Curso Técnico de Informática CEFET – RJ UnED Nova Iguaçu

Curso Técnico de Informática

CEFET – RJ UnED Nova Iguaçu

Disciplina:

Redes II (Windows Server)

Profº.: Bruno Guedes

E-mail: brunofguedes@gmail.com

Bibliografia Sugerida:

• Battisti, Júlio – Windows Server 2003 - Curso Completo. Ed. Axcel Books. 2003

• Battisti, Júlio – Windows Server 2008 - Curso Completo. Ed. Nova Terra. 2009

Conteúdo Programático:

Instalação e administração do Windows Server; Contas de usuário; Contas de grupo; Unidade organizacional; Objetos do domínio,

compartilhamento, NTFS, permissões; Gerência e administração de Impressoras; Auditoria e gerência de logs; Segurança usando o Windows server; Teste de políticas de segurança; Administração remota; Monitoramento de performance (memória, disco, rede); Compressão e criptografia, backup e recuperação de desastre .

Redes II (Windows Server)

Agora que já estudamos bastante sobre a configuração de servidores Linux, incluindo a configuração de servidores Samba. Vamos agora estudar também um pouco sobre o lado negro da força, vendo como as coisas funcionam no mundo dos servidores Windows. O objetivo deste material é servir como uma introdução à configuração do Windows 2003 Server, mostrando os principais recursos do sistema e os passos básicos para configurá-lo. Posteriormente, falaremos sobre o seu sucessor, o Windows 2008 Server!

Introdução

Como citado, o 2003 Server já tem um sucessor, o Windows 2008 Server. Apesar disso, o 2003 Server ainda continuará sendo o mais usado durante muitos anos, pois o ritmo de atualização nos servidores é muito mais lento do que nos desktops, já que o investimento necessário para atualizar os servidores (incluindo máquinas, mão de obra e outros custos relacionados) é maior e temos também o risco de algo dar errado

durante a migração, causando interrupção nos serviços de rede e causando prejuízos.

O Windows 2003 Server possui diversas versões diferentes, que se diferenciam pelo preço e

pelos recursos oferecidos:

Standard Edition: Esta é a versão padrão do sistema, destinada ao uso em servidores de rede de uso geral. Ela oferece suporte a

máquinas com até 4 processadores e a até 4 GB de RAM. Junto com a versão x64-bit, esta é a versão que utilizaríamos em um servidor de rede local.

O Windows 2003 Server

-Continuação

Web edition: É uma versão limitada do sistema, destinada a ser usada em servidores Web, que é oferecida a empresas de hospedagem a custos reduzidos. Ela oferece suporte a máquinas com até dois processadores e a até 2 GB de memória RAM e oferece um conjunto limitado de serviços. Ao locar um servidor web com o Windows, esta é provavelmente a versão que será utilizada.

O Windows 2003 Server

Enterprise Edition: Suporta máquinas com até 8 processadores e permite configurar clusters com até 8 máquinas. Ela oferece suporte ao PAE (Physical Address Extension), que permite acessar até 32 GB de memória RAM em

processadores de 32 bits que ofereçam suporte ao recurso. Esta versão é tipicamente usada em grandes servidores de bancos de dados e em servidores de alta disponibilidade.

O Windows 2003 Server

-Continuação

Datacenter Edition: Esta versão roda em uma arquitetura proprietária de hardware, que pode utilizar até 64

processadores. O sistema é fornecido junto com o hardware e com um pacote de serviços que inclui a

implementação, o que o torna uma solução incrivelmente cara, reservada a alguns nichos específicos.

x64-bit Edition: É a versão com suporte a processadores de 64 bits. Ela oferece os mesmos recursos da Standard Edition e é configurada da mesma forma, mas oferece suporte a mais memória RAM e pode rodar aplicativos otimizados para o uso de instruções de 64 bits.

Muitas das funções executadas pelo 2003 server podem ser executadas por outras versões do Windows rodando softwares adicionais. Poderíamos, por exemplo,

transformar uma máquina rodando o Windows XP em um servidor web instalando as versões Windows do Apache, do PHP e do MySQL, mas não disporíamos dos mesmos serviços e das mesmas ferramentas de gerenciamento disponíveis no 2003 Server. Além do mais, se a idéia é rodar um servidor web com o Apache, seria mais simples e mais seguro utilizar diretamente um servidor Linux, já que o Windows XP é um sistema operacional para uso em desktops, e conta com um histórico de segurança pouco honroso.

O Windows 2003 Server

-Continuação

Em geral, servidores Windows são usados em situações onde os recursos nativos do sistema oferecem algum benefício real (como no caso do Active Directory, por exemplo), quando o corpo

administrativo responsável pela rede tem experiência apenas com a implementação de servidores Windows (nesse caso possivelmente seria mais caro reciclar toda a equipe do que pagar pelas licenças

necessárias), ou quando é necessário usar softwares ou plataformas que rodam apenas sobre ambiente Windows.

A instalação do Windows 2003 Server é similar a instalação do Windows XP, logo, quem já instalou o Windows XP, não encontrará dificuldades em instalar o Windows 2003!

Uma parte da instalação que deve ser mencionada e também a única que diferencia a instalação do 2003 da instalação do XP é a tela de Modos de

Licenciamento, mostrada no próximo slide.

Instalando o Windows 2003

Server

Nesse ponto da instalação, o instalador nos

pergunta como se dará o licenciamento do nosso servidor. A opção “Por Servidor”, determinará quantas conexões simultâneas o nosso servidor poderá ter, já a opção “Por dispositivo ou por usuário”, não limita a quantidade de conexões, pois cada cliente terá a sua licença.

Escolha a segunda opção e continue a instalação do 2003 até finalizá-la!

Instalando o Windows 2003

Server - Finalizando

As opções básicas de configuração do servidor são centralizadas no “Assistente para configurar o

servidor", disponível através do menu "Iniciar". Através dele podemos adicionar funções ao servidor, de

acordo com as funções às quais ele é destinado.

Todos os serviços configuráveis através dele podem ser configurados através do painel de controle, o wizard é apenas um facilitador. Caso já tenhamos ativado um determinado serviço por outros meios, ele aparece marcado como configurado no wizard.

Configurando um servidor

Windows - Finalizando

A partir do Windows NT foi introduzido o conceito de domínios, onde um servidor central, chamado de PDC (Primary Domain Controller, ou controlador primário de domínio) armazena um diretório central, contendo os logins e senhas de acesso, permissões de segurança e outras informações. O PDC passa então a funcionar como um servidor de autenticação para toda a rede, centralizando a administração.

Ao cadastrar um novo usuário no servidor PDC, ele automaticamente pode fazer logon em qualquer uma das estações configuradas como membros do

domínio. Ao remover ou bloquear uma conta de acesso, o usuário é automaticamente bloqueado em todas as estações. Isso elimina o problema de

sincronismo entre as senhas no servidor e nas

estações e centraliza a administração de usuários e de permissões de acesso no servidor, simplificando

bastante o trabalho de administração.

O Active Directory - Continuação

A partir do Windows 2000, este recurso foi expandido, dando origem ao Active Directory. Ele é baseado em uma implementação do LDAP (Lightweight Directory Access Protocol) e permite armazenar um volume muito maior de informações, além de facilitar o uso de diversos servidores no mesmo domínio.

Essencialmente, o Active Directory oferece as mesmas funções oferecidas por um domínio NT, combinadas com novos recursos.

No Linux, existe a opção de configurar o Samba como controlador de domínio, inclusive participando do

Active Directory, como se fosse um servidor Windows. Entretanto, o Samba 3 ainda não é capaz de atuar como servidor primário do Active Directory, tarefa que por enquanto pode ser desempenhada apenas por um servidor Windows. O suporte a Active Directory está sendo incluído na versão 4 do Samba que ( no início de 2008), estava em estágio alpha.

O Active Directory - Finalizando

Como bem sabemos, o DNS é o protocolo usado para converter nomes de domínio em endereços IP. Dentro das redes Microsoft, o DNS é especialmente importante, pois a partir do Windows 2000 ele passou a ser usado como serviço primário para resolução de nomes dentro da rede (substituindo o antigo protocolo WINS) e passou a ser uma das bases do Active Directory. A rede passa então a utilizar um domínio, que pode ser dividido em subdomínios e em endereços individuais para os PCs e servidores da rede.

Embora recomendável, não é obrigatório usar um domínio registrado. Se o servidor é destinado apenas à uma rede local, ou se estamos apenas montando uma rede de teste para estudar o funcionamento do servidor, é perfeitamente possível inventar um nome de domínio.

Nesse caso é necessário configurar todos os PCs para utilizarem o endereço IP do servidor DNS local como único servidor DNS. Qualquer estação que utilize um servidor DNS externo não conseguirá encontrar o

domínio, já que ele existirá apenas dentro da própria rede.

O Servidor DNS - Continuação

A configuração do servidor propriamente dito é feita através da opção “Servidor DNS" do “Assistente para configurar o servidor":

A configuração do servidor DNS inclui dois passos. O primeiro é a configuração da zona de pesquisa, que permite que o servidor faça a resolução dos nomes. Esta é a principal parte da configuração. A segunda é configurar a zona reversa (DNS reverso), opcional, necessário apenas se o servidor usa um DNS válido e é usado como servidor de e-mails.

O DNS reverso é utilizado por diversos servidores SMTP para verificar a autenticidade dos endereços, ou seja, verificar se o servidor é realmente o responsável pelo domínio especificado no remetente dos e-mails, de forma a dificultar o envio de spam. Sem configurar a zona reversa, os e-mails provenientes do seu servidor serão rotulados como spam e descartados por muitos servidores.

O Servidor DNS - Continuação

A primeira pergunta (Select the action you would like this wizard to perform) do assistente se refere justamente a isso. Se estamos configurando um DNS local (mesmo que utilizando um domínio válido), em um servidor que não ficará diretamente disponível via Internet, escolha a primeira opção, "Create a forward lookup zone":

A segunda pergunta (Which server maintains your primary forward lookup zone) se refere à manutenção do domínio. Se não estamos usando um domínio registrado, ou se nós mesmos realizamos o registro e estamos configurando o servidor para responder por ele, use a opção "This server maintains the zone". A segunda opção (An ISP maintains the zone and a read-only secondary copy resides on the server) é usada apenas caso o domínio tenha sido

configurado por uma empresa de hospedagem ou provedor de acesso (que já configurou um servidor

externo para responder por ele) e seu servidor está sendo configurado como servidor DNS secundário.

O Servidor DNS - Continuação

O Servidor DNS - Continuação

Na opção "Zone Name" vem a parte mais importante (e mais simples), que é especificar a zona, ou seja, o domínio que será utilizado pelo servidor. É possível tanto usar um domínio primário, como “gdhn.com.br" quanto um subdomínio, como "intranet.gdhn.com.br". O uso de subdomínios é muito comum em grandes redes, de forma a permitir que cada subrede utilize uma zona diferente.

O Servidor DNS - Continuação

No final do wizard, na opção "Forwarders", marque a opção "Yes, it should forward queries to DNS servers with the following IP address" e preencha os dois

campos com os endereços dos servidores DNS usados para acessar a Internet. Isso faz com que o servidor encaminhe as requisições de domínios da Internet para eles, permitindo que as máquinas da rede local acessem normalmente.

Com isso, o servidor DNS responde diretamente

O Servidor DNS - Continuação

O Servidor DNS - Finalizando

Depois de concluído o assistente, podemos alterar a configuração do servidor DNS e ter acesso às opções

Configurando um Servidor de

Domínio

Depois de ativar o DNS, podemos acessar o assistente para ativar o Active Directory e promover o servidor a Controlador de Domínio usando a opção “Controlador de Domínio (Active Directory)" do “Gerenciar o servidor" ou

chamando o "dcpromo.exe" através do "Iniciar > Executar".

Para o primeiro controlador de domínio da rede, escolha a opção “Controlador de domínio para um novo domínio" e

em seguida a opção “Domínio em uma nova floresta". A

opção “Controlador de domínio adicional para um domínio existente" é usada apenas quando você já tem um

domínio ativo e está adicionando novos servidores a ele.

Configurando um Servidor de

Domínio - Continuação

Na pergunta seguinte (Criar um novo

domínio), podemos escolher entre três opções. Se este é o primeiro servidor de domínio, escolha a opção "

Domínio em uma nova floresta ":

Configurando um Servidor de

Domínio - Continuação

O Active Directory é organizado dentro do conceito de árvores e florestas. Tudo começa com o primeiro servidor do domínio, que passa a ser a raiz da

primeira árvore. É possível criar sub-domínios (child domains) como "adm.gdhn.com.br" e

Configurando um Servidor de

Domínio - Continuação

É possível também adicionar novos domínios (que façam parte da mesma organização), que entram na analogia como novas árvores. Ao cadastrá-los,

usaríamos a terceira opção (Domain tree in an existing forest), que faz com que a nova árvore (o novo

domínio) seja adicionado à árvore (ou seja, ao domínio) já existente, formando uma floresta.

As florestas são compostas por diversos domínios (e, conseqüentemente, por diversos servidores) que

formam um único diretório.

Configurando um Servidor de

Domínio - Continuação

Podemos imaginar um grande volume de servidores, espalhados por diferentes cidades de um país, ou mesmo por países diferentes, que mantém uma base de dados comum (replicada de forma automática) e podem ser administrados de forma centralizada. A grande bandeira do Active Directory é justamente o fato de oferecer os recursos que permitem a criação dessa estrutura.

Continuando, temos a pergunta seguinte (New Domain Name) onde devemos indicar o domínio que está

Configurando um Servidor de

Domínio - Continuação

Configurando um Servidor de

Domínio - Continuação

O "Domain NetBIOS name" é um nome alternativo para o servidor, que será fornecido aos clientes com versões antigas do Windows (95/98/ME/SE ou NT), que ainda utilizam o WINS ou pacotes de broadcast para localizar as máquinas na rede. O nome NetBIOS pode conter até 15 caracteres, incluindo letras e

números, mas é fortemente recomendado que não utilizemos pontos, para que ele não seja confundido com o nome de domínio. Uma boa opção é

Configurando um Servidor de

Domínio - Continuação

Configurando um Servidor de

Domínio - Continuação

Em seguida temos a opção de definir onde serão armazenadas as bases de dados do servidor e os logs. Por default são sugeridas pastas dentro do

Configurando um Servidor de

Domínio - Continuação

Configurando um Servidor de

Domínio - Continuação

A pergunta seguinte é sobre a localização do SYSVOL, que armazena arquivos que ficarão

acessíveis a todas as máquinas que fazem parte do domínio. Além de permitir disponibilizar atualizações de segurança, drivers, patches e outros arquivos que precisam ser instalados em diversas máquinas da rede (que seria a aplicação mais óbvia), ele armazena também os arquivos com as políticas de grupo, e os scripts de logon, que são executados pelas estações quando o usuário faz logon. Isso faz com que o

Configurando um Servidor de

Domínio - Continuação

Configurando um Servidor de

Domínio - Continuação

As políticas de grupo (group policies) permitem limitar o ambiente dos usuários, bloqueando o uso do

Gerenciador de tarefas, restringindo os aplicativos disponíveis, bloqueando alterações no ambiente de trabalho, bloqueando a instalação de programas e assim por diante. A idéia é restringir as opções e as alterações que podem ser feitas pelos usuários,

reduzindo assim o volume de trabalho das equipes de manutenção e de suporte.

Configurando um Servidor de

Domínio - Continuação

Continuando, se houver qualquer problema com a configuração do servidor DNS, que impeça seu uso em conjunto com o Active Directory, o assistente exibe o menu abaixo, onde temos a opção de corrigir o problema manualmente e executar o teste novamente, deixar que o

assistente corrija o problema automaticamente ou concluir a configuração e deixar para solucionar o problema manualmente mais tarde.

Configurando um Servidor de

Domínio - Continuação

Em configurações simples, ou seja, um único DNS local, respondendo por um único domínio, o wizard costuma fazer um bom trabalho na resolução do problema, por isso

podemos arriscar usar a segunda opção sem medo, mas no caso de um servidor de produção seria recomendável

estudar o problema com mais calma.

Configurando um Servidor de

Domínio - Continuação

Através dele podemos executar diversas tarefas que não podem ser

executadas enquanto o sistema está ativo, como transferir os arquivos do banco de dados para outro servidor ou realizar uma desfragmentação do BD em modo offline.

Naturalmente, é essencial que seja escolhida uma boa senha.

Configurando um Servidor de

Domínio - Continuação

No final do processo é necessário reiniciar o servidor, para que todas as mudanças sejam aplicadas.

Configurando um Servidor de

Domínio - Continuação

Isso acontece por que ambas as ferramentas permitem administrar usuários locais e, ao ativar o Active Directory,

deixamos de usar contas locais e passamos a usar contas cadastradas no diretório. A administração passa então a ser feita através do “Ferramentas Administrativas > Usuários e Computadores do Active Directory".

Configurando um Servidor de

Domínio - Continuação

Dentro do utilitário, expanda a árvore do domínio (na coluna da esquerda), clique com o botão direito sobre a pasta "Users" e

Configurando um Servidor de

Domínio - Finalizando

Esta mesma ferramenta é usada para criar

grupos, criar

compartilhamentos de rede e impressoras, entre outros recursos. Toda a configuração feita aqui é salva no diretório e é automaticamente

replicada para os demais servidores, passando a valer para toda a rede.

Cadastrando máquinas em um

domínio

O próximo passo é cadastrar as demais máquinas da rede no domínio, o que precisa ser feito manualmente em cada cliente, seja localmente ou seja usando a assistência remota.

Nas estações com o Windows XP Professional, acesse o "Painel de Controle > Sistema > Nome do

Computador" e use a opção "Alterar...". No menu seguinte, defina o nome da máquina e indique o

Cadastrando máquinas em um

domínio - Continuando

Cadastrando máquinas em um

domínio - Continuando

Na tela de identificação que será aberta a seguir, devemos efetuar um login no servidor usando o login "administrator", "administrador" ou outra conta

administrativa, com permissão para ingressar máquinas no domínio.

Fornecer a senha da conta administrativa ao cadastrar o cliente no domínio, prova que quem está fazendo a

Cadastrando máquinas em um

domínio - Continuando

Lembre-se de que para encontrarem o domínio, as estações devem ter sido configuradas para utilizarem o endereço IP do servidor DNS interno e não o DNS do provedor ou qualquer outro servidor externo. Sem isso, receberemos uma mensagem como a do próximo slide, avisando que a estação não conseguiu encontrar o servidor. Nesse caso, altere a configuração de rede da estação, adicionando o endereço IP do servidor como DNS primário e tente novamente.

Cadastrando máquinas em um

domínio - Continuando

Mesmo que toda a configuração esteja correta, é normal que a conexão inicial demore um ou até dois minutos. Se tudo der certo, somos saudados com uma mensagem de boas vindas:

Quando a máquina passa a fazer parte do domínio, é criada uma "relação de confiança" entre ela e o servidor. Uma senha (chamada de "machine trust account password") é usada pela máquina para comprovar sua identidade ao contatar o servidor de domínio. Esta é uma senha interna, gerada automaticamente pelo sistema durante a conexão inicial.

Cadastrando máquinas em um

domínio - Continuando

Depois de reiniciar a estação, o default da tela de login passa a ser realizar o login no domínio em vez de na máquina local. Isso permite fazer logon usando qualquer uma das contas cadastradas no

Cadastrando máquinas em um

domínio - Continuando

Uma vez que a máquina é adicionada ao domínio, passa a existir uma distinção entre as contas locais (que são válidas quando é usada a opção de fazer logon na

máquina local, na tela de logon) e as contas do domínio. Quando o usuário se loga na estação, usando uma das contas cadastradas no servidor, ele é na verdade logado (na estação local) usando uma conta limitada, onde ele não tem permissão para compartilhar arquivos, para alterar as configurações da rede, nem para alterar a maior parte das configurações do sistema.

Cadastrando máquinas em um

domínio - Continuando

Em muitas situações, é exatamente isso que queremos, mas em outras isso pode ser um grande problema, já que o usuário não conseguirá compartilhar pastas com outros usuários da rede, por exemplo. Veja que a aba de compartilhamento sequer fica

disponível nas propriedades da pasta:

Para mudar isso, é necessário ajustar as permissões da máquina local, de forma que a conta do domínio tenha permissão para alterar as configurações. Para isso, logue-se localmente na estação

Cadastrando máquinas em um

domínio - Continuando

Cadastrando máquinas em um

domínio - Continuando

Acesse o "Painel de controle > Contas de usuário" e clique no "Adicionar". Especifique o login do usuário e o nome do domínio e na tela seguinte especifique o nível de permissão na máquina local

(Administrador, Usuário avançado, etc.).

Cadastrando máquinas em um

domínio - Continuando

Faça logoff (na estação) e logue-se novamente no domínio com a conta que foi cadastrada. Se você a cadastrou com privilégios administrativos, notaremos que a aba de compartilhamento voltou a aparecer e o acesso às demais configurações foi destravado. Com isso o usuário assume o controle de sua máquina local e pode criar compartilhamentos e alterar as demais configurações:

Cadastrando máquinas em um

domínio - Continuando

Note que esta configuração é necessária apenas se quisermos que os usuários das estações possam criar compartilhamentos locais. Outra opção é simplesmente adicionar compartilhamentos no servidor e orientar os usuários a usarem os compartilhamentos criados para compartilharem os arquivos desejados. Centralizar todos os compartilhamentos no servidor é mais seguro e facilita bastante os backups, já que precisaremos apenas fazer backup dos arquivos do servidor.

Cadastrando máquinas em um

domínio - Continuando

No Windows Vista, a opção de adicionar a máquina ao domínio está no Painel de Controle > Sistema > Configurações avançadas do sistema (na lista à esquerda) > Nome do Computador > Alterar. A forma como escolhemos se queremos logar no domínio ou fazer

um login na máquina local na tela de login do Vista segue uma lógica um pouco curiosa. Depois que a máquina é adicionada ao domínio, a tela de login mostra a opção de fazer logon no domínio, onde o último login utilizado fica pré-selecionado. Para usar outro login, é necessário clicar no botão "Trocar Usuário" e fornecê-lo na tela seguinte. Entretanto, não existe uma opção para fazer logon na máquina local. Para isso, é necessário especificar o nome da máquina seguido pelo nome do usuário no campo de login, como em: Vistagdhn. Outra opção é usar um "." antes do nome do usuário, como em ".gdhn".

Cadastrando máquinas em um

domínio - Finalizando

No Windows 2000, o procedimento é basicamente o mesmo do Windows XP, muda apenas a localização da opção, que está disponível no "Meu Computador > Propriedades > Identificação de rede > Propriedades".

Nem todas as versões do Windows suportam o uso de um domínio. Como controladores de domínio são usados

Para instalar o servidor DHCP, acesse o “assistente para configurar o servidor" e selecione a opção “Servidor DHCP" na lista de funções. Isso dispara um wizard que permite configurar o escopo de endereços que será usado pelo servidor, de forma

similar ao que fazemos no arquivo dhcpd.confao configurar o servidor DHCP no Linux:

O Servidor DHCP (Dynamic Host

Configuration Protocol)

As opções incluem o range de endereços que será usado pelo servidor e a máscara de sub-rede (que pode ser

fornecida no sistema CIDR ou na notação tradicional). Na tela seguinte, você pode definir uma lista de

exclusões, ou seja, faixas de endereços dentro da faixa definida na primeira opção que não devem ser usadas pelo servidor DHCP.

Em seguida são definidos o gateway da rede,

servidores DNS e servidor WINS (caso usado). No final do processo, temos a opção de inicializar a configuração imediatamente, ou de deixar para aplicá-la mais tarde (o que pode ser feito se precisarmos verificar a configuração da rede ou consultar outro administrador antes de ativar o servidor DHCP, por exemplo).

O Servidor DHCP - Finalizando

Podemos também aproveitar para ativar o servidor WINS, que tem um papel secundário dentro das redes Microsoft, funcionando como uma base de dados que relaciona os nomes das máquinas com os endereços IP correspondentes, ajudando na navegação da rede. Sem ele, os clientes Windows que não foram

configurados para fazer parte de um domínio precisam recorrer a pacotes de broadcast para a navegação da rede, o que aumenta o tráfego e torna a navegação no ambiente de redes mais lenta.

Para ativar o servidor WINS, acesse o “Assistente para configura o servidor" e selecione a opção “Servidor WINS". A menos que você precise utilizar vários servidores WINS na mesma rede, a configuração é basicamente automática. Basta ativar o serviço e o servidor passa a manter a base de nomes e a responder às requisições dos clientes. A partir daí, falta apenas configurar os clientes para

utilizarem seu servidor. Ao usar o DHCP, você pode especificar o endereço do servidor WINS como parte da configuração. No caso dos clientes com configuração manual, a opção fica escondida nas propriedades da conexão de rede, no Protocolo TCP/IP > Propriedades > Avançado > WINS:

O Servidor WINS - Continuação

O WINS está lentamente entrando em desuso, já que a mesma tarefa

realizada por ele pode ser executada de forma mais eficiente por um servidor DNS corretamente

configurado. Apesar disso, ele ainda é um serviço importante, que vai demorar para deixar de ser usado completamente.

As versões domésticas do Windows possuem (de acordo com a versão) um limite de 5 ou 10 conexões simultâneas a compartilhamentos de arquivos. Isso é feito intencionalmente, de forma a impedir que sejam usadas como servidores de arquivos fora das redes domésticas e dos pequenos escritórios. É possível desarmar a limitação através da alteração de chaves de registro, mas isso viola o contrato de uso do

sistema, o que não é aceitável no caso de uma empresa, devido à questão legal.

Configurando um Servidor de

Arquivos

Com isso, a partir do momento em que sua rede corporativa possui mais do que um punhado de máquinas, você acaba sendo obrigado a incluir um servidor de arquivos dedicado, que pode ser uma máquina Linux rodando o Samba, ou uma máquina Windows, rodando uma das versões Server do Windows.

O assistente para servidor de arquivos do “Assistente para configura o servidor" é um dos mais simples. Escolhendo a opção "servidor de arquivos", nos deparamos com uma sequência de dois assistentes.

Configurando um Servidor de

O primeiro permite ativar o uso de quotas para novos usuários, limitando assim o volume de espaço em disco que pode ser usado por cada um. O uso de quotas é importante em redes com muitos usuários para racionalizar o uso do espaço disponível,

evitando que um único usuário acabe com o espaço disponível dos discos.

Configurando um Servidor de

Arquivos - Continuação

No final está disponível também a opção de ativar o serviço de indexação, que oferece a possibilidade de realizar pesquisas dentro do conteúdo dos

documentos através de um formulário web hospedado no servidor. Para tirar proveito desse recurso, é

necessário instalar também o IIS, através da opção "Servidor de Aplicação (IIS, ASP.NET)" do assistente para configurar o servidor. A principal desvantagem de ativar o serviço de indexação é que ele consome uma fatia generosa dos recursos do servidor, que aumenta juntamente com o volume de acessos e de arquivos armazenados.

Configurando um Servidor de

Arquivos - Continuação

O segundo é um assistente simples, que permite criar compartilhamentos e definir o nível básico de

permissões, que podem ser refinadas posteriormente acessando as propriedades do compartilhamento. O mais comum é usar as opções "Administradores tem acesso completo, outros usuários tem acesso somente para leitura" para compartilhamentos usados para

disponibilizar arquivos e programas acessados por diversos usuários em modo somente-leitura e a opção "Administradores tem acesso completo, outros usuários tem acesso para leitura e escrita" para pastas de

trabalho, onde os usuários precisam editar os arquivos:

Configurando um Servidor de

Configurando um Servidor de

Arquivos - Continuação

Podemos também criar novos

compartilhamentos e alterar as

permissões de acesso da mesma forma que no Windows XP, acessando as propriedades da pasta e marcando a opção

“Compartilhar essa pasta":

As quotas definidas ao rodar o assistente são apenas os valores padrão, que são aplicados a todos os novos usuários. Podemos acompanhar o uso do espaço e definir quotas personalizadas para os usuários que precisarem de mais espaço acessando as propriedades do disco. Acesse a aba "Quotas" e clique no botão “Configurações de Quota" para abrir a janela de configuração. Dentro dela, acesse as propriedades do usuário a

configurar:

Configurando um Servidor de

Arquivos - Continuação

Para configurar as contas de usuários locais, acesse o “Iniciar > Todos os programas > Ferramentas Administrativas > Gerenciamento do

computador". Dentro dele, acesse o “Ferramentas de Sistemas > Usuários e grupos locais". A partir daí, podemos criar novos usuários ou grupos clicando com o botão direito sobre a pasta correspondente e usar a opção “Novo usuário" ou "Novo grupo":

Configurando um Servidor de

Arquivos - Continuação

A opção "Usuário deve trocar a senha no próximo logon" força o usuário a trocar a senha ao se logar pela primeira vez, o que ajuda a resolver o problema do uso de senhas padrão

indefinidamente. Podemos também fazer o inverso, ativando a opção "Usuário não pode trocar a senha" para que ele não possa trocar a senha definida por você. A opção “Desabilitar a conta" permite desativar a conta temporariamente, sem

removê-la do sistema. As contas desativadas aparecem com um "x", como a conta Guest do slide anterior.

Outra opção para a administração dos usuários locais é o "lusrmgr.msc" (disponível também no Windows XP), que pode ser chamado através do “Iniciar > Executar”. Ele oferece basicamente as mesmas opções.

Principais Conceitos

No Windows Server, o conjunto de servidores, estações de trabalho, bem como as informações do diretório é que formam uma unidade conhecida como Domínio. Todos os servidores que contém uma cópia da base de dados do Active Directory, fazem parte do domínio. As estações de trabalho podem ser configuradas para fazer parte do domínio. Cada estação de trabalho que faz parte do

domínio, tem uma conta de computador criada no domínio. A conta de computador tem o mesmo nome do computador.

Por exemplo, a estação de trabalho micro-cont-001, tem uma conta de computador, na base de dados do Active Directory, com o nome de micro-cont-001.

Um domínio pode também ser definido com um limite administrativo e de segurança. Ele é um limite

administrativo, pois as contas de Administrador tem permissões de acesso em todos os recursos do domínio, mas não em recursos de outros domínios. Ele é um limite de segurança porque cada domínio tem definições de políticas de segurança que se aplicam as contas de usuários e demais recursos dentro de domínio e não a outros domínios. Ou seja, diferentes domínios podem ter diferentes políticas e configurações de segurança.

Domínios - Continuação

Por exemplo, no domínio A, posso ter uma política de segurança que define um tamanho mínimo de senha como 8 caracteres. Esta política será válida para todas as contas de usuário do

domínio A. Um segundo domínio B, pode ter uma política de segurança diferente, a qual define um tamanho mínimo de senha de 12 caracteres. Esta política será válida para todas as contas de usuários do domínio B.

Um Domínio é, portanto, simplesmente um agrupamento lógico de contas e recursos, os quais compartilham políticas de

segurança. As informações sobre os diversos elementos do domínio (contas de usuários, contas de computador, grupos de usuários, políticas de segurança, etc), estão contidas no banco de dados do Active Directory.

Quando existem diversos domínios relacionados através de relações de confiança, criadas e

mantidas automaticamente pelo Active Directory, temos uma Árvore de domínios. Uma árvore nada mais é do que um agrupamento ou arranjo hierárquico de um ou mais domínios do Windows Server, os quais compartilham um espaço de nome.

Árvores de Domínios

Podemos ainda dividir um Domínio em Unidades

Organizacionais. Uma Unidade Organizacional é uma divisão lógica do domínio, a qual pode ser utilizada para organizar os objetos de um determinado domínio em um agrupamento lógico para efeitos de administração.

Se um usuário fosse adicionado ao grupo Administradores (grupo com poderes totais sobre qualquer recurso do domínio), ele poderia executar qualquer ação em qualquer servidor do domínio. Com a utilização de Unidades

Organizacionais, é possível restringir os direitos

administrativos apenas a nível da Unidade Organizacional, sem que com isso o usuário tenha poderes sobre todos os demais objetos do Domínio.

Cada domínio pode implementar a sua hierarquia de Unidades Organizacionais, independentemente dos demais domínios, isto é, os diversos domínios que formam uma árvore, não precisam ter a mesma estrutura hierárquica de unidades organizacionais.

A utilização de Unidades Organizacionais não é obrigatória, porém altamente recomendada,

conforme veremos em alguns exemplos mais adiante.

Unidades Organizacionais

-Continuação

Utilize Unidades Organizacionais quando:

Quisermos representar a estrutura e organização da companhia em um domínio. Sem a utilização de “UO”, todas as contas de usuários são mantidas e exibidas em uma única lista,

independente da localização, departamento ou função do usuário.

Quisermos delegar tarefas administrativas sem para isso ter que dar poderes administrativos em todo o Domínio. Com o uso de “UO”, podemos dar permissões para um usuário somente a nível da Unidade Organizacional.

Quisermos facilitar e melhor acomodar alterações na estrutura da companhia. Por exemplo, é muito mais fácil mover contas de usuários entre “UO´s” do que entre domínios.

Contas de usuários

Todo usuário que quer ter acesso aos recursos dos computadores do domínio (pastas compartilhadas, impressoras compartilhadas, etc) deve ser cadastrado no Active Directory. Cadastrar o usuário, significa criar uma conta de usuário e uma senha.

Todo usuário que acessa a rede deve ter a sua própria conta. Não é recomendado que dois ou mais usuários compartilhem a mesma conta. A conta é a identidade do usuário para a rede.

Conhecendo os principais

Objetos de um domínio

Com base nas contas de usuários e grupos, podemos habilitar ou negar permissões de acesso aos recursos da rede.

Por exemplo, o administrador pode restringir o acesso a pastas e arquivos compartilhados na rede, definindo quais usuários podem ter acesso e qual o nível de acesso de cada usuário leitura, leitura e alteração, exclusão e assim por diante. Mais um bom motivo para que cada usuário tenha a sua própria conta e senha.

Outro detalhe que devemos observar, é a utilização de um padrão para o nome das contas de usuários. Esse padrão é importante, pois não podem existir dois usuários com o mesmo nome de logon dentro do mesmo Domínio.

Quando criamos nomes de logon para os usuários, devemos levar em consideração os seguintes

detalhes:

Nomes de Usuários do Domínio devem ser únicos dentro do Domínio.

Podem ter no máximo 20 caracteres.

Os seguintes caracteres não podem ser utilizados: “ / \ : ; [ ] | = , + * ? < >

Contas de Usuários – Finalizando

A conta de computador pode ser criada antes da

instalação do computador ser adicionado ao domínio ou no momento em que o computador é configurado para fazer parte do domínio. A conta do computador deve ter o mesmo nome do computador na rede. Por exemplo, um computador com o nome de microxp01, terá uma conta no Active Directory, com o nome: microxp01.

OBS: Computadores rodando Windows 95/98/Me, mesmo tendo acesso a lista de usuários e grupos do domínio, não terão contas de computador criadas no Active Directory.

Um grupo de usuários é uma coleção de contas de usuários. Por exemplo, podemos criar um grupo chamado Contabilidade, do qual farão parte todos os usuários do departamento de Contabilidade (todas as contas de usuários dos funcionários do departamento de Contabilidade).

A principal função dos grupos de usuários é facilitar a administração e a atribuição de permissões para acesso a recursos, tais como: pastas compartilhadas,

impressoras remotas, serviços diversos, etc.

Grupos de Usuários

Ao invés de dar permissões individualmente, para cada um dos usuários que necessitam acessar um

determinado recurso, criamos um grupo, incluímos os usuários no grupo e atribuímos permissões para o grupo.

Para que um usuário tenha permissão ao recurso, basta incluir o usuário no grupo, pois todos os usuários de um determinado grupo, herdam as permissões dos grupos aos quais o usuário pertence.

Quando um usuário troca de seção, por exemplo, basta trocar o usuário de grupo.

Quando estivermos trabalhando com grupos de usuários, devemos considerar os fatos a seguir: Grupos são uma coleção de contas de usuários. Os membros de um grupo, herdam as permissões atribuídas ao grupo.

Os usuários podem ser membros de vários grupos Grupos podem ser membros de outros grupos. Contas de computadores podem ser membros de um grupo.