Administração de Sistema
Operacional de Rede
Windows
Server-2003
TECNOLÓGICOS
Ricardo de Oliveira Joaquim
Tipos de Configuração de rede
AGrupos
adota
uma
terminologia
paramanter
referenciar-se
a
de Trabalho
W2K3
• Microsoft
Não requer
um
computador
rodando W2K3própria
Server para
as informações
de segurança
redes
Windows
baseadas(ou
emworkgroup)
duas arquiteturas:
Um
grupo
decentralizada.
trabalho
é um agrupamento lógico de
computadores em rede que compartilham recursos, como arquivos e
• É simples para
planejar
e implementar;
elexnão
requer o extensivo
planejamento
Grupos
de
Domínios
impressoras,
sem
existir
umtrabalho
servidor
dedicado,
responsável
pelo
e administração que um domínio exige.
gerenciamento e funcionamento da rede. Os grupos de trabalho
baseados
em W2K3
seguintes
vantagens:
• É conveniente
paratêm
umaslimitado
número
de computadores localizados
proximamente, portanto um grupo de trabalho torna-se impraticável em ambiente
com mais de 10 computadores.
•É apropriado para um pequeno grupo de usuários com boa desenvoltura técnica
para dispensar o trabalho de um administrador para a rede.
Tipos de Configuração de rede
Domínios W2K3
Um domínio W2K3 é um agrupamento lógico de computadores em
rede que compartilham um banco de dados de segurança
centralizado, responsável dentre outras coisas por armazenar as
informações dos usuários da rede e informações de segurança para
o domínio. Este banco de dados é conhecido como diretório e é
parte do Active Directory, que é o serviço de diretório do W2K3.
Em um domínio, o diretório reside em computadores configurados
como controladores de domínio (domains controllers). Um
controlador de domínio (domain controller) é um servidor que
gerencia todas as informações de segurança relacionadas a
usuários, interação entre domínios e administração centralizada.
Tipos de Configuração de rede
Um domínio não refere-se a uma única localização ou a um tipo
específico de configuração de rede. Os computadores em um
domínio
podem
estar
fisicamente
próximos
em uma pequena rede
Os domínios
W2K3
oferecem
as seguintes
vantagens:
local (LAN) ou podem estar localizados em diferentes cantos do
Mundo, comunicando-se sobre vários tipos de conexões (WAN).
• Administração centralizada porque todas as informações de
usuários estão armazenadas centralizadamente.
• Processo único de logon para usuário obterem acesso aos
recursos da rede, como arquivos, impressoras ou aplicações para
as quais ele tenha permissão.
Tipos de Configuração de rede
Comparação entre grupos de trabalho e domínios
Um domínio é um grupo de contas e recursos de rede que
compartilham um mesmo banco de dados de diretórios e conjunto de
diretivas de segurança e que pode ter relacionamentos de segurança
com outros domínios.
Um grupo de trabalho é um agrupamento mais simples, destinado
apenas a ajudar os usuários a localizar objetos, como impressoras e
pastas compartilhadas dentro desse grupo. O domínio é a opção
recomendada para todas as redes, exceto redes muito pequenas com
poucos usuários.
Tipos de Configuração de rede
Em um grupo de trabalho, os usuários podem precisar memorizar
várias senhas, uma para cada recurso de rede. (Além disso, usuários
diferentes podem usar senhas diferentes para cada recurso.) Em um
domínio, é mais fácil controlar senhas e permissões, já que um
domínio tem um único banco de dados centralizado de contas de
usuário, permissões e outros detalhes de rede.
As informações desse banco de dados são replicadas
automaticamente entre os controladores de domínio. Você determina
quais servidores são controladores de domínio e quais são simples
membros do domínio. Você pode determinar essas funções não
apenas durante a instalação mas também posteriormente.
Tipos de Configuração de rede
Os domínios e o sistema de diretórios do Active Directory do qual
eles fazem parte oferecem várias opções para tornar os recursos
disponíveis mais facilmente para os usuários enquanto mantêm um
bom monitoramento e segurança.
Gerenciamento de usuários e grupos
As contas de usuários contém as credenciais que identificam
um usuário. Elas permitem que um usuário efetue logon em um
domínio e tenha acesso aos recursos disponíveis nesse
domínio. Permitem também que um usuário efetue logon
localmente e tenha acesso aos recursos de um computador. O
W2k3 possui 3 tipos de contas de usuários:
• Contas de usuários locais : essas contas são armazenadas
localmente no gerente de contas de segurança (SAM) de um
computador. Essas contas são válidas somente no computador
em que foram criadas. Caso o usuário deseje utilizar um outro
computador, deverá possuir uma outra nesse outro
computador.
Gerenciamento de usuários e grupos
• Contas de usuários de domínios: essas contas são
armazenadas no banco de dados do AD, em um Controlador
de Domínio. Permitem que o usuário efetue logon em um
domínio e acesse todos seus recursos disponíveis. Os usuários
podem obter acesso aos recursos disponíveis no domínio a
partir de qualquer computador da rede.
• Contas de usuários internas: são as contas criadas
automaticamente durante a instalação do Windows 2000 e do
AD. Essas contas são: Administrador e Convidado e não
podem ser excluídas. Podem ser locais ou de domínio.
Gerenciamento de usuários e grupos
Propriedades da conta de usuário local
Criar uma conta de usuário local
Para a criação de contas de usuário, temos algumas
considerações:
• As contas de usuários devem ser exclusivas, ou seja, em um
mesmo computador não podemos ter duas contas de usuário com o
mesmo nome. Isso é válido para o AD também.
• O tamanho máximo para o nome do usuário é de 20 caracteres
maiúsculos ou minúsculos. Os seguintes caracteres
ser utilizados: “ / \ [ ] : ; | = , + * ? < >
• Atribua senhas complexas para as contas
principalmente para a conta Administrador.
não podem
de
usuário,
Diretrizes para Senhas
Ensine aos usuários a importância de usar senhas complexas
difíceis de serem descobertas:
Evite usar senhas com uma associação óbvia, como nome do
membro de uma família.
Use senhas longas, pois são mais difíceis de serem
adivinhadas.
As senhas podem conter até 128 caracteres. Recomenda-se o
comprimento mínimo de 8 caracteres.
Use uma combinação de letras maiúsculas e minúsculas e
caracteres não-alfanuméricos.
Criar uma conta de usuário local
• Para as contas de domínio, podemos definir a hora em que o
usuário poderá efetuar logon, os computadores no qual o usuário
poderá efetuar logon, data de expiração da conta de usuário, se
usuário deverá alterar a senha no seu próximo logon, se o usuário
não poderá alterar sua senha, se a senha nunca expirará e se a
conta estará desativada.
• Para as contas locais, podemos definir se o usuário deverá
alterar a senha no seu próximo logon, se o usuário não poderá
alterar sua senha, se a senha nunca expirará, se a conta estará
desativada e de quais grupos o usuário participará.
Definindo horas de logon
Por padrão, os usuários podem se conectar a um servidor, 24 horas
por dia 7 dias por semana. Em uma rede de alto nível de segurança,
convém restringir o horário que um usuário pode efetuar logon na
rede. Por exemplo é aconselhável restringir o horário nos tipos de
ambiente a seguir:
Onde as horas de logon constituem uma condição para certificação
de segurança, como em uma rede governamental.
Onde há vários turnos. Você pode permitir que os funcionários do
turno da noite efetuem logon somente durante suas horas de
trabalho.
Para definir horas de logon, execute as seguintes etapas:
Definindo horas de logon
• Abra a caixa de diálogo Properties referente à conta de usuário.
Na guia Account clique em Logon Hours (Horas de logon).
• Uma caixa azul indica que o usuário pode efetuar logon durante a
hora. Uma caixa branca indica que o usuário não pode efetuar
logon.
• Para permitir ou negar acesso, execute um dos seguintes
procedimentos e clique em OK:
• Selecione as caixas dos dias e das horas em que você
deseja negar acesso, clicando na hora de início, arrastando
para a hora de término e clicando em Logon Denied (Logon
negado).
• Selecione os retângulos dos dias e das horas em que você
deseja permitir acesso, clicando na hora de início,
arrastando para a hora de término e clicando em Logon
Permitted (Logon permitido).
Criar uma conta de usuário local
• Para criarmos as contas de usuário de domínio, deveremos fazêlo em um Controlador de Domínio (DC), através dos Usuários e
Computadores do AD, localizado em Ferramentas Administrativas.
Lembrando que para ser um Controlador de Domínio, o
computador deverá possuir o Windows 2000 Server ou superior e o
AD instalado.
• Para isso, deveremos estar logados no domínio e ter instalado o
utilitário que cria os ícones das Ferramentas Administrativas,
Adminpak.msi. A partir daí, além de podermos criar contas de
usuário de domínio, poderemos também administrar remotamente
um Controlador de Domínio.
• As contas de usuários de domínio são duplicadas
automaticamente para todos os Controladores de Domínio
existentes.
Criar uma conta de usuário local
Criar uma conta de usuário local.
• Abra o Painel de Controle;
• Clique em Ferramentas Administrativas;
• Clique em Gerenciamento do Computador;
• Dê dois cliques em Usuários e grupos locais;
• Clique em Usuários;
• Clique no menu Ação e escolha Novo usuário;
Criar uma conta de usuário local
Criar uma conta de usuário local.
• Digite o nome de usuário;
• Digite o nome completo;
• Digite a descrição;
• Digite e confirme a senha;
• Defina se o usuário deverá alterar a senha no próximo logon;
Criar uma conta de usuário local
Criar uma conta de usuário local.
• Defina se o usuário não pode alterar a senha;
• Defina se a senha nunca expira;
• Defina se a conta está desativada;
• Clique em Criar e em Fechar.
Criar uma conta de usuário local
Criação de usuário local
Criar uma conta de usuário de domínio
Criar uma conta de usuário de domínio.
Lembramos que essa tarefa deve ser executada em um
Controlador de Domínio ou em um cliente W2K3 conectado ao
domínio, e com o Adminpak.msi instalado.
•
Abra o console Usuários e computadores do AD;
•
Clique em Usuários;
•
Clique no menu Ação, Novo e Usuário;
• Digite o primeiro nome do usuário, as iniciais, o último nome e
o nome completo;
Criar uma conta de usuário de domínio
Criar uma conta de usuário de domínio.
•
Digite o nome de logon do usuário e escolha o domínio;
•
Clique em Avançar;
•
Defina e confirme a senha;
•
Defina se o usuário deverá alterar a senha no próximo logon;
•
Defina se o usuário não pode alterar a senha;
Criar uma conta de usuário de domínio
Criar uma conta de usuário de domínio.
•
Defina se a senha nunca expira;
•
Defina se a conta está desativada;
•
Clique em Avançar;
•
Clique em Concluir.
Criar uma conta de usuário de domínio
Criação de usuário de domínio
Ferramentas Administrativas
Após termos instalado as Ferramentas Administrativas no
W2K3, contaremos com o comando Executar como (Run as). Esse
comando permite que um usuário execute as Ferramentas
Administrativas sem estar logado com uma conta com direitos
administrativos. Ou seja, não precisamos efetuar logon no W2K3
com uma conta de Administrador. Informamos a conta com
permissões e direitos administrativos somente quando formos
executar as Ferramentas Administrativas.
Ferramentas Administrativas
Instalar as Ferramentas Adm. no W2K3.
•
Insira o CD de instalação do W2K3 Server no drive de CD;
•
Vá até a pasta \I386 do CD;
•
Localize o arquivo Adminpak.msi e dê dois cliques nele;
•
Aguarde alguns instantes e clique em Next (Avançar);
• Aguarde até que o utilitário seja instalado e clique em Finish
(Concluir).
Ferramentas Administrativas
Instalação do AdminPak.msi
Pausa para Reflexão no café
A matemática tem coisas que nem
Pitágoras explicaria.
61Digite
com
os
4os
primeiros
4 últimos
algarismos
de
do
23- some
478multiplique
diminua
divida
multiplique
1;por
250;
2...
por
por
250;
80; o algarismos
5últimos
algarismos
do
Reconhece
resultado
?pra
Pegue
uma
calculadora
porque não
dámesmo
telefone
Seufazer
telefone
de
telefone;
denovo;
cabeça,
A não ser que você seja um gênio....
Café
Executar como – “Run as”
Utilizar o comando Executar como.
• Abra o Painel de Controle;
• Clique em Ferramentas Administrativas;
• Aperte a tecla SHIFT e clique com o botão direito sobre
Gerenciamento do Computador
• Escolha a opção Executar como;
Executar como – “Run as”
• Marque a opção Executar o programa usando o seguinte
usuário;
• Digite o nome de usuário, a senha e o domínio e clique em OK.
Executar como – Run as
Configurações Avançadas
Após criarmos uma conta de usuário de domínio, poderemos fazer
algumas configurações avançadas:
• Geral : informações pessoais do usuário.
• Endereço : endereço do usuário.
• Conta : nome da conta de usuário, opções da conta e data de
expiração da conta.
• Perfil : atribui o caminho do perfil e a pasta base do usuário.
• Telefone : telefones do usuário.
Configurações Avançadas
• Organização : informações sobre a empresa.
• Participante de : grupos do qual o usuário pertence.
• Discagem : define as permissões de acesso remoto, opções de
retorno de chamada (Callback) e rotas e endereços IP estáticos.
• Ambiente : especifica um ou mais aplicativos a serem iniciados e
os dispositivos aos quais conectar durante o logon de um usuário
do Terminal Services.
• Sessões : especifica algumas configurações do Terminal Services,
como finalizar uma sessão, tempo limite da sessão, tempo de
inatividade até que uma sessão seja encerrada, entre outras.
Configurações Avançadas
• Controle remoto : especifica algumas configurações de controle
remoto do Terminal Services.
• Gerenciador de serviços de terminal : define o perfil do usuário
no Terminal Services.
Propriedades das
contas de usuários
de domínio
Configurar propriedades
Configurar as propriedades de uma conta de usuário de
domínio.
• Abra o console Usuários e computadores do AD;
• Clique em Usuários;
• Clique com o botão direito do mouse sobre o usuário
desejado e clique em Propriedades;
• Faça todas as configurações desejadas e clique em OK.
Podemos ainda copiar contas de usuário de domínio. Com
isso simplificamos a tarefa de criação de contas. Serão copiadas
algumas configurações da conta. Permissões e direitos atribuídos
a uma conta não serão copiados. Um detalhe importante, é que só
podemos copiar contas de usuário de domínio em um Controlador
de Domínio.
Cópia de conta
Copiar uma conta de usuário de domínio.
• Abra o console Usuários e computadores do AD;
• Clique em Usuários;
• Clique com o botão direito sobre uma conta de usuário e escolha
copiar;
• Digite o primeiro nome do usuário, as iniciais, o último nome e o
nome completo;
• Digite o nome de logon do usuário e escolha o domínio;
Cópia de conta
• Clique em Avançar;
• Defina e confirme a senha;
• Defina se o usuário deverá alterar a senha no próximo logon;
• Defina se o usuário não pode alterar a senha;
• Defina se a senha nunca expira;
• Defina se a conta está desativada;
• Clique em Avançar;
• Clique em Concluir.
Introdução aos grupos do W2K3
Antes de usar efetivamente os grupos, você precisa compreender
sua finalidade básica e ter uma visão geral sobre como eles
funcionam em um grupo de trabalho ou domínio.
O local em que você cria e usa grupos depende do local em que
eles serão usados em um grupo de trabalho ou domínio. Por
exemplo, em um grupo de trabalho, você só pode usar um grupo
no computador em que ele reside. Além disso, o local em que um
grupo reside depende de ele ser usado em um grupo de trabalho
ou domínio.
Como funcionam os grupos do W2K3
Grupo é uma coleção de contas de usuário usada para gerenciar o
acesso de usuários a recursos, como pastas, arquivos e
impressoras compartilhados na rede.
O grupo permite que você conceda uma única vez a ele permissões
para recursos compartilhados, e não várias vezes a usuários
individuais. Isso simplifica a administração do acesso a recursos
em uma rede.
Grupos em grupos de Trabalho
As características dos grupos em um grupo de trabalho são as
seguintes:
• São criados em computadores que não são controladores de
domínio. Isso abrange os computadores cliente que executam o
W2K3 e os servidores membro que executam o W2K3 ou o
Advanced Server.
• Residem no gerenciador de contas de segurança (SAM), que é o
banco de dados de contas de segurança local do computador.
• São usados para conceder permissões a recursos e direitos para
tarefas do sistema somente no computador em que o grupo é
criado.
Grupos de Trabalho / Domínios
Grupos em Domínios
As características dos grupos em um domínio são as seguintes:
• São criados somente em controladores de domínio.
• Residem no serviço de diretório do Active Directory.
• São usados para conceder permissões a recursos e direitos para
tarefas do sistema em qualquer computador do domínio.
Criando grupos Locais
Implementando grupos em Domínios
Os grupos de domínio permitem a administração centralizada em
um domínio. Todos os grupos de domínio são criados em um
controlador de domínio. Como em grupos locais, o W2K3 cria
grupos internos. Como há mais opções para usar grupos em um
domínio, a implementação da estratégia apropriada torna-se mais
importante.
Para implementar a estratégia de grupo, você deve estar
familiarizado com as diretrizes de criação de grupos. Isso permite
criar ou excluir grupos com êxito, quando necessário, e adicionar
participantes a eles. Será mais fácil gerenciar a rede, pois você
reservou alguns minutos para configurar grupos corretamente.
Tipo de Grupos
Há dois tipos de grupo no Active Directory:
Grupos de segurança. Use os grupos de segurança para fins
relacionados à segurança, como a concessão de permissões
para acesso a recursos. Você também pode usá-los para
enviar mensagens de email para vários usuários. Quando
você envia uma mensagem de email para um grupo, ela é
enviada para todos os respectivos participantes. Portanto, os
grupos de segurança compartilham os recursos dos grupos
de distribuição.
Tipo de Grupos
Grupos de distribuição. Os aplicativos usam grupos de
distribuição como listas para funções não relacionadas à
segurança, como o envio de mensagens de email para
grupos de usuários. Você não pode conceder permissões a
grupos de distribuição. Embora os grupos de segurança
tenham todos os recursos dos grupos de distribuição, esses
últimos ainda são necessários, pois alguns aplicativos só
podem lê-los.
Escopo de Grupos
O escopo de um grupo determina onde usar
esse grupo nos domínios. O escopo afeta a
participação em grupo e o aninhamento de
grupos Aninhar significa adicionar um grupo a
outro como participante. O W2K3 fornece três
escopos de grupo:
Escopo de Grupos
Escopo de grupo global. Use esse escopo de grupo para
organizar os usuários que compartilham requisitos semelhantes de
acesso à rede. Você pode usar um grupo global para conceder
permissões de acesso a recursos localizados em qualquer
domínio.
Os grupos globais têm participação limitada. Adicione contas de
usuário e grupos globais somente provenientes do domínio em que
o grupo global é criado.
Os grupos globais podem ser aninhados em outros grupos. Essa
função permite adicionar um grupo global a outro no mesmo
domínio ou a grupos de domínio local e universais de outros
domínios.
Escopo de Grupos
Escopo do grupo de domínio local. Use esse escopo para
conceder permissões a recursos de domínio localizados no mesmo
domínio em que o grupo de domínio local foi criado. Os recursos
não precisam residir em um controlador de domínio.
Os grupos de domínio local têm participação aberta. Adicione
contas de usuário, grupos universais e globais de qualquer
domínio.
Os grupos de domínio local não podem ser aninhados em outros
grupos, significando que você não pode adicionar um grupo de
domínio local a nenhum grupo, nem aos localizados no mesmo
domínio.
Escopo de Grupos
Escopo de grupo universal. Concede permissões a recursos
relacionados em vários domínios. Use um grupo universal para
conceder permissões de acesso a recursos localizados em
qualquer domínio.
Os grupos universais têm participação aberta. Todas as contas de
usuário e grupos de domínio podem ser participantes.
Os grupos universais podem ser aninhados em outros grupos de
domínio. Essa capacidade permite adicionar um grupo universal a
grupos de domínio local ou universais em qualquer domínio.
Criando um grupo
Para criar um grupo, abra o Active Directory Users and
Computers. Clique com o botão direito do mouse na pasta em que
deseja criá-lo, aponte para New (Novo) e clique em Group
(Grupo). A tabela a seguir descreve as opções da caixa de diálogo
Create New Object - Group (Criar novo objeto - Grupo).
Opção
Descrição
Group name
(Nome do grupo)
O nome do novo grupo. O nome deve
ser exclusivo no domínio em que o
grupo foi criado.
Group name
(pre-Windows 2000)
O nome usado para dar suporte a
clientes e servidores de versões
anteriores do Windows.
Group scope
(Escopo de grupo)
O escopo de grupo. Clique em
Domain local (Domínio local),
Global (Global) ou Universal
(Universal).
Group type
(Tipo de grupo)
O tipo de grupo. Clique em Security
(Segurança)
ou
Distribution
(Distribuição).
Excuindo um Grupo
Ao excluir um grupo, você remove as permissões e os direitos
associados a ele. A exclusão de um grupo não exclui as contas de
usuário ou os grupos participantes dele.
Cada grupo criado contém um identificador exclusivo, não
reutilizável, chamado identificador de segurança (SID). O W2K3
usa o SID para identificar o grupo e as permissões concedidas a
ele. Quando você exclui um grupo, o W2K3 não usa o SID
novamente, mesmo que crie um novo grupo com o mesmo nome.
Por isso, não é possível restaurar o acesso a recursos através da
criação de um grupo com o mesmo nome.
Abra o Active Directory Users and Computers. Na árvore de
console, expanda o domínio e clique na pasta que contém o grupo
a ser excluído. No painel de detalhes, clique com o botão direito
do mouse no grupo a ser excluído e, em seguida, clique em Delete
(Excluir).
Criando e Excluindo grupos
Adicionando participantes
a grupos de domínio
Para adicionar participantes a um grupo, execute as seguintes
etapas:
1) Na caixa de diálogo Properties (Propriedades) referente ao
grupo apropriado, clique na guia Members (Participantes) e clique
em Add (Adicionar).
2) Na lista Look in (Examinar), selecione um domínio a partir do
qual exibir contas de usuário e grupos. Você também pode
selecionar Entire Directory (Pasta inteira) para exibir contas de
usuário e grupos de qualquer lugar do Active Directory.
Adicionando participantes
a grupos de domínio
Dica: Ao adicionar participantes, você pode
classificá-los pelo nome ou pela pasta em
que residem. Na caixa de diálogo Select
Users, Contacts, Computers, or Groups
(Selecionar
usuários,
contatos,
computadores ou grupos), clique na coluna
apropriada.
Adicionando participantes
a grupos de domínio
3) Na coluna Name (Nome), selecione a conta de usuário ou o
grupo a ser adicionado e clique em Add. Você também pode digitar
o nome da conta de usuário do grupo ou do computador a ser
adicionado. Repita esta etapa para adicionar outras contas de
usuário, grupos ou computadores.
4) Clique em OK para adicionar os participantes ao grupo e, em
seguida, clique em OK novamente.
Adicionando participantes
a grupos de domínio
Dica: Também é possível adicionar uma conta
de usuário ou grupo usando a guia Member
Of (Participante de) da caixa de diálogo
Properties referente a essa conta de usuário
ou grupo. Use esse método para adicionar
rapidamente o mesmo usuário ou grupo a
vários grupos.
Administração de Sistema
Operacional de Rede
WINDOWS Server-2003
Ricardo de Oliveira Joaquim
[email protected]