Instalando e configurando acesso a recursos

Documentos relacionados
FTIN Formação Técnica em Informática Módulo Sistema Proprietário Windows AULA 04. Prof. André Lucio

Tutorial de Active Directory Parte 3

ADMINISTRAÇÃO DE SISTEMA OPERACIONAL DE REDE (AULA 4)

Tutorial TCP/IP DHCP Configurando e Administrando Escopos

Introdução ao Active Directory AD

Resolução de Problemas de Rede. Disciplina: Suporte Remoto Prof. Etelvira Leite

ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS SISTEMA DE ARQUIVOS

AULA 06 CRIAÇÃO DE USUÁRIOS

Professor: Macêdo Firmino Disciplina: Sistemas Operacionais de Rede

ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS

ADMINISTRAÇÃO DE SISTEMAS OPERACIONAIS SERVIÇOS IMPRESSÃO. Professor Carlos Muniz

Laboratório de Redes de Computadores e Sistemas Operacionais

Tutorial 02 Promovendo o Windows 2000/2003 Server a um Controlador de Domínio

Sumário Instalando o Windows 2000 Server... 19

SISTEMAS OPERACIONAIS LIVRES. Professor Carlos Muniz

Permissões de compartilhamento e NTFS - Parte 1

Como instalar o Active Directory no Windows Server 2003

Neste tutorial apresentarei o serviço DFS Distributed File System. Veremos quais as vantagens

Procedimentos para Reinstalação do Sisloc

Entendendo como funciona o NAT

3. No painel da direita, dê um clique com o botão direito do mouse em qualquer espaço livre (área em branco).

INSTALANDO E CONFIGURANDO O ACTIVE DIRECTORY NO WINDOWS SERVER 2008

Sistemas Operacionais de Rede INTRODUÇÃO AO ACTIVE DIRECTORY

Tópicos. Atualizações e segurança do sistema. Manutenção Preventiva e Corretiva de Software (utilizando o MS Windows XP)

Administração de Redes

CSAU Guia: Manual do CSAU 10.0 como implementar e utilizar.

Usar Atalhos para a Rede. Logar na Rede

NetEye Guia de Instalação

Laboratório de Redes de Computadores e Sistemas Operacionais

Guia de instalação Command WorkStation 5.5 com o Fiery Extended Applications 4.1

Como instalar uma impressora?

MDaemon GroupWare. Versão 1 Manual do Usuário. plugin para o Microsoft Outlook. Trabalhe em Equipe Usando o Outlook e o MDaemon

Configurando um Grupo Doméstico e Compartilhando arquivos no Windows 7

Instalação e Configuração RPM Remote Print Manager para Windows 2000

Group Policy (política de grupo)

UM NOVO CONCEITO EM HOSPEDAGEM DE DOMÍNIO

AULA 7: SERVIDOR DHCP EM WINDOWS SERVER

Introdução ao Windows Server System. José Carlos Libardi Junior

Entrar neste site/arquivo e estudar esse aplicativo Prof. Ricardo César de Carvalho

Procedimentos para Instalação do Sisloc

Manual de Administração DPS Printer 2.1 NDDigital S/A - Software

AULA 6: SERVIDOR DNS EM WINDOWS SERVER

Manual Administrador - Mídia System

TeamViewer 9 Manual Wake-on-LAN

Auditando o Acesso ao Sistema de Arquivos no Windows 2008 Server R2

2 de maio de Remote Scan

Despachante Express - Software para o despachante documentalista veicular DESPACHANTE EXPRESS MANUAL DO USUÁRIO VERSÃO 1.1

Configuração do Servidor DHCP no Windows Server 2003

Faça-Fácil: Passos Terminal Server

Manual do Sistema "Vida Controle de Contatos" Editorial Brazil Informatica

SUMÁRIO 1. AULA 6 ENDEREÇAMENTO IP:... 2

Restauração do Exchange Server.

Guia do usuário do PrintMe Mobile 3.0

Active Directory - Criação de seu primeiro domínio Windows 2003

ArpPrintServer. Sistema de Gerenciamento de Impressão By Netsource Rev: 02

Manual do Visualizador NF e KEY BEST

FERRAMENTAS DE COLABORAÇÃO CORPORATIVA

Guia de boas práticas para realização de Backup

Follow-Up Acompanhamento Eletrônico de Processos (versão 3.0) Manual do Sistema. 1. Como acessar o sistema Requisitos mínimos e compatibilidade

Procedimentos para Instalação do SISLOC

Protocolo TCP/IP. Neste caso cada computador da rede precisa de, pelo menos, dois parâmetros configurados:

Na Figura a seguir apresento um exemplo de uma "mini-tabela" de roteamento:

2. INSTALAÇÃO E CONFIGURAÇÃO

Implementando e Gerenciando Diretivas de Grupo

FTIN Formação Técnica em Informática. Sistema Operacional Proprietário Windows Prof. Walter Travassos

Atualizado em 9 de outubro de 2007

Configurando o DDNS Management System

Novell. Novell Teaming 1.0. novdocx (pt-br) 6 April 2007 EXPLORAR O PORTLET BEM-VINDO DESCUBRA SEU CAMINHO USANDO O NOVELL TEAMING NAVIGATOR

1. O DHCP Dynamic Host Configuration Protocol

Escritório Virtual Administrativo

Conexões e Protocolo Internet (TCP/IP)

SISTEMAS OPERACIONAIS LIVRES. Professor Carlos Muniz

Professor: Macêdo Firmino Disciplina: Redes de Computadores II

COORDENAÇÃO DE TECNOLOGIA (COTEC) OUTUBRO/2010

Roteador Load-Balance / Mikrotik RB750

Manual de Instalação

IMPORTANTE: O PNM4R2 não entra em estado funcional enquanto o Windows não

Guia de instalação Command WorkStation 5.6 com o Fiery Extended Applications 4.2

SISTEMAS OPERACIONAIS LIVRES GERENCIAMENTO DE SERVIÇOS NO WINDOWS. Professor Carlos Muniz

Tutorial de TCP/IP Parte 26 Criando Registros

Conteúdo Programático

MINISTÉRIO DA EDUCAÇÃO SECRETARIA DE EDUCAÇÃO PROFISSIONAL E TECNOLÓGICA CENTRO FEDERAL DE EDUCAÇÃO TECNOLÓGICA DE PELOTAS UNIDADE DE PASSO FUNDO

QUAL O PROCEDIMENTO PARA CONFIGURAR AS IMPRESSORAS DE REDE BROTHER EM UM SISTEMA DEC TCP / IP para VMS (UCX) Procedimento

EDITORA FERREIRA MP/RJ_EXERCÍCIOS 01

Redes Ponto a Ponto. Os drivers das placas de rede devem estar instalados.

Comm5 Tecnologia Manual de utilização da família MI. Manual de Utilização. Família MI

INTRODUÇÃO AO WINDOWS

1. Introdução. 2. Funcionamento básico dos componentes do Neteye

SSE 3.0 Guia Rápido Parametrizando o SISTEMA DE SECRETARIA Nesta Edição Configurando a Conexão com o Banco de Dados

MANUAL BACKUP XDENTAL 2012

TUTORIAL PARA A INSTALAÇÃO EM AMBIENTE DE REDE WINDOWS DO SERVIDOR FIREBIRD

Instalação e Configuração do AD DS no Windows Server 2012 R2 INSTALAÇÃO DO SERVIÇOS DE DOMÍNIO DO ACTIVE DIRECTORY (AD DS)

Introdução Instalação... 2

ESET Remote Administrator ESET EndPoint Solutions ESET Remote Adminstrator Workgroup Script de Logon

INSTALAÇÃO DO MICROSOFT WINDOWS SHAREPOINT SERVICES 2.0

Transcrição:

2 Instalando e configurando acesso a recursos Depois de colocar seu servidor para funcionar, é chegado o momento de disponibilizar recursos para seus usuários. Esse capítulo descreverá os processos relacionados com acesso a recursos: instalar e configurar serviços de rede para interoperabilidade; monitorar, configurar, solucionar problemas e controlar acesso a impressoras, arquivos, pastas e pastas compartilhadas; configurar e gerenciar o Distributed File System (DFS). Instalar e configurar serviços de rede para interoperabilidade Para facilitar a vida do administrador e dos usuários no acesso aos recursos de rede, existem alguns serviços que podem ser instalados. Esse é o caso do serviços de DHCP, Wins e DNS. Nesta primeira etapa deste capítulo, vamos estudar cada um desses serviços separadamente. Serviço de diretório O serviço de diretório é um serviço do Microsoft Windows 2000 Server que identifica todos os recursos disponíveis na rede, os torna disponíveis aos usuários e permite a implementação de políticas de acesso a esses recursos. 39

O Active Directory contém os serviços de diretório, armazena as informações e as tornam úteis para os usuários. Esse serviço armazena objetos como usuários, grupos de usuários, computadores, impressoras, pastas compartilhadas, provendo dessa maneira uma administração mais simplificada dos recursos de rede. As informações são organizadas de maneira hierárquica em domínios. Os domínios do Active Directory são agrupamentos lógicos de objetos. Um domínio é a unidade básica para segurança e replicação de dados em uma rede baseada em Windows 2000. Cada domínio inclui um ou mais Domain Controllers, que são computadores rodando o Windows 2000 Server, Advanced Server ou Datacenter que armazenam uma réplica das informações do serviço de diretório. Todas as modificações realizadas em um Domain Controller, como, por exemplo, a criação de um novo usuário, são replicadas para todos os outros Domain Controllers. O Active Directory Services provê diversas maneiras de desenhar a estrutura da rede de sua empresa. Tenha essa empresa uma estrutura centralizada ou não, o AD poderá prover um design que irá de acordo com as suas necessidades. A estrutura do Active Directory deve ser desenhada a partir de dois pontos de vista, o lógico e o físico. Na estrutura lógica do serviço de diretório, os administradores têm a possibilidade de organizar seus recursos de maneira que venha a simplificar a administração. Por exemplo, é possível utilizar Organizational Units (OUs), para acomodar objetos que possuam similaridade, como, por exemplo os usuários, computadores, impressoras e usuários do departamento financeiro. A estrutura de suas OUs deve ser desenhada para permitir a implementação de Group Policies Objects (GPOs) e delegação. Por exemplo, o departamento financeiro tem restrições quanto à utilização do Control Panel. Você pode aplicar um GPO somente para a OU do departamento de Finanças. Esse mesmo departamento tem um administrador que pode criar as contas de usuário, reinicializar senhas etc. É possível que esses poderes sejam delegados a esse administrador, somente nesta OU. Quando temos um grupo de domínios, temos uma árvore. As informações a respeito de todos os domínios estão armazenadas no Global Catalog, que fica no topo da hierarquia. É interessante que cada domínio possua um Global Catalog Server, que deve manter uma cópia das informações para servir aquele domínio. 40

As árvores de domínios são definidas pelo Name Space. O Name Space deve identificar a corporação a qual se refere o domínio como um todo, incluindo filiais e subsidiárias ou outras empresas de um grupo ou conglomerado. Por exemplo se temos uma empresa que decide utilizar o Name Space msnet.com, uma árvore será criada para armazenar esse nome. Em situações em que existe mais de um nome que possa identificar a empresa, como em casos nos quais existem unidades de negócio diferentes ou aquisições de empresas concorrentes podem ser criadas novas árvores para atender essa necessidade. Ambientes com um conjunto de várias árvores são chamados de florestas. Desta maneira, é permitido que haja uma flexibilidade entre os domínios que têm nomes diferentes. O esquema de objetos é comum a todas as árvors. Vejamos um exemplo de uma estrutura de Active Directory simplificada: Figura 2.1 Estrutura simplificada do Active Directory 41

Em termos de estrutura física, dividimos os computadores do Active Directory em Subnets IP. Isso fará com que as informações a respeito dos objetos do Active Directory sejam replicadas de forma mais inteligente, economizando assim banda de seu link de WAN. Ao se instalar um computador executando o Microsoft Windows 2000 Server, esse não possui por padrão as funcionalidades de Domain Controller. Para que um servidor se torne um Domain Controller, é necessário criar uma infra-estrutura de resolução de nomes por meio do DNS e, executar o programa DCPROMO.EXE. Endereçamento IP Uma das premissas das redes TCP/IP é a de que cada host deve conter um identificador único, exclusivo, o endereço IP. A analogia com o endereçamento das casas e edifícios é perfeita. Duas pessoas podem morar na mesma rua, mas suas casas têm um número exclusivo (a Empresa de Correios e Telégrafos agradece). Em uma rede roteada, um computador precisa de no mínimo três configurações relacionadas ao endereçamento IP. O endereço IP, que identifica a máquina exclusivamente na rede, a máscara de sub-rede (subnet mask) que identifica a parte do endereço IP que se destina a identificação da rede no endereço IP e um Default Gateway, que é o endereço do dispositivo que roteará os pacotes IP para redes remotas. Quando uma rede é menor, com apenas algumas estações, é simples controlar qual host possui qual IP e, dessa maneira, evitar conflitos. A configuração manual do endereçamento IP, também não é tão sacrificante para essas condições. Porém, em uma rede com um número de hosts um pouco maior, isso pode se tornar um grande problema. O controle de quem possui qual IP se torna mais difícil e por melhor digitador que você seja, um erro na configuração do endereçamento IP pode ocasionar um problema muito difícil de detectar e sanar. O Capítulo 7 tem informações mais detalhadas sobre os tópicos a seguir (DHCP, WINS e DNS). Vamos a uma breve introdução que se faz necessária para melhor compreensão dos demais tópicos. Dynamic Host Configuration Protocol (DHCP) Para a situação descrita anteriormente, o serviço do DHCP é muito importante. Esse serviço tem por finalidade configurar automaticamente o endereçamento IP dos hosts de sua rede. 42

Quando um computador cliente DHCP é iniciado, este envia um pacote na rede solicitando um endereço IP a um servidor de DHCP na rede. Esse passo é conhecido como DHCPDiscovery. O servidor de DCHP recebe a solicitação e envia um pacote oferecendo um endereço IP (DHCPOffer). O cliente recebe o pacote DHCPOffer e envia um outro pacote fazendo o passo conhecido como DHCPRequest, ou seja, requisitando aquele endereço oferecido. O servidor de DHCP entrega o endereço IP ao cliente, e envia um pacote avisando que o endereço está liberado (acknologedment). O nome desse pacote que informa ao cliente que seu endereço está liberado para o uso é o DHCPAck. O cliente recebe um endereço IP e poderá ficar com ele durante o tempo máximo configurado para o lease (aluguel). O tempo de lease padrão no serviço de DHCP do Windows 2000 é de oito dias. A cada vez que o computador for reinicializado, o processo para a locação do IP será realizado novamente. Portanto nem sempre o endereço IP será o mesmo. Esse fato é especialmente relevante, quando se tratar de servidores. Em geral, esses computadores recebem endereços IP fixos. Para que o banco de dados mantido pelo servidor de DHCP se mantenha consistente, o cliente tem de renovar o período de lease. A solicitação de renovação do lease acontece na metade do tempo configurado para isso. Se por algum motivo o cliente não conseguir renovar seu lease nesse período, será feita uma nova tentativa na metade do tempo restante, continuando assim até que o período se esgote e o cliente perca o endereço IP. Depois de perder o endereço, o cliente tentará renovar seu endereço IP a cada 5 minutos. O clientes DHCP recebem endereços IP contidos em uma faixa de endereços predeterminada. Essa faixa é o escopo. Além de endereços IP, o escopo pode conter configurações diversas, como, por exemplo, endereço do servidor de WINS, endereço do servidor de DNS, endereço do Default Gateway, entre outros. Essas opções também são configuradas no cliente que recebe o endereço IP. Resolução de nomes Muito bem. O serviço de DHCP está funcionando e agora nossos computadores-cliente recebem seus endereços IP automaticamente, porém, quando um cliente tenta acessar qualquer recurso por meio de seu nome por exemplo, \\server1, nada acontece. Nesse ponto entra a configuração do serviços de WINS e DNS. 43

Windows Internet Name Service (WINS) Todos os computadores e uma rede da plataforma Windows tem um nome de no máximo quinze caracteres exclusivo na rede que é o nome NetBios (Netbios Name). Esse nome é utilizado no acesso aos diversos serviços que esse computador provê na rede, como, por exemplo o serviço de servidor que atesta que esse computador possui recursos disponibilizados à rede. Quando um computador é inicializado, este se anuncia na rede, propagando seu nome e seus serviços. Se um outro computador já estiver utilizando o mesmo nome na rede, o anúncio não é aceito e o computador não pode ser utilizado na rede. O anúncio e o acesso aos computadores pelo nome são feitos por meio de broadcasts, gerando tráfico de rede. Em horários de pico, por exemplo, quando os usuários chegam ao escritório pela manhã, a performance pode ser degradada. O serviço de WINS mantém um banco de dados no qual são registrados todos os anúncios dos clientes WINS. Quando um computador-cliente WINS faz acesso a outro computador da rede pelo nome, em vez de enviar um broadcast para toda a rede, este faz uma pesquisa no serviço de WINS. Como resultado dessa pesquisa, é retornado o endereço IP do computador de destino, que é acessado diretamente. Em uma rede com pontos remotos, é possível configurar a replicação de dados dos servidores de WINS, evitando assim que um cliente tenha de atravessar um link lento de WAN para se registrar ou pesquisar a base de dados do serviço. A resolução de nomes em uma rede com o Active Directory é baseada no DNS, mas o serviço de WINS está presente no Windows 2000 para compatibilidade regressa. Para o exame, esses são conceitos importantes. Domain Name System (DNS) O serviço de DNS é comumente associado com a Internet, por ser o sistema de resolução de nomes para aquela rede, porém as redes baseadas no Active Directory Services do Windows 2000 utilizam esse mesmo método. O serviço de DNS consiste em um banco de dados que mapeia nomes de host a endereços IP. Um dos benefícios disso é que nomes são muito mais simples de lembrar que endereços IP e os nomes são muito mais resistentes a mudanças que os endereços IP. 44

A resolução de nomes via DNS baseia-se no Name Space. O Name Space é um esquema de nomes que identifica um host baseado em uma estrutura hierárquica. Por exemplo, se for necessário acessar por meio de seu browser o endereço http:// www.microsoft.com, o serviço de DNS resolverá esse nome seguindo e hierarquia, pegando o nome de trás para frente. Se o endereço ainda não estiver no cache do servidor de DNS, este questionará um root server. Os root servers são o nível mais alto na hierarquia e são identificados pelo ponto, no final de cada endereço de Internet. Em geral, esse ponto não aparece, apenas por questões de convenção. No caso de nosso endereço de exemplo, www.microsoft.com, o root server indica ao servidor de DNS quem pode resolver os endereços.com, um nível abaixo na hierarquia. Esse nível da hierarquia é conhecido como Top Level Domain. Os servidores que resolvem os nomes.com não têm informações para dizer qual é o endereço IP do servidor WWW no domínio microsoft.com, mas têm as informações de quem são os servidores de nomes para o domínio microsoft.com. O servidores de nomes para o domínio microsoft.com, que foi indicado pelo servidor do Top level Domain, têm uma lista de registros mapeando endereços IP aos nomes de servidores de seu domínio. Quando questionado a respeito da máquina WWW, ele retornará o endereço IP para essa máquina, e este será acessado diretamente pelo, cliente, seu browser. Dentro da rede a resolução de nomes acontece da mesma maneira, exceto pelo fato de que as informações do serviço de DNS podem ser armazenadas no Active Directory, tornando, dessa maneira, muito mais rápido o processo de busca. Outra funcionalidade do DNS do Windows 2000 é o Dynamic Update (Atualização Dinâmica). Todos os hosts que negociam sua configuração de TCP/ IP, junto ao serviço de DHCP, automaticamente são registrados no serviço de DNS. Em versões anteriores do serviço, essa característica não existia e todas as entradas tinham de ser feitas manualmente, tornando inviável sua implementação em ambientes mais complexos. Monitorar, configurar e controlar acesso a impressoras, arquivos, pastas e pastas compartilhadas Os métodos pelos quais os acessos aos recursos são gerenciados tiveram uma melhoria significativa em relação às versões anteriores do produto. Tanto para o exame quanto para a vida real, é necessário que você conheça as seguintes técnicas. 45

Compartilhando e publicando recursos de arquivos O Windows 2000 permite que arquivos sejam compartilhados entre computadores da rede, ou publicados no Active Directory. A publicação desses recursos no Active Directory faz com que estes sejam mais facilmente encontrados, pois podem ser procurados de maneira centralizada. A ferramnta Computer Management permite o gerenciamento destes recursos que estão sendo disponibilizados. Figura 2.2 Interface da ferramenta Computer Management No item System Tools da ferramenta Computer Management, podemos gerenciar as pastas compartilhadas. Em computadores rodando o Microsoft Windows 2000, essas pastas permitem que usuários da rede tenham acesso a recursos de arquivos. Quando uma pasta é compartilhada, os usuários podem se conectar a essas pastas e obter acesso aos arquivos que lá estão contidos, desde de que tenham as devidas permissões. Pastas podem ser compartilhadas tanto a partir do Windows Explorer quanto da ferramenta Computer Management. 46

O serviço de diretório do Windows 2000 provê grande facilidade em armazenamento de informações sobre objetos e obtenção dessas informações. Como administrador de uma rede baseada em Windows 2000, você pode publicar pastas compartilhadas fazendo com que o acesso a elas seja mais rápido. A publicação de pastas é feita por meio do Active Directory Users and Computers. Clique com o botão direito sobre o domínio para o qual você deseja publicar uma pasta compartilhada, clique em New e, em Shared Folder. Na caixa de diálogo apresentada, digite o nome de sua publicação e ocaminho para esta. Depois de entrar com essas informações, sua pasta compartilhada aparecerá no domínio. Figura 2.3 Publicação de uma pasta compartilhada Ao compartilhar uma pasta, você deve definir quais são as permissões de acesso a ela, ou seja, você deve definir quais são os direitos dos usuários quando estes estiverem se conectando a essa pasta compartilhada por meio da rede. Por padrão, a pasta é compartilhada com permissões bastante abrangentes: Todos Controle Total (Everyone Full control). Esse tipo de permissão pode não ser muito segura. 47

Os tipos de permissão podem ser Full Control, Change e Read. Veja o que os usuários podem fazer ao receber essas permissões: Ação Full Control Change Read Visualizar nomes de arquivos e subpastas X X X Acesso a subpastas X X X Adicionar pastas e arquivos à pasta compartilhada X X Modificar dados nos arquivos X X Excluir subpastas ou arquivos X X Para compartilhar uma pasta, proceda da seguinte maneira: 1. Abra o item Computer Management a partir do menu Administrative Tools. 2. Selecione a árvore System Tools e expanda Shared Folders. 3. Em Shared Folders clique com o botão direito em Shares e selecione New File Share. 4. Siga as instruções apresentadas pelo Create Shared Folder Wizard. Gerenciamento de permissões NTFS para arquivos e pastas Além das permissões de compartilhamento, você também deve levar em consideração as permissões NTFS. As permissões NTFS padrão são as seguintes: Permissão Full Control Modify Read & Execute List Folder Contents Read Write Descrição Permite ao usuário controle total sobre a pasta, arquivos e subpastas. Modificar arquivos existentes e criar novos arquivos. Ler arquivos existentes e executar aplicações. Listar o conteúdo da pasta. Ler arquivos existentes na pasta. Criar, excluir e alterar arquivos existentes. As permissões-padrão NTFS geralmente são suficientes para a implementação de segurança em suas pastas e arquivos; porém, existem situações em que será necessária a utilização de permissões específicas. Essas são chamadas de Permissões Especiais. Entre as permissões especiais, podemos destacar duas que são particularmente muito importantes e úteis para a implementação de segurança, as permissões Take Ownership e Change Permissions. 48

Você pode permitir que outros administradores ou usuários alterem as permissões de um arquivo ou pasta, sem ter que lhes conceder a permissão de controle total (Full Control), por meio da permissão Change Permissions (modificar permissões). A permissão Take Ownership (apropriar-se) permite que o usuário se torne o proprietário de determinado arquivo ou pasta e, a partir daí, altere suas permissões e atributos, conforme necessário. Algumas regras se aplicam à permissão de Take Ownership: Qualquer usuário com a permissão Full Control pode conceder a permissão Take Ownership a outros usuários. Participantes do grupo administrators podem tomar a propriedade de qualquer arquivo ou pasta. Se um administrator se apropriar de um arquivo ou pasta, o grupo administrator se tornará o proprietário desta. Não é possível atribuir a propriedade de um arquivo ou pasta a um usuário. A permissão Take Ownership será dada a esse usuário e ele deverá se apropriar do arquivo. Gerenciamento de heranças de permissões A herança de permissões minimiza o número de vezes que você precisa configurá-las. Ao conceder permissões para determinada pasta, por padrão as subpastas recebem as mesmas permissões. Por exemplo, vamos supor que você crie uma pasta na raiz do seu disco rígido: c:\herança. Essa pasta herdará as permissões configuradas para a raiz do seu disco. Por padrão Everyone\Full-Controll. Continuando em nosso exemplo, você modifica as permissões para a pasta herança, colocando uma permissão Administrators\Full-Controll. Ao criar uma subpasta chamada, por exemplo, c:\herança\nova herança, essa pasta receberá as permissões herdadas do objeto que está imediatamente acima dela na hierarquia de pastas. Portanto, tanto terá as permissões para Everyone quanto para o grupo administrators. Para quebrar a herança de determinada pasta ou arquio, você deverá desmarcar a opção que permite a herança do objeto-pai, na aba Security das propriedades do objeto. Figura 2.4 Check box configurando herança de permissões 49

Ao desmarcar essa opção, você receberá uma mensagem pergutando se você quer simplesmente remover as permissões herdadas do objeto-pai, ou se quer copiar essas permissões. Figura 2.5 Confirmação da exclusão da configuração de herança Caso as permissões sejam removidas, serão mantidas somente as permissões configuradas para o objeto em questão. Se as permissões forem copiadas estas serão mantidas. Copiando e movendo arquivos Ao copiar um arquivo armazenado em uma partição NTFS, este herda as permissões de destino. Isso se deve ao fato de estarmos criando um novo arquivo ao realizar a cópia. Se o arquivo for movido para uma pasta dentro da mesma partição NTFS, as permissões serão mantidas. Quando movemos um arquivo para outra partição, o processo realizado é copiar o arquivo e depois excluí-lo; por esse motivo, as permissões serão retidas. Isso funciona da mesma maneira para atributos de compactação de arquivos. 50

Compartilhando e gerenciando acesso a impressoras As impressoras são uma peça importante de sua implementação de um servidor Windows 2000. Para se dar bem no exame 70-215, você precisa conhecer alguns aspectos do acesso a esse tipo de recurso. Para compartilhar uma impressora, a fim de que outros usuários da rede possam utilizá-la, proceda da seguinte maneira: 1. instale a impressora normalmente, conforme instruções do fabricante; 2. selecione a opção Printers a partir do menu Settings; 3. clique com o botão direito sobre a impressora que você deseja compartilhar e selecione Sharing; 4. clique em Shared as e selecione um nome para o compartilhamento; 5. clique em OK. Instalando e configurando acesso a recursos A partir do procedimento anterior, a impressora estará compartilhada com as permissões-padrão deimpressão. Para visualizar as permissões de impressão, acesse as propriedades da ipressora e acione a aba Security: Figura 2.6 Propriedades de impressora 51

As permissões-padrão são as seguintes: Administradores, Operadores de Servidor e Operadores de Impressão podem administrar completamente a impressora e os documentos. O grupo interno CREATOR OWNER representa o usuário que enviou o documento para a impressora, ou seja, um usuário comum, sem nenhuma permissão administrativa, consegue gerenciar seus próprios documentos, para cancelar a impressão, por exemplo. Por padrão, qualquer usuário pode realizar a impressão. Para restringir a impressão a um determinado grupo de usuários, você deverá alterar essa permissão. Configurando o Internet Printing Protocol (IPP) Uma das funcionalidades inovadoras do Windows 2000 é a possibilidade de impressão através de uma URL e gerenciamento de impressoras pela interface de um browser, como é o caso do Microsoft Internet Explorer. Esse processo ocorre pelo Internet Printing Protocol (IPP). No momento da instalação da impressora, devemos entrar com a URL que nos levará até esta, já o gerenciamento poderá ser feito acessando a URL http:// server01/printers, em que server01 é o nome do seu servidor. Para que o IPP seja implementado, basta que o computador ao qual o dispositivo de impressão está anexado tenha o Internet Information Services (IIS) instalado. Nota: o processo de instalação de uma impressora será abordado no Capítulo 3 Configurar dispositivos de Hardware e Drivers, e a instalação e a configuração do IIS serão abordados no Capítulo 6 Configurar conexões de rede no Windows 2000. 52

Gerenciando grupos locais Instalando e configurando acesso a recursos Quando o Windows 2000 é instalado, este não possui a função de Domain Controller. Nesse servidor, são criados alguns grupos para que se tornem possíveis o processo de administração e o acesso a recursos. Esses grupos são chamados de Built-in Groups e estão armazenados na SAM desse servidor. Pertencer a um grupo de usuários dá a um usuário direitos e permissões para executar tarefas específicas naquele computador. Esses são os Built-in Groups: Administrators: os membros deste grupo podem administrar todos os recursos do computador, incluindo configurações de segurança e usuários. Backup Operators: membros do grupo Backup Operators podem ultrapassar limites de segurança para gerar e restaurar cópias de segurança do sistema e de arquivos de usuários. Power Users: os membros do grupo built-in Power Users podem criar contas de usuário, mas somente podem alterar informações de contas de usuários por eles criados. Esses usuários também podem criar grupos locais, adicionar e remover usuários de grupos por eles criados. Tipo e escopo de grupos Os tipos de grupo estão relacionados à sua funcionalidade dentro do serviço de diretório do Windows 2000. Existem dois tipos de grupo: os Security Groups e os Distribution Groups. Os Security Groups (Grupos de Segurança) são utilizados para a implementação de acesso a recursos, já os grupos de distribuição são utilizados para o envio de mensagens de correio eletrônico por meio de um gerenciador, como, por exemplo, o Microsoft Exchange Server 2000. Quando um usuário efetua logon em um domínio do Windows 2000 e tem participação em grupos de segurança, automaticamente é gerada uma lista contendo informações a respeito do acesso a recursos por parte desse usuário. Essa lista se chama DACL (Discretionary Access Control List). Para gerá-la, são consumidos recursos da rede e recursos do servidor. Se o usuário não precisar utilizar nenhum recurso compartilhado na rede, dê preferência à utilização de Distribution Groups (Grupos de Distribuição). A participação do usuário nesse tipo de grupo não gera a DACL e, portanto, faz com que exista um desempenho melhor no processo de logon do usuário. 53

Escopos de grupo Os escopos de grupo estão relacionados à maneira pela qual você vai gerenciar o acesso aos recursos de seu servidor. Existem três escopos de grupo diferentes: Domain Local Group, Global Group e Universal Group. Domain Local Group Os Domain LocalGroups (grupos locais de domínio) são utilizados para dar acesso a recursos. Por exemplo, suponha que você tenha uma pasta chamada Docs em seu servidor. Você quer dar acesso a essa pasta para todos os usuários do departamento financeiro. Provavelmente os usuários do departamento financeiro estão em grupo global. Então você deve criar um grupo domain local, chamado Docs, por exemplo, dar as devidas permissões a esse grupo e associar o grupo global financeiro a este. Domain Local Groups podem conter grupos globas, grupos universais e usuários de qualquer domínio de sua floresta. Um Domain LocalGroup também pode conter outros Domain Local Groups de seu próprio domínio. Quando o Active Directory Services O Serviço de Diretório do Windows 2000 é instalado, os seguintes Domain Local Grupos são automaticamente gerados: Administrators: os membros deste grupo podem administrar todos os recursos do computador, incluindo configurações de segurança e usuários. Account Operators: membros deste grupo podem fazer a administração dos usuários do Active Directory. Por questões de segurança, um membro do grupo Account Operators não pode criar ou modificar contas de administradores do domínio ou modificar a sua própria conta. Backup Operators: membros do grupo Backup Operators podem ultrapassar limites de segurança para gerar e restaurar cópias de segurança do sistema e de arquivos de usuários. Guests: contas pertencentes a esse grupo têm as mesmas permissões do grupo Users. Por padrão, a conta Guest é a única conta membro deste grupo e está desabilitada. Pre-Windows 2000 Compatible Access: grupo para compatibilidade com versões anteriores que permite que todos os usuários no domínio tenham direitos de leitura. 54

Print Operators: usuários pertencentes a esse grupo podem administrar impressoras do domínio. Replicator: suporte à replicação de arquivos em um domínio. Server Operators: os membros deste grupo podem administrar servidores do domínio. Users: membros deste grupo têm o menor nível de acesso a direitos no servidor. Por padrão, um usuário pertencente ao grupo Users não pode nem ao menos efetuar logon em um servidor. Global Group Os Global Groups (Grupos Globais) são utilizados para reunir usuários que possuam uma afinidade, por exemplo, o país ou estado onde vivem ou trabalham, o departamento em que trabalham, cargo ou função que exercem. O Departamento de Marketing de sua empresa, por exemplo, concentra uma gama de profissionais que, em geral, necessitam acesso aos mesmos recursos, impressoras e pastas compartilhadas no servidor. Para facilitar a administração desaes usuários, é interessante que todos eles façam parte de um mesmo grupo. Global Groups podem fazer parte de Domain Local Groups em seu próprio domínio. Quando o Active Directory do Windows 2000 é instalado, por padrão, são criados os seguintes built-in groups: Domain Users: por padrão, qualquer usuário que você criar em um domínio do Windows 2000 se torna automaticamente membro deste grupo você pode utilizar o Grupo Domain Users (Usuários do Domínio) para representar todas as contas de usuários criadas no domínio. Por exemplo, se você quer que todos os usuários do domínio acessem determinada pasta compartilhada no servidor, você pode assinalar permissões de impressão para esse grupo (na verdade, será feita a associação esse grupo global a um grupo Domain Local que tenha essas permissões, como veremos mais adiante, ainda neste capítulo). Por padrão, o grupo global Domain Users tem participação no grupo domain local Users, no mesmo domínio. Domain Admins: O Grupo Global Domain Admins (Administradores do Domínio) pode representar usuários que tenham direitos administrativos completos sobre o Servidor / Domínio. Devido ao fato 55

de o Windows 2000 suportar administração e delegação de autoridade, é importante diminuir a quantidade de usuários associados a esse grupo. Por padrão, o Grupo Domain Admins faz parte do Grupo Domain Local Administrators. Domain Guests: Por padrão, esse grupo (Convidados do Domínio) faz parte do grupo Local de Domínio Guests e a conta-padrão Guest (Convidado) é membro deste. Esse grupo tem a finalidade de prover acesso a usuários de outros domínios que queiram acessar recursos no servidor Windows 2000, sem a necessidade de duplicação de contas ou estabelecimento de relacionamentos de confiança. Universal Groups (Grupos Universais) Um grupo Universal é um grupo de distribuição ou segurança que pode ser utilizado em qualquer lugar da árvore de domínios ou da floresta. Grupos deste escopo podem conter membros de qualquer domínio Windows 2000 da árvore de domínios ou da floresta. Também podem ser membros de um grupo Universal, outros grupos universais, grupos globais e contas de usuário de qualquer domínio. Grupos Universais podem ser membros de qualquer Domain Local Group, mas não podem ser membros de grupos globais. A utilização de grupos universais agrega um melhor desempenho no acesso aos recursos de seus servidores, pois somente são registrados no Global Catalog Server informações a respeito do grupos globais que nele estão contidos e não todos os usuários envolvidos. Garantindo acesso a recursos por meio das permissões de acesso O procedimento para garantir acesso a recursos disponibilizados em seu servidor rodando o Windows 2000 é simples. Basta que você siga algumas regras bem claras e saiba quais serão os efeitos gerados pela aplicação destas. A regra que deve ser utilizada para atribuição de permissões de acesso é a AGDLP: Contas de usuário (Accounts) devem estar dentro de Grupos Globais (Global Groups), os quais devem ser associados a Grupos Locais de Domínio (Local Domain Group), para os quais devem ser dadas as permissões de acessos (Permissions). 56

Vamos ver como essa regra se aplica em um cenário cotidiano: João da Silva é funcionário do Departamento de Vendas de uma determinada empresa. Nesse departamento, existe uma impressora a laser, que deve ser utilizada somente para a impressão de pedidos de clientes. Utilizando a AGDLP, procederíamos da seguinte maneira: Conta de Usuário: Grupo Global: Grupo de Domínio Local: Participantes do Grupo de Domínio Local: Permissões: Jsilva (João da Silva) HPLaser Vendas Grupo Global Vendas HPLaser - Imprimir O usuário João da Silva e todos os outros funcionários do departamento de vendas foram ao grupo Vendas por terem essa afinidade. Foi criado um Grupo de Domínio Local HPLaser que acomoda o grupo global. Foram dadas permissões de Imprimir para esse Grupo Domínio Local HPLaser. Portanto, temos a AGDLP aplicada no acesso a esse recurso. Implementação de arquivos offline Um dos recursos de gerenciamento de documentos inovadores de redes Windows 2000 é a utilização de arquivos off-line. Esse recurso permite que os usuários, mesmo desconectados da rede, tenham condições de acessar seus documentos. Quando o usuário se desconecta da rede, os arquivos do usuário permanecem disponíveis, como se este ainda estivesse conectado. Esses arquivos permanecem no cache da máquina do usuário. Um usuário pode copiar, colar, recortar ou até excluir um arquivo. Ao se conectar novamente, os arquivos do usuário são automaticamente sincronizados com os arquivos que estão na rede. Para configurar essa opção em seu servidor Windows 2000 proceda da seguinte maneira: 1. acesse as propriedades da pasta compartilhada para a qual deseja configurar o acesso off-line; 2. clique na aba Sharing; 3. clique no botão Caching; 4. selecione a pção Allow caching of files in this shared folder (Essa opção está selecionada por padrão); 57

5. selecione como os arquivos devem ser enviados para o cliente. Figura 2.7 Tela de configuração de caching Automatic Caching for Documents: recomendado para pastas contendo documentos de usuários. Os arquivos abertos são automaticamente baixados para a máquina cliente e se tornam disponíveis quando o usuário não está conectado a rede. As cópias mais antigas dos documentos são automaticamente excluídas e dão lugar a cópias mais recentes quando o usuário se loga novamente. Automatic Caching for Programs: recomendado para arquivos somente leitura ou para aplicações que funcionam a partir da rede. Manual Caching for Documents: também recomendado para pastas cujo conteúdo é integrado por arquivos de documentos de usuários. Ao utilizar essa opção, o usuário deverá especificar manualmente que deseja que esse conteúdo esteja disponível off-line. 58

Configurar e gerenciar o Distributed File System (DFS) Devido ao fato de os recursos estarem altamente distribuídos dentro de seu ambiente, seus usuários podem encontrar dificuldades para acessá-lo. A função do DFS é ajudar na tarefa de tornar mais simples o acesso a esses recursos. O DFS incorporado ao sistema operacional provê mecanismos para que os administradores criem uma estrutura lógica de diretórios e arquivos independentemente da sua estrutura física. A composição de um DFS é a seguinte: Instalando e configurando acesso a recursos DFS Root (Raiz de DFS): é o compartilhamento que seus usuários estarão vendo na rede. DFS Links: são os ponteiros que serão colocados para as pastas compartilhadas que integrarão esse DFS Root. Um DFS Root pode ser integrado ao Active Directory provendo, dessa maneira, tolerância a falhas, já que o conteúdo do DFS Root pode ser replicado para todos os Domain Controllers de seu ambiente. Pode também criar stand-alone DFS Roots. Nesse caso, toda a funcionalidade estará presente, exceto a replicação das informações de compartilhamento. Resumo Gerenciar recursos de rede é uma tarefa do dia-a-dia de um administrador de um servidor que executa o Microsoft Windows 2000 Server. Todos os conceitos relacionados a esse capítulo devem estar bem fixados. Tenha certeza de conhecer bem a técnica de implementação do AGLDP e diferenciar as funcionalidades dos grupos locais de domínio, grupos globais e grupos universais. Reforce os conceitos da implementação de segurança a recursos NTFS. O conceito do Active Directory também é importante para superar esse objetivo. Não se esqueça também das outras maneiras de facilitar o acesso a recursos, com a publicação de pastas compartilhadas, arquivos off-line e DFS. Práticas recomendáveis Uma das práticas mais interessantes para esse objetivo é testar o controle de acesso criando recursos e configurando permissões. 59

Questões de revisão 1) Sua empresa possui uma rede de pequeno porte com cinco computadores cliente e um servidor. Pelo tamanho da rede, você decide por implementar um workgroup e não um domínio. Qual seria o método de resolução de nomes mais adequado para essa situação: a. Arquivo Hosts b. Wins c. DHCP d. DNS e. Arquivo LMHOSTS Resposta B. 2) Qual é a ferramenta utilizada para a distribuição de endereços IP para os hosts de sua rede? a. DHCP b. Active Directory Services c. Wins d. DNS Resposta A. 3) Grupos globais são utilizados para reunir usuários mediante uma determinada característica. a. Verdadeiro b. Falso Resposta A. 4) Você necessita dar permissões de impressão a um grupo de usuários do departamento de vendas de sua empresa a uma impressora compartilhada como printer1 em seu servidor. Qual seria a melhor estratégia para essa implementação? a. Crie um grupo Universal chamado printer1, adicione o grupo global Domain Users a ele. Dê permissões de imprimir para o grupo global Domain Users. 60

b. Crie um grupo domain local chamado printer1, adicione o grupo global Vendas a ele. Dê permissões de imprimir para o grupo domain local Printer1. c. Crie um grupo domain local chamado printer1, adicione o grupo global Vendas a ele. Dê permissões de Full-Control para o grupo domain local Printer1. d. Crie um grupo global chamado printer1, adicione o grupo Universal Vendas a ele. Dê permissões de Manage Documents para o grupo domain local Printer1. Resposta B. 5) Você tem recursos dos usuários do departamento de vendas espalhados por três servidores diferentes. Seus usuários estão sentido uma certa dificuldade em encontrar seus arquivos. Que tipo de implementação poderia ser feita para auxiliar os usuários a acessar seus arquivos? a. DFS b. Off-line folders Resposta A. 61

2026 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback