quais ele faa

parte. Por exemplo, se um usurio tiver a permisso Read para uma pasta compartilhada e for

participante de um grupo que tenha a permisso Change para a mesma pasta, a permisso efetiva dousurio ser Change, a qual j inclui as propriedades da permisso Read.

A exceo para esta regra a permisso Deny. Esta permisso substitui qualquer permisso

definida para contas de usurio e grupos.

m. Requisitos para Compartilhamento de Pastas

No Windows 2000, os nicos grupos que podem compartilhar pastas so Administratos,

Server Operators e Power Users. Esses grupos so contas padro instaladas na pasta Users do

Computer Management ou na pasta Builtin do Active Directory Users and Groups. Os requisitos para

compartilhamento de pastas so:

Em um domnio Windows 2000 podem compartilhar pastas membros dos grupos

Administrators e Server Operators.

Em servidores membro ou estaes com Windows 2000 Professional que faam ou no

parte de um domnio, os membros dos grupos Administrators e Power Users podem

compartilhar pastas residentes no prprio computador.

Em um grupo de trabalho do Windows 2000 membros dos grupos Administrators e Power

Users podem compartilhar pastas nos prprios computadores.

n. Criao de Compartilhamento de Pastas

Para criar uma pasta compartilhada basta clicar com o boto direito do mouse na pasta

desejada (no Windows Explorer) e, em seguida, clicar em Sharing.


43/103

43

Figura 42 Propriedades do compartilhamento de pastaOpo Descrio

Share this folder Clicar para compartilhar a pasta

Share name Nome que os usurios remotos usam para estabelecer uma conexo

com a pasta compartilhada

Comment Descrio opcional para o nome da pasta compartilhada

User limit Nmero de usurios que podem conectar-se simultaneamente pasta

compartilhada. Se for escolhido Maximum Allowed, o Windows 2000

Professional dar suporte a at dez conexes, enquanto que o Windows

2000 Server poder dar suporte a tantas conexes quanto o nmero de

licenas adquiridas

Permissions Define as permisses de pasta compartilhada. Por padro, a permisso

Full Control concedida ao grupo Everyone para todas as novas pastas

compartilhadas

Figura 43 Permisses padro para pasta compartilhada


44/103

44

Esta caixa de dilogo, acessvel a partir do boto Permissions, permite definir outras

permisses para a pasta compartilhada bem como excluir a permisso padro.

7.1.2. Conexo de Usurios Remotos a Pastas Compartilhadas

Uma vez compartilhada uma pasta, os usurios que receberam as permisses para tal

podero conectar-se ao compartilhamento e utilizar os arquivos l armazenados. So quatro as

formas dos usurios obterem acesso a uma pasta compartilhada em outro computador:

o. My Network Places

Usando o My Network Places basta navegar pela rede at o computador que contm a pasta

desejada e, por fim, acessar a pasta.

Figura 44 My Network Places

Nota: Quando uma pasta compartilhada na rede aberta o Windows 2000 a adicionaautomaticamente a My Network Places.

p. Map Network Drive

Mapeando uma unidade de rede uma letra de unidade e um cone sero associados a uma

pasta compartilhada especfica. Isto facilita a referncia ao local de um arquivo em uma pasta

compartilhada. Por exemplo, em vez de apontar para \\Servidor\Compartilhamento\Arquivo, pode-se

apontar para Unidade:\Arquivo. As letras de unidades fornecem um acesso mais rpido e fcil do que

os caminhos do tipo conveno universal de nomenclatura (UNC).

Para mapear uma unidade de rede, basta seguir as seguintes etapas:

Com o boto direito do mouse em My Network Places escolher a opo Map Network

Drive.

Na caixa Map Network Wizard seleciona-se a letra de unidade a ser usada.

Digita-se o nome da pasta compartilhada ou utiliza-se o boto Browser para localiz-la.

Se desejar-se utilizar esta conexo de forma recorrente mantm-se a opo Reconnect at

logon selecionada.

Figura 45 Mapeamento de unidade de rede


45/103

45

q. Comando Run

A partir do comando Run pode-se conectar a um recurso de rede, bastando para tal digitar o

caminho UNC na caixa Open, conforme mostrado abaixo:

Figura 46 Comando Run

r. Comando Net Use

Uma outra forma de executar um mapeamento de unidade de rede o comando Net use que

possui a seguinte sintaxe bsica:

Net use letra_da_unidade: \\servidor\compartilhamentoPara conhecer a sintaxe completa deste comando basta digitar Net use /? a partir do prompt

de comando.


46/103

46

8. Conexo de Clientes ao Windows 2000

Conforme j comentado, o Windows 2000 suporta conexes de clientes com diferentes

sistemas operacionais. Para implementaes do Windows 2000 Professional esto disponveis vrios

recursos, at mesmo para instalao automatizada. J para clientes como o Windows 9x, o

procedimento idntico ao aplicado na configurao de acesso redes baseadas no Windows NTServer 4.0.

8.1. Configurando Clientes Windows 9x

Veremos agora como configurar clientes com Windows 9x para que passem a conectar-se a

um domnio Windows 2000.

Todas as c

1455_Sistemas Operacionais

Documents

Transcript of 1455_Sistemas Operacionais